(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111350486.8 (22)申请日 2021.11.15 (71)申请人 北京天地和兴科技有限公司 地址 100000 北京市石景山区东北旺西路8 号中关村软件园8号楼三层316室 (72)发明人 王小东　韩飞　 (74)专利代理 机构 北京劲创知识产权代理事务 所(普通合伙) 11589 代理人 田亚飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种工控网络服务器非法外联检测装置及 检测方法 (57)摘要 本发明公开了一种工控网络服务器非法外 联检测装置及检测方法， 包括配置站、 多个服务 器、 非法外联规则配置模块、 非法外联流量检测 模块和数据库模块； 包括以下步骤： 步骤1： 通过 配置站对工控网络服务器非法外联检测装置进 行检测规则配置， 非法外联检测装置加载该规 则； 步骤2： 非法外联检测装置基于非法外联检测 规则对服务器流量进行检测， 发现非法外联事件 时产生告警事件。 本发明采用旁路方式接入服务 器所在工控网络中， 对网络流量进行监听， 安全 管理员可以在该装置上， 统一的针对 该网络中所 有的服务器装置上灵活的配置工控网络服务器 非法外联规则， 并通过报警信息告知工控网络安 全管理员采 取相应的措施， 避免敏感信息的泄密 和非法入侵的攻击 。 权利要求书1页 说明书3页 附图2页 CN 114172693 A 2022.03.11 CN 114172693 A 1.一种工控网络服务器非法外联检测装置， 包括配置站、 多个服务器、 非法外联规则配 置模块、 非法外联流量检测模块和数据库模块， 其特征在于， 所述配置站的输出端与非法外 联规则配置模块的输入端连接， 所述 非法外联规则配置模块的输出端与数据库模块的输入 端连接， 所述数据库模块和多个服 务器的输出端与非法外联流 量检测模块的输入端连接 。 2.根据权利要求1所述的一种工控 网络服务器非法外联检测装置， 其特征在于， 所述数 据库模块包括非法外联规则库和非法外联告警库。 3.根据权利要求1所述的一种工控 网络服务器非法外联检测装置， 其特征在于， 多个所 述服务器的输出端与非法外联流 量检测模块的输入端通过流 量镜像口连接 。 4.根据权利要求1所述的一种工控 网络服务器非法外联检测装置， 其特征在于， 所述非 法外联规则配置模块负责记录管理人员配置的工控网络服务器非法外联检测 规则的配置 信息， 并将检测规则保存至数据库模块。 5.根据权利要求1所述的一种工控 网络服务器非法外联检测装置， 其特征在于， 所述非 法外联流量检测模块负责读取并加载工控网络服务器非法外联检测规则， 并对交换机镜像 流量进行非法外联检测， 如检测出异常则产生工控网络服 务器非法外联检测告警。 6.根据权利要求1所述的一种工控 网络服务器非法外联检测装置， 其特征在于， 所述非 法外联流 量检测模块采用旁路方式接入服 务器所在工控网络中。 7.一种工控网络服 务器非法外联的检测方法， 其特 征在于， 包括以下步骤： 步骤1： 通过配置站对工控 网络服务器非法外联检测装置进行检测规则配置， 非法外联 检测装置加载 该规则； 步骤2： 非法外联检测装置基于非法外联检测规则对服务器流量进行检测， 发现非法外 联事件时产生告警事 件。权　利　要　求　书 1/1 页 2 CN 114172693 A 2一种工控网 络服务器非法外联检测装 置及检测方 法 技术领域 [0001]本发明涉及工控网络服务器监控技术领域， 尤其涉及一种工控网络服务器非法外 联检测装置及检测方法。 背景技术 [0002]当前， 随着工业化和信息化的深度 融合以及物联网的快速发展， 工控系统面临的 风险点在逐步增多。 各种保 障信息数据机密性、 完整性和真实性的防范手段正被人们在工 控网络领域中积极推广。 由于工控网络中设备 的重要性， 更需要对对工控网络中的服务器 在未授权的情况下非法连接外部网络的设备的情况进 行实时监控， 并希望能及时通过报警 信息告知工控网络安全管理员采取相应的措施， 避免敏感信息的泄密和非法入侵的攻击 。 [0003]现有工控网络中， 安全管理人员会在服务器上安装主机防护系统， 在其上部署非 法外联检测规则用来监控各个服务器主机的外联情况， 并做出相关的限制， 并且将信息上 报给集中管理平台。 [0004]但是技术中需要分别在每台服务器上的主机防护系统上部署对应的非法外联检 测规则， 配置分散并且效率低下。 发明内容 [0005]1.要解决的技 术问题 [0006]本发明的目的是为了解决现有技术中需要分别在每台服务器上的主机防护系统 上部署对应的非法外联检测 规则， 配置分散并且效率低下 的问题， 而提出 的一种工控网络 服务器非法外联检测装置及检测方法。 [0007]2.技术方案 [0008]为了实现上述目的， 本发明采用了如下技 术方案： [0009]一种工控网络服务器非法外联检测装置， 包括配置站、 多个服务器、 非法外联规则 配置模块、 非法外联流量检测模块和数据库模块， 所述配置站的输出端与非法外联规则配 置模块的输入端连接， 所述非法外联规则配置模块的输出端与数据库模块的输入端连接， 所述数据库模块和多个服 务器的输出端与非法外联流 量检测模块的输入端连接 。 [0010]优选地， 所述数据库模块包括非法外联规则库和非法外联告警库。 [0011]优选地， 多个所述服务器的输出端与非法外联流量检测模块的输入端通过流量镜 像口连接 。 [0012]优选地， 所述非法外联规则配置模块负责记录管理人员配置的工控网络服务器非 法外联检测规则的配置信息， 并将检测规则保存至数据库模块。 [0013]优选地， 所述非法外联流量检测模块负责读取并加载工控网络服务器非法外联检 测规则， 并对交换机镜像流量进行非法外联检测， 如检测出异常则产生工控网络服务器非 法外联检测告警。 [0014]优选地， 所述非法外联流 量检测模块采用旁路方式接入服 务器所在工控网络中。说　明　书 1/3 页 3 CN 114172693 A 3