CN104702584B - 一种基于自学习规则的Modbus通信访问控制方法 - Google Patents
一种基于自学习规则的Modbus通信访问控制方法 Download PDFInfo
- Publication number
- CN104702584B CN104702584B CN201310683076.4A CN201310683076A CN104702584B CN 104702584 B CN104702584 B CN 104702584B CN 201310683076 A CN201310683076 A CN 201310683076A CN 104702584 B CN104702584 B CN 104702584B
- Authority
- CN
- China
- Prior art keywords
- modbus
- packet
- access control
- self
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于自学习规则的Modbus通信访问控制方法,该方法基于Netfilter/iptables技术架构,采用数据包深度解析技术实现了对工业控制系统中Modbus通信协议的深度解析,完成Modbus主站与Modbus从站之间数据通信的访问控制;工作于Modbus TCP/IP网络,支持TCP和UDP两种传输协议;具有自学习规则功能,通过设置自学习时间和自学习门限,实现对Modbus访问控制规则的自动生成。本发明可以检测和防范Modbus通信过程中的异常行为,保障工业控制系统的可靠性与安全性。
Description
技术领域
本发明涉及一种针对Modbus通信的访问控制方法,其可检测和防范Modbus主站向Modbus从站发起的异常请求,属于工业控制网络安全领域。
背景技术
随着信息化与工业化进程的不断交叉融合,信息网络技术在工业控制系统中得到了普及应用,然而现有的工业控制系统大多未考虑网络安全因素,同时关于工业控制系统后门、漏洞及攻击隐患等方面的信息开始爆发性的传播,导致工业控制系统的信息及网络安全攻击更为容易实施,工业控制系统信息安全问题日益严峻。
访问控制技术是一种实现在不同网络或网络安全域之间的安全保障方法,它能增强内部网络的安全性,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。访问控制通过审查经过的每一个数据包,判断它是否有匹配的访问控制规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据规则做出相应的处理。如果都不满足,则采用默认的处理操作,从而保护网络的安全。目前的访问控制包括两种方式:一种是黑名单方式,即阻拦传输流通行;另一种是白名单方式,即允许传输流通过。
Netfilter/iptables是Linux下基于数据包过滤的访问控制方法,它在网络层位
置就可以直接检查单一数据包所承载的数据内容。Netfilter/iptables在网络层截获网络
数据包,根据访问控制的规则表,检测网络攻击行为。数据包过滤是指在网络层对数据包进
行分析、选择,通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端
口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。
然而,在工业控制系统中,Modbus协议是一种应用层协议,现有基于Netfilter/
iptables的访问控制方法只能完成数据包的网络层及传输层关键字段的匹配,缺少针对
Modbus协议的数据包深度解析技术,无法实现对Modbus应用数据的深度解析与检测。同时,
现有的访问控制规则仅仅是以手动方式输入,无法根据网络中捕获的通信数据自动生成访
问控制规则。
发明内容
有鉴于此,本发明的目的是提供一种基于自学习规则的Modbus通信访问控制方法,结合“纵深防御”的思想,解决工业控制系统脆弱性和安全防护问题,保障工业控制系统的安全运行。
本发明的进一步目的是提供一种基于自学习规则的Modbus通信访问控制方法,针对工业控制系统中广泛使用的Modbus通信协议,完成应用协议的深度解析,实现对Modbus主站与Modbus从站之间进行访问控制,检测与阻止异常的入侵行为。并且提供自学习规则功能,根据Modbus主站与Modbus从站之间的通信数据,自动生成Modbus访问控制规则,符合Modbus通信协议,提高规则输入的效率。
本发明为实现上述目的所采用的技术方案是:一种基于自学习规则的Modbus通信访问控制方法,包括以下步骤:
步骤一:根据Modbus主站与Modbus从站具体通信情况,设置白名单或黑名单的Modbus访问控制规则;
步骤二:利用Netfilter/iptables捕获Modbus主站与Modbus从站之间通信的数据
包;
步骤三:将获得的关键字段信息与设置的Modbus访问控制规则进行匹配,执行相应的控制处理操作;
步骤四:捕获下一个数据包,重新执行步骤二和步骤三。
所述白名单或黑名单的Modbus访问控制规则包括,源IP地址——Modbus主站的IP地址、目的IP地址——Modbus从站的IP地址,目的端口号——Modbus协议端口号502、功能码——Modbus主站对Modbus从站的访问操作、起始地址——Modbus主站访问Modbus从站的起始地址、地址数——Modbus主站从起始地址访问Modbus从站的地址数量、控制处理操作——允许或不允许Modbus主站访问Modbus从站。
所述访问控制规则具备自学习规则功能,执行如下步骤:
设置自学习规则功能的自学习时间和自学习门限,自学习时间设置范围为0~72小时,自学习门限为0~10000;
启动自学习规则功能,开始捕获Modbus主站与Modbus从站之间的通信数据包,从通信数据包中解析出源IP地址、目的IP地址、目的端口号、功能码、起始地址、地址数信息,存储至关键参数数据库,此条信息的计数器置1;
捕获下一个Modbus通信数据包,解析出源IP地址、目的IP地址、目的端口号、功能码、起始地址、地址数信息,将此信息与关键参数数据库中的条目进行匹配,若匹配成功,则将此条信息所对应的计数器加1;若匹配不成功,则将此信息存储至关键参数数据库中,此条信息的计数器置1;
对于每一个新捕获的数据包,重新执行上一步骤,直至到达设定的自学习时间;
根据自学习门限及关键参数数据库中每一条关键参数信息的计数器值,判断是否自动生成Modbus访问控制规则。
所述判断是否自动生成Modbus访问控制规则的判断准则如下:若关键参数数据库中某一条信息的计数器值大于或等于自学习门限时,根据信息自动生成Modbus访问控制规则,同时删除此条关键参数信息;若关键参数数据库中某一条关键参数信息的计数器值小于自学习门限时,不生成Modbus访问控制规则,在关键参数数据库中删除相应条目的信息。
所述步骤二对于传输层为TCP协议,首先判断是否为TCP三次握手数据包,若是,则放行TCP三次握手数据包;若不是或者传输层为UDP协议,则解析数据包获得数据包的源IP地址、目的IP地址、目的端口号、Modbus应用层数据信息,再通过数据包深度解析技术解析Modbus应用层数据,提取功能码、起始地址、地址数信息。
所述放行TCP三次握手数据包包括以下步骤:
获取Modbus主站与Modbus从站之间通信的数据包的总长度、IP首部长度和TCP首部长度;
判断数据包的总长度是否等于IP首部长度和TCP首部长度之和,若不等于,则执行Modbus访问控制规则的匹配;
若等于,则获取TCP首部中的syn和ack标志位值,判断syn标志位是否为1、ack标志位是否是0:若是,则认为此数据包为TCP连接的第一次握手数据包,允许此数据包通过;
若不是,则判断syn标志位是否为1、ack标志位是否是1:若是,则认为此数据包为TCP连接的第二次握手,允许此数据包通过;
若不是,则判断syn标志位是否为0、ack标志位是否是1:若是,则认为此数据包为TCP连接的第三次握手,允许此数据包通过;若不是,则丢弃此数据包。
所述步骤三对于白名单方式,将关键字段信息与白名单中的Modbus访问控制规则自上而下进行逐条匹配,若与其中一条匹配,则对此数据包进行放行,即允许此数据包通过,访问Modbus从站;若与白名单中所有的Modbus访问控制规则都不匹配,则执行白名单默认的控制处理操作,对此数据包进行丢弃,即不允许此数据包通过,禁止访问Modbus从站。
所述步骤三对于黑名单方式,将关键字段信息与黑名单中的Modbus访问控制规则自上而下进行逐条匹配,若与其中一条匹配,则对此数据包进行丢弃,即不允许此数据包通过,禁止访问Modbus从站;若与黑名单中所有的Modbus访问控制规则都不匹配,则执行黑名单默认的控制处理操作,对此数据包放行,即允许此数据包通过,访问Modbus从站。
本发明具有以下优点及有益效果:
1.经由上述技术方案可知,与现有技术相比,本发明公开提供了一种基于自学习规则的Modbus通信访问控制方法,根据“纵深防御”这一总原则,对工业控制系统进行安全区域划分,实现不同安全区域的Modbus通信数据管控。
2.该方法建立在Netfilter/iptables基础上,在Modbus主站与Modbus从站之间捕
获通信数据包,对Modbus通信数据的深度内容分析与还原,通过与Modbus访问控制规则进
行匹配,实现对Modbus异常通信行为的审计,对违反Modbus访问控制规则的可疑行为进行
控制,满足不符合工业控制系统中Modbus通信规则的异常行为实施访问控制需求。
3.该方法不仅实现了针对Modbus应用协议的数据包深度解析技术,同时还具有自学习规则功能,能够根据Modbus主站与Modbus从站之间的通信数据,自动生成Modbus访问控制规则,节省了手动输入规则的时间,降低了规则误操作的可能性,提高了规则输入的效率。
附图说明
图1为本发明的基本模型;
图2为本发明实施例中采用白名单方式进行Modbus访问控制规则匹配的功能示意图;
图3为本发明实施例中采用黑名单方式进行Modbus访问控制规则匹配的功能示意图;
图4为本发明自动放行TCP三次握手数据包的工作流程示意图;
图5为本发明自动学习规则功能的执行流程示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步的详细说明。
为了保障工业控制系统中Modbus通信的安全,防止Modbus主站对Modbus从站的恶意攻击或误操作等行为,本发明提供了一种基于自学习规则的Modbus通信访问控制方法。参见图1,示出了本发明一种基于自学习规则的Modbus通信访问控制方法的基本模型。本发明方法可以实施于Modbus主站与Modbus从站之间的通信网关上,通过捕获Modbus主站与Modbus从站通信的数据,匹配Modbus访问控制规则,实现Modbus主站访问Modbus从站的检测与控制。本发明方法的主要工作流程如下:
步骤一:根据Modbus主站与Modbus从站具体通信情况,设置白名单或黑名单的Modbus访问控制规则,主要包括,源IP地址——Modbus主站的IP地址、目的IP地址——Modbus从站的IP地址,目的端口号——Modbus协议端口号502、功能码——Modbus主站对Modbus从站的访问操作、起始地址——Modbus主站访问Modbus从站的起始地址、地址数——Modbus主站从起始地址访问Modbus从站的地址数量、控制处理操作——允许或不允许Modbus主站访问Modbus从站。
步骤二:利用Netfilter/iptables捕获Modbus主站与Modbus从站之间通信的数据
包,对于传输层为TCP协议,首先判断是否为TCP三次握手数据包,若是,则放行TCP三次握手
数据包,若不是或者传输层为UDP协议,则解析数据包获得数据包的源IP地址、目的IP地址、
目的端口号、Modbus应用层数据等关键字段信息;再通过数据包深度解析技术解析Modbus
应用层数据,提取功能码、起始地址、地址数等关键字段信息。
步骤三:将获得的关键字段信息与设置的Modbus访问控制规则进行匹配,执行相应的控制处理操作。对于白名单方式,参见图2,将关键字段信息与白名单中的Modbus访问控制规则自上而下进行逐条匹配,若与其中一条匹配,则对此数据包进行放行,即允许此数据包通过,访问Modbus从站;若与白名单中所有的Modbus访问控制规则都不匹配,则执行白名单默认的控制处理操作,对此数据包进行丢弃,即不允许此数据包通过,禁止访问Modbus从站。对于黑名单方式,参见图3,将关键字段信息与黑名单中的Modbus访问控制规则自上而下进行逐条匹配,若与其中一条匹配,则对此数据包进行丢弃,即不允许此数据包通过,禁止访问Modbus从站;若与黑名单中所有的Modbus访问控制规则都不匹配,则执行黑名单默认的控制处理操作,对此数据包放行,即允许此数据包通过,访问Modbus从站。
步骤四:捕获下一个数据包,重新执行步骤二和步骤三。
图2和图3中以人机界面HMI(Human Machine Interface)作为Modbus主站,以Modbus RTU(Remote Terminal Unit)和Modbus PLC(ProgrammableLogic Controller)作为Modbus从站,但不仅限于此,凡是遵循Modbus通信协议能够执行Modbus访问请求的设备都可以作为Modbus主站,凡是遵循Modbus通信协议能够应答Modbus访问请求的设备都可以作为Modbus从站。
本发明所提供的基于自学习规则的Modbus通信访问控制方法支持TCP和UDP两种传输层协议,对于UDP协议,本发明方法获得数据包的目的端口后,直接获得Modbus应用层数据;对于TCP协议,由于TCP协议规定在建立连接之前必须执行TCP三次握手,也就是说TCP三次握手是执行Modbus访问请求的前提条件,为了顺利实施Modbus通信的访问控制,同时提高Modbus访问控制规则的匹配效率,本发明方法具有放行TCP三次握手数据包的功能,参见图4,主要工作流程如下:
步骤一:捕获Modbus主站与Modbus从站之间通信的数据包,获取数据包的总长度、IP首部长度和TCP首部长度。
步骤二:判断数据包的总长度是否等于IP首部长度和TCP首部长度之和,若等于,则获取TCP首部中的syn和ack标志位值,转到步骤三;若不等于,则执行Modbus访问控制规则的匹配。
步骤三:判断syn标志位是否为1、ack标志位是否是0,若是,则认为此数据包为TCP连接的第一次握手数据包,允许此数据包通过;若不是,则执行步骤四。
步骤四:判断syn标志位是否为1、ack标志位是否是1,若是,则认为此数据包为TCP连接的第二次握手,允许此数据包通过;若不是,则执行步骤五。
步骤五:判断syn标志位是否为0、ack标志位是否是1,若是,则认为此数据包为TCP连接的第三次握手,允许此数据包通过;若不是,则丢弃此数据包。
由于Modbus主站和Modbus从站之间可能需要大量的Modbus访问控制规则,而手动输入规则需要花费大量的时间和精力,为了节省手动输入规则的时间,降低规则误操作的可能性,提高规则输入的效率,本发明方法提供了针对Modbus通信访问控制的自学习规则功能,能够通过分析Modbus主站与Modbus从站之间的通信数据,自动生成符合此Modbus主站与Modbus从站通信情况的访问控制规则。参见图5,本发明的自学习规则功能执行流程如下:
步骤一:设置自学习规则功能的自学习时间和自学习门限,自学习时间设置范围为0~72小时,自学习门限为0~10000。
步骤二:启动自学习规则功能,开始捕获Modbus主站与Modbus从站之间的通信数据包,从通信数据包中解析出源IP地址、目的IP地址、目的端口号、功能码、起始地址、地址数等关键参数信息,存储至关键参数数据库,此条关键信息的计数器置1。然后捕获下一个Modbus通信数据包,执行步骤三。
步骤三:解析出源IP地址、目的IP地址、目的端口号、功能码、起始地址、地址数等关键参数信息,将此关键参数信息与关键参数数据库中的条目进行匹配,若匹配成功,则将此条关键参数信息所对应的计数器加1;若匹配不成功,则将此关键参数信息存储至关键参数数据库中,此条关键参数信息的计数器置1。
步骤四:对于每一个新捕获的数据包,重新执行步骤三,直至到达设定的自学习时间。
步骤五:根据自学习门限及关键参数数据库中每一条关键参数信息的计数器值,判断是否自动生成Modbus访问控制规则。判断的准则如下:若关键参数数据库中某一条关键参数信息的计数器值大于等于自学习门限时,根据关键参数信息自动生成Modbus访问控制规则,同时删除此条关键参数信息;若关键参数数据库中某一条关键参数信息的计数器值小于自学习门限时,不生成Modbus访问控制规则,在关键参数数据库中删除相应条目的关键参数信息。
自学习规则功能自动生成的Modbus访问控制规则存放在白名单中,其控制处理操作选项默认为允许通过,同时也支持手动重新设置,即对自动生成的Modbus访问控制规则中每一个选项进行重新输入参数。
本文中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
Claims (6)
1.一种基于自学习规则的Modbus通信访问控制方法,其特征在于,包括以下步骤:
步骤一:根据Modbus主站与Modbus从站具体通信情况,设置白名单或黑名单的Modbus访问控制规则;
步骤二:利用Netfilter/iptables捕获Modbus主站与Modbus从站之间通信的数据包;
步骤三:将获得的关键字段信息与设置的Modbus访问控制规则进行匹配,执行相应的控制处理操作;
步骤四:捕获下一个数据包,重新执行步骤二和步骤三;
所述步骤二对于传输层为TCP协议,首先判断是否为TCP三次握手数据包,若是,则放行TCP三次握手数据包;若不是或者传输层为UDP协议,则解析数据包获得数据包的源IP地址、目的IP地址、目的端口号、Modbus应用层数据信息,再通过数据包深度解析技术解析Modbus应用层数据,提取功能码、起始地址、地址数信息;
所述访问控制规则具备自学习规则功能,执行如下步骤:
设置自学习规则功能的自学习时间和自学习门限,自学习时间设置范围为0~72小时,自学习门限为0~10000;
启动自学习规则功能,开始捕获Modbus主站与Modbus从站之间的通信数据包,从通信数据包中解析出源IP地址、目的IP地址、目的端口号、功能码、起始地址、地址数信息,存储至关键参数数据库,此条信息的计数器置1;
捕获下一个Modbus通信数据包,解析出源IP地址、目的IP地址、目的端口号、功能码、起始地址、地址数信息,将此信息与关键参数数据库中的条目进行匹配,若匹配成功,则将此条信息所对应的计数器加1;若匹配不成功,则将此信息存储至关键参数数据库中,此条信息的计数器置1;
对于每一个新捕获的数据包,重新执行上一步骤,直至到达设定的自学习时间;
根据自学习门限及关键参数数据库中每一条关键参数信息的计数器值,判断是否自动生成Modbus访问控制规则。
2.根据权利要求1所述的一种基于自学习规则的Modbus通信访问控制方法,其特征在于,所述白名单或黑名单的Modbus访问控制规则包括,源IP地址——Modbus主站的IP地址、目的IP地址——Modbus从站的IP地址,目的端口号——Modbus协议端口号502、功能码——Modbus主站对Modbus从站的访问操作、起始地址——Modbus主站访问Modbus从站的起始地址、地址数——Modbus主站从起始地址访问Modbus从站的地址数量、控制处理操作——允许或不允许Modbus主站访问Modbus从站。
3.根据权利要求1所述的一种基于自学习规则的Modbus通信访问控制方法,其特征在于,所述判断是否自动生成Modbus访问控制规则的判断准则如下:若关键参数数据库中某一条信息的计数器值大于或等于自学习门限时,根据信息自动生成Modbus访问控制规则,同时删除此条关键参数信息;若关键参数数据库中某一条关键参数信息的计数器值小于自学习门限时,不生成Modbus访问控制规则,在关键参数数据库中删除相应条目的信息。
4.根据权利要求1所述的一种基于自学习规则的Modbus通信访问控制方法,其特征在于,所述放行TCP三次握手数据包包括以下步骤:
获取Modbus主站与Modbus从站之间通信的数据包的总长度、IP首部长度和TCP首部长度;
判断数据包的总长度是否等于IP首部长度和TCP首部长度之和,若不等于,则执行Modbus访问控制规则的匹配;
若等于,则获取TCP首部中的syn和ack标志位值,判断syn标志位是否为1、ack标志位是否是0:若是,则认为此数据包为TCP连接的第一次握手数据包,允许此数据包通过;
若不是,则判断syn标志位是否为1、ack标志位是否是1:若是,则认为此数据包为TCP连接的第二次握手,允许此数据包通过;
若不是,则判断syn标志位是否为0、ack标志位是否是1:若是,则认为此数据包为TCP连接的第三次握手,允许此数据包通过;若不是,则丢弃此数据包。
5.根据权利要求1所述的一种基于自学习规则的Modbus通信访问控制方法,其特征在于,所述步骤三对于白名单方式,将关键字段信息与白名单中的Modbus访问控制规则自上而下进行逐条匹配,若与其中一条匹配,则对此数据包进行放行,即允许此数据包通过,访问Modbus从站;若与白名单中所有的Modbus访问控制规则都不匹配,则执行白名单默认的控制处理操作,对此数据包进行丢弃,即不允许此数据包通过,禁止访问Modbus从站。
6.根据权利要求1所述的一种基于自学习规则的Modbus通信访问控制方法,其特征在于,所述步骤三对于黑名单方式,将关键字段信息与黑名单中的Modbus访问控制规则自上而下进行逐条匹配,若与其中一条匹配,则对此数据包进行丢弃,即不允许此数据包通过,禁止访问Modbus从站;若与黑名单中所有的Modbus访问控制规则都不匹配,则执行黑名单默认的控制处理操作,对此数据包放行,即允许此数据包通过,访问Modbus从站。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310683076.4A CN104702584B (zh) | 2013-12-10 | 2013-12-10 | 一种基于自学习规则的Modbus通信访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310683076.4A CN104702584B (zh) | 2013-12-10 | 2013-12-10 | 一种基于自学习规则的Modbus通信访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104702584A CN104702584A (zh) | 2015-06-10 |
CN104702584B true CN104702584B (zh) | 2017-11-28 |
Family
ID=53349356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310683076.4A Active CN104702584B (zh) | 2013-12-10 | 2013-12-10 | 一种基于自学习规则的Modbus通信访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104702584B (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105072025B (zh) * | 2015-08-05 | 2018-03-13 | 北京科技大学 | 针对现代工业控制系统网络通信的安全防护网关及系统 |
CN105429963B (zh) * | 2015-11-04 | 2019-01-22 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
CN105939318A (zh) * | 2015-11-23 | 2016-09-14 | 杭州迪普科技有限公司 | 一种安全检查的方法和装置 |
CN105591813B (zh) * | 2015-11-24 | 2019-06-21 | 上海斐讯数据通信技术有限公司 | 上网的控制方法、控制装置及上网设备 |
CN106888185B (zh) * | 2015-12-15 | 2019-12-06 | 北京网御星云信息技术有限公司 | 一种基于串行链路的工业网络安全防护方法 |
CN105743735B (zh) * | 2016-01-27 | 2018-12-18 | 电子科技大学 | 基于神经网络的ModbusTcp通讯深度包检测方法 |
CN105812371B (zh) * | 2016-03-17 | 2019-01-25 | 电子科技大学 | 基于神经网络的dnp通信访问控制方法 |
CN105847249A (zh) * | 2016-03-22 | 2016-08-10 | 英赛克科技(北京)有限公司 | 一种用于Modbus网络的安全防护系统以及方法 |
CN105871861B (zh) * | 2016-04-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种自学习协议规则的入侵检测方法 |
CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
CN107094046B (zh) * | 2017-05-24 | 2020-07-07 | 熊猫电子集团有限公司 | 一种从站触发的抑制网络的卫星通信方法 |
CN108345902B (zh) * | 2018-01-24 | 2021-08-17 | 深圳市永达电子信息股份有限公司 | 基于事务特征的自学习白名单模型库构建及白名单检测法 |
CN108881221A (zh) * | 2018-06-14 | 2018-11-23 | 浙江远望信息股份有限公司 | 一种基于数据包过滤的物联网设备通信安全芯片 |
CN108718319B (zh) * | 2018-06-14 | 2021-03-30 | 浙江远望信息股份有限公司 | 一种基于安全时域通过自学习设置数据包通信白名单的方法 |
CN109120477B (zh) * | 2018-08-16 | 2021-09-24 | 广东芬尼克兹节能设备有限公司 | 基于modbus协议的动态解析方法、装置、服务器及存储介质 |
CN109379375B (zh) * | 2018-11-28 | 2021-04-27 | 杭州迪普科技股份有限公司 | 访问控制规则的获取方法、装置及网络设备 |
CN110891055B (zh) * | 2019-11-20 | 2020-12-25 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
CN111787028A (zh) * | 2020-07-29 | 2020-10-16 | 成都飞鱼星科技股份有限公司 | 一种网络访问控制方法、设备及存储介质 |
CN112468488B (zh) * | 2020-11-25 | 2023-05-23 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
CN112688844A (zh) * | 2020-12-11 | 2021-04-20 | 北京天融信网络安全技术有限公司 | 一种通信控制方法、装置、设备及介质 |
CN113992437B (zh) * | 2021-12-27 | 2022-04-19 | 广州得一物联科技有限公司 | 一种Modbus设备的访问控制管理方法、装置及系统 |
CN114363026B (zh) * | 2021-12-27 | 2024-05-24 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
CN116939065B (zh) * | 2023-08-07 | 2024-02-06 | 山东九州信泰信息科技股份有限公司 | 一种Modbus协议TCP分段快速深度检查方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1435977A (zh) * | 2002-02-01 | 2003-08-13 | 联想(北京)有限公司 | 防火墙入侵检测与响应的方法 |
CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9482555B2 (en) * | 2008-04-03 | 2016-11-01 | Electro Industries/Gauge Tech. | System and method for improved data transfer from an IED |
-
2013
- 2013-12-10 CN CN201310683076.4A patent/CN104702584B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1435977A (zh) * | 2002-02-01 | 2003-08-13 | 联想(北京)有限公司 | 防火墙入侵检测与响应的方法 |
CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104702584A (zh) | 2015-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104702584B (zh) | 一种基于自学习规则的Modbus通信访问控制方法 | |
CN102801697B (zh) | 基于多url的恶意代码检测方法和系统 | |
KR101679578B1 (ko) | IoT 보안을 위한 제어 서비스 제공 장치 및 방법 | |
CN105450442B (zh) | 一种网络拓扑排查方法及其系统 | |
CN102761458B (zh) | 一种反弹式木马的检测方法和系统 | |
CN102724186B (zh) | 一种钓鱼网站检测系统和检测方法 | |
CN107566381A (zh) | 设备安全控制方法、装置及系统 | |
CN101296227B (zh) | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 | |
CN104796261A (zh) | 一种网络终端节点的安全接入管控系统及方法 | |
CN103746885A (zh) | 一种面向下一代防火墙的测试系统和测试方法 | |
CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
CN104994094B (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
CN105119901A (zh) | 一种钓鱼热点的检测方法及系统 | |
CN106998335A (zh) | 一种漏洞检测方法、网关设备、浏览器及系统 | |
CN104660593A (zh) | Opc安全网关数据包过滤方法 | |
CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
CN104301410A (zh) | 一种客户端监听模式实现内外网互联的自助办税终端设计方法 | |
CN107566420A (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
EP2790354A1 (en) | Security management system having multiple relay servers, and security management method | |
CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
CN109495583A (zh) | 一种基于主机特征混淆的数据安全交互方法 | |
CN106789486A (zh) | 共享接入的检测方法及装置 | |
CN108229159A (zh) | 一种恶意代码检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |