[发明专利]一种面向工控网络的高效入侵检测系统

权利要求书

1.一种面向工控网络的高效入侵检测系统，其特征在于，包括数据包捕获系统，数据包解析系统和基于TensorFlow的检测系统，所述数据包捕获系统采用DPDK进行数据包捕获，然后数据包解析系统将捕获的数据包进行层层解析，提取特征入队到共享内存中；所述基于TensorFlow的检测系统加载离线训练的模型，不断从所述共享内存中取出提取特征作为输入进行检测，最后把检测结果上送至Web端；所述基于TensorFlow的检测系统的检测流程是首先初始化检测引擎，然后从文件中加载训练好的检测系统机器学习模型，从所述共享内存中取出所述提取特征进行模型推断输出检测结果，并进行检测是否收到结束的信号，如果状态为否，则继续从所述共享内存中取出所述提取特征进行模型推断，如果状态为是，整个TensorFlow的检测系统的检测流程结束；所述数据包捕获系统使用Intel DPDK进行抓包的方式为轮询驱动方式，并通过设置CPU亲和性，将数据包处理线程绑定到固定核心；所述数据包捕获系统采用无锁结构，数据包队列缓存和包括两个线程之间的数据交换均采用无锁队列进行数据交换；所述数据包捕获系统实现两种线程模型，包括多线程模型和Pipeline模型，所述多线程模型适用于网卡或者网卡队列较多且流量比较均衡的场景，首个模块完成抓包，其他模块依次处理，直至最后上报警报信息；所述Pipeline模型，Pipeline模型适用于网卡或者网卡队列较少，对于同一个网卡队列，只用一个线程去取回数据包。

2.如权利要求1所述的系统，其特征在于，所述数据包解析系统采用插件式的报文解析模块，将不同的处理功能按照统一的结构化的模板封装成具有相同接口的插件类，所述插件类被编译为不同的动态链接库，在需要调用时加载，然后程序按照配置文件加载相应的插件式的报文解析模块。

3.如权利要求2所述的系统，其特征在于，所述插件化的报文协议解析模块包括协议识别函数和协议解析函数；所述协议识别函数进行识别数据包的具体协议，对于工控协议通过识别特定字段或者识别特定的特征值；在所述协议识别函数识别出具体协议后，调用所述协议解析函数进行深度解析，解析出协议中各个字段的值。