一种基于工业协议的安全检测系统及方法与流程

1.本发明涉及工业安全检测技术领域，具体为一种基于工业协议的安全检测系统及方法。


背景技术：

2.建立工控网络的目的在于实现工控系统中设备间的互通互连，能够帮助将大量工业设备接入网络，实现工业生产线的连接，接入互联网后，会受到不同的网络攻击，实现设备间的数据通信需要各种工业协议，随着工控系统的不断复杂化衍生出大量新的工业协议，增加了对数据通信进行安全检测的难度，现有技术中对与工业设备通信数据的安全检测还缺乏成熟的技术方案，对与网络攻击的检测方式虽然很多，但是并未有效提高专一网络攻击检测的效率，工业协议所在不断增加，主要类型却是依据设备间数据通信方式大致归为两种：串行通信协议和并行通信协议，通过大数据技术比对数据判断不同设备间的通信方式，依据通信方式判断采用的工业通信协议类型，筛选出采用串行通信协议的数据传输过程，在串行通信协议中，dos攻击即拒绝服务攻击较为普遍，对其来说最有吸引利的便是串行连接设备间的广播通信方式，预先判断设备是否正在进行广播通信，对正在进行广播通信的设备进行dos攻击集中安全检测，及时作防御工作，能够有效避免部分数据传输受到dos攻击而导致数据传输延迟甚至于泄露的风险，也提高了安全检测的效率。
3.所以，人们需要一种基于工业协议的安全检测系统及方法来解决上述问题。


技术实现要素：

4.本发明的目的在于提供一种基于工业协议的安全检测系统及方法，以解决上述背景技术中提出的问题。
5.为了解决上述技术问题，本发明提供如下技术方案：一种基于工业协议的安全检测系统，其特征在于：所述系统包括：通信数据采集模块、数据库、协议应用分析模块、数据传输方式分析模块、协议攻击安全检测模块和攻击防御预警模块；
6.所述通信数据采集模块用于采集串、并行通信传输数据的方式数据以及拒绝服务攻击行为特征数据至所述数据库中；所述协议应用分析模块用于匹配各设备之间当前的传输方式，通过传输方式预测不同设备间进行数据传输采用的协议类型，筛选出所有通过串行协议进行通信的设备，所述协议类型包括串行通信协议和并行通信协议；所述数据传输方式分析模块用于定位当前所有正在进行串行通信数据传输的设备，获取数据链路，依据数据链路的指向测试数据链路上数据传输的方向，统计所有设备所处数据传输链路个数及方向，筛选出进行广播通信的设备；所述协议攻击安全检测模块用于对筛选出的设备进行集中安全检测，匹配拒绝服务攻击特征，将匹配结果传输到所述攻击防御预警模块中；所述攻击防御预警模块用于分析匹配结果，匹配成功后发出预警信号，进行拒绝服务攻击防御工作。
7.进一步的，所述通信数据采集模块包括传输信息采集单元和dos攻击特征采集单
元，通过所述传输信息采集单元采集串行通信数据传输方式与并行通信数据传输方式，通过所述dos攻击特征采集单元采集拒绝服务攻击特征数据，将采集到的所有数据传输到所述数据库中。
8.进一步的，所述协议应用分析模块包括传输方式分析单元和协议类型预测单元，通过所述传输方式分析单元测试当前各设备之间数据传输方式，与采集到的串、并行通信传输数据的方式特征进行比对，将比对结果传输到所述协议类型预测单元中，通过所述协议类型预测单元预测对应数据传输过程依据的通信协议类型并筛选出通过串行协议进行通信的设备。
9.进一步的，所述数据传输方式分析模块包括传输设备定位单元、数据链路获取单元、传输方向测试单元和传输方式检测单元，通过所述传输设备定位单元定位当前正在进行串行通信数据传输的设备，通过所述数据链路获取单元获取所有相互通信的设备间的传输数据链路，通过所述传输方向测试单元测试所有数据链路的数据传输方向，通过所述广播通信筛选单元统计所有设备所处数据传输链路个数及方向，筛选出进行广播通信的设备。
10.进一步的，所述协议攻击安全检测模块包括安全集中检测单元和检测结果匹配单元，通过所述安全集中检测单元对筛选出的设备进行集中安全检测，通过所述检测结果匹配单元将检测结果与所述数据库中的拒绝服务特征数据进行匹配，将匹配结果传输到所述攻击防御预警模块中，通过所述攻击防御预警模块分析匹配结果，在匹配成功后发出预警信号，进行拒绝服务攻击防御工作。
11.一种基于工业协议的安全检测方法，其特征在于：包括以下步骤：
12.s1：采集设备间通信传输方式以及拒绝服务攻击特征数据；
13.s2：匹配分析当前设备间的传输方式，预测数据传输采用的协议类型，筛选出通过串行协议进行通信的设备；
14.s3：定位所有串行通信设备，获取数据传输链路，测试数据传输方向；
15.s4：统计所有设备所处数据传输链路个数及方向，筛选出进行广播通信的设备相关链路；
16.s5：对筛选出的链路进行集中安全检测，匹配拒绝服务攻击特征，匹配成功后发出预警信号，进行攻击防御工作。
17.进一步的，在步骤s1-s2中，利用传输信息采集单元采集到设备串行通信每次传输的数据量为1，采集到设备并行通信每次传输的数据量为a，单位为：比特，利用dos攻击特征采集单元采集受到拒绝服务攻击的数据传输特征，将采集到的所有数据传输到数据库中，利用传输方式分析单元统计到各设备间的已传输的数据量集合为b＝{b1，b2，...，bn}，已传输的次数集合为a＝{a1，a2，...，an}，根据下列公式计算随机一个数据传输过程中的单位传输数据量bi：
[0018][0019]
其中，n表示正在进行的数据传输个数，bi和ai分别表示随机一个数据传输过程中已传输的数据量和已传输的次数，比较采集到的串、并行通信每次传输数据量和bi：若bi＞1，说明该数据传输方式为并行通信传输，预测采用的协议为并行通信协议；若bi＝1，说明
该数据传输方式为串行通信传输，预测采用的协议为串行通信协议，筛选出所有通过串行协议进行通信的设备，依据已传输的数据量和传输次数计算设备每次传输的数据量的目的在于与串、并行通信每次传输的数据量进行比对，确认数据通信方式，有利于提高预测数据通信采用的协议类型的准确性，筛选出串行通信设备有利于减轻后续判断设备是否正在进行广播通信的工作量。
[0020]
进一步的，在步骤s3中：利用传输设备定位单元定位所有通过串行协议进行通信的设备位置，定位到设备的位置坐标集合为(x，y)＝{(x1，y1)，(x2，y2)，...，(xm，ym)}，其中，m表示通过串行协议进行通信的设备个数，利用数据链路获取单元获取到设备所在的数据链路，利用传输方向测试单元测试到随机一个设备发送数据到其它所有设备的数据链路向量坐标集合为(x，y)＝{(x
1-xi，y
1-yi)，...，(x
i-1-xi，y
i-1-yi)，(x
i 1-xi，y
i 1-yi)，...，(x
m-xi，y
m-yi)}，测试到当前该设备所在数据链路的向量坐标集合为(x
测
，y
测
)＝{(x
测1
，y
测1
)，(x
测2
，y
测2
)，...，(x
测k
，y
测k
)}，其中，k表示当前该设备所在数据链路数量，根据下列公式计算随机一条链路与该设备发送数据到其它任意一个设备的数据链路夹角αj：
[0021][0022]
其中，xj和yj分别表示该设备发送数据到其它任意一个设备的数据链路向量的横、纵坐标，x
测j
和y
测j
分别表示当前该设备所在数据链路向量的横、纵坐标，得到随机一条链路与该设备发送数据到其它所有设备的数据链路向量夹角集合为α＝{α1，α2，...，α
m-1
}，将夹角集合发送到广播通信筛选单元中，通过向量坐标方式计算链路夹角的目的在于判断所有设备的当前发、收数据情况，以便统计设备发送数据链路数量，判断对应设备是否正在进行广播通信，有利于及时作出预警，有针对性地对对应数据传输过程进行集中安全检测，提高了安全检测效率和精度。
[0023]
进一步的，利用所述广播通信筛选单元分析夹角度数：若αj＝0
°
，说明当前该设备正向对应设备发送数据；若αj＝180
°
，说明当前该设备正在接收对应的设备发送的数据；若αj≠0
°
且αj≠180
°
，说明当前该设备与对应设备之间并未在传输数据，统计到该设备发送数据至其它设备的链路数量为c，接收其它设备发送的数据的链路数量为c，c c＝k，若c》1，说明该设备当前正在进行广播通信，按照相同方式判断其它设备当前是否正在进行广播通信，筛选出所有正在进行广播通信的设备发送数据至其它设备的链路至安全集中检测单元中。
[0024]
进一步的，利用所述安全集中检测单元对筛选出的链路进行集中安全检测，利用检测结果匹配单元匹配对应链路上的数据传输是否符合数据库中受到拒绝服务攻击的数据传输特征：若匹配不成功，说明对应数据传输过程未受到拒绝服务攻击，继续进行安全检测；若匹配成功，说明对应数据传输过程正受到拒绝服务攻击，利用攻击防御预警模块发出预警信号，并进行拒绝服务攻击防御工作，有效避免了部分数据传输受到dos攻击而导致数据传输延迟甚至于泄露的风险。
[0025]
与现有技术相比，本发明所达到的有益效果是：
[0026]
1.本发明通过大数据技术采集串、并行通信传输数据的方式数据以及拒绝服务攻击行为特征数据，分析判断设备间的传输方式，依据传输方式预测数据传输采用的工业协
议类型，筛选出所有通过串行协议进行通信的设备，减轻了后续判断设备是否进行广播通信的工作量，通过获取正在串行通信数据传输的设备间的数据链路，依据数据链路的指向测试数据链路上数据传输的方向，统计所有设备所处数据传输链路个数及方向，筛选出所有进行广播通信的设备，进行集中安全检测，提高了安全检测的效率和精度，通过攻击防御预警模块判断广播通信相关链路上进行数据传输是否受到拒绝服务攻击，在受到攻击后发出预警信号，进行拒绝服务攻击防御工作，有效避免了部分数据传输受到dos攻击而导致数据传输延迟甚至于泄露的风险。
附图说明
[0027]
附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
[0028]
图1是本发明一种基于工业协议的安全检测系统的结构图；
[0029]
图2是本发明一种基于工业协议的安全检测方法的流程图。
具体实施方式
[0030]
以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0031]
请参阅图1-2，本发明提供技术方案：一种基于工业协议的安全检测系统，其特征在于：系统包括：通信数据采集模块、数据库、协议应用分析模块、数据传输方式分析模块、协议攻击安全检测模块和攻击防御预警模块；
[0032]
通信数据采集模块用于采集串、并行通信传输数据的方式数据以及拒绝服务攻击行为特征数据至数据库中；协议应用分析模块用于匹配各设备之间当前的传输方式，通过传输方式预测不同设备间进行数据传输采用的协议类型，筛选出所有通过串行协议进行通信的设备，协议类型包括串行通信协议和并行通信协议；数据传输方式分析模块用于定位当前所有正在进行串行通信数据传输的设备，获取数据链路，依据数据链路的指向测试数据链路上数据传输的方向，统计所有设备所处数据传输链路个数及方向，筛选出进行广播通信的设备；协议攻击安全检测模块用于对筛选出的设备进行集中安全检测，匹配拒绝服务攻击特征，将匹配结果传输到攻击防御预警模块中；攻击防御预警模块用于分析匹配结果，匹配成功后发出预警信号，进行拒绝服务攻击防御工作。
[0033]
通信数据采集模块包括传输信息采集单元和dos攻击特征采集单元，通过传输信息采集单元采集串行通信数据传输方式与并行通信数据传输方式，通过dos攻击特征采集单元采集拒绝服务攻击特征数据，将采集到的所有数据传输到数据库中。
[0034]
协议应用分析模块包括传输方式分析单元和协议类型预测单元，通过传输方式分析单元测试当前各设备之间数据传输方式，与采集到的串、并行通信传输数据的方式特征进行比对，将比对结果传输到协议类型预测单元中，通过协议类型预测单元预测对应数据传输过程依据的通信协议类型并筛选出通过串行协议进行通信的设备。
[0035]
数据传输方式分析模块包括传输设备定位单元、数据链路获取单元、传输方向测试单元和传输方式检测单元，通过传输设备定位单元定位当前正在进行串行通信数据传输的设备，通过数据链路获取单元获取所有相互通信的设备间的传输数据链路，通过传输方
向测试单元测试所有数据链路的数据传输方向，通过广播通信筛选单元统计所有设备所处数据传输链路个数及方向，筛选出进行广播通信的设备。
[0036]
协议攻击安全检测模块包括安全集中检测单元和检测结果匹配单元，通过安全集中检测单元对筛选出的设备进行集中安全检测，通过检测结果匹配单元将检测结果与数据库中的拒绝服务特征数据进行匹配，将匹配结果传输到攻击防御预警模块中，通过攻击防御预警模块分析匹配结果，在匹配成功后发出预警信号，进行拒绝服务攻击防御工作。
[0037]
一种基于工业协议的安全检测方法，其特征在于：包括以下步骤：
[0038]
s1：采集设备间通信传输方式以及拒绝服务攻击特征数据；
[0039]
s2：匹配分析当前设备间的传输方式，预测数据传输采用的协议类型，筛选出通过串行协议进行通信的设备；
[0040]
s3：定位所有串行通信设备，获取数据传输链路，测试数据传输方向；
[0041]
s4：统计所有设备所处数据传输链路个数及方向，筛选出进行广播通信的设备相关链路；
[0042]
s5：对筛选出的链路进行集中安全检测，匹配拒绝服务攻击特征，匹配成功后发出预警信号，进行攻击防御工作。
[0043]
在步骤s1-s2中，利用传输信息采集单元采集到设备串行通信每次传输的数据量为1，采集到设备并行通信每次传输的数据量为a，单位为：比特，利用dos攻击特征采集单元采集受到拒绝服务攻击的数据传输特征，将采集到的所有数据传输到数据库中，利用传输方式分析单元统计到各设备间的已传输的数据量集合为b＝{b1，b2，...，bn}，已传输的次数集合为a＝{a1，a2，...，an}，根据下列公式计算随机一个数据传输过程中的单位传输数据量bi：
[0044][0045]
其中，n表示正在进行的数据传输个数，bi和ai分别表示随机一个数据传输过程中已传输的数据量和已传输的次数，比较采集到的串、并行通信每次传输数据量和bi：若bi＞1，说明该数据传输方式为并行通信传输，预测采用的协议为并行通信协议；若bi＝1，说明该数据传输方式为串行通信传输，预测采用的协议为串行通信协议，筛选出所有通过串行协议进行通信的设备，依据已传输的数据量和传输次数计算设备每次传输的数据量的目的在于与串、并行通信每次传输的数据量进行比对，确认数据通信方式，便于提高预测数据通信采用的协议类型的准确性，筛选出串行通信设备能够减轻后续判断设备是否正在进行广播通信的工作量。
[0046]
在步骤s3中：利用传输设备定位单元定位所有通过串行协议进行通信的设备位置，定位到设备的位置坐标集合为(x，y)＝{(x1，y1)，(x2，y2)，...，(xm，ym)}，其中，m表示通过串行协议进行通信的设备个数，利用数据链路获取单元获取到设备所在的数据链路，利用传输方向测试单元测试到随机一个设备发送数据到其它所有设备的数据链路向量坐标集合为(x，y)＝{(x
1-xi，y
1-yi)，...，(x
i-1-xi，y
i-1-yi)，(x
i 1-xi，y
i 1-yi)，...，(x
m-xi，y
m-yi)}，测试到当前该设备所在数据链路的向量坐标集合为(x
测
，y
测
)＝{(x
测1
，y
测1
)，(x
测2
，y
测2
)，...，(x
测k
，y
测k
)}，其中，k表示当前该设备所在数据链路数量，根据下列公式计算随机一条链路与该设备发送数据到其它任意一个设备的数据链路夹角αj：
[0047][0048]
其中，xj和yj分别表示该设备发送数据到其它任意一个设备的数据链路向量的横、纵坐标，x
测j
和y
测j
分别表示当前该设备所在数据链路向量的横、纵坐标，得到随机一条链路与该设备发送数据到其它所有设备的数据链路向量夹角集合为α＝{α1，α2，...，α
m-1
}，将夹角集合发送到广播通信筛选单元中，通过向量坐标方式计算链路夹角的目的在于判断所有设备的当前发、收数据情况，以便统计设备发送数据链路数量，判断对应设备是否正在进行广播通信，有利于及时作出预警，有针对性地对对应数据传输过程进行集中安全检测，便于提高安全检测效率和精度。
[0049]
利用广播通信筛选单元分析夹角度数：若αj＝0
°
，说明当前该设备正向对应设备发送数据；若αj＝180
°
，说明当前该设备正在接收对应的设备发送的数据；若αj≠0
°
且αj≠180
°
，说明当前该设备与对应设备之间并未在传输数据，统计到该设备发送数据至其它设备的链路数量为c，接收其它设备发送的数据的链路数量为c，c c＝k，若c》1，说明该设备当前正在进行广播通信，按照相同方式判断其它设备当前是否正在进行广播通信，筛选出所有正在进行广播通信的设备发送数据至其它设备的链路至安全集中检测单元中。
[0050]
利用安全集中检测单元对筛选出的链路进行集中安全检测，利用检测结果匹配单元匹配对应链路上的数据传输是否符合数据库中受到拒绝服务攻击的数据传输特征：若匹配不成功，说明对应数据传输过程未受到拒绝服务攻击，继续进行安全检测；若匹配成功，说明对应数据传输过程正受到拒绝服务攻击，利用攻击防御预警模块发出预警信号，并进行拒绝服务攻击防御工作，能够有效避免部分数据传输受到dos攻击而导致数据传输延迟甚至于泄露的风险。
[0051]
实施例一：利用传输信息采集单元采集到设备串行通信每次传输的数据量为1，采集到设备并行通信每次传输的数据量为a＝16bit，利用传输方式分析单元统计到各设备间的已传输的数据量集合为b＝{b1，b2，b3，b4，b5}＝{20，10，30，15，40}，单位为：字节，已传输的次数集合为a＝{a1，a2，a3，a4，a5}＝{160，80，15，120，20}，根据公式计算所有数据传输过程中的单位传输数据量分别为b1＝1bit，b2＝1bit，b3＝16bit，b4＝1bit，b1＝16bit，b1＝1，b2＝1，b4＝1，对应数据传输方式为串行通信传输，预测采用的协议为串行通信协议，筛选出所有通过串行协议进行通信的设备，利用传输设备定位单元定位所有通过串行协议进行通信的设备位置，定位到设备的位置坐标集合为(x，y)＝{(x1，y1)，(x2，y2)，(x3，y3)}＝{(2，3)，(1，1)，(3，4)}，利用传输方向测试单元测试到设备1发送数据到其它设备的数据链路向量坐标集合为(x，y)＝{(x
2-x1，y
2-y1)，(x
3-x1，y
3-y1)}＝{(-1，-2)，(1，1)}，测试到设备1所在数据链路的向量坐标集合为(x
测
，y
测
)＝{(x
测1
，y
测1
)，(x
测2
，y
测2
)，(x
测3
，y
测3
)}＝{(-1，-2)，(-1，-1)，(1，1)}，根据公式计算所有链路与设备1发送数据到其它设备的数据链路夹角α1＝0
°
，α2＝180
°
，α3＝0
°
，说明设备1发送正发送数据至设备2和设备3，设备1同时在接收设备3发送的数据，统计到设备1发送数据至其它设备的链路数量为2》1，设备1当前正在进行广播通信，按照相同方式判断设备3当前正
在进行广播通信，设备2未进行广播通信，筛选出设备1和设备3发送数据至其它设备的链路至安全集中检测单元中，对筛选出的链路进行集中安全检测，在检测到对应数据传输过程正受到拒绝服务攻击时，利用攻击防御预警模块发出预警信号，并进行拒绝服务攻击防御工作。
[0052]
最后应说明的是：以上所述仅为本发明的优选实例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。