CN106209843A - 一种面向Modbus协议的数据流异常分析方法 - Google Patents
一种面向Modbus协议的数据流异常分析方法 Download PDFInfo
- Publication number
- CN106209843A CN106209843A CN201610546106.0A CN201610546106A CN106209843A CN 106209843 A CN106209843 A CN 106209843A CN 201610546106 A CN201610546106 A CN 201610546106A CN 106209843 A CN106209843 A CN 106209843A
- Authority
- CN
- China
- Prior art keywords
- modbus
- data
- flow
- protocol data
- capture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明公开了一种面向工控网络Modbus协议的数据流异常分析方法,包括以下步骤:步骤一:初始化阶段,生成Modbus协议数据流量异常分析模型;步骤二:初始化阶段,生成Modbus协议自学习正常行为模型;步骤三:运行阶段,判断Modbus协议数据流量的运行状态;步骤四:运行阶段,判断Modbus协议数据报文的正常/异常行为状态;步骤五:对步骤三和步骤四中的结果进行可视化呈现。本发明在深入理解Modbus协议及异常分析技术的基础上设计,有很好的全面性与实用性,能有提高异常分析的效率,使之能高效的发现工业控制系统中存在的Modbus异常数据流。
Description
技术领域
本文发明属于工业控制系统的安全技术领域,具体的说,涉及一种面向工控网络Modbus协议的数据流异常分析方法。
背景技术
工业领域中超过80%的关键基础设施依靠工业控制系统来实现自动化作业。近年来,针对工业控制系统的网络安全事件频繁发生例如:2010年“震网”病毒针对伊朗布什尔核电站实施了“摆渡”攻击,导致20%离心机报废以及有毒的放射性物质泄漏;2012年“火焰”病毒攻击了中东能源行业,收集了伊朗石油行业大量关键信息,意图打击石油国家的经济命脉;2016年“黑暗力量”对乌克兰智能电网工控系统进行了攻击,导致家庭供电被迫大规模中断。这些里程碑式的安全事件标志工业控制系统安全已经开始影响国计民生,一旦遭到破坏,造成的损失将难以估量。
随着针对工控系统的传统简单攻击手段已经演变为高级可持续性威胁(AdvancedPersistent Threat,APT),其对国家关键基础设施已造成了严重的安全威胁,APT具有复杂性、可持续性、隐蔽性等特点,目前还没有有效的防御手段,唯一的方式就是在攻击者掌握“0-day”漏洞之前,发现“0-day”漏洞,对现场设备漏洞进行补丁升级。
在工业控制系统(Industry Control System,ICS)中,应用的通用协议类型主要包括Modbus、OPC等,同时Modbus协议也是国内工控研发厂商、集成商采用最多的协议之一,已在多个行业如能源、石化、冶金等领域应用广泛。
所以目前由于在工控领域中Modbus协议广泛的应用场景及APT攻击的出现,需要对Modbus协议进行有效的安全告警及异常分析,有利于工业控制系统安全问题的发现,发现现场系统中关于Modbus协议数据流的异常流量及异常行为,给出实时的报警信息,有利于系统维护人员进行有针对性的修复及应急响应。
综上,本发明的数据流异常分析方法能发现工业控制系统领域Modbus协议的未知的攻击方式,通过流量分析、报文分析两种融合的方式,将提高系统异常的检测效率,发现不同种类的攻击。
发明内容
本发明要解决的技术问题是克服上述缺陷,提供了一种面向工控网络Modbus协议的数据流异常分析方法,在初始化阶段,建立点对点流量模型和正常的用户访问、数据传输等模式;在系统运行阶段,判断Modbus协议数据流的运行状态及实时判断数据流中是否有偏离正常行为模式的数据报文出现,有效地对Modbus协议现场控制网络进行异常分析与报警。
为解决上述问题,本发明所采用的技术方案是:
一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于:包括以下步骤:
步骤一:初始化阶段,通过自学习控制状态开启,生成Modbus协议数据流量异常分析模型;
步骤二:初始化阶段,通过自学习控制状态开启,生成Modbus协议自学习正常行为模型;
步骤三:运行阶段,通过匹配Modbus协议数据流的周期性变化规律,判断Modbus协议数据流量的运行状态;
步骤四:运行阶段,通过匹配Modbus协议数据流中是否有偏离正常行为模式的数据报文,判断Modbus协议数据报文的正常/异常行为状态;
步骤五:对步骤三和步骤四中的结果进行可视化呈现。
作为一种优化的技术方案,所述在初始化阶段,生成Modbus协议数据流量异常分析模型为:
自学习功能:在系统初始化阶段,应将方法实现的状态设置为自学习状态,提示目前产生的集合为训练集合;
协议数据流分类:将捕获的Modbus协议数据流进行端到端分类,分类特征如IP地址、MAC地址、终端名称等;
数据流统计:端到端分类的数据流统计其时间序列,基于等时间间隔来进行观测值统计,形成时间序列的数据流统计;
时间序列预测模型:基于特定方法建立时间序列预测模型,如指数平滑方法、AR模型等。
作为一种优化的技术方案,所述在初始化阶段,生成Modbus协议自学习正常行为模式模型为:
自学习功能:在系统初始化阶段,应将方法实现的状态设置为自学习状态,提示目前产生的集合为训练集合;
协议解析:将捕获的Modbus协议数据流进行协议解析,解析包括网络层、通信层、应用层数据;
特征提取:基于协议解析的属性,提取安全相关的属性,包括源IP地址、目的IP地址、IP包头部长度、源端口、目的端口、事务处理标识符、协议标识符、长度、单元标识符、功能码、数据地址、数据量;
归一化处理:将特征提取属性数据进行归一化转换。
正常行为模式:通过自学习结束标志,建立完整的训练库,通过BP神经网络方法建立正常行为模型。
作为一种优化的技术方案,所述在运行阶段,判断Modbus协议数据流量的运行状态为:
数据捕获:基于接口库进行数据流捕获;
协议数据流分类:对Modbus协议数据流基于IP地址、MAC地址、终端名称等特征进行分类;
数据流统计:端到端分类的数据流统计其时间序列;
时间序列预测判定:时间序列代入判定函数,基于时间序列预测值与真实值进行一定范围误差内的判定。
作为一种优化的技术方案,所述在运行阶段,判断Modbus协议数据报文的正常/异常行为状态为:
数据捕获:基于接口库进行数据流捕获;
协议解析:将捕获的Modbus协议数据流进行协议解析;
特征提取:基于协议解析的属性,提取安全相关的属性;
归一化处理:将特征提取属性数据转换为0-1之间的数据。
正常行为判定:将特征属性代入BP神经网络判定函数,基于BP神经网络计算结果判定正常/异常行为。
由于采用了上述技术方案,与现有技术相比,本发明在深入理解Modbus协议及异常分析技术的基础上设计,有很好的全面性与实用性,能有提高异常分析的效率,使之能高效的发现工业控制系统中存在的Modbus异常数据流。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,均应落入本发明的保护范围。
图1为本发明中Modbus协议数据流异常分析方法整体流程图;
图2为本发明中时间序列分析过程示意图;
图3为本发明中神经网络结构示意图;
图4为本发明中基于Modbus协议的数据包格式域图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到工业现场控制系统的数据流异常分析与IT系统的异常分析在工业通信协议、数据流周期性、数据流稳定性等方面的不同,工业控制系统数据流异常分析更适合数据流量异常分析、数据报文异常行为分析方法,准确率理论上较传统IT网络上实现此方法更高。本发明提供了针对这些功能的解决方案,同时此发明实现流量异常分析及数据流报文异常行为分析两种方法,在检测不同类型攻击目的上实现了互补,更有效地检测网络风暴、DDos攻击、数据指令异常行为、误操作行为等存在的数据流异常状态。
图1是本发明方法的整体数据流异常分析方法流程,以下根据图1的具体实现模块功能,实现针对工控网络Modbus协议数据流异常的发现,其中实现的工具可应用在工控系统中所有支持Modbus TCP/IP层协议的网络层次,如现场控制网络层、SCADA监控传输层等。
基于图1,本发明实现主要有5个功能模块初始化阶段自学习生成Modbus协议数据流量异常分析模型、初始化阶段自学习生成Modbus协议自学习正常行为模型、运行阶段判断Modbus协议数据流量的运行状态方法、运行阶段判断Modbus协议数据报文的正常/异常行为状态方法、对判定结果进行可视化呈现。
第一部分功能模块,初始化阶段自学习生成Modbus协议数据流量异常分析模型,具体地,系统运行此阶段,系统状态调整为自学习状态,以标识此阶段数据为训练数据,通过libpcap接口函数库对设备数据流进行混杂模式捕获,之后对捕获数据流通过端口号、协议标识、IP地址等特征,对数据流进行过滤及分类,形成端到端分类数据流,以此为数据源,通过统计间隔性时间序列观测值,在结束指令下达之后,形成完整的时间序列的数据流统计训练集合,基于指数平滑等方法,建立时间序列预测模型。
第二部分功能模块,初始化阶段自学习生成Modbus协议自学习正常行为模型,具体地,系统运行此阶段,系统状态调整为自学习状态,以标识此阶段数据为训练数据,共享第一部分模型捕获的数据报文,并对报文进行协议解析,Modbus协议域规定了请求与响应报文均封装为IP头、TCP头、MBAP头(包括事务处理标识符、协议标识符、长度、单元标识符)、功能码、数据,其中按标准规定的功能码分类为:21类功能码(1~21)、保留扩展功能码(22~64)、保留以备用户所用功能码(65~72)、非法功能功能码(73~119)、内部作用(120~127)、异常应答(128~255)。基于协议解析的属性,提取安全相关的属性,包括源IP地址、目的IP地址、IP包头部长度、源端口、目的端口、事务处理标识符、协议标识符、长度、单元标识符、功能码、数据地址、数据量12种,之后将将特征提取属性数据转换为0-1之间的数据,在结束指令下达之后,建立训练库矩阵n*13矩阵序列训练库,包括序号、源IP地址、目的IP地址、IP包头部长度、源端口、目的端口、事务处理标识符、协议标识符、长度、单元标识符、功能码、数据地址、数据量,通过BP神经网络方法建立正常行为模型。
第三部分功能模块,运行阶段判断Modbus协议数据流量的运行状态方法,具体地,系统运行此阶段,系统状态调整为运行状态,以标识此阶段为实时判定阶段,基于libpcap接口进行数据流捕获,对Modbus协议数据流基于IP地址、MAC地址、终端名称等特征进行分类,主要指标参考源IP、目的IP,将端到端分类的数据流统计其时间序列,记录之前时间序列到集合中{Ti,Xi},则称Xi为T时间轴上的观测值,将观测到的Xi值与时间序列预测模型进行计算,参考图2示意图,一定范围误差内的认定为是正常系统流量状态。
第四部分功能模块,运行阶段判断Modbus协议数据报文的正常/异常行为状态方法,具体地,系统运行此阶段,系统状态调整为运行状态,以标识此阶段为实时判定阶段,基于libpcap接口进行数据流捕获,将捕获的Modbus协议数据流进行协议解析,Modbus协议域规定了请求与响应报文均封装为IP头、TCP头、MBAP头(包括事务处理标识符、协议标识符、长度、单元标识符)、功能码、数据,其中功能码分类参考第二部分,根据Modbus/TCP和典型攻击行为的模式,选择12种TCP/IP和应用层协议数据特征属性为入侵检测特征属性,参考第二部分属性定义,之后将将特征提取属性数据转换为0-1之间的数据,将特征属性代入BP神经网络判定函数,基于BP神经网络计算结果判定正常/异常行为。
第五部分功能模块,对判定结果进行可视化呈现,具体地,可视化呈现可通过C/S或B/S结构呈现,呈现内容将主要包括异常报警日志数据查询、排序等功能,以及异常报警日志的存储。
本发明不局限于上述的优选实施方式,任何人应该得知在本发明的启示下做出的结构变化,凡是与本发明具有相同或者相近似的技术方案,均属于本发明的保护范围。
Claims (5)
1.一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,包括以下步骤:
1)初始化阶段,通过自学习控制状态开启,生成Modbus协议数据流量异常分析模型;
2)初始化阶段,通过自学习控制状态开启,生成Modbus协议自学习正常行为模型;
3)运行阶段,通过匹配Modbus协议数据流的周期性变化规律,判断Modbus协议数据流量的运行状态;
4)运行阶段,通过匹配Modbus协议数据流中是否有偏离正常行为模式的数据报文,判断Modbus协议数据报文的正常/异常行为状态;
5)对步骤3)和步骤4)中的结果进行可视化呈现。
2.根据权利要求1所述的一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,所述在初始化阶段,生成Modbus协议数据流量异常分析模型为:
自学习功能:系统运行前,系统状态应为自学习状态;
协议数据流分类:将捕获的Modbus协议数据流进行端到端分类;
数据流统计:端到端分类的数据流统计其时间序列,时间序列应该是非线性的;
时间序列预测模型:通过自学习结束标志,基于特定方法建立时间序列预测模型。
3.根据权利要求1所述的一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,所述在初始化阶段,生成Modbus协议自学习正常行为模式模型为:
自学习功能:系统运行前,系统状态应为自学习状态;
协议解析:将捕获的Modbus协议数据报文进行协议解析;
特征提取:基于协议解析的属性,提取安全相关的属性;
归一化处理:将特征提取内容进行数字量转换。
建立正常行为模式:通过自学习结束标志,建立BP神经网络方法建立正常行为模型。
4.根据权利要求1所述的一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,所述在运行阶段,判断Modbus协议数据流量的运行状态为:
数据捕获:进行数据流捕获;
协议数据流分类:将捕获的Modbus协议数据流进行端到端分类;
数据流统计:端到端分类的数据流统计其时间序列;
时间序列预测判定:时间序列代入判定函数,通过计算结果判定数据流量状态。
5.根据权利要求1所述的一种面向工控网络Modbus协议的数据流异常分析方法,其特征在于,所述在运行阶段,判断Modbus协议数据报文的正常/异常行为状态为:
数据捕获:进行数据流捕获;
协议解析:将捕获的Modbus协议数据流进行协议解析;
特征提取:基于协议解析的属性,提取安全相关的属性;
归一化处理:将特征提取内容进行数字量转换。
正常行为判定:将特征属性代入BP神经网络判定函数,通过计算结果判定正常/异常行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610546106.0A CN106209843A (zh) | 2016-07-12 | 2016-07-12 | 一种面向Modbus协议的数据流异常分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610546106.0A CN106209843A (zh) | 2016-07-12 | 2016-07-12 | 一种面向Modbus协议的数据流异常分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106209843A true CN106209843A (zh) | 2016-12-07 |
Family
ID=57477415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610546106.0A Pending CN106209843A (zh) | 2016-07-12 | 2016-07-12 | 一种面向Modbus协议的数据流异常分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106209843A (zh) |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
CN107241307A (zh) * | 2017-04-26 | 2017-10-10 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
US20180176186A1 (en) * | 2016-12-19 | 2018-06-21 | General Electric Company | Network policy update with operational technology |
CN108234345A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
CN108900538A (zh) * | 2018-08-09 | 2018-11-27 | 深圳市永达电子信息股份有限公司 | 一种工控信号检测方法和装置 |
CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
CN109120477A (zh) * | 2018-08-16 | 2019-01-01 | 广东芬尼克兹节能设备有限公司 | 基于modbus协议的动态解析方法、装置、服务器及存储介质 |
CN109271855A (zh) * | 2018-08-09 | 2019-01-25 | 深圳市永达电子信息股份有限公司 | 一种工控信号的特征提取方法 |
CN109409408A (zh) * | 2018-09-21 | 2019-03-01 | 上海大学 | 一种Modbus TCP协议模糊测试中畸形数据过滤方法 |
CN109886119A (zh) * | 2019-01-22 | 2019-06-14 | 深圳市永达电子信息股份有限公司 | 一种基于工控信号的控制功能分类方法及系统 |
CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
CN110098959A (zh) * | 2019-04-23 | 2019-08-06 | 广东技术师范大学 | 工控协议交互行为的建模方法、装置、系统及存储介质 |
CN110442837A (zh) * | 2019-07-29 | 2019-11-12 | 北京威努特技术有限公司 | 复杂周期模型的生成方法、装置及其检测方法、装置 |
CN110456765A (zh) * | 2019-07-29 | 2019-11-15 | 北京威努特技术有限公司 | 工控指令的时序模型生成方法、装置及其检测方法、装置 |
CN110620713A (zh) * | 2019-09-11 | 2019-12-27 | 北京演能科技有限公司 | Modbus协议共享通讯的方法和装置 |
CN110995700A (zh) * | 2019-12-02 | 2020-04-10 | 山东超越数控电子股份有限公司 | 一种畸形ip报文检测方法、设备以及存储介质 |
CN111245694A (zh) * | 2019-09-17 | 2020-06-05 | 浙江中自机电控制技术有限公司 | 一种基于Modbus扩展通讯的故障处理方法 |
CN111586057A (zh) * | 2020-05-09 | 2020-08-25 | 杭州安恒信息技术股份有限公司 | transaction级别的Modbus协议工控异常行为检测方法、系统 |
CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
CN112272184A (zh) * | 2020-10-29 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
CN112306019A (zh) * | 2020-10-28 | 2021-02-02 | 北京珞安科技有限责任公司 | 一种基于协议深度分析的工控安全审计系统及其应用 |
CN112666907A (zh) * | 2020-12-23 | 2021-04-16 | 北京天融信网络安全技术有限公司 | 工业控制策略生成方法、装置、电子设备及存储介质 |
CN112968906A (zh) * | 2021-03-25 | 2021-06-15 | 湖南大学 | 一种基于多元组的Modbus TCP异常通讯检测方法和系统 |
CN113904804A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、系统及介质 |
CN114844802A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 流量检测方法、装置、终端设备以及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测系统 |
CN103748853A (zh) * | 2011-07-26 | 2014-04-23 | 安全事务有限公司 | 用于对数据通信网络中的协议消息进行分类的方法和系统 |
CN105306463A (zh) * | 2015-10-13 | 2016-02-03 | 电子科技大学 | 基于支持向量机的Modbus TCP入侵检测方法 |
CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
CN105743735A (zh) * | 2016-01-27 | 2016-07-06 | 电子科技大学 | 基于神经网络的ModbusTcp通讯深度包检测方法 |
-
2016
- 2016-07-12 CN CN201610546106.0A patent/CN106209843A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103748853A (zh) * | 2011-07-26 | 2014-04-23 | 安全事务有限公司 | 用于对数据通信网络中的协议消息进行分类的方法和系统 |
CN103580960A (zh) * | 2013-11-19 | 2014-02-12 | 佛山市络思讯环保科技有限公司 | 一种基于机器学习的在线管网异常侦测系统 |
CN105306463A (zh) * | 2015-10-13 | 2016-02-03 | 电子科技大学 | 基于支持向量机的Modbus TCP入侵检测方法 |
CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
CN105743735A (zh) * | 2016-01-27 | 2016-07-06 | 电子科技大学 | 基于神经网络的ModbusTcp通讯深度包检测方法 |
Cited By (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180176186A1 (en) * | 2016-12-19 | 2018-06-21 | General Electric Company | Network policy update with operational technology |
US10721212B2 (en) * | 2016-12-19 | 2020-07-21 | General Electric Company | Network policy update with operational technology |
CN108234345B (zh) * | 2016-12-21 | 2021-11-30 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
CN108234345A (zh) * | 2016-12-21 | 2018-06-29 | 中国移动通信集团湖北有限公司 | 一种终端网络应用的流量特征识别方法、装置和系统 |
CN107241307B (zh) * | 2017-04-26 | 2023-08-08 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
CN107241307A (zh) * | 2017-04-26 | 2017-10-10 | 北京立思辰计算机技术有限公司 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
CN107204975B (zh) * | 2017-05-11 | 2020-05-05 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
CN108933731A (zh) * | 2017-05-22 | 2018-12-04 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
CN108933731B (zh) * | 2017-05-22 | 2022-04-12 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
US11747799B2 (en) | 2017-05-31 | 2023-09-05 | Siemens Aktiengesellschaft | Industrial control system and network security monitoring method therefor |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
CN108900538A (zh) * | 2018-08-09 | 2018-11-27 | 深圳市永达电子信息股份有限公司 | 一种工控信号检测方法和装置 |
CN109271855A (zh) * | 2018-08-09 | 2019-01-25 | 深圳市永达电子信息股份有限公司 | 一种工控信号的特征提取方法 |
CN109271855B (zh) * | 2018-08-09 | 2021-07-09 | 深圳市永达电子信息股份有限公司 | 一种工控信号的特征提取方法 |
CN108900538B (zh) * | 2018-08-09 | 2021-03-23 | 深圳市永达电子信息股份有限公司 | 一种工控信号检测方法和装置 |
CN109120477B (zh) * | 2018-08-16 | 2021-09-24 | 广东芬尼克兹节能设备有限公司 | 基于modbus协议的动态解析方法、装置、服务器及存储介质 |
CN109120477A (zh) * | 2018-08-16 | 2019-01-01 | 广东芬尼克兹节能设备有限公司 | 基于modbus协议的动态解析方法、装置、服务器及存储介质 |
CN109409408A (zh) * | 2018-09-21 | 2019-03-01 | 上海大学 | 一种Modbus TCP协议模糊测试中畸形数据过滤方法 |
CN109886119A (zh) * | 2019-01-22 | 2019-06-14 | 深圳市永达电子信息股份有限公司 | 一种基于工控信号的控制功能分类方法及系统 |
CN109886119B (zh) * | 2019-01-22 | 2021-07-09 | 深圳市永达电子信息股份有限公司 | 一种基于工控信号的控制功能分类方法及系统 |
CN110098959B (zh) * | 2019-04-23 | 2021-11-16 | 广东技术师范大学 | 工控协议交互行为的建模方法、装置、系统及存储介质 |
CN110098959A (zh) * | 2019-04-23 | 2019-08-06 | 广东技术师范大学 | 工控协议交互行为的建模方法、装置、系统及存储介质 |
CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
CN110086810B (zh) * | 2019-04-29 | 2020-08-18 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
CN110456765B (zh) * | 2019-07-29 | 2020-12-25 | 北京威努特技术有限公司 | 工控指令的时序模型生成方法、装置及其检测方法、装置 |
CN110442837B (zh) * | 2019-07-29 | 2023-04-07 | 北京威努特技术有限公司 | 复杂周期模型的生成方法、装置及其检测方法、装置 |
CN110442837A (zh) * | 2019-07-29 | 2019-11-12 | 北京威努特技术有限公司 | 复杂周期模型的生成方法、装置及其检测方法、装置 |
CN110456765A (zh) * | 2019-07-29 | 2019-11-15 | 北京威努特技术有限公司 | 工控指令的时序模型生成方法、装置及其检测方法、装置 |
CN110620713A (zh) * | 2019-09-11 | 2019-12-27 | 北京演能科技有限公司 | Modbus协议共享通讯的方法和装置 |
CN111245694A (zh) * | 2019-09-17 | 2020-06-05 | 浙江中自机电控制技术有限公司 | 一种基于Modbus扩展通讯的故障处理方法 |
CN111245694B (zh) * | 2019-09-17 | 2021-11-23 | 浙江中自机电控制技术有限公司 | 一种基于Modbus扩展通讯的故障处理方法 |
CN110995700A (zh) * | 2019-12-02 | 2020-04-10 | 山东超越数控电子股份有限公司 | 一种畸形ip报文检测方法、设备以及存储介质 |
CN111586057B (zh) * | 2020-05-09 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | transaction级别的Modbus协议工控异常行为检测方法、系统 |
CN111586057A (zh) * | 2020-05-09 | 2020-08-25 | 杭州安恒信息技术股份有限公司 | transaction级别的Modbus协议工控异常行为检测方法、系统 |
CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
CN112306019A (zh) * | 2020-10-28 | 2021-02-02 | 北京珞安科技有限责任公司 | 一种基于协议深度分析的工控安全审计系统及其应用 |
CN112272184B (zh) * | 2020-10-29 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
CN112272184A (zh) * | 2020-10-29 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
CN112666907A (zh) * | 2020-12-23 | 2021-04-16 | 北京天融信网络安全技术有限公司 | 工业控制策略生成方法、装置、电子设备及存储介质 |
CN112666907B (zh) * | 2020-12-23 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 工业控制策略生成方法、装置、电子设备及存储介质 |
CN112968906A (zh) * | 2021-03-25 | 2021-06-15 | 湖南大学 | 一种基于多元组的Modbus TCP异常通讯检测方法和系统 |
CN112968906B (zh) * | 2021-03-25 | 2022-02-18 | 湖南大学 | 一种基于多元组的Modbus TCP异常通讯检测方法和系统 |
CN113904804B (zh) * | 2021-09-06 | 2023-07-21 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、系统及介质 |
CN113904804A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、系统及介质 |
CN114844802A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 流量检测方法、装置、终端设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106209843A (zh) | 一种面向Modbus协议的数据流异常分析方法 | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN104486141A (zh) | 一种误报自适应的网络安全态势预测方法 | |
CN102882881B (zh) | 针对dns服务的拒绝服务攻击的数据过滤方法 | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
CN102271068B (zh) | 一种dos/ddos攻击检测方法 | |
CN102271091B (zh) | 一种网络异常事件分类方法 | |
CN103179105B (zh) | 一种基于网络流量中行为特征的智能木马检测装置及其方法 | |
CN108616534A (zh) | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 | |
CN101383694A (zh) | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 | |
CN106341414A (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
CN103152222B (zh) | 一种基于主机群特征检测速变攻击域名的方法 | |
CN104539626A (zh) | 一种基于多源报警日志的网络攻击场景生成方法 | |
CN105429977A (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
CN109391599A (zh) | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 | |
CN104618377A (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护系统 | |
Herrero et al. | A neural-visualization IDS for honeynet data | |
CN106357470B (zh) | 一种基于sdn控制器网络威胁快速感知方法 | |
CN103957203B (zh) | 一种网络安全防御系统 | |
CN107786532A (zh) | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 | |
CN104052635A (zh) | 一种基于安全预警的风险态势预测方法及系统 | |
Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
CN109063205A (zh) | 一种面向网络安全的知识库构建方法 | |
CN107547228A (zh) | 一种基于大数据的安全运维管理平台的实现架构 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |