CN105429824A - 一种工控协议自适应深度检测装置与方法 - Google Patents
一种工控协议自适应深度检测装置与方法 Download PDFInfo
- Publication number
- CN105429824A CN105429824A CN201510958868.7A CN201510958868A CN105429824A CN 105429824 A CN105429824 A CN 105429824A CN 201510958868 A CN201510958868 A CN 201510958868A CN 105429824 A CN105429824 A CN 105429824A
- Authority
- CN
- China
- Prior art keywords
- self
- control protocol
- interface
- depth detection
- industry control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 63
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 17
- 230000015556 catabolic process Effects 0.000 claims abstract description 6
- 230000006870 function Effects 0.000 claims description 10
- 238000012360 testing method Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 238000006731 degradation reaction Methods 0.000 claims description 3
- 240000007643 Phytolacca americana Species 0.000 claims description 2
- 238000009434 installation Methods 0.000 claims description 2
- 238000005070 sampling Methods 0.000 claims description 2
- 230000000593 degrading effect Effects 0.000 abstract 1
- 230000004907 flux Effects 0.000 abstract 1
- 230000006854 communication Effects 0.000 description 6
- 230000003750 conditioning effect Effects 0.000 description 6
- 230000006978 adaptation Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 206010033799 Paralysis Diseases 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000009885 systemic effect Effects 0.000 description 2
- 102100040160 Rabankyrin-5 Human genes 0.000 description 1
- 101710086049 Rabankyrin-5 Proteins 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- VYMDGNCVAMGZFE-UHFFFAOYSA-N phenylbutazonum Chemical compound O=C1C(CCCC)C(=O)N(C=2C=CC=CC=2)N1C1=CC=CC=C1 VYMDGNCVAMGZFE-UHFFFAOYSA-N 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种工控协议自适应深度检测装置与方法。所述装置包括中央处理器、内部存储器、Flash闪存、1个WAN接口、4个LAN接口、2个串行接口。所述方法包括:逐级检测工控协议数据包是否合法;对被保护设备的状态指标进行检测;进行自适应检测调整:根据检测到的状态指标及用户配置的检测级别适应规则,自动调整数据包深度检测的检测级别,即按照网络状态逐级降级调整。本发明通过对安全防护设备的实际工作情况进行动态自适应分析,并根据用户配置和防护设备的状态,动态调整安全防护级别,解决了现有技术中存在的由于CPU资源占用较多、接口流量过大引起设备瘫痪的问题。
Description
技术领域
本发明属于工控系统安全领域,具体涉及一种用于工业控制安全防护的工控协议自适应深度检测装置与方法。
背景技术
在现有技术中,工业控制系统的安全防护一般采取逐层防护的方式部署,即在攻击路径上的任意位置如企业网入口、监控层网络入口、现场层网络入口设置特定的防护措施,阻断攻击,实现对安全等级最高的现场层的保护,工控安全防护设备需能支持各式现场总线通讯协议,层层拆解数据封包,深入剖析封包结构与封包内容,确保封包的合法性,即所谓的深层管理。然而,采用代理方式工作的工控防火墙工作在应用层,其工作方式是完全控制会话,针对特定的应用层协议,通过对每种应用服务建立专门的代理服务程序,支持MODBUS、OPC等多种工业协议,也可支持FTP等工控网内常见的传统协议的过滤,实现了工控以太网中常用控制协议的内容分析和完整性检查,能很好地监控工控协议的控制行为。通过对控制协议的深度分析,防止伪装成正常通信协议内容的恶意代码进入工业控制系统网络内部或区域内部,从而防止畸形代码攻击等多种发生在工控以太网络内部的攻击。虽然可以实现监控和控制应用层通信流的作用,但是其速度较慢,消耗过多的CPU资源,使得防护设备成为安全防护的瓶颈。尤其是在防护设备的CPU资源占用较多、接口流量过大时,处理速度过慢,安全防护设备成为响应瓶颈,对一切数据进行过滤分析造成速度过慢,数据交换有较大的时延,不适应工控系统的实时性要求,严重影响工控现场网络,甚至造成网络瘫痪,无法动态地适应现场情况,造成无法弥补的损失。
发明内容
为了解决现有技术中存在的上述问题,本发明提供一种工控协议自适应深度检测装置与方法,对安全防护设备的实际工作情况进行动态自适应分析,根据用户配置和防护设备的状态,动态调整安全防护级别,以避免因CPU资源占用较多、接口流量过大造成设备瘫痪。
为达到上述目的,本发明采用如下技术方案:
一种工控协议自适应深度检测装置,设置在工业网络和被保护设备之间,所述装置包括:中央处理器,内部存储器,Flash闪存,1个WAN(广域网)接口,4个LAN(局域网)接口,2个串行接口,所述中央处理器分别与所述内部存储器、Flash闪存、WAN接口、LAN接口、串行接口相连。其中,
所述中央处理器为运算控制中心,用于协调控制各部分电路的工作,通过运行软件程序实现工控协议自适应深度检测功能。
所述内部存储器用于存储存数据。
所述Flash闪存存储系统程序及实现工控协议自适应深度检测的软件程序。
所述WAN接口连接外部设备。
所述LAN接口连接被保护设备。
所述串行接口用于信息输出、日志输出和后台配置。
进一步地,所述中央处理器为SparcV8架构。
进一步地,所述串行接口采用RS485或RS232串口。
一种工控协议自适应深度检测方法,由设置在工业网络和被保护设备之间的装置截获外部设备向被保护设备发送的数据包,并在所述装置中运行如下步骤:
步骤1,逐级检测工控协议数据包是否合法。
步骤2,对被保护设备的状态指标进行检测。所述设备状态指标包括并发用户数、接口流量、内存使用量、进程数、CPU占用量。
步骤3,进行自适应检测调整。
根据步骤2检测到的状态指标及用户配置的检测级别适应规则,自动调整数据包深度检测的检测级别,即按照网络状态逐级降级调整。
进一步地,所述方法还包括在前置机安装后、系统运行前,或在运行过程中进行的用户配置步骤,用户通过界面或者Console命令方式进行如下配置:自适应检测指标配置;前置机设备网络接口、DNS配置;系统工作模式即代理模式、路由模式配置;网络访问控制的IP、MAC,IP范围、子网掩码,阻断/通过配置;自适应检测级别配置;端口控制配置。
进一步地,所述方法还包括日志管理步骤。日志管理步骤在步骤1之前开始并一直进行,记录系统运行日志、安全防护日志、访问日志、安全监控日志。每一条记录的日志至少包括事件发生的日期、时间、源IP、目的IP、协议、事件描述和结果,用于日志的查找及导出备份。
进一步地,所述方法还包括在步骤1之前进行的网络连接管理步骤,包括透明代理、加载网络驱动、网络监听服务、会话管理、内存池管理、接口管理。
进一步地,所述步骤1逐级检测工控协议数据包是否合法的方法包括以下步骤:
步骤1.1,0级检测:基于IP、MAC地址的网络访问控制。
判断数据包的IP地址、MAC地址是否合法,不合法则丢弃,并记录日志;合法则进入下一步。
步骤1.2,1级检测:端口控制。
解析数据包得到数据包的源端口、目的端口,判断端口是否合法,不合法则丢弃,并记录日志;合法则进入下一步。
步骤1.3,2级检测:协议控制,完整性检查、合法性检查。
判断数据包的协议类型,根据用户配置的协议控制要求,判断该协议数据包的完整性、合法性,不合法则丢弃,并记录日志;合法则进入下一步。
步骤1.4,3级检测:功能码控制、参数控制。
根据协议类型,判断该协议中某些字段是否合法,不合法则丢弃,并记录日志;合法则进入下一步。所述字段包括功能码控制、参数控制。
步骤1.5,4级检测:预置规则库匹配控制。
根据协议类型匹配预置规则库,判断协议是否符合预置规则,不符合则丢弃,并记录日志;符合则进入下一步。
步骤1.6,5级检测:用户自定义规则配置。
对用户自定义规则进行匹配,不合法则丢弃,并记录日志;合法则转发给目标地址。
进一步地,所述用户配置的检测级别适应规则是用户根据网络拥塞状态、流量控制信息和系统信息配置的降级工作规则。
进一步地,所述步骤2对被保护设备的状态指标进行检测的方法具体包括以下步骤:
步骤2.1,检测对请求作出响应所需要的时间:接到数据包时记录一个时间戳,数据包经处理后发出时记录一个时间戳,响应时间为后一个时间戳与前一个时间戳的差值。
步骤2.2,通过检测网络接口的网络连接数检测并发用户数。
步骤2.3,检测每个网络接口的流量。
步骤2.4,通过系统指令获取操作系统指标:使用内存数,进程数。
步骤2.5,将步骤2.1~2.4中检测到的网络状态数据存储到数据结构deviceInfo中。
与现有技术相比,本发明具有以下有益效果:
本发明所述装置及方法通过对安全防护设备的实际工作情况进行动态自适应分析,并根据用户配置和防护设备的状态,动态调整安全防护级别,解决了现有技术中存在的由于CPU资源占用较多、接口流量过大引起设备瘫痪的问题。
附图说明
图1为工控协议自适应深度检测装置的组成框图;
图2为逐级检测工控协议数据包是否合法的流程图。
具体实施方式
下面结合附图和实施例对本发明做进一步说明。
一种工控协议自适应深度检测装置,安装在一个标准的机架上,设置在工业网络和被保护设备之间,所述装置的组成如图1所示,包括:中央处理器,内部存储器,Flash闪存,1个WAN接口,4个LAN接口,2个串行接口。所述中央处理器分别与所述内部存储器、Flash闪存、WAN接口、LAN接口、串行接口相连。其中,
中央处理器为运算控制中心,用于协调控制各部分电路的工作,通过运行软件程序实现工控协议自适应深度检测功能。中央处理器采用SparcV8架构,包含两个DDR插槽,分别支持512MB内存;包含运算逻辑、寄存器和控制器;其中运算逻辑支持定点、浮点运算、移位运算和逻辑操作,支持地址运算和转换;其中寄存器编址为32位。
内部存储器用于存储各种数据。内部存储器采用2个512MB的DDR内存,共1GB。通过总线与中央处理器连接。
Flash闪存用于存储系统程序,如操作系统VxWorks,及实现工控协议自适应深度检测的软件程序。
WAN接口连接外部设备。
LAN接口为4个,分别为LAN1~4,由LAN1连接被保护的设备,连接网线选择普通网线。
一种工控协议自适应深度检测方法,由设置在工业网络和被保护设备之间的工控协议自适应深度检测装置上安装的软件实现。由所述装置截获外部设备向被保护设备发送的数据包,并在前置机中运行如下步骤:工控协议数据包深度检测步骤,设备状态检测步骤,自适应检测调整步骤,还包括用户配置步骤、日志管理步骤、网络连接管理步骤。具体步骤如下:
S1、按照0~5级控制顺序,逐级检测工控协议数据包是否合法。流程图如图2所示,具体包括以下步骤:
A、0级:基于IP、MAC地址的网络访问控制
判断该数据包的IP地址、MAC地址是否合法,不合法则丢弃,并记录日志;合法则进入下一步。
B、1级:端口控制
解析数据包得到数据包的源端口、目的端口,判断端口是否合法,不合法则丢弃,并记录日志;合法则进入下一步。
C、2级:协议控制,完整性检查、合法性检查
判断数据包的协议类型,根据用户配置的协议控制要求,判断该协议数据包的完整性、合法性,不合法则丢弃,并记录日志;合法则进入下一步。
D、3级:功能码控制、参数控制
根据协议类型,判断该协议中某些字段是否合法,不合法则丢弃,并记录日志;合法则进入下一步。所述字段包括功能码控制、参数控制。
E、4级:预置规则库匹配控制
根据协议类型匹配预置规则库,判断协议是否符合预置规则,不符合则丢弃,并记录日志;合法则进入下一步。
F、5级:用户自定义规则配置
对用户自定义规则进行匹配,不合法则丢弃,并记录日志;合法则转发给目标地址。
S2、周期性检查设备状态。
设备状态指标包括并发用户数、接口流量、内存使用量、进程数、CPU占用量。
S3、根据检测到的设备状态数据,及用户配置的触发条件,动态调整深度检测级别。
假设用户配置的触发条件为:
(1)并发用户数<500,接口流量<20MB/S,内存使用<50%,进程数<50,CPU占用<50%时,深度检测为完全检测,即进行A~F完全步骤检测;
(2)接口流量20~50MB/S,CPU占用50%~80%时,深度检测为不完全检测,即A~E不完全步骤检测,降级减少用户自定义规则匹配部分;
(3)接口流量50~100MB/S,CPU占用80%~90%时,深度检测基本降级,工作步骤设置为A~D;
(4)接口流量>100MB/S,CPU大于95%时,采用不检查机制,完全放行,或完全阻塞。
如果检测到的设备状态为:并发用户数500,接口流量30MB/S,内存使用60%,进程数50,CPU占用70%。该设备状态符合用户配置的条件(2),将动态调整工作步骤为A~E不完全检测。
这样,系统处理速度加快,待系统恢复正常时,自适应检测算法会再一次调整到完全检测状态,防止系统因为某一时段过大的数据流量或设备高负载时,造成设备宕机引起系统瘫痪。
用户配置可自适应动态调整触发为真。在用户任务网络不够安全时,可设置可自适应动态调整触发为假,系统不再进行自适应深度调整,则工作方式与一般工控防火墙一致。
下面结合实验数据对本发明所述方法与现有技术的效果进行对比。
不使用工控前置机,采用透明代理防火墙工作方式保护现场工控网络。该前置机为4G内存的1U设备,安装一般防火墙软件,在防火墙软件中设定网络连接数最大为500,接口流量最大为100Mbps;测试采用2台PC机仿真客户端与服务器之间的TCP通信过程。在保持旧的通信会话联接仍有效的基础上,以批量方式增加新的通信会话过程,通过调整批量的大小,测试装有一般防火墙软件前置机能支持的有效TCP并发连接速率,当并发数量在每秒200左右时,出现最大为0.046s的延迟;并发数量超过300每秒时,出现最大为0.53s的延迟。严重影响现场工作。
在前置机中应用本发明所述方法。前置机仍为4G内存的1U设备,测试方法相同。用户设置深度检测规则为:200<并发用户数<300时,采用自适应深度调整,取消级别5的检测;300<并发用户数<400时,取消级别4的检测。测试时,如果每秒220左右连接,系统出现延迟;系统自适应深度检测级别调整后,延迟消失。继续增加并发数量超过320每秒时,再次出现延迟,延迟最大为0.025s,系统再次自适应调整,延迟消失。降低并发连接数到270时,系统自动调整添加级别4的检测。在整个过程中,系统不会出现延迟越来越严重的现象,不会造成系统瘫痪,且如果用户关闭自适应深度调整,本发明所述的工作方式将与防火墙等防护系统的工作方式一致,不会形成因自动调整而降低安全策略的情况。
本发明不限于上述实施方式,本领域技术人员所做出的对上述实施方式任何显而易见的改进或变更,都不会超出本发明的构思和所附权利要求的保护范围。
Claims (10)
1.一种工控协议自适应深度检测装置,设置在工业网络和被保护设备之间,所述装置包括:中央处理器,内部存储器,Flash闪存,1个WAN接口,4个LAN接口,2个串行接口,所述中央处理器分别与所述内部存储器、Flash闪存、WAN接口、LAN接口、串行接口相连;其中,
所述中央处理器为运算控制中心,用于协调控制各部分电路的工作,通过运行软件程序实现工控协议自适应深度检测功能;
所述内部存储器用于存储存数据;
所述Flash闪存存储系统程序及实现工控协议自适应深度检测的软件程序;
所述WAN接口连接外部设备;
所述LAN接口连接被保护设备;
所述串行接口用于信息输出、日志输出和后台配置。
2.根据权利要求1所述的工控协议自适应深度检测装置,其特征在于,所述中央处理器为SparcV8架构。
3.根据权利要求1所述的工控协议自适应深度检测装置,其特征在于,所述串行接口采用RS485或RS232。
4.一种工控协议自适应深度检测方法,其特征在于,由设置在工业网络和被保护设备之间的装置截获外部设备向被保护设备发送的数据包,并在所述装置中运行如下步骤:
步骤1,逐级检测工控协议数据包是否合法;
步骤2,对被保护设备的状态指标进行检测;所述状态指标包括请求响应时间、并发用户数、接口流量、内存使用量、进程数、CPU占用量;
步骤3,进行自适应检测调整;
根据步骤2检测到的状态指标及用户配置的检测级别适应规则,自动调整数据包深度检测的检测级别,即按照网络状态逐级降级调整。
5.根据权利要求4所述的工控协议自适应深度检测方法,其特征在于,所述方法还包括在前置机安装后、系统运行前,或在运行过程中进行的用户配置步骤,用户通过界面或者Console命令方式进行如下配置:自适应检测指标配置;前置机设备网络接口、DNS配置;系统工作模式即代理模式、路由模式配置;网络访问控制的IP、MAC,IP范围、子网掩码,阻断/通过配置;自适应检测级别配置;端口控制配置。
6.根据权利要求4所述的工控协议自适应深度检测方法,其特征在于,所述方法还包括日志管理步骤;日志管理步骤在步骤1之前开始并一直进行,记录系统运行日志、安全防护日志、访问日志、安全监控日志;每一条记录的日志至少包括事件发生的日期、时间、源IP、目的IP、协议、事件描述和结果,用于日志的查找及导出备份。
7.根据权利要求4所述的工控协议自适应深度检测方法,其特征在于,所述方法还包括在步骤1之前进行的网络连接管理步骤,包括透明代理、加载网络驱动、网络监听服务、会话管理、内存池管理、接口管理。
8.根据权利要求4所述的工控协议自适应深度检测方法,其特征在于,所述步骤1逐级检测工控协议数据包是否合法的方法包括以下步骤:
步骤1.1,0级检测:基于IP、MAC地址的网络访问控制;
判断数据包的IP地址、MAC地址是否合法,不合法则丢弃,并记录日志;合法则进入下一步;
步骤1.2,1级检测:端口控制;
解析数据包得到数据包的源端口、目的端口,判断端口是否合法,不合法则丢弃,并记录日志;合法则进入下一步;
步骤1.3,2级检测:协议控制,完整性检查、合法性检查;
判断数据包的协议类型,根据用户配置的协议控制要求,判断该协议数据包的完整性、合法性,不合法则丢弃,并记录日志;合法则进入下一步;
步骤1.4,3级检测:功能码控制、参数控制;
根据协议类型,判断该协议中某些字段是否合法,不合法则丢弃,并记录日志;合法则进入下一步;所述字段包括功能码控制、参数控制;
步骤1.5,4级检测:预置规则库匹配控制;
根据协议类型匹配预置规则库,判断协议是否符合预置规则,不符合则丢弃,并记录日志;符合则进入下一步;
步骤1.6,5级检测:用户自定义规则配置;
对用户自定义规则进行匹配,不合法则丢弃,并记录日志;合法则转发给目标地址。
9.根据权利要求4所述的工控协议自适应深度检测方法,其特征在于,所述用户配置的检测级别适应规则是用户根据网络拥塞状态、流量控制信息和系统信息配置的降级工作规则。
10.根据权利要求4所述的工控协议自适应深度检测方法,其特征在于,所述步骤2对被保护设备的状态指标进行检测的方法具体包括以下步骤:
步骤2.1,检测请求响应时间:接到数据包时记录一个时间戳,数据包经处理后发出时记录一个时间戳,请求响应时间为后一个时间戳与前一个时间戳的差值;
步骤2.2,通过检测网络接口的网络连接数检测并发用户数;
步骤2.3,检测每个网络接口流量;
步骤2.4,通过系统指令获取操作系统指标:使用内存数,进程数;
步骤2.5,将步骤2.1~2.4中检测到的网络状态数据存储到数据结构deviceInfo中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510958868.7A CN105429824B (zh) | 2015-12-18 | 2015-12-18 | 一种工控协议自适应深度检测装置与方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510958868.7A CN105429824B (zh) | 2015-12-18 | 2015-12-18 | 一种工控协议自适应深度检测装置与方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105429824A true CN105429824A (zh) | 2016-03-23 |
CN105429824B CN105429824B (zh) | 2019-12-10 |
Family
ID=55507773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510958868.7A Expired - Fee Related CN105429824B (zh) | 2015-12-18 | 2015-12-18 | 一种工控协议自适应深度检测装置与方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105429824B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105978745A (zh) * | 2016-07-27 | 2016-09-28 | 福州福大自动化科技有限公司 | 一种面向工业控制系统的异常状态监测方法 |
CN106506202A (zh) * | 2016-10-31 | 2017-03-15 | 华中科技大学 | 面向工控系统信息安全防护的半实物演示验证平台及方法 |
CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
CN107493560A (zh) * | 2017-08-02 | 2017-12-19 | 维灵(杭州)信息技术有限公司 | 激光镭射系统、方法、装置及激光镭射内容自动获取方法 |
CN107765641A (zh) * | 2017-10-17 | 2018-03-06 | 佛山伊贝尔科技有限公司 | 智能精密线轨加工中心生产线集成系统 |
CN110457137A (zh) * | 2019-08-16 | 2019-11-15 | 杭州安恒信息技术股份有限公司 | 流量解析方法、装置、电子设备及计算机可读介质 |
CN110460623A (zh) * | 2019-09-27 | 2019-11-15 | 杭州九略智能科技有限公司 | 一种针对工业控制通用协议的处理系统、方法及终端 |
CN110958160A (zh) * | 2019-11-25 | 2020-04-03 | 睿哲科技股份有限公司 | 网站检测方法、装置、系统以及计算机可读存储介质 |
CN113079185A (zh) * | 2021-06-07 | 2021-07-06 | 北京网藤科技有限公司 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
CN113228585A (zh) * | 2018-10-23 | 2021-08-06 | 阿卡麦科技公司 | 具有基于反馈回路的增强流量分析的网络安全系统 |
CN114285652A (zh) * | 2021-12-27 | 2022-04-05 | 湖北天融信网络安全技术有限公司 | 工业协议检测方法、装置及计算机设备、存储介质 |
CN114301645A (zh) * | 2021-12-16 | 2022-04-08 | 北京六方云信息技术有限公司 | 异常行为检测方法、装置、终端设备以及存储介质 |
CN115102793A (zh) * | 2022-08-24 | 2022-09-23 | 北京网藤科技有限公司 | 基于日志信息分析的工控网络安全策略匹配方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902348A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 网络安全系统及其系统负荷自动调整方法 |
EP2400708A1 (de) * | 2010-06-22 | 2011-12-28 | Siemens Aktiengesellschaft | Netzwerk-Schutzeinrichtung |
CN202979015U (zh) * | 2012-12-23 | 2013-06-05 | 珠海市鸿瑞软件技术有限公司 | 工控防火墙 |
-
2015
- 2015-12-18 CN CN201510958868.7A patent/CN105429824B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902348A (zh) * | 2009-05-25 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 网络安全系统及其系统负荷自动调整方法 |
EP2400708A1 (de) * | 2010-06-22 | 2011-12-28 | Siemens Aktiengesellschaft | Netzwerk-Schutzeinrichtung |
CN202979015U (zh) * | 2012-12-23 | 2013-06-05 | 珠海市鸿瑞软件技术有限公司 | 工控防火墙 |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105978745B (zh) * | 2016-07-27 | 2019-08-13 | 福州福大自动化科技有限公司 | 一种面向工业控制系统的异常状态监测方法 |
CN105978745A (zh) * | 2016-07-27 | 2016-09-28 | 福州福大自动化科技有限公司 | 一种面向工业控制系统的异常状态监测方法 |
CN106506202A (zh) * | 2016-10-31 | 2017-03-15 | 华中科技大学 | 面向工控系统信息安全防护的半实物演示验证平台及方法 |
CN106506202B (zh) * | 2016-10-31 | 2017-12-29 | 华中科技大学 | 面向工控系统信息安全防护的半实物演示验证平台及方法 |
CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
CN107493560A (zh) * | 2017-08-02 | 2017-12-19 | 维灵(杭州)信息技术有限公司 | 激光镭射系统、方法、装置及激光镭射内容自动获取方法 |
CN107493560B (zh) * | 2017-08-02 | 2023-10-10 | 维灵(杭州)信息技术有限公司 | 激光镭射系统、方法、装置及激光镭射内容自动获取方法 |
CN107765641A (zh) * | 2017-10-17 | 2018-03-06 | 佛山伊贝尔科技有限公司 | 智能精密线轨加工中心生产线集成系统 |
CN113228585A (zh) * | 2018-10-23 | 2021-08-06 | 阿卡麦科技公司 | 具有基于反馈回路的增强流量分析的网络安全系统 |
CN113228585B (zh) * | 2018-10-23 | 2023-03-31 | 阿卡麦科技公司 | 具有基于反馈回路的增强流量分析的网络安全系统 |
CN110457137A (zh) * | 2019-08-16 | 2019-11-15 | 杭州安恒信息技术股份有限公司 | 流量解析方法、装置、电子设备及计算机可读介质 |
CN110460623A (zh) * | 2019-09-27 | 2019-11-15 | 杭州九略智能科技有限公司 | 一种针对工业控制通用协议的处理系统、方法及终端 |
CN110958160A (zh) * | 2019-11-25 | 2020-04-03 | 睿哲科技股份有限公司 | 网站检测方法、装置、系统以及计算机可读存储介质 |
CN113079185B (zh) * | 2021-06-07 | 2021-09-24 | 北京网藤科技有限公司 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
CN113079185A (zh) * | 2021-06-07 | 2021-07-06 | 北京网藤科技有限公司 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
CN114301645A (zh) * | 2021-12-16 | 2022-04-08 | 北京六方云信息技术有限公司 | 异常行为检测方法、装置、终端设备以及存储介质 |
CN114285652A (zh) * | 2021-12-27 | 2022-04-05 | 湖北天融信网络安全技术有限公司 | 工业协议检测方法、装置及计算机设备、存储介质 |
CN115102793A (zh) * | 2022-08-24 | 2022-09-23 | 北京网藤科技有限公司 | 基于日志信息分析的工控网络安全策略匹配方法和系统 |
CN115102793B (zh) * | 2022-08-24 | 2022-11-08 | 北京网藤科技有限公司 | 基于日志信息分析的工控网络安全策略匹配方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105429824B (zh) | 2019-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105429824A (zh) | 一种工控协议自适应深度检测装置与方法 | |
CN101022343B (zh) | 网络入侵检测/抵御系统及方法 | |
CN101431449B (zh) | 一种网络流量清洗系统 | |
US8122494B2 (en) | Apparatus and method of securing network | |
CN101330464B (zh) | 网络接口系统、数据包传输方法及计算机系统 | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
CN103200123B (zh) | 一种交换机端口安全控制方法 | |
CN107566359A (zh) | 一种智能防火墙系统及防护方法 | |
KR100908404B1 (ko) | 분산서비스거부공격의 방어방법 및 방어시스템 | |
CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
WO2011079669A1 (zh) | 网络攻击防护方法、设备及系统 | |
JP2006352669A (ja) | 攻撃検知・防御システム | |
KR20050081439A (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
CN110636086B (zh) | 网络防护测试方法及装置 | |
TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
CN103051605A (zh) | 一种数据包处理方法、装置和系统 | |
CN102577240B (zh) | 用于采用速率限制进行病毒扼制的方法和装置 | |
KR100479202B1 (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
CN101951367A (zh) | 一种校园网防范arp病毒入侵的方法 | |
WO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
TW201616386A (zh) | 雲端虛擬網路安全之防護方法與系統 | |
CN100364280C (zh) | 一种下发安全策略的方法 | |
KR20030057929A (ko) | 내·외부망 통합 보안 시스템 및 방법 | |
JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
CN102164135B (zh) | 前置可重构DDoS攻击防御装置及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20191210 |