CN109076068A - 减少经由网络接入点对设备弱点的攻击可能性 - Google Patents
减少经由网络接入点对设备弱点的攻击可能性 Download PDFInfo
- Publication number
- CN109076068A CN109076068A CN201780020989.4A CN201780020989A CN109076068A CN 109076068 A CN109076068 A CN 109076068A CN 201780020989 A CN201780020989 A CN 201780020989A CN 109076068 A CN109076068 A CN 109076068A
- Authority
- CN
- China
- Prior art keywords
- equipment
- network
- access point
- configuration
- weakness
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提出了一种用于减少经由至网络的网络接入点对设备弱点的攻击可能性的方法,其中在第一步骤中分析设备的配置,其中在第二步骤中,在基于所分析的配置而识别到弱点的情况下,尤其是在该配置缺乏实时性的情况下,借助可选择的过滤规定通过网络接入过滤器来限制经由网络接入点的通信,以及其中,过滤规定在拓扑上被应用于网络接入点和设备的主要功能之间。提出了一种相应的设备和一种计算机程序产品。因此应用一种反向的网络准入控制原理。通过一种反向网络准入控制,在弱或可疑的非当前配置的情况下,现场设备本身限制其通信以减少攻击面。
Description
背景技术
工业环境(如自动化设施或控制设施)中的组件或设备通常具有较长的使用寿命。尤其是具有安全相关功能性(例如针对关键系统中的驱动控制的紧急停止的实施)的组件将受到保护免受来自例如因特网或移动无线电网络的连接开放网络的攻击。为此尤其是应检查与网络的连接是否存在潜在的弱点或攻击点。在识别到弱点或攻击点的情况下,实际上通常不可能确保及时纠正例如设备配置中的错误。特别地,配置可能已过时并需要更新。通常只能在为此设置的维护窗口中进行所谓的打补丁,即安装软件更新以修复识别到的弱点,使得设备长时间存在于过时的配置中。
已知所谓的网络准入控制或可信网络连接,其中客户端在网络登录时发送关于其配置的信息。例如缺少补丁或者病毒扫描程序不是最新或活动的经不安全配置的客户端可以从外部加以拒绝,即从网络侧加以拒绝,或仅与隔离网络连接。网络必须为此提供相应的功能性。
发明内容
本发明的一个任务是确保简化地保护设备和网络之间的网络连接。
该任务通过独立权利要求的特征解决。在从属权利要求中说明了有利的构造。
本发明涉及一种用于减少经由至网络的网络接入点对设备弱点的攻击可能性的方法,
其中,在第一步骤中分析设备的配置,
其中,在第二步骤中,在基于所分析的配置而识别到弱点的情况下,尤其是在该配置缺乏实时性的情况下,借助可选择的过滤规定通过网络接入过滤器来限制经由网络接入点的通信,以及
其中,过滤规定在拓扑上应用于网络接入点和设备的主要功能之间。
该设备的配置的特征例如在于加载于该设备的软件、配置或该设备的固件。软件状态、配置状态或固件状态的实时性尤其可能成为可能被IT攻击利用的弱点的线索,以例如操纵设备的安全关键的功能性。病毒扫描程序的存在或实时性也表征配置。因此,识别到的弱点也可能是例如缺少病毒扫描程序。
特别地,网络是开放网络,例如因特网或移动无线电网络。特别地,除了封闭的公司网络之外,该设备还使用开放网络。
例如,app管理器或设备管理器用于分析设备的配置。例如,与设备管理器可以访问的为设备设置的配置属性进行比较。如果该比较表明配置将被分类为关键或不安全,则选择过滤规定并借助网络接入过滤器应用该过滤规定。在此,过滤规定或过滤策略尤其可以防止敏感数据经由网络接入点与开放网络进行通信。同样地,可以阻止经由网络接入点将数据从网络传输到设备,例如控制命令从网络传输到设备。因此以有利的方式防止了基于网络的攻击。尤其是可以持续地阻止网络连接。然后例如通过管理员来断开连接。这种相对严格的策略可以有效地应用于特别关键的弱点。
特别地,过滤规定可以由app/设备管理器提供。例如,根据已知的弱点,为物联网现场设备提供与此匹配的过滤规定。如果无法达到app/设备管理器,则可以应用按照标准的过滤规定或针对不可达情况而设置的过滤规定。
例如,攻击或基于网络的攻击被理解为读取或操纵设备的敏感数据或确定用于设备的数据,或者尤其是理解为对安全机制的攻击,例如断开在设备上实施的安全机制。由此,例如将在现场设备上没有安全检验的情况下处理经由网络接入点从网络传送的数据,或者将处理经操纵的数据。特别地,错误传送的证书将不会被检查或将被检查而没有结果。于是如果设备基于错误或过时的配置而具有弱点,则攻击就很有希望。因此,首先应该保护具有弱点的设备的状态,或者应该在具有所分析的弱点的阶段中特别地屏蔽设备以免受到攻击。
在本申请的上下文中的弱点被理解为设备的以下状态,其潜在地经不住攻击,或者在该状态中人们出于预防特别想要保护设备以减少攻击面。在此尤其是假设即使存在弱点,攻击也可能是不成功的。
设备的主要功能被理解为要保护的功能,设备在其在设施内的角色中执行该功能。特别地,经由网络的攻击会影响主要功能,并且导致设备损坏或导致与其他设备的有害交互。主要功能可以由设备在设施内应当执行的多个功能组成。主要功能尤其可以是技术系统的控制功能或监视功能,经由致动器作用于该技术系统或该技术系统的当前状态通过传感器予以确定。
按照所描述的方法,例如在系统未打补丁的情况下限制功能性,尤其是发送或接收传感器值或控制命令的可能性。还以有利的方式同时防止了可以经由网络利用现有识别到的弱点。因此,应用一种反向网络准入控制原理。通过一种反向网络准入控制,在弱或可疑的非当前配置的情况下,现场设备本身限制其通信以减少攻击面。该方法可以以有利的方式在终端设备上实现,该终端设备例如是现场设备或物联网现场设备,而不必在网络侧满足任何特殊要求。因此尤其是对于物联网、工业因特网、实体物理系统或系统网络中应用的设备,可以使用简单的、易于改进的解决方案来减少对现场设备的基于网络的攻击。
因此,客户端自己识别自身配置中的弱点,并通过相应的过滤规定自己引入对网络接入的限制。过滤规定在此在拓扑上应用于设备的主要功能和网络接入点之间,即在客户端侧。网络的作用方式保持不变,即在服务器侧不必监视现场设备,也不必阻止数据连接和过滤数据。
按照一种构造,设备向网络认证自身,尤其是经由网络接入控制方法。在此,有利地可以执行按照标准IEEE802.1X的方法。
按照一个扩展,该设备向云服务来认证自身,尤其是借助使用数字设备证书的TLS方法。按照有利的方式,使用传输层安全方法,以例如构建基于web的安全连接。
按照一种构造,过滤规定可从多个过滤规定中加以选择。特别地,根据识别到的弱点可以应用不同的过滤器。特别地,受限通信的范围取决于识别到的弱点的严重程度。例如,当弱点的影响是已知的,则仅限制网络连接的确定部分,同样,当识别到的弱点的影响仍然未知或不可预测,则例如完全阻止。
按照一种构造,网络接入过滤器按照固定或可变的分配规定激活过滤规定之一。特别地,可以应用可选择的过滤规定中的多个过滤规定。
按照一种构造,根据所选择的过滤规定来匹配设备的其他安全规则。例如,可以根据所选择的过滤策略停用现场设备上的网络服务。例如,可以匹配用于如SELinux,SMACK或AppArmor的强制接入控制系统的规则。
本发明还涉及一种用于防止经由至网络的网络接入点对设备弱点的攻击的接入装置,包括:
-用于分析配置的组件,
-网络接入过滤器,用于在基于所分析的配置而识别到弱点的情况下借助过滤规定来限制经由网络接入点的通信,
-其中,网络接入过滤器在拓扑上设置在网络接入点和设备的主要功能之间。
组件和网络接入过滤器可以用软件、硬件或软件和硬件的组合来实现和执行。因此,通过这些单元实现的步骤可以作为程序代码存储在存储介质上,尤其是硬盘、CD-ROM或存储器模块上,其中程序代码的各个指令由包括处理器的至少一个计算单元读取和处理。
按照一种构造,接入装置的网络接入过滤器被集成到设备中。按照一种构造,组件被集成到设备中。因此,可以以有利的方式在现场设备上实现接入装置。
按照一种构造,网络接入过滤器与设备分开地构造。按照一种构造,组件与设备分开地构造。因此,例如可以将接入装置作为至设备的串联组件来设置。因此,串联组件在拓扑上布置在设备和网络之间。
按照一个扩展,组件具有至设备的本地接口或网络接口或至设备的虚拟复制的通信接口。
本发明还涉及一种计算机程序产品,具有计算机程序,该计算机程序具有用于在程序控制的装置上执行该计算机程序时执行上述方法的部件。
计算机程序产品,例如计算机程序部件,例如可以作为存储介质(例如存储卡、USB棒、CD-ROM、DVD)或者还以可从网络中的服务器下载的文件形式予以提供或交付。例如,这可以通过用计算机程序产品或计算机程序部件传输相应的文件在无线通信网络中进行。作为程序控制的装置,尤其是考虑控制装置,例如用于智能卡等的微处理器。
附图说明
下面根据实施例借助附图更详细地解释本发明。
图1示出了按照本发明第一实施例的集成在现场设备中的接入装置的示意图;
图2示出了按照本发明第二实施例的与现场设备分开的接入装置的示意图;
图3示出了按照本发明另一实施例的用于减少经由网络接入点对设备弱点的攻击可能性的方法的流程图。
在附图中,除非另有说明,否则功能相同的元件具有相同的附图标记。
具体实施方式
在图1中示意性地示出了在物联网环境或IoT环境中按照本发明的第一实施例的本发明的实现。在此设置IoT现场设备100,其具有作为主要功能103的驱动控制。主要功能103经由因特网与云服务—IoT数据管理平台301通信。例如,通过现场设备从云服务请求数据,所述数据通过主要功能103处理以便优化驱动控制。现场设备100一方面经由网络接入控制方法(简称NAC,例如按照标准802.1X)向网络认证自身,并且还例如按照传输层安全协议—TLS协议和TLS客户端认证或使用数字设备证书向云服务认证自身。现场设备100和网络300之间的通信经由网络接口10或所谓的Network Interface(网络接口)进行。
按照本发明的第一实施例,现场设备100具有网络接入过滤器101,其具有多个分配的过滤规定1,2,3或过滤规则或所谓的过滤策略。向网络接入过滤器101或NetworkAccess Filter(网络接入过滤器)分配用于分析现场设备100的配置的组件102。对配置的分析在此包括例如软件配置和固件配置的检验。特别地,监视配置的实时性。一旦识别到例如尚未安装最新更新,则根据选择策略9配置网络接入过滤器101来激活过滤规则1,2,3之一。选择策略9在此可以设定针对不同分析结果统一的待激活过滤规则。特别地,取决于识别到的配置状态,通过选择策略9建议并激活特殊的过滤规定。
在该实现中,提供了接入装置200,其包括现场设备100以及网络接入过滤器101,并因此提供用于通过现场设备本身限制网络连接的集成解决方案。因此,客户端自己识别自身配置中的弱点并通过相应的过滤规定自己引入对网络接入的限制。过滤规定在此在拓扑上应用于设备100的主要功能103和网络接入点10之间,即在客户端侧。网络的作用方式保持不变,即在服务器侧不必监视现场设备,也不必阻止数据连接或过滤数据。
在图2中示意性地解释第二实施例。与第一实施例不同,这里网络接入过滤器101与设备100分开地构造。接入装置200包括网络接入过滤器101和用于分析设备100的配置的组件102。两者都在现场设备100的外部设置。在该示例中,在接入装置200上设置到网络300的网络接入点10。在这个网络接入点10和现场设备100的主要功能103之间再次应用所选择的过滤规定1,2,3,即在客户端侧。
接入装置200,尤其是用于分析配置的组件102,可以以不同方式确定现场设备100的当前配置状态。例如,使用单独的本地接口,例如服务接口,尤其是RS232、SPI、I2C或USB。替换地,可以使用现场设备100的网络接口10b,该网络接口不直接通向网络300,而是首先通向接入装置200的接口10a。例如,在IoT现场设备100上使用OPC UA服务器或HTTP/CoAP服务器或SNMP服务器。
在另一变型中,现场设备100与app管理器或设备管理器302的通信被监听。如果在预定的时间段期间不能确定现场设备与app或设备管理器302的通信,则总是识别到弱点。间接地,由此得出结论:配置不够新并且可能具有弱点。在现场设备100已经联系到app管理器或设备管理器302之后,得出结论是配置是当前的并且因此不存在弱点。结果,例如释放按照标准的受限通信,尤其是在可设定的时间段期间。替换地,也可以由分配给现场设备100的虚拟复制或虚拟双胞胎或数字双胞胎来查询现场设备的当前配置。
将根据图3中的流程图解释按照本发明另一实施例的用于减少对设备弱点的攻击可能性的方法。在步骤S01中开始该过程。在步骤S02中应用过滤规定,该过滤规定以默认的方式被应用于其中检查设备的弱点的阶段。此初始过滤规定仅允许检验软件配置或固件配置的实时性。为此与物联网网络的app/设备管理器通信。这发生在步骤S1中。根据在步骤S11中确定的分析结果,或者在非当前配置的情况n下在步骤S2中激活受限过滤规定,或者在按规定配置的情况y下,在步骤S2a中激活常规过滤规定操作。在现场设备连续运行时,该方法可以重复执行。特别地,在等待阶段S3之后,重新检查S1配置。
尽管已经通过实施例进一步详细说明和描述了本发明,但是本发明不限于所公开的示例,并且本领域技术人员可以在不脱离本发明的保护范围的情况下从中导出其他变型。
Claims (13)
1.一种用于减少经由至网络(300)的网络接入点(10)对设备(100)的弱点的攻击可能性的方法,
其中,在第一步骤(S1)中,分析所述设备(100)的配置,
其中,第二步骤(S2)中,在基于所分析的配置而识别到弱点的情况下,尤其是在所述配置缺乏实时性的情况下,通过网络接入过滤器(101)借助可选择的过滤规定(1)限制经由所述网络接入点(10)的通信,以及
其中,所述过滤规定(1)在拓扑上被应用在所述网络接入点(10)和所述设备(100)的主要功能之间。
2.根据权利要求1所述的方法,其中,所述设备(100)向所述网络(300)认证自身,尤其是经由网络接入控制方法。
3.根据权利要求1或2所述的方法,其中,所述设备(100)向云服务认证自身,尤其是借助使用数字设备证书的TLS方法。
4.根据前述权利要求中任一项所述的方法,其中,能够从多个过滤规定(1,2,3)中选择所述过滤规定(1)。
5.根据权利要求4所述的方法,其中,所述网络接入过滤器(10)按照固定或可变的分配规定来激活所述过滤规定(1,2,3)之一。
6.根据前述权利要求中任一项所述的方法,其中,根据所选择的过滤规定(1,2,3)进一步匹配所述设备的其他安全规则。
7.一种用于防止经由至网络(300)的网络接入点(10)对设备(100)的弱点进行攻击的接入装置(200),包括:
用于分析配置的组件(102),
网络接入过滤器(101),用于在基于所分析的配置识别出弱点的情况下,借助过滤规定(1)限制经由所述网络接入点(10)的通信,
其中,所述网络接入过滤器(101)在拓扑上被设置在所述网络接入点(10)和所述设备(100)的主要功能之间。
8.根据权利要求7所述的接入装置(200),其中,所述网络接入过滤器(101)被集成在所述设备(100)中。
9.根据权利要求7或8所述的接入装置(200),其中,所述组件(102)被集成在所述设备(100)中。
10.根据权利要求7所述的接入装置(200),其中,所述网络接入过滤器(101)与所述设备(100)分开地构造。
11.根据权利要求7,8或10所述的接入装置(200),其中,所述组件(102)与所述设备(100)分开地构造。
12.根据权利要求7至11中任一项所述的接入装置(200),其中,所述组件(102)具有到所述设备(100)的本地接口或网络接口,或者到所述设备(100)的虚拟复制的通信接口。
13.一种计算机程序产品,具有计算机程序,该计算机程序具有用于在程序控制的装置上执行所述计算机程序时执行权利要求1至6中任一项所述的方法的部件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016205321.3 | 2016-03-31 | ||
| DE102016205321.3A DE102016205321A1 (de) | 2016-03-31 | 2016-03-31 | Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle |
| PCT/EP2017/053107 WO2017167490A1 (de) | 2016-03-31 | 2017-02-13 | Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109076068A true CN109076068A (zh) | 2018-12-21 |
Family
ID=58094395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780020989.4A Pending CN109076068A (zh) | 2016-03-31 | 2017-02-13 | 减少经由网络接入点对设备弱点的攻击可能性 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20190098038A1 (zh) |
| EP (1) | EP3417589A1 (zh) |
| CN (1) | CN109076068A (zh) |
| DE (1) | DE102016205321A1 (zh) |
| WO (1) | WO2017167490A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114600424A (zh) * | 2019-10-23 | 2022-06-07 | 西门子股份公司 | 用于过滤数据流量的安全系统和方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019116120A1 (de) * | 2019-06-13 | 2020-12-17 | Endress+Hauser Process Solutions Ag | Verfahren zum Bereitstellen eines digitalen Zwillings für ein nicht digitales Feldgerät der Automatisierungstechnik |
| CN114556238A (zh) * | 2019-08-21 | 2022-05-27 | 西门子股份公司 | 用于在云计算环境中生成资产信息的数字表示的方法和系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080235801A1 (en) * | 2007-03-20 | 2008-09-25 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
| KR20120128445A (ko) * | 2011-05-17 | 2012-11-27 | (주) 토리랩 | 분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법 |
| CN103329119A (zh) * | 2010-09-28 | 2013-09-25 | 海德沃特合作I有限公司 | 用于装置辅助服务的服务设计中心 |
| US20140090069A1 (en) * | 2012-09-25 | 2014-03-27 | International Business Machines Corporation | Training classifiers for program analysis |
| CN103944869A (zh) * | 2013-01-21 | 2014-07-23 | 联想(新加坡)私人有限公司 | 云端唤醒 |
| US20150229651A1 (en) * | 2005-12-21 | 2015-08-13 | Fiberlink Communications Corporation | Methods and systems for controlling access to computing resources based on known security vulnerabilities |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7010603B2 (en) * | 1998-08-17 | 2006-03-07 | Openwave Systems Inc. | Method and apparatus for controlling network connections based on destination locations |
| EP2820793B1 (en) * | 2012-02-29 | 2018-07-04 | BlackBerry Limited | Method of operating a computing device, computing device and computer program |
| US9485262B1 (en) * | 2014-03-28 | 2016-11-01 | Juniper Networks, Inc. | Detecting past intrusions and attacks based on historical network traffic information |
-
2016
- 2016-03-31 DE DE102016205321.3A patent/DE102016205321A1/de not_active Withdrawn
-
2017
- 2017-02-13 CN CN201780020989.4A patent/CN109076068A/zh active Pending
- 2017-02-13 WO PCT/EP2017/053107 patent/WO2017167490A1/de active Application Filing
- 2017-02-13 US US16/087,812 patent/US20190098038A1/en not_active Abandoned
- 2017-02-13 EP EP17706174.4A patent/EP3417589A1/de not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150229651A1 (en) * | 2005-12-21 | 2015-08-13 | Fiberlink Communications Corporation | Methods and systems for controlling access to computing resources based on known security vulnerabilities |
| US20080235801A1 (en) * | 2007-03-20 | 2008-09-25 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
| CN103329119A (zh) * | 2010-09-28 | 2013-09-25 | 海德沃特合作I有限公司 | 用于装置辅助服务的服务设计中心 |
| KR20120128445A (ko) * | 2011-05-17 | 2012-11-27 | (주) 토리랩 | 분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법 |
| US20140090069A1 (en) * | 2012-09-25 | 2014-03-27 | International Business Machines Corporation | Training classifiers for program analysis |
| CN103944869A (zh) * | 2013-01-21 | 2014-07-23 | 联想(新加坡)私人有限公司 | 云端唤醒 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114600424A (zh) * | 2019-10-23 | 2022-06-07 | 西门子股份公司 | 用于过滤数据流量的安全系统和方法 |
| CN114600424B (zh) * | 2019-10-23 | 2023-06-02 | 西门子交通有限责任公司 | 用于过滤数据流量的安全系统、方法和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017167490A1 (de) | 2017-10-05 |
| EP3417589A1 (de) | 2018-12-26 |
| DE102016205321A1 (de) | 2017-10-05 |
| US20190098038A1 (en) | 2019-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11888890B2 (en) | Cloud management of connectivity for edge networking devices | |
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| US10931635B2 (en) | Host behavior and network analytics based automotive secure gateway | |
| US11283810B2 (en) | Communication control method and communication control device for substituting security function of communication device | |
| US11848947B2 (en) | System and method for providing security to in-vehicle network | |
| EP3486824B1 (en) | Determine malware using firmware | |
| US7886065B1 (en) | Detecting reboot events to enable NAC reassessment | |
| CN106797375B (zh) | 恶意软件代理的行为检测 | |
| Firoozjaei et al. | An evaluation framework for industrial control system cyber incidents | |
| EP3136281B1 (en) | Computer pre-boot security verification, enforcement, and remediation | |
| CN109076068A (zh) | 减少经由网络接入点对设备弱点的攻击可能性 | |
| KR20180107789A (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
| WO2017021683A1 (en) | Controlling configuration data storage | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| CN110162978A (zh) | 一种终端安全风险评估管理方法、装置及系统 | |
| US12063236B2 (en) | Information processing apparatus, log analysis method and program | |
| KR102408247B1 (ko) | 의료기기 네트워크 보안 장치 및 방법 | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| GB2540965A (en) | Secure configuration data storage | |
| US12028361B2 (en) | Intelligent detection and prevention of anomalies in interface protocols | |
| CN102164136B (zh) | 安全管理方法、认证客户端、服务器及安全管理系统 | |
| CN111314307A (zh) | 物联网系统的安全防御方法、物联网系统及存储介质 | |
| KR102447980B1 (ko) | 이중 네트워크 구조를 갖는 차량 및 그의 운용 방법 | |
| US20240236139A1 (en) | Vehicle security analysis apparatus, method, and program storage medium | |
| US20210400084A1 (en) | Network device compliance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181221 |