[发明专利]基于Modbus/Tcp的入侵检测分析方法

摘要

基于Modbus/Tcp的入侵检测分析方法，该方法包括数据采集模块与网络接口相连，并将数据包发送给数据解析模块；数据解析模块分别与规则生成模块和规则匹配模块相连；在规则自学习阶段，将数据包解析结果发送给规则生成模块；在规则匹配阶段，将数据包解析结果发送给规则匹配模块；规则生成模块接收解析后的数据包，生成规则集合；规则匹配模块对解析后的数据包与数据库中的规则进行匹配。本方法在不改变工业网络结构和不影响日常生产的前提下，为用户提供了规则离线学习，在线实时检测的安全措施，根据企业策略需求阻断潜在威胁，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

主权项

1.基于Modbus/Tcp的入侵检测分析方法，实现该方法的系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块；所述的数据采集模块与网络接口相连，数据采集模块用于捕获流入的数据包，并将数据包发送给数据解析模块；数据解析模块分别与规则生成模块和规则匹配模块相连，用于对接收的数据包进行解析；在规则自学习阶段，将解析好的数据包信息发送给规则生成模块；在规则匹配阶段，将解析好的数据包信息发送给规则匹配模块；详细地，数据解析模块从数据采集模块中获取数据包的到达时间；提取协议类型和数据包的长度；对数据包的网络层解析，提取源和目的IP地址；对传输层解析，提取源和目的端口号，以及按照源和目的端口号判断主从设备，标记数据包为请求数据包(Query)或者响应数据包(Response)，并且提取数据包的序列号、应答号、Modbus报文长度；对Modbus报文进行解析，提取Modbus功能码、线圈或寄存器的起始地址以及数量；提取Modbus的载荷；规则生成模块用于接收解析后的数据包，按照预先设置的算法，生成正常行为的规则集合；还可以添加带有异常特征的规则集合；详细地，1)规则生成模块接收所有的解析数据包，将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1；详细地，相邻的两个数据包，先接收的数据包记为A，后接收的数据包记为B，B的应答号等价于A的序列号和A的Modbus报文长度之和，而且B的序列号等价于A的应答号；2)规则生成模块对接收的解析数据包按照请求和响应数据包两两分对，计算请求和响应数据包之间的时间间隔范围，作为请求和响应数据包之间的规则集R2；详细地，规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同，作为请求和响应数据包之间的规则，添加到规则R2；3)规则生成模块对分类数据包库中数据包的周期特性进行分析，将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3；详细地，规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类；针对分类数据包的周期特性，可划分为有周期特性的数据包和无周期特性的数据包；有周期特性数据包把数据包之间到达的时间间隔作为它的周期，无周期特性数据包的周期记为零；将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则；4)规则生成模块还能手动添加带异常特征的规则集；规则匹配模块，用于将解析后的数据包与数据库中的规则进行匹配；如果和正常规则集合对应的规则匹配，判定为正常数据包；如果存在和异常规则集对应规则匹配的数据包，判定为异常数据包；客户窗口模块，对本系统的功能以图形界面的形式提供给用户使用，实现查看和修改数据库，从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测功能。