CN109639733A - 适用于工控系统的安全检测与监控系统 - Google Patents
适用于工控系统的安全检测与监控系统 Download PDFInfo
- Publication number
- CN109639733A CN109639733A CN201910066880.5A CN201910066880A CN109639733A CN 109639733 A CN109639733 A CN 109639733A CN 201910066880 A CN201910066880 A CN 201910066880A CN 109639733 A CN109639733 A CN 109639733A
- Authority
- CN
- China
- Prior art keywords
- module
- information
- data
- industrial control
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 49
- 238000001514 detection method Methods 0.000 title claims abstract description 42
- 238000012550 audit Methods 0.000 claims abstract description 39
- 238000004458 analytical method Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 13
- 238000012360 testing method Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 6
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 claims description 3
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 claims description 3
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 claims description 3
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 claims description 3
- 244000035744 Hura crepitans Species 0.000 claims description 3
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 claims description 3
- 238000013500 data storage Methods 0.000 abstract 2
- 230000006872 improvement Effects 0.000 description 10
- 238000000034 method Methods 0.000 description 5
- 230000002265 prevention Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000004069 differentiation Effects 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003595 spectral effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种适用于工控系统的安全检测与监控系统,包括:数据采集模块、数据存储模块、协议解析处理模块、恶意代码检测模块、流量统计模块、流量特征识别模块、审计报告生成模块和监控学习模块;协议解析处理模块接收并解析待测数据;待测数据存储于数据存储模块中;恶意代码检测模块识别恶意代码信息;流量统计模块统计解析后的待测数据的流量数据信息;流量特征识别模块识别流量数据信息的流量特征信息;审计报告生成模块生成审计报告,并发送至审计处;监控学习模块根据审计报告和审计处的处置结果得到最终审计结果。本发明能够针对工控系统的安全状态进行监控,提升工控系统的网络安全防护能力,减少人力成本。
Description
技术领域
本发明涉及工控系统安全监控技术领域,尤其涉及一种适用于工控系统的安全检测与监控系统。
背景技术
电力监控系统是一种用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统或智能设备,并可作为通信及数据网络的基础支撑。电力监控等工控系统大多数为封闭的工业控制系统,尤其是设于变电站、发电厂等内部的工控系统,其承载的业务及其业务特性与互联网或管理系统的网络流量特性明显不同,这就使得这一类工控系统的网络攻击检测等与传统网络大大不同。
本发明人在实施本发明的过程中发现,现有户内变电站存在以下技术问题:
市面上的检测设备是面向全社会政府或企业的,检测技术及方式比较大众化,对于电网公司的工控系统而言,不具备针对性;工控系统不连外网,不需要针对网络中访问的URL和邮件附件进行检测。
发明内容
本发明实施例提供一种适用于工控系统的安全检测与监控系统,能够针对工控系统的安全状态进行监控,提升工控系统的网络安全防护能力,减少人力成本。
本发明实施例提供了一种适用于工控系统的安全检测与监控系统,包括:数据采集模块、数据存储模块、协议解析处理模块、恶意代码检测模块、流量统计模块、流量特征识别模块、审计报告生成模块和监控学习模块;
所述协议解析处理模块接收并解析所述数据采集模块采集的待测数据;
所述恶意代码检测模块识别解析后的所述待测数据中的恶意代码信息;所述流量统计模块统计解析后的所述待测数据的流量数据信息;所述流量特征识别模块识别所述流量数据信息的流量特征信息;
所述审计报告生成模块根据所述恶意代码信息、流量数据信息和流量特征信息生成审计报告,并发送至审计处;
所述监控学习模块根据所述审计报告和所述审计处的处置结果得到最终审计结果;
所述数据存储模块存储所述恶意代码信息、流量数据信息和流量特征信息。
作为上述方案的改进,所述协议解析处理模块解析的协议包括:通用协议和工控协议。
作为上述方案的改进,所述通用协议包括:IP(包括IP v4和IP v6)、TCP、UDP、ICMP、ARP、RIP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS;
所述工控协议包括:DNP3、IEC104(南方电网DL/T634.5104-2002远动协议实施细则(Q/CSG110006-2012)中IEC104通信规约部分)、IEC61850-GOOSE、IEC61850-MMS、MODBUS、S7COMM、IEC62351。
作为上述方案的改进,所述恶意代码检测模块为基于动态沙箱的恶意代码信息识别模块。
作为上述方案的改进,所述流量数据信息包括:报文间隔、报文大小、往来持续时间和往来次数。
作为上述方案的改进,所述流量特征识别模块识别所述流量数据信息的流量特征信息,具体为:
所述流量特征识别模块对所述流量数据信息进行流量特征识别,将所述流量数据信息的业务流量指纹特征作为所述流量特征信息。
作为上述方案的改进,所述审计报告包括:网络入侵信息、运维信息、配置更新信息和新设备接入信息。
作为上述方案的改进,所述监控学习模块根据根据所述审计报告和所述审计处的处置结果进行监督学习。
作为上述方案的改进,还包括:监控告警模块;所述监控告警模块根据所述审计结果,判断所述网络入侵信息、运维信息、配置更新信息、新设备接入信息是否异常,若异常,触发告警;所述监控告警模块的告警方式包括:电子邮件、告警灯、告警声音。
本发明实施例提供的一种适用于工控系统的安全检测与监控系统,与现有技术相比,具有如下有益效果:
通过协议解析处理模块基于工控协议解析实现了工控系统恶意代码检测、网络攻击检测和智能运维审计;采用监控学习模块对审计结果进行学习,大大提高了系统的适用性和检测效率;通过监控告警模块根据工控系统中终端的数据流的明显特征或周期特性,可基于每个终端流量的周期差异实现设备故障告警、入侵/攻击检测、运维日志审计等,基于异常流量的分类告警,能够发现预置逻辑网络攻击;通过数据存储模块存储镜像流量数据,能够实现攻击取证、攻击历史回溯;能够针对工控系统的安全状态进行监控,提升工控系统的网络安全防护能力,减少人力成本。
附图说明
图1是本发明实施例提供的一种适用于工控系统的安全检测与监控系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,是本发明实施例提供的一种适用于工控系统的安全检测与监控系统的结构示意图,包括:数据采集模块、数据存储模块、协议解析处理模块、恶意代码检测模块、流量统计模块、流量特征识别模块、审计报告生成模块和监控学习模块;
协议解析处理模块接收并解析数据采集模块采集的待测数据;
恶意代码检测模块识别解析后的待测数据中的恶意代码信息;流量统计模块统计解析后的待测数据的流量数据信息;流量特征识别模块识别流量数据信息的流量特征信息;
审计报告生成模块根据恶意代码信息、流量数据信息和流量特征信息生成审计报告,并发送至审计处;
监控学习模块根据审计报告和审计处的处置结果得到最终审计结果;
数据存储模块存储恶意代码信息、流量数据信息和流量特征信息。
优选的,数据采集模块通过镜像端口采集镜像流量数据,并将该镜像流量数据作为待测数据。
进一步的,协议解析处理模块解析的协议包括:通用协议和工控协议。
进一步的,通用协议可以为:IP(包括IP v4和IP v6)、TCP、UDP、ICMP、ARP、RIP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS;工控协议可以为:DNP3、IEC104(南方电网DL/T634.5104-2002远动协议实施细则(Q/CSG110006-2012)中IEC104通信规约部分)、IEC61850-GOOSE、IEC61850-MMS、MODBUS、S7COMM、IEC62351等。
进一步的,恶意代码检测模块为基于动态沙箱的恶意代码信息识别模块。
由于现有的工控系统中,除部分业务采用基本的TCP/IP协议外,大多数业务采用工控协议传输、编码,甚至加密处理,传统检测方法无法进行报文解析,进而不能识别利用工控协议传输的恶意代码。本发明实施例提供的将恶意代码检测模块通过与协议解析处理模块相结合,实现了支持工控协议的恶意代码检测,得到恶意代码信息。
进一步的,流量数据信息包括:报文间隔、报文大小、往来持续时间和往来次数。
流量统计模块除实现P2P的业务流量统计功能外,将P2P的业务流量按照协议通讯过程进行建模与统计分析,实现了协议定制化的业务流量统计功能,为流量特征识别奠定基础。
进一步的,流量特征识别模块识别流量数据信息的流量特征信息,具体为:
流量特征识别模块对流量数据信息进行流量特征识别,将流量数据信息的业务流量指纹特征作为流量特征信息。
优选的,流量特征识别模块可支持采用信誉分析、广谱特征匹配技术,从而提高对远程扫描、恶意代码、DDOS的安全监测能力。
进一步的,审计报告包括:网络入侵信息、运维信息、配置更新信息和新设备接入信息。
进一步的,监控学习模块根据根据审计报告和审计处的处置结果进行监督学习。
优选的,初始阶段采用已知特征库进行机器学习,将学习结果存储至数据存储模块中。
进一步的,还包括:监控告警模块;监控告警模块根据审计结果,判断网络入侵信息、运维信息、配置更新信息、新设备接入信息是否异常,若异常,触发告警;监控告警模块的告警方式包括:电子邮件、告警灯、告警声音。
在一个具体的实施例中,当恶意代码检测模块检测到高威胁性恶意代码时,若当前流量特征与数据库中特征均无法匹配,会形成一项包括提供IP和详细报文分析结果的新的异常流量审计结果,并通过监控告警模块进行告警。
在另一具体的实施例中,本发明实施例提供的一种适用于工控系统的安全检测与监控系统设置于1U/2U机架式工控设备中,采用旁路监听的部署模式,只需要把设备连接于交换机的镜像监听端口,便可开始工作。整个过程无需中断服务或对现有网络进行调整。
本发明实施例提供的一种适用于工控系统的安全检测与监控系统,与现有技术相比,具有如下有益效果:
通过协议解析处理模块基于工控协议解析实现了工控系统恶意代码检测、网络攻击检测和智能运维审计;采用监控学习模块对审计结果进行学习,大大提高了系统的适用性和检测效率;通过监控告警模块根据工控系统中终端的数据流的明显特征或周期特性,可基于每个终端流量的周期差异实现设备故障告警、入侵/攻击检测、运维日志审计等,基于异常流量的分类告警,能够发现预置逻辑网络攻击;通过数据存储模块存储镜像流量数据,能够实现攻击取证、攻击历史回溯;能够针对工控系统的安全状态进行监控,提升工控系统的网络安全防护能力,减少人力成本。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (9)
1.一种适用于工控系统的安全检测与监控系统,包括:数据采集模块、数据存储模块、协议解析处理模块、恶意代码检测模块、流量统计模块、流量特征识别模块、审计报告生成模块和监控学习模块;
所述协议解析处理模块接收并解析所述数据采集模块采集的待测数据;
所述恶意代码检测模块识别解析后的所述待测数据中的恶意代码信息;所述流量统计模块统计解析后的所述待测数据的流量数据信息;所述流量特征识别模块识别所述流量数据信息的流量特征信息;
所述审计报告生成模块根据所述恶意代码信息、流量数据信息和流量特征信息生成审计报告,并发送至审计处;
所述监控学习模块根据所述审计报告和所述审计处的处置结果得到最终审计结果;
所述数据存储模块存储所述恶意代码信息、流量数据信息和流量特征信息。
2.如权利要求3所述的一种适用于工控系统的安全检测与监控系统,其特征在于,所述协议解析处理模块解析的协议包括:通用协议和工控协议。
3.如权利要求2所述的一种适用于工控系统的安全检测与监控系统,其特征在于,所述通用协议包括:IP(包括IP v4和IP v6)、TCP、UDP、ICMP、ARP、RIP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS;
所述工控协议包括:DNP3、IEC104(南方电网DL/T634.5104-2002远动协议实施细则(Q/CSG110006-2012)中IEC104通信规约部分)、IEC61850-GOOSE、IEC61850-MMS、MODBUS、S7COMM、IEC62351。
4.如权利要求3所述的一种适用于工控系统的安全监控系统,其特征在于,所述恶意代码检测模块为基于动态沙箱的恶意代码信息识别模块。
5.如权利要求4所述的一种适用于工控系统的安全检测与监控系统,其特征在于,所述流量数据信息包括:报文间隔、报文大小、往来持续时间和往来次数。
6.如权利要求5所述的一种适用于工控系统的安全检测与监控系统,其特征在于,所述流量特征识别模块识别所述流量数据信息的流量特征信息,具体为:
所述流量特征识别模块对所述流量数据信息进行流量特征识别,将所述流量数据信息的业务流量指纹特征作为所述流量特征信息。
7.如权利要求6所述的一种适用于工控系统的安全检测与监控系统,其特征在于,所述审计报告包括:网络入侵信息、运维信息、配置更新信息和新设备接入信息。
8.如权利要求7所述的一种适用于工控系统的安全检测与监控系统,其特征在于,所述监控学习模块根据所述审计报告和所述审计处的处置结果进行监督学习。
9.如权利要求8所述的一种适用于工控系统的安全检测与监控系统,其特征在于,还包括:监控告警模块;所述监控告警模块根据所述审计结果,判断所述网络入侵信息、运维信息、配置更新信息、新设备接入信息是否异常,若异常,触发告警;所述监控告警模块的告警方式包括:电子邮件、告警灯、告警声音。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910066880.5A CN109639733A (zh) | 2019-01-24 | 2019-01-24 | 适用于工控系统的安全检测与监控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910066880.5A CN109639733A (zh) | 2019-01-24 | 2019-01-24 | 适用于工控系统的安全检测与监控系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109639733A true CN109639733A (zh) | 2019-04-16 |
Family
ID=66063482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910066880.5A Pending CN109639733A (zh) | 2019-01-24 | 2019-01-24 | 适用于工控系统的安全检测与监控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639733A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110061931A (zh) * | 2019-04-23 | 2019-07-26 | 广东技术师范大学 | 工控协议的聚类方法、装置、系统及计算机存储介质 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110401662A (zh) * | 2019-07-29 | 2019-11-01 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN110995733A (zh) * | 2019-12-12 | 2020-04-10 | 江苏亨通工控安全研究院有限公司 | 一种基于遥测技术的工控领域的入侵检测系统 |
| CN111083172A (zh) * | 2019-12-31 | 2020-04-28 | 厦门耐特源码信息科技有限公司 | 一种基于数据包分析的链路通信监控视图构建方法 |
| CN112202736A (zh) * | 2020-09-15 | 2021-01-08 | 浙江大学 | 基于统计学习和深度学习的工业控制系统通信网络异常分类方法 |
| CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
| CN113301049A (zh) * | 2021-05-26 | 2021-08-24 | 杭州安恒信息技术股份有限公司 | 一种工控设备的审计方法、装置、设备及可读存储介质 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN113691417A (zh) * | 2021-08-14 | 2021-11-23 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业协议的工控信息监控系统及方法 |
| CN114355853A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170126745A1 (en) * | 2015-11-04 | 2017-05-04 | Monico Monitoring, Inc. | Industrial Network Security Translator |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN108646722A (zh) * | 2018-07-18 | 2018-10-12 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息安全仿真模型及终端 |
-
2019
- 2019-01-24 CN CN201910066880.5A patent/CN109639733A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170126745A1 (en) * | 2015-11-04 | 2017-05-04 | Monico Monitoring, Inc. | Industrial Network Security Translator |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN108646722A (zh) * | 2018-07-18 | 2018-10-12 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息安全仿真模型及终端 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110061931A (zh) * | 2019-04-23 | 2019-07-26 | 广东技术师范大学 | 工控协议的聚类方法、装置、系统及计算机存储介质 |
| CN110061931B (zh) * | 2019-04-23 | 2022-08-30 | 广东技术师范大学 | 工控协议的聚类方法、装置、系统及计算机存储介质 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110351237B (zh) * | 2019-05-23 | 2020-07-10 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110401662B (zh) * | 2019-07-29 | 2021-12-31 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN110401662A (zh) * | 2019-07-29 | 2019-11-01 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN110995733A (zh) * | 2019-12-12 | 2020-04-10 | 江苏亨通工控安全研究院有限公司 | 一种基于遥测技术的工控领域的入侵检测系统 |
| CN111083172A (zh) * | 2019-12-31 | 2020-04-28 | 厦门耐特源码信息科技有限公司 | 一种基于数据包分析的链路通信监控视图构建方法 |
| CN112202736A (zh) * | 2020-09-15 | 2021-01-08 | 浙江大学 | 基于统计学习和深度学习的工业控制系统通信网络异常分类方法 |
| CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
| CN113301049A (zh) * | 2021-05-26 | 2021-08-24 | 杭州安恒信息技术股份有限公司 | 一种工控设备的审计方法、装置、设备及可读存储介质 |
| CN113301049B (zh) * | 2021-05-26 | 2023-02-24 | 杭州安恒信息技术股份有限公司 | 一种工控设备的审计方法、装置、设备及可读存储介质 |
| CN113691417A (zh) * | 2021-08-14 | 2021-11-23 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工业协议的工控信息监控系统及方法 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN113691561B (zh) * | 2021-09-07 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN114355853A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
| CN114355853B (zh) * | 2021-12-30 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639733A (zh) | 适用于工控系统的安全检测与监控系统 | |
| Goyal et al. | Comparative study of two most popular packet sniffing tools-Tcpdump and Wireshark | |
| Hu et al. | FADM: DDoS flooding attack detection and mitigation system in software-defined networking | |
| US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| CA2499938C (en) | Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function | |
| Hou et al. | Machine learning based DDos detection through NetFlow analysis | |
| Barbosa et al. | Towards periodicity based anomaly detection in SCADA networks | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN101309179B (zh) | 一种基于主机活跃性和通信模式分析实时异常流量检测方法 | |
| CN104468631A (zh) | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 | |
| Zheng et al. | Safeguarding building automation networks: THE-driven anomaly detector based on traffic analysis | |
| CN111049843A (zh) | 一种智能变电站网络异常流量分析方法 | |
| CN102209006B (zh) | 规则测试设备及方法 | |
| Tang et al. | A simple framework for distributed forensics | |
| Song et al. | Flow-based statistical aggregation schemes for network anomaly detection | |
| Matoušek et al. | Increasing visibility of iec 104 communication in the smart grid | |
| Das et al. | Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics | |
| D’Antonio et al. | High-speed intrusion detection in support of critical infrastructure protection | |
| Nguyen et al. | Network traffic anomalies detection and identification with flow monitoring | |
| CN110995733B (zh) | 一种基于遥测技术的工控领域的入侵检测系统 | |
| Du et al. | IP packet size entropy-based scheme for detection of DoS/DDoS attacks | |
| Tartakovsky et al. | A nonparametric multichart CUSUM test for rapid intrusion detection | |
| Nagy et al. | Low-reaction time FPGA-based DDoS detector | |
| CN105025006B (zh) | 一种积极的信息安全运维平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190416 |