(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111410027.4 (22)申请日 2021.11.25 (71)申请人 北京国泰网信科技有限公司 地址 100195 北京市海淀区昆明湖南路51 号B座3层3 03号 申请人 成都国泰网信科技有限公司 (72)发明人 李欣　李元正　于永磊　王思同　 陈君　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 代理人 张杰 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) H04L 41/069(2022.01)G06F 21/57(2013.01) (54)发明名称 一种工业系统中攻击检测的方法、 设备及介 质 (57)摘要 本发明公开了一种工业系统中攻击检测的 方法、 设备及介质， 其中方法包括以下步骤： S1： 采集工业控制网络报文； S2： 分析工业控制网络 报文， 获取协议 分析数据； S3： 对协议 分析数据与 规则进行匹配得到匹配结果， 对协议分析数据使 用检测代码分析得到分析结果， 匹配结果与分析 结果统称为检测结果； S4： 将检测结果上报到 kafka， 由中间件从kafka提取并持久化到数据 库， 形成攻击检测日志； S5： 将攻击检测日志通过 Syslog外发至第三方系统做统一 分析处理。 本发 明利用规则和代码检测工业系统的网络攻击， 提 高了攻击检测的准确率和效率， 通过syslog将攻 击检测数据发送至第三方系统做进一步的分析， 提高了攻击数据的利用率。 权利要求书1页 说明书4页 附图2页 CN 114205126 A 2022.03.18 CN 114205126 A 1.一种工业系统中攻击检测的方法， 其特 征在于， 包括以下步骤： S1： 采集工业控制网络报文； S2： 分析所述工业控制网络报文， 获取协议分析 数据； S3： 对所述协议分析数据与规则进行匹配得到匹配结果， 对所述协议分析数据使用检 测代码分析 得到分析 结果， 所述匹配结果与分析 结果统称为检测结果； S4： 将所述检测结果上报到k afka， 由中间件从kafka提取并持久化到数据库， 形成攻击 检测日志； S5： 将攻击检测日志通过Sysl og外发至第三方系统做统一分析处 理。 2.根据权利要求1所述的工业系统中攻击检测的方法， 其特征在于， 步骤S1中， 工业控 制网络中的所有主机均通过工业以太网协议连接到工业交换机， 通过工业交换机的镜像报 文来采集工业控制网络报文。 3.根据权利要求1所述的工业系统中攻击检测的方法， 其特征在于， 步骤S2中， 通过协 议深度解析引擎分析工业控制网络报文， 包括： 解析协议类型及协 议特征值， 解析各协 议流 量的大小， 提取源目的IP、 源目的MAC、 端口信息 。 4.根据权利要求1所述的工业系统中攻击检测的方法， 其特征在于， 步骤S3中的规则， 包括工业控制协议漏洞规则、 工业控制系统漏洞规则、 常见网络攻击规则， 通过Sur icata做 规则匹配。 5.根据权利要求1所述的工业系统中攻击检测的方法， 其特征在于， 步骤S3 中的检测代 码， 指根据攻击特 征编写的检测组件， 包括DOS/D DOCS攻击检测 和端口扫描检测。 6.根据权利要求1所述的工业系 统中攻击检测的方法， 其特征在于， 步骤S4中的kafka 是消息中间件的一种， 是基于zookeeper协调的分布式日志系统； 所述中间件 是由java开发 的业务处理功能模块， 从kafka 中读取消息并进行持久化到数据库的操作。 7.根据权利要求1所述的工业系统中攻击检测的方法， 其特征在于， 步骤S4中的攻击检 测日志， 包括发生时间、 事 件包长度、 源目的IP、 源目的MAC、 攻击内容及协议信息 。 8.根据权利要求1所述的工业系统中攻击检测的方法， 其特征在于， 步骤S5 中的第三方 系统， 包括态 势感知系统和安全管理平台， 能够对数据进行统一分析， 做出 预警动作。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处理器执行所述计算机程序时实现权利要求1 ‑8任一项所述的工业系统中攻击检 测的方法的步骤。 10.一种计算机可读存储介质， 存储有计算机程序， 其特征在于， 所述计算机程序被处 理器执行时实现权利要求1 ‑8任一项所述的工业系统中攻击检测的方法的步骤。权　利　要　求　书 1/1 页 2 CN 114205126 A 2一种工业系统中攻 击检测的方 法、 设备及介质 技术领域 [0001]本发明涉及信息安全技术领域， 尤其涉及一种工业系统中攻击检测的方法、 设备 及介质。 背景技术 [0002]近年来， 网络攻击事件频发， 互联 网上的木马、 蠕虫、 勒索软件层出不穷， 这对网络 安全形成了严重的威胁。 [0003]随着工业控制系统信息化程度的提高和工业化与信息化的深度融合， 来自信息网 络的安全问题逐步对工业控制系统造成极大威胁， 如木马、 病毒等， 针对工业控制网络的攻 击将成为一种常态。 当前在相关技术中攻击检测主要集中在解决互联网的网络安全问题。 目前， 现有的工业网络攻击检测方法主要依赖入侵检测系统， 不能完全适用于工业控制系 统， 误报率高， 检测效率低。 并且检测到攻击数据， 只保存在检测系统中， 数据利用率低。 发明内容 [0004]为了解决上述问题， 本发明提出一种工业系统中攻击检测的方法、 设备及介质， 可 提高攻击检测的准确率和效率。 [0005]本发明采用的技 术方案如下： [0006]一种工业系统中攻击检测的方法， 包括以下步骤： [0007]S1： 采集工业控制网络报文； [0008]S2： 分析所述工业控制网络报文， 获取协议分析 数据； [0009]S3： 对所述协议分析数据与规则进行匹配得到匹配结果， 对所述协议分析数据使 用检测代码分析 得到分析 结果， 所述匹配结果与分析 结果统称为检测结果； [0010]S4： 将所述检测结果上报到kafka， 由中间件从kafka提取并持久化到数据库， 形成 攻击检测日志； [0011]S5： 将攻击检测日志通过Sysl og外发至第三方系统做统一分析处 理。 [0012]进一步地， 步骤S1中， 工业控制网络中的所有主机均通过工业以太网协议连接到 工业交换机， 通过工业交换机的镜像报文来采集工业控制网络报文。 [0013]进一步地， 步骤S2中， 通过协议深度解析引擎分析工业控制网络报文， 包括： 解析 协议类型及协议特 征值， 解析 各协议流量的大小， 提取源目的IP、 源目的MAC、 端口信息 。 [0014]进一步地， 步骤S3中的规则， 包括工业控制协议漏洞规则、 工业控制系统漏洞规 则、 常见网络攻击规则， 通过Suricata做规则匹配。 [0015]进一步地， 步骤S3中的检测代码， 指根据攻击特征编写的检测组件， 包括DOS/ DDOCS攻击检测 和端口扫描检测。 [0016]进一步地， 步骤S4中的kafka是消息中间件的一种， 是基于zookeeper协调的分布 式日志系统； 所述中间件是由java开 发的业务处理功能模块， 从kafka中读取消息并进行持 久化到数据库的操作。说　明　书 1/4 页 3 CN 114205126 A 3