CN107483481A - 一种工业控制系统攻防模拟平台及其实现方法 - Google Patents
一种工业控制系统攻防模拟平台及其实现方法 Download PDFInfo
- Publication number
- CN107483481A CN107483481A CN201710814039.0A CN201710814039A CN107483481A CN 107483481 A CN107483481 A CN 107483481A CN 201710814039 A CN201710814039 A CN 201710814039A CN 107483481 A CN107483481 A CN 107483481A
- Authority
- CN
- China
- Prior art keywords
- alarm
- network
- data
- analog
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及工业控制安全领域技术领域,本发明公开了一种工业控制系统攻防模拟平台及其实现方法,该方法是在模拟工业控制网络加载攻击数据,连同模拟工业控制网络自身产生的攻击行为生成预期的告警信息,同时与模拟工业控制网络相连的告警设施收集、分析模拟工业控制网络上的网络交易数据,并在此基础上产生实际告警信息,该告警信息与预期的告警信息进行匹配并呈现在显示装置上。扩展了工业控制网络攻防模拟平台的功能,拓展了告警设备的评估和学习功能,以适应不断增长的工业控制网络的安全需求。本发明工业控制系统攻防模拟平台既用于评估告警设施的准确性和效率,也可以达到系统演示和教学的目的。
Description
技术领域
本发明涉及工业控制安全领域技术领域,特别涉及一种工业控制系统攻防模拟平台及其实现方法。
背景技术
工业控制系统攻防模拟平台是为了迎合当前网络安全严峻形势的社会需求,作为系统展示、演练和培训之用。典型的工业控制系统攻防模拟平台(有时也称为攻防演练平台)包括网络安全攻防领域内的各类常见设备,使用专业手段在可控的环境中构造网络攻防的真实场景并对其进行解析、分析和呈现,从而使网络攻防的各种概念和技术细节能够直观、快捷、全面和细致的呈现。
鉴于工业控制系统攻防模拟平台能够相对完整地反映被模拟网络的实际情况,攻防模拟平台的功能可以进一步扩展用于评估实际的防御系统(例如告警设施)是否符合基本的防护要求,同时,也可以通过对实际防御系统设备的考察,健全和提升原有防护要求的等级和范围,本发明正是基于此目的的技术解决方案。
发明内容
为了解决以上问题,本发明提供了一种工业控制系统攻防模拟平台。
一种工业控制系统攻防模拟平台,包括攻击数据源、模拟网络、预期告警设施、告警设施、告警匹配和显示设备;
其中,
攻击数据源生成基于各类通信协议的攻击数据,并且可以由用户配置通信协议类型、指定攻击协议的攻击内容、攻击数据速率、攻击目标、指定攻击内容的具体配置;
模拟网络为各种形态的工业控制网络,攻击数据源对模拟网络进行攻击;
预期告警设施从攻击数据源和模拟网络获得攻击数据,预期告警设施根据攻击数据源的攻击数据预先得到理论上产生告警的信息,并存储在存储介质上;预期告警设施对从模拟网络获得的网络交易数据进行解析,如果该数据来自攻击数据源的IP地址,预期告警设施就根据端口号来确定正在使用的通信协议,然后依据攻击数据的具体内容调取相应的告警信息,并发送给告警匹配。
告警设施是实施采集、解析模拟网络上的网络交易数据,根据分析结果生成告警信息并输出到告警匹配;
告警匹配对来自预期告警设施的预期告警信息和告警设施的实际告警信息进行匹配,若预期告警设施的预期告警信息和告警设施的实际告警信息格式不一致,告警匹配负责转换其中一方的告警信息格式以便于匹配,匹配基准包括但不限于时间标签、网络交易数据先后关联性、IP地址等,告警匹配并将匹配结果发送是显示设备;
显示设备区分显示不同类型的告警匹配结果,实际告警与预期告警一致的;预期告警出现但实际告警没有出现的,即漏报的;实际告警出现,但预期告警没有的。
优选的,模拟网络的内部网元也可以配置成发起攻击的设备,并且当模拟网络的内部网元配置成发起攻击时,需要同时配置预期告警设施,配置可以自动同步完成或分别配置模拟网络和预期告警设施,使得预期告警设施在获得与模拟网络内部网元攻击相关的网络交易数据时能够调取生成相应的预期告警信息,并发送给告警匹配。
优选的,所述模拟网络内部的网元也可以根据要求设置发出违反设备规则和运行的异常数据,并且这些设置信息需要同步到预期告警设施。
另外,本发明还公开了工业控制系统攻防模拟平台的实现方法。
工业控制系统攻防模拟平台的实现方法,所述攻击数据源生成基于通信协议的攻击数据,所述的通信协议包括但不限于TCP/IP协议族和各类工业控制领域应用的各种协议;
所述预期告警设施是根据所要加载的攻击数据与所述模拟网络本身发生的告警信息的预判;
所述模拟网络可以是任何类型的工业控制系统的模拟网络,所述模拟网络支持TCP/IP的网络传输协议;
所述告警设施包括从所述模拟网络采集其网络交易数据,并对采集到的网络交易数据进行分析,生成模拟网络的实际告警;
所述告警匹配部分将所述预期告警和所述实际告警进行匹配,并将匹配结果输出到显示部分呈现出来;
所述显示部分需要区分显示不同类型的告警匹配结果,实际告警与预期告警一致的;预期告警出现但实际告警没有出现的,即漏报的;实际告警出现,但预期告警没有的。
其中,所述攻击数据源的攻击数据生成可以通过人机界面对攻击数据源进行配置,配置内容包括但不限于以下内容:攻击协议类型,指定攻击协议的攻击内容,攻击数据速率,指定攻击内容的具体配置。
所述模拟网络内部的网元也可以根据要求设置发出违反设备规则和运行的异常数据,并且这些设置信息需要同步到预期告警设施。
所述预期告警设施与模拟网络的交换机镜像端口相连,采集模拟网络上来源于所述攻击数据源和来源于模拟网络内部网元的网络交易数据;然后对捕获的网络交易数据进行解析,当所述网络交易数据的源IP地址是所述攻击数据源的IP地址,所述的预期告警设施将直接调取预先存储的相关的告警信息,并发送至告警匹配部分;当所述网络交易数据的源IP地址不属于所述攻击数据源,预期告警设施根据预先设置的模拟网络异常数据对应的预期告警信息生成预期告警信息,预期告警信息包括但不限于:源IP地址、目的IP地址、告警类型、告警数据、波形等表示告警内容的元素。
所述告警设施与模拟网络的交换机镜像端口相连,数据捕获模块采集模拟网络上所有的网络交易数据;然后数据解析模块对捕获的网络交易数据进行解析,获得网络交易数据的具体信息,包括但不限于IP地址、MAC地址、端口号、数据包类型、数据类型、等信息为下一步的数据分析做准备;数据分析模块根据端口号来确定所述的网络交易数据所使用的通信协议类型,并确定当前网络数据是否符合确定的协议规则、设备规则和运行规则,若当前网络交易数据不符合协议规则、设备规则或运行规则中的任何一项要求,则确定所述网络交易数据为异常数据,所述数据分析模块将所述异常数据转发至生成告警模块;告警模块基于输入的异常数据生成告警信息,告警信息包括但不限于:源IP地址、目的IP地址、告警类型、告警数据、波形等表示告警内容的元素;其中设备规则和生产控制流程需要根据模拟网络的设备类型和模拟网络使用的控制流程进行预先配置。
优选的,所述告警设施能够根据存储解析后的网络交易历史数据,告警学习模块利用机器学习的算法确定模拟网络的常规行为模式,当新的网络交易数据没有达到告警标准,但违反了常规的行为模式时,产生告警信息,经人工确认后,提取告警特征并将其纳入运行规则,并定义新的告警类型标识;所述告警信息包括但不限于网络交易数据的源IP地址、目的IP地址、时间标签和告警异常类型说明等作为所述告警匹配模块进行匹配的数据基础。
当匹配模块对预期告警和实际告警进行匹配时,匹配基准包括但不限于时间标签、网络交易数据先后关联性、IP地址等。
本发明是在工业控制系统攻防模拟平台上增加预期告警设施,在掌握攻击源的攻击数据产生依据的前提下,根据模拟网络安全要求对所有攻击数据源和模拟网络内部网元发出的攻击数据进行告警预判,形成预期告警。当实际的防御设备(即本发明中的告警设施)与模拟网络相连,对所有模拟网络上的网络交易数据进行解析、分析和告警时,我们就有了预期告警信息和实际告警信息,根据告警信息发生的时间、数据前后关联性、和IP地址将这两类告警信息进行匹配比对就可以得出产生实际告警信息的告警设备是否达到预期的安全防护要求,对于已经达到防护要求的防御设备,其超越预期告警的范围和性能还可以作为今后告警设施和预期告警设施分级和完善的基础信息。
同时,本发明还提出了告警设备的学习功能,通过机器学习的算法获得模拟网络的常规工作行为模式,当网络交易数据出现没有达到告警标准,但不符合常规工作行为模式的情况,告警设备生成特别告警并提供具体告警信息数据,一旦确认所述特别告警有效,可以将其告警特征纳入现有运行规则。
本发明公开了一种工业控制系统攻防模拟平台的实现方法,该方法是在模拟工业控制网络加载攻击数据,连同模拟工业控制网络自身产生的攻击行为生成预期的告警信息,同时与模拟工业控制网络相连的告警设施收集、分析模拟工业控制网络上的网络交易数据,并在此基础上产生实际告警信息,该告警信息与预期的告警信息进行匹配并呈现在显示装置上。扩展了工业控制网络攻防模拟平台的功能,拓展了告警设备的评估和学习功能,以适应不断增长的工业控制网络的安全需求。本发明工业控制系统攻防模拟平台既用于评估告警设施的准确性和效率,也可以达到系统演示和教学的目的。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。其中在附图中,参考数字之后的字母标记指示多个相同的部件,当泛指这些部件时,将省略其最后的字母标记。在附图中:
图1是本发明中工业控制系统攻防模拟平台的示意图;
图2是预期告警设施一个实施例的组成示意图
图3是预期告警设施一个实施例的工作流程
图4是告警设施一个实施例的组成示意图
图5是告警设施另一个实施例的组成示意图
图6是告警设施一个实施例的工作流程
图7是告警匹配的一个实施例的组成示意图
附图标记:
10-工业控制系统攻防模拟平台
100-攻击数据源
200-模拟网络
300-预期告警设施
310-数据捕获
320-数据解析
330-数据分析
340-预置告警库
350-生成预期告警
400-告警设施
410-数据捕获
420-数据解析
430-历史数据
440-数据分析
450-协议规则/设备规则/运行规则存储
460-告警学习
470-常规工作行为模式存储
480-告警生成
500-告警匹配
510告警匹配模块
520格式转换模块
600-显示设备
具体实施方式
本发明提供了许多可应用的创造性概念,该创造性概念可大量的体现于具体的上下文中。在下述本发明的实施方式中描述的具体的实施例仅作为本发明的具体实施方式的示例性说明,而不构成对本发明范围的限制。
下面结合附图和具体的实施方式对本发明作进一步的描述。
图1示出了根据本发明一些实施例的工业控制系统攻防模拟平台的实现方法的示意图。工业控制系统攻防模拟平台10包括攻击数据源100、模拟网络200、预期告警设施300、告警设施400、告警匹配500和显示设备600。
其中,攻击数据源100生成基于各类通信协议的攻击数据,并且可以由用户配置通信协议类型、指定攻击协议的攻击内容、攻击数据速率、攻击目标、指定攻击内容的具体配置等。
模拟网络200可以是各种形态的工业控制网络,包括但不限于SCADA系统、DCS系统、基于PLC的控制系统等等。除攻击数据源对模拟网络200进行攻击之外,模拟网络200的内部网元也可以配置成发起攻击的设备。并且当模拟网络200的内部网元配置成发起攻击时,需要同时配置预期告警设施300,配置可以自动同步完成或分别配置模拟网络200和预期告警设施300。
预期告警设施300从攻击数据源100和模拟网络200获得攻击数据,由于攻击数据源100的攻击数据是预先可知的,预期告警设施300可以根据攻击数据源100的攻击数据预先得到理论上产生告警的信息,并存储在存储介质上。预期告警设施300对从模拟网络获得的网络交易数据进行解析,如果该数据来自攻击数据源的IP地址,预期告警设施300就根据端口号来确定正在使用的通信协议,然后依据攻击数据的具体内容调取相应的告警信息,并发送给告警匹配500。
当模拟网络200的内部网元在启动攻击之前,要对预期告警设施300进行预先设置,使得预期告警设施300在获得与模拟网络200内部网元攻击相关的网络交易数据时能够调取响应的告警信息,并发送给告警匹配500。
告警设施400是实施采集、解析模拟网络200上的网络交易数据,根据分析结果生成告警信息并输出到告警匹配500。
告警匹配500对来时预期告警设施300的预期告警信息和告警设施400的实际告警信息进行匹配,若预期告警设施300的预期告警信息和告警设施400的实际告警信息格式不一致,告警匹配500负责转换其中一方的告警信息格式以便于匹配,匹配基准包括但不限于时间标签、网络交易数据先后关联性、IP地址等,告警匹配500并将匹配结果发送是显示设备600。
显示设备600区分显示不同类型的告警匹配结果,实际告警与预期告警一致的;预期告警出现但实际告警没有出现的,即漏报的;实际告警出现,但预期告警没有的。
图2是一个预期告警设施300功能模块实施例示意图,预期告警设施300包括数据捕获模块310从模拟网络200获得其网络交易数据,由数据解析模块320进行数据解析,数据分析模块330根据数据解析320的解析结果获得IP地址,分析出网络交易数据的源头和目的地址,由端口号得到通信协议类型,和有效数据载荷进行分析后,数据分析模块330直接从本地存储的预置告警库340中调出响应的预期告警内容,由生成预期告警信息模块350构造预期告警信息并发送至告警匹配500。
图3是预期告警设施工作流程的一个实施例,预期告警设施300与模拟网络200的网络交换机的一个镜像端口相连,按照预先设置,所有模拟网络200上发生的网络交易数据被映射到该端口。如步骤S301,数据捕获模块从镜像端口捕获一条模拟网络200上的网络交易数据,转发至数据解析模块320;如步骤S302,数据解析模块320对网络交易数据进行解析,并将解析结果发送是数据分析模块330;如步骤S303,数据分析模块330对解析后的网络交易数据进行分析,若该数据来自攻击数据源100,则进行步骤S304,若该数据不是来自攻击数据源,则执行步骤S305;如步骤304,分析模块330根据网络交易数据的IP地址、通信协议、攻击数据的具体内容从预期告警库340中调取攻击源对应的告警数据,并发送至生成告警信息模块350;如步骤305,分析模块330根据网络交易数据的IP地址、通信协议、攻击数据的具体内容从预期告警库340中调取模拟网络200攻击对应的告警数据,并发送至生成告警信息模块350;如步骤306,生成告警信息模块350将接收到的告警数据生成规定格式的预期告警信息,并发送至告警匹配500。
图4是告警设施400功能模块一个实施例示意图,告警设施400包括数据捕获模块410从模拟网络200获得其网络交易数据,数据解析模块420对捕获到的网络交易数据进行解析后发送到数据分析模块430;数据分析模块430根据存储模块440中存储的协议规则、设备规则和运行规则对解析后的网络交易数据进行判断,若不符合则将相关信息发送至告警生成模块450生成告警。
图5是告警设施400功能模块另一个实施例示意图,告警设施400包括数据捕获模块410从模拟网络200获得其网络交易数据,数据解析模块420对捕获到的网络交易数据进行解析、并将解析后的网络交易数据的存储在历史数据库460中同时发送至数据分析模块430;数据分析模块430分析解析后的网络交易数据并根据存储模块440中存储的协议规则、设备规则和运行规则进行判断,若不符合、则将相关信息发送至告警生成模块450生成告警,否则发送至告警学习模块470做进一步的分析。
告警学习模块470根据网络交易数据的历史数据通过机器学习的算法获得当前模拟网络200的常规工作行为模式并存储在常规工作行为模式的存储模块480中,当从数据分析模块430获得一条不符合告警条件的网络交易数据时,告警学习模块470会将其与存储模块480中的常规工作行为模式进行比较,若不符合,告警学习模块470将有关信息发送至告警生成模块450生成告警。
图6是告警设施400具备学习功能的实施例(如图5所示)的工作流程图,预期告警设施400与模拟网络200的网络交换机的一个镜像端口相连,按照预先设置,所有模拟网络200上发生的网络交易数据被映射到该端口。如步骤S501,数据捕获模块410从模拟网络200采集到一条网络交易数据,将其发送至数据解析模块420;如步骤S502,数据解析模块420将网络交易数据解析后分别发送值数据分析模块430和历史数据存储460;如步骤S503,数据分析模块430根据存储模块440中的协议规则、设备规则和运行规则对解析后的网络交易数据进行分析,若符合上述规则,发送至告警学习模块470,否则将相关数据发送给生成告警模块450;如步骤S504,告警学习模块470根据历史数据存储460中的数据利用机器学习算法生成当前模拟网络200的常规行为模式,并存储在常规行为模式存储模块480中,当告警学习模块470从数据分析模块430中获得一条网络交易数据时,将其与存储模块480中的常规行为模式进行比对,若不符合,将相关的信息发送时生成告警模块450;如步骤505,生成告警模块450根据来自数据分析模块430和告警学习模块450的信息生成标准的告警信息;如步骤506,生成告警模块450将告警信息发送至告警匹配500。
图7是告警匹配500的一个具体的实施例,用于预期告警和实际告警格式不同时,在数据进入告警匹配处理510之前,由格式转换模块520将告警信息统一成一种格式,以便匹配处理,匹配处理之后,告警匹配模块510发送匹配结果给显示设备600。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种工业控制系统攻防模拟平台,其特征在于:包括攻击数据源、模拟网络、预期告警设施、告警设施、告警匹配和显示设备;
其中,
攻击数据源生成基于各类通信协议的攻击数据,并且可以由用户配置通信协议类型、指定攻击协议的攻击内容、攻击数据速率、攻击目标、指定攻击内容的具体配置;
模拟网络为各种形态的工业控制网络,攻击数据源对模拟网络进行攻击;
预期告警设施从攻击数据源和模拟网络获得攻击数据,预期告警设施根据攻击数据源的攻击数据预先得到理论上产生告警的信息,并存储在存储介质上;预期告警设施对从模拟网络获得的网络交易数据进行解析,如果该数据来自攻击数据源的IP地址,预期告警设施就根据端口号来确定正在使用的通信协议,然后依据攻击数据的具体内容调取相应的告警信息,并发送给告警匹配。
告警设施是实施采集、解析模拟网络上的网络交易数据,根据分析结果生成告警信息并输出到告警匹配;
告警匹配对来自预期告警设施的预期告警信息和告警设施的实际告警信息进行匹配,若预期告警设施的预期告警信息和告警设施的实际告警信息格式不一致,告警匹配负责转换其中一方的告警信息格式以便于匹配,匹配基准包括但不限于时间标签、网络交易数据先后关联性、IP地址等,告警匹配并将匹配结果发送是显示设备;
显示设备区分显示不同类型的告警匹配结果,实际告警与预期告警一致的;预期告警出现但实际告警没有出现的,即漏报的;实际告警出现,但预期告警没有的。
2.根据权利要求1所述的一种工业控制系统攻防模拟平台,其特征在于:模拟网络的内部网元也可以配置成发起攻击的设备,并且当模拟网络的内部网元配置成发起攻击时,需要同时配置预期告警设施,配置可以自动同步完成或分别配置模拟网络和预期告警设施,使得预期告警设施在获得与模拟网络内部网元攻击相关的网络交易数据时能够调取生成相应的预期告警信息,并发送给告警匹配。
3.根据权利要求2所述的一种工业控制系统攻防模拟平台,其特征在于:所述模拟网络内部的网元也可以根据要求设置发出违反设备规则和运行的异常数据,并且这些设置信息需要同步到预期告警设施。
4.权利要求1所述工业控制系统攻防模拟平台的实现方法,其特征在于:所述攻击数据源生成基于通信协议的攻击数据,所述的通信协议包括但不限于TCP/IP协议族和各类工业控制领域应用的各种协议;
所述预期告警设施是根据所要加载的攻击数据与所述模拟网络本身发生的告警信息的预判;
所述模拟网络可以是任何类型的工业控制系统的模拟网络,所述模拟网络支持TCP/IP的网络传输协议;
所述告警设施包括从所述模拟网络采集其网络交易数据,并对采集到的网络交易数据进行分析,生成模拟网络的实际告警;
所述告警匹配部分将所述预期告警和所述实际告警进行匹配,并将匹配结果输出到显示部分呈现出来;
所述显示部分需要区分显示不同类型的告警匹配结果,实际告警与预期告警一致的;预期告警出现但实际告警没有出现的,即漏报的;实际告警出现,但预期告警没有的。
5.根据权利要求4所述的工业控制系统攻防模拟平台的实现方法,其特征在于:所述攻击数据源的攻击数据生成可以通过人机界面对攻击数据源进行配置,配置内容包括但不限于以下内容:攻击协议类型,指定攻击协议的攻击内容,攻击数据速率,指定攻击内容的具体配置。
6.根据权利要求4所述的工业控制系统攻防模拟平台的实现方法,其特征在于:所述模拟网络内部的网元也可以根据要求设置发出违反设备规则和运行的异常数据,并且这些设置信息需要同步到预期告警设施。
7.根据权利要求4所述的工业控制系统攻防模拟平台的实现方法,其特征在于:所述预期告警设施与模拟网络的交换机镜像端口相连,采集模拟网络上来源于所述攻击数据源和来源于模拟网络内部网元的网络交易数据;然后对捕获的网络交易数据进行解析,当所述网络交易数据的源IP地址是所述攻击数据源的IP地址,所述的预期告警设施将直接调取预先存储的相关的告警信息,并发送至告警匹配部分;当所述网络交易数据的源IP地址不属于所述攻击数据源,预期告警设施根据预先设置的模拟网络异常数据对应的预期告警数据生成预期告警信息,预期告警信息包括但不限于:源IP地址、目的IP地址、告警类型、告警数据、波形等表示告警内容的元素。
8.根据权利要求4所述的工业控制系统攻防模拟平台的实现方法,其特征在于:所述告警设施与模拟网络的交换机镜像端口相连,数据捕获模块采集模拟网络上所有的网络交易数据;然后数据解析模块对捕获的网络交易数据进行解析,获得网络交易数据的具体信息,包括但不限于IP地址、MAC地址、端口号、数据包类型、数据类型、等信息为下一步的数据分析做准备;数据分析模块根据端口号来确定所述的网络交易数据所使用的通信协议类型,并确定当前网络数据是否符合确定的协议规则、设备规则和运行规则,若当前网络交易数据不符合协议规则、设备规则或运行规则中的任何一项要求,则确定所述网络交易数据为异常数据,所述数据分析模块将所述异常数据转发至生成告警模块;告警模块基于输入的异常数据生成告警信息,告警信息包括但不限于:源IP地址、目的IP地址、告警类型、告警数据、波形等表示告警内容的元素;其中设备规则和生产控制流程需要根据模拟网络的设备类型和模拟网络使用的控制流程进行预先配置。
9.根据权利要求4所述的工业控制系统攻防模拟平台的实现方法,其特征在于:所述告警设施能够根据存储解析后的网络交易历史数据,告警学习模块利用机器学习的算法确定模拟网络的常规行为模式,当新的网络交易数据没有达到告警标准,但违反了常规的行为模式时,产生告警信息,经人工确认后,提取告警特征并将其纳入运行规则,并定义新的告警类型标识;所述告警信息包括但不限于网络交易数据的源IP地址、目的IP地址、时间标签和告警异常类型说明等作为所述告警匹配模块进行匹配的数据基础。
10.根据权利要求4所述的工业控制系统攻防模拟平台的实现方法,其特征在于:当匹配模块对预期告警和实际告警进行匹配时,匹配基准包括但不限于时间标签、网络交易数据先后关联性、IP地址等。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710814039.0A CN107483481B (zh) | 2017-09-11 | 2017-09-11 | 一种工业控制系统攻防模拟平台及其实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710814039.0A CN107483481B (zh) | 2017-09-11 | 2017-09-11 | 一种工业控制系统攻防模拟平台及其实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107483481A true CN107483481A (zh) | 2017-12-15 |
| CN107483481B CN107483481B (zh) | 2020-12-15 |
Family
ID=60583858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710814039.0A Active CN107483481B (zh) | 2017-09-11 | 2017-09-11 | 一种工业控制系统攻防模拟平台及其实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107483481B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109561077A (zh) * | 2018-11-08 | 2019-04-02 | 广西电网有限责任公司电力科学研究院 | 采集终端通讯安全测评方法及装置 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
| CN112055837A (zh) * | 2018-09-29 | 2020-12-08 | 西门子股份公司 | 一种工业设备匹配方法和装置 |
| CN112822291A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种工控设备的监测方法与装置 |
| CN113660265A (zh) * | 2021-08-16 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种网络攻击测试方法、装置、电子设备及存储介质 |
| CN113759752A (zh) * | 2021-08-31 | 2021-12-07 | 信通院车联网创新中心(成都)有限公司 | V2x车载终端车路预警功能仿真测试方法 |
| CN115001792A (zh) * | 2022-05-27 | 2022-09-02 | 北京双湃智安科技有限公司 | 一种学习工业互联网安全感知体系的准确性评估方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442412A (zh) * | 2008-12-18 | 2009-05-27 | 西安交通大学 | 一种基于软件缺陷及网络攻击关系挖掘的攻击预警方法 |
| CN102739652A (zh) * | 2012-06-07 | 2012-10-17 | 中国电子科技集团公司第三十研究所 | 网络抗攻击性能评估指标体系构建方法及装置 |
| US20130055394A1 (en) * | 2011-08-24 | 2013-02-28 | Yolanta Beresnevichiene | Network security risk assessment |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| CN105262771A (zh) * | 2015-11-04 | 2016-01-20 | 国家电网公司 | 一种电力行业网络安全攻防实验方法 |
| US20160029221A1 (en) * | 2014-07-23 | 2016-01-28 | Qualcomm Incorporated | Methods and Systems for Detecting Malware and Attacks that Target Behavioral Security Mechanisms of a Mobile Device |
| CN107065838A (zh) * | 2017-06-05 | 2017-08-18 | 广东顺德西安交通大学研究院 | 基于指令感知和模型响应分析的工控系统攻击检测方法 |
-
2017
- 2017-09-11 CN CN201710814039.0A patent/CN107483481B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442412A (zh) * | 2008-12-18 | 2009-05-27 | 西安交通大学 | 一种基于软件缺陷及网络攻击关系挖掘的攻击预警方法 |
| US20130055394A1 (en) * | 2011-08-24 | 2013-02-28 | Yolanta Beresnevichiene | Network security risk assessment |
| CN102739652A (zh) * | 2012-06-07 | 2012-10-17 | 中国电子科技集团公司第三十研究所 | 网络抗攻击性能评估指标体系构建方法及装置 |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
| US20160029221A1 (en) * | 2014-07-23 | 2016-01-28 | Qualcomm Incorporated | Methods and Systems for Detecting Malware and Attacks that Target Behavioral Security Mechanisms of a Mobile Device |
| CN105262771A (zh) * | 2015-11-04 | 2016-01-20 | 国家电网公司 | 一种电力行业网络安全攻防实验方法 |
| CN107065838A (zh) * | 2017-06-05 | 2017-08-18 | 广东顺德西安交通大学研究院 | 基于指令感知和模型响应分析的工控系统攻击检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 周黎辉: "工业控制网络安全攻防演练平台设计与研发", 《信息与电脑(理论版)》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055837A (zh) * | 2018-09-29 | 2020-12-08 | 西门子股份公司 | 一种工业设备匹配方法和装置 |
| CN109561077A (zh) * | 2018-11-08 | 2019-04-02 | 广西电网有限责任公司电力科学研究院 | 采集终端通讯安全测评方法及装置 |
| CN109561077B (zh) * | 2018-11-08 | 2021-01-12 | 广西电网有限责任公司电力科学研究院 | 采集终端通讯安全测评方法及装置 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
| CN112822291A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种工控设备的监测方法与装置 |
| CN113660265A (zh) * | 2021-08-16 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种网络攻击测试方法、装置、电子设备及存储介质 |
| CN113660265B (zh) * | 2021-08-16 | 2022-11-29 | 北京天融信网络安全技术有限公司 | 一种网络攻击测试方法、装置、电子设备及存储介质 |
| CN113759752A (zh) * | 2021-08-31 | 2021-12-07 | 信通院车联网创新中心(成都)有限公司 | V2x车载终端车路预警功能仿真测试方法 |
| CN115001792A (zh) * | 2022-05-27 | 2022-09-02 | 北京双湃智安科技有限公司 | 一种学习工业互联网安全感知体系的准确性评估方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107483481B (zh) | 2020-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483481A (zh) | 一种工业控制系统攻防模拟平台及其实现方法 | |
| CN107204975B (zh) | 一种基于场景指纹的工业控制系统网络攻击检测技术 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN112074834A (zh) | 用于运营技术系统的分析装置、方法、系统和存储介质 | |
| CN109359098A (zh) | 一种调度数据网行为监测系统及方法 | |
| CN109905293A (zh) | 一种终端设备识别方法、系统及存储介质 | |
| CN104537496B (zh) | 智能终端设备使用状况统计分析方法及装置 | |
| US9613383B2 (en) | Power plant field monitoring system and method using QR code | |
| CN109922026A (zh) | 一个ot系统的监测方法、装置、系统和存储介质 | |
| CN110515793A (zh) | 系统性能监控方法、装置、设备及存储介质 | |
| CN105427507B (zh) | 火灾监测方法及装置 | |
| CN104320301A (zh) | 一种内网专线流量监控方法及系统 | |
| CN112687022A (zh) | 一种基于视频的智能楼宇巡检方法及系统 | |
| CN114124837A (zh) | 一种基于被动流量的资产信息发现系统及方法 | |
| CN107070809B (zh) | 一种大规模传感器数据的实时转发方法 | |
| CN109495302B (zh) | 链路监控方法、云端服务器及计算机可读存储介质 | |
| CN110572845B (zh) | 一种无线对讲监控系统及方法 | |
| CN104917757A (zh) | 一种事件触发式的mtd防护系统及方法 | |
| CN205608465U (zh) | 基于信息码识别技术的运维系统 | |
| US20160277263A1 (en) | Information Processing Method and Switch | |
| CN114520749B (zh) | 基于云平台部署物模型的Modbus数据监控方法及系统 | |
| CN114363018B (zh) | 工业数据传输方法、装置、设备与存储介质 | |
| CN105279230A (zh) | 通过主动学习方法构建互联网应用特征识别数据库的方法及系统 | |
| CN103152195A (zh) | 数据采集方法与装置 | |
| CN106685460B (zh) | 一种智能户外柱上开关用控制系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Hu Hao Inventor after: Zhang Xiaoming Inventor after: Sun Zhonghao Inventor after: Zhang Jiawei Inventor after: Liu Zhongjin Inventor after: Fang Zhejun Inventor after: Bai Liang Inventor after: Zhuo Zihan Inventor after: Li Jianqiang Inventor after: He Xiaomei Inventor after: Wang Jing Inventor after: Gong Daobing Inventor after: Chen Dong Inventor after: Luo Dingyuan Inventor after: Chen Gang Inventor after: Tang Rui Inventor after: He Yueying Inventor before: Hu Hao Inventor before: He Xiaomei Inventor before: Wang Jing Inventor before: Gong Daobing Inventor before: Chen Dong Inventor before: Luo Dingyuan Inventor before: Chen Gang Inventor before: Tang Rui |
|
| CB03 | Change of inventor or designer information | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180408 Address after: 310052 room S1, No. 475, Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, house 1330 Applicant after: Hangzhou Valley Network Technology Co., Ltd. Applicant after: State Computer Network and Information Safety Management Center Address before: 310052 room S1, No. 475, Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, house 1330 Applicant before: Hangzhou Valley Network Technology Co., Ltd. |
|
| TA01 | Transfer of patent application right | ||
| CB02 | Change of applicant information |
Address after: Room 402, block a, 4 / F, building 3, No. 351, Changhe Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Yuxiao Technology Co., Ltd Applicant after: NATIONAL COMPUTER NETWORK AND INFORMATION SECURITY MANAGEMENT CENTER Address before: 310052 room 1330, building S1, 475 and Rui Technology Park, Changhe Road, Hangzhou, Zhejiang, Binjiang District Applicant before: HANGZHOU GUYI NETWORK TECHNOLOGY Co.,Ltd. Applicant before: NATIONAL COMPUTER NETWORK AND INFORMATION SECURITY MANAGEMENT CENTER |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |