CN107612733A - 一种基于工控系统的网络审计和监测方法及其系统 - Google Patents
一种基于工控系统的网络审计和监测方法及其系统 Download PDFInfo
- Publication number
- CN107612733A CN107612733A CN201710851987.1A CN201710851987A CN107612733A CN 107612733 A CN107612733 A CN 107612733A CN 201710851987 A CN201710851987 A CN 201710851987A CN 107612733 A CN107612733 A CN 107612733A
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- security strategy
- white list
- warning information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及工业控制领域,旨在提供一种基于工控系统的网络审计和监测方法及其系统。该种基于工控系统的网络审计和监测方法包括如下步骤:对常见的网络应用层协议数据包做流量采集、解析还原,并进行机器学习,生成适应当前工业控制网络环境的白名单安全策略规则;在非机器学习周期内,针对解析工控系统中网络行为还原后的原始行为,分别进行白名单安全策略规则检测,对于不符合白名单安全策略规则的原始行为,生成告警信息并记录其原始行为,然后进行IP流量统计,制作清晰直观的网络告警分布图,提出策略建议并定期生成风险报告并导出。本发明能对网络数据、事件进行实时监测、告警,实时掌握工控网络运行状况,保证生产安全。
Description
技术领域
本发明是关于工业控制领域,特别涉及一种基于工控系统的网络审计和监测方法及其系统。
背景技术
工业控制系统(Industrial Control System,简称ICS),是由各种自动化控制组件以及对实时数据进行采集、检测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统,是基础设施自动化生成的基础组件,安全的重要性可见一般。
由于ICS系统结构复杂,缺乏安全与管理标准等诸多因素影响,运行在系统中的数据和操作指令随时可能会受到破坏,从而出现异常操作指令对设备的正常运行造成破坏。
如何对工业控制系统网络环境中异常行为监测和告警是本领域的技术难题。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种能对工业控制系统网络环境中行为进行分析与监测,识别网络中异常IP、异常指令等异常行为并实时告警,清晰直观展示网络中告警分布的网络审计和监测方法及其系统。为解决上述技术问题,本发明的解决方案是:
提供一种基于工控系统的网络审计和监测方法,包括如下步骤:
步骤A:流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原;
解析还原是基于端口来分析(Modbus、S7、IEC-104、DNP3、Ethernet/IP、MMS、FINS、OPC等)常见的工控协议,并根据协议规范进行解析还原,获取所需信息,包括指令码、参数、响应码、原始行为;
步骤B:进行机器学习,即在机器学习周期(即指系统部署成功后,通过配置系统的机器学习周期,计算系统运行起始时间到系统当前时间的时间差,当系统运行在时间差小于或等于学习周期配置内属于机器学习周期,时间差大于学习周期配置属于非机器学习周期)内,针对步骤A解析还原后的原始行为,自动收集原始行为并提取特征,生成适应当前工业控制网络环境的白名单安全策略规则;
所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则;
步骤C:在非机器学习周期内,针对解析工控系统中网络行为还原后的原始行为(即当前工控系统中网络行为还原后的原始行为,来进行网络审计和监测),分别进行白名单安全策略规则检测,对于不符合白名单安全策略规则的原始行为,生成告警信息并记录其原始行为,便于事件回溯取证分析;
步骤D:对步骤C产生的告警信息进行核查,判断是否为误报;若确认为误报,则对确认为误报的告警事件做出矫正处理,更改其告警状态并进行标记,并针对标记的告警信息进行进一步的处理(比如更新白名单安全策略规则);
步骤E:进行IP流量统计,即以IP为节点,并对每一对IP之间的流量进行统计,生成基于IP的流量统计模型,用于清晰直观展示网络系统中的流量占比,方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况;
步骤F:制作清晰直观的网络告警分布图;
所述网络告警分布图,是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上,将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图,用于实时掌握网络告警信息的分布情况;
步骤G:基于步骤C产生的告警信息以及发生的频率,提出策略建议(即策略修改建议,比如某异常指令的频率很高,此异常指令可能是系统正常指令,建议添加到指令行为白名单安全策略规则中;针对该策略建议,由人工确认后,系统自动更新策略,完善工业控制网络安全防护体系);
基于步骤F的网络告警分布图以及告警信息的威胁程度,定期生成风险报告并导出。
在本发明中,所述步骤A中,流量采集模块使用Libpcap软件包进行网络数据包捕获。
在本发明中,所述步骤C中,针对解析工控系统中网络行为还原后的原始行为进行白名单安全策略规则检测,包括IP检测和指令检测;
所述IP检测是指:非机器学习周期内,还原的原始行为中源IP和目的IP进行IP连接白名单安全策略规则检测,对没有命中IP连接白名单安全策略规则的行为生成异常连接的高危告警信息并且记录到关系型数据库,便于对工控网络环境中异常IP连接行为及时进行处理或事件回溯取证;
所述指令检测:非机器学习周期内,还原的原始行为中源IP和目的IP确认为安全IP后,对其指令行为进行指令行为白名单安全策略规则检测,对没有命中指令行为白名单安全策略规则的行为生成异常指令的高危告警信息并且记录到关系型数据库,便于对工控网络环境中异常指令行为及时进行处理或事件回溯取证。
提供一种存储设备,其中存储有多条指令,所述指令适用于由处理器加载并执行:
步骤A:流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原;
解析还原是基于端口来分析(Modbus、S7、IEC-104、DNP3、Ethernet/IP、MMS、FINS、OPC等)常见的工控协议,并根据协议规范进行解析还原,获取所需信息,包括指令码、参数、响应码、原始行为;
步骤B:进行机器学习,即在机器学习周期(即指系统部署成功后,通过配置系统的机器学习周期,计算系统运行起始时间到系统当前时间的时间差,当系统运行在时间差小于或等于学习周期配置内属于机器学习周期,时间差大于学习周期配置属于非机器学习周期)内,针对步骤A解析还原后的原始行为,自动收集原始行为并提取特征,生成适应当前工业控制网络环境的白名单安全策略规则;
所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则;
步骤C:在非机器学习周期内,针对解析工控系统中网络行为还原后的原始行为(即当前工控系统中网络行为还原后的原始行为,来进行网络审计和监测),分别进行白名单安全策略规则检测,对于不符合白名单安全策略规则的原始行为,生成告警信息并记录其原始行为,便于事件回溯取证分析;
步骤D:对步骤C产生的告警信息进行核查,判断是否为误报;若确认为误报,则对确认为误报的告警事件做出矫正处理,更改其告警状态并进行标记,并针对标记的告警信息进行进一步的处理(比如更新白名单安全策略规则);
步骤E:进行IP流量统计,即以IP为节点,并对每一对IP之间的流量进行统计,生成基于IP的流量统计模型,用于清晰直观展示网络系统中的流量占比,方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况;
步骤F:制作清晰直观的网络告警分布图;
所述网络告警分布图,是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上,将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图,用于实时掌握网络告警信息的分布情况;
步骤G:基于步骤C产生的告警信息以及发生的频率,提出策略建议(即策略修改建议,比如某异常指令的频率很高,此异常指令可能是系统正常指令,建议添加到指令行为白名单安全策略规则中;针对该策略建议,由人工确认后,系统自动更新策略,完善工业控制网络安全防护体系);
基于步骤F的网络告警分布图以及告警信息的威胁程度,定期生成风险报告并导出。
提供一种基于工控系统网络审计和监测系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
步骤A:流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原;
解析还原是基于端口来分析(Modbus、S7、IEC-104、DNP3、Ethernet/IP、MMS、FINS、OPC等)常见的工控协议,并根据协议规范进行解析还原,获取所需信息,包括指令码、参数、响应码、原始行为;
步骤B:进行机器学习,即在机器学习周期(即指系统部署成功后,通过配置系统的机器学习周期,计算系统运行起始时间到系统当前时间的时间差,当系统运行在时间差小于或等于学习周期配置内属于机器学习周期,时间差大于学习周期配置属于非机器学习周期)内,针对步骤A解析还原后的原始行为,自动收集原始行为并提取特征,生成适应当前工业控制网络环境的白名单安全策略规则;
所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则;
步骤C:在非机器学习周期内,针对解析工控系统中网络行为还原后的原始行为(即当前工控系统中网络行为还原后的原始行为,来进行网络审计和监测),分别进行白名单安全策略规则检测,对于不符合白名单安全策略规则的原始行为,生成告警信息并记录其原始行为,便于事件回溯取证分析;
步骤D:对步骤C产生的告警信息进行核查,判断是否为误报;若确认为误报,则对确认为误报的告警事件做出矫正处理,更改其告警状态并进行标记,并针对标记的告警信息进行进一步的处理(比如更新白名单安全策略规则);
步骤E:进行IP流量统计,即以IP为节点,并对每一对IP之间的流量进行统计,生成基于IP的流量统计模型,用于清晰直观展示网络系统中的流量占比,方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况;
步骤F:制作清晰直观的网络告警分布图;
所述网络告警分布图,是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上,将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图,用于实时掌握网络告警信息的分布情况;
步骤G:基于步骤C产生的告警信息以及发生的频率,提出策略建议(即策略修改建议,比如某异常指令的频率很高,此异常指令可能是系统正常指令,建议添加到指令行为白名单安全策略规则中;针对该策略建议,由人工确认后,系统自动更新策略,完善工业控制网络安全防护体系);
基于步骤F的网络告警分布图以及告警信息的威胁程度,定期生成风险报告并导出。
与现有技术相比,本发明的有益效果是:
1、本发明能对网络数据、事件进行实时监测、告警,实时掌握工控网络运行状况,保证生产安全。
2、本发明对网络中行为深度还原解析,生成完整行为记录,便于事件回溯处理。
3、本发明能清晰直观地展示网络拓扑图并且集成告警信息,帮助了解和掌握网络告警分布。
4、本发明能基于IP连接、指令行为等维度建模,进行IP流量统计,便于分析和挖掘威胁的发生规律。
5、本发明能了解网络系统中存在的风险威胁,完善工业控制网络防御,保障系统安全运行。
附图说明
图1为本发明的系统流程图。
具体实施方式
首先需要说明的是,本发明涉及工业控制系统安全检测领域,是计算机技术在信息安全技术领域的一个应用分支。在本发明的实现过程中,会涉及到多个维度的监测手段。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
下面结合附图与具体实施方式对本发明作进一步详细描述:
一种基于工控系统的网络审计和监测方法,能够实时监测系统的行为,有利于及时发现工业控制环境中的异常设备、异常指令等异常行为,掌握工业控制系统网络运行状况,保障工业控制环境中设备正常运。其处理流程如图1所示,具体步骤如下所述:
步骤1:流量采集模块进行流量采集。
流量采集模块使用Libpcap软件包进行网络数据包捕获,根据端口解析Modbus、S7、IEC-104、DNP3、Ethernet/IP、MMS、FINS、OPC等常见的工控协议,如Modbus协议默认502端口,S7协议默认102端口,IEC-104默认2404端口。
为适应不同网络场景,各应用协议所适用协议解析端口可以通过界面增删改。
步骤2:流量分析。
流量分析,主要是对网络环境中所有监测到的IP进行监测,对每一个IP的流量进行统计和建模分析。
步骤3:协议解析还原,生成原始行为信息。
对捕获的数据包在应用层协议层面进行重组,并根据应用层协议规范解析还原原始行为信息,记录源IP、目的IP、目的端口、发生时间、应用协议、应用行为内容等信息,其中应用行为内容根据不同的应用协议有所不同,如Modbus协议的应用行为内容,根据Modbus协议规范,包括功能码、参数等信息。
步骤4:机器学习周期判定。
所述机器学习周期,是指在系统在指定的一段时间内,对工控系统内所有还原的原始行为都认为是安全操作。如果判定为机器学习周期内,原始行为中的源IP、目的IP指令行为都默认为正常行为,对于IP连接则进入步骤5,指令行为则进入步骤7;非机器学习周内,则进入步骤9。
步骤5:IP连接行为入库,利用大数据进行IP连接行为分析和建模。
所述IP连接行为分析和建模,是指对网络中监测的流量根据IP连接关系、连接频率等维度进行分析和建模,同时进入步骤6和步骤17。
步骤6:生成IP连接行为白名单策略库。
所述IP连接行为白名单策略,是指根据IP连接行为分析和建模后,生成基于IP的一种私有的、系统内部使用的策略规则规范,系统运行过程中实时更新。
步骤7:指令行为入库,利用大数据进行指令行为分析和建模。
所述指令行为分析和建模,是指对网络中监测到的指令行为根据应用类别、指令、参数等多个维度进行分析和建模。
步骤8:生成指令行为白名单策略库。
所述指令行为白名单策略库,是指根据指令行为分析和建模后,生成基于指令的一种私有的、系统内部使用的策略规则规范,系统运行过程中实时更新。
步骤9:原始行为中源IP、目的IP进行IP连接行为白名单策略匹配。
所述对原始行为的源IP、目的IP进行IP连接行为白名单策略匹配,如果匹配成功则认为是安全连接,进入步骤10;如果匹配失败,则认为是异常IP连接,则进入步骤12。
步骤10:原始行为中指令行为进行指令行为白名单策略匹配。
所述对原始行为中指令行为进行指令行为白名单策略匹配,如果匹配成功则认为是安全指令,进入步骤11;匹配失败则认为是异常指令,则进入步骤15。
步骤11:异常指令确认为正常,更改其告警状态为正常。
所述更改告警状态为正常,是指对前面检测为异常指令的行为告警信息,进行人工核查时,如果校正为安全指令,则需要修改告警信息的告警状态为正常,然后进入步骤7。
步骤12:生成异常连接告警。
对监测到异常IP连接的行为进行标记,并按照告警格式生成告警信息,保存到关系型数据库。
步骤13:对异常IP连接告警进行核查。
对异常IP连接告警进行核查,是指根据工控系统的实际运行网络架构,对某一异常IP进行核查,如果确认为安全IP连接,则需要并行进行步骤5和14。
步骤14:更改异常连接告警状态为异常指令告警。
更改告警状态为异常指令告警,进入步骤10。
步骤15:生成异常指令告警信息。
对监测到异常指令行为进行标记,并按照告警格式生成告警信息,保存到关系型数据库,如果该告警信息已经存在(更改告警状态由异常连接到异常指令)则不需要再次保存到关系型数据库。
步骤16:对异常指令告警进行核查。
对异常指令告警进行核查,是指根据工控系统中实际的操作指令,对某一IP的指令进行核查,如果确认为安全指令,则进行步骤11;如果确认为异常指令,则进入步骤18。
步骤17:网络拓扑关系。
所述网络拓扑关系,是指基于网络环境中IP之间的连接,绘制成的拓扑关系图。
步骤18:网络告警分布。
所述网络告警分布,是指基于网络拓扑图,以及生成的告警信息,进行的一种关联展示。
步骤19:风险报告导出,防御策略建议
所述风险报告,是指基于网络告警分布,以及告警信息的威胁程度,定期生成风险报告。
所述防御策略建议,是指对系统中的告警信息,以及其发生的频率进行分析后,认为其可能为安全连接或安全指令的建议。
至此,对系统的工作流程进行划分,对不同的处理流程进行多维度深层次的监测,使用异常IP连接、异常指令告警为监测依据,各监测阶段的监测结果用来实时更新策略,IP拓扑关系图与告警信息相结合生成直观清晰的网络告警分布,定期生成风险报告和策略建议,实现了一种基于工控系统的网络审计和监测系统。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (5)
1.一种基于工控系统的网络审计和监测方法,其特征在于,包括如下步骤:
步骤A:流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原;
解析还原是基于端口来分析常见的工控协议,并根据协议规范进行解析还原,获取所需信息,包括指令码、参数、响应码、原始行为;
步骤B:进行机器学习,即在机器学习周期内,针对步骤A解析还原后的原始行为,自动收集原始行为并提取特征,生成适应当前工业控制网络环境的白名单安全策略规则;
所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则;
步骤C:在非机器学习周期内,针对解析工控系统中网络行为还原后的原始行为,分别进行白名单安全策略规则检测,对于不符合白名单安全策略规则的原始行为,生成告警信息并记录其原始行为,便于事件回溯取证分析;
步骤D:对步骤C产生的告警信息进行核查,判断是否为误报;若确认为误报,则对确认为误报的告警事件做出矫正处理,更改其告警状态并进行标记,并针对标记的告警信息进行进一步的处理;
步骤E:进行IP流量统计,即以IP为节点,并对每一对IP之间的流量进行统计,生成基于IP的流量统计模型,用于清晰直观展示网络系统中的流量占比,方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况;
步骤F:制作清晰直观的网络告警分布图;
所述网络告警分布图,是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上,将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图,用于实时掌握网络告警信息的分布情况;
步骤G:基于步骤C产生的告警信息以及发生的频率,提出策略建议;
基于步骤F的网络告警分布图以及告警信息的威胁程度,定期生成风险报告并导出。
2.根据权利要求1所述的一种基于工控系统的网络审计和监测方法,其特征在于,所述步骤A中,流量采集模块使用Libpcap软件包进行网络数据包捕获。
3.根据根据权利要求1所述的一种基于工控系统的网络审计和监测方法,其特征在于,所述步骤C中,针对解析工控系统中网络行为还原后的原始行为进行白名单安全策略规则检测,包括IP检测和指令检测;
所述IP检测是指:非机器学习周期内,还原的原始行为中源IP和目的IP进行IP连接白名单安全策略规则检测,对没有命中IP连接白名单安全策略规则的行为生成异常连接的高危告警信息并且记录到关系型数据库,便于对工控网络环境中异常IP连接行为及时进行处理或事件回溯取证;
所述指令检测:非机器学习周期内,还原的原始行为中源IP和目的IP确认为安全IP后,对其指令行为进行指令行为白名单安全策略规则检测,对没有命中指令行为白名单安全策略规则的行为生成异常指令的高危告警信息并且记录到关系型数据库,便于对工控网络环境中异常指令行为及时进行处理或事件回溯取证。
4.一种存储设备,其中存储有多条指令,所述指令适用于由处理器加载并执行:
步骤A:流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原;
解析还原是基于端口来分析常见的工控协议,并根据协议规范进行解析还原,获取所需信息,包括指令码、参数、响应码、原始行为;
步骤B:进行机器学习,即在机器学习周期内,针对步骤A解析还原后的原始行为,自动收集原始行为并提取特征,生成适应当前工业控制网络环境的白名单安全策略规则;
所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则;
步骤C:在非机器学习周期内,针对解析工控系统中网络行为还原后的原始行为,分别进行白名单安全策略规则检测,对于不符合白名单安全策略规则的原始行为,生成告警信息并记录其原始行为,便于事件回溯取证分析;
步骤D:对步骤C产生的告警信息进行核查,判断是否为误报;若确认为误报,则对确认为误报的告警事件做出矫正处理,更改其告警状态并进行标记,并针对标记的告警信息进行进一步的处理;
步骤E:进行IP流量统计,即以IP为节点,并对每一对IP之间的流量进行统计,生成基于IP的流量统计模型,用于清晰直观展示网络系统中的流量占比,方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况;
步骤F:制作清晰直观的网络告警分布图;
所述网络告警分布图,是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上,将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图,用于实时掌握网络告警信息的分布情况;
步骤G:基于步骤C产生的告警信息以及发生的频率,提出策略建议;
基于步骤F的网络告警分布图以及告警信息的威胁程度,定期生成风险报告并导出。
5.一种基于工控系统网络审计和监测系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
步骤A:流量采集模块对常见的网络应用层协议数据包做流量采集、解析还原;
解析还原是基于端口来分析常见的工控协议,并根据协议规范进行解析还原,获取所需信息,包括指令码、参数、响应码、原始行为;
步骤B:进行机器学习,即在机器学习周期内,针对步骤A解析还原后的原始行为,自动收集原始行为并提取特征,生成适应当前工业控制网络环境的白名单安全策略规则;
所述白名单安全策略规则包括IP连接白名单安全策略规则、指令行为白名单安全策略规则;
步骤C:在非机器学习周期内,针对解析工控系统中网络行为还原后的原始行为,分别进行白名单安全策略规则检测,对于不符合白名单安全策略规则的原始行为,生成告警信息并记录其原始行为,便于事件回溯取证分析;
步骤D:对步骤C产生的告警信息进行核查,判断是否为误报;若确认为误报,则对确认为误报的告警事件做出矫正处理,更改其告警状态并进行标记,并针对标记的告警信息进行进一步的处理;
步骤E:进行IP流量统计,即以IP为节点,并对每一对IP之间的流量进行统计,生成基于IP的流量统计模型,用于清晰直观展示网络系统中的流量占比,方便进一步掌握工控网络系统中各个IP节点之间的信息交互情况;
步骤F:制作清晰直观的网络告警分布图;
所述网络告警分布图,是在以IP为节点、IP间连接关系为模型的网络拓扑图的基础上,将告警信息中源IP、目的IP在网络拓扑图上进行关联的网络告警分布图,用于实时掌握网络告警信息的分布情况;
步骤G:基于步骤C产生的告警信息以及发生的频率,提出策略建议;
基于步骤F的网络告警分布图以及告警信息的威胁程度,定期生成风险报告并导出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710851987.1A CN107612733A (zh) | 2017-09-19 | 2017-09-19 | 一种基于工控系统的网络审计和监测方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710851987.1A CN107612733A (zh) | 2017-09-19 | 2017-09-19 | 一种基于工控系统的网络审计和监测方法及其系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107612733A true CN107612733A (zh) | 2018-01-19 |
Family
ID=61061315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710851987.1A Pending CN107612733A (zh) | 2017-09-19 | 2017-09-19 | 一种基于工控系统的网络审计和监测方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107612733A (zh) |
Cited By (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521425A (zh) * | 2018-04-11 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 一种工控协议过滤方法和板卡 |
| CN108683517A (zh) * | 2018-03-26 | 2018-10-19 | 国网冀北电力有限公司信息通信分公司 | 一种基于机器学习的运维机器人网络故障检测系统 |
| CN108718319A (zh) * | 2018-06-14 | 2018-10-30 | 浙江远望信息股份有限公司 | 一种基于安全时域通过自学习设置数据包通信白名单的方法 |
| CN108737417A (zh) * | 2018-05-16 | 2018-11-02 | 南京大学 | 一种面向工业控制系统的脆弱性检测方法 |
| CN109067770A (zh) * | 2018-09-05 | 2018-12-21 | 高新兴科技集团股份有限公司 | 物联网系统的流量攻击控制方法及计算机存储介质 |
| CN109067569A (zh) * | 2018-07-20 | 2018-12-21 | 杭州安恒信息技术股份有限公司 | 一种工控网络拓扑结构可视化方法 |
| CN109286526A (zh) * | 2018-10-08 | 2019-01-29 | 成都西加云杉科技有限公司 | 一种wifi系统运行策略动态调整方法及装置 |
| CN109344036A (zh) * | 2018-10-08 | 2019-02-15 | 郑州云海信息技术有限公司 | 应用于存储系统的告警展示方法及系统 |
| CN109358508A (zh) * | 2018-11-05 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 一种基于自学习工控主机安全防护方法和系统 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110290147A (zh) * | 2019-07-05 | 2019-09-27 | 上海中通吉网络技术有限公司 | 安全渗透防御方法、装置和设备 |
| CN110381091A (zh) * | 2019-08-27 | 2019-10-25 | 杭州安恒信息技术股份有限公司 | 工控网络设备异常通信行为的识别方法和装置 |
| CN110376957A (zh) * | 2019-07-04 | 2019-10-25 | 哈尔滨工业大学(威海) | 一种基于安全规约自动构建的plc安全事件取证方法 |
| CN110728598A (zh) * | 2019-09-20 | 2020-01-24 | 华中科技大学 | 一种基于libpcap的计算机网络原理教学系统 |
| CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
| CN110768944A (zh) * | 2018-11-19 | 2020-02-07 | 哈尔滨安天科技集团股份有限公司 | 基于fpga技术的iot设备防护系统及方法 |
| CN110855711A (zh) * | 2019-11-27 | 2020-02-28 | 上海三零卫士信息安全有限公司 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN111083134A (zh) * | 2019-12-11 | 2020-04-28 | 哈尔滨安天科技集团股份有限公司 | 工控系统通信加密的方法、装置、电子设备及存储介质 |
| CN111159715A (zh) * | 2019-12-24 | 2020-05-15 | 贵州航天计量测试技术研究所 | 一种基于人工智能的工控安全审计系统及方法 |
| CN111614674A (zh) * | 2020-05-21 | 2020-09-01 | 四川英得赛克科技有限公司 | 一种异常访问行为检测方法、系统、介质及其设备 |
| CN111614611A (zh) * | 2020-04-01 | 2020-09-01 | 中国电力科学研究院有限公司 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
| CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
| CN111901138A (zh) * | 2019-12-26 | 2020-11-06 | 长扬科技(北京)有限公司 | 一种工业网络非法接入的可视化审计方法 |
| CN111913876A (zh) * | 2020-07-03 | 2020-11-10 | 北京惠而特科技有限公司 | 工控dpi引擎afl模糊测试方法、装置和电子设备 |
| CN112019523A (zh) * | 2020-08-07 | 2020-12-01 | 贵州黔源电力股份有限公司 | 一种工控系统的网络审计方法和装置 |
| CN112165487A (zh) * | 2020-09-27 | 2021-01-01 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
| CN112383514A (zh) * | 2020-10-28 | 2021-02-19 | 北京珞安科技有限责任公司 | 一种基于自学习白名单的工控异常行为分析方法及系统 |
| CN112419130A (zh) * | 2020-11-17 | 2021-02-26 | 北京京航计算通讯研究所 | 基于网络安全监控和数据分析的应急响应系统及方法 |
| CN112636965A (zh) * | 2020-12-17 | 2021-04-09 | 浪潮云信息技术股份公司 | 一种云环境下虚机网络连通性监控方法 |
| CN113507461A (zh) * | 2021-07-01 | 2021-10-15 | 交通运输信息安全中心有限公司 | 基于大数据的网络监控系统及网络监控方法 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN114019946A (zh) * | 2021-11-11 | 2022-02-08 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
| CN114095375A (zh) * | 2021-11-16 | 2022-02-25 | 烟台海颐软件股份有限公司 | 一种网络拓扑算法、工控安全仿真方法及系统 |
| CN114422195A (zh) * | 2021-12-24 | 2022-04-29 | 杭州优稳自动化系统有限公司 | 适用于工控系统的伪控制指令识别与预警系统及方法 |
| CN114448716A (zh) * | 2022-02-28 | 2022-05-06 | 奇安信科技集团股份有限公司 | 工控安全的控制方法及电子设备、存储介质 |
| CN114500057A (zh) * | 2022-01-28 | 2022-05-13 | 杭州立思辰安科科技有限公司 | 一种应用于fins工业以太网的安全防护方法及系统 |
| CN116996391A (zh) * | 2023-09-26 | 2023-11-03 | 成都青藤网络科技有限公司 | 一种基于主机网络连接的网络拓扑可视化方法 |
| CN117579499A (zh) * | 2023-12-27 | 2024-02-20 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
| CN117579499B (zh) * | 2023-12-27 | 2024-05-31 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN107104981A (zh) * | 2017-05-26 | 2017-08-29 | 北京天地和兴科技有限公司 | 一种基于主动防御机制的内容审计系统及其内容审计方法 |
-
2017
- 2017-09-19 CN CN201710851987.1A patent/CN107612733A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN107104981A (zh) * | 2017-05-26 | 2017-08-29 | 北京天地和兴科技有限公司 | 一种基于主动防御机制的内容审计系统及其内容审计方法 |
Non-Patent Citations (2)
| Title |
|---|
| 中国标准出版社出版发行: "《中华人民共和国公共安全行业标准 GA/T695—2014》", 31 August 2014 * |
| 陈庄等: "工业控制系统信息安全审计系统分析与设计", 《计算机科学》 * |
Cited By (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683517A (zh) * | 2018-03-26 | 2018-10-19 | 国网冀北电力有限公司信息通信分公司 | 一种基于机器学习的运维机器人网络故障检测系统 |
| CN108521425A (zh) * | 2018-04-11 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 一种工控协议过滤方法和板卡 |
| CN108521425B (zh) * | 2018-04-11 | 2021-01-12 | 江苏亨通工控安全研究院有限公司 | 一种工控协议过滤方法和板卡 |
| CN108737417A (zh) * | 2018-05-16 | 2018-11-02 | 南京大学 | 一种面向工业控制系统的脆弱性检测方法 |
| CN108718319A (zh) * | 2018-06-14 | 2018-10-30 | 浙江远望信息股份有限公司 | 一种基于安全时域通过自学习设置数据包通信白名单的方法 |
| CN108718319B (zh) * | 2018-06-14 | 2021-03-30 | 浙江远望信息股份有限公司 | 一种基于安全时域通过自学习设置数据包通信白名单的方法 |
| CN109067569A (zh) * | 2018-07-20 | 2018-12-21 | 杭州安恒信息技术股份有限公司 | 一种工控网络拓扑结构可视化方法 |
| CN109067569B (zh) * | 2018-07-20 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 一种工控网络拓扑结构可视化方法 |
| CN109067770A (zh) * | 2018-09-05 | 2018-12-21 | 高新兴科技集团股份有限公司 | 物联网系统的流量攻击控制方法及计算机存储介质 |
| CN109067770B (zh) * | 2018-09-05 | 2021-04-23 | 高新兴科技集团股份有限公司 | 物联网系统的流量攻击控制方法及计算机存储介质 |
| CN109286526A (zh) * | 2018-10-08 | 2019-01-29 | 成都西加云杉科技有限公司 | 一种wifi系统运行策略动态调整方法及装置 |
| CN109344036A (zh) * | 2018-10-08 | 2019-02-15 | 郑州云海信息技术有限公司 | 应用于存储系统的告警展示方法及系统 |
| CN109358508A (zh) * | 2018-11-05 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 一种基于自学习工控主机安全防护方法和系统 |
| CN110768944A (zh) * | 2018-11-19 | 2020-02-07 | 哈尔滨安天科技集团股份有限公司 | 基于fpga技术的iot设备防护系统及方法 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110376957A (zh) * | 2019-07-04 | 2019-10-25 | 哈尔滨工业大学(威海) | 一种基于安全规约自动构建的plc安全事件取证方法 |
| CN110290147A (zh) * | 2019-07-05 | 2019-09-27 | 上海中通吉网络技术有限公司 | 安全渗透防御方法、装置和设备 |
| CN110381091A (zh) * | 2019-08-27 | 2019-10-25 | 杭州安恒信息技术股份有限公司 | 工控网络设备异常通信行为的识别方法和装置 |
| CN110728598A (zh) * | 2019-09-20 | 2020-01-24 | 华中科技大学 | 一种基于libpcap的计算机网络原理教学系统 |
| CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110891055B (zh) * | 2019-11-20 | 2020-12-25 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN110855711A (zh) * | 2019-11-27 | 2020-02-28 | 上海三零卫士信息安全有限公司 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
| CN111083134A (zh) * | 2019-12-11 | 2020-04-28 | 哈尔滨安天科技集团股份有限公司 | 工控系统通信加密的方法、装置、电子设备及存储介质 |
| CN111159715B (zh) * | 2019-12-24 | 2023-11-14 | 贵州航天计量测试技术研究所 | 一种基于人工智能的工控安全审计系统及方法 |
| CN111159715A (zh) * | 2019-12-24 | 2020-05-15 | 贵州航天计量测试技术研究所 | 一种基于人工智能的工控安全审计系统及方法 |
| CN111901138A (zh) * | 2019-12-26 | 2020-11-06 | 长扬科技(北京)有限公司 | 一种工业网络非法接入的可视化审计方法 |
| CN111614611B (zh) * | 2020-04-01 | 2022-11-08 | 中国电力科学研究院有限公司 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
| CN111614611A (zh) * | 2020-04-01 | 2020-09-01 | 中国电力科学研究院有限公司 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
| CN111614674A (zh) * | 2020-05-21 | 2020-09-01 | 四川英得赛克科技有限公司 | 一种异常访问行为检测方法、系统、介质及其设备 |
| CN111614674B (zh) * | 2020-05-21 | 2022-12-06 | 四川英得赛克科技有限公司 | 一种异常访问行为检测方法、系统、介质及其设备 |
| CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
| CN111913876A (zh) * | 2020-07-03 | 2020-11-10 | 北京惠而特科技有限公司 | 工控dpi引擎afl模糊测试方法、装置和电子设备 |
| CN111913876B (zh) * | 2020-07-03 | 2023-06-27 | 北京惠而特科技有限公司 | 工控dpi引擎afl模糊测试方法、装置和电子设备 |
| CN112019523A (zh) * | 2020-08-07 | 2020-12-01 | 贵州黔源电力股份有限公司 | 一种工控系统的网络审计方法和装置 |
| CN112165487A (zh) * | 2020-09-27 | 2021-01-01 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
| CN112165487B (zh) * | 2020-09-27 | 2022-07-15 | 上海万向区块链股份公司 | 基于zeek的分布式网络安全、性能检测方法及系统 |
| CN112383514A (zh) * | 2020-10-28 | 2021-02-19 | 北京珞安科技有限责任公司 | 一种基于自学习白名单的工控异常行为分析方法及系统 |
| CN112383514B (zh) * | 2020-10-28 | 2023-02-24 | 北京珞安科技有限责任公司 | 一种基于自学习白名单的工控异常行为分析方法及系统 |
| CN112419130A (zh) * | 2020-11-17 | 2021-02-26 | 北京京航计算通讯研究所 | 基于网络安全监控和数据分析的应急响应系统及方法 |
| CN112419130B (zh) * | 2020-11-17 | 2024-02-27 | 北京京航计算通讯研究所 | 基于网络安全监控和数据分析的应急响应系统及方法 |
| CN112636965B (zh) * | 2020-12-17 | 2023-03-28 | 浪潮云信息技术股份公司 | 一种云环境下虚机网络连通性监控方法 |
| CN112636965A (zh) * | 2020-12-17 | 2021-04-09 | 浪潮云信息技术股份公司 | 一种云环境下虚机网络连通性监控方法 |
| CN113507461A (zh) * | 2021-07-01 | 2021-10-15 | 交通运输信息安全中心有限公司 | 基于大数据的网络监控系统及网络监控方法 |
| CN113507461B (zh) * | 2021-07-01 | 2022-11-29 | 交通运输信息安全中心有限公司 | 基于大数据的网络监控系统及网络监控方法 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN113691561B (zh) * | 2021-09-07 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN114019946B (zh) * | 2021-11-11 | 2023-08-29 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
| CN114019946A (zh) * | 2021-11-11 | 2022-02-08 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
| CN114095375A (zh) * | 2021-11-16 | 2022-02-25 | 烟台海颐软件股份有限公司 | 一种网络拓扑算法、工控安全仿真方法及系统 |
| CN114095375B (zh) * | 2021-11-16 | 2024-03-15 | 烟台海颐软件股份有限公司 | 一种网络拓扑算法、工控安全仿真方法及系统 |
| CN114422195A (zh) * | 2021-12-24 | 2022-04-29 | 杭州优稳自动化系统有限公司 | 适用于工控系统的伪控制指令识别与预警系统及方法 |
| CN114500057A (zh) * | 2022-01-28 | 2022-05-13 | 杭州立思辰安科科技有限公司 | 一种应用于fins工业以太网的安全防护方法及系统 |
| CN114448716A (zh) * | 2022-02-28 | 2022-05-06 | 奇安信科技集团股份有限公司 | 工控安全的控制方法及电子设备、存储介质 |
| CN116996391B (zh) * | 2023-09-26 | 2023-12-05 | 成都青藤网络科技有限公司 | 一种基于主机网络连接的网络拓扑可视化方法 |
| CN116996391A (zh) * | 2023-09-26 | 2023-11-03 | 成都青藤网络科技有限公司 | 一种基于主机网络连接的网络拓扑可视化方法 |
| CN117579499A (zh) * | 2023-12-27 | 2024-02-20 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
| CN117579499B (zh) * | 2023-12-27 | 2024-05-31 | 长扬科技(北京)股份有限公司 | 网络行为审计记录方法、装置、计算设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612733A (zh) | 一种基于工控系统的网络审计和监测方法及其系统 | |
| CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| CN109474607A (zh) | 一种工业控制网络安全保护监测系统 | |
| US7930752B2 (en) | Method for the detection and visualization of anomalous behaviors in a computer network | |
| CN108063753A (zh) | 一种信息安全监测方法及系统 | |
| CN107770174A (zh) | 一种面向sdn网络的入侵防御系统和方法 | |
| CN113055375B (zh) | 一种面向电站工控系统实物网络的攻击过程可视化方法 | |
| CN106168757A (zh) | 工厂安全系统中的可配置鲁棒性代理 | |
| CN109391613A (zh) | 一种基于scd解析的智能变电站安全审计方法 | |
| CN103166794A (zh) | 一种具有一体化安全管控功能的信息安全管理方法 | |
| CN108040055A (zh) | 一种防火墙组合策略及云服务安全防护 | |
| CN107547228B (zh) | 一种基于大数据的安全运维管理平台的实现架构 | |
| US9961047B2 (en) | Network security management | |
| CN106886202A (zh) | 控制装置、综合生产系统及其控制方法 | |
| CN113240116B (zh) | 基于类脑平台的智慧防火云系统 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN104639386B (zh) | 故障定位系统和方法 | |
| CN113119124A (zh) | 一种机器人控制系统的安全防护系统 | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN107302529A (zh) | 基于场景感知的数据库安全审计系统及方法 | |
| CN116962049A (zh) | 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 | |
| CN105007278A (zh) | 网络安全日志的自动化实时采集系统及其采集方法 | |
| Affinito et al. | Spark-based port and net scan detection | |
| CN107608752A (zh) | 基于虚拟机自省的威胁情报响应与处置方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180119 |
|
| RJ01 | Rejection of invention patent application after publication |