CN106921676B - 一种基于OPCClassic的入侵检测方法 - Google Patents
一种基于OPCClassic的入侵检测方法 Download PDFInfo
- Publication number
- CN106921676B CN106921676B CN201710260755.9A CN201710260755A CN106921676B CN 106921676 B CN106921676 B CN 106921676B CN 201710260755 A CN201710260755 A CN 201710260755A CN 106921676 B CN106921676 B CN 106921676B
- Authority
- CN
- China
- Prior art keywords
- data packet
- uuid
- data
- communication
- sip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 65
- 230000006854 communication Effects 0.000 claims abstract description 58
- 238000004891 communication Methods 0.000 claims abstract description 58
- 230000004044 response Effects 0.000 claims abstract description 35
- 230000002159 abnormal effect Effects 0.000 claims abstract description 32
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 16
- 238000010801 machine learning Methods 0.000 claims abstract description 8
- 238000003062 neural network model Methods 0.000 claims description 31
- 238000012545 processing Methods 0.000 claims description 20
- 238000000034 method Methods 0.000 claims description 9
- 238000012549 training Methods 0.000 claims description 8
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000007175 bidirectional communication Effects 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于OPC Classic的入侵检测方法,针对OPC的协议特征,采用基于机器学习的OPC Classic协议入侵检测和基于双向访问的异常检测;其中基于OPC Classic协议的入侵检测方法通过OPC客户端和OPC服务器之间的通讯流量进行机器学习,建立模型,然后利用该模型进行检测;基于双向访问的异常检测方法通过源IP、源端口以及通用唯一标识符来确定通信双方,进而通过匹配请求包和响应包的RPC版本号来判断通信是否异常;这样不仅实现通信的深度异常检测和双向访问检测,还提高了防护性能。
Description
技术领域
本发明属于入侵检测技术领域,更为具体地讲,涉及一种基于OPC Classic的入侵检测方法。
背景技术
工业控制系统信息安全在控制器的安全防护方面有着非常广泛的应用,诸如电力、石油天然气、以及大型制造行业等。过去几年间,工业控制系统开始广泛采用信息化技术,这就用到了工业通信协议,OPC就是一种典型的工业控制通信协议。OPC全称是ObjectLinking and Embedding(OLE)for Process Control,它的出现为基于Windows的应用程序和现场过程控制应用建立了桥梁。在过去,为了存取现场设备的数据信息,每一个应用软件开发商都需要编写专用的接口函数。由于现场设备的种类繁多,且产品的不断升级,往往给用户和软件开发商带来了巨大的工作负担。通常这样也不能满足工作的实际需要,系统集成商和开发商急切需要一种具有高效性、可靠性、开放性、可互操作性的即插即用的设备驱动程序。在这种情况下,OPC标准应运而生。
尽管OPC协议给我们带来了诸多的便利,可是OPC协议在设计之初并未太多考虑到通信的安全问题,由于OPC协议的通信特点是先通过135端口建立连接,然后通过新端口进行通信,最初的防护仅仅是基于端口的防护,防护是非常脆弱的,近年来也有基于OPC协议深度解析做入侵检测的先例,本文提出了一种新的基于深度包解析的异常检测和基于双向访问控制相结合的检测方法,实践证明,本方法可以有效地实现工业控制系统通信的异常检测。
OPC协议基于DCE/RPC协议,DCE/RPC协议头部包含很多调用信息,其中,RPC版本号(RPC version)标识协议的版本号,数据包类型(packet type)标识数据包的类型,通用唯一标识符(UUID)标识现场控制设备。因为在确定的工业环境中,OPC客户端与OPC服务器进行通信时,数据包中的数据包类型和通用唯一标识符存在对应关系,也就是对于某个特定的现场设备发送的是特定的数据包类型;另外,OPC请求数据包和OPC响应数据包的RPC版本号应该保持一致,通过这两个特征建立基于异常检测模型和基于双向访问的检测来实现对于异常流量的检测。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于OPC Classic的入侵检测方法,针对OPC的协议特征,采用基于机器学习的OPC Classic协议入侵检测和基于双向访问的异常检测,提高通信的安全性。
为实现上述发明目的,本发明一种基于OPC Classic的入侵检测方法,其特征在于,包括以下步骤:
(1)对待检测的工业控制系统通信进行数据包的检测、识别和分析;
在机器学习阶段,通过防火墙中的入侵检测模块对工业控制系统的通信数据包进行检测、识别,分析提取出控制端和执行端之间双向通信数据包的RPC版本号RPCV、数据包类型PT、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD;
(2)对获取的数据进行预处理;
将源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、RPC版本号RPCV,通用唯一标识符UUID作为一组数据,请求数据包处理为(SIP,SD,DIP,DD,UUID,RPCV),对应的响应数据包处理为(DIP,DD,SIP,SD,UUID,RPCV);数据包类型PT和通用统一标识符UUID作为一组数据(PT,UUID)进行处理;
(3)双向访问控制模块对通信数据包进行异常流量检测;
将请求数据包中的RPC版本号RPCV、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD处理成(SIP,SD,DIP,DD,UUID,RPCV),将响应数据包处理成(DIP,DD,SIP,SD,UUID,RPCV);
在双向访问控制模块中获取请求数据包和对应的响应数据包,通过对比源、目的IP地址、源、目的端口号和通用唯一标识符来确定通信双方,再根据请求数据包和对应的响应数据包的RPC版本号是否匹配,若请求数据包和对应的响应数据包的RPC版本号一致则正常,否则异常;
(4)、判断数据(PT,UUID)的异常
根据数据(PT,UUID)中的数据包类型来判断通用唯一标识符或者根据通用统一标识符来判断数据包类型;
当数据(PT,UUID)中的数据包类型确定后,若通用唯一标识符与数据包类型相匹配,则数据(PT,UUID)合法,否则为非法;
当数据(PT,UUID)中的通用唯一标识符确定之后,若数据包类型与通用唯一标识符相匹配,则数据(PT,UUID)合法,否则为非法;
(5)、基于模型的通信异常检测方法;
(5.1)、将步骤(3)中正常、异常的请求数据包和对应的响应数据包的数据(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV)分别作为神经网络模型1的输入,其正常数据包对应的输出设置为1,异常数据包对应的输出设置为0,完成对神经网络模型1进行训练;
(5.2)、将步骤(4)中获取的数据(PT,UUID)作为神经网络模型2的输入,其合法数据(PT,UUID)对应的输出设置为1,非法数据(PT,UUID)对应的输出设置为0,完成对神经网络模型2进行训练;
(5.3)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入格式(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV),并作为输入到神经网络模型1中,若神经网络模型1的输出为1,则数据正常,若神经网络模型1的输出为0,则数据异常,存在入侵;
(5.4)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入数据(PT,UUID),并作为输入到神经网络模型2中,若神经网络模型2的输出为1,则数据正常,若神经网络模型2的输出为0,则数据异常,存在入侵。
本发明的发明目的是这样实现的:
本发明一种基于OPC Classic的入侵检测方法,针对OPC的协议特征,采用基于机器学习的OPC Classic协议入侵检测和基于双向访问的异常检测;其中基于OPC Classic协议的入侵检测方法通过OPC客户端和OPC服务器之间的通讯流量进行机器学习,建立模型,然后利用该模型进行检测;基于双向访问的异常检测方法通过源IP、源端口以及通用唯一标识符来确定通信双方,进而通过匹配请求包和响应包的RPC版本号来判断通信是否异常;这样不仅实现通信的深度异常检测和双向访问检测,还提高了防护性能。
附图说明
图1是本发明基于OPC Classic的入侵检测方法拓扑结构图;
图2是本发明双向访问控制模块细节图;
图3是基于神经网络学习的异常检测模块细节图。
具体实施方式
下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
实施例
为了方便描述,先对具体实施方式中出现的相关专业术语进行说明:
SIP(Source Internet Protocol):源IP地址;
DIP(Destination Internet Protocol):目的IP地址;
SD(Source Port):源端口号;
DD(Destination Port):目的端口号;
UUID(Universally Unique Identifier):通用统一标识符;
RPCV(Remote Procedure Call Protocol Version):远程过程调用协议版本号;
PT(Packet Type):数据包类型。
图1是本发明基于OPC Classic的入侵检测方法拓扑结构图。
在本实施例中,如图1所示,如图1所示,本发明中的双向访问控制模块和异常流量检测模块位于OPC客户端和OPC服务器之间,OPC客户端发送的数据首先通过双向访问控制模块,解析出IP、端口号、通用唯一标识符并进行记录,然后数据包通过异常流量检测模块,解析出数据包类型和通用唯一标识符,将这两个作为输入,并输入到训练好的神经网络模型,根据数据结果进行判断通过还是丢弃数据。OPC服务器发送数据通过异常流量检测模型,检测通过后到达双向访问控制模块,双向访问控制模块根据IP、端口号、通用统一标识符和请求包以及响应包的数据包版本号进行判断,符合通过,不符合丢弃数据包并报警。
下面结合图1,对本发明一种基于OPC Classic的入侵检测方法进行详细说明,具体包括以下步骤:
S1、对待检测的工业控制系统通信进行数据包的检测、识别和分析;
在机器学习阶段,通过防火墙中的入侵检测模块对工业控制系统的通信数据包进行检测、识别,分析提取出控制端和执行端之间双向通信数据包的RPC版本号RPCV,现在数据包的通用版本号是2;数据包类型PT,数据包类型有二十种,包括request、response、ping包等,协议类型符是从0到19;通用唯一标识符UUID,在工业环境中,UUID是一个字符串,为了便于操作,我们需要使用哈希算法转换成唯一的数值;源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD等。
在本实施例中,如图2所示,首先收集OPC客户端和OPC服务器之间的数据,然后进行分析,根据IP、端口号、通用统一标识符、请求包的数据包版本和响应包的数据包版本进行分析,若请求包和对应的响应包都存在,并且对应的数据包版本号一致则通过;若请求包和响应包的数据包版本号不一致则丢弃该数据包并报警;若只有请求数据包或者只有响应数据包则直接丢弃并报警。
(2)对获取的数据进行预处理;
将源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、RPC版本号RPCV,通用唯一标识符UUID作为一组数据,请求数据包处理为(SIP,SD,DIP,DD,UUID,RPCV),对应的响应数据包处理为(DIP,DD,SIP,SD,UUID,RPCV);结合具体的数据将请求包处理为(1721610147,10056,其中1721610147是源IP地址,10056是源端口号,1721619133是目的IP地址,135是目的端口号,78是将通用统一标识符转换成的唯一整数,2是数据包的版本号;将响应数据包的处理为(1721610147,10056,1721610133,135,78,2),这里需要注意的是响应数据包的排序跟请求数据包是有所不同的,将目的IP地址和目的端口号放在前面,这样处理的目的主要是为了方便跟请求数据包进行比对;数据包类型PT和通用统一标识符UUID作为一组数据(PT,UUID)进行处理,结合具体数据处理为(0,78),其中0代表请求数据包request,78是通用统一标识符转换成的唯一数字;
(3)双向访问控制模块对通信数据包进行异常流量检测;
将请求数据包中的RPC版本号RPCV、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD处理成(SIP,SD,DIP,DD,UUID,RPCV),将响应数据包处理成(DIP,DD,SIP,SD,UUID,RPCV);
在双向访问控制模块中获取请求数据包和对应的响应数据包,通过对比源、目的IP地址、源、目的端口号和通用唯一标识符来确定通信双方,再根据请求数据包和对应的响应数据包的RPC版本号是否匹配,若请求数据包和对应的响应数据包的RPC版本号一致则正常,否则异常;例如,若请求数据包处理成(1721610147,10056,1721610133,135,78,2),响应数据数据包处理成(1721610147,10,通过源IP地址1721610147、源端口号10056,目的IP地址1721610133,目的端口号135,通用统一标识符78来确定通信双方,通过版本号来匹配,在数据中请求包和响应包的版本号都是2,一致,所以通信正常。若请求数据包数据处理为(1721610147,10056,1721610133,135,78,2),响应数据包处理为(1721610147,10056,1721610133,135,78,3),确定通信双方后,发现请求数据包的协议标识符是2,而请求数据包的协议标识符是3,不匹配,所以判断为通信异常。再比如请求数据包为(1721610147,10056,1721610133,135,78,2),响应数据包为(1721610147,10056,1721610133,135,78),确定通信双方之后我们发现响应数据包没有协议标识符,所以判断为数据包异常,更多异常情况如图2所示。
(4)、判断数据(PT,UUID)的异常
根据数据(PT,UUID)中的数据包类型来判断通用唯一标识符或者根据通用统一标识符来判断数据包类型;
当数据(PT,UUID)中的数据包类型确定后,若通用唯一标识符与数据包类型相匹配,则数据(PT,UUID)合法,否则为非法;比如若数据包类型为0通用统一标识符为78,122,56合法,即(0,78)(0,122)(0,56)合法,若检测发现数据包类型是0但是通用统一标识符是79则判断为通信异常。
当数据(PT,UUID)中的通用唯一标识符确定之后,若数据包类型与通用唯一标识符相匹配,则数据(PT,UUID)合法,否则为非法;比如若检测到通用统一标识符为78,数据包类型为0,2,7合法即(0,2)(0,2)(0,7)合法,而检测到通用统一标识符是78,数据包类型是18,则判断为通信异常。
(5)、基于模型的通信异常检测方法;
(5.1)、将步骤(3)中正常、异常的请求数据包和对应的响应数据包的数据(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV)分别作为神经网络模型1的输入,其正常数据包对应的输出设置为1,异常数据包对应的输出设置为0,完成对神经网络模型1进行训练;例如输入为(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,2)输出为1作为合法输入数据;输入为(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,3)输出为0作为非法数据进行训练,完成模型1的训练。
(5.2)、将步骤(4)中获取的数据(PT,UUID)作为神经网络模型2的输入,其合法数据(PT,UUID)对应的输出设置为1,非法数据(PT,UUID)对应的输出设置为0,完成对神经网络模型2进行训练;例如将(0,78)(0,122)(0,56)作为合法数据进行输入,将1作为输出作为合法数据进行训练,将(0,79)作为输入,0作为输作为非法数据进行训练,完成模型2的训练。
(5.3)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入格式(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV),并作为输入到神经网络模型1中,若神经网络模型1的输出接近为1,则数据正常,若神经网络模型1的输出接近为0,则数据异常,存在入侵;比如输入(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,2),输出值为0.9998,根据|1-0.9998|<0.3作为判断依据判断为数据包正常;若输入是(1721610147,10056,1721610133,135,、(1721610147,10056,1721610133,135,78,3)作为输入,得到的输出结果是0.002,根据|1-0.002|>0.3判断通信异常,具体如图3所示;
(5.4)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入数据(PT,UUID),并作为输入到神经网络模型2中,若神经网络模型2的输出接近1,则数据正常,若神经网络模型2的输出接近为0,则数据异常,存在入侵。比如输入是(0,78),输出结果是1.002,则根据|1-1.002|<0.3作为判断依据,判断通信正常;若输入是(0.79),输出结果是0.101,则根据|1-0.101|>0.3作为判断依据,判断通信异常,具体如图3所示。
实例
使用MatrikonOPC Explorer作为OPC客户端,MatrikonOPC Simulation Server作为OPC服务器,设置为每5秒钟读取一次数据。进行一段时间的通讯,我们可以提取出大量的样本:
对于模型1,合法数据样本为:
X1=(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,2)
X2=(1721610147,10056,1721610121,135,78,2),(1721610147,10056,1721610121,135,78,2)
X3=(1721610137,10056,1721610133,135,78,2),(1721610137,10056,1721610133,135,78,2)
非法样本数据为:
X1=(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,3)
X2=(1721610147,10056,1721610121,135,78,2),(1721610147,10056,1721610121,135,78)
X3=(1721610137,10056,1721610133,135,78),(1721610137,10056,1721610133,135,78,2)
对于模型2,合法数据样本为:
X1=(0,78)
X2=(1,122)
X3=(5,56)
非法数据样本为:
X1=(0,79)
X2=(1,123)
X3=(5,57)
检测结果:对于模型1,当入侵检测模块获取数据为(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,2),输入模型1,检测结果是0.9998,通信正常;当入侵检测模块获取的数据为(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,3),输入结果为0.002,通信异常。对于模型2,当入侵检测模块获取数据为(0,78),输入模型1,检测结果是1.002,通信正常;当入侵检测模块获取的数据为(0,79),输入结果为0.101,通信异常。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
Claims (2)
1.一种基于OPC Classic的入侵检测方法,其特征在于,包括以下步骤:
(1)对待检测的工业控制系统通信进行数据包的检测、识别和分析;
在机器学习阶段,通过防火墙中的入侵检测模块对工业控制系统的通信数据包进行检测、识别,分析提取出控制端和执行端之间双向通信数据包的RPC版本号RPCV、数据包类型PT、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP和目的端口号DD;
(2)对获取的数据进行预处理;
将源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、RPC版本号RPCV和通用唯一标识符UUID作为一组数据,处理成请求数据包为{SIP,SD,DIP,DD,UUID,RPCV},对应的响应数据包处理为{DIP,DD,SIP,SD,UUID,RPCV};数据包类型PT和通用统一标识符UUID作为一组数据{PT,UUID}进行处理;
(3)双向访问控制模块对通信数据包进行异常流量检测;
将请求数据包中的RPC版本号RPCV、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP和目的端口号DD处理成{SIP,SD,DIP,DD,UUID,RPCV},将响应数据包处理成{DIP,DD,SIP,SD,UUID,RPCV};
在双向访问控制模块中获取请求数据包和对应的响应数据包,通过对比源IP地址SIP、目的IP地址DIP、源端口号SD、目的端口号DD和通用唯一标识符UUID来确定通信双方,再根据请求数据包和对应的响应数据包的RPC版本号是否匹配,若请求数据包和对应的响应数据包的RPC版本号一致则正常,否则异常;
(4)、判断数据{PT,UUID}的异常
根据数据{PT,UUID}中的数据包类型来判断通用唯一标识符或者根据通用统一标识符来判断数据包类型;
当数据{PT,UUID}中的数据包类型确定后,若通用唯一标识符与数据包类型相匹配,则数据{PT,UUID}合法,否则为非法;
当数据{PT,UUID}中的通用唯一标识符确定之后,若数据包类型与通用唯一标识符相匹配,则数据{PT,UUID}合法,否则为非法;
(5)、基于模型的通信异常检测方法;
(5.1)、将步骤(3)中正常、异常的请求数据包{SIP,SD,DIP,DD,UUID,RPCV}和对应的响应数据包{DIP,DD,SIP,SD,UUID,RPCV}的数据分别作为神经网络模型1的输入,其正常数据包对应的输出设置为1,异常数据包对应的输出设置为0,完成对神经网络模型1的训练;
(5.2)、将步骤(4)中获取的数据{PT,UUID}作为神经网络模型2的输入,其合法数据{PT,UUID}对应的输出设置为1,非法数据{PT,UUID}对应的输出设置为0,完成对神经网络模型2的训练;
(5.3)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入格式{SIP,SD,DIP,DD,UUID,RPCV}和{DIP,DD,SIP,SD,UUID,RPCV},并作为神经网络模型1的输入,若神经网络模型1的输出为1,则数据正常,若神经网络模型1的输出为0,则数据异常,存在入侵;
(5.4)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入数据{PT,UUID},并作为神经网络模型2的输入,若神经网络模型2的输出为1,则数据正常,若神经网络模型2的输出为0,则数据异常,存在入侵。
2.根据权利要求1所述的一种基于OPC Classic的入侵检测方法,其特征在于,所述的数据包类型PT包括20种类型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710260755.9A CN106921676B (zh) | 2017-04-20 | 2017-04-20 | 一种基于OPCClassic的入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710260755.9A CN106921676B (zh) | 2017-04-20 | 2017-04-20 | 一种基于OPCClassic的入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106921676A CN106921676A (zh) | 2017-07-04 |
CN106921676B true CN106921676B (zh) | 2020-05-08 |
Family
ID=59568132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710260755.9A Expired - Fee Related CN106921676B (zh) | 2017-04-20 | 2017-04-20 | 一种基于OPCClassic的入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106921676B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474540B (zh) * | 2018-09-12 | 2022-06-10 | 奇安信科技集团股份有限公司 | 一种识别opc流量的方法及装置 |
CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
US11100221B2 (en) | 2019-10-08 | 2021-08-24 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
CN111988305B (zh) * | 2019-12-18 | 2022-06-03 | 北京神州慧安科技有限公司 | 应用于物联网的数据节点异常行为检测方法及服务器 |
US11086988B1 (en) | 2020-02-28 | 2021-08-10 | Nanotronics Imaging, Inc. | Method, systems and apparatus for intelligently emulating factory control systems and simulating response data |
CN111404920B (zh) * | 2020-03-12 | 2022-05-27 | 四川英得赛克科技有限公司 | 应用于工业控制环境的异常检测方法 |
CN112202736B (zh) * | 2020-09-15 | 2021-07-06 | 浙江大学 | 基于统计学习和深度学习的通信网络异常分类方法 |
CN112437043B (zh) * | 2020-11-03 | 2023-05-16 | 深圳市永达电子信息股份有限公司 | 基于双向访问控制的安全保障方法 |
CN112953895B (zh) * | 2021-01-26 | 2022-11-22 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
CN113904804B (zh) * | 2021-09-06 | 2023-07-21 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、系统及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
CN103888282A (zh) * | 2013-08-19 | 2014-06-25 | 中广核工程有限公司 | 基于核电站的网络入侵报警方法和系统 |
CN105959289A (zh) * | 2016-06-06 | 2016-09-21 | 中国东方电气集团有限公司 | 一种基于自学习的OPC Classic协议的安全检测方法 |
CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及系统 |
CN106453416A (zh) * | 2016-12-01 | 2017-02-22 | 广东技术师范学院 | 一种基于深信度网络的分布式攻击入侵的检测方法 |
-
2017
- 2017-04-20 CN CN201710260755.9A patent/CN106921676B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
CN103888282A (zh) * | 2013-08-19 | 2014-06-25 | 中广核工程有限公司 | 基于核电站的网络入侵报警方法和系统 |
CN105959289A (zh) * | 2016-06-06 | 2016-09-21 | 中国东方电气集团有限公司 | 一种基于自学习的OPC Classic协议的安全检测方法 |
CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及系统 |
CN106453416A (zh) * | 2016-12-01 | 2017-02-22 | 广东技术师范学院 | 一种基于深信度网络的分布式攻击入侵的检测方法 |
Non-Patent Citations (3)
Title |
---|
Intrusion detection method based on support vector machine access of Modbus TCP protocol;Li Deng;Yisong Peng;Cancheng Liu;Xiaoshuai Xin;YuCen Xie;《2016 IEEE International Conference on Internet of Things (iThings) and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social Computing (CPSCom) and IEEE Smart Data (SmartData)》;20161218;全文 * |
基于SVM的网络入侵检测集成学习算法;谭爱平,陈浩,吴伯桥;《计算机科学》;20140228;第41卷(第2期);全文 * |
机器学习在入侵检测中的应用综述;贺英杰,叶宗民,金吉学;《计算机安全》;20100315;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106921676A (zh) | 2017-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106921676B (zh) | 一种基于OPCClassic的入侵检测方法 | |
US11902126B2 (en) | Method and system for classifying a protocol message in a data communication network | |
CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
CN109450842B (zh) | 一种基于神经网络的网络恶意行为识别方法 | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
Pathak et al. | Anomaly detection using machine learning to discover sensor tampering in IoT systems | |
WO2018107631A1 (zh) | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 | |
CN109660518B (zh) | 网络的通信数据检测方法、装置以及机器可读存储介质 | |
CN109525508B (zh) | 基于流量相似性比对的加密流识别方法、装置及存储介质 | |
CN110138770B (zh) | 一种基于物联网威胁情报生成和共享系统及方法 | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
CN113285916B (zh) | 智能制造系统异常流量检测方法及检测装置 | |
CN113691566A (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
Shim et al. | Clustering method in protocol reverse engineering for industrial protocols | |
Wan et al. | DevTag: A benchmark for fingerprinting IoT devices | |
CN113765891A (zh) | 一种设备指纹识别方法以及装置 | |
CN109474540A (zh) | 一种识别opc流量的方法及装置 | |
CN113037748A (zh) | 一种c&c信道混合检测方法及系统 | |
CN116582363A (zh) | 基于工业协议传输流量异常攻击的检测方法 | |
CN106411879B (zh) | 一种软件识别特征的获取方法和装置 | |
KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
Tien et al. | Using Autoencoders for Anomaly Detection and Transfer Learning in Iot. Computers 2021, 10, 88 | |
CN111404920B (zh) | 应用于工业控制环境的异常检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200508 |