CN106911514A - 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 - Google Patents
基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 Download PDFInfo
- Publication number
- CN106911514A CN106911514A CN201710153082.7A CN201710153082A CN106911514A CN 106911514 A CN106911514 A CN 106911514A CN 201710153082 A CN201710153082 A CN 201710153082A CN 106911514 A CN106911514 A CN 106911514A
- Authority
- CN
- China
- Prior art keywords
- model
- intrusion detection
- message
- iec60870
- detection process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 84
- 238000000034 method Methods 0.000 claims abstract description 54
- 230000008569 process Effects 0.000 claims abstract description 45
- 230000000454 anti-cipatory effect Effects 0.000 claims abstract description 10
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 14
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 230000006399 behavior Effects 0.000 claims description 10
- 238000007689 inspection Methods 0.000 claims description 8
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims description 7
- 230000009545 invasion Effects 0.000 claims description 7
- 108010064775 protein C activator peptide Proteins 0.000 claims description 7
- 230000001105 regulatory effect Effects 0.000 claims description 5
- 230000014759 maintenance of location Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 230000008676 import Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于IEC60870‑5‑104协议的SCADA网络入侵检测方法及系统,包括基于特征的入侵检测过程和基于模型的入侵检测过程;基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警,并存储到日志文件中;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警,并存储到日志文件中。本发明能够有效提高基于IEC/104协议的SCADA系统的网络安全性。
Description
技术领域
本发明涉及工业控制系统网络信息安全技术领域,特别是涉及基于IEC60870-5-104协议的SCADA网络入侵检测方法及系统。
背景技术
监控和数据采集系统(SCADA)是以计算机为基础的生产过程控制与调度自动化系统,它可以对现场的运行设备进行监视和控制,在电力、石油、化工等关键基础设施的工业控制系统中发挥着重要作用。随着工业SCADA系统的复杂性和互连性不断增加,同时也增大了恶意网络攻击的可能性。遵循传统通信协议的工业控制网络,在设计之初对网络安全威胁的考虑往往不足。不断发展的SCADA系统可能被恶意攻击者或心怀不满的内部员工视为攻击的重点目标,在未经授权的情况下利用系统脆弱点实现非法访问和控制。这种入侵可能是一些简单或高级持续的攻击,并可能危及工业控制系统的安全稳定运行。例如:2015年12月乌克兰遭受恶意攻击导致电网发生大停电事件。国内外工业界和学术界对工控系统网络安全问题愈加重视并更加关注,SCADA系统网络信息安全问题已经成为关系电力、石油、化工等系统安全、可靠和稳定运行的工程实际问题。
目前,在电力SCADA系统中存在许多开放的国际标准。例如分布式网络协议(DNP3),IEC60870-5系列和IEC 61850等标准。其中IEC60870-5-104(下文简称“IEC/104”)传输协议特别为基于TCP/IP的60870-5-101协议作为网络接入服务,可以实现控制中心和变电站之间的基本远动任务。
IEC/104协议已广泛应用于欧洲、中国和其他非美国家的SCADA系统。IEC/104协议在增强性能架构(EPA)模型的基础上增加了传输层和网络层,属于应用层协议。基于TCP/IP的应用层协议具有相应的端口号。IEC/104协议的标准端口号为<2404>。
IEC/104协议的应用层传输应用服务数据单元(ASDU)。因为传输接口没有定义IEC60870-5-101的应用服务数据单元的开始或停止机制,IEC/104协议定义了应用协议控制信息(APCI)用于检测ASDU的开始和结束。APCI包括起始字符(68H)、APDU的长度字段和控制字段。APCI与ASDU组合构成应用协议数据单元(APDU)。APDU的最大长度为253字节,控制字段的长度为4字节。三种类型的控制字段格式是I格式,S格式和U格式,I格式用于执行编号信息传输,S格式是编号监控函数和U格式是未编号的控制函数。
由于传统系统中有限的计算资源,以及缺乏内置的安全考虑,传统IT安全方案可能在使用IEC/104的SCADA系统中失效,目前传统工业控制SCADA系统缺乏网络安全入侵检测系统。
发明内容
发明目的:本发明的目的是提供一种能够在使用IEC/104的SCADA系统中使用的基于IEC60870-5-104协议的SCADA网络入侵检测方法及系统。
技术方案:本发明所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,所述方法包括:
确定待检测的报文;
检测报文中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程,其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;
将检测发现的异常行为记录到日志文件中,并显示为告警信息。
进一步,所述确定待检测的报文包括:在线捕获网口流入的数据包或离线导入PCAP数据报文。
进一步,在所述检测报文中是否包含异常行为之前,进一步包括,对所述待检测报文进行解析和处理。
进一步,所述基于特征的入侵检测过程中,攻击特征的规则数据库包括以下检测规则:
1)控制中心的客户端与服务器之间已建立的连接被劫持或者欺骗;
2)服务器发送虚假报文,影响控制服务器以及调度人员的判断;
3)未经授权的客户端从现场设备读取信息;
4)未经授权的客户端向服务器发出询问命令;
5)未授权客户端向服务器发出遥控或者遥调命令;
6)通过发送带类型标识69H的命令,强制服务器重置进程;
7)向服务器网络发送广播请求包;
8)报文长度超过正常报文长度。
进一步,所述基于模型的入侵检测过程中,所述表征特定协议预期行为的模型包括以下几种:
1)类型标识模型:所述类型标识模型中有256个可能的值,其中,数字0无效,数字1-127的类型标识值已定义,数字128-255的类型标识值未定义;
2)传输原因模型:所述传输原因模型中的传输原因字段有64个可能的值,其中,数字0未定义,数字14-19和42-63为保留值,传输原因值定义在1-13和20-41范围内;
3)长度字段模型:所述长度字段模型中长度字段值的范围是4-253;
4)关联模型:所述关联模型中的类型标识字段数值与传输原因字段数值相匹配;
5)基于流量模式的模型:所述基于流量模式的模型中,从客户端发送TCP初始化连接请求到服务器,TCP初始化连接到服务器的端口号为2404,服务器的TCP连接包括授权的客户端。
本发明所述的基于IEC60870-5-104协议的SCADA网络入侵检测系统,包括:
数据采集模块:用于确定待检测的报文;
检测规则模块:用于检测数据包中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程;其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;
检查结果输出模块:用于将检测发现的异常行为记录到日志文件中,并显示为告警信息。
进一步,数据采集模块用于在线捕获网口流入的数据包或者离线导入PCAP数据报文。
进一步包括数据处理模块,所述数据处理模块包括包解码器和预处理器,所述包解码器用于对数据包进行解码,所述预处理器对所述解码后的数据包进行处理,所述处理包括对分片的数据包进行重新组装以及处理明显的错误。
进一步,所述检验规则模块包括Snort配置文件、用户自定义规则库和检测引擎;所述检测过程通过Snort规则实现。
进一步,所述Snort配置文件包括规则头和规则选项;其中,规则头包括规则的响应、协议、源IP、源端口、方向、目的IP和目的端口;规则选项包括告警内容。
有益效果:本发明公开了一种基于IEC60870-5-104协议的SCADA网络入侵检测方法,其中,基于特征的入侵检测过程能够检测已知的恶意攻击和可疑威胁,也能够识别攻击的来源,预防未来的入侵。基于模型的入侵检测过程是对基于特征的入侵检测过程的有效补充,通过监视SCADA系统中使用IEC/104协议的设备的通信行为,可以检测未知攻击和零日漏洞攻击。本发明还公开了一种基于IEC60870-5-104协议的SCADA网络入侵检测系统。本发明能够有效提高基于IEC/104协议的SCADA系统的网络安全性。
附图说明
图1为本发明具体实施方式的方法的流程图;
图2为本发明具体实施方式的系统的框图。
具体实施方式
下面结合附图和具体实施方式,对本发明的技术方案作进一步的介绍。
本具体实施方式公开了一种基于IEC60870-5-104协议的SCADA网络入侵检测方法,如图1所示,所述方法包括如下步骤:
确定待检测的报文;
检测报文中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程,其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;
将检测发现的异常行为记录到日志文件中,并显示为告警信息。
其中,确定待检测的报文包括:在线捕获网口流入的数据包或离线导入PCAP数据报文。PCAP是Packet CAPture的缩写。
检测报文中是否包含异常行为之前还可以对待检测报文进行解析和处理。
基于特征的入侵检测过程中,攻击特征的规则数据库包括多个检测规则,能够用来跟踪攻击的来源,以阻止未来的攻击。检测规则如下:
1)IEC/104端口通信:控制中心的客户端与服务器之间已建立的连接被劫持或者欺骗;
2)自发报文风暴:服务器发送虚假报文,影响控制服务器以及调度人员的判断;
3)对服务器的未授权读取命令:未经授权的客户端从现场设备读取信息;
4)对服务器的未授权询问命令:未经授权的客户端向服务器发出询问命令;
5)来自未授权客户端的遥控或者遥调命令:未授权客户端向服务器发出遥控或者遥调命令;
6)未授权客户端的重置进程命令:通过发送带类型标识69H的命令,强制服务器重置进程;
7)来自未授权客户端的广播请求:向服务器网络发送广播请求包;
8)潜在缓冲区溢出:报文长度超过正常报文长度。
由于特征的入侵检测过程需要事先知道攻击特征,因此它无法检测未知或零日攻击。为了加强对未知攻击的检测,下面提出了基于模型的入侵检测过程作为基于特征的检测方法的补充。基于模型的入侵检测过程中,所述表征特定协议预期行为的模型包括以下几种:
1)类型标识模型:所述类型标识模型中有256个可能的值,其中,数字0无效,数字1-127的类型标识值已定义,数字128-255的类型标识值未定义;当从IEC/104客户端向IEC/104服务器的控制方向发送I格式的ASDU请求时,类型标识模型可以定义如下,
其中C是控制方向上的IEC/104请求报文,TIField表示类型标识字段的值;当从服务器向客户端的监控方向发送I格式的ASDU响应时,类型标识模型定义如下,
其中M表示监控方向的IEC/104响应报文;
2)传输原因模型:所述传输原因模型中的传输原因字段有64个可能的值,其中,数字0未定义,数字14-19和42-63为保留值,传输原因值定义在1-13和20-41范围内;传输原因模型可以描述为如下:
3)长度字段模型:所述长度字段模型中长度字段值的范围是4-253;
长度字段的值取决于APUD的报文格式和类型标识值。例如,因为S格式和U格式的APDU仅包含APCI而不包含ASDU,长度字段的值是固定的且应该是4,即:
其中lenField表示APDU长度字段;
如果报文包含I格式的APDU,则长度字段的值应该大于4且小于253;该值是可变的,与类型标识相关;例如,当类型标识值为45(单点命令)或46(双点命令),典型长度字段值是14,即,
4)关联模型:所述关联模型中的类型标识字段数值与传输原因字段数值相匹配;例如,在控制方向上,当类型标识值为45、46、47(遥调指令)、48(带归一化值的阶跃点指令)、100(总召命令)或101(计数总召命令),对应的传输原因值是6,即:
当监视方向的类型标识值为45-48、100或101时,相应的传输原因值为7或10:
5)基于流量模式的模型:所述基于流量模式的模型中,从客户端发送TCP初始化连接请求到服务器,TCP初始化连接到服务器的端口号为2404,服务器的TCP连接包括授权的客户端。
基于同一发明构思,本具体实施方式还公开了一种基于IEC60870-5-104协议的SCADA网络入侵检测系统,包括数据采集模块、数据处理模块、检测规则模块和检测结果输出模块,如图2所示,其中:
数据采集模块201:用于在线捕获网口流入的数据包或者离线导入PCAP数据报文;数据采集模块处理之后,将处理后的数据发送给数据处理模块。
数据处理模块202:用于对报文进行解析和处理,包括包解码器2021和预处理器2022,首先通过包解码器对数据包进行解码,解码成Snort认识的统一格式,再将数据包送到预处理器进行处理,预处理包括对分片的数据包进行重新组装、处理一些明显错误等问题。
检测规则模块203:用于检测数据包中是否包含异常行为,包括Snort配置文件、用户自定义规则库和检测引擎,检测过程通过Snort规则实现;典型的Snort规则包含规则头和规则选项两部分。规则头包括规则的响应(如:告警)、协议(如:tcp)、源IP、源端口、方向、目的IP和目的端口。规则选项包括告警内容和其它信息。在Snort配置文件中自定义104_CLIENT、104_SERVER和104_PORT等用户变量,分别代表IEC/104客户主机集、IEC/104服务器集以及IEC/104服务器使用的端口号。检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程;其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;
检查结果输出模块204:用于将检测发现的异常行为记录到日志文件中,并显示为告警信息。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本申请时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
Claims (10)
1.基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于,所述方法包括:
确定待检测的报文;
检测报文中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程,其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;
将检测发现的异常行为记录到日志文件中,并显示为告警信息。
2.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:所述确定待检测的报文包括:在线捕获网口流入的数据包或离线导入PCAP数据报文。
3.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:在所述检测报文中是否包含异常行为之前,进一步包括,对所述待检测报文进行解析和处理。
4.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:所述基于特征的入侵检测过程中,攻击特征的规则数据库包括以下检测规则:
1)控制中心的客户端与服务器之间已建立的连接被劫持或者欺骗;
2)服务器发送虚假报文,影响控制服务器以及调度人员的判断;
3)未经授权的客户端从现场设备读取信息;
4)未经授权的客户端向服务器发出询问命令;
5)未授权客户端向服务器发出遥控或者遥调命令;
6)通过发送带类型标识69H的命令,强制服务器重置进程;
7)向服务器网络发送广播请求包;
8)报文长度超过正常报文长度。
5.根据权利要求1所述的基于IEC60870-5-104协议的SCADA网络入侵检测方法,其特征在于:所述基于模型的入侵检测过程中,所述表征特定协议预期行为的模型包括以下几种:
1)类型标识模型:所述类型标识模型中有256个可能的值,其中,数字0无效,数字1-127的类型标识值已定义,数字128-255的类型标识值未定义;
2)传输原因模型:所述传输原因模型中的传输原因字段有64个可能的值,其中,数字0未定义,数字14-19和42-63为保留值,传输原因值定义在1-13和20-41范围内;
3)长度字段模型:所述长度字段模型中长度字段值的范围是4-253;
4)关联模型:所述关联模型中的类型标识字段数值与传输原因字段数值相匹配;
5)基于流量模式的模型:所述基于流量模式的模型中,从客户端发送TCP初始化连接请求到服务器,TCP初始化连接到服务器的端口号为2404,服务器的TCP连接包括授权的客户端。
6.基于IEC60870-5-104协议的SCADA网络入侵检测系统,其特征在于:包括:
数据采集模块:用于确定待检测的报文;
检测规则模块:用于检测数据包中是否包含异常行为,检测过程包括基于特征的入侵检测过程和基于模型的入侵检测过程;其中,基于特征的入侵检测过程为:将待检测的报文与攻击特征的规则数据库进行匹配,如果匹配,则产生相应的告警;基于模型的入侵检测过程为:建立表征特定协议预期行为的模型,如果检测的报文违背了这些模型,则产生相应的告警;
检查结果输出模块:用于将检测发现的异常行为记录到日志文件中,并显示为告警信息。
7.根据权利要求6所述的基于IEC60870-5-104协议的SCADA网络入侵检测系统,其特征在于:数据采集模块用于在线捕获网口流入的数据包或者离线导入PCAP数据报文。
8.根据权利要求6所述的基于IEC60870-5-104协议的SCADA网络入侵检测系统,其特征在于:进一步包括数据处理模块,所述数据处理模块包括包解码器和预处理器,所述包解码器用于对数据包进行解码,所述预处理器对所述解码后的数据包进行处理,所述处理包括对分片的数据包进行重新组装以及处理明显的错误。
9.根据权利要求6所述的基于IEC60870-5-104协议的SCADA网络入侵检测系统,其特征在于:所述检验规则模块包括Snort配置文件、用户自定义规则库和检测引擎;所述检测过程通过Snort规则实现。
10.根据权利要求9所述的基于IEC60870-5-104协议的SCADA网络入侵检测系统,其特征在于:所述Snort配置文件包括规则头和规则选项;其中,规则头包括规则的响应、协议、源IP、源端口、方向、目的IP和目的端口;规则选项包括告警内容。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710153082.7A CN106911514A (zh) | 2017-03-15 | 2017-03-15 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710153082.7A CN106911514A (zh) | 2017-03-15 | 2017-03-15 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106911514A true CN106911514A (zh) | 2017-06-30 |
Family
ID=59186885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710153082.7A Pending CN106911514A (zh) | 2017-03-15 | 2017-03-15 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106911514A (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108282482A (zh) * | 2018-01-30 | 2018-07-13 | 电子科技大学 | 一种基于svm的iec60870-5-104异常流量检测方法 |
CN108847983A (zh) * | 2018-06-27 | 2018-11-20 | 电子科技大学 | 基于mqtt协议的入侵检测方法 |
CN108881181A (zh) * | 2018-05-30 | 2018-11-23 | 杭州迪普科技股份有限公司 | 一种报文的过滤方法及装置 |
CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
CN109962881A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 基于工业控制系统的入侵检测方法、装置以及系统 |
CN110401624A (zh) * | 2018-04-25 | 2019-11-01 | 全球能源互联网研究院有限公司 | 源网荷系统交互报文异常的检测方法及系统 |
CN110808962A (zh) * | 2019-10-17 | 2020-02-18 | 奇安信科技集团股份有限公司 | 一种畸形数据包检测方法及装置 |
WO2020063188A1 (zh) * | 2018-09-30 | 2020-04-02 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
CN111314289A (zh) * | 2019-12-26 | 2020-06-19 | 青岛海天炜业过程控制技术股份有限公司 | 一种识别基于以太网的工控协议危险通讯数据的方法 |
CN111385249A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
CN111800312A (zh) * | 2020-06-23 | 2020-10-20 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN112422506A (zh) * | 2020-10-16 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种基于DoIP协议的入侵检测防御方法及系统 |
CN115118578A (zh) * | 2022-08-29 | 2022-09-27 | 深圳华龙讯达信息技术股份有限公司 | 一种基于web的scada系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090178140A1 (en) * | 2008-01-09 | 2009-07-09 | Inventec Corporation | Network intrusion detection system |
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
-
2017
- 2017-03-15 CN CN201710153082.7A patent/CN106911514A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090178140A1 (en) * | 2008-01-09 | 2009-07-09 | Inventec Corporation | Network intrusion detection system |
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
Non-Patent Citations (3)
Title |
---|
刘园园: "基于网络安全的IEC60870_5_104协议研究与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
周兆国: "面向SCADA系统的入侵检测模型的设计与实现", 《道客巴巴,WWW.DOC88.COM/P-6931377795257.HTML》 * |
汪正江: "基于网络监听的IEC60870-5-104通信规约测试方法研究", 《全国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109962881A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 基于工业控制系统的入侵检测方法、装置以及系统 |
CN108282482B (zh) * | 2018-01-30 | 2020-12-01 | 电子科技大学 | 一种基于svm的iec60870-5-104异常流量检测方法 |
CN108282482A (zh) * | 2018-01-30 | 2018-07-13 | 电子科技大学 | 一种基于svm的iec60870-5-104异常流量检测方法 |
CN110401624A (zh) * | 2018-04-25 | 2019-11-01 | 全球能源互联网研究院有限公司 | 源网荷系统交互报文异常的检测方法及系统 |
CN108881181A (zh) * | 2018-05-30 | 2018-11-23 | 杭州迪普科技股份有限公司 | 一种报文的过滤方法及装置 |
CN108847983A (zh) * | 2018-06-27 | 2018-11-20 | 电子科技大学 | 基于mqtt协议的入侵检测方法 |
CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
WO2020063188A1 (zh) * | 2018-09-30 | 2020-04-02 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
CN111385249A (zh) * | 2018-12-28 | 2020-07-07 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
CN110808962A (zh) * | 2019-10-17 | 2020-02-18 | 奇安信科技集团股份有限公司 | 一种畸形数据包检测方法及装置 |
CN110808962B (zh) * | 2019-10-17 | 2022-04-29 | 奇安信科技集团股份有限公司 | 一种畸形数据包检测方法及装置 |
CN111314289A (zh) * | 2019-12-26 | 2020-06-19 | 青岛海天炜业过程控制技术股份有限公司 | 一种识别基于以太网的工控协议危险通讯数据的方法 |
CN111314289B (zh) * | 2019-12-26 | 2022-04-22 | 青岛海天炜业过程控制技术股份有限公司 | 一种识别基于以太网的工控协议危险通讯数据的方法 |
CN111800312B (zh) * | 2020-06-23 | 2021-08-24 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN111800312A (zh) * | 2020-06-23 | 2020-10-20 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN112422506A (zh) * | 2020-10-16 | 2021-02-26 | 郑州信大捷安信息技术股份有限公司 | 一种基于DoIP协议的入侵检测防御方法及系统 |
CN112422506B (zh) * | 2020-10-16 | 2022-03-15 | 郑州信大捷安信息技术股份有限公司 | 一种基于DoIP协议的入侵检测防御方法及系统 |
CN115118578A (zh) * | 2022-08-29 | 2022-09-27 | 深圳华龙讯达信息技术股份有限公司 | 一种基于web的scada系统 |
CN115118578B (zh) * | 2022-08-29 | 2022-12-23 | 珠海华龙讯达软件有限公司 | 一种基于web的scada系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106911514A (zh) | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 | |
US9699204B2 (en) | Abnormal traffic detection apparatus and method based on modbus communication pattern learning | |
WO2021063068A1 (zh) | 运维管控、运维分析方法、装置、系统及存储介质 | |
Yang et al. | Rule-based intrusion detection system for SCADA networks | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
KR102137089B1 (ko) | 명령제어채널 탐지장치 및 방법 | |
CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
Yang et al. | Stateful intrusion detection for IEC 60870-5-104 SCADA security | |
CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
CN109845228A (zh) | 用于实时检测网络黑客攻击的网络流量记录系统及方法 | |
CN107070889B (zh) | 一种基于云平台的统一安全防御系统 | |
CN105847251B (zh) | 采用s7协议的工控系统安全防护方法及系统 | |
CN105915842B (zh) | 一种密码修改方法、装置及视频监控系统 | |
CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
CN111327615A (zh) | 一种cc攻击防护方法及其系统 | |
US11349866B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
CN112822291A (zh) | 一种工控设备的监测方法与装置 | |
CN110535881A (zh) | 工业网络攻击流量检测方法及服务器 | |
Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
RU2647616C1 (ru) | Способ обнаружения атак перебора на веб-сервис | |
CN111193700B (zh) | 一种安全防护方法、安全防护装置和存储介质 | |
CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
CN114285633B (zh) | 一种计算机网络安全监控方法及系统 | |
CN106936834B (zh) | 一种对iec61850数字变电站smv报文的入侵检测的方法 | |
KR20120000942A (ko) | 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170630 |