(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210995536.6 (22)申请日 2022.08.19 (65)同一申请的已公布的文献号 申请公布号 CN 115065568 A (43)申请公布日 2022.09.16 (73)专利权人 北京珞安科技有限责任公司 地址 100089 北京市海淀区中关村东路18 号1号楼13层A-16 03 (72)发明人 张晓东　孔令武　关勇　 (74)专利代理 机构 无锡苏元专利代理事务所 (普通合伙) 32471 专利代理师 王清伟 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01)(56)对比文件 WO 201720 6499 A1,2017.12.07 CN 108737417 A,2018.1 1.02 CN 1094746 07 A,2019.0 3.15 CN 110401642 A,2019.1 1.01 CN 111031006 A,2020.04.17 CN 111343032 A,2020.0 6.26 CN 111600863 A,2020.08.28 CN 113098846 A,2021.07.09 CN 114584401 A,202 2.06.03 审查员 张琦 (54)发明名称 一种工控网络入侵 检测方法及系统 (57)摘要 本发明涉及入侵检测技术领域， 具体公开了 一种工控网络入侵检测方法及系统。 本发明通过 构建工控网络中与多个运行设备的运行会话框， 进行运行会话记录， 生成多个会话记录数据； 实 时提取实时会话数据， 对实时会话数据进行攻击 检测； 标记攻击会话数据， 进行攻击溯源分析， 进 行入侵攻击溯源 过滤； 对多个会话记录数据进行 泄露行为检测， 在存在泄露行为时， 进行入侵泄 露处理。 能够构建工控网络中多个运行设备的运 行会话框， 按照多个运行会话框对应的实时会话 数据进行攻击检测和泄露行为检测， 进而按照不 同的检测结果， 进行入侵攻击溯源 过滤和入侵泄 露处理， 实现外部和内部的入侵检测与处理， 从 而提供全面的入侵检测， 为工控网络提供更加安 全的环境。 权利要求书2页 说明书8页 附图6页 CN 115065568 B 2022.12.20 CN 115065568 B 1.一种工控网络入侵检测方法， 其特 征在于， 所述方法具体包括以下步骤： 进行工控网络实时运行监测， 构建工控网络中与多个运行设备的运行会话框， 进行运 行会话记录， 生成多个会话记录数据； 实时提取多个所述会话记录数据中的实时会话数据， 对所述实时会话数据进行攻击检 测； 将存在攻击的实时会话数据标记为攻击会话数据， 通过对对应的会话记录数据进行攻 击溯源分析， 进行入侵攻击溯源过 滤； 对多个所述会话记录数据进行泄露行为检测， 并在存在泄露行为时， 进行入侵泄露处 理； 所述进行工控网络实时运行监测， 构建工控网络中与多个运行设备的运行会话框， 进 行运行会话记录， 生成多个会话记录数据具体包括以下步骤： 进行工控网络实时运行监测， 生成运行监测信息； 根据所述 运行监测信息， 创建多个运行设备对应的运行会话框； 按照所述 运行监测信息， 在多个所述 运行会话框进行会话构建， 生成运行会话数据； 按照多个所述 运行会话框， 进行运行会话数据的过程记录， 生成多个会话记录数据。 2.根据权利要求1所述的种工控 网络入侵检测方法， 其特征在于， 所述方法还包括以下 步骤： 对多个所述会话记录数据进行流量分析， 更新生成多个流量占用数据， 按照多个所述 流量占用数据， 对多个所述 运行设备进行共享带宽控制。 3.根据权利要求1所述的工控 网络入侵检测方法， 其特征在于， 所述实时提取多个所述 会话记录数据中的实时会话数据， 对所述实时会话数据进行攻击检测具体包括以下步骤： 实时提取多个所述会话记录数据中的实时会话数据； 按照预设的多个攻击特征， 对多个所述实时会话数据进行攻击检测， 生成攻击检测信 息。 4.根据权利要求3所述的工控 网络入侵检测方法， 其特征在于， 所述将存在攻击的实时 会话数据标记为攻击会话数据， 通过对对应的会话记录数据进行攻击溯源分析， 进行入侵 攻击溯源过 滤具体包括以下步骤： 根据所述 攻击检测信息， 进行攻击判断； 在存在攻击时， 将对应的实时会话数据标记为 攻击会话数据； 对所述攻击会话数据对应的运行设备进行运行溯源分析， 确定溯源攻击网站； 配置网站访问策略， 屏蔽所述溯源攻击网站。 5.根据权利要求1所述的工控 网络入侵检测方法， 其特征在于， 所述对多个所述会话记 录数据进行泄 露行为检测， 并在存在泄 露行为时， 进行入侵泄 露处理具体包括以下步骤： 提取多个所述会话记录数据中的传输信息； 对多个所述传输信息进行泄 露检测， 生成泄 露检测结果； 按照所述泄 露检测结果， 判断是否存在泄 露行为； 在存在泄 露行为时， 进行入侵泄 露处理。 6.根据权利要求2所述的工控 网络入侵检测方法， 其特征在于， 所述对多个所述会话记 录数据进 行流量分析， 更新生成多个流量占用数据， 按照多个所述流量占用数据， 对多个所权　利　要　求　书 1/2 页 2 CN 115065568 B 2述运行设备进行共享带宽控制具体包括以下步骤： 实时对多个所述会话记录数据进行流量分析更新， 生成多个与运行设备对应的流量占 用数据； 根据多个所述 流量占用数据进行流 量占比规划， 生成流 量占比规划信息； 按照所述 流量占比规划信息， 对多个所述 运行设备进行共享带宽控制。 7.一种工控网络入侵检测系统， 其特征在于， 所述系统包括运行会话构建单元、 会话攻 击检测单 元、 攻击分析处 理单元和泄露检测处 理单元， 其中： 运行会话构建单元， 用于进行工控网络实时运行监测， 构建工控网络中与多个运行设 备的运行会话框， 进行运行会话记录， 生成多个会话记录数据； 会话攻击检测单元， 用于实时提取多个所述会话记录数据中的实时会话数据， 对所述 实时会话数据进行攻击检测； 攻击分析处理单元， 用于将存在攻击的实时会话数据标记为攻击会话数据， 通过对对 应的会话记录数据进行攻击溯源分析， 进行入侵攻击溯源过 滤； 泄露检测 处理单元， 用于对多个所述会话记录数据进行泄露行为检测， 并在存在泄露 行为时， 进行入侵泄 露处理； 所述运行会话构建单 元具体包括： 运行监测模块， 用于进行工控网络实时运行监测， 生成运行监测信息； 会话框创建模块， 用于根据所述 运行监测信息， 创建多个运行设备对应的运行会话框； 会话构建模块， 用于按照所述运行监测信 息， 在多个所述运行会话框进行会话构建， 生 成运行会话数据； 过程记录模块， 用于按照多个所述运行会话框， 进行运行会话数据的过程记录， 生成多 个会话记录数据。 8.根据权利要求7所述的工控 网络入侵检测系统， 其特征在于， 所述泄露检测处理单元 具体包括： 信息提取模块， 用于提取多个所述会话记录数据中的传输信息； 泄露检测模块， 用于对多个所述传输信息进行泄 露检测， 生成泄 露检测结果； 泄露判断模块， 用于按照所述泄 露检测结果， 判断是否存在泄 露行为； 泄露处理模块， 用于在存在泄 露行为时， 进行入侵泄 露处理。权　利　要　求　书 2/2 页 3 CN 115065568 B 3