CN106899616B - 一种无ip防火墙的安全规则配置方法 - Google Patents

一种无ip防火墙的安全规则配置方法 Download PDF

Info

Publication number
CN106899616B
CN106899616B CN201710260891.8A CN201710260891A CN106899616B CN 106899616 B CN106899616 B CN 106899616B CN 201710260891 A CN201710260891 A CN 201710260891A CN 106899616 B CN106899616 B CN 106899616B
Authority
CN
China
Prior art keywords
firewall
data packet
free
management system
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201710260891.8A
Other languages
English (en)
Other versions
CN106899616A (zh
Inventor
辛晓帅
邹见效
郑宏
何建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Dianke Made Technology Co Ltd
Original Assignee
Sichuan Dianke Made Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Dianke Made Technology Co Ltd filed Critical Sichuan Dianke Made Technology Co Ltd
Priority to CN201710260891.8A priority Critical patent/CN106899616B/zh
Publication of CN106899616A publication Critical patent/CN106899616A/zh
Application granted granted Critical
Publication of CN106899616B publication Critical patent/CN106899616B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种无IP防火墙的安全规则配置方法,通过将无IP防火墙部署在被保护设备前端,防火墙管理系统在发送的探测数据包以及配置数据包时,并不是直接发送到无IP防火墙,而是通过向被保护设备发送数据,由防火墙截获,识别以及处理来完成安全规则配置。为了对数据包进行准确识别,该发明首先使用特殊端口号作为第一个特征,接着使用自定义应用层协议包头作为第二个特征,最后再针对识别的数据包类型进行相应的的处理。

Description

一种无IP防火墙的安全规则配置方法
技术领域
本发明属于工业控制系统信息安全技术领域,更为具体地讲,涉及一种无IP防火墙的安全规则配置方法。
背景技术
随着工业化与信息化进程不断交叉融合,信息,网络,互联网技术逐渐应用于工业控制领域,工业控制系统正逐步打破曾经的封闭性。目前的工业网络主要使用传统的防火墙进行防护,此类防火墙通常具有IP地址,才能进行精确地探测及规则配置,然而有IP地址防火墙在局域网内是可以被扫描工具探测到,防火墙本身可能作为被攻击对象,进而攻击整个控制网络;并且有IP的防火墙在接入网络中会改变整个控制网络的拓扑结构,在安装与管理上有着缺陷。为了更好地防护效果,通常会将它设置为无IP的模式,此时该防火墙的管理配置依靠传统技术很难实现。在工业控制网络中,对这种无IP的防火墙进行统一管理及安全规则配置成为了必须。
发明内容
本发明的目的在于克服现有技术的不足,提供一种无IP防火墙的安全规则配置方法,实现了工业控制网络内所有无IP防火墙的探测、管理、安全规则配置。
为实现上述发明目的,本发明一种无IP防火墙的安全规则配置方法,其特征在于,包括以下步骤:
(1)、部署无IP防火墙
将防火墙直接串联在被保护设备前方,使所有发送到被保护设备的数据包都通过无IP防火墙;
(2)、使用防火墙管理系统探测网络中的所有无IP防火墙
防火墙管理系统可以向网络中已知的被保护设备发送特殊的探测数据包,探测数据包会经过被保护设备前方的无IP防火墙,探测数据包在经过防火墙时会被截获、识别、处理;
(2.1)、防火墙管理系统发送探测数据包
防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包,若被保护设备前部署了无IP防火墙,那该探测数据包通过无IP防火墙,无IP防火墙产生响应并回复防火墙管理系统;否则探测数据包失效;
(2.2)、无IP防火墙识别探测数据包
探测数据包经过无IP防火墙时,无IP防火墙先检测该探测数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(2.3)
(2.3)、无IP防火墙处理探测数据包
首先解析收到的探测数据包,提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地;再将防火墙MAC地址与被保护设备IP地址作为探测结果;
(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统
无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将探测结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为探测结果数据包再上传至防火墙管理系统,进入步骤(2.5);
(2.5)、防火墙管理系统处理探测结果数据包
防火墙管理系统解析探测结果数据包,读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址,确定出无IP防火墙具体保护设备,并将该信息保存在防火墙管理系统;
(3)防火墙管理系统对网络中的无IP防火墙进行规则配置
(3.1)防火墙管理系统发送配置包
防火墙管理系统找到所有可以保护的设备IP,接着在防火墙管理系统中编辑规则配置信息,再将目的IP地址设置为被保护设备的IP地址,增加自定义应用层协议头,并连同规则配置信息一起封装成规则配置数据包;
(3.2)、无IP防火墙识别规则配置数据包
当规则配置数据包经过无IP防火墙时,无IP防火墙检测规则配置数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(3.3)
(3.3)、无IP防火墙处理规则配置数据包
无IP防火墙对规则配置数据包进行解析,读取出规则配置信息,再根据规则配置信息生成防火墙安全规则,最后将安全规则的日志信息作为配置结果;
(3.4)、无IP防火墙上传配置结果信息至防火墙管理系统
无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将配置结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为配置结果数据包再上传至防火墙管理系统,进入步骤(3.5);
(3.5)、防火墙管理系统处理配置结果数据包
防火墙管理系统收到配置结果数据包后,确认安全规则配置成功,并解析配置结果信息保存到数据库。
本发明的发明内容是这样实现的:
本发明一种无IP防火墙的安全规则配置方法,通过将无IP防火墙部署在被保护设备前端,防火墙管理系统在发送的探测数据包以及配置数据包时,并不是直接发送到无IP防火墙,而是通过向被保护设备发送数据,由防火墙截获,识别以及处理来完成安全规则配置。为了对数据包进行准确识别,该发明首先使用特殊端口号作为第一个特征,接着使用自定义应用层协议包头作为第二个特征,最后再针对识别的数据包类型进行相应的的处理。
同时,本发明一种无IP防火墙的安全规则配置方法还具有以下有益效果:
(1)、无IP防火墙安装在被保护设备上层,无需提前配置网络信息,即可随时接入工业控制网络,不会改变工业控制网络拓扑结构;
(2)、集中管理配置控制网络中的所有无IP防火墙,简化防火墙安装,管理以及配置的工作,操作简单,流程清晰,易于上手;
(3)、无IP防火墙针对工业控制网络实时性要求高的特点,设计为放置在工业网络边缘,主要用于保护工业控制网络中的关键设备,处理流量少,网络延时小,实时性良好;
(4)、无IP防火墙可防止IP扫描,防止基于IP地址的攻击,因此,无IP防火墙更加安全稳定有效。
附图说明
图1是无IP防火墙的部署原理图;
图2是无IP防火墙防功能模块图;
图3是数据包识别模块逻辑结构图;
图4是探测包处理模块逻辑结构图;
图5是安全规则配置模块逻辑结构图;
图6是无IP通信模块逻辑结构图。
具体实施方式
下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
实施例
图1是无IP防火墙的部署原理图。
在本实施例中,提供了一种全新的工业防火墙管理及安全规则配置方法,所有的工业防火墙不再拥有IP地址,这些无IP的防火墙设备通过对数据包识别、探测包处理、配置包的处理、无IP通信模块与防火墙管理配置系统相互配合作用,形成一套完整的基于无IP工业防火墙的安全规则配置方式。
如图1所示,无IP防火墙的部署时,无IP防火墙应设置在工业网络与被保护设备之间,在被保护设备上游必须有一台无IP工业防火墙,因为防火墙是无IP的模式,防火墙管理系统无法直接向它发送数据包,防火墙管理系统是以被保护设备IP地址为目的地址发送数据包,此时必然会通过被保护设备上游的防火墙,无IP防火墙根据数据包特征进行识别,识别完成后,交给防火墙不同模块进行处理,探测包与配置包由自定义应用层协议头封装,具有不同的特征。
在管理系统进行设备探测时,可以通过扫描自定义的IP范围来探测哪个设备上游部署了无IP防火墙。例如:在某个局域网内,IP地址范围为172.16.10.1/24~172.16.10.254/24,可以自定义IP地址范围进行探测,例如只扫描IP地址172.16.10.20/24~172.16.10.30/24之间的设备前是否有防火墙设备。探测完毕后才能进行相应的规则配置。管理系统可以对工业控制网络中所有无IP防火墙进行管理、安全规则配置,实现工业防火墙的集中管理与配置,所示防火墙被部署在工业网络边缘,有针对性的保护多个工业设备。
图2是无IP防火墙的功能模块图。
在本实施例中,如图2所示,无IP防火墙至少包含两个网口,一个网口连接防火墙配置软件系统,其他网口连接被保护设备。防火墙配置系统负责集中管理与配置。当无IP防火墙接收到数据时,首先进行数据包的识别,若是探测包就交给探测包处理模块,若是配置规则包,就交给安全规则配置模块处理。当探测包处理模块,处理完成后,返回的数据将通过无IP通信模块上传给客户端配置系统。同理,当安全规则配置模块处理完成后,返回的数据也将通过无IP通信模块上传给客户端配置系统。
由于防火墙是无IP设备,所有通过防火墙传递给配置系统的数据,都必须通过无IP通信模块,否则无法通信。
下面结合图1、2对本发明进行详细说明,具体包括以下步骤:
(1)、部署无IP防火墙
如图1所示部署防火墙,将防火墙直接串联在被保护设备前方,使所有发送到被保护设备的数据包都通过无IP防火墙;
(2)、使用防火墙管理系统探测网络中的所有无IP防火墙
防火墙管理系统可以向网络中已知的被保护设备发送特殊的探测数据包,探测数据包会经过被保护设备前方的无IP防火墙,探测数据包在经过防火墙时会被截获、识别、处理;
(2.1)、防火墙管理系统发送探测数据包
首先防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包,若被保护设备前部署了无IP防火墙,那该探测数据包通过无IP防火墙,无IP防火墙产生响应并回复防火墙管理系统;否则探测数据包失效;
(2.2)、无IP防火墙识别探测数据包
如图3所示,当防火墙接收到数据包时,数据包识别模块会根据数据包特征进行处理。数据包识别是基于Linux系统中的iptables软件防火墙及netfilter框架实现,防火墙管理系统在发送数据包时,会指定特殊的目的端口,作为探测包和配置包的一个特征。例如,该发明以20000端口作为防火墙识别特殊包的第一个特征。当防火墙看到目的端口为20000的数据,就将这个数据包拦截下来,交给数据包识别模块进行识别,通过数据包识别模块,对数据包进行解包,和应用层协议解析,来识别该数据包是探测包、配置包还是其他包。探测包以及配置包是有自定义的应用层协议包头进行封装。该发明中,探测包中应用层协议头是自定义的协议,该协议头由4个字节组成,第1个字节用来标识包类型,用0x0F表示探测包,0xF0表示配置包,它们拥有不同的协议特征。若检测是探测包,就交给探测包处理模块,若是配置包就交给配置包处理模块。若是其他包,就不处理。此时数据包识别为探测包,则进入步骤(2.3)
(2.3)、无IP防火墙处理探测数据包
当接收到探测包时,就会进行如图4所示的探测包处理,该模块利用探测包内容提取防火墙管理系统的IP地址,MAC地址并保存在防火墙本地,以便无IP通信模块提取管理系统的信息。当信息提取完毕后,将防火墙MAC地址与被保护设备IP地址作为探测结果信息封装成数据包,提交给如图6的无IP通信模块,上传至防火墙管理系统。
(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统
如图6所示,无IP通信模块,无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将探测结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为探测结果数据包再上传至防火墙管理系统,进入步骤(2.5);
由于防火墙是无IP的,从防火墙端发送数据到防火墙配置系统端,不仅需要配置系统端的IP地址,还需要它的MAC地址。无IP通信模块,是从数据链路层开始封装数据协议包头,需要指定目的IP,目的MAC地址等信息。
(2.5)、防火墙管理系统处理探测结果数据包
防火墙管理系统解析探测结果数据包,读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址,确定出无IP防火墙具体保护设备,并将该信息保存在防火墙管理系统;
(3)防火墙管理系统对网络中的无IP防火墙进行规则配置
(3.1)防火墙管理系统发送配置包
防火墙管理系统找到所有可以保护的设备IP,接着在防火墙管理系统中编辑规则配置信息,再将目的IP地址设置为被保护设备的IP地址,增加自定义应用层协议头,并连同规则配置信息一起封装成规则配置数据包;
(3.2)、无IP防火墙识别规则配置数据包
当规则配置数据包经过无IP防火墙时,无IP防火墙检测规则配置数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(3.3)
(3.3)、无IP防火墙处理规则配置数据包
如图5所示,安全规则配置,当接收到配置包时,首先进行配置包检测,然后对不同的规则配置指令进行解析,根据规则指令生成符合防火墙系统的命令,然后执行命令进行安全规则配置,配置完成后,将安全规则的日志信息作为配置结果封装成数据包,通过如图6的无IP通信模块上传至管理系统保存。
(3.4)、无IP防火墙上传配置结果信息至防火墙管理系统
无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将配置结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为配置结果数据包再上传至防火墙管理系统,进入步骤(3.5);
(3.5)、防火墙管理系统处理配置结果数据包
防火墙管理系统收到配置结果数据包后,确认安全规则配置成功,并解析配置结果信息保存到数据库。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。

Claims (2)

1.一种无IP防火墙的安全规则配置方法,其特征在于,包括以下步骤:
(1)、部署无IP防火墙
将防火墙直接串联在被保护设备前方,使所有发送到被保护设备的数据包都通过无IP防火墙;
(2)、使用防火墙管理系统探测网络中的所有无IP防火墙
防火墙管理系统向网络中已知的被保护设备发送特殊的探测数据包,探测数据包会经过被保护设备前方的无IP防火墙,探测数据包在经过防火墙时会被截获、识别、处理;
(2.1)、防火墙管理系统发送探测数据包
防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包,若被保护设备前部署了无IP防火墙,那该探测数据包通过无IP防火墙,无IP防火墙产生响应并回复防火墙管理系统;否则探测数据包失效;
(2.2)、无IP防火墙识别探测数据包
无IP防火墙先识别数据包类型,若检测是探测包,就交给探测包处理模块;当探测数据包经过无IP防火墙时,无IP防火墙先检测该探测数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(2.3);
(2.3)、无IP防火墙处理探测数据包
首先解析收到的探测数据包,提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地;再将防火墙MAC地址与被保护设备IP地址作为探测结果;
(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统
无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将探测结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为探测结果数据包再上传至防火墙管理系统,进入步骤(2.5);
(2.5)、防火墙管理系统处理探测结果数据包
防火墙管理系统解析探测结果数据包,读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址,确定出无IP防火墙具体保护设备,并将该无IP防火墙MAC地址与被保护设备的IP地址保存在防火墙管理系统;
(3)防火墙管理系统对网络中的无IP防火墙进行规则配置
(3.1)防火墙管理系统发送配置包
防火墙管理系统找到所有可以保护的设备IP,接着在防火墙管理系统中编辑规则配置信息,再将目的IP地址设置为被保护设备的IP地址,增加自定义应用层协议头,并连同规则配置信息一起封装成规则配置数据包;
(3.2)、无IP防火墙识别规则配置数据包
无IP防火墙先识别数据包类型,若检测是规则配置数据包,就交给配置包处理模块;当规则配置数据包经过无IP防火墙时,无IP防火墙检测规则配置数据包的目的端口,若目的端口符合规则,再继续检测应用层协议头,若无IP防火墙检测到应用层协议头,则进入步骤(3.3);
(3.3)、无IP防火墙处理规则配置数据包
无IP防火墙对规则配置数据包进行解析,读取出规则配置信息,再根据规则配置信息生成防火墙安全规则,最后将安全规则的日志信息作为配置结果;
(3.4)、无IP防火墙上传配置结果信息至防火墙管理系统
无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址,并作为目的IP地址与目的MAC地址,同时将配置结果作为数据包内容,并加上自定义应用层协议头,进行数据包封装,标记为配置结果数据包再上传至防火墙管理系统,进入步骤(3.5);
(3.5)、防火墙管理系统处理配置结果数据包
防火墙管理系统收到配置结果数据包后,确认安全规则配置成功,并解析配置结果信息保存到数据库。
2.根据权利要求1所述的一种无IP防火墙的安全规则配置方法,其特征在于,所述的探测数据包包括:1)、特殊的目的端口;2)、自定义的应用层协议头。
CN201710260891.8A 2017-04-20 2017-04-20 一种无ip防火墙的安全规则配置方法 Expired - Fee Related CN106899616B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710260891.8A CN106899616B (zh) 2017-04-20 2017-04-20 一种无ip防火墙的安全规则配置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710260891.8A CN106899616B (zh) 2017-04-20 2017-04-20 一种无ip防火墙的安全规则配置方法

Publications (2)

Publication Number Publication Date
CN106899616A CN106899616A (zh) 2017-06-27
CN106899616B true CN106899616B (zh) 2020-01-17

Family

ID=59196975

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710260891.8A Expired - Fee Related CN106899616B (zh) 2017-04-20 2017-04-20 一种无ip防火墙的安全规则配置方法

Country Status (1)

Country Link
CN (1) CN106899616B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011873B (zh) * 2019-04-11 2022-04-26 山东渔翁信息技术股份有限公司 一种无ip设备的工作状态检测方法、装置和介质
CN113810361A (zh) * 2021-07-15 2021-12-17 赛姆科技(广东)有限公司 一种无ip防火墙的快速部署管理方法
CN116566682B (zh) * 2023-05-16 2023-12-08 赛姆科技(广东)有限公司 一种分布式信息网络安全防护方法、系统及其可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036870A (zh) * 2012-10-26 2013-04-10 青岛海天炜业自动化控制系统有限公司 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法
US8763107B1 (en) * 2009-08-03 2014-06-24 Omnimetrix, Llc Cross-connected, server-based, IP-connected, point-to-point connectivity
CN104717205A (zh) * 2015-02-04 2015-06-17 上海展湾信息科技有限公司 基于报文重构的工控防火墙控制方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8763107B1 (en) * 2009-08-03 2014-06-24 Omnimetrix, Llc Cross-connected, server-based, IP-connected, point-to-point connectivity
CN103036870A (zh) * 2012-10-26 2013-04-10 青岛海天炜业自动化控制系统有限公司 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法
CN104717205A (zh) * 2015-02-04 2015-06-17 上海展湾信息科技有限公司 基于报文重构的工控防火墙控制方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
工业控制系统信息安全实验平台设计;辛晓帅等;《实验室研究与探索》;20161231;第35卷(第12期);全文 *

Also Published As

Publication number Publication date
CN106899616A (zh) 2017-06-27

Similar Documents

Publication Publication Date Title
KR102414860B1 (ko) 메세지를 처리하는 네트워크 프로브 및 방법
CN106899616B (zh) 一种无ip防火墙的安全规则配置方法
CN106027358A (zh) 一种社会视频网接入视频专网的网络安全管控系统
US20160094517A1 (en) Apparatus and method for blocking abnormal communication
US11546295B2 (en) Industrial control system firewall module
GB2495214A (en) Firewalls for process control systems
JP5134141B2 (ja) 不正アクセス遮断制御方法
CN103905415A (zh) 一种防范远控类木马病毒的方法及系统
CN105516073A (zh) 网络入侵防御方法
CN112688932A (zh) 蜜罐生成方法、装置、设备及计算机可读存储介质
CN104735071A (zh) 一种虚拟机之间的网络访问控制实现方法
Kang et al. Cyber threats and defence approaches in SCADA systems
US11683336B2 (en) System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network
Paul et al. Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO
CN110266680B (zh) 一种基于双重相似性度量的工业通信异常检测方法
Qassim et al. Simulating command injection attacks on IEC 60870-5-104 protocol in SCADA system
Kang et al. Whitelists based multiple filtering techniques in SCADA sensor networks
CN111030970B (zh) 一种分布式访问控制方法、装置及存储设备
CN112118258A (zh) 在蜜罐场景下获取攻击者信息的系统及方法
KR20150110065A (ko) 실행파일 모니터링 기반 악성코드 탐지 방법 및 시스템
EP3985920A1 (en) Network traffic analysis
CN113079180B (zh) 一种基于执行上下文的防火墙细粒度访问控制方法及系统
CN104092677A (zh) 物联网数据的交换方法和交换装置
CN104935556A (zh) 一种网络安全处理方法、装置及系统
CN106657087B (zh) 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200117