CN105429963A - 基于Modbus/Tcp的入侵检测分析方法 - Google Patents

基于Modbus/Tcp的入侵检测分析方法 Download PDF

Info

Publication number
CN105429963A
CN105429963A CN201510740526.8A CN201510740526A CN105429963A CN 105429963 A CN105429963 A CN 105429963A CN 201510740526 A CN201510740526 A CN 201510740526A CN 105429963 A CN105429963 A CN 105429963A
Authority
CN
China
Prior art keywords
packet
rule
module
data
modbus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510740526.8A
Other languages
English (en)
Other versions
CN105429963B (zh
Inventor
赖英旭
王宇盛
宋站威
刘静
杨凯翔
蔡晓田
李亚娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN201510740526.8A priority Critical patent/CN105429963B/zh
Publication of CN105429963A publication Critical patent/CN105429963A/zh
Application granted granted Critical
Publication of CN105429963B publication Critical patent/CN105429963B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

基于Modbus/Tcp的入侵检测分析方法,该方法包括数据采集模块与网络接口相连,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配。本方法在不改变工业网络结构和不影响日常生产的前提下,为用户提供了规则离线学习,在线实时检测的安全措施,根据企业策略需求阻断潜在威胁,漏报和误报的现象少,入侵识别快,从而以较低的成本大大提高了工业控制系统的网络安全水平。

Description

基于Modbus/Tcp的入侵检测分析方法
技术领域
本发明涉及工业控制网络技术领域,特别涉及一种基于Modbus/Tcp的控制网络协议入侵检测的分析方法和入侵检测系统。
背景技术
随着工业化、自动化向着网络化、信息化的转变,越来越多的工业控制系统采用标准的、通用的通信协议和软硬件系统;再这样的背景下,工业控制系统原有的封装性被打破,各种不安全因素,如病毒、木马、入侵等会随着正常的信息流进入工业控制网络,导致企业生产的不稳定,特别是电力传输、交通运输、油气开采、水处理等关系到国家安全的重要行业和领域,面临着日益严重的安全威胁。
目前,工业控制网络多采用传统的防火墙、网闸等设备进行安全防护;这些设备的基本原理是提供较好的身份认证和访问控制,检测并隔离流经防护设备的异常信息流,防止已知病毒和攻击的入侵;但是这种方法不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者利用带有危险操作控制命令的合法数据包来进行攻击,将会导致设备的运行出现异常甚至损坏;例如近几年出现的针对伊朗工业基础设施的震网病毒,通过篡改正常工业控制协议参数,对伊朗核设施造成了严重的破坏。
近年来,入侵检测系统一般采用误用入侵检测和异常入侵检测;误用入侵检测根据已知特征匹配网络中的通讯流量,具有误报率较低的特征,但由于工控系统攻击行为特征库不可能包含所有的攻击行为,使用误用检测的方式容易产生漏报警的情况;而异常入侵检测,建立在工业控制系统本身通讯流量具有简单固定的通讯模式的基础上,通过建立正常的行为规则来识别出异常的流量,但由于没有对网络协议进行深度的解析,工业控制协议的特征没有得到灵活的运用,容易出现误报警现象。
发明内容
为了解决上述问题,本发明提供了一种基于Modbus/Tcp工业控制网络协议入侵检测的分析方法和入侵检测系统,不仅能够减少漏报和误报的现象,而且了实现对入侵攻击的快速检测。
为了达到本发明的目的,本发明提供了一种基于Modbus/Tcp工业控制网络协议的入侵检测系统,该系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块。
所述的数据采集模块与网络接口相连,数据采集模块用于捕获流入的数据包,并将数据包发送给数据解析模块。
数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块。
规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行为的规则集合;还可以添加带有异常特征的规则集合。
规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配。如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包。
客户窗口模块,对本系统的功能以图形界面的形式提供给用户使用,实现查看和修改数据库,从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测等一些功能。
另外,本系统还包括存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
除此之外,该本系统还包括日志记录模块和报警记录模块;所述的日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
为了达到本发明的目的,本发明提供了一种基于Modbus/Tcp工业控制网络协议的入侵检测分析方法,该方法包括:数据采集模块与网络接口相连,用于捕获流入的数据包,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配,如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包。
首先,该方法包括数据采集模块,用来捕获网络流量。
其次,该方法包括数据解析模块,对接收的数据包进行解析,在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包的解析结果发送给规则匹配模块;详细地,数据解析模块从数据采集模块中获取数据包的到达时间;提取协议类型和数据包的长度;对数据包的网络层解析,提取源和目的IP地址;对传输层解析,提取源和目的端口号,以及按照源和目的端口号判断主从设备,标记数据包为请求数据包(Query)或者响应数据包(Response),并且提取数据包的序列号、应答号、Modbus报文长度;对Modbus报文进行解析,提取Modbus功能码、线圈或寄存器的起始地址以及数量;提取Modbus的载荷。
再次,该方法包括规则生成模块。
1)规则生成模块接收所有的解析数据包,将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1;详细地,相邻的两个数据包,先接收的数据包记为A,后接收的数据包记为B,B的应答号等价于A的序列号和A的Modbus报文长度之和,而且B的序列号等价于A的应答号。
2)规则生成模块对接收的解析数据包按照请求和响应数据包两两分对,计算请求和响应数据包之间的时间间隔范围,作为请求和响应数据包之间的规则集R2;详细地,规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同,作为请求和响应数据包之间的规则,添加到规则R2。
3)规则生成模块对分类数据包库中数据包的周期特性进行分析,将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3;详细地,规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类;针对分类数据包的周期特性,可划分为有周期特性的数据包和无周期特性的数据包;有周期特性数据包把数据包之间到达的时间间隔作为它的周期,无周期特性数据包的周期记为零;将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则。
4)规则生成模块还能手动添加带异常特征的规则集。
最后,该方法包括规则匹配模块,规则匹配模块对解析后的数据包与数据库中的规则进行匹配;详细地,规则匹配模块将解析的数据包同步存储到两个库,整体数据包库L1和分类数据包库L2;利用R3规则集对L2中的分类数据包进行检测,利用R4、R1和R2规则集对L1中整体数据包进行检测;如果判定这个数据包异常,将数据包存放到报警记录模块,如果判定这个数据包正常,将数据包存放到日志记录模块。
另外,在该方法之前,还包括存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
除此之外,该方法还包括日志记录模块和报警记录模块;所述的日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
本发明提供了一种基于Modbus/Tcp工业控制网络协议入侵检测的分析方法和入侵检测系统,在不改变工业网络结构和不影响日常生产的前提下,为用户提供了规则离线学习,在线实时检测的安全措施,根据企业策略需求阻断潜在威胁,漏报和误报的现象少,入侵识别快,从而以较低的成本大大提高了工业控制系统的网络安全水平。
附图说明
图1是本发明系统的结构示意图。
图2是本发明方法的流程示意图。
图3是本发明规则生成模块处理解析后的数据包,生成规则的流程示意图。
图4是本发明规则匹配模块检测解析后的数据包,实时检测的流程示意图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。
图1是本发明基于Modbus/Tcp工业控制网络协议的入侵检测系统的结构示意图,如图1所示,包括:
数据采集模块与网络接口相连,用于捕获流入的数据包,并将数据包发送给数据解析模块。
数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块。
规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行为的规则集合;还能够添加带有异常特征的规则集合。
规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配。如果和正常规则集合R1、R2、R3全部匹配,判定为正常数据包;如果存在和异常规则集R4对应规则匹配的数据包,判定为异常数据包。
存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
日志记录模块和报警记录模块。
具体地,日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
图2是本发明基于Modbus/Tcp工业控制网络协议的入侵检测分析方法的流程示意图,如图2所示,包括:
步骤21,本发明的数据采集模块捕获流入的数据包,并将捕获的数据包发送给数据解析模块。
在本步骤中,数据采集模块通过WinPcap编程获取主机网卡信息,在混杂模式下监听、捕获网卡数据包,将捕获的数据包发送给数据解析模块。
步骤22,数据解析模块对接收的数据包进行解析,并将解析好的数据包信息发送给规则生成模块或规则匹配模块。
在本步骤中,接收的数据包是网络通信传输中的数据单位,包括报头和负载。根据协议解码,对数据包进行解析,从中提取出数据包的到达时间、协议类型、数据包长度、源和目的IP、源和目的端口号、数据包的序列号、应答号、Modbus报文长度、事务处理标识符、协议标识符、长度、单元标识符、Modbus功能码、线圈或寄存器的起始地址以及数量、Modbus载荷等有意义的字段信息。
步骤23,判断是否开始规则匹配模块,如果否,进入步骤24,如果是,进入步骤25。
步骤24,规则生成模块接收解析后的数据包,生成规则集合,存放到数据库中。
规则生成模块生成规则具体可如图3所示,包括:
步骤241,规则生成模块接收所有的解析数据包,将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1。
具体地,相邻的两个数据包,先接收的数据包记为A,后接收的数据包记为B,B的应答号等价于A的序列号和A的Modbus报文长度之和,而且B的序列号等价于A的应答号。
步骤242,规则生成模块对接收的解析数据包按照请求和响应数据包两两分对,计算请求和响应数据包之间的时间间隔范围,作为请求和响应数据包之间的规则集R2。
步骤243,规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同,作为请求和响应数据包之间的规则,添加到规则R2。
步骤244,规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类。
具体地,按照这几个特征字段对数据包进行分类,将分类后的数据包存放到存储模块的L2分类数据包库中。
步骤245,规则生成模块对L2分类数据包库中数据包的周期特性进行分析,将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3。
具体地,针对分类数据包的周期特性,可划分为有周期特性的数据包和无周期特性的数据包;有周期特性数据包把数据包之间到达的时间间隔作为它的周期,无周期特性数据包的周期记为零;将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则。
步骤246,规则生成模块将规则R1、R2和R3作为正常规则集合,添加到数据库中。
步骤247,向数据库手动添加带异常特征的规则集R4。
步骤25,规则匹配模块对解析后的数据包与数据库中的规则进行匹配。
规则匹配模块对数据包的匹配具体可如图4所示,包括:
步骤251,规则匹配模块将解析的数据包同步存储到两个库,整体数据包库L1和分类数据包库L2。
步骤252,规则匹配模块利用R3规则集对L2中的分类数据包进行检测。
具体地,对分类数据包先判断是否存在周期特性,如果存在周期特性,首先检测分类数据包到达时间是否符合规则集R3中的周期,然后检测数据包字段值的变化规律;如果不存在周期特性,直接检测数据包字段值的变化规律。
步骤253,判断R3规则集是否匹配成功,如果否,进入步骤254,如果是,进入步骤255。
步骤254,规则匹配模块判断这个数据包为异常。
步骤255,规则匹配模块利用R4规则集对L1中整体数据包进行检测。
具体地,利用R4规则集对整体数据包依次检测,判断数据包与R4规则集中对应的规则是否匹配,如果是,进入步骤254,如果否,进入步骤257。
步骤257,规则匹配模块利用R1和R2规则集对L1中整体数据包进行检测。
具体地,首先利用R1规则集对整体数据包依次检测,同时利用R2规则集对整体数据包按照一对一对的检测,判断请求和响应数据包的时间间隔是否在R2规则集的正常范围内,然后检测请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值是否相同。
步骤258,规则匹配模块判断R1规则集和R2规则集是否匹配成功,如果否,进入步骤254,如果是,进入步骤259。
步骤259,规则匹配模块判断这个数据包为正常。
应当理解,虽然本说明书根据实施方式加以描述,但是并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为了清楚起见,本领域的技术人员应当将说明书作为一个整体,各个实施方式中的技术方案也可以适当组合,按照本领域技术人员的理解来实施。
上文所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用于限制本发明的保护范围,凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

Claims (4)

1.基于Modbus/Tcp的入侵检测系统,其特征在于:该系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块;
所述的数据采集模块与网络接口相连,数据采集模块用于捕获流入的数据包,并将数据包发送给数据解析模块;
数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块;
规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行为的规则集合;还可以添加带有异常特征的规则集合;
规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配;如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包;
客户窗口模块,对本系统的功能以图形界面的形式提供给用户使用,实现查看和修改数据库,从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测功能。
2.根据权利要求1所述的基于Modbus/Tcp的入侵检测系统,其特征在于:本系统还包括存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
3.根据权利要求1所述的基于Modbus/Tcp的入侵检测系统,其特征在于:该本系统还包括日志记录模块和报警记录模块;所述的日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
4.基于Modbus/Tcp的入侵检测分析方法,该方法包括:数据采集模块与网络接口相连,用于捕获流入的数据包,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配,如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包;
首先,该方法包括数据采集模块,用来捕获网络流量;
其次,该方法包括数据解析模块,对接收的数据包进行解析,在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包的解析结果发送给规则匹配模块;详细地,数据解析模块从数据采集模块中获取数据包的到达时间;提取协议类型和数据包的长度;对数据包的网络层解析,提取源和目的IP地址;对传输层解析,提取源和目的端口号,以及按照源和目的端口号判断主从设备,标记数据包为请求数据包(Query)或者响应数据包(Response),并且提取数据包的序列号、应答号、Modbus报文长度;对Modbus报文进行解析,提取Modbus功能码、线圈或寄存器的起始地址以及数量;提取Modbus的载荷;
再次,该方法包括规则生成模块;
1)规则生成模块接收所有的解析数据包,将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1;详细地,相邻的两个数据包,先接收的数据包记为A,后接收的数据包记为B,B的应答号等价于A的序列号和A的Modbus报文长度之和,而且B的序列号等价于A的应答号;
2)规则生成模块对接收的解析数据包按照请求和响应数据包两两分对,计算请求和响应数据包之间的时间间隔范围,作为请求和响应数据包之间的规则集R2;详细地,规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同,作为请求和响应数据包之间的规则,添加到规则R2;
3)规则生成模块对分类数据包库中数据包的周期特性进行分析,将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3;详细地,规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类;针对分类数据包的周期特性,可划分为有周期特性的数据包和无周期特性的数据包;有周期特性数据包把数据包之间到达的时间间隔作为它的周期,无周期特性数据包的周期记为零;将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则;
4)规则生成模块还能手动添加带异常特征的规则集;
最后,该方法包括规则匹配模块,规则匹配模块对解析后的数据包与数据库中的规则进行匹配;详细地,规则匹配模块将解析的数据包同步存储到两个库,整体数据包库L1和分类数据包库L2;利用R3规则集对L2中的分类数据包进行检测,利用R4、R1和R2规则集对L1中整体数据包进行检测;如果判定这个数据包异常,将数据包存放到报警记录模块,如果判定这个数据包正常,将数据包存放到日志记录模块。
CN201510740526.8A 2015-11-04 2015-11-04 基于Modbus/Tcp的入侵检测分析方法 Active CN105429963B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510740526.8A CN105429963B (zh) 2015-11-04 2015-11-04 基于Modbus/Tcp的入侵检测分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510740526.8A CN105429963B (zh) 2015-11-04 2015-11-04 基于Modbus/Tcp的入侵检测分析方法

Publications (2)

Publication Number Publication Date
CN105429963A true CN105429963A (zh) 2016-03-23
CN105429963B CN105429963B (zh) 2019-01-22

Family

ID=55507905

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510740526.8A Active CN105429963B (zh) 2015-11-04 2015-11-04 基于Modbus/Tcp的入侵检测分析方法

Country Status (1)

Country Link
CN (1) CN105429963B (zh)

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721500A (zh) * 2016-04-10 2016-06-29 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
CN106209843A (zh) * 2016-07-12 2016-12-07 工业和信息化部电子工业标准化研究院 一种面向Modbus协议的数据流异常分析方法
CN106330975A (zh) * 2016-11-03 2017-01-11 上海三零卫士信息安全有限公司 一种基于scada系统的周期性异常检测的方法
CN106506449A (zh) * 2016-09-27 2017-03-15 国家数字交换系统工程技术研究中心 一种未知异常的检测方法、装置及检测设备
CN107222491A (zh) * 2017-06-22 2017-09-29 北京工业大学 一种基于工业控制网络变种攻击的入侵检测规则创建方法
CN107979567A (zh) * 2016-10-25 2018-05-01 北京计算机技术及应用研究所 一种基于协议分析的异常检测系统及方法
WO2018157336A1 (zh) * 2017-03-01 2018-09-07 西门子公司 数据处理装置和方法
CN109327430A (zh) * 2018-08-01 2019-02-12 中国科学院、水利部成都山地灾害与环境研究所 一种用户访问行为分析方法和装置
CN109413037A (zh) * 2018-09-12 2019-03-01 北京奇安信科技有限公司 一种Modbus业务处理方法及装置
CN109510803A (zh) * 2017-09-15 2019-03-22 中国联合网络通信集团有限公司 一种调整防火墙防护策略的方法及设备
CN109743282A (zh) * 2018-11-21 2019-05-10 北京奇安信科技有限公司 一种基于工控协议的高危安全风险识别方法及装置
CN109922026A (zh) * 2017-12-13 2019-06-21 西门子公司 一个ot系统的监测方法、装置、系统和存储介质
CN110061896A (zh) * 2019-05-06 2019-07-26 浙江明度智控科技有限公司 一种modbus-rtu总线地址冲突检测方法
CN110320890A (zh) * 2019-07-08 2019-10-11 北京科技大学 一种针对plc控制系统的入侵检测系统
CN110995741A (zh) * 2019-12-17 2020-04-10 浙江大学 一种基于电网开关通信数据的极光攻击检测系统、方法
CN111083149A (zh) * 2019-12-23 2020-04-28 北京简网科技有限公司 Modbus协议的变量数据检测分析方法及装置
CN111193747A (zh) * 2019-12-31 2020-05-22 奇安信科技集团股份有限公司 报文的威胁检测方法、装置、电子设备和存储介质
CN111339211A (zh) * 2018-12-19 2020-06-26 中国移动通信集团重庆有限公司 网络问题分析的方法、装置、设备及介质
CN111586057A (zh) * 2020-05-09 2020-08-25 杭州安恒信息技术股份有限公司 transaction级别的Modbus协议工控异常行为检测方法、系统
CN111600863A (zh) * 2020-05-08 2020-08-28 杭州安恒信息技术股份有限公司 网络入侵检测方法、装置、系统和存储介质
CN111740997A (zh) * 2020-06-22 2020-10-02 浙江中控技术股份有限公司 基于ModBusRTU的安全防护方法及装置
CN108055276B (zh) * 2017-12-25 2020-10-20 南京南邮信息产业技术研究院有限公司 面向大数据应用平台的入侵检测实时分析系统
CN111917802A (zh) * 2020-08-19 2020-11-10 北京微步在线科技有限公司 一种入侵检测规则测试平台及测试方法
WO2021023053A1 (zh) * 2019-08-05 2021-02-11 阿里巴巴集团控股有限公司 数据处理方法、设备及存储介质
CN114422195A (zh) * 2021-12-24 2022-04-29 杭州优稳自动化系统有限公司 适用于工控系统的伪控制指令识别与预警系统及方法
CN114679504A (zh) * 2022-05-27 2022-06-28 成都数联云算科技有限公司 Udp报文解析方法、装置及计算机设备
CN114978782A (zh) * 2022-08-02 2022-08-30 北京六方云信息技术有限公司 工控威胁检测方法、装置、工控设备以及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030120622A1 (en) * 2001-09-21 2003-06-26 Kari Nurmela Data packet filtering
US20050251570A1 (en) * 2002-04-18 2005-11-10 John Heasman Intrusion detection system
CN101552722A (zh) * 2008-04-03 2009-10-07 北京启明星辰信息技术股份有限公司 一种管理网络流量带宽的方法及装置
CN104135490A (zh) * 2014-08-14 2014-11-05 浪潮(北京)电子信息产业有限公司 入侵检测系统分析方法和入侵检测系统
CN104702584A (zh) * 2013-12-10 2015-06-10 中国科学院沈阳自动化研究所 一种基于自学习规则的Modbus通信访问控制方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030120622A1 (en) * 2001-09-21 2003-06-26 Kari Nurmela Data packet filtering
US20050251570A1 (en) * 2002-04-18 2005-11-10 John Heasman Intrusion detection system
CN101552722A (zh) * 2008-04-03 2009-10-07 北京启明星辰信息技术股份有限公司 一种管理网络流量带宽的方法及装置
CN104702584A (zh) * 2013-12-10 2015-06-10 中国科学院沈阳自动化研究所 一种基于自学习规则的Modbus通信访问控制方法
CN104135490A (zh) * 2014-08-14 2014-11-05 浪潮(北京)电子信息产业有限公司 入侵检测系统分析方法和入侵检测系统

Cited By (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721500A (zh) * 2016-04-10 2016-06-29 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
CN105721500B (zh) * 2016-04-10 2019-01-15 北京工业大学 一种基于TPM的Modbus/TCP协议的安全增强方法
CN106209843A (zh) * 2016-07-12 2016-12-07 工业和信息化部电子工业标准化研究院 一种面向Modbus协议的数据流异常分析方法
CN106506449A (zh) * 2016-09-27 2017-03-15 国家数字交换系统工程技术研究中心 一种未知异常的检测方法、装置及检测设备
CN106506449B (zh) * 2016-09-27 2019-12-31 国家数字交换系统工程技术研究中心 一种未知异常的检测方法、装置及检测设备
CN107979567A (zh) * 2016-10-25 2018-05-01 北京计算机技术及应用研究所 一种基于协议分析的异常检测系统及方法
CN106330975A (zh) * 2016-11-03 2017-01-11 上海三零卫士信息安全有限公司 一种基于scada系统的周期性异常检测的方法
WO2018157336A1 (zh) * 2017-03-01 2018-09-07 西门子公司 数据处理装置和方法
US11405358B2 (en) 2017-03-01 2022-08-02 Siemens Aktiengesellschaft Network security monitoring of network traffic
CN107222491A (zh) * 2017-06-22 2017-09-29 北京工业大学 一种基于工业控制网络变种攻击的入侵检测规则创建方法
CN107222491B (zh) * 2017-06-22 2021-01-05 北京工业大学 一种基于工业控制网络变种攻击的入侵检测规则创建方法
CN109510803A (zh) * 2017-09-15 2019-03-22 中国联合网络通信集团有限公司 一种调整防火墙防护策略的方法及设备
CN109922026A (zh) * 2017-12-13 2019-06-21 西门子公司 一个ot系统的监测方法、装置、系统和存储介质
CN108055276B (zh) * 2017-12-25 2020-10-20 南京南邮信息产业技术研究院有限公司 面向大数据应用平台的入侵检测实时分析系统
CN109327430A (zh) * 2018-08-01 2019-02-12 中国科学院、水利部成都山地灾害与环境研究所 一种用户访问行为分析方法和装置
CN109413037B (zh) * 2018-09-12 2021-11-16 奇安信科技集团股份有限公司 一种Modbus业务处理方法及装置
CN109413037A (zh) * 2018-09-12 2019-03-01 北京奇安信科技有限公司 一种Modbus业务处理方法及装置
CN109743282B (zh) * 2018-11-21 2022-04-26 奇安信科技集团股份有限公司 一种基于工控协议的高危安全风险识别方法及装置
CN109743282A (zh) * 2018-11-21 2019-05-10 北京奇安信科技有限公司 一种基于工控协议的高危安全风险识别方法及装置
CN111339211A (zh) * 2018-12-19 2020-06-26 中国移动通信集团重庆有限公司 网络问题分析的方法、装置、设备及介质
CN111339211B (zh) * 2018-12-19 2023-09-19 中国移动通信集团重庆有限公司 网络问题分析的方法、装置、设备及介质
CN110061896B (zh) * 2019-05-06 2021-04-13 浙江明度智控科技有限公司 一种modbus-rtu总线地址冲突检测方法
CN110061896A (zh) * 2019-05-06 2019-07-26 浙江明度智控科技有限公司 一种modbus-rtu总线地址冲突检测方法
CN110320890A (zh) * 2019-07-08 2019-10-11 北京科技大学 一种针对plc控制系统的入侵检测系统
CN110320890B (zh) * 2019-07-08 2021-08-03 北京科技大学 一种针对plc控制系统的入侵检测系统
WO2021023053A1 (zh) * 2019-08-05 2021-02-11 阿里巴巴集团控股有限公司 数据处理方法、设备及存储介质
CN110995741A (zh) * 2019-12-17 2020-04-10 浙江大学 一种基于电网开关通信数据的极光攻击检测系统、方法
CN111083149A (zh) * 2019-12-23 2020-04-28 北京简网科技有限公司 Modbus协议的变量数据检测分析方法及装置
CN111193747A (zh) * 2019-12-31 2020-05-22 奇安信科技集团股份有限公司 报文的威胁检测方法、装置、电子设备和存储介质
CN111193747B (zh) * 2019-12-31 2022-06-10 奇安信科技集团股份有限公司 报文的威胁检测方法、装置、电子设备和存储介质
CN111600863A (zh) * 2020-05-08 2020-08-28 杭州安恒信息技术股份有限公司 网络入侵检测方法、装置、系统和存储介质
CN111600863B (zh) * 2020-05-08 2022-09-13 杭州安恒信息技术股份有限公司 网络入侵检测方法、装置、系统和存储介质
CN111586057B (zh) * 2020-05-09 2022-08-16 杭州安恒信息技术股份有限公司 transaction级别的Modbus协议工控异常行为检测方法、系统
CN111586057A (zh) * 2020-05-09 2020-08-25 杭州安恒信息技术股份有限公司 transaction级别的Modbus协议工控异常行为检测方法、系统
CN111740997A (zh) * 2020-06-22 2020-10-02 浙江中控技术股份有限公司 基于ModBusRTU的安全防护方法及装置
CN111917802A (zh) * 2020-08-19 2020-11-10 北京微步在线科技有限公司 一种入侵检测规则测试平台及测试方法
CN114422195A (zh) * 2021-12-24 2022-04-29 杭州优稳自动化系统有限公司 适用于工控系统的伪控制指令识别与预警系统及方法
CN114679504A (zh) * 2022-05-27 2022-06-28 成都数联云算科技有限公司 Udp报文解析方法、装置及计算机设备
CN114978782A (zh) * 2022-08-02 2022-08-30 北京六方云信息技术有限公司 工控威胁检测方法、装置、工控设备以及存储介质
CN114978782B (zh) * 2022-08-02 2022-11-01 北京六方云信息技术有限公司 工控威胁检测方法、装置、工控设备以及存储介质

Also Published As

Publication number Publication date
CN105429963B (zh) 2019-01-22

Similar Documents

Publication Publication Date Title
CN105429963A (zh) 基于Modbus/Tcp的入侵检测分析方法
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN104811449B (zh) 检测撞库攻击方法及系统
US9860278B2 (en) Log analyzing device, information processing method, and program
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
CN103179105B (zh) 一种基于网络流量中行为特征的智能木马检测装置及其方法
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
CN103957203B (zh) 一种网络安全防御系统
CN104579818A (zh) 智能变电站网络异常报文检测方法
CN103795709A (zh) 一种网络安全检测方法和系统
CN109391599A (zh) 一种基于https流量特征分析的僵尸网络通讯信号的检测系统
RU2475836C1 (ru) Способ защиты вычислительных сетей
CN101213812A (zh) 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法
KR102001812B1 (ko) K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
CN101217547A (zh) 基于开源内核的无状态的泛洪请求攻击过滤方法
CN108737367A (zh) 一种视频监控网络的异常检测方法及系统
Shin et al. Unsupervised multi-stage attack detection framework without details on single-stage attacks
Kang et al. Whitelists based multiple filtering techniques in SCADA sensor networks
CN105227540A (zh) 一种事件触发式的mtd防护系统及方法
Garg et al. PHAD: packet header anomaly detection
Athavale et al. Framework for threat analysis and attack modelling of network security protocols
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
CN113810361A (zh) 一种无ip防火墙的快速部署管理方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant