CN108712425A - 一种面向工业控制系统网络安全威胁事件的分析监管方法 - Google Patents
一种面向工业控制系统网络安全威胁事件的分析监管方法 Download PDFInfo
- Publication number
- CN108712425A CN108712425A CN201810486468.4A CN201810486468A CN108712425A CN 108712425 A CN108712425 A CN 108712425A CN 201810486468 A CN201810486468 A CN 201810486468A CN 108712425 A CN108712425 A CN 108712425A
- Authority
- CN
- China
- Prior art keywords
- network security
- network
- control system
- industrial control
- abnormal behaviour
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工业控制系统面向网络安全威胁事件的分析监管方法,包括步骤:步骤一,对工业控制系统的网络安全异常行为进行监测,得到存在网络安全异常行为的监测对象;步骤二,对存在网络安全异常行为的监测对象的后续网络安全事件进行监测;步骤三,基于业务行为序列规则库对网络安全异常行为进行分析,当分析发现存在与业务行为序列不符的安全事件时,对网络安全异常行为进行阻断。本发明可以将离散的安全事件进行关联形成安全攻击序列,并能将安全攻击行为进行网络隔绝,防止网络攻击行为扩散。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种面向工业控制系统网络安全威胁事件的分析监管方法。
背景技术
目前的网络安全监测技术已能够基于诸如U盘的插拔、连接外部网络、用户多次登录失败等网络安全事件规则对各类离散的安全事件进行监测,但各自独立的安全事件是否确实是网络安全攻击行为,是否会对系统产生影响尚还缺乏一定的技术手段进行定位,尤其是在大型的工业控制系统中可能涉及上万台工业控制设备,如果仅仅是针对各类离散的安全事件进行排查,网络安全运维人员往往难以有精力去一一解决,在此情况下就可能忽视掉真正有威胁的安全事件。如何将各类安全事件进行关联、分析,形成有用的信息,为网络安全运维人员提供决策支撑,及时发现真正的网络安全攻击行为需要进一步研究。
工业控制系统网络相对比较封闭、运行状态相对比较稳定,正常情况下,工业控制系统不会与外部的网络进行数据交互,且一般不会通过内部操作改变工业控制系统的运行状态,而病毒主要通过U盘拷贝或通过运维笔记本等方式引入到工业控制系统网络,因此一旦出现外部网络访问、内部访问、外设接入、外部设备接入等行为,那么有可能会对工业控制系统的可靠、运行产生安全影响,因此考虑将上述四种行为作为网络安全监视的起点,将涉及的相关工控设备的后续离散的安全事件进行关联,并基于网络攻击序列进行分析,及时发现网络安全攻击行为。
发明内容
为解决现有技术中的不足,本发明提供一种面向工业控制系统网络安全威胁事件的分析监管方法,将涉及的相关工控设备的后续离散的安全事件进行关联,并基于网络攻击序列进行分析,及时发现网络安全攻击行为。
为了实现上述目标,本发明采用如下技术方案:一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于,包括步骤:
步骤一,对工业控制系统的网络安全异常行为进行监测,得到存在网络安全异常行为的监测对象;
步骤二,对存在网络安全异常行为的监测对象的后续网络安全事件进行监测;
步骤三,基于业务行为序列规则库对网络安全异常行为进行分析,当分析发现存在与业务行为序列不符的安全事件时,对网络安全异常行为进行阻断。
前述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述监测对象包括安全设备、网络设备、主机设备。
前述的一种向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述网络安全异常行为包括外部网络访问行为、内网访问、外设接入、外部网络设备接入行为。
前述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述网络安全事件包括非法外联、登录操作、拷入文件、启用主机上的进程、执行kill进程、rm文件的非法操作、将文件的权限更改为可读、写及运行等改变文件权限行为、删除数据库表、开启主机的ftp、telnet、默认共享服务端口、改变交换机的网络访问策略、改变防火墙安全设备的网络安全策略。
前述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述业务行为序列规则库生成过程为:基于工业控制系统在业务长期运行过程中积累的系统行为,按照时间顺序排列。
前述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述基于业务行为序列库规则对网络安全异常行为进行分析,包括步骤:
1)对信息采集程序采集的信息进行去重、清洗、分类、格式化预处理;
2)通过syslog、snmp协议以及采集程序发送的采集信息中包含了四大类异常行为的标签,基于该标签识别出网络安全异常行为;
3)如果网络安全异常行为涉及的主机后续继续发生安全事件,基于业务行为序列规则库进行威胁分析;如果分析结果没有威胁且该行为序列结束,则终止对该行为的监视与分析;如果尚未识别到威胁,且该行为序列尚未结束,则继续对安全事件进行监视;
4)识别出该行为序列可能的威胁后,根据涉及设备类型,对识别出的网络安全异常行为进行阻断。
前述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述对网络安全异常行为进行阻断方式包括:
针对网络设备,通过snmp方式下发关闭外部网络设备所接的交换机、路由器端口;
针对安全设备,使用安全设备厂商支持的协议下发访问控制策略阻断网络访问行为;
针对主机设备,通过部署在主机设备上的agent软件作为代理断开登录连接,临时禁用可疑帐号登录、禁用USB接口、禁用网络功能等指令到主机上的安全监测程序进行执行代理。
本发明所达到的有益效果:本发明梳理出针对工业控制系统的典型攻击场景,将各类离散的工业控制系统网络安全事件进行归纳,基于工业控制系统业务行为序列库进而分析出不符合业务行为的安全攻击事件,能够将各自独立的网络安全攻击事件串联起来,并能够有效的将误操作行为剥离出网络安全攻击范畴,为网络安全运维人员定位攻击行为提供有效的技术支撑手段。
附图说明
图1为本发明分析监管方法流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种面向工业控制系统网络安全威胁事件的分析监管方法,包括以下步骤:
步骤一,对工业控制系统的网络安全异常行为进行监测,得到存在网络安全异常行为的监测对象;
步骤二,对存在网络安全异常行为的监测对象的后续网络安全事件进行监测;
步骤三,基于业务行为序列规则对网络安全异常行为进行分析,当分析发现出存在与业务行为序列不符的安全事件时,对网络安全异常行为进行阻断。
所述步骤一,监测对象包括安全设备、网络设备、主机设备。
安全设备包括防火墙、网闸隔离装置、VPN加密装置、入侵检测装置,通过标准syslog协议采集安全设备系统运行日志,和网络链路访问信息等。
网络设备主要包括工业交换机、路由器,通过syslog协议、流量分析方式采集网络链路信息,通过snmp(简单网络管理)方式获取交换机发生的安全事件,安全事件包括用户及口令变更、用户登录和操作、网口状态变更、设备在线状态、网络丢包率、非法MAC接入、非法端口被打开、接入设备IP地址冲突、网络设备IP地址冲突、接入设备MAC地址冲突、网络设备MAC地址冲突、设备硬件故障等。
主机设备包括服务器、网关机、工作站。通过在主机内安装信息采集程序实现主机信息的采集。信息采集程序采集的信息主要包括用户登录主机信息、用户操作命令及回显信息、移动存储设备或手机等通过USB接口插拔事件信息、光驱加载信息等。信息采集程序支持Linux、Unix、Windows等工业控制系统内主机设备常用的操作系统。
所述网络安全异常行为包括外部网络访问行为、内网访问、外设接入、外部网络设备接入行为。所述外部网络访问行为是通过外部网络访问内部专用网络的行为;所述内部访问是通过内网网络远程登录至主机设备、通过远程图形用户界面方式登录主机设备、通过本地图形化方式登录主机设备;所述外设接入是移动存储介质、手机、无线网卡、光盘等接入服务器、台式机、笔记本行为;所述外部网络设备接入是外部的网络设备接入内部交换机、路由器、集线器、网桥、网关、无线接入点的行为。
所述步骤二,网络安全事件包括非法外联、登录操作、拷入文件、启用主机上的进程、执行kill(杀死)进程、rm(删除)文件的非法操作、将文件的权限更改为可读、写及运行等改变文件权限行为、删除数据库表、开启主机的ftp(文件传输协议)、telnet(远程终端协议)、默认共享服务端口、改变交换机的网络访问策略、改变防火墙等安全设备的网络安全策略等。
通过将工控网络安全异常行为归集为外部网络访问、内部访问、外设接入、外部网络设备接入四大类。基于工业控制系统在业务长期运行过程中积累的系统行为,按照时间顺序排列,可生成业务行为序列规则库。通过对网络安全异常行为和该异常行为发生后的后续网络安全事件进行关联,并在业务行为序列规则库中过滤,分析出不符合规则的一系列操作,实现对网络安全攻击行为的定位及溯源。
步骤三中,所述基于业务行为序列规则库对四大类网络安全异常行为与网络安全事件的关联结果进行分析,包括步骤:
1)对信息采集程序采集的信息进行去重、清洗、分类、格式化预处理;
2)通过syslog、snmp协议以及采集程序发送的采集信息中包含了四大类异常行为的标签,基于该标签识别出网络安全异常行为;
3)如果网络安全异常行为涉及的主机后续继续发生安全事件,基于业务行为序列规则库进行威胁分析;如果分析结果没有威胁且该行为序列结束,则终止对该行为的监视与分析;如果尚未识别到威胁,且该行为序列尚未结束,则继续对安全事件进行监视;
4)识别出该行为序列可能的威胁后,根据涉及设备类型,对识别出的网络安全异常行为进行阻断。
根据不同的业务场景可以自定义业务行为序列规则库。对于不同的监测对象,采用不同的方式进行阻断。针对网络设备,通过snmp方式下发关闭外部网络设备所接的交换机、路由器端口;针对安全设备,使用安全设备厂商支持的协议下发访问控制策略阻断网络访问行为;对于主机设备,通过部署在主机设备上的agent软件作为代理断开登录连接,临时禁用可疑帐号登录、禁用USB接口、禁用网络功能等指令到主机上的安全监测程序进行执行代理。
本发明梳理出针对工业控制系统的典型攻击场景,将各类离散的工业控制系统网络安全事件进行归纳,基于工业控制系统业务行为序列规则库进而分析出不符合业务行为的安全攻击事件,能够有效的将误操作行为剥离出网络安全攻击范畴,为网络安全运维人员定位安全攻击提供了有效的技术手段。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (7)
1.一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于,包括步骤:
步骤一,对工业控制系统的网络安全异常行为进行监测,得到存在网络安全异常行为的监测对象;
步骤二,对存在网络安全异常行为的监测对象的后续网络安全事件进行监测;
步骤三,基于业务行为序列规则库对网络安全异常行为进行分析,当分析发现存在与业务行为序列不符的安全事件时,对网络安全异常行为进行阻断。
2.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述监测对象包括安全设备、网络设备、主机设备。
3.如权利要求1所述的一种向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述网络安全异常行为包括外部网络访问行为、内网访问、外设接入、外部网络设备接入行为。
4.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述网络安全事件包括非法外联、登录操作、拷入文件、启用主机上的进程、执行kill进程、rm文件的非法操作、将文件的权限更改为可读、写及运行等改变文件权限行为、删除数据库表、开启主机的ftp、telnet、默认共享服务端口、改变交换机的网络访问策略、改变防火墙安全设备的网络安全策略。
5.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述业务行为序列规则库生成过程为:基于工业控制系统在业务长期运行过程中积累的系统行为,按照时间顺序排列。
6.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述基于业务行为序列库规则对网络安全异常行为进行分析,包括步骤:
1)对信息采集程序采集的信息进行去重、清洗、分类、格式化预处理;
2)通过syslog、snmp协议以及采集程序发送的采集信息中包含了四大类异常行为的标签,基于该标签识别出网络安全异常行为;
3)如果网络安全异常行为涉及的主机后续继续发生安全事件,基于业务行为序列规则库进行威胁分析;如果分析结果没有威胁且该行为序列结束,则终止对该行为的监视与分析;如果尚未识别到威胁,且该行为序列尚未结束,则继续对安全事件进行监视;
4)识别出该行为序列可能的威胁后,根据涉及设备类型,对识别出的网络安全异常行为进行阻断。
7.如权利要求1所述的一种面向工业控制系统网络安全威胁事件的分析监管方法,其特征在于:所述对网络安全异常行为进行阻断方式包括:
针对网络设备,通过snmp方式下发关闭外部网络设备所接的交换机、路由器端口;
针对安全设备,使用安全设备厂商支持的协议下发访问控制策略阻断网络访问行为;
针对主机设备,通过部署在主机设备上的agent软件作为代理断开登录连接,临时禁用可疑帐号登录、禁用USB接口、禁用网络功能等指令到主机上的安全监测程序进行执行代理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810486468.4A CN108712425A (zh) | 2018-05-21 | 2018-05-21 | 一种面向工业控制系统网络安全威胁事件的分析监管方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810486468.4A CN108712425A (zh) | 2018-05-21 | 2018-05-21 | 一种面向工业控制系统网络安全威胁事件的分析监管方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108712425A true CN108712425A (zh) | 2018-10-26 |
Family
ID=63868243
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810486468.4A Pending CN108712425A (zh) | 2018-05-21 | 2018-05-21 | 一种面向工业控制系统网络安全威胁事件的分析监管方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108712425A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474586A (zh) * | 2018-10-31 | 2019-03-15 | 施勇 | 一种基于用户行为分析的高级持续性威胁分析方法 |
| CN109474620A (zh) * | 2018-12-17 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 快速保护互联网安全事件现场的方法、装置及电子设备 |
| CN109672663A (zh) * | 2018-11-09 | 2019-04-23 | 杭州安恒信息技术股份有限公司 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
| CN111107108A (zh) * | 2020-01-02 | 2020-05-05 | 南京联成科技发展股份有限公司 | 一种工业控制系统网络安全分析的方法 |
| CN111176202A (zh) * | 2019-12-31 | 2020-05-19 | 成都烽创科技有限公司 | 工业控制网络的安全管理方法、装置、终端设备及介质 |
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务系统访问方法、装置、系统及介质 |
| CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
| CN113191917A (zh) * | 2021-03-09 | 2021-07-30 | 中国大唐集团科学技术研究院有限公司 | 一种基于径向基函数算法的电厂工控系统网络安全威胁分类方法 |
| CN114826873A (zh) * | 2022-04-25 | 2022-07-29 | 国网宁夏电力有限公司吴忠供电公司 | 降低网络安全监测装置资产告警率的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| JP6025673B2 (ja) * | 2013-07-30 | 2016-11-16 | 株式会社日立製作所 | 監視システム及び方法、キャプチャ装置 |
| CN106713341A (zh) * | 2017-01-04 | 2017-05-24 | 成都四方伟业软件股份有限公司 | 一种基于大数据的网络安全预警方法与系统 |
| CN107493265A (zh) * | 2017-07-24 | 2017-12-19 | 南京南瑞集团公司 | 一种面向工业控制系统的网络安全监控方法 |
-
2018
- 2018-05-21 CN CN201810486468.4A patent/CN108712425A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| JP6025673B2 (ja) * | 2013-07-30 | 2016-11-16 | 株式会社日立製作所 | 監視システム及び方法、キャプチャ装置 |
| CN106713341A (zh) * | 2017-01-04 | 2017-05-24 | 成都四方伟业软件股份有限公司 | 一种基于大数据的网络安全预警方法与系统 |
| CN107493265A (zh) * | 2017-07-24 | 2017-12-19 | 南京南瑞集团公司 | 一种面向工业控制系统的网络安全监控方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474586A (zh) * | 2018-10-31 | 2019-03-15 | 施勇 | 一种基于用户行为分析的高级持续性威胁分析方法 |
| CN109672663A (zh) * | 2018-11-09 | 2019-04-23 | 杭州安恒信息技术股份有限公司 | 一种安全威胁事件的闭环式网络安全监管方法及系统 |
| CN109474620A (zh) * | 2018-12-17 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 快速保护互联网安全事件现场的方法、装置及电子设备 |
| CN111176202A (zh) * | 2019-12-31 | 2020-05-19 | 成都烽创科技有限公司 | 工业控制网络的安全管理方法、装置、终端设备及介质 |
| CN111107108A (zh) * | 2020-01-02 | 2020-05-05 | 南京联成科技发展股份有限公司 | 一种工业控制系统网络安全分析的方法 |
| CN111510453A (zh) * | 2020-04-15 | 2020-08-07 | 深信服科技股份有限公司 | 业务系统访问方法、装置、系统及介质 |
| CN111510453B (zh) * | 2020-04-15 | 2023-02-03 | 深信服科技股份有限公司 | 业务系统访问方法、装置、系统及介质 |
| CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
| CN113191917A (zh) * | 2021-03-09 | 2021-07-30 | 中国大唐集团科学技术研究院有限公司 | 一种基于径向基函数算法的电厂工控系统网络安全威胁分类方法 |
| CN114826873A (zh) * | 2022-04-25 | 2022-07-29 | 国网宁夏电力有限公司吴忠供电公司 | 降低网络安全监测装置资产告警率的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108712425A (zh) | 一种面向工业控制系统网络安全威胁事件的分析监管方法 | |
| CN107493265B (zh) | 一种面向工业控制系统的网络安全监控方法 | |
| JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
| Premaratne et al. | An intrusion detection system for IEC61850 automated substations | |
| Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
| CN107733878B (zh) | 一种工业控制系统的安全防护装置 | |
| CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
| Wattanapongsakorn et al. | A practical network-based intrusion detection and prevention system | |
| CN111885067A (zh) | 一种面向流量的集成式蜜罐威胁数据捕获方法 | |
| Lahre et al. | Analyze different approaches for ids using kdd 99 data set | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN115314286A (zh) | 一种安全保障系统 | |
| Song et al. | Cooperation of intelligent honeypots to detect unknown malicious codes | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Kazienko et al. | Intrusion detection systems (IDS) Part 2-Classification; methods; techniques | |
| CN116781380A (zh) | 一种校园网安全风险终端拦截溯源系统 | |
| KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 | |
| Chamiekara et al. | Autosoc: A low budget flexible security operations platform for enterprises and organizations | |
| TWI279106B (en) | Method for analyzing abnormal network behavior and automatically blocking computer virus invasion | |
| Mallissery et al. | Survey on intrusion detection methods | |
| Ali et al. | Intrusion detection and prevention against cyber attacks for an energy management system | |
| Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
| Singh et al. | A review on intrusion detection system | |
| CN113191917B (zh) | 一种基于径向基函数算法的电厂工控系统网络安全威胁分类方法 | |
| Anand et al. | Network intrusion detection and prevention |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181026 |
|
| RJ01 | Rejection of invention patent application after publication |