[发明专利]智能制造系统异常流量检测方法及检测装置

说明书

本发明提出了一种智能制造系统异常流量检测方法及检测装置，检测方法，包括：预先采集智能制造系统中待检测目标的流量数据；对采集的流量数据进行深度解析以获取数据特征信息，并基于数据特征信息生成协议指纹数据；对采集的流量数据进行流量分析以获取流量特征，并基于流量特征生成流量基准阈值；基于协议指纹数据和流量基准阈值，对当前采集的待检测目标的流量数据进行匹配检测，以判定当前流量数据是否异常。本发明采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统中入侵异常流量检测，检测方法高效、可靠，提高智能制造系统的安全性。

技术领域

本发明涉及入侵检测技术领域，尤其涉及一种智能制造系统异常流量检测方法及检测装置。

背景技术

目前“智能制造”已经成为席卷全球的趋势，成为全球制造业的主要发展方向和战略制高点。智能制造将主流新兴技术的融合达到前所未有的程度，新兴技术的应用也使制造业迸发出前所未有的活力。主要表现为新的工业应用模式下，智能制造系统由原来封闭式的生产环境逐步向开放式环境发展，并且大量采用标准化软硬件模块，基于以太网构建现场总线通信，所有设备互联互通等。考虑到工业控制系统自身的结构特点、功能特性、应用环境，以及在信息安全方面的先天缺陷，智能制造系统从“内部隔离”状态走向“前台开放”状态时面临着严峻挑战。智能制造在带来更灵活的生产、更高效的运转和更强的竞争力的同时，也带来巨大的安全风险。

由于智能制造系统网络通信对于可靠性、延时等的特殊要求，智能制造系统中的现场总线多采用明文传输，而且很多都是标准公开的协议规范，这样使得暴露于网络中的智能制造设备或系统极易成为被攻击对象，进而通过协议欺骗、指令篡改、恶意监听等技术对智能制造系统及网络进行攻击。能否及时发现网络入侵者以及非法恶意报文，从而有效地检测出网络中的异常流量，成为智能制造行业应用及推广共同面临的一个重要问题。

发明内容

本发明要解决的技术问题是如何对智能制造系统的异常流量进行检测，本发明提出一种智能制造系统异常流量检测方法及检测装置。

根据本发明实施例的智能制造系统异常流量检测方法，包括：

预先采集智能制造系统中待检测目标的流量数据；

对采集的所述流量数据进行深度解析以获取数据特征信息，并基于所述数据特征信息生成协议指纹数据；

对采集的所述流量数据进行流量分析以获取流量特征，并基于所述流量特征生成流量基准阈值；

基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常。

根据本发明实施例的智能制造系统异常流量的检测方法，采用流量异常检测方法与协议异常检测方法相结合的方式，实现智能制造系统异常流量检测。首先，采集智能制造现场总线流量数据，通过对流量数据进行深度解析和流量分析获取协议指纹数据和流量基准阈值，然后通过数据匹配算法发现流量数据包异常，实现智能制造现场总线流量实时监测和入侵检测，提高智能制造系统的安全性。

根据本发明的一些实施例，所述方法还包括：

当生成的所述协议指纹数据为多个时，创建存储多个所述协议指纹数据的协议指纹库；

当生成的所述流量基准阈值为多个时，创建存储多个所述流量基准阈值的流量基准阈值库。

在本发明的一些实施例中，基于所述协议指纹数据和所述流量基准阈值，对当前采集的所述待检测目标的流量数据进行匹配检测，以判定当前所述流量数据是否异常，包括：

基于所述协议指纹数据和所述流量基准阈值生成异常检测字符串；

对当前采集的所述待检测目标的流量数据进行解析；

将解析后的所述流量数据与所述异常检测字符串进行匹配；