[发明专利]一种工控网络入侵检测方法及系统

权利要求书

1.一种工控网络入侵检测方法，其特征在于，所述方法具体包括以下步骤：

进行工控网络实时运行监测，构建工控网络中与多个运行设备的运行会话框，进行运行会话记录，生成多个会话记录数据；

实时提取多个所述会话记录数据中的实时会话数据，对所述实时会话数据进行攻击检测；

将存在攻击的实时会话数据标记为攻击会话数据，通过对对应的会话记录数据进行攻击溯源分析，进行入侵攻击溯源过滤；

对多个所述会话记录数据进行泄露行为检测，并在存在泄露行为时，进行入侵泄露处理；

所述进行工控网络实时运行监测，构建工控网络中与多个运行设备的运行会话框，进行运行会话记录，生成多个会话记录数据具体包括以下步骤：

进行工控网络实时运行监测，生成运行监测信息；

根据所述运行监测信息，创建多个运行设备对应的运行会话框；

按照所述运行监测信息，在多个所述运行会话框进行会话构建，生成运行会话数据；

按照多个所述运行会话框，进行运行会话数据的过程记录，生成多个会话记录数据。

2.根据权利要求1所述的种工控网络入侵检测方法，其特征在于，所述方法还包括以下步骤：

对多个所述会话记录数据进行流量分析，更新生成多个流量占用数据，按照多个所述流量占用数据，对多个所述运行设备进行共享带宽控制。

3.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述实时提取多个所述会话记录数据中的实时会话数据，对所述实时会话数据进行攻击检测具体包括以下步骤：

实时提取多个所述会话记录数据中的实时会话数据；

按照预设的多个攻击特征，对多个所述实时会话数据进行攻击检测，生成攻击检测信息。

4.根据权利要求3所述的工控网络入侵检测方法，其特征在于，所述将存在攻击的实时会话数据标记为攻击会话数据，通过对对应的会话记录数据进行攻击溯源分析，进行入侵攻击溯源过滤具体包括以下步骤：

根据所述攻击检测信息，进行攻击判断；

在存在攻击时，将对应的实时会话数据标记为攻击会话数据；

对所述攻击会话数据对应的运行设备进行运行溯源分析，确定溯源攻击网站；

配置网站访问策略，屏蔽所述溯源攻击网站。

5.根据权利要求1所述的工控网络入侵检测方法，其特征在于，所述对多个所述会话记录数据进行泄露行为检测，并在存在泄露行为时，进行入侵泄露处理具体包括以下步骤：

提取多个所述会话记录数据中的传输信息；

对多个所述传输信息进行泄露检测，生成泄露检测结果；

按照所述泄露检测结果，判断是否存在泄露行为；

在存在泄露行为时，进行入侵泄露处理。

6.根据权利要求2所述的工控网络入侵检测方法，其特征在于，所述对多个所述会话记录数据进行流量分析，更新生成多个流量占用数据，按照多个所述流量占用数据，对多个所述运行设备进行共享带宽控制具体包括以下步骤：

实时对多个所述会话记录数据进行流量分析更新，生成多个与运行设备对应的流量占用数据；

根据多个所述流量占用数据进行流量占比规划，生成流量占比规划信息；

按照所述流量占比规划信息，对多个所述运行设备进行共享带宽控制。