CN105204487A - 基于通信模型的工业控制系统的入侵检测方法及系统 - Google Patents
基于通信模型的工业控制系统的入侵检测方法及系统 Download PDFInfo
- Publication number
- CN105204487A CN105204487A CN201410828107.5A CN201410828107A CN105204487A CN 105204487 A CN105204487 A CN 105204487A CN 201410828107 A CN201410828107 A CN 201410828107A CN 105204487 A CN105204487 A CN 105204487A
- Authority
- CN
- China
- Prior art keywords
- communication
- industrial control
- control system
- datagram
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种基于通信模型的工业控制系统的入侵检测方法及系统,在保证实用性的同时,最大限度地提高入侵检测的准确率。首先建立工业控制系统通信模型和通信规则,所述的通信模型包含节点信息和通信连接信息;工业控制系统通信模型建立之后,以通信模型为基础产生合法通信规则集,在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习,建立通信模型并生成通信规则集;然后在工业控制网络中部署探测器,捕获数据报,由数据报分析并提取通信连接信息,与所述生成的合法通信规则集进行比对,若有违反该合法通信规则集的通信连接则产生告警;若发现入侵,则调用系统响应模块采取相应的响应策略,若实际检测有误,则进行分析并重新进行学习。
Description
技术领域
本发明公开了一种基于通信模型的工业控制系统的入侵检测方法及系统,属于信息安全领域。
背景技术
工业控制系统广泛应用于电力、水利、污水处理、石油、天然气、化工、交通运输、制药以及大型制造行业,是工业自动化和关键基础设施的重要组成部分。现代工业控制系统通过在物理系统中深度嵌入计算智能、通信和自动控制能力,并借助新型传感器和执行器实现对工业生产流程的自动控制。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)、各种传感器和执行器,以及确保各组件通信的接口组件。
工业控制系统的首要任务是保障生产顺利进行,因此其设计和实现都是围绕如何满足生产工艺的控制要求以及如何确保系统可用性展开的,而较少考虑信息安全(Security)。这使得工业控制系统的通信协议、系统软硬件平台以及信息安全管理等方面都存在很多薄弱环节。例如,很多系统存在缺乏安全架构与设计,不及时安装平台补丁程序,使用设备默认配置,使用弱口令,使用不安全的工业控制通信协议,不使用杀毒软件等现象。在信息安全保障方面,当今的工业控制系统比传统IT系统更加脆弱。
随着信息化与工业化融合进程的推进,越来越多的工业控制系统与企业的其它网络甚至与Internet相连,传统意义上较为封闭并普遍被认为安全的工业控制系统,逐步暴露在网络攻击、蠕虫、木马、病毒等威胁之下。近年来针对工业控制系统的攻击行为频繁发生。例如,1982年的西伯利亚管线爆炸事件,入侵者在输油管线的SCADA系统中植入木马并进而控制了输油管线,造成相当于3千吨TNT的爆炸;1994年美国盐河项目事件,一名攻击者通过拨号调制解调器越权访问该项目的计算机网络并安装了后门,之后与控制河流的关键系统保持了至少5小时的会话,危及水流控制、电力监测和传输、经济以及客户信息等;2010年震网病毒攻击伊朗纳坦兹核设施事件,攻击者编写的蠕虫病毒利用Windows系统漏洞和西门子工业控制系统信息安全缺陷在PCS(过程控制系统)中大肆传播,该病毒通过不断改变变频器频率,使得驱动离心机的驱动器不断在高速和低速之间切换,造成离心机大量损毁。
一些企业已经使用某些安全防护手段保护其工业控制系统。例如,使用防火墙或安全隔离网闸等设备将企业信息网与企业工业控制网络隔离,建立纵深安全防护体系,使用加密技术保障传输数据的机密性,使用认证技术确保登录用户拥有合法身份,等等。一些公知的IT领域安全防护方法和策略稍加修改就可以用于保护工业控制系统,例如工业控制防火墙就是在IT防火墙上增加对工业控制流量的过滤和控制能力。而另一些则不能容易地应用到工业控制领域。例如,IT系统会及时安装补丁程序以修补安全漏洞,而实际运行的工业控制系统通常不会轻易安装补丁程序。一个原因是安装补丁程序需要事先周密计划并停产,另一个原因是补丁程序可能影响原有的控制精度。再如,IT系统基本都会安装杀毒软件,但工业控制系统一般不安装杀毒软件。杀毒软件的使用可能使控制设备或工控机的某些功能失效或性能降低,影响系统可用性。由此可见,工业控制系统的固有特性使得企业能够采取的安全防护措施受到诸多限制,不能完全阻断针对工业控制系统的入侵和攻击行为。
综上,一些公知的信息安全脆弱性在工业控制系统中根深蒂固,难以排除;针对工业控制系统的内、外部攻击不能被完全阻断。因此,需要在工业控制系统中部署入侵检测系统,及时发现入侵,及早报警,尽量避免入侵给工业生产带来危害。
国内外已有一些关于工业控制系统入侵检测方法的研究。大多数的研究从工业控制系统的IT系统组件入手检测入侵。例如,有研究者通过预处理插件的方法为Snort增加了对基于串行通信的工业控制系统的拒绝服务、命令注入、响应注入和系统侦查4类入侵的检测和预防处理能力。有研究者使用基于规则的方法为工业控制无线传感网设计了入侵检测方法,该方法利用工业控制无线传感网具有规律性流量模式以及良定义的“请求-响应”通信的特点设计了一系列检测规则,当被监视的工业控制无线传感网实体出现违反规则的通信行为时发出告警。有研究者利用过程控制系统网络通信具有严格时间规律的特点,收集工业控制系统中数据报节拍信息,当过程控制系统实际通信数据报时间节拍违反原定节拍规律时产生报警。有研究者建立工业控制蜜罐系统,捕获各种入侵的特征并由此生成入侵检测规则。此外,也有一些研究从被控物理系统入手检测入侵。例如,有研究者利用工业控制系统输入决定输出的特性,依据控制工艺要求建立控制系统的近似数学模型,由输入预测输出,之后比较实测输出信号与预测输出信号,利用陡变检测算法检测异常。
入侵或攻击工业控制系统的基本目标之一是破坏工业生产,制造物理损失或危及人员安全。通常的攻击过程是通过信息设备控制实际物理设备,进而破坏工业生产。相应地,工业控制系统的入侵和攻击范围跨越信息设备、控制器和被控物理设备。现有从IT系统组件入手检测工业控制系统入侵的方法沿用IT系统入侵检测思路,未能充分考虑工业控制通信网络实时性、周期性的特点,也未能充分考虑工业控制设备之间的主从关系,不仅误报率、漏报率高,而且影响原有控制系统的控制精度,甚至降低原有控制系统的可用性。而现有从被监测物理系统入手检测工业控制系统入侵的方法需要建立控制系统近似数学模型,但建立控制系统的近似数学模型本身就是艰难的工作,况且实际工业生产中很多控制过程无法用数学模型表示,并且无法判断异常是由于攻击引起还是由物理噪声引起,缺乏实用性。
发明内容
本发明的目的在于克服上述已有技术的不足,提出一种不影响原有控制系统控制可用性的基于通信模型的工业控制系统的入侵检测方法及系统,在保证实用性的同时,最大限度地提高入侵检测的准确率,降低漏报率和误报率。
本发明通过以下技术方案实现:
一种基于通信模型的工业控制系统的入侵检测方法,包括建立工业控制系统通信模型步骤和入侵检测步骤:首先建立工业控制系统通信模型和通信规则,所述的通信模型包含节点信息和通信连接信息;工业控制系统通信模型建立之后,以通信模型为基础产生合法通信规则集,在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习,建立通信模型并生成通信规则集;然后在工业控制网络中部署探测器,捕获数据报,由数据报分析并提取通信连接信息,与所述生成的合法通信规则集进行比对,若有违反该合法通信规则集的通信连接则产生告警;若发现入侵,则调用系统响应模块采取相应的响应策略,若实际检测有误,则进行分析并重新进行学习。
其中建立系统通信模型采用以下方法:
第一步,捕获数据报;实时从数据链路层捕获数据报;
第二步,将实时捕获的数据报或由已有数据报文件取得的数据报,按照时间戳的顺序存储到数据报队列中,然后进行协议分析;
第三步,进行通信周期分析,分析两个节点之间每次通信连接的起始时间和结束时间,获取通信周期;
第四步,生成通信模型:根据通信周期分析结果、通信记录库条目和预定义的节点描述文件生成通信模型,并将通信模型数据存入通信模型库;
第五步,分析主从关系:实际工业控制系统中包含多个互不连通的子系统,则为每个子系统分别建立通信模型,生成通信规则以及进行入侵检测,设通信模型库中存储的信息为一个有向图,对该有向图进行遍历,获取所有主从关系域信息,为每个主从关系与生成轮询顺序函数;
第六步,生成通信规则:由通信模型库以及主从分析结果生成通信规则库。
其中第一步中只捕获感兴趣的数据报。
其中第一步中预先设定过滤规则,采用捕获前过滤的方式,过滤掉不符合规则的数据报。
其中第一步中捕获数据报时为数据报打时间戳,对加有时间戳的数据报进行实时分析,或将加有时间戳的数据报存储为数据报文件。
其中第二步根据预定义的工控协议描述文件识别协议类型、信源地址、信宿地址、负载二进制位串,对过滤后的协议进行通信连接分析,通信模型中也只建立协议过滤后的通信连接关系,若报文格式与预定义工控协议描述文件中的任何一个协议均不匹配,则判别为未知协议数据报,此时只识别数据链路层地址,而将数据链路层的协议数据单元PDU直接作为负载二进制位串;对每个通信连接加上时间信息,协议分析之后的数据报信息包含本次通信的开始时间和结束时间;对于面向连接的通信,结束时间大于开始时间;对于非面向连接的通信,结束时间等于开始时间。
其中第二步中协议分析将两个节点之间的每次通信的属性信息作为一条记录存储到通信记录库中。
第四步所述的预定义的节点描述文件依据工业控制系统设计文档或系统组态文件编写,包括节点上的所有“协议-地址”信息对。
其中采用“指导”与“探测”相结合的方法建立通信模型,所述的“指导”是以指先验知识为指导生成模型的部分信息,工业控制系统设计说明书中有控制部件、计算和信息部件以及通信部件的详细设计说明,以此为基础确定模型中的节点信息、节点之间的主从关系以及拓扑信息;所述的“探测”是指使用探测工业控制系统通信数据报的方法获取模型的部分信息;在工业控制系统部署探测器探测网络通信数据报,对探测得到的网络通信数据进行分析和挖掘,提取通信连接信息。
其中入侵检测采用以下方法:
步骤一,根据报文过滤规则实时捕获数据报,存入数据报队列;
步骤二,根据协议过滤规则、工控协议描述文件分析数据报队列数据,分析结果并存入通信记录队列;
步骤三,对通信记录队列进行通信周期分析和主从关系分析,把分析结果传给异常告警模块做进一步分析;
步骤四,异常告警分析:实时接收通信周期分析、主从关系分析的结果并进行综合分析,对比规则库中的通信规则,若有违反该合法通信规则集的通信连接则产生告警;若发现入侵,则调用系统响应模块采取相应的响应策略,若实际检测有误,则进行分析并转入重新学习,重新构建通信模型和通信规则库。
一种基于通信模型的工业控制系统的入侵检测系统,包括多个数据报探测器和一个IDS分析检测主机;其中IDS分析检测主机包含系统配置模块、系统响应模块、通信模型与通信规则生成模块以及分析检测模块;其中:
系统配置模块用于提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置功能;
系统响应模块用于针对分析检测模块传来的告警按照策略进行响应;
通信模型与通信规则生成模块用于提供在系统未发生攻击状态下的通信建模和通信规则生成功能;
分析检测模块用于实时检测从工业控制系统网络中捕获的报文,验证报文的通信连接是否符合之前生成的通信规则,若有违反通信规则的通信连接则产生告警信息发送给系统响应模块;
数据报探测器用于探测工业控制网络数据报,接收IDS分析检测主机配置的报文过滤规则,并给探测到的数据报打时间戳。
各个数据报探测器与IDS分析检测主机保持时钟同步。
本发明的有益效果:
本发明充分考虑工业控制通信网络的实时性、周期性,以及工业控制设备的主从工作模式的基础上,提出了一种工业控制系统网络通信模型,该模型具有描述多种工业控制通信协议及节点间不同层次通信连接的能力以及描述通信连接的实时性、周期性和主从关系的能力,模型描述能力超过了已有工业控制网络模型描述能力。本发明以该模型为基础提出了模型建立方法和用于入侵检测的工业控制系统异常检测方法以及入侵检测系统。本发明在保证实用性的同时,最大限度地提高入侵检测的准确率,降低漏报率和误报率
附图说明
图1为本发明建立系统通信模型流程图;
图2为本发明入侵检测流程图;
图3为本发明基于通信模型的工业控制系统的入侵检测系统原理图。
具体实施方式
本发明将工业控制系统中具备计算和/或通信功能和/或控制功能的设备统称为节点。节点可以是工控机、PLC、IED、RTU、HMI、SCADA服务器、计算服务器、Historian服务器、OPC服务器、通信服务器、前置机、交换机、路由器和通信网关等。本发明的范畴涉及由节点及通信线路组成的工业控制网络。
本发明的通信模型用以描述工业控制系统节点间不同类型的通信关系,工业控制网络的基本通信关系是一个有向图G=(V,E),其中V是顶点的集合,E是有向边的集合。将工业控制网络中的节点建模为图的顶点,将节点之间的通信连接建模为有向边,边的方向有信源指向信宿(当通信连接为非面向连接的通信时)或由连接发起方指向目标方(当通信连接为面向连接的通信时)。本发明以有向图为基础构建工业控制系统通信模型。
在工业控制系统中,一个节点可以与多个节点通信,可以使用不同的通信协议。为此,定义Attrv={(protocoli,addri),i∈}为节点v的属性的集合,其中protocoli为节点v运行的第i个协议,addri为节点v运行protocoil协议的实体的地址。令A={Attrv|v∈V},定义节点v的属性指派函数为fv:使得fv(v)=Attrv。函数fv给节点v指派一个属性集合。节点之间的数据通信有实时和非实时、周期和非周期之分。定义集合I={rt,nrt}表示通信连接的实时性,其中rt和nrt分别表示实时与非实时。定义集合Peri={t|t∈}表示通信连接的周期性,其中t为通信周期(周期通信t>0,非周期通信t=-1)。定义集合P={pType}表示通信连接的协议类型,其中pType表示协议类型,如TCP、UDP、Modbus、PROFIBUS和DeviceNet等。定义CType=I×Peri×P为通信连接类型集。设A、B是两个节点,以协议protocoli通信,则pType=protocoli。在工业控制系统中,某些节点具有主从关系(主站和从站的关系),定义集合MSR={master,slave,na},其中master和slave分别表示“主从”关系中的主和从,na表示非主也非从。若节点A和节点B之间的某个通信连接具有主从关系,则主节点为master,从节点为slave;若该连接不具有主从关系,则两个均为na。令将两个节点之间的通信连接建模为 有 其中vs为通信连接起点,vd为通信连接终点,protocoli为该连接的通信协议,为起点的协议地址,为终点的协议地址,msrs为起点主从关系属性,msrd为终点主从关系属性,i为连接的实时性属性,peri为连接的周期性属性。工业控制系统的两个节点之间可以存在多个连接,此时两个节点之间有多条有向边。
设e∈E是一个具有主从关系的通信连接,则由工业控制系统主站从站关系可知必有(msrs=master)∧(msrd=slave)或(msrs=slave)∧(msrd=master)。本发明称在此通信连接中具有master属性的节点为通信连接e的主节点,具有slave属性的节点为通信连接e的从节点。设 为具有如下性质的集合:j=1,2,…,n,存在具有主从关系的通信连接e,使得vm为通信连接e的主节点,vj为通信连接e的从节点。称为G中的一个主从关系域。在工业控制系统通信中,主站周期性轮询每个从站。为描述轮询关系,定义轮询顺序函数函数 对i=1…n,为轮询顺序值。
令FV={fv|v∈V},FM={|vm∈V且vm为某个主从关系域中的主节点},则一个工业控制系统的通信网络模型为元组T=<V,E,A,CType,MSR,FV,FM>,其中V为节点的集合,E为通信连接有向边的集合,A是所有节点的属性集构成的集合,CType是通信连接类型的集合,MSR是通信连接两个顶点主从属性的集合,FV是节点的属性指派函数的集合,FM是所有主从关系域的轮询函数的集合。
本通信模型具有描述多种工业控制通信协议及节点间不同层次通信连接的能力以及描述通信连接的实时性、周期性和主从关系的能力。通信规则设T=<V,E,A,CType,MSR,FV,FM>是一个工业控制系统的通信模型。则本发明的通信规则集为F=E∪FM。
在工业控制网络中部署探测器,捕获数据报,由数据报分析并提取通信连接信息,与阶段1生成的合法通信规则进行比对,若有违反该合法通信规则集的通信连接则产生告警。实际使用时要对告警进行进一步确认。若发现入侵,则调用系统响应模块采取相应的响应策略。若实际检测有误,则进行分析并转入阶段1重新学习。这样随着系统运行时间的推移,可以逐步提高检测精度。
通信模型与通信规则的生成方法如下:
第一步,捕获数据报。实时从数据链路层捕获数据报。在实际的模型建立过程中并不需要捕获所有的数据报,只需要捕获感兴趣的数据报否则就会产生很多垃圾数据,造成捕获性能瓶颈。需要预先设定过滤规则,例如设置站过滤、协议过滤、服务过滤等过滤规则。为了提高系统的效率,本发明采用捕获前过滤的方式,过滤掉不符合条件的数据报。捕获数据报时为数据报打时间戳。可以对加有时间戳的数据报进行实时分析,也可将加有时间戳的数据报存储为数据报文件。
第二步,进行协议分析。在进行协议分析时,将实时捕获的数据报或由已有数据报文件取得的数据报,按照时间戳的顺序存储到数据报队列中,然后进行协议分析。协议分析的任务是根据预定义的工控协议描述文件识别协议类型、信源地址、信宿地址、负载二进制位串等。工业控制系统中可能同时运行不同层的多种协议,例如使用Modbus/TCP、HTTP协议、传送I/O数据的UDP协议等。因此协议分析需对不同层的协议进行分析。例如,节点A到节点B发起一个Modbus/TCP通信连接,则可以看做A到B有两个通信连接,一个TCP连接和一个Modbus连接。TCP连接的地址由“IP地址+TCP端口号”构成,TCP承载的Modbus数据为TCP连接的负载二进制位串。而Modbus连接的地址为“IP地址+TCP端口号+Modbus协议附加地址”,Modbus协议中的功能码和数据作为Modbus连接的负载二进制位串。为了在通信模型中减少不必要的通信连接,提高检测效率,在实际应用中可预定义协议过滤规则。协议分析只对过滤后的协议进行通信连接分析,通信模型中也只建立协议过滤后的通信连接关系。若报文格式与预定义工控协议描述文件中的任何一个协议均不匹配,则判别为未知协议数据报,此时只识别数据链路层地址,而将数据链路层的协议数据单元PDU直接作为负载二进制位串。此外,对每个通信连接还需加上时间信息。协议分析之后的数据报信息包含本次通信的开始时间和结束时间。对于面向连接的通信,结束时间大于开始时间;对于非面向连接的通信,结束时间等于开始时间。协议分析将两个节点之间的每次通信的如上属性信息作为一条记录存储到通信记录库中。
第三步,进行通信周期分析。分析两个节点之间每次通信连接的起始时间和结束时间,获取通信周期。
第四步,生成通信模型。根据通信周期分析结果、通信记录库条目和预定义的节点描述文件生成通信模型。预定义的节点描述文件依据工业控制系统设计文档或系统组态文件编写,包括节点上的所有“协议-地址”信息对。通信模型数据存入通信模型库。工业控制系统通信模型所需其它信息由前述步骤中的分析结果得到。
第五步,分析主从关系。若实际工业控制系统中包含多个互不连通的子系统,则可以为每个子系统分别建立通信模型,生成通信规则以及进行入侵检测,因此不妨假设只对一个连通的工业控制网络进行建模和分析,所以可设通信模型库中存储的信息是一个有向图。对该有向图进行遍历,获取所有主从关系域信息,为每个主从关系与生成轮询顺序函数 的值由“探测”过程建立。
第六步,生成通信规则。由通信模型库生以及主从分析结果生成通信规则库。通信规则库中的规则是通信白名单。
异常检测方法如下:
第一步,捕获数据报。根据报文过滤规则实时捕获数据报,存入数据报队列。
第二步,协议分析。根据协议过滤规则、工控协议描述文件分析数据报队列数据,分析结果存入通信记录队列。
第三步,对通信记录队列进行通信周期分析和主从关系分析,把分析结果传给异常告警模块做进一步分析。
第四部,异常告警分析。实时接收通信周期分析、主从关系分析的结果并进行综合分析,对比规则库中的通信规则,若有违反该合法通信规则集的通信连接则产生告警。实际使用时要对告警进行进一步确认。若发现入侵,则调用系统响应模块采取相应的响应策略。若实际检测有误,则进行分析并转入重新学习,重新构建通信模型和通信规则库。
(1)数据报的捕获方法
本发明采用被动测量的方法捕获数据链路层数据报。根据实际工业控制网络情况,在控制网络中部署多个数据报探测器。数据报探测器可通过交换机端口镜像、路由器检测端口、多路转发(例如使用分光器)或链路串接等方式获取链路层数据报。
若同一数据报被多个探测器捕获,则会造成重复分析,降低系统性能。本发明的解决办法是在报文过滤规则中为探测器定义报文过滤规则,利用精心定义的报文过滤规则确保任意两个节点之间的数据报在传输链路上被捕获且只被捕获一次。
(2)时钟获取方法
本发明需要分析数据报的时间特性,为保证分析的准确性,需要同步各个探测器和分析检测主机的时间。若原工业控制网络是时间同步网络,则可以让探测器和分析检测主机的时间都取自控制网络时间。否则可将探测器和分析检测主机组成单独的同步网络,一种可行的方法是让探测器和分析检测主机独立组成网络,运行IEEE1588精确时间同步协议。
(3)计算数据报通信周期算法
先要从数据报时间序列中区分出周期性数据报和非周期数据报,然后计算周期。由于通信链路的原因,周期性数据报的时间间隔不会是固定值,而是落在一个范围内。需要由不确定的时间序列计算出周期值,并指出周期阈值。
计算数据报周期算法最终实现的功能主要有以下两个方面:
●在混杂的信息流中能区分周期数据报和非周期数据报;
●估计周期数据报的传输周期。
本发明提出的算法主要可以分为三个步骤:首先要对所有可能的数据报进行模式收集,并按照(源地址,目的地址,负载二进制位串)的格式记录和保存构成基础模式集合;正常运行工控网络时开始进入数据收集阶段,每捕捉到一个数据包打包成(源地址,目的地址,负载二进制位串)格式后与基础模式集合中的模式进行对比,判断该数据报的模式类型;匹配相同模式后进行数据分析,计算并记录与上一个相同模式数据报之间的时间差,当同模式数据报数量超过M,且最新m(m<M)个时间差的非周期指标小于时,即认为该模式为周期模式,负载二进制位串为周期数据报,其周期为时间差均值。
a)基础模式生成
对数据报模式进行收集时,所以数据报按照(源地址,目的地址,负载二进制位串)的格式记录在同一个模式表格中构成模式集合。
b)实时数据收集
实时数据收集阶段是对捕捉到的所有数据报进行模式匹配。因为在工控网络中数据报类型是有限的,数据格式固定,因此捕捉到的数据报的模式(源地址,目的地址,负载二进制位串)是有限的。采用模式匹配算法匹配实时捕获到的数据报模式是否与已知基础模式集中的模式匹配,若存在匹配模式,则转入下述步骤c),否则认为当前数据报模式是一种新的模式,将其加入数据报基础模式集。
c)数据分析
进行模式匹配后,查找本模式上一个数据报到达时间并计算时间差,更新上一个数据报到达时间为自己的到达时间。
记录时间差并更新时间差数目,记Xl为该模式第l个时间差,当时,计算时间差均值 当时计算时间差均值 和模式非周期指标、。
其中非周期指标、计算方法如下所示:
更具不同的精度需求拟定阈值,当α≤MRE时认为该模式周期性状不明显,即该基础模式为非周期模式,该数据报为非周期数据报;否则认为该数据报为周期数据报,其周期为XP。
(3)主从关系检测算法
在工业控制系统中,具有主从关系的节点之间的通信模式是:当主站请求时,从站才能活动。主站周期性轮询每个从站。主站和从站之间的一个报文循环由主站发出的请求帧(轮询报文)和由从站返回的应答帧/响应帧组成。从站在没有收到来自主站的请求时,不会发送数据,所以从站之间不能通信。一个主站可以有多个从站,一个系统中可能有多主站共存。
通常的工业控制数据包格式为
地址 | 功能码 | 数据 | 校验码 |
设主站请求功能码为REQ,从站响应功能码为RES。通过功能码可以判定是请求报文还是响应报文。
设T=<V,E,A,CType,MSR,FV,FM>是一个工业控制系统的通信模型,是T中的一个主从关系域。 是上的轮询顺序函数。则可采用的主从关系检测算法如下:
本发明的入侵检测系统由多个数据报探测器和一个IDS分析检测主机构成,IDS分析检测主机包含系统配置模块、系统响应模块、通信模型与通信规则生成模块以及分析检测模块。其中系统配置模块提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置等配置功能;系统响应模块针对分析检测模块传来的告警按照特定的策略进行响应;通信模型与通信规则生成模块提供在系统未发生攻击状态下的通信建模和通信规则生成功能,分析检测模块负责实时检测从工业控制系统网络中捕获的报文,验证报文的通信连接是否符合之前生成的通信规则,若有违反通信规则的通信连接则产生告警信息发送给系统响应模块。
本系统的数据报探测器负责探测工业控制网络数据报。系统中可以有多个数据报探测器。数据报探测器与IDS分析检测主机之间通过专用线路通信。数据报探测器接收IDS主机配置的报文过滤规则。数据报探测器给探测到的数据报打时间戳。各个数据报探测器与IDS分析检测主机保持时钟同步。
本发明可检测攻击的能力举例:
例1:蠕虫病毒。若工业控制系统中某个节点感染了蠕虫病毒,则该节点会向网络中发出扫描探测报文。其扫描探测报文的通信连接模式与本发明建立的工业控制系统通信规则不符,此时IDS分析检测主机将产生报警。
例2:控制命令注入。若工业控制网络中被注入了控制命令,则该控制命令报文的周期与控制命令的原有周期不符,此时IDS分析检测系统将检测出命令周期异常,产生报警。
例3:有控制命令劫持导致的主站和从站之间的主从通信时序和轮询顺序混乱。一个典型的实例是Stunex病毒可以劫持西门子工业控制系统的控制命令,使西门子S7-300PLC在启动和停止之间切换。若主站和从站中有S7-300PLC时,其主从通信时序和轮询顺序关系将出现混乱。若有类似的控制名利劫持,本发明中的主从分析检测模块将产生告警。
根据实际工业控制网络情况,在控制网络中部署多个数据报探测器。数据报探测器可通过交换机端口镜像、路由器检测端口、多路转发(例如使用分光器)或链路串接等方式获取链路层数据报。
数据报探测器与IDS分析检测主机之间组成入侵检测系统,数据报探测器与IDS主机之间使用独立于工业控制网络的通信网络。入侵检测系统使用IEEE1588精确时间同步协议同步IDS分析主机和数据报探测器的时间。
IDS分析检测主机采用安全计算平台。IDS分析检测主机运行系统通信模型与通信规则生成模块、分析检测模块、系统配置模块和系统响应模块。系统配置模块提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置。IDS将报文过滤规则下发到报文探测器,报文探测器依据报文过滤规则捕获报文并传给IDS分析检测主机。
系统运行分为两个阶段:阶段1是建立工业控制系统通信模型和通信规则。在工业控制系统安装调试阶段以及尚未发生生攻击阶段进行学习,建立通信模型并生成通信规则集。阶段2是入侵检测阶段。当在阶段2发现有误报时,对误报原因进行分析,在人工指导下转入阶段1重新构建工业控制系统通信模型和通信规则,之后再进入阶段2。
Claims (10)
1.一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:包括建立工业控制系统通信模型步骤和入侵检测步骤:首先建立工业控制系统通信模型和通信规则,所述的通信模型包含节点信息和通信连接信息;工业控制系统通信模型建立之后,以通信模型为基础产生合法通信规则集,在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习,建立通信模型并生成通信规则集;然后在工业控制网络中部署探测器,捕获数据报,由数据报分析并提取通信连接信息,与所述生成的合法通信规则集进行比对,若有违反该合法通信规则集的通信连接则产生告警;若发现入侵,则调用系统响应模块采取相应的响应策略,若实际检测有误,则进行分析并重新进行学习。
2.如权利要求1所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:其中建立系统通信模型采用以下方法:
第一步,捕获数据报;实时从数据链路层捕获数据报;
第二步,将实时捕获的数据报或由已有数据报文件取得的数据报,按照时间戳的顺序存储到数据报队列中,然后进行协议分析;
第三步,进行通信周期分析,分析两个节点之间每次通信连接的起始时间和结束时间,获取通信周期;
第四步,生成通信模型:根据通信周期分析结果、通信记录库条目和预定义的节点描述文件生成通信模型,并将通信模型数据存入通信模型库;
第五步,分析主从关系:实际工业控制系统中包含多个互不连通的子系统,则为每个子系统分别建立通信模型,生成通信规则以及进行入侵检测,设通信模型库中存储的信息为一个有向图,对该有向图进行遍历,获取所有主从关系域信息,为每个主从关系与生成轮询顺序函数;
第六步,生成通信规则:由通信模型库以及主从分析结果生成通信规则库。
3.如权利要求2所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:其中第一步中只捕获感兴趣的数据报。
4.如权利要求3所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:其中第一步中预先设定过滤规则,采用捕获前过滤的方式,过滤掉不符合规则的数据报。
5.如权利要求3所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:其中第一步中捕获数据报时为数据报打时间戳,对加有时间戳的数据报进行实时分析,或将加有时间戳的数据报存储为数据报文件。
6.如权利要求2或3或4或5所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:其中第二步根据预定义的工控协议描述文件识别协议类型、信源地址、信宿地址、负载二进制位串,对过滤后的协议进行通信连接分析,通信模型中也只建立协议过滤后的通信连接关系,若报文格式与预定义工控协议描述文件中的任何一个协议均不匹配,则判别为未知协议数据报,此时只识别数据链路层地址,而将数据链路层的协议数据单元PDU直接作为负载二进制位串;对每个通信连接加上时间信息,协议分析之后的数据报信息包含本次通信的开始时间和结束时间;对于面向连接的通信,结束时间大于开始时间;对于非面向连接的通信,结束时间等于开始时间。
7.如权利要求6所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:第四步所述的预定义的节点描述文件依据工业控制系统设计文档或系统组态文件编写,包括节点上的所有“协议-地址”信息对。
8.如权利要求7所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:其中采用“指导”与“探测”相结合的方法建立通信模型,所述的“指导”是以指先验知识为指导生成模型的部分信息,工业控制系统设计说明书中有控制部件、计算和信息部件以及通信部件的详细设计说明,以此为基础确定模型中的节点信息、节点之间的主从关系以及拓扑信息;所述的“探测”是指使用探测工业控制系统通信数据报的方法获取模型的部分信息;在工业控制系统部署探测器探测网络通信数据报,对探测得到的网络通信数据进行分析和挖掘,提取通信连接信息。
9.如权利要求1所述的一种基于通信模型的工业控制系统的入侵检测方法,其特征在于:其中入侵检测采用以下方法:
步骤一,根据报文过滤规则实时捕获数据报,存入数据报队列;
步骤二,根据协议过滤规则、工控协议描述文件分析数据报队列数据,分析结果并存入通信记录队列;
步骤三,对通信记录队列进行通信周期分析和主从关系分析,把分析结果传给异常告警模块做进一步分析;
步骤四,异常告警分析:实时接收通信周期分析、主从关系分析的结果并进行综合分析,对比规则库中的通信规则,若有违反该合法通信规则集的通信连接则产生告警;若发现入侵,则调用系统响应模块采取相应的响应策略,若实际检测有误,则进行分析并转入重新学习,重新构建通信模型和通信规则库。
10.一种基于通信模型的工业控制系统的入侵检测系统,其特征在于:包括多个数据报探测器和一个IDS分析检测主机;其中IDS分析检测主机包含系统配置模块、系统响应模块、通信模型与通信规则生成模块以及分析检测模块;其中:
系统配置模块用于提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置功能;
系统响应模块用于针对分析检测模块传来的告警按照策略进行响应;
通信模型与通信规则生成模块用于提供在系统未发生攻击状态下的通信建模和通信规则生成功能;
分析检测模块用于实时检测从工业控制系统网络中捕获的报文,验证报文的通信连接是否符合之前生成的通信规则,若有违反通信规则的通信连接则产生告警信息发送给系统响应模块;
数据报探测器用于探测工业控制网络数据报,接收IDS分析检测主机配置的报文过滤规则,并给探测到的数据报打时间戳。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410828107.5A CN105204487A (zh) | 2014-12-26 | 2014-12-26 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410828107.5A CN105204487A (zh) | 2014-12-26 | 2014-12-26 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105204487A true CN105204487A (zh) | 2015-12-30 |
Family
ID=54952229
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410828107.5A Pending CN105204487A (zh) | 2014-12-26 | 2014-12-26 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105204487A (zh) |
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105847266A (zh) * | 2016-04-07 | 2016-08-10 | 周文奇 | 一种工业通信中对关键控制器的保护系统 |
CN105871861A (zh) * | 2016-04-19 | 2016-08-17 | 中国科学院信息工程研究所 | 一种自学习协议规则的入侵检测方法 |
CN105871620A (zh) * | 2016-05-05 | 2016-08-17 | 中国科学院信息工程研究所 | 一种网络空间工业控制设备快速检测识别方法 |
CN106209870A (zh) * | 2016-07-18 | 2016-12-07 | 北京科技大学 | 一种针对分布式工业控制系统的网络入侵检测系统 |
CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
CN106559432A (zh) * | 2016-12-06 | 2017-04-05 | 山东省电子信息产品检验院 | 一种工业控制系统及其安全装置 |
CN106790235A (zh) * | 2017-01-20 | 2017-05-31 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN109088848A (zh) * | 2018-06-04 | 2018-12-25 | 佛吉亚好帮手电子科技有限公司 | 一种智能网联汽车信息安全保护方法 |
CN109286622A (zh) * | 2018-09-26 | 2019-01-29 | 天津理工大学 | 一种基于学习规则集的网络入侵检测方法 |
CN109768887A (zh) * | 2019-01-11 | 2019-05-17 | 四川大学 | 一种自动挖掘工控流量周期性特征的方法 |
CN109922026A (zh) * | 2017-12-13 | 2019-06-21 | 西门子公司 | 一个ot系统的监测方法、装置、系统和存储介质 |
CN110190979A (zh) * | 2019-03-03 | 2019-08-30 | 北京立思辰安科技术有限公司 | 高速策略匹配分析方法 |
CN110445750A (zh) * | 2019-06-18 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 一种车联网协议流量识别方法及装置 |
CN110520806A (zh) * | 2016-09-30 | 2019-11-29 | 西门子股份公司 | 对可编程逻辑控制器的偏差工程修改的识别 |
CN110768946A (zh) * | 2019-08-13 | 2020-02-07 | 中国电力科学研究院有限公司 | 一种基于布隆过滤器的工控网络入侵检测系统及方法 |
CN110771101A (zh) * | 2017-06-27 | 2020-02-07 | 三菱电机大楼技术服务株式会社 | 入侵检测装置、入侵检测方法以及入侵检测系统 |
CN110825040A (zh) * | 2019-10-22 | 2020-02-21 | 中国科学院信息工程研究所 | 一种工业控制系统的过程控制攻击检测方法及装置 |
WO2020037478A1 (zh) * | 2018-08-21 | 2020-02-27 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
CN110909811A (zh) * | 2019-11-28 | 2020-03-24 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
CN111381567A (zh) * | 2018-12-27 | 2020-07-07 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
CN111800312A (zh) * | 2020-06-23 | 2020-10-20 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN112995174A (zh) * | 2021-02-24 | 2021-06-18 | 紫光云技术有限公司 | 基于snort的入侵防御系统 |
CN113383366A (zh) * | 2019-04-17 | 2021-09-10 | 崔东峻 | 远程多路接入系统及其工作方法 |
CN113778054A (zh) * | 2021-09-09 | 2021-12-10 | 大连理工大学 | 一种针对工业控制系统攻击的双级检测方法 |
CN114489025A (zh) * | 2022-02-14 | 2022-05-13 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
CN114726673A (zh) * | 2022-03-22 | 2022-07-08 | 深圳渊联技术有限公司 | Modbus TCP协议通信方法及通信系统 |
CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
CN114785589A (zh) * | 2022-04-20 | 2022-07-22 | 浙江大学 | 基于控制不变量建模的入侵检测与定位方法及系统 |
CN115001738A (zh) * | 2022-04-19 | 2022-09-02 | 中国核电工程有限公司 | 一种核电站工业控制系统网络安全纵深防御体系及方法 |
EP4084431A1 (en) * | 2021-04-28 | 2022-11-02 | Siemens Aktiengesellschaft | Systems and methods for analyzing and controlling network traffic |
CN115556099A (zh) * | 2022-09-29 | 2023-01-03 | 华南理工大学 | 一种可持续学习的工业机器人故障诊断系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1460932A (zh) * | 2003-06-18 | 2003-12-10 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
CN1472916A (zh) * | 2003-06-24 | 2004-02-04 | 北京邮电大学 | 大规模分布式入侵检测系统的数据融合机制 |
CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及系统 |
CN1581089A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
CN1934597A (zh) * | 2004-03-25 | 2007-03-21 | 讯宝科技公司 | 基于协议异常分析的无线局域网入侵检测方法 |
CN1946025A (zh) * | 2006-11-06 | 2007-04-11 | 吉林大学 | 一种路由器和入侵检测系统联动的方法 |
-
2014
- 2014-12-26 CN CN201410828107.5A patent/CN105204487A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1460932A (zh) * | 2003-06-18 | 2003-12-10 | 北京首信股份有限公司 | 一种基于相关特征聚类的层次入侵检测系统 |
CN1472916A (zh) * | 2003-06-24 | 2004-02-04 | 北京邮电大学 | 大规模分布式入侵检测系统的数据融合机制 |
CN1581089A (zh) * | 2003-08-04 | 2005-02-16 | 联想(北京)有限公司 | 一种入侵检测方法 |
CN1529248A (zh) * | 2003-10-20 | 2004-09-15 | 北京启明星辰信息技术有限公司 | 网络入侵行为关联事件的检测方法及系统 |
CN1934597A (zh) * | 2004-03-25 | 2007-03-21 | 讯宝科技公司 | 基于协议异常分析的无线局域网入侵检测方法 |
CN1946025A (zh) * | 2006-11-06 | 2007-04-11 | 吉林大学 | 一种路由器和入侵检测系统联动的方法 |
Non-Patent Citations (1)
Title |
---|
马骏维等: "《基于工控系统的关联规则入侵检测方法》", 《第十届中国通信学会学术年会论文集》 * |
Cited By (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105847266A (zh) * | 2016-04-07 | 2016-08-10 | 周文奇 | 一种工业通信中对关键控制器的保护系统 |
CN105871861A (zh) * | 2016-04-19 | 2016-08-17 | 中国科学院信息工程研究所 | 一种自学习协议规则的入侵检测方法 |
CN105871861B (zh) * | 2016-04-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种自学习协议规则的入侵检测方法 |
CN105871620B (zh) * | 2016-05-05 | 2019-04-16 | 中国科学院信息工程研究所 | 一种网络空间工业控制设备快速检测识别方法 |
CN105871620A (zh) * | 2016-05-05 | 2016-08-17 | 中国科学院信息工程研究所 | 一种网络空间工业控制设备快速检测识别方法 |
CN106209870A (zh) * | 2016-07-18 | 2016-12-07 | 北京科技大学 | 一种针对分布式工业控制系统的网络入侵检测系统 |
CN110520806A (zh) * | 2016-09-30 | 2019-11-29 | 西门子股份公司 | 对可编程逻辑控制器的偏差工程修改的识别 |
CN110520806B (zh) * | 2016-09-30 | 2022-09-27 | 西门子股份公司 | 对可编程逻辑控制器的偏差工程修改的识别 |
CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
CN106559432A (zh) * | 2016-12-06 | 2017-04-05 | 山东省电子信息产品检验院 | 一种工业控制系统及其安全装置 |
CN106790235A (zh) * | 2017-01-20 | 2017-05-31 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
CN106982235B (zh) * | 2017-06-08 | 2021-01-26 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN110771101B (zh) * | 2017-06-27 | 2021-07-13 | 三菱电机大楼技术服务株式会社 | 入侵检测装置、入侵检测方法以及入侵检测系统 |
CN110771101A (zh) * | 2017-06-27 | 2020-02-07 | 三菱电机大楼技术服务株式会社 | 入侵检测装置、入侵检测方法以及入侵检测系统 |
CN109922026A (zh) * | 2017-12-13 | 2019-06-21 | 西门子公司 | 一个ot系统的监测方法、装置、系统和存储介质 |
CN109088848A (zh) * | 2018-06-04 | 2018-12-25 | 佛吉亚好帮手电子科技有限公司 | 一种智能网联汽车信息安全保护方法 |
WO2020037478A1 (zh) * | 2018-08-21 | 2020-02-27 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
CN109286622B (zh) * | 2018-09-26 | 2021-04-20 | 天津理工大学 | 一种基于学习规则集的网络入侵检测方法 |
CN109286622A (zh) * | 2018-09-26 | 2019-01-29 | 天津理工大学 | 一种基于学习规则集的网络入侵检测方法 |
CN111381567A (zh) * | 2018-12-27 | 2020-07-07 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
CN111381567B (zh) * | 2018-12-27 | 2021-11-05 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
CN109768887A (zh) * | 2019-01-11 | 2019-05-17 | 四川大学 | 一种自动挖掘工控流量周期性特征的方法 |
CN110190979A (zh) * | 2019-03-03 | 2019-08-30 | 北京立思辰安科技术有限公司 | 高速策略匹配分析方法 |
CN110190979B (zh) * | 2019-03-03 | 2022-02-11 | 杭州立思辰安科科技有限公司 | 高速策略匹配分析方法 |
CN113383366B (zh) * | 2019-04-17 | 2024-01-26 | 崔东峻 | 远程多路接入系统及其工作方法 |
CN113383366A (zh) * | 2019-04-17 | 2021-09-10 | 崔东峻 | 远程多路接入系统及其工作方法 |
CN110445750A (zh) * | 2019-06-18 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 一种车联网协议流量识别方法及装置 |
CN110768946A (zh) * | 2019-08-13 | 2020-02-07 | 中国电力科学研究院有限公司 | 一种基于布隆过滤器的工控网络入侵检测系统及方法 |
CN110825040B (zh) * | 2019-10-22 | 2021-02-19 | 中国科学院信息工程研究所 | 一种工业控制系统的过程控制攻击检测方法及装置 |
CN110825040A (zh) * | 2019-10-22 | 2020-02-21 | 中国科学院信息工程研究所 | 一种工业控制系统的过程控制攻击检测方法及装置 |
CN110909811A (zh) * | 2019-11-28 | 2020-03-24 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
CN110909811B (zh) * | 2019-11-28 | 2022-10-18 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
CN111800312A (zh) * | 2020-06-23 | 2020-10-20 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN112995174A (zh) * | 2021-02-24 | 2021-06-18 | 紫光云技术有限公司 | 基于snort的入侵防御系统 |
WO2022229125A1 (en) * | 2021-04-28 | 2022-11-03 | Siemens Aktiengesellschaft | Systems and methods for analyzing and controlling network traffic |
EP4084431A1 (en) * | 2021-04-28 | 2022-11-02 | Siemens Aktiengesellschaft | Systems and methods for analyzing and controlling network traffic |
CN113778054A (zh) * | 2021-09-09 | 2021-12-10 | 大连理工大学 | 一种针对工业控制系统攻击的双级检测方法 |
CN114489025B (zh) * | 2022-02-14 | 2023-07-04 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
CN114489025A (zh) * | 2022-02-14 | 2022-05-13 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
CN114726673A (zh) * | 2022-03-22 | 2022-07-08 | 深圳渊联技术有限公司 | Modbus TCP协议通信方法及通信系统 |
CN115001738A (zh) * | 2022-04-19 | 2022-09-02 | 中国核电工程有限公司 | 一种核电站工业控制系统网络安全纵深防御体系及方法 |
CN114785589A (zh) * | 2022-04-20 | 2022-07-22 | 浙江大学 | 基于控制不变量建模的入侵检测与定位方法及系统 |
CN114785589B (zh) * | 2022-04-20 | 2023-11-14 | 浙江大学 | 基于控制不变量建模的入侵检测与定位方法及系统 |
CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
CN115556099A (zh) * | 2022-09-29 | 2023-01-03 | 华南理工大学 | 一种可持续学习的工业机器人故障诊断系统及方法 |
CN115556099B (zh) * | 2022-09-29 | 2024-04-09 | 华南理工大学 | 一种可持续学习的工业机器人故障诊断系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105204487A (zh) | 基于通信模型的工业控制系统的入侵检测方法及系统 | |
Fillatre et al. | Security of SCADA systems against cyber–physical attacks | |
Kalech | Cyber-attack detection in SCADA systems using temporal pattern recognition techniques | |
Meshram et al. | Anomaly detection in industrial networks using machine learning: a roadmap | |
Lin et al. | Cyber attack and defense on industry control systems | |
Krotofil et al. | Industrial control systems security: What is happening? | |
Rubio et al. | Analysis of Intrusion Detection Systems in Industrial Ecosystems. | |
Jardine et al. | Senami: Selective non-invasive active monitoring for ics intrusion detection | |
Garitano et al. | A review of SCADA anomaly detection systems | |
Parthasarathy et al. | Bloom filter based intrusion detection for smart grid SCADA | |
Al-Hawawreh et al. | Developing a security testbed for industrial internet of things | |
CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
Efstathopoulos et al. | Operational data based intrusion detection system for smart grid | |
CN103957203B (zh) | 一种网络安全防御系统 | |
CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
Bou-Harb | A brief survey of security approaches for cyber-physical systems | |
Caselli et al. | On the feasibility of device fingerprinting in industrial control systems | |
Di Sarno et al. | A novel security information and event management system for enhancing cyber security in a hydroelectric dam | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
Coppolino et al. | Integration of a System for Critical Infrastructure Protection with the OSSIM SIEM Platform: A dam case study | |
Turcato et al. | A cloud-based method for detecting intrusions in profinet communication networks based on anomaly detection | |
Eid et al. | IIoT network intrusion detection using machine learning | |
Pan et al. | Anomaly behavior analysis for building automation systems | |
CN110493200B (zh) | 一种基于威胁地图的工控系统风险量化分析方法 | |
Arifin et al. | The trends of supervisory control and data acquisition security challenges in heterogeneous networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20180814 |