[发明专利]基于旁路技术的工控网络流量分析安全检测系统及方法

权利要求书

1.基于旁路技术的工控网络流量分析安全检测系统，其特征在于，包括：

通讯模块，用于采用旁路技术接入工控网络，采集工控网络流量数据，包括原始通信数据、网络会话日志和网络应用日志；

大数据转发模块，用于利用Kafka分布式消息转发订阅框架构建包括数据采集层、数据缓存层、数据转发层三个层次的大数据模型，其中，数据采集层通过接入通讯模块，利用Kafka的生产者功能，编写程序实时读取通讯模块采集的工控网络流量数据；数据缓存层用于对工控网络流量数据中的多源数据进行融合；数据转发层用于利用Kafka的消费者功能，编写程序实时消费工控网络原始数据，同时在大数据集群中多个节点上部署消费者程序，读取Kafka中的相同消息，并将消息中携带的工控网流量数据发送给字段解码模块；

字段解码模块，用于对数据转发层发送的工控网络流量数据进行字段解码；

安全检测模块，用于对字段解码后的流量数据进行安全检测。

2.如权利要求1所述的基于旁路技术的工控网络流量分析安全检测系统，其特征在于，通讯模块包括串口通讯单元、GSM通讯单元、LTE通讯单元以及移动监控终端。

3.如权利要求1所述的基于旁路技术的工控网络流量分析安全检测系统，其特征在于，字段解码模块根据预设时间间隔对对数据转发层发送的工控网络流量数据进行字段解码。

4.如权利要求1所述的基于旁路技术的工控网络流量分析安全检测系统，其特征在于，安全检测模块，包括：

攻击行为检测模块，用于对字段解码后的流量数据采用通信协议进行识别，根据预训练的模型对字段解码后的流量数据进行检测，检测其是否受到攻击；

异常行为检测模块，用于对字段解码后的流量数据采用的通信协议进行行为分析，利用机器学习和数据分析算法识别其行为是否异常；

基线式检测模块，用于离线分析海量的工控网络流量数据，判断预设基线式检测检测项是否正常；

安全分析模块，用于构建三层工控网络安全态势感知模型，对工控网络的安全态势进行感知。

5.如权利要求1所述的基于旁路技术的工控网络流量分析安全检测系统，其特征在于，预训练的模型为预先通过大量已经标注的工控网流量数据训练好的机器学习模型或者深度学习模块，检测的攻击包括Web攻击、应用层攻击、端口/服务扫描攻击。

6.如权利要求1所述的基于旁路技术的工控网络流量分析安全检测系统，其特征在于，异常行为检测模块具体用于：

通过预训练完毕的机器学习或深度学习模型对字段解码后的流量数据进行检测，检测其所处时刻的工控系统的行为；

统计固定时间段某行为出现次数，并与固定时刻出现次数阈值进行比对，判断固定时间的工控网络行为是否为异常。

7.如权利要求4所述的基于旁路技术的工控网络流量分析安全检测系统，其特征在于，所述系统还包括攻击溯源模块，用于根据攻击行为检测模块、异常行为检测模块、基线式检测模块以及安全分析模块的结果对工控网络攻击进行回溯，并生成工控网络安全分析报告。

8.如权利要求7所述的基于旁路技术的工控网络流量分析安全检测系统，其特征在于，所述系统还包括异常报警模块，用于根据生成的工控网络安全分析报告发出报警信息并执行相应的动作。