CN106559382A - 基于opc协议的安全网关防护系统访问控制方法 - Google Patents
基于opc协议的安全网关防护系统访问控制方法 Download PDFInfo
- Publication number
- CN106559382A CN106559382A CN201510621768.5A CN201510621768A CN106559382A CN 106559382 A CN106559382 A CN 106559382A CN 201510621768 A CN201510621768 A CN 201510621768A CN 106559382 A CN106559382 A CN 106559382A
- Authority
- CN
- China
- Prior art keywords
- opc
- message
- white list
- client
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于OPC协议的工业控制系统访问控制方法,其中,包括:建立一端口号白名单;S2、获取OPC报文数据,并判断OPC报文数据是否为服务器请求报文或响应报文;S3、获取发送报文数据的客户端端口号,并与白名单中的客户端端口号匹配;S4、对客户端的OPC的报文字段进行检测;S5、结束。本发明一种基于OPC协议的安全网关防护系统访问控制方法,能够满足工业控制系统自身安全防护及其与企业网互联的整体安全防护需求。
Description
技术领域
本发明涉及一种网络安全技术领域,特别涉及一种基于OPC协议的安全网关防护系统访问控制方法。
背景技术
随着信息技术的发展,特别是在德国“工业4.0”、美国“G3.0”以及我国“两化”深度融合等战略的推动下,工业控制系统与企业管理网甚至互联网进行直接互联的迫切需求,导致一系列信息安全问题不断涌现。如今,世界范围内出现越来越多针对工业控制系统网络协议漏洞的攻击。继“震网”病毒事件后,国内外又陆续揭露许多重大工业控制系统安全事件,如2014年工业界备受瞩目的“Havex”病毒,专门针对典型工控协议OPC进行攻击。工业控制系统的安全问题不断被推向一个个新的高度。
发明内容
本发明的目的在于提供一种基于OPC协议的工业控制系统访问控制方法,用以解决上述现有技术的问题。
本发明一种基于OPC协议的工业控制系统访问控制方法,其中,包括:S1、建立一端口号白名单,该端口号白名单包含一默认通信端口号;S2、获取OPC报文数据,并判断OPC报文数据是否为服务器请求报文或响应报文,如果是,在白名单中记录服务器的分配给客户端的端口号,如果否,说明为客服端的报文数据,则转步骤S3;S3、获取发送报文数据的客户端端口号,并与白名单中的客户端端口号匹配,如果是,则允许OPC报文数据的传输,如果否,则拒绝通信,并丢弃该OPC报文数据;S4、对客户端的OPC的报文字段进行检测,通 过{对象,接口,例程编号、操作参数、数据长度}五元组,来构建OPC协议长度字段的白名单匹配表,根据对象,接口,例程编号、操作参数唯一确定数据长度是否合法;通过{寄存器地址、数值上限、数值下限}三元组,来构建OPC协议数据项白名单表,当获取寄存器地址后,查找OPC协议数据项白名单表,对比该寄存器地址对应的数值上限与数值下限,若符合则通过,若不符合,则进行过滤;S5、结束。
根据本发明的基于OPC协议的工业控制系统访问控制方法的一实施例,其中,该默认通信端口号为通信135端口号。
综上,本发明一种基于OPC协议的安全网关防护系统访问控制方法,能够满足工业控制系统自身安全防护及其与企业网互联的整体安全防护需求。具有如下优点:接入控制:对OPC客户端和服务器进行身份认证,用户通过认证后,建立安全隧道,从而使得攻击者无法通过网络进行信息窃取或进行恶意攻击;动态端口的访问控制:对OPC客户端的通信端口进行控制,保证用户在默认情况下只能通过服务器授权的合法端口进行通信;OPC协议数据的访问控制:对OPC客户端的读写行为进行访问控制,从而保证用户在默认情况下只能写入合法范围内的数据项,攻击者无法通过篡改工业参数破坏工控设备。
附图说明
图1所示为OPC协议安全防护网关系统框架图;
图2所示为基于白名单匹配技术的访问控制机制模块图;
图3所示为基于OPC协议层的多层次访问控制基本流程图;
图4所示RPC端口白名单生成及控制过程示意图;
图5所示为动态端口追踪模块流程图;
图6所示为OPC协议头字段示意图;
图7所示为OPC协议数据字段示意图;
图8所示为基于通信内容的访问控制流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明一种基于OPC协议的工业控制系统访问控制方法,包括:
S1、建立一端口号白名单,该端口号白名单包含一默认通信端口号;
S2、获取OPC报文数据,并判断OPC报文数据是否为服务器请求报文或响应报文,如果是,在白名单中记录服务器的分配给客户端的端口号,如果否,说明为客服端的报文数据,则转步骤S3;
S3、获取发送报文数据的客户端端口号,并与白名单中的客户端端口号匹配,如果是,则允许OPC报文数据的传输,如果否,则拒绝通信,并丢弃该OPC报文数据;
S4、对客户端的OPC的报文字段进行检测,通过{对象,接口,例程编号、操作参数、数据长度}五元组,来构建OPC协议长度字段的白名单匹配表,根据对象,接口,例程编号、操作参数唯一确定数据长度是否合法;通过{寄存器地址、数值上限、数值下限}三元组,来构建OPC协议数据项白名单表,当获取寄存器地址后,查找OPC协议数据项白名单表,对比该寄存器地址对应的数值上限与数值下限,若符合则通过,若不符合,则进行过滤;
S5、结束。
图1所示为OPC协议安全防护网关系统框架图,如图1所示,针对工业控制系统与企业管理网互联边界的安全防护需求,本发明构建了OPC协议安全防护网关,通过OPC协议层和OPC协议支撑层两层安全防护机制,实现了工业控制系统与企业网络安全互联。
通过在网关协议支撑层实现身份认证、加密技术从而在OPC协议 安全防护网关与OPC客户端及服务器之间实现安全隧道;通过在OPC协议层实现端口白名单和协议关键字白名单的多层网络访问控制机制,实现协议数据的深度解析与过滤,防御来自企业管理网的病毒或恶意操作破坏现场控制设备、窃取现场数据,保障现场控制网络关键设施及数据信息的安全;两层防护机制相辅相成,共同构筑一个较为完备的OPC边界安全防护体系。
OPC协议层安全机制是指针对OPC协议特有安全威胁进行防护的安全机制。本发明基于OPC协议动态端口的通信行为以及基于协议关键字的通信内容两个层次来设计多层访问控制模型。
图2所示为基于白名单匹配技术的访问控制机制模块图,如图2所示,基于OPC协议的多层次访问控制模型的基本思想在于OPC协议正常通信模型的建立,采用白名单匹配方法,通过检测是否违反正常通信模式,过滤潜在攻击(所谓白名单匹配技术,是指根据“白名单”设置允许规则,只有符合该规则的数据项才能通过,任何不在白名单中的数据都被看作攻击过滤掉,从而保障资源的合法使用)。本发明一方面基于动态端口产生的原理,构建端口预测模型,生成动态跟踪表的白名单,实施白名单匹配技术完成针对端口通信行为的访问控制;另一方面基于OPC协议报文规范,构建协议数据白名单,实施白名单匹配技术,完成基于协议关键字的通信内容访问控制。
本发明所设计的访问控制模块主要包括两个层次的访问控制规则,即根据源IP-目的IP匹配合法端口,另一方面通过查找目的对象和接口组合来匹配合法的长度域以及寄存器数据值域。管理和控制出入不同安全区域的OPC协议数据,保障资源在合法范围内得以有效使用和管理。
图3所示为基于OPC协议层的多层次访问控制基本流程图,如图3所示,OPC协议安全防护网关根据多层次访问控制规则对来自OPC客户端的请求及响应数据进行处理。其中,通信行为访问控制模块在跟踪 学习阶段建立通信行为白名单规则库(即端口白名单),当通过身份认证的客户端发送请求时,提取端口等信息,根据通信行为白名单规则库进行通信行为访问控制;通信内容访问控制模块在访问控制阶段,当客户端发送请求时,提取协议长度以及寄存器地址等关键字段,并对协议长度根据工控协议通信规约进行审查,对寄存器值域根据协议数据白名单库进行匹配,从而实现通信内容的访问控制。
第一阶段,通信行为访问控制。客户端完成身份认证后,向网关发送连接请求,OPC协议安全防护网关提取OPC客户端与服务器间会话数据的端口信息,并基于端口信息建立白名单,为之后的通信行为实施访问控制。
第二阶段,通信内容访问控制。OPC协议安全防护网关提取协议数据长度及寄存器地址等关键字段,对协议数据进行深度分析,根据通信内容白名单库实施通信内容访问控制。具体而言,依据OPC数据数据长度、调用号等进行格式审查实现通信内容访问控制。
根据OPC协议通信机制的分析可知,RPC协议版本号、RPC程序号以及传输地址共同组成RPC服务。RPC程序号和版本号由客户程序确定;传输地址包括IP地址、TCP或UDP端口号,服务器IP地址由客户程序确定;动态端口号则是服务器创建客户端请求实例时所动态指定的,伴随着服务器端程序的每次激活而改变。每当服务器接受客户端请求时,为客户端创建服务程序对象实例,并向系统申请注册。系统即为服务程序动态地分配一个端口号,并且将该端口号登记在端口映射表中。服务器中端口映射表对应135端口,客户端在调用服务器程序所提供的过程前,需要查找端口映射器的相应表项从而得到服务器程序所在的端口号。整个过程即客户端RPC程序向服务器的端口映射器发出RPC调用请求,端口映射器将服务器程序所在端口返回给客户端,客户端程序随即与服务器在该端口建立TCP/UDP连接,并调用远程过程取回调用结果。
图4所示RPC端口白名单生成及控制过程示意图,如图4所示,如OPC服务器与OPC客户端之间的会话端口动态分配,OPC协议安全防护网关则对OPC会话进行跟踪。通过记录OPC服务器与OPC客户端交互的端口号生成端口白名单。其中,分为两种情况,一是OPC客户端与OPC服务器交互创建实例的过程中,OPC服务器对于OPC客户端请求所返回的端口号。另一种情况则为OPC服务器作为请求端,与客户端进行交互时,使用的端口号,OPC协议安全防护网关分别将其记录下来,构建连接跟踪表。
图5所示为动态端口追踪模块流程图,如图5所示,访问控制模块的动态端口过滤功能由请求报文处理线程、响应报文处理线程以及连接两模块的连接跟踪表实现。
本发明基于对系统整体性能的考虑,通过建立Hash结点来保存OPC客户端与OPC服务器之间的连接信息,所有目的端口号为135的客户端连接都保存在一个Hash表中,通过记录用户的握手连接,存入到连接跟踪表中来加快相关信息查找,提高系统效率,具体工作流程描述如下。
请求报文还原包括:
首先,OPC协议安全防护网关对OPC客户端与OPC服务器之间的三次握手连接报文进行还原,获取首次连接信息(包括源IP、目的IP、源端口号、目的端口号、调用号),根据获得的信息在Hash表中构造相应的节点(建立字段源IP、目标IP、源端口号、目的端口号、用户请求的目标IID及其调用号六元组),用于OPC会话的跟踪。OPC协议安全防护网关对请求报文的处理过程如下:
OPC协议安全防护网关拦截发送RemoteCreateInstance请求的OPC请求报文,根据客户端报文中的源IP、目的IP、源端口号、目的端口号的四元组定位Hash节点,并将请求的IID填入连接跟踪表项,等待OPC服务器响应返回的端口号。
经过上述处理过程,连接跟踪表中即存放一条此次连接的相关信息。
响应报文还原包括:
OPC协议安全防护网关完成响应报文的还原后,判断源端口是否为135,若是,根据目标IP、源IP、源端口号、目的端口号定位Hash表,填写调用号,并通过调用号判断此响应为RemoteCreateInstance请求的响应,最后将OPC服务器返回的目标端口号存入白名单链表中,建立了源IP、目标IP、目标端口号三元组的白名单项。
白名单匹配包括:
当客户端请求报文目标端口不为135时,网关首先查找端口白名单,若查找成功,则直接提交到实现通信内容检测的访问控制模块,以提高处理效率。如果三元组匹配失败,则截获,并生成报警信息。
基于通信内容的访问控制包括:
从协议报文规范的层面分析,本发明重点针对功能组件接口进行分类研究,结合组件对象-接口与协议数据长度的对应关系,以及组件对象-接口与协议数据中寄存器数值的上、下限的对应关系进行深入分析,分别对长度数据和寄存器数值限值建立相应的白名单库。
图6所示为OPC协议头字段示意图,如图6所示,本发明将功能组件接口作为OPC分析的最重要的报文特征。OPC协议规范中,报文对象-功能组件接口与报文长度以及操作的目标寄存器地址之间存在相互关联。部分攻击者通过对OPC报文的篡改、增删等方式,使其不符合正常报文规范来达到攻击目的,如RPC DCOM报文长度域的堆缓冲区溢出攻击以及震网病毒攻击。因此,本发明针对功能组件接口与报文长度之间的关联性以及功能组件接口与寄存器地址和范围的关联性进行分析,设计了基于报文规范层面分析通信内容访问控制方法。对于OPC协议,报文主要包括RPC头、OPC协议数据单元。RPC头占用24个字节。协议数据单元包括了功能组件接口和寄存器地址等数据。功能组 件接口占用16个字节,数据部分最大可以占用1420字节,最小可以没有。且OPC寄存器地址及其值域与对象-组件接口,以及Context ID(RPC例程编号)、OptNumber等字段有关。
图7所示为OPC协议数据字段示意图,如图6以及图7所示,对于不同对象的组件接口,PDU的长度是有着不一样的限制,对于同一组件接口,其例程编号不同,操作参数不同,其数据长度也不同。但对于同一对象的同一组件接口的相同例程编号,且操作参数相同时,其长度是固定的。因此本发明通过{对象,接口,例程编号、操作参数、数据长度}五元组,来构建OPC协议长度字段的白名单匹配表,同时对象-组件接口是与动态端口的白名单表一致,因此可以简化为{端口号、例程编号、操作参数、数据长度},根据前三者唯一确定数据长度是否合法。
OPCServer中不同客户端操作的寄存器地址与数量不一样,本发明对每个OPC客户端建立寄存器数值的上下限白名单表。本发明通过{寄存器地址、数值上限、数值下限}三元组,来构建OPC协议数据项白名单表。
图8所示为基于通信内容的访问控制流程图,如图8所示,通信内容的访问控制是指对数据包载荷特征进行分析,包括载荷长度、组件接口寄存器地址等协议关键字。
如图8所示,对于长度字段的过滤流程如下,当访问控制模块获取协议关键字段后,根据{端口号、例程编号、操作参数、数据长度}五元组中的前四项定位到白名单数据库,当数据长度与接受数据包中的Data length一致,表示数据正常,若不一致则进行过滤。对于寄存器值域的过滤流程如下,当访问控制模块获取寄存器地址后,查找白名单库,对比该寄存器地址对应的值域,若符合则通过,若不符合,则进行过滤。
本发明针对基于OPC协议的工业控制系统与企业网互联的安全防 护需求,设计了一种基于OPC协议的安全网关防护系统访问控制方法,能够满足工业控制系统自身安全防护及其与企业网互联的整体安全防护需求。具有如下优点:
接入控制:对OPC客户端和服务器进行身份认证,用户通过认证后,建立安全隧道,从而使得攻击者无法通过网络进行信息窃取或进行恶意攻击;
动态端口的访问控制:对OPC客户端的通信端口进行控制,保证用户在默认情况下只能通过服务器授权的合法端口进行通信;
OPC协议数据的访问控制:对OPC客户端的读写行为进行访问控制,从而保证用户在默认情况下只能写入合法范围内的数据项,攻击者无法通过篡改工业参数破坏工控设备。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (2)
1.一种基于OPC协议的工业控制系统访问控制方法,其特征在于,包括:
S1、建立一端口号白名单,该端口号白名单包含一默认通信端口号;
S2、获取OPC报文数据,并判断OPC报文数据是否为服务器请求报文或响应报文,如果是,在白名单中记录服务器的分配给客户端的端口号,如果否,说明为客服端的报文数据,则转步骤S3;
S3、获取发送报文数据的客户端端口号,并与白名单中的客户端端口号匹配,如果是,则允许OPC报文数据的传输,如果否,则拒绝通信,并丢弃该OPC报文数据;
S4、对客户端的OPC的报文字段进行检测,通过{对象,接口,例程编号、操作参数、数据长度}五元组,来构建OPC协议长度字段的白名单匹配表,根据对象,接口,例程编号、操作参数唯一确定数据长度是否合法;通过{寄存器地址、数值上限、数值下限}三元组,来构建OPC协议数据项白名单表,当获取寄存器地址后,查找OPC协议数据项白名单表,对比该寄存器地址对应的数值上限与数值下限,若符合则通过,若不符合,则进行过滤;
S5、结束。
2.如权利要求1所述的基于OPC协议的工业控制系统访问控制方法,其特征在于,该默认通信端口号为通信135端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510621768.5A CN106559382B (zh) | 2015-09-25 | 2015-09-25 | 基于opc协议的安全网关防护系统访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510621768.5A CN106559382B (zh) | 2015-09-25 | 2015-09-25 | 基于opc协议的安全网关防护系统访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106559382A true CN106559382A (zh) | 2017-04-05 |
| CN106559382B CN106559382B (zh) | 2019-10-11 |
Family
ID=58415656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510621768.5A Active CN106559382B (zh) | 2015-09-25 | 2015-09-25 | 基于opc协议的安全网关防护系统访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106559382B (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936801A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种实现报文过滤的方法和装置 |
| CN108848067A (zh) * | 2018-05-28 | 2018-11-20 | 北京威努特技术有限公司 | 智能学习并预置只读白名单规则的opc协议安全防护方法 |
| CN109104424A (zh) * | 2018-08-13 | 2018-12-28 | 浙江中控技术股份有限公司 | 一种opc通讯的安全防护方法及装置 |
| CN109257357A (zh) * | 2018-09-26 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 基于opc服务的工控网络安全防护方法和装置 |
| CN109639701A (zh) * | 2018-12-25 | 2019-04-16 | 杭州迪普科技股份有限公司 | 基于opc协议的访问控制方法、装置、设备及存储介质 |
| CN109921944A (zh) * | 2019-03-21 | 2019-06-21 | 青岛铁木真软件技术有限公司 | 用于工业互联网的网络边界控制方法及装置 |
| CN109981390A (zh) * | 2017-12-28 | 2019-07-05 | 北京金风科创风电设备有限公司 | 一种基于opcua报文特征的网络质量判断系统和方法 |
| CN110300185A (zh) * | 2019-07-12 | 2019-10-01 | 苏州浪潮智能科技有限公司 | 一种ntb通信方法、装置、设备及存储介质 |
| CN110460623A (zh) * | 2019-09-27 | 2019-11-15 | 杭州九略智能科技有限公司 | 一种针对工业控制通用协议的处理系统、方法及终端 |
| CN111064650A (zh) * | 2019-12-23 | 2020-04-24 | 浙江宇视科技有限公司 | 一种动态变更隧道连接服务端口号的方法及装置 |
| CN111083154A (zh) * | 2019-12-24 | 2020-04-28 | 北京网太科技发展有限公司 | 一种安全防护方法、装置及存储介质 |
| CN111740879A (zh) * | 2020-06-10 | 2020-10-02 | 广州市扬新技术研究有限责任公司 | 一种数据采集与数据转发网关实现方法 |
| CN111935187A (zh) * | 2020-10-12 | 2020-11-13 | 南京云信达科技有限公司 | 一种数据访问方法及装置 |
| CN111954318A (zh) * | 2020-07-20 | 2020-11-17 | 广东工贸职业技术学院 | 一种设备互联的方法、装置及系统 |
| CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
| CN112118260A (zh) * | 2020-09-16 | 2020-12-22 | 北京天融信网络安全技术有限公司 | Opcda报文处理方法、装置、电子设备及存储介质 |
| CN112422501A (zh) * | 2020-09-28 | 2021-02-26 | 广东电力信息科技有限公司 | 正反向隧道防护方法、装置、设备及存储介质 |
| CN113179194A (zh) * | 2021-04-28 | 2021-07-27 | 杭州迪普科技股份有限公司 | Opc协议网关的测试系统及方法 |
| CN114039770A (zh) * | 2021-11-05 | 2022-02-11 | 北京字节跳动网络技术有限公司 | 访问控制方法、装置、存储介质及电子设备 |
| CN114172699A (zh) * | 2021-11-19 | 2022-03-11 | 北京计算机技术及应用研究所 | 一种工业控制网络安全事件关联分析方法 |
| CN114401146A (zh) * | 2022-01-20 | 2022-04-26 | 北京华电云博科技有限公司 | 电厂安全一区下位机运行行为分析检测系统 |
| TWI780553B (zh) * | 2020-01-15 | 2022-10-11 | 日商三菱電機股份有限公司 | 中繼裝置及中繼方法 |
| CN117278660A (zh) * | 2023-11-21 | 2023-12-22 | 华信咨询设计研究院有限公司 | 一种基于dpdk技术的流量过滤的协议解析方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110060017A (ko) * | 2009-11-30 | 2011-06-08 | 현대제철 주식회사 | 제어시스템간 통신장치 |
| CN104618324A (zh) * | 2014-12-18 | 2015-05-13 | 百度在线网络技术(北京)有限公司 | 一种用于数据发送以及数据合法性检查的方法与装置 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护系统 |
-
2015
- 2015-09-25 CN CN201510621768.5A patent/CN106559382B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110060017A (ko) * | 2009-11-30 | 2011-06-08 | 현대제철 주식회사 | 제어시스템간 통신장치 |
| CN104618324A (zh) * | 2014-12-18 | 2015-05-13 | 百度在线网络技术(北京)有限公司 | 一种用于数据发送以及数据合法性检查的方法与装置 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN104767748A (zh) * | 2015-03-30 | 2015-07-08 | 西北工业大学 | Opc服务器安全防护系统 |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936801A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种实现报文过滤的方法和装置 |
| CN109981390A (zh) * | 2017-12-28 | 2019-07-05 | 北京金风科创风电设备有限公司 | 一种基于opcua报文特征的网络质量判断系统和方法 |
| CN109981390B (zh) * | 2017-12-28 | 2020-11-24 | 北京金风科创风电设备有限公司 | 一种基于opcua报文特征的网络质量判断系统和方法 |
| CN108848067A (zh) * | 2018-05-28 | 2018-11-20 | 北京威努特技术有限公司 | 智能学习并预置只读白名单规则的opc协议安全防护方法 |
| CN108848067B (zh) * | 2018-05-28 | 2021-05-25 | 北京威努特技术有限公司 | 智能学习并预置只读白名单规则的opc协议安全防护方法 |
| CN109104424A (zh) * | 2018-08-13 | 2018-12-28 | 浙江中控技术股份有限公司 | 一种opc通讯的安全防护方法及装置 |
| CN109257357A (zh) * | 2018-09-26 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 基于opc服务的工控网络安全防护方法和装置 |
| CN109639701B (zh) * | 2018-12-25 | 2021-06-29 | 杭州迪普科技股份有限公司 | 基于opc协议的访问控制方法、装置、设备及存储介质 |
| CN109639701A (zh) * | 2018-12-25 | 2019-04-16 | 杭州迪普科技股份有限公司 | 基于opc协议的访问控制方法、装置、设备及存储介质 |
| CN109921944B (zh) * | 2019-03-21 | 2021-12-14 | 青岛铁木真软件技术有限公司 | 用于工业互联网的网络边界控制方法及装置 |
| CN109921944A (zh) * | 2019-03-21 | 2019-06-21 | 青岛铁木真软件技术有限公司 | 用于工业互联网的网络边界控制方法及装置 |
| CN110300185A (zh) * | 2019-07-12 | 2019-10-01 | 苏州浪潮智能科技有限公司 | 一种ntb通信方法、装置、设备及存储介质 |
| CN110300185B (zh) * | 2019-07-12 | 2022-06-07 | 苏州浪潮智能科技有限公司 | 一种ntb通信方法、装置、设备及存储介质 |
| CN110460623A (zh) * | 2019-09-27 | 2019-11-15 | 杭州九略智能科技有限公司 | 一种针对工业控制通用协议的处理系统、方法及终端 |
| CN111064650A (zh) * | 2019-12-23 | 2020-04-24 | 浙江宇视科技有限公司 | 一种动态变更隧道连接服务端口号的方法及装置 |
| CN111083154A (zh) * | 2019-12-24 | 2020-04-28 | 北京网太科技发展有限公司 | 一种安全防护方法、装置及存储介质 |
| TWI780553B (zh) * | 2020-01-15 | 2022-10-11 | 日商三菱電機股份有限公司 | 中繼裝置及中繼方法 |
| CN111740879A (zh) * | 2020-06-10 | 2020-10-02 | 广州市扬新技术研究有限责任公司 | 一种数据采集与数据转发网关实现方法 |
| CN111954318B (zh) * | 2020-07-20 | 2022-06-10 | 广东工贸职业技术学院 | 一种设备互联的方法、装置及系统 |
| CN111954318A (zh) * | 2020-07-20 | 2020-11-17 | 广东工贸职业技术学院 | 一种设备互联的方法、装置及系统 |
| CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
| CN112118260A (zh) * | 2020-09-16 | 2020-12-22 | 北京天融信网络安全技术有限公司 | Opcda报文处理方法、装置、电子设备及存储介质 |
| CN112422501A (zh) * | 2020-09-28 | 2021-02-26 | 广东电力信息科技有限公司 | 正反向隧道防护方法、装置、设备及存储介质 |
| CN112422501B (zh) * | 2020-09-28 | 2024-03-01 | 南方电网数字企业科技(广东)有限公司 | 正反向隧道防护方法、装置、设备及存储介质 |
| CN111935187B (zh) * | 2020-10-12 | 2020-12-29 | 南京云信达科技有限公司 | 一种数据访问方法及装置 |
| CN111935187A (zh) * | 2020-10-12 | 2020-11-13 | 南京云信达科技有限公司 | 一种数据访问方法及装置 |
| CN113179194A (zh) * | 2021-04-28 | 2021-07-27 | 杭州迪普科技股份有限公司 | Opc协议网关的测试系统及方法 |
| CN114039770A (zh) * | 2021-11-05 | 2022-02-11 | 北京字节跳动网络技术有限公司 | 访问控制方法、装置、存储介质及电子设备 |
| CN114039770B (zh) * | 2021-11-05 | 2023-06-06 | 抖音视界有限公司 | 访问控制方法、装置、存储介质及电子设备 |
| CN114172699A (zh) * | 2021-11-19 | 2022-03-11 | 北京计算机技术及应用研究所 | 一种工业控制网络安全事件关联分析方法 |
| CN114401146A (zh) * | 2022-01-20 | 2022-04-26 | 北京华电云博科技有限公司 | 电厂安全一区下位机运行行为分析检测系统 |
| CN117278660A (zh) * | 2023-11-21 | 2023-12-22 | 华信咨询设计研究院有限公司 | 一种基于dpdk技术的流量过滤的协议解析方法 |
| CN117278660B (zh) * | 2023-11-21 | 2024-03-29 | 华信咨询设计研究院有限公司 | 一种基于dpdk技术的流量过滤的协议解析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106559382B (zh) | 2019-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106559382A (zh) | 基于opc协议的安全网关防护系统访问控制方法 | |
| US9762543B2 (en) | Using DNS communications to filter domain names | |
| US10425387B2 (en) | Credentials enforcement using a firewall | |
| CN106685932B (zh) | 一种基于云服务的文件访问系统和方法 | |
| US8051484B2 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
| CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
| EP3605948B1 (en) | Distributing overlay network ingress information | |
| US20160366176A1 (en) | High-level reputation scoring architecture | |
| WO2014094151A1 (en) | System and method for monitoring data in a client environment | |
| CN104954346B (zh) | 基于对象分析的攻击识别方法及装置 | |
| CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
| KR20210087399A (ko) | 컨테이너 네트워크를 위한 보안 | |
| EP2387746A1 (en) | Methods and systems for securing and protecting repositories and directories | |
| CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
| US20060156400A1 (en) | System and method for preventing unauthorized access to computer devices | |
| CN107135203A (zh) | 一种终端访问控制策略优化的方法及系统 | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
| US20080022386A1 (en) | Security mechanism for server protection | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| Sharma et al. | Firewalls: A Study and Its Classification. | |
| Ning et al. | Design and implementation of a decentralized prototype system for detecting distributed attacks | |
| CN107454055B (zh) | 一种通过安全学习保护网站的方法、装置和系统 | |
| CN109561102A (zh) | 针对自动化攻击的url虚拟化动态防御方法 | |
| Song et al. | Ports distribution management for privacy protection inside local domain name system | |
| US8627462B2 (en) | Token processing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220617 Address after: 102600 floor 16, building 5, courtyard 8, KEGU 1st Street, Beijing Economic and Technological Development Zone, Daxing District, Beijing (Yizhuang cluster, high-end industrial area, Beijing Pilot Free Trade Zone) Patentee after: Beijing Aerospace 706 Information Technology Co.,Ltd. Patentee after: Beijing Institute of computer technology and Applications Address before: 100854 No. 51, Yongding Road, Beijing, Haidian District Patentee before: Beijing Institute of Computer Technology and Applications |
|
| TR01 | Transfer of patent right |