[发明专利]一种检测工控网络应用层协议报文长度异常的方法

摘要

本发明公开了一种检测工控网络应用层协议报文长度异常的方法，根据设备的基于TCP的应用层协议报文长度采样样本、基于UDP的应用层协议报文长度采样样本以及基于二层的应用层协议报文长度采样样本，计算出设备的基于不同传输层的应用层协议报文长度可信区间。在检测阶段，应用层协议报文长度采样值落入可信区间的外部是小概率事件，或者是不可能事件，从而判断设备的应用层协议报文是否异常。本发明期望提供一种方法，能够检测出网络中应用层协议报文的异常情况，特别是工业网络中的异常应用层协议报文，从而有效地发出警告信息。该方法不需要对网络流量进行协议的深度解析，可以与白名单方法结合起来使用。

主权项

1.一种检测工控网络应用层协议报文长度异常的方法，其特征在于：S1、利用网络中部署的探针设备采集网络流量，对网络中的每台设备的不同传输层之上的应用层协议报文长度进行采样，形成各个设备的不同传输层之上的应用层协议报文长度采样样本；设定我们总共对M台设备进行基于TCP的应用层协议报文长度采样，则可以获得如下表所示的采样样本数据；设定设备m的基于TCP的应用层协议报文长度采样样本个数是N_m,tcp，表示设备m的基于TCP的应用层协议报文长度采样样本中的第n个采样点；S2、同理获得对M台设备进行基于UDP的应用层协议报文长度采样数据，假定设备m的基于UDP的应用层协议报文长度采样样本个数是N_m,udp，表示设备m的基于UDP的应用层协议报文长度采样样本中的第n个采样点；S3、同理获得对M台设备进行基于二层的应用层协议报文长度采样数据；假定设备m的基于二层的应用层协议报文长度采样样本个数是N_m,L2，表示设备m的基于二层的应用层协议报文长度采样样本中的第n个采样点；S4、根据设备应用层协议报文长度的采样样本计算出可信区间，每台设备的基于TCP的应用层协议报文长度样本的采样最大值，采样最小值、样本均值、以及样本标准差；对设备m的基于TCP的应用层协议报文长度采样样本计算公式如下：基于TCP的应用层协议报文长度采样最大值计算方法：基于TCP的应用层协议报文长度采样最小值计算方法：基于TCP的应用层协议报文长度样本均值计算方法：基于TCP的应用层协议报文长度样本标准差计算方法：基于TCP的应用层协议报文长度可信区间计算方法：基于TCP的应用层协议报文长度可信区间上限计算方法：基于TCP的应用层协议报文长度可信区间下限计算方法：如果如果基于TCP的应用层协议报文长度可信区间为可信区间下限到可信区间上限的闭区间：根据相同的算法，可以得到基于UDP的应用层协议报文长度可信区间和基于二层的应用层协议报文长度可信区间为：经过统计计算后，得到设备m的应用层协议报文长度可信区间如下表所示：S5、检测，针对探针设备所抓取的报文，解析出应用层协议报文长度，以及该应用层协议报文所基于的传输层类型；将解析出的应用层协议报文长度与该设备的对应的传输层类型的应用层协议报文长度可信区间进行比较；S6、异常应用层协议报文长度判断如果解析出的应用层协议报文长度在可信区间内，则认为设备的解析出的应用层协议报文长度正常；否则认为设备的解析出的应用层协议报文长度异常。