CN107204975B - 一种基于场景指纹的工业控制系统网络攻击检测技术 - Google Patents
一种基于场景指纹的工业控制系统网络攻击检测技术 Download PDFInfo
- Publication number
- CN107204975B CN107204975B CN201710330071.1A CN201710330071A CN107204975B CN 107204975 B CN107204975 B CN 107204975B CN 201710330071 A CN201710330071 A CN 201710330071A CN 107204975 B CN107204975 B CN 107204975B
- Authority
- CN
- China
- Prior art keywords
- data packet
- industrial control
- model
- data
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 73
- 238000005516 engineering process Methods 0.000 title abstract description 19
- 230000006399 behavior Effects 0.000 claims abstract description 11
- 238000004891 communication Methods 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 30
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 238000009776 industrial production Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 7
- 238000007781 pre-processing Methods 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 3
- 238000002474 experimental method Methods 0.000 claims 3
- 206010000117 Abnormal behaviour Diseases 0.000 claims 1
- 238000000926 separation method Methods 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 abstract description 6
- 239000000284 extract Substances 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000000306 component Substances 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及工业控制系统网络攻击检测技术领域和以太网流量建模技术领域,旨在提供一种基于场景指纹的工业控制系统网络攻击检测技术。该技术首先划分出工业控制网络中不同的通信信道,过滤出用于携带关键生产信息的指令信道,提取每个指令信道的数据包特征并形成特征流,指纹特征包括:数据包类型,数据包到达时间,数据包唯一标识。将提取的特征流送入建模算法中,来建立工业控制系统的场景指纹模型。场景指纹模型一旦建立,就采用指纹匹配算法完成网络入侵检测,发现网络攻击行为。该技术检测对象针对性强,区别于传统的基于签名和基于白名单的检测方法,能够检测出更多的攻击行为(如拒绝服务攻击、序列攻击、中间人攻击等)。本发明为检测工业控制网络中的攻击行为提供了新的解决方案。
Description
技术领域
本发明涉及工业控制系统网络攻击检测技术领域和以太网流量建模技术领域,核心是采用流量建模的方式来建立工业控制生产网络的场景指纹,以匹配场景指纹的方式来检测针对工业控制系统的攻击行为。
背景技术
工业控制系统是指工业生产过程中用到的各种工业组件的统称,包括数据采集与监视控制系统(SCADA系统)、分布式控制系统(DCS系统)、以及较小型的控制器如可编程逻辑控制器(PLC)等。工业控制系统因其稳定性和耐用性已被广泛用于电网系统、城市交通、石油石化等人类生活的方方面面。一般而言,工业控制系统本应存在于物理隔离的网络中,但近年来,为满足远程监测与控制的需要,工业控制系统开始接入到互联网中;同时,工业控制系统自身也在升级改造,传统的串口通信方式逐渐向以太网的通信方式发展。这不仅方便了生产企业对工业控制系统的操作管理,同时也方便了黑客对工业控制系统的入侵。
在诸多的工业控制组件中,PLC作为控制现场设备的核心组件,它最易成为黑客的攻击目标。目前市面上的PLC,大都支持以太网通信,并且HMI设备通过以太网下达指令给PLC,操控PLC按照编程逻辑来控制现场设备。因此通过检测HMI设备到PLC的通信流量,就能发现针对工业控制系统的网络攻击。
传统的针对工业控制网络攻击检测的方法,包括基于签名的检测方法和基于流量白名单的检测方法。基于签名的检测方法是通过匹配已知恶意攻击流量的签名特征来进行检测;基于流量白名单的检测方法是通过建立工业控制系统传送流量白名单的方式来完成检测,非白名单中的流量则视为异常。传统的针对工业控制系统的入侵检测技术存在以下这些问题。
一、基于签名的检测方法无法检测未知的针对工控网络的攻击。
二、基于流量白名单的检测方法易被绕过,并且在工业控制系统中,仅使用白名单中流量发动攻击(如序列攻击),同样可造成破坏。
三、没有根据工业控制系统产生的流量特点,设计一种专门的针对工业控制系统的网络攻击检测方法。
同时,针对工业控制系统的网络攻击愈演愈烈,极大地威胁着人们的生活安全和国家安全的情况,迫切需要一种新的方法能够根据工业控制系统产生流量的特点,克服传统的检测方法的不足,来对工业控制系统中存在的网络攻击进行有效检测。
发明内容
“一种基于场景指纹的工业控制系统网络攻击检测技术”是在对工业控制系统网络入侵检测研究的过程中针对目前存在的技术问题所提出的发明。本发明的一个目标是改善现有检测方法针对性差的缺点,提出一个基于场景指纹的工业控制系统网络攻击检测技术,有针对性地对工业控制系统网络攻击进行检测。工业控制系统的场景指纹可看作是工业控制系统网络流量数据包传送的一种特定模式,通过建立工业控制系统网络的场景指纹,就能表达工控系统特有的工业生产模式。本发明提供了一种新的检测方法,区别于传统的基于签名和基于流量白名单的检测方法,该方法针对工业控制系统网络流量的特点,建立场景指纹来表达正常的工业控制和生产过程,通过匹配场景指纹的方式来检测攻击行为。该方法在检测过程中采用旁路监听流量的方式,不会影响工业控制系统的正常运行,并且由于该检测技术的针对性强,因此其检测准确率也比传统的检测技术高。
为了实现上述目标,本发明提出了一种基于场景指纹的工业控制系统网络攻击检测技术,该技术根据工业控制系统中网络流量呈周期性出现的特点,可根据数据包到达的类型和顺序等特征来描述工业控制系统的场景指纹,通过匹配场景指纹来判断是否有攻击行为发生。该技术的框架包含了:数据采集层,采集镜像来的工业控制系统网络数据,通过源IP和目的IP的不同,划分成不同的信道,并过滤出HMI到PLC的指令信道;预处理层,用于提取用来描述场景指纹的各类特征,并形成特征流交给下一层处理;场景指纹建模层,基于上层提取的特征流来建立场景指纹模型,并将建立的场景指纹模型以xml文件的形式存储下来;指纹匹配检测层,读入已建立的场景指纹模型,通过指纹匹配算法对工业控制系统实时产生的流量进行检测,并将检测结果存入数据库中。
附图说明
从下面结合附图的详细描述中,将会更清楚的理解本发明的目标、实现方法、优点和特性,其中。
图1是一个展示本发明的检测技术的架构图。
图2是一个说明本发明的检测技术数据包采集层的流程图。
图3是一个说明本发明的检测技术预处理层的流程图。
图4是一个说明本发明的检测技术时间序列模型举例的示意图。
图5是一个说明本发明的检测技术时间周期模型举例的示意图。
图6是一个说明本发明的检测技术时间序列检测模型举例的示意图。
图7是一个说明本发明的检测技术时间周期检测模型举例的示意图。
图8是一个说明本发明的检测技术完整检测过程的流程图。
具体实施方式
本发明中的检测技术可检测出针对工业控制系统的各类网络攻击,包括:拒绝服务攻击、中间人攻击、指令重放攻击、序列攻击。下面结合附图对本发明做进一步说明。本发明旨在提供一种针对工业控制系统的网络攻击检测技术,基于工业控制系统网络流量数据本身的特点,建立工业控制场景指纹,高效准确地检测网络攻击,及时发现针对工业控制系统的潜在威胁。
图1是一个描述本发明技术的架构图
如图1所示,是描述本发明技术的架构图,以分层模型架构。每一层具有不同的功能划分,且每一层的输入数据都来自于上一层的输出数据。最下层的数据包采集层,输入数据为镜像来的工业控制系统网络的原始数据包;最上层的指纹匹配检测层,它的输入由两部分组成,第一部分是读入已建立的场景指纹模型,第二部分是读入预处理层输出的数据。通过一层一层的数据传递,最终在指纹匹配检测层采用指纹匹配算法完成针对工业控制系统的网络攻击的检测。下面将对每一层做详细描述。
图2是一个描述数据包采集层的流程图
如图2所示,为数据包采集层的工作流程图,主要负责采集镜像来的工业控制系统的网络数据,并通过源IP和目的IP的不同,划分成不同的通信信道。在这些通信信道中,包含HMI设备下达指令给PLC的指令信道,这种信道承载着工业生产过程的关键信息,本发明就是以这种指令信道的数据为基础,来建立场景指纹模型。下一步就是过滤出这类指令信道,并传递给下一层的模块处理。
图3是一个描述预处理层的流程图
如图3所示,为预处理层的工作流程图,该层需要对工业控制系统的网络传输协议进行解析,因此,该检测技术主要在已知工控协议——S7协议的基础上完成检测。首先读入上层采集并过滤出的指令信道数据,从每个指令信道中读取从HMI设备到PLC方向的数据包。然后依据S7协议的结构对数据包应用层数据进行解析,对每一个数据包进行特征提取,作为场景指纹建模的基础数据,提取的数据包特征包括:数据包类型,数据包到达时间,数据包唯一标识。数据包类型是提取数据包应用层的function code字段码;数据包到达时间为网卡采集数据包时赋予的时间戳;数据包唯一标识是指能够唯一表示一个数据包的参数,取的是数据包应用层数据的MD5值作为数据包的唯一标识。最后,将提取的特征流交由下一层进行场景指纹建模。
场景指纹建模层,包含了场景指纹建模的核心算法,该层主要以上一层传递过来的数据包特征流来建立场景指纹模型。首先根据数据包类型特征,即function code字段的不同,将数据包划分成不同的类别;然后分别对每一个类别的数据包进行建模。采用对数据包先分类再建模的处理方式主要是为了降低检测误报率。建模的方法主要是从时间维度的两个方面完成对数据包的建模,一方面是基于应用层数据不同的数据包来建立时间序列模型,另一方面是基于应用层数据相同的数据包来建立的时间周期模型。
时间序列模型充分利用工业控制系统网络数据包到达序列呈周期性出现的特点,应用层数据不同的数据包会按照固定的顺序到达PLC设备。在正常的工业生产状态下抓取大量的可覆盖多个工业生产周期的数据包样本,通过读入数据包唯一标识特征和数据包到达时间特征并采用有限自动状态机的方法学习并穷举所有周期性出现的序列,将学习到的所有序列集合起来作为时间序列模型。
图4是一个描述时间序列模型举例的示意图
如图4所示,为一个时间序列模型举例示意图。举例展示数据包A到B到C到D再回到数据包A的一个周期序列。在一个工控场景中,存在着多个有限的如4图这样的序列状态;建模的过程,就是将这多个有限的序列状态学习出来的过程。
时间周期模型主要针对应用层字段相同,到达时间不同的数据包。同样,这种方法也是基于数据包呈周期性出现的特点。通过观察应用层字段相同的数据包到达时间的历史记录,发现其到达的时间间隔周期很稳定,表现形式是围绕某个值在极小的范围内波动。基于此,在正常的工业生产状态下抓取大量的可覆盖多个工业生产周期的数据包样本,提取应用层字段相同的数据包到达的时间间隔记录,通过中心极限定理学习出数据包到达时间周期的置信区间,将学习出的所有置信区间集合起来作为时间周期模型。
图5是一个描述时间周期模型举例的示意图
如图5所示,横轴为数据包B到达的时间点,纵轴为数据包B距离它上一次到达的时间间隔,该图展示的是一个正常的数据包B到达的周期规律,该周期的置信区间在2秒附近。场景指纹建模层即是通过时间序列和时间周期两个模型来建立工业控制系统的场景指纹,并将建立的场景指纹模型以xml文件的形式保存下来,方便下一层调用。
指纹匹配检测层,首先读入已建立的场景指纹模型,同时读入预处理层提取的数据包特征流,然后采用指纹匹配算法对到达的数据包完成检测。指纹匹配算法的流程跟指纹建立的流程类似。首先识别数据包类型特征,根据function code字段的不同,将数据包传递到相应的检测模型中。在检测阶段,先将数据包放入时间序列模型中,观察该数据包是否与时间序列模型匹配的上;再将数据包放入时间周期模型中,观察该数据包是否与时间周期模型匹配的上。
图6是一个描述时间序列检测模型举例的示意图
如图6所示,为时间序列检测模型举例示意图,左边是正常的时间序列,右边是不正常的时间序列。不正常的时间序列有以下几种情况。一是出现了不曾学习到的数据包;二是出现了不曾学习到的数据包跳转。图6中右边的异常序列,编号1是出现了不曾学习到的数据包E;编号2是出现了不曾学习到的序列跳转,数据包D下一个数据包本应跳到数据包A却跳到了数据包B。
图7是一个描述时间周期检测模型举例的示意图
如图7中所示,为时间周期检测模型举例示意图,左边是正常的周期规律状态,右边是异常的周期规律状态。异常的时间周期状态为数据包达到的时间不在正常周期的置信区间范围内。图7中右边图异常周期规律中,在2017.1.26 12:36:10这个时间点出现异常,数据包B 与上一个数据包到达的时间间隔为4秒,不在正常周期的置信区间范围内。
指纹匹配算法,即是将数据包分别与时间序列模型和时间周期规律模型做匹配。只要发现数据包的行为与这两个模型不匹配,则视为异常,并将异常结果和该数据包信息存入数据库中,供安全人员查询。
图8是一个描述完整检测过程的流程图
如图8所示,为本检测技术的整个流程图,该流程主要由两个分支构成,第一个是场景指纹建模分支,通过学习工业控制系统在正常生产过程下的数据包样本,建立工业控制系统的场景指纹模型;第二个是攻击检测分支,通过读入场景指纹模型,运用指纹匹配检测算法检测实时采集到的数据包,并将异常检测结果存入数据库中。
如上所述,本发明通过建立场景指纹模型来检测针对工业控制系统的网络入侵攻击,其优点在于:1、检测针对性强,充分利用工业控制系统网络数据包呈周期性出现的特点,建立检测模型;2、该技术从建立场景指纹的思路出发,有效地表达了工业控制生产的过程,对改变工业控制生产的行为敏感度高,因此该技术的检测率高;3、本发明有别于传统的检测技术,能够检测出未知的针对工业控制网络的攻击行为。
尽管出于说明的目的描述了本发明的优选实施例子,本领域人员将理解,在不脱离如附属权利要求所披露的本发明的范围和精神的情况下,各种修改、增加和替换都是可能的。
Claims (10)
1.一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述方法包括如下步骤:
A、对大量正常的工业控制网络数据包与包含攻击的工业控制网络数据进行比较分析,得出一般性差异,制定检测策略;
B、在数据采集层,对网络数据做信道分离,并过滤出指令信道数据;
C、在预处理层,提取数据包特征,并形成特征流;
D、在场景指纹建模层,先对数据包进行分类,然后分别通过时间序列模型和时间周期模型进行场景指纹建模;
E、在指纹匹配检测层,依据场景指纹模型,采用指纹匹配算法进行检测;
所述时间序列模型的建立方法包括:
在正常的工业生产状态下抓取大量的覆盖多个工业生产周期的数据包样本,通过读入数据包唯一标识特征和数据包到达时间特征并采用有限自动状态机的方法学习并穷举所有周期性出现的序列,将学习到的所有序列集合起来作为时间序列模型;
所述时间周期模型的建立方法包括:
在正常的工业生产状态下抓取大量的可覆盖多个工业生产周期的数据包样本,提取应用层字段相同的数据包到达的时间间隔记录,通过中心极限定理学习出数据包到达时间周期的置信区间,将学习出的所有置信区间集合起来作为时间周期模型;
所述采用指纹匹配算法进行检测,包括:将数据包分别与时间序列模型和时间周期规律模型做匹配;一旦发现数据包的行为与这两个模型不匹配,则视为异常,并将异常结果和该数据包信息存入数据库中,供安全人员查询。
2.根据权利要求1所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述的步骤A进一步包括如下步骤:
A1、设计对比实验,收集实验样本,包括:正常的工控网络数据和包含攻击行为的工控网络数据;
A2、对A1步骤收集的样本进行分析,总结正常工控网络数据和包含攻击的工控网络数据之间的一般性差异;
A3、依据A2步骤总结的一般性差异,制定出一般性的检测策略。
3.根据权利要求1所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述的步骤B进一步包括如下步骤:
B1、采集数据包,并按照数据包源IP和目的IP的不同划分出不同的通信信道;
B2、识别从HMI设备到PLC之间通信信道,为指令信道;
B3、过滤出指令信道的通信数据,并将其他信道数据排除掉。
4.根据权利要求1所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述的步骤C进一步包括如下步骤:
C1、读入指令信道的数据,只取从HMI设备到PLC方向的数据包;
C2、提取数据包特征,包括:数据包类型,数据包到达时间,数据包唯一标识;
C3、按照C2的特征要求,提取每个数据包的特征,并形成特征流传递给下一层。
5.根据权利要求4所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述的步骤C2中,特征的详细描述如下:
数据包类型是提取function code的字段码,以function code的不同区分不同的数据包类型;数据包到达时间为网卡采集数据包时赋予的时间戳;数据包唯一标识是指能够唯一表示这个数据包的参数,取的是数据包应用层的MD5值作为唯一标识。
6.根据权利要求1所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述的步骤D进一步包括如下步骤:
D1、读取步骤C中传递过来的特征流,读入数据包类型特征,按照function code的不同对数据包进行分类;
D2、将特征流传递至时间序列模型中,进行训练学习;
D3、将特征流传递至时间周期模型中,进行训练学习;
D4、将训练的模型以xml文件的形式存储下来,即为场景指纹模型。
7.根据权利要求6所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于所述的步骤D2中所述时间序列模型具体是指:
基于工业控制系统数据包呈周期性出现的特点,数据包会在时间轴上按照固定的顺序从HMI设备到达PLC;时间序列模型,就是通过读入数据包唯一标识特征,通过有限自动状态机的算法以数据包到达的顺序建立数据包到达的序列模型。
8.根据权利要求7所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于所述的步骤D3中所述时间周期模型具体是指:
同样,基于工业控制系统数据包呈周期性出现的特点,唯一标识相同的数据包会在时间轴上按照固定的时间间隔周期出现;时间周期模型,就是通过读入数据包唯一标识特征和数据包到达时间特征,通过中心极限定理学习出相同数据包到达时间周期的置信区间。
9.根据权利要求1所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述的步骤E进一步包括如下步骤:
E1、读入已生成的场景指纹模型,同时接收新处理的数据包特征流;
E2、通过数据包类型特征字段的不同,即是通过function code的不同,将数据包送入相应的检测模型;
E3、通过指纹匹配算法,对数据包进行检测,排查数据包是否携带攻击行为,并将检测到的异常行为存入数据库中。
10.根据权利要求9所述的一种基于场景指纹的工业控制系统网络攻击检测方法,其特征在于,所述的步骤E3中指纹匹配算法具体是指:
首先,将数据包放入时间序列模型做检测,读取数据包唯一标识特征,看模型中是否存在这个唯一标识特征,如不存在,则视为异常;如存在,看这个数据包是否按照模型中的序列出现,如不符合序列模型,则视为异常;如符合,下一步将数据包放入时间周期模型做检测,读取数据包的唯一标识和数据包到达的时间,计算该数据包与上一个唯一标识的相同数据包到达的时间间隔,如果该间隔在正常周期的置信区间范围内,则视为正常;否则,视为异常;最后,将异常结果存入数据库中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710330071.1A CN107204975B (zh) | 2017-05-11 | 2017-05-11 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710330071.1A CN107204975B (zh) | 2017-05-11 | 2017-05-11 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107204975A CN107204975A (zh) | 2017-09-26 |
| CN107204975B true CN107204975B (zh) | 2020-05-05 |
Family
ID=59906513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710330071.1A Expired - Fee Related CN107204975B (zh) | 2017-05-11 | 2017-05-11 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107204975B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108769079A (zh) * | 2018-07-09 | 2018-11-06 | 四川大学 | 一种基于机器学习的Web入侵检测技术 |
| CN108933658A (zh) * | 2018-08-13 | 2018-12-04 | 杭州安恒信息技术股份有限公司 | 基于工控设备指纹的白名单库创建方法及装置 |
| CN109768952B (zh) * | 2018-10-29 | 2021-05-18 | 四川大学 | 一种基于可信模型的工控网络异常行为检测方法 |
| CN109743187B (zh) * | 2018-11-23 | 2021-11-16 | 奇安信科技集团股份有限公司 | 工控网络异常检测方法及装置 |
| CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
| CN109688030B (zh) * | 2019-02-26 | 2020-11-03 | 百度在线网络技术(北京)有限公司 | 报文检测方法、装置、设备和存储介质 |
| CN110086810B (zh) * | 2019-04-29 | 2020-08-18 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
| CN110401662B (zh) * | 2019-07-29 | 2021-12-31 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN112260885B (zh) * | 2020-09-22 | 2022-06-24 | 武汉思普崚技术有限公司 | 一种工控协议自动测试方法、系统、装置及可读存储介质 |
| CN113010895B (zh) * | 2020-12-08 | 2022-12-30 | 四川大学 | 一种基于深度学习的漏洞危害评估方法 |
| CN114547597B (zh) * | 2021-12-02 | 2023-03-31 | 四川大学 | 一种基于改进布隆过滤器的工控入侵检测方法 |
| CN115118447A (zh) * | 2022-03-16 | 2022-09-27 | 杭州迦尔科技有限公司 | 工控网络流量的安全判别方法、装置、电子装置和介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581188A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势预测方法及系统 |
| CN104238491A (zh) * | 2013-06-20 | 2014-12-24 | 洛克威尔自动控制技术股份有限公司 | 用于基于工业自动化流的数据处理的信息平台 |
| CN104601604A (zh) * | 2014-06-12 | 2015-05-06 | 国家电网公司 | 网络安全态势分析方法 |
| CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
| CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
| CN106559261A (zh) * | 2016-11-03 | 2017-04-05 | 国网江西省电力公司电力科学研究院 | 一种基于特征指纹的变电站网络入侵检测与分析方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130247184A1 (en) * | 2011-04-27 | 2013-09-19 | Mcafee, Inc. | Stealth Network Attack Monitoring |
-
2017
- 2017-05-11 CN CN201710330071.1A patent/CN107204975B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104238491A (zh) * | 2013-06-20 | 2014-12-24 | 洛克威尔自动控制技术股份有限公司 | 用于基于工业自动化流的数据处理的信息平台 |
| CN103581188A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势预测方法及系统 |
| CN104601604A (zh) * | 2014-06-12 | 2015-05-06 | 国家电网公司 | 网络安全态势分析方法 |
| CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
| CN105871883A (zh) * | 2016-05-10 | 2016-08-17 | 上海交通大学 | 基于攻击行为分析的高级持续性威胁检测方法 |
| CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
| CN106559261A (zh) * | 2016-11-03 | 2017-04-05 | 国网江西省电力公司电力科学研究院 | 一种基于特征指纹的变电站网络入侵检测与分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107204975A (zh) | 2017-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107204975B (zh) | 一种基于场景指纹的工业控制系统网络攻击检测技术 | |
| CN110602041A (zh) | 基于白名单的物联网设备识别方法、装置及网络架构 | |
| CN112799358B (zh) | 一种工业控制安全防御系统 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN111181971B (zh) | 一种自动检测工业网络攻击的系统 | |
| KR102500033B1 (ko) | 산업제어시스템의 이상징후를 감지하는 방법 및 장치 | |
| CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
| CN110851422A (zh) | 一种基于机器学习的数据异常监测模型构建方法 | |
| Li et al. | Using data mining methods to detect simulated intrusions on a modbus network | |
| CN113938306B (zh) | 一种基于数据清洗规则的可信认证方法及系统 | |
| CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN110365717A (zh) | 基于hart-ip协议的工业入侵监测方法和系统 | |
| CN116822115A (zh) | 一种基于数字孪生技术的智慧园区的环境管理方法及系统 | |
| CN110987081A (zh) | 一种室外环境检测系统 | |
| CN111030299A (zh) | 一种基于边信道的电网嵌入式终端安全监测方法及系统 | |
| CN110266680A (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
| CN111736579B (zh) | 基于日志问询留存的工业控制设备安全检测方法 | |
| CN111651760B (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
| CN105007278A (zh) | 网络安全日志的自动化实时采集系统及其采集方法 | |
| Madhawa et al. | Data driven intrusion detection system for software defined networking enabled industrial internet of things | |
| CN110891039B (zh) | 一种基于lm神经网络的煤矿监控系统安全预警方法 | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems | |
| KR102037192B1 (ko) | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 | |
| CN112132819A (zh) | 一种基于人工智能的通信网管监控方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200505 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |