[发明专利]异常操作的检测方法、装置和电子设备

说明书

本发明提供了一种异常操作的检测方法、装置和电子设备，包括：获取网络数据流和协议规则签名；在网络数据流中获取与待检测协议相匹配的待检测网络数据流；调用目标协议解析器对待检测网络数据流进行解析，并将解析结果与异常功能码进行匹配；如果解析结果与异常功能码匹配，则将待检测网络数据流对应的操作确定为异常操作。本发明的方法是基于异常功能码实现的对待检测网络数据流进行的检测，能够应对复杂多样的工业控制系统网络，检测得到的异常操作更加准确，精度高。

技术领域

本发明涉及网络安全的技术领域，尤其是涉及一种异常操作的检测方法、装置和电子设备。

背景技术

新基建是数字化进一步深入的加速器，越来越多的政企业务运营在数字化之上，随着信息化和工业化的逐步融合，工业控制系统的信息化程度越来越高。通用软硬件和网络设施的广泛使用，打破了传统工业控制系统原本的“隔离保护”，在不断促进工业互联网发展的同时，传统IT网络所面临的安全问题逐渐渗透到工业互联网中。然而，与传统IT网络相比，工业互联网的特征更加复杂，不仅涉及的种类更多，所使用的共有协议或私有协议也更多，同时对整个工业系统生产环境的稳定性、实时性要求更高，所以对工业互联网构成安全威胁的因素也就更多。

现有技术更多采用硬编码匹配数据流特殊字符串的编码匹配方式，这样的异常操作检测方式更适应于服务协议较少、协议结构设计复杂的IT协议，将上述检测方式应用于工业互联网中，容易检测到包含相应特殊字符串但属于正常功能的数据包，从而导致误报。

综上，现有的异常操作的检测方法存在准确性差的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种异常操作的检测方法、装置和电子设备，以缓解现有的异常操作的检测方法准确性差的技术问题。

第一方面，本发明实施例提供了一种异常操作的检测方法，包括：

获取网络数据流和协议规则签名，其中，所述协议规则签名携带有待检测协议的信息和所述待检测协议对应的异常功能码；

在所述网络数据流中获取与所述待检测协议相匹配的待检测网络数据流；

调用目标协议解析器对所述待检测网络数据流进行解析，并将解析结果与所述异常功能码进行匹配，其中，所述目标协议解析器为与所述待检测网络数据流的协议相同的协议解析器；

如果所述解析结果与所述异常功能码匹配，则将所述待检测网络数据流对应的操作确定为异常操作。

进一步的，在获取网络数据流和协议规则签名之前，所述方法还包括：

获取自定义的规则文件；

对所述规则文件进行解析，得到所述规则文件中所包含的所述待检测协议的信息和所述待检测协议对应的异常功能码的信息；

将所述异常功能码的信息注册到与所述待检测协议的信息对应的协议规则签名中，得到所述协议规则签名。

进一步的，获取网络数据流，包括：

调用内核模块获取网卡的初始网络数据流；

对所述初始网络数据流进行解码，得到解码后的网络数据流；

对所述解码后的网络数据流进行数据包重组，得到所述网络数据流。

进一步的，在在所述网络数据流中获取与所述待检测协议相匹配的待检测网络数据流之后，在调用目标协议解析器对所述待检测网络数据流进行解析之前，所述方法还包括：

判断所述待检测网络数据流对应的端口是否与所述目标协议解析器注册的端口相同；

如果相同，则调用所述目标协议解析器对所述待检测网络数据流进行解析。