[发明专利]一种工控网络入侵检测方法及系统

说明书

本发明涉及入侵检测技术领域，具体公开了一种工控网络入侵检测方法及系统。本发明通过构建工控网络中与多个运行设备的运行会话框，进行运行会话记录，生成多个会话记录数据；实时提取实时会话数据，对实时会话数据进行攻击检测；标记攻击会话数据，进行攻击溯源分析，进行入侵攻击溯源过滤；对多个会话记录数据进行泄露行为检测，在存在泄露行为时，进行入侵泄露处理。能够构建工控网络中多个运行设备的运行会话框，按照多个运行会话框对应的实时会话数据进行攻击检测和泄露行为检测，进而按照不同的检测结果，进行入侵攻击溯源过滤和入侵泄露处理，实现外部和内部的入侵检测与处理，从而提供全面的入侵检测，为工控网络提供更加安全的环境。

技术领域

本发明属于入侵检测技术领域，尤其涉及一种工控网络入侵检测方法及系统。

背景技术

工控入侵检测系统，是一种能够实时发现网络攻击企图、攻击行为的入侵检测的工业应用系统，通过实时地监视网络，一旦发现异常情况就发出警告，采用先进的协议分析和入侵检测引擎，通过硬件驱动优化，快速处理网络数据，准确发现各种攻击行为，识别安全威胁和风险。工控入侵检测系统适用于SCADA、DCS、PCS、PLC等工业控制系统，可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统。

然而现有的工控入侵检测系统的入侵检测方法较为单一，通常只能够对外网进入内网的外部攻击进行入侵检测，而工控入侵过程中，往往存在内部攻击和外部攻击的不同情况，且内部攻击往往更隐蔽、危害性更大，因此现有的工控入侵检测系统无法进行全面的入侵检测，入侵检测能力不强，无法为工控网络提供更加安全的环境。

发明内容

本发明实施例的目的在于提供一种工控网络入侵检测方法及系统，旨在解决背景技术中提出的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种工控网络入侵检测方法，所述方法具体包括以下步骤：

进行工控网络实时运行监测，构建工控网络中与多个运行设备的运行会话框，进行运行会话记录，生成多个会话记录数据；

实时提取多个所述会话记录数据中的实时会话数据，对所述实时会话数据进行攻击检测；

将存在攻击的实时会话数据标记为攻击会话数据，通过对对应的会话记录数据进行攻击溯源分析，进行入侵攻击溯源过滤；

对多个所述会话记录数据进行泄露行为检测，并在存在泄露行为时，进行入侵泄露处理。

作为本发明实施例技术方案进一步的限定，所述方法还包括以下步骤：

对多个所述会话记录数据进行流量分析，更新生成多个流量占用数据，按照多个所述流量占用数据，对多个所述运行设备进行共享带宽控制。

作为本发明实施例技术方案进一步的限定，所述进行工控网络实时运行监测，构建工控网络中与多个运行设备的运行会话框，进行运行会话记录，生成多个会话记录数据具体包括以下步骤：

进行工控网络实时运行监测，生成运行监测信息；

根据所述运行监测信息，创建多个运行设备对应的运行会话框；

按照所述运行监测信息，在多个所述运行会话框进行会话构建，生成运行会话数据；

按照多个所述运行会话框，进行运行会话数据的过程记录，生成多个会话记录数据。

作为本发明实施例技术方案进一步的限定，所述实时提取多个所述会话记录数据中的实时会话数据，对所述实时会话数据进行攻击检测具体包括以下步骤：

实时提取多个所述会话记录数据中的实时会话数据；