CN109167796A - 一种基于工业scada系统的深度包检测平台 - Google Patents
一种基于工业scada系统的深度包检测平台 Download PDFInfo
- Publication number
- CN109167796A CN109167796A CN201811163446.0A CN201811163446A CN109167796A CN 109167796 A CN109167796 A CN 109167796A CN 201811163446 A CN201811163446 A CN 201811163446A CN 109167796 A CN109167796 A CN 109167796A
- Authority
- CN
- China
- Prior art keywords
- field
- deep
- information
- module
- scada system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
本发明公开了一种基于工业SCADA系统的深度包检测平台,该检测平台能够针对电力系统常用的Modbus/Tcp和IEC 60870‑5‑104协议环境对系统状态进行检测。该检测平台包括四部分:工业SCADA系统仿真平台、深度包解析模块、异常检测模块、入侵模块。该检测平台基于SCADA系统中周期轮询的典型交互模式,模拟电力系统中的正常网络数据流,并通过协议脆弱性分析和报文变异实现对系统异常状态及相应网络数据流的全面模拟。对报文字段信息进行特征分析和提取,通过机器学习的方法构建系统状态模型,实现对系统状态完整、深入的检测。
Description
技术领域
本发明涉及工业控制系统领域,尤其涉及一种对工业SCADA系统通讯环境中的协议解析和异常检测,基于协议格式及脆弱性构建正/异常数据集,并通过机器学习的方法对系统状态进行检测的平台。
背景技术
工业控制系统是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件,共同构成的确保工业技术设施自动化运行、过程控制和监控的业务流程管控系统,其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)和确保各组件通信的接口技术,在我国石化、电力、楼宇、交通、医疗、冶金等各领域广泛应用。
随着信息技术的高速发展与工业化程度的不断推进,信息化与工业化紧密融合的智能化生产成为发展趋势,工业控制系统的远程通讯需求逐步增强,基于系统特点设计的各类工控协议也逐渐应用广泛,而针工业控制系统,大部分协议设计时会更多地考虑协议通讯过程中对系统可用性和通信实时性的影响,相对地忽略了协议通讯过程中数据的真实性和保密性,缺乏完整可靠的校验机制和加密手段,这就导致了入侵者在对目标系统的通讯协议具备一定知识后能够通过修改或构建特定报文,实现与PLC的“正常”通讯,从而窃取信息或发送控制指令,对目标系统进行针对性的破坏。近年来工控安全领域频繁出现APT(Advanced Persistent Threat,高级持续性威胁)攻击:10年Stuxnet蠕虫病毒入侵伊朗布什尔核电站,导致20%离心机报废,显著拖延了伊朗核电计划的实施;11年的Duqu木马、12年的Flame病毒、14年的Havex病毒窃取信息、破坏系统;15年乌克兰电网遭受BlackEnergy病毒攻击,60座变电站被攻击,致使140万用户停电;这些事件显示在电力系统中工控设备应用的广泛性及其重要性,因此针对电力系统场景对其常用的工控协议进行协议解析和异常检测显得尤为重要。
电力系统场景中常用的工控协议有Modbus/Tcp和IEC 60870-5-104,Modbus/Tcp为工业控制领域中应用最广泛的协议,除电力系统外也大量应用于化工、水处理等领域,该协议采用以太网通用网络部件,借助信息行业的TCP/IP协议,为用户提供了一种开放、灵活和标准的通讯技术;电力系统调度自动化协议IEC 60870-5-104采用平衡式传输,较好地解决了电力自动化系统中主站与远动子站间传输延时的问题,具有很好的可靠性、稳定性和传输效率。针对这些工控协议及其应用场景,SCADA系统的网络通信架构一般具有三层结构,从低到高分别为现场控制层、过程监控层和企业管理层,网络信息主要集中于现场控制层及过程监控层,而过程监控层多为PC机,数据库易受入侵者篡改,因此许多相关研究会通过分析网络数据流来获取系统真实状态,由于SCADA系统的特殊性,通讯过程中通常存在周期轮询的交互模式,分析网络数据流也可以较好地建立系统的正常状态模型。
目前,根据对网络数据流的解析程度,解析信息的利用方式及检测算法不同,深度包检测方法主要可以分为以下三类,分别为基于单包格式的黑/白名单规则,基于周期轮询模式的流量模型和基于变量语义的预测模型。
1)基于单包格式的黑/白名单规则
此类深度包检测方法多采用Snort检测规则模板,基于特定协议的格式及应用层字段特点分析系统正常状态下的网络数据流,并根据协议相关知识部署黑/白名单,对网络数据流每条记录进行规则匹配,对符合黑名单规则或不符合白名单规则的报文进行异常标记、警报。这类检测方法往往针对性强,应用环境单一,普适性较差。
2)基于周期轮询模式的流量模型
此类深度包检测方法基于SCADA系统的典型交互模式,对网络数据流进行解析,提取其中的功能码、指令信息等,形成相应的功能码序列、“事件序列”,通过学习算法建立离散时间马尔可夫链(DTMC)图及有限状态自动机(DFA)等模型。这类检测方法主要关注网络数据流中包含的操作和指令信息,基于网络数据流中少量常用字段建立模型,对应用层信息利用程度有限,难以应对特定协议环境下针对性极强的APT攻击。
3)基于变量语义的预测模型
此类深度包检测方法基于网络数据流中包含的工控系统中被控对象的变量信息分析系统状态,以寄存器地址和寄存器值为主,分析同节点下通讯过程传输的变量值,提取对象过程中的语义信息,并建立预测模型来反映和检测系统的被控过程状态信息。这类检测方法涉及的字段信息单一,应用环境较为单一,只可检测被控对象的语义变化,无法获取PLC的功能和状态信息,而当被控过程状态信息发生改变时,入侵者大多已实现攻击目标,检测延时较长。
针对工业控制领域的深度包检测方法实现,关键点在于网络数据流的特征分析、提取及系统异常状态数据集的构建。目前大多数研究工作采用的深度包检测方法对应用的目标场景、协议环境有较高的要求,对网络数据流进行少量常用字段的解析或直接采用现有的字段信息作为数据集,将这些字段信息直接作为网络数据流的特征建立系统状态模型,对网络数据流中包含的信息缺乏完整的特征分析和提取,只在异常行为涉及到利用的常用字段时能有较为理想的效果。此外,已有的研究工作大多通过几种已知的常见攻击对系统状态进行修改、破坏,构建相应数据集,几乎没有工作可以很好地模拟现场场景中可能出现的各类异常状态,检测效果具有一定的局限性。本发明中采用的深度包检测基于原始报文载荷进行解析、特征分析与提取,实现对网络数据流信息的完整、深入解析与利用,并通过分析协议本身的脆弱性,基于协议格式构建变异报文,实现通过“正常”网络数据流对系统状态进行修改和破坏,从而实现较为全面地模拟系统中可能出现的各类异常状态的目标。在实现方式上对深度包检测和异常状态模拟的功能进行了封装,便于不同场景下的修改和拓展实现。
发明内容
本发明的目的在于针对现有技术的不足,提供一种完整、深入的异常状态模拟及深度包检测平台,实现通过网络数据流对工业SCADA系统状态的准确检测。
本发明的目的是通过以下技术方案来实现的:一种基于工业SCADA系统的深度包检测平台,包括:工业SCADA系统仿真平台、深度包解析模块、异常检测模块、入侵模块;
工业SCADA系统仿真平台用于模拟电力系统中过程监控层与现场控制层的网络架构及交互模式,能够实现Modbus/Tcp和IEC 60870-5-104协议的完整协议栈功能,在无人干预的情况下两层设备保持周期轮询的交互状态,生成系统正常状态下网络数据流,并为深度包解析模块和入侵模块分别提供数据来源和攻击场景;
深度包解析模块抓取原始的二进制报文并进行解码,完整获取网络数据流中的系统状态信息,结合协议格式为报文字段添加属性标签,为异常检测模块完成报文的分析,提供基本字段信息;
异常检测模块实现对基本字段信息的特征分析和提取,通过基本字段信息建立属性集并能够在已知协议格式的基础上对字段信息进行补全、分类,形成完整字段信息,基于各字段信息包含的对象语义分别提取相应的统计、行为及时间特征,并添加能够反映对象语义的特征,最终建立系统状态模型;
入侵模块基于协议脆弱性的分析设计攻击方式,构建变异报文对系统状态进行修改、破坏,实现对系统异常状态全面的模拟。
进一步地,所述工业SCADA系统仿真平台采用工控系统中广泛使用的组态软件模拟过程监控层设备,采用PLC蜜罐模拟现场控制层设备,并通过Matlab中的simulink模块仿真目标电力系统,同时利用OPC Toolbox与PLC进行交互。
进一步地,所述工业SCADA系统仿真平台采用的协议环境为Modbus/Tcp和IEC60870-5-104,支持协议中定义的各类型通讯,已通过docker封装,提供相应配置修改接口,便于部署和移动。
进一步地,所述深度包解析模块对抓取的网络数据流采用离线解析的方式,对报文每个bit位信息进行分析,实现完整字段信息的获取。
进一步地,所述异常检测模块基于深度包解析模块所得字段信息,统计通讯过程中存在的字段属性,建立属性集,根据属性集对各记录字段信息进行补全,实现将缺失字段特征的提取。
进一步地,所述异常检测模块基于电力系统环境下协议格式的特点对协议格式进行分析,采用通讯功能字段、控制功能字段及过程变量字段对属性集中字段进行分类,并对不同的字段采用不同的利用方式对系统状态特征进行提取。
进一步地,所述异常检测模块对通讯功能字段(以寄存器地址、信息对象地址、功能码等非数值类型字段为主)提取窗口时间内的统计特征(频次、连接数等)。
进一步地,所述异常检测模块对控制功能字段(以端口信息、APDU长度等无前后时序相关关系的数值类型字段为主)提取窗口时间内的行为特征(均值、方差等)。
进一步地,所述异常检测模块对过程变量字段(以寄存器值等存在前后时序相关关系的数值类型字段为主)提取窗口时间内的时间特征(预测残差等)。
进一步地,所述异常检测模块对各字段分别提取特征后通过机器学习的方法建立系统正/异常状态模型。
进一步地,所述入侵模块采用完整协议栈的应答机制,通过报文字段变异构建攻击报文,实现绕过协议本身校验机制对目标系统状态进行修改、破坏。
进一步地,所述入侵模块基于协议格式和协议本身校验机制分析协议脆弱性,获取在满足协议双方正常通讯需求下可进行修改的协议字段及相应可修改的范围,从而对通讯过程中可能导致的系统异常状态进行全面的模拟,构建完整、可靠的异常状态数据集。
本发明的有益效果是:
1、本平台基于网络数据流进行离线分析、检测,信息的完整性、真实性较好,无需搭建系统平台提供数据来源,便于研究工作的开展和检测方法测试部署,具有很好的灵活性和可实现性。
2、本平台提供深度包解析模块,对网络数据流进行完整、深入的解码,并转化为直观的字段信息,便于观察系统运行过程中的状态信息及其他相关研究的进行。
3、本平台采用的异常检测模块基于工控协议的典型特点设计框架,对不同场景、不同协议的工控系统均具备很好的适用性。
4、本平台中的异常检测模块功能采用多个子模块分步实现,对各部分进行封装,并将结果输出显示,测试方便,同时便于优化、扩展。
5、本平台提供异常检测功能中实现属性集构建和字段信息补全功能的子模块,可直观体现系统通讯过程中的交互模式,并为不同的建模方法和检测算法提供相同维度数据的接口。
6、本平台对不同特点的字段类型采用不同的特征提取方法,添加了异常检测过程中利用的信息维度和深度,同时可以简单地体现出通讯过程在系统受到各种攻击时的变化。
7、本平台提供入侵模块,对协议通讯过程进行了封装,提供字段变异的配置接口,便于实现定向或随机变异报文的构建与发送,生成测试用例和正/异常数据集。
附图说明
图1是本发明中工业SCADA系统环境及各模块的网络架构图。
图2是本发明基于网络数据流的深度包解析及异常检测方法的具体实现方式流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明提供的工业SCADA系统的深度包检测平台主要针对电力系统场景,系统环境常用协议包括Modbus/Tcp和IEC 60870-5-104协议。检测平台由四个部分构成:工业SCADA系统仿真平台、深度包解析模块、异常检测模块、入侵模块。该检测平台通过模拟工业SCADA系统中过程监控层和现场控制层的典型交互模式实现现场环境中的关键通讯过程。检测的主要过程为深度包解析模块通过两层间部署的交换机抓取网络数据流,并基于网络数据流的深度包解析获取通讯过程中完整、真实的系统状态信息,异常检测模块对解析所得的字段信息进行特征分析与提取,并通过机器学习的方法建立系统状态模型,实现在不影响系统运行的前提下对系统状态进行检测。同时入侵模块通过对协议脆弱性进行完整分析,基于协议格式设计攻击方式,对通讯过程中可能导致的系统异常状态进行全面的模拟,实现检测平台对不同异常场景下的普适性。其整体网络架构如附图1所示。
工业SCADA系统仿真平台:通过Matlab的simulink模块搭建和模拟电力系统被控对象,并利用simulink中的OPC Toolbox与PLC进行实时交互,向PLC传递电力系统的过程变量信息,并响应来自PLC的控制指令,提供系统中被控对象的过程变量信息。PLC和SCADA服务器分别实现电力系统中现场控制层和过程监控层功能,具体通过docker封装的PLC蜜罐和部署有工控系统组态软件的上位机进行搭建,其中PLC、RTU基于docker环境部署,通过conpot和FreyrSCADA程序实现Modbus/Tcp和IEC 60870-5-104PLC蜜罐在建立通讯过程中对相应协议的基础请求和响应功能,并对每个PLC蜜罐进行docker容器封装,模拟电力系统中的各个节点功能,针对每个节点的PLC蜜罐,根据协议标准和系统需求配置其通讯功能、寄存器或信息对象个数及类型、IP地址、公共地址、信息对象地址以及相应寄存器或信息对象的数据,实现协议在现场环境中对具体目标的报文检验和响应功能,实现完整的协议栈功能和系统网络架构,在无人干预的情况下两层设备保持周期轮询的交互状态,生成系统正常状态下网络数据流,其中包含两层设备的功能、控制信息及过程变量信息。
深度包解析模块:通过过程监控层与现场控制层间交换机抓取通讯过程中的网络数据流,对其进行离线解析,采用Python程序分层解析报文字段信息,基于OSI七层模型,解析应用层以外的IP、端口等关键信息,对应用层报文按照每个bit位进行完整的分析,实现对通讯过程中传输的功能、控制信息及过程变量信息完整、深入的解析,并根据协议格式为各报文字段添加属性标签,建立基本字段信息数据集。
异常检测模块:由数据预处理和模型建立子模块组成,数据预处理模块对基本字段信息进行补全,具体实现为统计通讯过程中存在的字段属性,建立属性集,根据协议格式对其中各属性添加默认值,并对各报文中未出现的属性按照默认值进行补全,作为缺失字段特征,获取包含完整属性的字段信息。基于网络数据流的协议格式对字段信息进行分析,通过各字段信息与SCADA系统中通讯功能、控制功能及过程变量信息的相关关系和字段数据类型对字段信息进行分类,将反映系统设备当前功能的非数值字段信息划分为通讯功能字段,反映系统设备控制指令及响应行为的数值字段信息划分为控制功能字段,反映系统被控对象过程变量值的字段信息划分为过程变量字段。基于各类字段信息,分析其特征,通讯功能字段通常为字符串信息,具有一定的统计特征,控制功能字段通常为无前后时序相关关系的数值类型字段,具有一定的行为特征,过程变量字段通常为存在前后时序相关关系的数值类型字段,具有一定的时间特征。据此对各类型字段采用不同的特征提取方法,添加频次、连接数、均值、方差、预测残差等特征字段,模型建立子模块通过朴素贝叶斯算法构建系统状态模型,实现对系统状态完整、深入的检测。其具体实现流程如附图2所示。
入侵模块:攻击基于开源安全漏洞检测工具metasploit,通过.rb文件实现Modbus/Tcp和IEC 60870-5-104协议的完整协议栈应答机制,可模拟SCADA服务器建立与PLC之间的通讯,向目标PLC发送指令、请求信息,并自动完成后续交互的响应。通过协议格式和协议本身校验机制分析协议脆弱性,获取在满足协议双方正常通讯需求下可进行修改的协议字段及相应可修改的范围,设计攻击方式和配置接口,具体为originator address、common adsu address、value(determined)、value(indetermined)、QOS(IV、NT)等可变异字段接口,通过配置报文字段实现定向或随机变异报文的构建与发送,对系统状态进行修改、破坏,从而达到全面模拟系统异常状态的功能。
本发明基于工业SCADA系统的深度包检测平台的检测过程为:工业SCADA系统仿真平台模拟电力系统场景通讯过程,产生包含过程监控层、现场控制层功能、控制信息及被控对象过程变量信息的正常网络数据流,入侵模块发送变异报文修改、破坏系统状态,深度包解析模块解析网络数据流获得基本字段信息,异常检测模块对基本字段信息进行特征分析、提取,并通过机器学习方法构建系统状态模型。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。
Claims (10)
1.一种基于工业SCADA系统的深度包检测平台,其特征在于:包括模拟电力系统的工业SCADA系统仿真平台、深度包解析模块、异常检测模块和入侵模块;
工业SCADA系统仿真平台用于模拟电力系统过程监控层与现场控制层间的典型交互模式,能够实现Modbus/Tcp和IEC 60870-5-104的完整协议栈功能,接收和响应入侵模块的攻击报文,生成网络数据流;
深度包解析模块抓取网络数据流进行离线解析,对网络数据流进行分层解析,完整获取应用层的基本字段信息;
异常检测模块基于所有报文的基本字段信息构建属性集,通过属性集补全单个报文的属性形成完整字段信息,并根据各个字段信息的语义对各字段信息进行分类,对不同类型字段分别进行特征分析和提取,添加特征字段,实现对网络数据流中对象语义信息的深入解析,并通过机器学习方法建立系统状态模型;
入侵模块基于协议脆弱性设计攻击方式,发送攻击报文修改、破坏系统状态,实现系统异常状态的模拟。
2.根据权利要求1所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述工业SCADA系统仿真平台通过Matlab中simulink模拟电力系统,同时通过组态软件与多PLC、RTU的周期轮询模拟现场环境Modbus/Tcp和IEC 60870-5-104协议的通讯过程,其中PLC、RTU基于docker环境部署,通过conpot和FreyrSCADA程序实现Modbus/Tcp和IEC60870-5-104PLC蜜罐在建立通讯过程中对相应协议的基础请求和响应功能,并对每个PLC蜜罐进行docker容器封装,模拟电力系统中的各个节点功能,针对每个节点的PLC蜜罐,通过具体对象参数配置,实现协议在现场环境中对具体目标的报文检验和响应功能,实现完整的协议栈功能和系统网络架构,从而对电力系统协议场景、交互模式、网络规模进行模拟。
3.根据权利要求1所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述深度包解析模块对报文应用层基本字段信息进行bit位的完整解析,并添加属性标签。
4.根据权利要求1所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述异常检测模块基于解析结果基本字段信息构建相应协议属性集,并以此补全形成完整字段,实现对缺失特征的利用。
5.根据权利要求1所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述异常检测模块基于网络数据流的协议格式对字段信息进行分析,通过各字段信息与SCADA系统中通讯功能、控制功能及过程变量信息的相关关系和字段数据类型对字段信息进行分类,将反映系统设备当前功能的非数值字段信息划分为通讯功能字段,反映系统设备控制指令及响应行为的数值字段信息划分为控制功能字段,反映系统被控对象过程变量值的字段信息划分为过程变量字段。
6.根据权利要求5所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述异常检测模块根据通讯功能字段的语义特点,主要分析提取其统计特征。
7.根据权利要求5所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述异常检测模块根据控制功能字段的语义特点,主要分析提取其行为特征。
8.根据权利要求5所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述异常检测模块根据过程变量字段的语义特点,主要分析提取其时间特征。
9.根据权利要求1所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述异常检测模块结合提取特征字段和补全后的完整字段信息并通过朴素贝叶斯算法构建系统状态模型。
10.根据权利要求1所述的一种基于工业SCADA系统的深度包检测平台,其特征在于,所述入侵模块完整分析协议的脆弱性,获取function code、originator address、commonadsu address、determined value、indetermined value、QOS字段对系统的影响,并在满足协议约束的条件下,随机变异以上字段构建并发送报文,对系统异常状态进行全面的模拟。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811163446.0A CN109167796B (zh) | 2018-09-30 | 2018-09-30 | 一种基于工业scada系统的深度包检测平台 |
| PCT/CN2019/101244 WO2020063188A1 (zh) | 2018-09-30 | 2019-08-18 | 一种基于工业scada系统的深度包检测平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811163446.0A CN109167796B (zh) | 2018-09-30 | 2018-09-30 | 一种基于工业scada系统的深度包检测平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109167796A true CN109167796A (zh) | 2019-01-08 |
| CN109167796B CN109167796B (zh) | 2020-05-19 |
Family
ID=64877278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811163446.0A Active CN109167796B (zh) | 2018-09-30 | 2018-09-30 | 一种基于工业scada系统的深度包检测平台 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109167796B (zh) |
| WO (1) | WO2020063188A1 (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109818950A (zh) * | 2019-01-18 | 2019-05-28 | 北京和利时系统工程有限公司 | 一种访问控制规则优化方法及装置、计算机可读存储介质 |
| CN110752966A (zh) * | 2019-10-08 | 2020-02-04 | 南京南瑞继保电气有限公司 | 网络协议安全测试方法及装置、电子设备及存储介质 |
| WO2020063188A1 (zh) * | 2018-09-30 | 2020-04-02 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN111314278A (zh) * | 2019-11-22 | 2020-06-19 | 南京聚铭网络科技有限公司 | 一种基于Ethernet IP工控协议的安全检测方法 |
| CN111338297A (zh) * | 2019-12-31 | 2020-06-26 | 南京联成科技发展股份有限公司 | 一种基于工业云的工控安全框架系统 |
| CN111669411A (zh) * | 2020-07-28 | 2020-09-15 | 国网电子商务有限公司 | 一种工控设备异常检测方法及系统 |
| CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
| CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
| CN112084152A (zh) * | 2020-09-17 | 2020-12-15 | 中电科仪器仪表有限公司 | 一种电子测量仪器全生命周期管理系统 |
| CN112187585A (zh) * | 2020-09-30 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 网络协议测试方法及装置 |
| CN112260885A (zh) * | 2020-09-22 | 2021-01-22 | 武汉思普崚技术有限公司 | 一种工控协议自动测试方法、系统、装置及可读存储介质 |
| CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
| CN112910898A (zh) * | 2021-02-03 | 2021-06-04 | 北京顶象技术有限公司 | Scada网络数据的检测方法、系统及电子设备 |
| CN113132392A (zh) * | 2021-04-22 | 2021-07-16 | 苏州联电能源发展有限公司 | 工控网络流量异常检测方法、装置及系统 |
| CN113119124A (zh) * | 2021-04-13 | 2021-07-16 | 北京航空航天大学 | 一种机器人控制系统的安全防护系统 |
| CN113194010A (zh) * | 2021-04-28 | 2021-07-30 | 浙江大学 | 一种非公开工业通信协议的字段语义分析方法 |
| CN113595957A (zh) * | 2020-04-30 | 2021-11-02 | 华为技术有限公司 | 一种网络防御方法及安全检测设备 |
| CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
| CN114697081A (zh) * | 2022-02-28 | 2022-07-01 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
| CN115996133A (zh) * | 2022-06-27 | 2023-04-21 | 西安电子科技大学 | 一种工业控制网络行为检测方法以及相关装置 |
| CN114697081B (zh) * | 2022-02-28 | 2024-05-07 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112272123B (zh) * | 2020-10-16 | 2022-04-15 | 北京锐安科技有限公司 | 网络流量分析方法、系统、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
| WO2017090045A1 (en) * | 2015-11-26 | 2017-06-01 | Rafael Advanced Defense Systems Ltd. | System and method for detecting a cyber-attack at scada/ics managed plants |
| CN108319161A (zh) * | 2018-02-05 | 2018-07-24 | 浙江大学 | 一种工业scada系统仿真平台 |
| US20180211036A1 (en) * | 2017-01-23 | 2018-07-26 | Hysolate Ltd. | Techniques for improving seamless user experience on air-gapped endpoints |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制系统主流协议实现与监测解析平台 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302535A (zh) * | 2016-09-30 | 2017-01-04 | 中国南方电网有限责任公司电网技术研究中心 | 电力系统的攻击仿真方法、装置及攻击仿真设备 |
| US10929324B2 (en) * | 2016-10-07 | 2021-02-23 | Schneider Electric Systems Usa, Inc. | Systems and methods for communication and/or control of scalable, modular network nodes |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN109167796B (zh) * | 2018-09-30 | 2020-05-19 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
-
2018
- 2018-09-30 CN CN201811163446.0A patent/CN109167796B/zh active Active
-
2019
- 2019-08-18 WO PCT/CN2019/101244 patent/WO2020063188A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
| WO2017090045A1 (en) * | 2015-11-26 | 2017-06-01 | Rafael Advanced Defense Systems Ltd. | System and method for detecting a cyber-attack at scada/ics managed plants |
| US20180211036A1 (en) * | 2017-01-23 | 2018-07-26 | Hysolate Ltd. | Techniques for improving seamless user experience on air-gapped endpoints |
| CN108319161A (zh) * | 2018-02-05 | 2018-07-24 | 浙江大学 | 一种工业scada系统仿真平台 |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制系统主流协议实现与监测解析平台 |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020063188A1 (zh) * | 2018-09-30 | 2020-04-02 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN109818950A (zh) * | 2019-01-18 | 2019-05-28 | 北京和利时系统工程有限公司 | 一种访问控制规则优化方法及装置、计算机可读存储介质 |
| CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及系统 |
| US11975664B2 (en) | 2019-09-12 | 2024-05-07 | Huawei Technologies Co., Ltd. | System and method for implementing automobile electronic control function |
| CN110752966B (zh) * | 2019-10-08 | 2023-06-30 | 南京南瑞继保电气有限公司 | 网络协议安全测试方法及装置、电子设备及存储介质 |
| CN110752966A (zh) * | 2019-10-08 | 2020-02-04 | 南京南瑞继保电气有限公司 | 网络协议安全测试方法及装置、电子设备及存储介质 |
| CN111314278A (zh) * | 2019-11-22 | 2020-06-19 | 南京聚铭网络科技有限公司 | 一种基于Ethernet IP工控协议的安全检测方法 |
| CN111338297A (zh) * | 2019-12-31 | 2020-06-26 | 南京联成科技发展股份有限公司 | 一种基于工业云的工控安全框架系统 |
| CN113595957B (zh) * | 2020-04-30 | 2022-11-08 | 华为技术有限公司 | 一种网络防御方法及安全检测设备 |
| CN113595957A (zh) * | 2020-04-30 | 2021-11-02 | 华为技术有限公司 | 一种网络防御方法及安全检测设备 |
| CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
| CN111817917A (zh) * | 2020-07-03 | 2020-10-23 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
| CN111669411A (zh) * | 2020-07-28 | 2020-09-15 | 国网电子商务有限公司 | 一种工控设备异常检测方法及系统 |
| CN111669411B (zh) * | 2020-07-28 | 2021-11-19 | 国网电子商务有限公司 | 一种工控设备异常检测方法及系统 |
| CN112084152A (zh) * | 2020-09-17 | 2020-12-15 | 中电科仪器仪表有限公司 | 一种电子测量仪器全生命周期管理系统 |
| CN112260885A (zh) * | 2020-09-22 | 2021-01-22 | 武汉思普崚技术有限公司 | 一种工控协议自动测试方法、系统、装置及可读存储介质 |
| CN112187585A (zh) * | 2020-09-30 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 网络协议测试方法及装置 |
| CN112187585B (zh) * | 2020-09-30 | 2023-10-27 | 腾讯科技(深圳)有限公司 | 网络协议测试方法及装置 |
| CN112910898A (zh) * | 2021-02-03 | 2021-06-04 | 北京顶象技术有限公司 | Scada网络数据的检测方法、系统及电子设备 |
| CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
| CN113119124A (zh) * | 2021-04-13 | 2021-07-16 | 北京航空航天大学 | 一种机器人控制系统的安全防护系统 |
| CN113132392A (zh) * | 2021-04-22 | 2021-07-16 | 苏州联电能源发展有限公司 | 工控网络流量异常检测方法、装置及系统 |
| CN113132392B (zh) * | 2021-04-22 | 2022-05-06 | 苏州联电能源发展有限公司 | 工控网络流量异常检测方法、装置及系统 |
| CN113194010A (zh) * | 2021-04-28 | 2021-07-30 | 浙江大学 | 一种非公开工业通信协议的字段语义分析方法 |
| CN114124478B (zh) * | 2021-11-08 | 2023-05-09 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
| CN114124478A (zh) * | 2021-11-08 | 2022-03-01 | 湖南大学 | 电力系统工控流量异常检测方法及系统 |
| CN114697081A (zh) * | 2022-02-28 | 2022-07-01 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
| CN114697081B (zh) * | 2022-02-28 | 2024-05-07 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
| CN115996133A (zh) * | 2022-06-27 | 2023-04-21 | 西安电子科技大学 | 一种工业控制网络行为检测方法以及相关装置 |
| CN115996133B (zh) * | 2022-06-27 | 2024-04-09 | 西安电子科技大学 | 一种工业控制网络行为检测方法以及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109167796B (zh) | 2020-05-19 |
| WO2020063188A1 (zh) | 2020-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109167796A (zh) | 一种基于工业scada系统的深度包检测平台 | |
| Xu et al. | Network security situation awareness based on semantic ontology and user-defined rules for Internet of Things | |
| Yusheng et al. | Intrusion detection of industrial control system based on Modbus TCP protocol | |
| Barbosa et al. | Exploiting traffic periodicity in industrial control networks | |
| CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| Radoglou-Grammatikis et al. | Attacking iec-60870-5-104 scada systems | |
| Kwon et al. | A behavior-based intrusion detection technique for smart grid infrastructure | |
| CN109660526A (zh) | 一种应用于信息安全领域的大数据分析方法 | |
| CN109558729B (zh) | 一种网络攻击的智能防御系统 | |
| CN109818985A (zh) | 一种工控系统漏洞趋势分析与预警方法及系统 | |
| Yüksel et al. | Reading between the fields: practical, effective intrusion detection for industrial control systems | |
| Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
| Faisal et al. | Modeling Modbus TCP for intrusion detection | |
| Skopik et al. | synERGY: Cross-correlation of operational and contextual data to timely detect and mitigate attacks to cyber-physical systems | |
| Canonico et al. | Industrial cyber-physical systems protection: A methodological review | |
| Deng et al. | Intrusion detection method based on support vector machine access of modbus TCP protocol | |
| CN115333915B (zh) | 一种面向异构主机的网络管控系统 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| Tu et al. | A vulnerability mining system based on fuzzing for IEC 61850 protocol | |
| Bernieri et al. | Network Anomaly Detection in Critical Infrastructure Based on Mininet Network Simulator. | |
| CN108366088A (zh) | 一种用于教学网络系统的信息安全预警系统 | |
| Lingkang et al. | Detection of abnormal data flow at network boundary of renewable energy power system | |
| Peng et al. | Research on abnormal detection technology of real-time interaction process in new energy network | |
| Wang et al. | Intrusion detection model of SCADA using graphical features | |
| CN111314278A (zh) | 一种基于Ethernet IP工控协议的安全检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |