CN108055282A - 基于自学习白名单的工控异常行为分析方法及系统 - Google Patents
基于自学习白名单的工控异常行为分析方法及系统 Download PDFInfo
- Publication number
- CN108055282A CN108055282A CN201711460732.9A CN201711460732A CN108055282A CN 108055282 A CN108055282 A CN 108055282A CN 201711460732 A CN201711460732 A CN 201711460732A CN 108055282 A CN108055282 A CN 108055282A
- Authority
- CN
- China
- Prior art keywords
- module
- industry control
- abnormal behaviour
- baseline
- analysis method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种基于自学习白名单的工控异常行为分析方法及系统。本发明采用驱动层对数据处理后,安全引擎中的协议解码引擎对协议进行深度解码处理,解码后的数据信息经过应用层界面与业务的过程进行关联处理,对于设定周期内操作行为的感知,采用自学习模块形成业务系统中的基线关系表和资产表;后续来自应用层解码的数据与自学习模块的基线进行比对分析,发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产,对异常通信或者异常资产进行告警。本发明为工业控制系统的安全事故调查提供坚实的基础。
Description
技术领域
本发明涉及工业控制系统领域,具体地说是一种基于自学习白名单的工控异常行为分析方法及系统。
背景技术
工业控制系统被广泛应用到电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中,如遭受攻击,受到影响的将不仅是相关企业的经济损失,甚至会引起相应的社会问题,其重要性不言而喻。因此,工控安全问题已成为当前世界各国最为重视的安全问题。
目前,保护工业控制系统安全的策略有很多:实现应用白名单;确保合适的配置和补丁管理;减少攻击面;建立一个可防御的环境;管理认证;实现安全的远程访问;监测和响应。通过对现实情况的调研,最有效的方法还是建立基于白名单的管控。
发明内容
本发明所要解决的技术问题是克服上述现有技术存在的缺陷,提供一种基于自学习白名单的工控异常行为分析方法,以实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。
为此,本发明采用如下的技术方案:一种基于自学习白名单的工控异常行为分析方法,包括网卡获取数据包,经过DPDK的快速处理后交由数通引擎对数据包进行分类处理,分类好的数据进入到队列中按照相关优先级的顺序进行安全引擎处理,安全引擎处理后,形成相关的基线对应关系;
驱动层对数据处理后,安全引擎中的协议解码引擎对协议进行深度解码处理,解码后的数据信息经过应用层界面与业务的过程进行关联处理,对于设定周期内操作行为的感知,采用自学习模块形成业务系统中的基线关系表和资产表;
后续来自应用层解码的数据与自学习模块的基线进行比对分析,发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产,对异常通信或者异常资产进行告警。
本发明的自学习模块方便用户进行异常行为检测规则的配置,提高规则配置的准确性,减少规则配置的工作量。
作为上述技术方案的补充,基于对多种工业控制协议的通信报文进行深度解析,实时检测针对工业控制协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录。
作为上述技术方案的补充,所述的工业控制协议包括Modbus TCP、COTP、OPC、Siemens S7、DNP3、IEC 60870-5-104、IEC 61850-MMS、IEC 61850-GOOSE和IEC 61850-SV。
作为上述技术方案的补充,采用被动检测的方式从网络中采集数据包,并进行数据包的解析,智能地与系统内置的协议特征、设备对象进行匹配,生成可供参考的网络交互信息列表,通过对协议分布和流量信息的匹配,形成工控场景行为基线。帮助用户以最直观的方式了解和掌握网络中的业务通信状态,发现工控网络潜在的安全风险。
作为上述技术方案的补充,通过基线自学习梳理工控现场资产拓扑,建立工控网络行为模型,对基线外异行为告警,实现对工控现场安全事件的告警与响应,保障工业控制系统的安全稳定运行。
作为上述技术方案的补充,对工业控制系统的配置文件进行解析,将功能代码与具体业务操作进行关联,实现业务安全审计。
作为上述技术方案的补充,对工业控制协议报文进行检测和告警。
作为上述技术方案的补充,对运维人员下发的工业控制协议报文产生的非法操作进行检测和告警。
作为上述技术方案的补充,对资产新增、路径异常、未知协议、越权操作、关键控制行为进行检测和告警。
本发明还提供一种基于自学习白名单的工控异常行为分析系统,包括基础服务层、数采分析层、核心业务层和用户接口层,
所述的数采分析层包括数据采集模块和协议解码模块,对工控协议进行深度解析和分析,提取关键操作行为;
所述的核心业务层包括业务模块和辅助模块,所述的业务模块包括:形成基于工控场景的自学习业务行为基线模块、基于黑白名单的异常行为告警模块、安全设备存活模块、流量统计模块、日志查询模块及报表导出模块;所述的辅助模块包括日志代理模块、守护管理模块、升级系统模块和证书系统模块。
本发明具有的有益效果如下:本发明能实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。
附图说明
图1为本发明实施例1的系统流程图;
图2为本发明实施例1的业务处理流程图;
图3为本发明实施例1应用时的流程图;
图4为本发明实施例2的系统架构图。
具体实施方式
下面结合说明书附图和具体实施方式,进一步阐述本发明。
实施例1
本实施例提供一种基于自学习白名单的工控异常行为分析方法。
如图1所示,网卡获取数据包,经过DPDK的快速处理后交由数通引擎对数据包进行分类处理,分类好的数据进入到队列中按照相关优先级的顺序进行安全引擎处理,安全引擎处理后,形成相关的基线对应关系。
如图2所示,驱动层对数据处理后,安全引擎中的协议解码引擎对协议进行深度解码处理,解码后的数据信息经过应用层界面与业务的过程进行关联处理,对于设定周期内操作行为的感知,采用自学习模块形成业务系统中的基线关系表和资产表;
后续来自应用层解码的数据与自学习模块的基线进行比对分析,发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产,对异常通信或者异常资产进行告警。
基于对多种工业控制协议的通信报文进行深度解析,实时检测针对工业控制协议(如Modbus TCP、COTP、OPC、Siemens S7、DNP3、IEC 60870-5-104、IEC 61850-MMS、IEC61850-GOOSE和IEC 61850-SV)的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录。
工业网络中设备众多、网络通信复杂,用户很难全面的掌握网络中所必须的业务通信需求,这会给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置,提高规则配置的准确性,减少规则配置的工作量,开发了自学习的业务行为基线功能。该功能采用被动检测的方式从网络中采集数据包,并进行数据包的解析,智能的与系统内置的协议特征、设备对象等进行匹配,生成可供参考的网络交互信息列表,通过对协议分布和流量信息的匹配,形成“工控场景行为基线”,帮助用户以最直观的方式了解和掌握网络中的业务通信状态,发现工控网络潜在的安全风险。
通过基线自学习功能梳理工控现场资产拓扑,建立工控网络行为模型,对基线外异行为如组态变更、操控指令变更、负载变更、异常访问等告警,实现对工控现场安全事件的告警与响应,保障工业控制系统的安全稳定运行。
各个行业的工业控制系统千差万别,不同的工艺流程往往有着不尽相同的业务处理方式,针对不同行业工控网络的异常监测有着较强的特异性差异。本发明可以深入不同行业的工业控制网络场景,融入针对不同行业的业务安全告警。如针对变电站场景,可对IEC 61850协议簇进行深度解析,对应到特定场景下的关键操作行为(遥控操作,改定值操作);针对其他行业场景,可设置通用行业场景,解析Modbus TCP、S7 Comm等常见协议规约。
同时,本发明可对工控系统的配置文件进行解析,如变电站SCD文件等厂商相关配置文件的解析,将功能代码与具体业务操作进行关联,实现业务安全审计的功能。如可对工控协议报文进行检测和告警。可对运维人员下发的工控协议报文产生的非法操作进行检测和告警。可对资产新增、路径异常、未知协议、越权操作、关键控制等行为进行检测和告警。
本发明应用时的示意图如图3所示,预置场景内资产、行为、事件白名单;配置收敛条件;收敛不满足时,持续提取资产行为完善基线模型;收敛条件满足后,对后续输入进行基线模型匹配分板;分析参考基线模型的资产、行为、事件维度。
实施例2
本实施例提供一种基于自学习白名单的工控异常行为分析系统,其包括基础服务层、数采分析层、核心业务层和用户接口层,如图4所示。
所述的基础服务层包括硬件和安装在硬件上的操作系统,支持传统IT网络协议,支持工业网络协议。
所述的数采分析层包括数据采集模块和协议解码模块,对工控协议进行深度解析和分析,提取关键操作行为。
所述的核心业务层包括业务模块和辅助模块,所述的业务模块包括:形成基于工控场景的自学习业务行为基线模块、基于黑白名单的异常行为告警模块、安全设备存活模块、流量统计模块、日志查询模块及报表导出模块;所述的辅助模块包括日志代理模块、守护管理模块、升级系统模块和证书系统模块。在该层实现系统的应用功能。
所述的用户接口层,在该层实现和最终用户的人机界面,通过WEB接口进入管理界面,进行系统配置管理。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.一种基于自学习白名单的工控异常行为分析方法,包括网卡获取数据包,经过DPDK的快速处理后交由数通引擎对数据包进行分类处理,分类好的数据进入到队列中按照相关优先级的顺序进行安全引擎处理,安全引擎处理后,形成相关的基线对应关系;其特征在于,
驱动层对数据处理后,安全引擎中的协议解码引擎对协议进行深度解码处理,解码后的数据信息经过应用层界面与业务的过程进行关联处理,对于设定周期内操作行为的感知,采用自学习模块形成业务系统中的基线关系表和资产表;
后续来自应用层解码的数据与自学习模块的基线进行比对分析,发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产,对异常通信或者异常资产进行告警。
2.根据权利要求1所述的工控异常行为分析方法,其特征在于,基于对多种工业控制协议的通信报文进行深度解析,实时检测针对工业控制协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录。
3.根据权利要求2所述的工控异常行为分析方法,其特征在于,所述的工业控制协议包括Modbus TCP、COTP、OPC、Siemens S7、DNP3、IEC 60870-5-104、IEC 61850-MMS、IEC61850-GOOSE和IEC 61850-SV。
4.根据权利要求1或2所述的工控异常行为分析方法,其特征在于,采用被动检测的方式从网络中采集数据包,并进行数据包的解析,智能地与系统内置的协议特征、设备对象进行匹配,生成可供参考的网络交互信息列表,通过对协议分布和流量信息的匹配,形成工控场景行为基线。
5.根据权利要求1或2所述的工控异常行为分析方法,其特征在于,通过基线自学习梳理工控现场资产拓扑,建立工控网络行为模型,对基线外异行为告警,实现对工控现场安全事件的告警与响应,保障工业控制系统的安全稳定运行。
6.根据权利要求1或2所述的工控异常行为分析方法,其特征在于,对工业控制系统的配置文件进行解析,将功能代码与具体业务操作进行关联,实现业务安全审计。
7.根据权利要求1或2所述的工控异常行为分析方法,其特征在于,对工业控制协议报文进行检测和告警。
8.根据权利要求1或2所述的工控异常行为分析方法,其特征在于,对运维人员下发的工业控制协议报文产生的非法操作进行检测和告警。
9.根据权利要求1或2所述的工控异常行为分析方法,其特征在于,对资产新增、路径异常、未知协议、越权操作、关键控制行为进行检测和告警。
10.一种基于自学习白名单的工控异常行为分析系统,包括基础服务层、数采分析层、核心业务层和用户接口层,其特征在于,
所述的数采分析层包括数据采集模块和协议解码模块,对工控协议进行深度解析和分析,提取关键操作行为;
所述的核心业务层包括业务模块和辅助模块,所述的业务模块包括:形成基于工控场景的自学习业务行为基线模块、基于黑白名单的异常行为告警模块、安全设备存活模块、流量统计模块、日志查询模块及报表导出模块;所述的辅助模块包括日志代理模块、守护管理模块、升级系统模块和证书系统模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711460732.9A CN108055282A (zh) | 2017-12-28 | 2017-12-28 | 基于自学习白名单的工控异常行为分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711460732.9A CN108055282A (zh) | 2017-12-28 | 2017-12-28 | 基于自学习白名单的工控异常行为分析方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108055282A true CN108055282A (zh) | 2018-05-18 |
Family
ID=62128733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711460732.9A Pending CN108055282A (zh) | 2017-12-28 | 2017-12-28 | 基于自学习白名单的工控异常行为分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108055282A (zh) |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108900538A (zh) * | 2018-08-09 | 2018-11-27 | 深圳市永达电子信息股份有限公司 | 一种工控信号检测方法和装置 |
| CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
| CN109459995A (zh) * | 2018-12-17 | 2019-03-12 | 国家计算机网络与信息安全管理中心 | 一种面向多种工业以太网协议的状态监测系统及监测方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN109492994A (zh) * | 2018-10-29 | 2019-03-19 | 成都思维世纪科技有限责任公司 | 一种基于大数据的立体式全方位安全管理平台 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
| CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
| CN109766694A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN111031062A (zh) * | 2019-12-24 | 2020-04-17 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| CN111277545A (zh) * | 2018-12-05 | 2020-06-12 | 陕西思科锐迪网络安全技术有限责任公司 | 一种监测西门子s7-plc控制器启停的方法 |
| CN111427307A (zh) * | 2020-04-22 | 2020-07-17 | 国网浙江省电力有限公司 | 一种工控异常检测方法、装置及设备 |
| CN111628994A (zh) * | 2020-05-26 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 一种工控环境的异常检测方法、系统及相关装置 |
| CN111786986A (zh) * | 2020-06-29 | 2020-10-16 | 华中科技大学 | 一种数控系统网络入侵防范系统及方法 |
| CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
| CN112350846A (zh) * | 2019-08-07 | 2021-02-09 | 杭州木链物联网科技有限公司 | 一种智能变电站的资产学习方法、装置、设备及存储介质 |
| CN112351035A (zh) * | 2020-11-06 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种工控安全态势感知方法、装置及介质 |
| CN112383514A (zh) * | 2020-10-28 | 2021-02-19 | 北京珞安科技有限责任公司 | 一种基于自学习白名单的工控异常行为分析方法及系统 |
| CN112437041A (zh) * | 2020-10-27 | 2021-03-02 | 北京珞安科技有限责任公司 | 一种基于人工智能的工控安全审计系统及方法 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN113037779A (zh) * | 2021-04-19 | 2021-06-25 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
| CN113285937A (zh) * | 2021-05-17 | 2021-08-20 | 国网山东省电力公司电力科学研究院 | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
| CN113408202A (zh) * | 2021-06-18 | 2021-09-17 | 国网湖南省电力有限公司 | 面向变电站核心工控业务的流量基线模型构造方法 |
| CN113645065A (zh) * | 2021-07-21 | 2021-11-12 | 武汉虹旭信息技术有限责任公司 | 基于工业互联网的工控安全审计系统及其方法 |
| CN114125083A (zh) * | 2021-11-24 | 2022-03-01 | 河南中裕广恒科技股份有限公司 | 工业网络分布式数据采集方法、装置、电子设备及介质 |
| CN114217591A (zh) * | 2021-12-16 | 2022-03-22 | 网御铁卫(北京)科技有限公司 | 一种关于工业控制系统网络行为自学习系统 |
| CN114422195A (zh) * | 2021-12-24 | 2022-04-29 | 杭州优稳自动化系统有限公司 | 适用于工控系统的伪控制指令识别与预警系统及方法 |
| CN114938300A (zh) * | 2022-05-17 | 2022-08-23 | 浙江木链物联网科技有限公司 | 基于设备行为分析的工控系统态势感知方法及其系统 |
| CN115348339A (zh) * | 2022-08-12 | 2022-11-15 | 北京威努特技术有限公司 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283047A1 (en) * | 2013-03-13 | 2014-09-18 | General Electric Company | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
| CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| CN106657163A (zh) * | 2017-03-02 | 2017-05-10 | 北京网藤科技有限公司 | 工业控制动态防御方法和系统 |
| CN106899601A (zh) * | 2017-03-10 | 2017-06-27 | 北京华清信安科技有限公司 | 基于云和本地平台的网络攻击防御装置和方法 |
| CN107302530A (zh) * | 2017-06-16 | 2017-10-27 | 北京天地和兴科技有限公司 | 一种基于白名单的工控系统攻击检测装置及其检测方法 |
-
2017
- 2017-12-28 CN CN201711460732.9A patent/CN108055282A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283047A1 (en) * | 2013-03-13 | 2014-09-18 | General Electric Company | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems |
| CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN105959144A (zh) * | 2016-06-02 | 2016-09-21 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| CN106657163A (zh) * | 2017-03-02 | 2017-05-10 | 北京网藤科技有限公司 | 工业控制动态防御方法和系统 |
| CN106899601A (zh) * | 2017-03-10 | 2017-06-27 | 北京华清信安科技有限公司 | 基于云和本地平台的网络攻击防御装置和方法 |
| CN107302530A (zh) * | 2017-06-16 | 2017-10-27 | 北京天地和兴科技有限公司 | 一种基于白名单的工控系统攻击检测装置及其检测方法 |
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108900538A (zh) * | 2018-08-09 | 2018-11-27 | 深圳市永达电子信息股份有限公司 | 一种工控信号检测方法和装置 |
| CN108900538B (zh) * | 2018-08-09 | 2021-03-23 | 深圳市永达电子信息股份有限公司 | 一种工控信号检测方法和装置 |
| CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
| CN109492994A (zh) * | 2018-10-29 | 2019-03-19 | 成都思维世纪科技有限责任公司 | 一种基于大数据的立体式全方位安全管理平台 |
| CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
| CN111277545A (zh) * | 2018-12-05 | 2020-06-12 | 陕西思科锐迪网络安全技术有限责任公司 | 一种监测西门子s7-plc控制器启停的方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN109459995A (zh) * | 2018-12-17 | 2019-03-12 | 国家计算机网络与信息安全管理中心 | 一种面向多种工业以太网协议的状态监测系统及监测方法 |
| CN109766694A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
| CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
| CN112350846B (zh) * | 2019-08-07 | 2024-01-09 | 浙江木链物联网科技有限公司 | 一种智能变电站的资产学习方法、装置、设备及存储介质 |
| CN112350846A (zh) * | 2019-08-07 | 2021-02-09 | 杭州木链物联网科技有限公司 | 一种智能变电站的资产学习方法、装置、设备及存储介质 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110891055B (zh) * | 2019-11-20 | 2020-12-25 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN111031062B (zh) * | 2019-12-24 | 2020-12-15 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| CN111031062A (zh) * | 2019-12-24 | 2020-04-17 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| CN111427307A (zh) * | 2020-04-22 | 2020-07-17 | 国网浙江省电力有限公司 | 一种工控异常检测方法、装置及设备 |
| CN111427307B (zh) * | 2020-04-22 | 2021-08-24 | 国网浙江省电力有限公司 | 一种工控异常检测方法、装置及设备 |
| CN111628994A (zh) * | 2020-05-26 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 一种工控环境的异常检测方法、系统及相关装置 |
| CN111786986A (zh) * | 2020-06-29 | 2020-10-16 | 华中科技大学 | 一种数控系统网络入侵防范系统及方法 |
| CN111786986B (zh) * | 2020-06-29 | 2021-08-27 | 华中科技大学 | 一种数控系统网络入侵防范系统及方法 |
| CN112437041A (zh) * | 2020-10-27 | 2021-03-02 | 北京珞安科技有限责任公司 | 一种基于人工智能的工控安全审计系统及方法 |
| CN112383514A (zh) * | 2020-10-28 | 2021-02-19 | 北京珞安科技有限责任公司 | 一种基于自学习白名单的工控异常行为分析方法及系统 |
| CN112383514B (zh) * | 2020-10-28 | 2023-02-24 | 北京珞安科技有限责任公司 | 一种基于自学习白名单的工控异常行为分析方法及系统 |
| CN112351035A (zh) * | 2020-11-06 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种工控安全态势感知方法、装置及介质 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112468488B (zh) * | 2020-11-25 | 2023-05-23 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN113037779A (zh) * | 2021-04-19 | 2021-06-25 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
| CN113037779B (zh) * | 2021-04-19 | 2022-02-11 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
| CN113285937A (zh) * | 2021-05-17 | 2021-08-20 | 国网山东省电力公司电力科学研究院 | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 |
| CN113408202A (zh) * | 2021-06-18 | 2021-09-17 | 国网湖南省电力有限公司 | 面向变电站核心工控业务的流量基线模型构造方法 |
| CN113408202B (zh) * | 2021-06-18 | 2022-04-08 | 国网湖南省电力有限公司 | 面向变电站核心工控业务的流量基线模型构造方法 |
| CN113645065A (zh) * | 2021-07-21 | 2021-11-12 | 武汉虹旭信息技术有限责任公司 | 基于工业互联网的工控安全审计系统及其方法 |
| CN113645065B (zh) * | 2021-07-21 | 2024-03-15 | 武汉虹旭信息技术有限责任公司 | 基于工业互联网的工控安全审计系统及其方法 |
| CN114125083A (zh) * | 2021-11-24 | 2022-03-01 | 河南中裕广恒科技股份有限公司 | 工业网络分布式数据采集方法、装置、电子设备及介质 |
| CN114217591A (zh) * | 2021-12-16 | 2022-03-22 | 网御铁卫(北京)科技有限公司 | 一种关于工业控制系统网络行为自学习系统 |
| CN114422195A (zh) * | 2021-12-24 | 2022-04-29 | 杭州优稳自动化系统有限公司 | 适用于工控系统的伪控制指令识别与预警系统及方法 |
| CN114938300A (zh) * | 2022-05-17 | 2022-08-23 | 浙江木链物联网科技有限公司 | 基于设备行为分析的工控系统态势感知方法及其系统 |
| CN115348339A (zh) * | 2022-08-12 | 2022-11-15 | 北京威努特技术有限公司 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
| CN115348339B (zh) * | 2022-08-12 | 2023-11-21 | 北京威努特技术有限公司 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108055282A (zh) | 基于自学习白名单的工控异常行为分析方法及系统 | |
| CN104753936B (zh) | Opc安全网关系统 | |
| KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
| CN103036886B (zh) | 工业控制网络安全防护方法 | |
| CN103633639B (zh) | 监视电力系统运行的方法和监视系统 | |
| CN108155719A (zh) | 用于配电监测的智能云采集系统及方法 | |
| CN106982235A (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 | |
| CN107241224A (zh) | 一种变电站的网络风险监测方法及系统 | |
| JP2017041886A (ja) | 産業制御システムにおけるサイバー攻撃の軽減のための方法 | |
| CN104779702B (zh) | 智能变电站二次设备状态数据告警展示方法 | |
| CN104468631A (zh) | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 | |
| CN207677507U (zh) | 用于配电监测的智能云采集系统 | |
| CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN112437041B (zh) | 一种基于人工智能的工控安全审计系统及方法 | |
| Dong et al. | Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM | |
| CN103036998A (zh) | 云计算中一种基于免疫原理的入侵检测系统 | |
| CN113392435A (zh) | 一种智能变电站usb接口安全管控系统及方法 | |
| CN110365717A (zh) | 基于hart-ip协议的工业入侵监测方法和系统 | |
| Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
| CN103905271B (zh) | 一种告警风暴抑制方法 | |
| CN101514923A (zh) | 高压开关柜在线温度测控系统 | |
| CN115550034A (zh) | 一种配网电力监控系统业务流量监测方法及装置 | |
| Meng et al. | Research and application based on network security monitoring platform and device | |
| CN115037536A (zh) | 基于大数据的安防信息管理用防数据丢失的预警平台 | |
| CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310014 Huadian Lane 1, Zhaohui eight district, Xiacheng District, Hangzhou, Zhejiang Applicant after: Power Science Research Institute of Zhejiang Electric Power Co., Ltd. Applicant after: State Grid Corporation of China Address before: 310014 Huadian Lane 1, Zhaohui eight district, Xiacheng District, Hangzhou, Zhejiang Applicant before: Power Science Research Institute of Zhejiang Electric Power Co., Ltd. Applicant before: State Grid Corporation of China |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180518 |
|
| RJ01 | Rejection of invention patent application after publication |