| 发明名称 | 非法通信检测系统 | ||
| 摘要 | 本发明实现一种非法通信检测系统,其可以不依赖于FW的日志解析及IDS的设置、运用,而对在工厂网络内可能成为安全威胁的非法流量及其预兆进行检测。该非法通信检测系统通过镜像捕捉工厂网络中传输的数据包,对非法的通信进行检测,其特征在于,具有:存储单元,其预先存储可能在所述工厂网络中发生的对话的名单即对话白名单;对话判定分离部,其基于所述捕捉的数据包,判定对话是否成立,生成表示成立的对话的对话信息;以及第1非法通信检测单元,其将由所述对话判定分离部生成的所述对话信息与所述对话白名单进行比较,在与所述对话白名单中的任一个对话均不符合时,将该对话所涉及的通信作为非法的通信而检测出。 | ||
| 申请公布号 | CN102347872B | 申请公布日期 | 2016.03.02 |
| 申请号 | CN201110220699.9 | 申请日期 | 2011.08.02 |
| 申请人 | 横河电机株式会社 | 发明人 | 马场俊辅;铃木和也;和田英彦 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 北京天昊联合知识产权代理有限公司 11112 | 代理人 | 何立波;张天舒 |
| 主权项 | 一种非法通信检测系统,其通过镜像捕捉工厂网络中传输的数据包,对非法的通信进行检测,其特征在于,具有:存储单元,其预先存储可能在所述工厂网络中发生的对话的名单即对话白名单;对话判定分离部,其基于所述捕捉的数据包,判定对话是否成立,生成表示成立的对话的对话信息;以及第1非法通信检测单元,其将由所述对话判定分离部生成的所述对话信息与所述对话白名单进行比较,在与所述对话白名单中的任一个对话均不符合时,将该对话所涉及的通信作为非法的通信而检测出,所述对话判定分离部具有:对话检测用工作存储器,其将所述捕捉的数据包按照时间序列向多个存储器模块存储;对话信息用存储器,其将所述对话成立的数据包按照时间序列向多个存储器模块存储;数据处理单元,其在从所述对话检测用工作存储器的最旧的存储器模块内存储的数据包中,检测出成为与所述捕捉的数据包对应的对话的成立对象的数据包的情况下,在该捕捉的数据包中标记表示对话成立的成立信息,向最新的对话检测用工作存储器的存储器模块中存储;以及定期处理单元,在成为对应的对话的成立对象的数据包是未存储在所述对话检测用工作存储器中的所述捕捉的数据包的情况下,如果在所述对话信息用存储器中对该数据包标记并记录有表示对话成立的成立信息,则判定为存在对话成立的实际情况,基于该对话生成对话信息,并且,将该数据包向所述对话信息用存储器的最新的存储器模块中存储。 | ||
| 地址 | 日本东京 | ||