CN105429963B - 基于Modbus/Tcp的入侵检测分析方法 - Google Patents
基于Modbus/Tcp的入侵检测分析方法 Download PDFInfo
- Publication number
- CN105429963B CN105429963B CN201510740526.8A CN201510740526A CN105429963B CN 105429963 B CN105429963 B CN 105429963B CN 201510740526 A CN201510740526 A CN 201510740526A CN 105429963 B CN105429963 B CN 105429963B
- Authority
- CN
- China
- Prior art keywords
- rule
- data packet
- module
- data
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于Modbus/Tcp的入侵检测分析方法,该方法包括数据采集模块与网络接口相连,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配。本方法在不改变工业网络结构和不影响日常生产的前提下,为用户提供了规则离线学习,在线实时检测的安全措施,根据企业策略需求阻断潜在威胁,漏报和误报的现象少,入侵识别快,从而以较低的成本大大提高了工业控制系统的网络安全水平。
Description
技术领域
本发明涉及工业控制网络技术领域,特别涉及一种基于Modbus/Tcp的控制网络协议入侵检测的分析方法和入侵检测系统。
背景技术
随着工业化、自动化向着网络化、信息化的转变,越来越多的工业控制系统采用标准的、通用的通信协议和软硬件系统;再这样的背景下,工业控制系统原有的封装性被打破,各种不安全因素,如病毒、木马、入侵等会随着正常的信息流进入工业控制网络,导致企业生产的不稳定,特别是电力传输、交通运输、油气开采、水处理等关系到国家安全的重要行业和领域,面临着日益严重的安全威胁。
目前,工业控制网络多采用传统的防火墙、网闸等设备进行安全防护;这些设备的基本原理是提供较好的身份认证和访问控制,检测并隔离流经防护设备的异常信息流,防止已知病毒和攻击的入侵;但是这种方法不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者利用带有危险操作控制命令的合法数据包来进行攻击,将会导致设备的运行出现异常甚至损坏;例如近几年出现的针对伊朗工业基础设施的震网病毒,通过篡改正常工业控制协议参数,对伊朗核设施造成了严重的破坏。
近年来,入侵检测系统一般采用误用入侵检测和异常入侵检测;误用入侵检测根据已知特征匹配网络中的通讯流量,具有误报率较低的特征,但由于工控系统攻击行为特征库不可能包含所有的攻击行为,使用误用检测的方式容易产生漏报警的情况;而异常入侵检测,建立在工业控制系统本身通讯流量具有简单固定的通讯模式的基础上,通过建立正常的行为规则来识别出异常的流量,但由于没有对网络协议进行深度的解析,工业控制协议的特征没有得到灵活的运用,容易出现误报警现象。
发明内容
为了解决上述问题,本发明提供了一种基于Modbus/Tcp工业控制网络协议入侵检测的分析方法和入侵检测系统,不仅能够减少漏报和误报的现象,而且了实现对入侵攻击的快速检测。
为了达到本发明的目的,本发明提供了一种基于Modbus/Tcp工业控制网络协议的入侵检测系统,该系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块。
所述的数据采集模块与网络接口相连,数据采集模块用于捕获流入的数据包,并将数据包发送给数据解析模块。
数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块。
规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行为的规则集合;还可以添加带有异常特征的规则集合。
规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配。如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包。
客户窗口模块,对本系统的功能以图形界面的形式提供给用户使用,实现查看和修改数据库,从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测等一些功能。
另外,本系统还包括存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
除此之外,该本系统还包括日志记录模块和报警记录模块;所述的日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
为了达到本发明的目的,本发明提供了一种基于Modbus/Tcp工业控制网络协议的入侵检测分析方法,该方法包括:数据采集模块与网络接口相连,用于捕获流入的数据包,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配,如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包。
首先,该方法包括数据采集模块,用来捕获网络流量。
其次,该方法包括数据解析模块,对接收的数据包进行解析,在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包的解析结果发送给规则匹配模块;详细地,数据解析模块从数据采集模块中获取数据包的到达时间;提取协议类型和数据包的长度;对数据包的网络层解析,提取源和目的IP地址;对传输层解析,提取源和目的端口号,以及按照源和目的端口号判断主从设备,标记数据包为请求数据包(Query)或者响应数据包(Response),并且提取数据包的序列号、应答号、Modbus报文长度;对Modbus报文进行解析,提取Modbus功能码、线圈或寄存器的起始地址以及数量;提取Modbus的载荷。
再次,该方法包括规则生成模块。
1)规则生成模块接收所有的解析数据包,将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1;详细地,相邻的两个数据包,先接收的数据包记为A,后接收的数据包记为B,B的应答号等价于A的序列号和A的Modbus报文长度之和,而且B的序列号等价于A的应答号。
2)规则生成模块对接收的解析数据包按照请求和响应数据包两两分对,计算请求和响应数据包之间的时间间隔范围,作为请求和响应数据包之间的规则集R2;详细地,规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同,作为请求和响应数据包之间的规则,添加到规则R2。
3)规则生成模块对分类数据包库中数据包的周期特性进行分析,将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3;详细地,规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类;针对分类数据包的周期特性,可划分为有周期特性的数据包和无周期特性的数据包;有周期特性数据包把数据包之间到达的时间间隔作为它的周期,无周期特性数据包的周期记为零;将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则。
4)规则生成模块还能手动添加带异常特征的规则集。
最后,该方法包括规则匹配模块,规则匹配模块对解析后的数据包与数据库中的规则进行匹配;详细地,规则匹配模块将解析的数据包同步存储到两个库,整体数据包库L1和分类数据包库L2;利用R3规则集对L2中的分类数据包进行检测,利用R4、R1和R2规则集对L1中整体数据包进行检测;如果判定这个数据包异常,将数据包存放到报警记录模块,如果判定这个数据包正常,将数据包存放到日志记录模块。
另外,在该方法之前,还包括存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
除此之外,该方法还包括日志记录模块和报警记录模块;所述的日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
本发明提供了一种基于Modbus/Tcp工业控制网络协议入侵检测的分析方法和入侵检测系统,在不改变工业网络结构和不影响日常生产的前提下,为用户提供了规则离线学习,在线实时检测的安全措施,根据企业策略需求阻断潜在威胁,漏报和误报的现象少,入侵识别快,从而以较低的成本大大提高了工业控制系统的网络安全水平。
附图说明
图1是本发明系统的结构示意图。
图2是本发明方法的流程示意图。
图3是本发明规则生成模块处理解析后的数据包,生成规则的流程示意图。
图4是本发明规则匹配模块检测解析后的数据包,实时检测的流程示意图。
具体实施方式
以下将结合附图所示的具体实施方式对本发明进行详细描述。
图1是本发明基于Modbus/Tcp工业控制网络协议的入侵检测系统的结构示意图,如图1所示,包括:
数据采集模块与网络接口相连,用于捕获流入的数据包,并将数据包发送给数据解析模块。
数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块。
规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行为的规则集合;还能够添加带有异常特征的规则集合。
规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配。如果和正常规则集合R1、R2、R3全部匹配,判定为正常数据包;如果存在和异常规则集R4对应规则匹配的数据包,判定为异常数据包。
存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
日志记录模块和报警记录模块。
具体地,日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
图2是本发明基于Modbus/Tcp工业控制网络协议的入侵检测分析方法的流程示意图,如图2所示,包括:
步骤21,本发明的数据采集模块捕获流入的数据包,并将捕获的数据包发送给数据解析模块。
在本步骤中,数据采集模块通过WinPcap编程获取主机网卡信息,在混杂模式下监听、捕获网卡数据包,将捕获的数据包发送给数据解析模块。
步骤22,数据解析模块对接收的数据包进行解析,并将解析好的数据包信息发送给规则生成模块或规则匹配模块。
在本步骤中,接收的数据包是网络通信传输中的数据单位,包括报头和负载。根据协议解码,对数据包进行解析,从中提取出数据包的到达时间、协议类型、数据包长度、源和目的IP、源和目的端口号、数据包的序列号、应答号、Modbus报文长度、事务处理标识符、协议标识符、长度、单元标识符、Modbus功能码、线圈或寄存器的起始地址以及数量、Modbus载荷等有意义的字段信息。
步骤23,判断是否开始规则匹配模块,如果否,进入步骤24,如果是,进入步骤25。
步骤24,规则生成模块接收解析后的数据包,生成规则集合,存放到数据库中。
规则生成模块生成规则具体可如图3所示,包括:
步骤241,规则生成模块接收所有的解析数据包,将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1。
具体地,相邻的两个数据包,先接收的数据包记为A,后接收的数据包记为B,B的应答号等价于A的序列号和A的Modbus报文长度之和,而且B的序列号等价于A的应答号。
步骤242,规则生成模块对接收的解析数据包按照请求和响应数据包两两分对,计算请求和响应数据包之间的时间间隔范围,作为请求和响应数据包之间的规则集R2。
步骤243,规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同,作为请求和响应数据包之间的规则,添加到规则R2。
步骤244,规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类。
具体地,按照这几个特征字段对数据包进行分类,将分类后的数据包存放到存储模块的L2分类数据包库中。
步骤245,规则生成模块对L2分类数据包库中数据包的周期特性进行分析,将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3。
具体地,针对分类数据包的周期特性,可划分为有周期特性的数据包和无周期特性的数据包;有周期特性数据包把数据包之间到达的时间间隔作为它的周期,无周期特性数据包的周期记为零;将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则。
步骤246,规则生成模块将规则R1、R2和R3作为正常规则集合,添加到数据库中。
步骤247,向数据库手动添加带异常特征的规则集R4。
步骤25,规则匹配模块对解析后的数据包与数据库中的规则进行匹配。
规则匹配模块对数据包的匹配具体可如图4所示,包括:
步骤251,规则匹配模块将解析的数据包同步存储到两个库,整体数据包库L1和分类数据包库L2。
步骤252,规则匹配模块利用R3规则集对L2中的分类数据包进行检测。
具体地,对分类数据包先判断是否存在周期特性,如果存在周期特性,首先检测分类数据包到达时间是否符合规则集R3中的周期,然后检测数据包字段值的变化规律;如果不存在周期特性,直接检测数据包字段值的变化规律。
步骤253,判断R3规则集是否匹配成功,如果否,进入步骤254,如果是,进入步骤255。
步骤254,规则匹配模块判断这个数据包为异常。
步骤255,规则匹配模块利用R4规则集对L1中整体数据包进行检测。
具体地,利用R4规则集对整体数据包依次检测,判断数据包与R4规则集中对应的规则是否匹配,如果是,进入步骤254,如果否,进入步骤257。
步骤257,规则匹配模块利用R1和R2规则集对L1中整体数据包进行检测。
具体地,首先利用R1规则集对整体数据包依次检测,同时利用R2规则集对整体数据包按照一对一对的检测,判断请求和响应数据包的时间间隔是否在R2规则集的正常范围内,然后检测请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值是否相同。
步骤258,规则匹配模块判断R1规则集和R2规则集是否匹配成功,如果否,进入步骤254,如果是,进入步骤259。
步骤259,规则匹配模块判断这个数据包为正常。
应当理解,虽然本说明书根据实施方式加以描述,但是并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为了清楚起见,本领域的技术人员应当将说明书作为一个整体,各个实施方式中的技术方案也可以适当组合,按照本领域技术人员的理解来实施。
上文所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用于限制本发明的保护范围,凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (3)
1.基于Modbus/Tcp的入侵检测分析方法,实现该方法的系统包括数据采集模块、数据解析模块、规则生成模块、规则匹配模块和客户窗口模块;
所述的数据采集模块与网络接口相连,数据采集模块用于捕获流入的数据包,并将数据包发送给数据解析模块;
数据解析模块分别与规则生成模块和规则匹配模块相连,用于对接收的数据包进行解析;在规则自学习阶段,将解析好的数据包信息发送给规则生成模块;在规则匹配阶段,将解析好的数据包信息发送给规则匹配模块;详细地,数据解析模块从数据采集模块中获取数据包的到达时间;提取协议类型和数据包的长度;对数据包的网络层解析,提取源和目的IP地址;对传输层解析,提取源和目的端口号,以及按照源和目的端口号判断主从设备,标记数据包为请求数据包(Query)或者响应数据包(Response),并且提取数据包的序列号、应答号、Modbus报文长度;对Modbus报文进行解析,提取Modbus功能码、线圈或寄存器的起始地址以及数量;提取Modbus的载荷;
规则生成模块用于接收解析后的数据包,按照预先设置的算法,生成正常行为的规则集合;还可以添加带有异常特征的规则集合;详细地,1)规则生成模块接收所有的解析数据包,将序列号、应答号和Modbus报文长度的关系作为整体数据包的规则集R1;详细地,相邻的两个数据包,先接收的数据包记为A,后接收的数据包记为B,B的应答号等价于A的序列号和A的Modbus报文长度之和,而且B的序列号等价于A的应答号;2)规则生成模块对接收的解析数据包按照请求和响应数据包两两分对,计算请求和响应数据包之间的时间间隔范围,作为请求和响应数据包之间的规则集R2;详细地,规则生成模块认为每对请求和响应数据包的事务处理标识符、协议标识符、Modbus功能码、线圈或寄存器的起始位置以及数量这几个特征字段值相同,作为请求和响应数据包之间的规则,添加到规则R2;3)规则生成模块对分类数据包库中数据包的周期特性进行分析,将周期特性和数据包中每个字段值得变化规律作为分类后数据包的规则集R3;详细地,规则生成模块将解析后的数据包按照源和目的Ip、源和目的端口号、数据包长度、Modbus功能码、线圈或寄存器的起始地址以及数量进行数据包的分类;针对分类数据包的周期特性,可划分为有周期特性的数据包和无周期特性的数据包;有周期特性数据包把数据包之间到达的时间间隔作为它的周期,无周期特性数据包的周期记为零;将周期特性和数据包中每个字段值的变化规律作为分类后数据包的规则;4)规则生成模块还能手动添加带异常特征的规则集;
规则匹配模块,用于将解析后的数据包与数据库中的规则进行匹配;如果和正常规则集合对应的规则匹配,判定为正常数据包;如果存在和异常规则集对应规则匹配的数据包,判定为异常数据包;
客户窗口模块,对本系统的功能以图形界面的形式提供给用户使用,实现查看和修改数据库,从离线数据流量中自动学习规则、分析日志记录和报警记录信息、开始入侵检测和停止入侵检测功能。
2.根据权利要求1所述的基于Modbus/Tcp的入侵检测分析方法,其特征在于:本系统还包括存储设备,用于存储、设置规则库,所述规则库包括规则生成模块产生的正常规则集合和手动添加的异常规则集,所述的存储设备还用来存储待检测的数据包。
3.根据权利要求1所述的基于Modbus/Tcp的入侵检测分析方法,其特征在于:该系统还包括日志记录模块和报警记录模块;所述的日志记录模块和报警记录模块都与规则匹配模块相连;所述的日志记录模块用于记录正常数据流量;所述的报警记录模块用于记录异常的数据流量,以便以后分析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510740526.8A CN105429963B (zh) | 2015-11-04 | 2015-11-04 | 基于Modbus/Tcp的入侵检测分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510740526.8A CN105429963B (zh) | 2015-11-04 | 2015-11-04 | 基于Modbus/Tcp的入侵检测分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105429963A CN105429963A (zh) | 2016-03-23 |
CN105429963B true CN105429963B (zh) | 2019-01-22 |
Family
ID=55507905
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510740526.8A Active CN105429963B (zh) | 2015-11-04 | 2015-11-04 | 基于Modbus/Tcp的入侵检测分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105429963B (zh) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721500B (zh) * | 2016-04-10 | 2019-01-15 | 北京工业大学 | 一种基于TPM的Modbus/TCP协议的安全增强方法 |
CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
CN106506449B (zh) * | 2016-09-27 | 2019-12-31 | 国家数字交换系统工程技术研究中心 | 一种未知异常的检测方法、装置及检测设备 |
CN107979567A (zh) * | 2016-10-25 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于协议分析的异常检测系统及方法 |
CN106330975A (zh) * | 2016-11-03 | 2017-01-11 | 上海三零卫士信息安全有限公司 | 一种基于scada系统的周期性异常检测的方法 |
EP3576365B1 (en) | 2017-03-01 | 2022-10-26 | Siemens Aktiengesellschaft | Data processing device and method |
CN107222491B (zh) * | 2017-06-22 | 2021-01-05 | 北京工业大学 | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 |
CN109510803A (zh) * | 2017-09-15 | 2019-03-22 | 中国联合网络通信集团有限公司 | 一种调整防火墙防护策略的方法及设备 |
CN109922026A (zh) * | 2017-12-13 | 2019-06-21 | 西门子公司 | 一个ot系统的监测方法、装置、系统和存储介质 |
CN108055276B (zh) * | 2017-12-25 | 2020-10-20 | 南京南邮信息产业技术研究院有限公司 | 面向大数据应用平台的入侵检测实时分析系统 |
CN109327430A (zh) * | 2018-08-01 | 2019-02-12 | 中国科学院、水利部成都山地灾害与环境研究所 | 一种用户访问行为分析方法和装置 |
CN109413037B (zh) * | 2018-09-12 | 2021-11-16 | 奇安信科技集团股份有限公司 | 一种Modbus业务处理方法及装置 |
CN109743282B (zh) * | 2018-11-21 | 2022-04-26 | 奇安信科技集团股份有限公司 | 一种基于工控协议的高危安全风险识别方法及装置 |
CN111339211B (zh) * | 2018-12-19 | 2023-09-19 | 中国移动通信集团重庆有限公司 | 网络问题分析的方法、装置、设备及介质 |
CN110061896B (zh) * | 2019-05-06 | 2021-04-13 | 浙江明度智控科技有限公司 | 一种modbus-rtu总线地址冲突检测方法 |
CN110320890B (zh) * | 2019-07-08 | 2021-08-03 | 北京科技大学 | 一种针对plc控制系统的入侵检测系统 |
CN112333130B (zh) * | 2019-08-05 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备及存储介质 |
CN110995741B (zh) * | 2019-12-17 | 2021-04-16 | 深圳供电局有限公司 | 一种基于电网开关通信数据的极光攻击检测系统、方法 |
CN111083149A (zh) * | 2019-12-23 | 2020-04-28 | 北京简网科技有限公司 | Modbus协议的变量数据检测分析方法及装置 |
CN111193747B (zh) * | 2019-12-31 | 2022-06-10 | 奇安信科技集团股份有限公司 | 报文的威胁检测方法、装置、电子设备和存储介质 |
CN111600863B (zh) * | 2020-05-08 | 2022-09-13 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
CN111586057B (zh) * | 2020-05-09 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | transaction级别的Modbus协议工控异常行为检测方法、系统 |
CN111740997A (zh) * | 2020-06-22 | 2020-10-02 | 浙江中控技术股份有限公司 | 基于ModBusRTU的安全防护方法及装置 |
CN111917802B (zh) * | 2020-08-19 | 2021-11-23 | 北京微步在线科技有限公司 | 一种入侵检测规则测试平台及测试方法 |
CN114422195A (zh) * | 2021-12-24 | 2022-04-29 | 杭州优稳自动化系统有限公司 | 适用于工控系统的伪控制指令识别与预警系统及方法 |
CN114679504B (zh) * | 2022-05-27 | 2022-09-06 | 成都数联云算科技有限公司 | Udp报文解析方法、装置及计算机设备 |
CN114978782B (zh) * | 2022-08-02 | 2022-11-01 | 北京六方云信息技术有限公司 | 工控威胁检测方法、装置、工控设备以及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101552722A (zh) * | 2008-04-03 | 2009-10-07 | 北京启明星辰信息技术股份有限公司 | 一种管理网络流量带宽的方法及装置 |
CN104135490A (zh) * | 2014-08-14 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 入侵检测系统分析方法和入侵检测系统 |
CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7386525B2 (en) * | 2001-09-21 | 2008-06-10 | Stonesoft Corporation | Data packet filtering |
GB2387681A (en) * | 2002-04-18 | 2003-10-22 | Isis Innovation | Intrusion detection system with inductive logic means for suggesting new general rules |
-
2015
- 2015-11-04 CN CN201510740526.8A patent/CN105429963B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101552722A (zh) * | 2008-04-03 | 2009-10-07 | 北京启明星辰信息技术股份有限公司 | 一种管理网络流量带宽的方法及装置 |
CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
CN104135490A (zh) * | 2014-08-14 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 入侵检测系统分析方法和入侵检测系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105429963A (zh) | 2016-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105429963B (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN103179105B (zh) | 一种基于网络流量中行为特征的智能木马检测装置及其方法 | |
CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
CN100448203C (zh) | 用于识别和防止恶意入侵的系统和方法 | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
CN104660464B (zh) | 一种基于非广延熵的网络异常检测方法 | |
CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析系统及方法 | |
CN103957203B (zh) | 一种网络安全防御系统 | |
CN107347047A (zh) | 攻击防护方法和装置 | |
US8903749B2 (en) | Method of identifying a protocol giving rise to a data flow | |
CN103227798A (zh) | 一种免疫网络系统 | |
CN103532957A (zh) | 一种木马远程shell行为检测装置及方法 | |
CN108600003A (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
CN104702460A (zh) | 基于SVM的Modbus TCP通讯的异常检测方法 | |
RU2475836C1 (ru) | Способ защиты вычислительных сетей | |
CN109768952A (zh) | 一种基于可信模型的工控网络异常行为检测方法 | |
CN103152222A (zh) | 一种基于主机群特征检测速变攻击域名的方法 | |
CN107566192A (zh) | 一种异常流量处理方法及网管设备 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
CN113810362A (zh) | 一种安全风险检测处置系统及其方法 | |
Xing et al. | Research on the defense against ARP spoofing attacks based on Winpcap | |
CN103501302A (zh) | 一种蠕虫特征自动提取的方法及系统 | |
Zhang et al. | Scan attack detection based on distributed cooperative model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |