(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210939138.2 (22)申请日 2022.08.05 (71)申请人 四川启睿 克科技有限公司 地址 610000 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区天府四街 199号1栋33层 (72)发明人 何精铭　 (74)专利代理 机构 四川省成 都市天策商标专利 事务所(有限合 伙) 51213 专利代理师 刘兴亮 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种工业互联网的入侵 检测系统及方法 (57)摘要 本发明公开了一种工业互联网的入侵检测 系统及方法， 所述系统包括通信接口模块、 签名 验证模块、 报文检测模块、 日志记录模块、 指令下 发模块； 通信接口模块用于工业互联网与对外开 放网络的通信； 签名验证模块用于验证输入进内 部网络的数据签名； 报文检测模块用于对网络流 量进行入侵检测； 日志记录模块用于对来往数据 以及检测结果进行记录； 指令下发模块用于在的 报文检测模块得出结论后， 决定要不要将包发送 到内网的模块， 如果结果安全， 就继续转发相关 请求， 如果不安全， 则拒绝转发， 保证内网的安 全。 本发明可以在大量数据实时传输中高校检 测， 符合工业互联网的应用实际， 在不安全的流 量进入时， 高效准确的检测方式， 避免黑客的外 部攻击。 权利要求书2页 说明书5页 附图1页 CN 115277244 A 2022.11.01 CN 115277244 A 1.一种工业互联网的入侵检测系统， 其特征在于， 包括通信接口模块、 签名验证模块、 报文检测模块、 日志 记录模块、 指令下发模块； 所述通信接口模块用于 工业互联网与对外开 放网络的通信； 所述签名验证模块用于验证输入进内部网络的数据签名； 所述报文检测模块用于对网络流 量进行入侵检测； 所述日志 记录模块用于对来往数据以及检测结果进行记录； 所述指令下发模块用于对检测后安全的通信数据执行相关请求的模块或对不安全的 通信请求进行报警； 网络流量从通信接口模块进入， 通过签名验证模块验签， 由报文检测模块对请求报文 进行安全性检测， 检测结果记录在日志记录模块， 最后通过指 令下发模块进行执行， 转 发数 据包到内网。 2.如权利要求1所述一种工业互联网的入侵检测系统， 其特征在于， 所述通信 接口模块 将进入内部网络的数据送到所述签名验证模块， 没有通过签名验证的数据被所述日志记录 模块记录， 通过验证的数据进入到所述报文检测模块， 进入的数据和检测结果被所述日志 记录模块进行记录， 最后由所述指令下发模块 根据结果决定执 行还是报警。 3.如权利要求1所述一种工业互联网的入侵检测系统， 其特征在于， 在IP数据报文通过 所述的报文检测模块时， 通过读取数据段载荷信息对OSI协 议层的应用层重组， 按照检测模 块预先规定的策略对网络数据流进行检测。 4.如权利要求1所述一种工业互联网的入侵检测系统， 其特征在于， 所述日志记录模块 用于对签名验证和报文检测过程和结果的记录， 并对有问题的数据及其 来源进行示警。 5.如权利要求1所述一种工业互联网的入侵检测系统， 其特征在于， 所述报文检测模块 包括端口识别模块、 协议 解析模块、 特 征匹配模块和统计分析模块四个部分； 所述端口识别模块用于初步判断请求的流量是否安全， 是否是协议目的端口， 是否请 求了某些危险系数较高的端口， 初步检验请求的安全性； 所述协议解析模块用于输入的流量进行分类， 通过负载中协议头部的信 息或者协议的 行为来进行识别， 为 安全性的判断提供依据； 所述特征匹配模块使用正则表达 式进行匹配， 兼容各个请求和使用场景以及不同的硬 件； 所述统计分析模块用于将所述的端口识别、 所述的协议解析和所述的特征匹配得出的 结果进行统计归类， 并记录数据包长度、 传输层协议、 流分组的到达间隔时间、 流开始和停 止的时间戳的信息 。 6.如权利要求1所述一种工业互联网的入侵检测系统， 其特征在于， 所述签名验证模块 将通过约定的复杂的签名算法验证流 量的来源和信息是否安全。 7.如权利要求1所述一种工业互联网的入侵检测系统， 其特征在于， 所述日志记录模块 记录了所有进入的数据， 包括安全的流量以及没有通过所述的签证签名模块的数据和所述 的报文检测模块判断为 不安全的数据。 8.如权利要求1所述一种工业互联网的入侵检测系统， 其特征在于， 所述指令下发模块 用于在所述的报文检测模块得出结论后， 决定要不要将包发送到内网的模块， 如果结果安 全， 就继续 转发相关请求， 如果 不安全， 则拒绝 转发， 保证内网的安全。权　利　要　求　书 1/2 页 2 CN 115277244 A 29.一种工业互联网的入侵检测方法， 其特 征在于， 包括以下步骤： 步骤1， 外 部通过通信接口模块传进一个请求； 步骤2， 该请求包进入到签 证签名模块； 步骤3.1， 验签成功， 数据进入报文检测模块。 若验签失败， 数据将被日志记录模块记录 下来并报警； 步骤3.2， 进入报文检测模块的请求包， 通过端口识别， 初步检验数据请求的安全性； 若 为正常端口， 属于正常请求， 进入下一步。 若为敏感端口， 此时对该请求的安全存疑， 还需要 继续检测； 步骤3.3， 对 包进行协议 解析； 步骤3.4， 对报文的有效载荷进行 特征匹配； 步骤3.5， 对上述检测结果进行记录并且统计分析 结果， 综合判断该请求的安全性； 步骤4， 将上述结果记录 到日志记录模块； 步骤5， 根据判断的结果进行 执行。权　利　要　求　书 2/2 页 3 CN 115277244 A 3