CN109962881A - 基于工业控制系统的入侵检测方法、装置以及系统 - Google Patents
基于工业控制系统的入侵检测方法、装置以及系统 Download PDFInfo
- Publication number
- CN109962881A CN109962881A CN201711403401.1A CN201711403401A CN109962881A CN 109962881 A CN109962881 A CN 109962881A CN 201711403401 A CN201711403401 A CN 201711403401A CN 109962881 A CN109962881 A CN 109962881A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- value range
- parameter value
- data
- transport protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种基于工业控制系统的入侵检测方法、装置以及系统,其中方法包括:接入工业控制总线的仿真设备,获取工业控制总线上的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及传输协议;将参数取值范围以及传输协议上报给监管服务器,判断参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,从而能够在工业控制系统遇到入侵时,及时进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
Description
技术领域
本发明涉及工业控制系统技术领域,尤其涉及一种基于工业控制系统的入侵检测方法、装置以及系统。
背景技术
随着科学技术的发展,工业控制系统(Industrial Control Systems,ICS)已成为电力、水力、石化天然气及交通运输等行业的基石。目前,针对工业控制系统的病毒攻击越来越多,但还没有针对工业控制系统的入侵检测手段,降低了工业控制系统的安全性和稳定性。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的第一个目的在于提出一种基于工业控制系统的入侵检测方法,用于解决现有技术中工业控制系统的安全性和稳定性差的问题。
本发明的第二个目的在于提出另一种基于工业控制系统的入侵检测方法。
本发明的第三个目的在于提出一种基于工业控制系统的入侵检测装置。
本发明的第四个目的在于提出另一种基于工业控制系统的入侵检测装置。
本发明的第五个目的在于提出一种基于工业控制系统的入侵检测系统。
为达上述目的,本发明第一方面实施例提出了一种基于工业控制系统的入侵检测方法,包括:
接入工业控制总线的仿真设备,获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;
将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。
进一步的,所述将所述参数取值范围以及所述传输协议上报给监管服务器之前,还包括:
获取超过预设数量阈值的样本广播数据;
将所述样本广播数据上报给监管服务器,以使所述监管服务器对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。
进一步的,所述的方法还包括:
获取所述监管服务器发送的所述工业控制总线上各个工控设备的基础数据;
根据所述工控设备的基础数据,对所述仿真设备的基础数据进行设置,以使所述仿真设备模拟所述工控设备接收广播数据。
本发明实施例的基于工业控制系统的入侵检测方法中,接入工业控制总线的仿真设备,通过获取工业控制总线上下位机向工控设备广播的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议;将参数取值范围以及传输协议上报给监管服务器,判断与传输协议对应的参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,以便监管服务器进行处理,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
为达上述目的,本发明第二方面实施例提出了一种基于工业控制系统的入侵检测方法,包括:
获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;所述参数取值范围以及所述传输协议为所述仿真设备对广播数据进行协议解析得到的;所述广播数据为工业控制总线上下位机向工控设备广播的广播数据;
将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
在所述参数取值范围存在异常时,向所述仿真设备发送异常指令,以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互,获取源设备的异常行为数据;
接收所述仿真设备上报的入侵信息;所述入侵信息中携带:所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。
进一步的,所述获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议之前,还包括:
接收所述仿真设备上报的超过预设数量阈值的样本广播数据;
对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。
进一步的,所述的方法还包括:
所述获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议之前,还包括:
接收所述仿真设备上报的超过预设数量阈值的样本广播数据;
对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。
进一步的,所述的方法还包括:
根据所述入侵信息进行报警提示;提示方式包括:声光提示、短信提示或者显示提示。
本发明实施例的基于工业控制系统的入侵检测方法,通过获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;将参数取值范围以及传输协议输入预设的安全模型,判断与传输协议对应的参数取值范围是否存在异常;在参数取值范围存在异常时,向仿真设备发送异常指令,以使仿真设备模拟广播数据中的目的工控设备与下位机进行交互,获取源设备的异常行为数据,并上报携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
为达上述目的,本发明第三方面实施例提出了一种基于工业控制系统的入侵检测装置,包括:
获取模块,用于获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;
上报模块,用于将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
模拟模块,用于在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。
本发明实施例的基于工业控制系统的入侵检测装置中,接入工业控制总线的仿真设备,通过获取工业控制总线上下位机向工控设备广播的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议;将参数取值范围以及传输协议上报给监管服务器,判断与传输协议对应的参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,以便监管服务器进行处理,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
为达上述目的,本发明第四方面实施例提出了一种基于工业控制系统的入侵检测装置,包括:
获取模块,用于获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;所述参数取值范围以及所述传输协议为仿真设备对广播数据进行协议解析得到的;所述广播数据为工业控制总线上下位机向工控设备广播的广播数据;
判断模块,用于将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
发送模块,用于在所述参数取值范围存在异常时,向所述仿真设备发送异常指令,以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互,获取源设备的异常行为数据;
接收模块,用于接收所述仿真设备上报的入侵信息;所述入侵信息中携带:所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。
本发明实施例的基于工业控制系统的入侵检测装置,通过获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;将参数取值范围以及传输协议输入预设的安全模型,判断与传输协议对应的参数取值范围是否存在异常;在参数取值范围存在异常时,向仿真设备发送异常指令,以使仿真设备模拟广播数据中的目的工控设备与下位机进行交互,获取源设备的异常行为数据,并上报携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
为达上述目的,本发明第五方面实施例提出了另一种基于工业控制系统的入侵检测系统,包括:仿真设备以及监管服务器;
所述仿真设备包括:控制器,以及与所述控制器连接的总线接口、实时时钟、存储器和以太网接口;所述控制器包括如第一方面实施例所述的基于工业控制系统的入侵检测装置;所述以太网接口连接所述监管服务器;
所述监管服务器包括:如第二方面实施例所述的基于工业控制系统的入侵检测装置。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例提供的一种基于工业控制系统的入侵检测方法的流程示意图;
图2为本发明实施例提供的另一种基于工业控制系统的入侵检测方法的流程示意图;
图3为本发明实施例提供的一种基于工业控制系统的入侵检测装置的结构示意图;
图4为本发明实施例提供的另一种基于工业控制系统的入侵检测装置的结构示意图;
图5为本发明实施例提供的另一种基于工业控制系统的入侵检测装置的结构示意图;
图6为本发明实施例提供的一种基于工业控制系统的入侵检测系统的结构示意图;
图7为本发明实施例提供的计算机设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的基于工业控制系统的入侵检测方法、装置以及系统。
图1为本发明实施例提供的一种基于工业控制系统的入侵检测方法的流程示意图。如图1所示,该基于工业控制系统的入侵检测方法包括以下步骤:
S101、接入工业控制总线的仿真设备,获取工业控制总线上下位机向工控设备广播的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议。
本发明提供的基于工业控制系统的入侵检测方法的执行主体为基于工业控制系统的入侵检测装置,基于工业控制系统的入侵检测装置具体可以为通过总线接口接入工业控制总线的仿真设备,例如计算机等。需要说明的是,仿真设备可以通过总线旁路接口接入工业控制总线,无需改造工业控制系统架构,从而避免对工业控制系统的数据传输造成影响。
本实施例中,工业控制总线上连接有下位机和工控设备,下位机与上位机连接,用于接收上位机的指令,根据上位机的指令向工控设备广播数据。在工业控制系统被病毒入侵的情况下,也是通过操纵源设备通过上位机和下位机向工控设备广播异常数据。本实施例中,工控设备例如可以为温度传感器、湿度传感器、压力传感器等。
下位机与工控设备的交互过程可以为,(1)下位机向工控设备广播数据,广播数据中包括:源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议。(2)各工控设备接收广播数据,在广播数据的传输协议与自身协议一致时,确定广播数据是广播给自身的,对广播数据进行协议解析;在传输协议与自身协议不一致时,确定广播数据不是广播给自身的,不对广播数据进行协议解析。或者,各工控设备采用自身协议对广播数据进行解析,判断解析是否成功,若解析成功,则确定广播数据是广播给自身的;若解析不成功,则确定广播数据不是广播给自身的。(3)工控设备根据广播数据,向下位机返回响应消息,例如,在工控设备为温度传感器,广播数据为温度取值范围时,温度传感器可以根据广播数据设置温度取值范围,并在设置成功后,向下位机返回设置成功响应消息;设置成功响应消息中携带:源设备地址信息、目的工控设备地址信息、传输协议、表示设置成功的内容等。
另外,需要说明的是,为了方便进行协议解析,仿真设备中可以设置有实时时钟,用于记录广播数据对应的时间。仿真设备还可以包括存储器,例如RAM,为临时数据提供内存支持。
S102、将参数取值范围以及传输协议上报给监管服务器,以使监管服务器将参数取值范围以及传输协议输入预设的安全模型,判断与传输协议对应的参数取值范围是否存在异常。
进一步的,本实施例中,步骤102之前,所述的方法还可以包括:获取超过预设数量阈值的样本广播数据;将样本广播数据上报给监管服务器,以使监管服务器对样本广播数据进行协议解析以及状态标注,得到训练数据,采用训练数据对初始的安全模型进行训练,得到预设的安全模型;状态包括:正常状态和异常状态。
其中,训练数据可以包括:传输协议、参数取值范围以及标注的状态。例如在传输协议为与压力相关的传输协议时,参数取值范围可以为压力取值范围。初始的安全模型例如可以为神经网络模型等。例如,用“1”表示正常状态,用“0”表示异常状态,采用上述训练数据对初始的安全模型进行训练后,训练后的安全模型的输入可以为待判断的参数取值范围以及传输协议,输出可以为“0”或者“1”,在输出为“0”时,确定参数取值范围存在异常;在输出为“1”时,确定参数取值范围不存在异常。另外,训练数据中还可以包括:源设备地址信息、目的工控地址信息等。
进一步的,步骤102之前,所述的方法还可以包括:获取监管服务器发送的工业控制总线上各个工控设备的基础数据;根据工控设备的基础数据,对仿真设备的基础数据进行设置,以使仿真设备模拟工控设备接收广播数据。其中,监管服务器可以根据标注为正常状态的训练数据,以及工业控制系统模型,确定工业控制系统中的各个工控设备的类型、收发数据等,进而确定工业控制系统中各个工控设备的基础数据。
其中,监管服务器可以根据标注为正常状态的训练数据,获取工业控制总线上的各个工控设备的地址信息、传输协议、参数取值范围以及其他信息,将这些信息作为工控设备的基础数据。另外,还需要进行说明的是,本实施例中,仿真设备可以获取至少一个工控设备的基础数据,根据至少一个工控设备的基础数据进行设置,模拟至少一个工控设备。例如,在工控设备包括温度传感器、湿度传感器、压力传感器等传感器的情况下,可以对仿真设备的基础数据进行设置,将仿真设备模拟为一个或者多个传感器,例如模拟为至少一个温度传感器加至少一个压力传感器。
S103、在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器。
本实施例中,在接收到监管服务器发送的异常指令时,仿真设备可以模拟目的工控设备与下位机进行交互,诱导源设备通过上位机和下位机发送与目标工控设备相关的数据,例如,仿真设备可以模拟目的工控设备向下位机返回设置成功响应消息;设置成功响应消息中携带:源设备地址信息,目的工控设备地址信息,传输协议,表示设置成功的内容等,使得源设备能够继续通过上位机和下位机向目的工控设备广播数据,从而获取到源设备的大量异常行为数据。其中,仿真设备可以通过将基础数据修改为所述目的工控设备的基础数据,来模拟目的工控设备。
本实施例中,仿真设备可以通过以太网接口与监管服务器进行连接,通过以太网接口将入侵信息上报给监管服务器。另外,监管服务器在接收到入侵信息后,可以根据入侵信息确定入侵行为是否可能对工业控制系统造成威胁,若是,则采用声光提示、短信提示、显示提示等方式进行报警提示,提示监管人员进行入侵排查等处理。
本发明实施例的基于工业控制系统的入侵检测方法中,接入工业控制总线的仿真设备,通过获取工业控制总线上下位机向工控设备广播的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议;将参数取值范围以及传输协议上报给监管服务器,判断与传输协议对应的参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,以便监管服务器进行处理,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
图2为本发明实施例提供的另一种基于工业控制系统的入侵检测方法的流程示意图。如图2所示,该基于工业控制系统的入侵检测方法包括以下步骤:
S201、获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;参数取值范围以及传输协议为仿真设备对广播数据进行协议解析得到的;广播数据为工业控制总线上下位机向工控设备广播的广播数据。
本发明提供的基于工业控制系统的入侵检测方法的执行主体为基于工业控制系统的入侵检测装置,基于工业控制系统的入侵检测装置具体可以为监管服务器。需要说明的是,仿真设备可以通过总线旁路接口接入工业控制总线,无需改造工业控制系统架构,从而避免对工业控制系统的数据传输造成影响。
本实施例中,工业控制总线上连接有下位机和工控设备,下位机与上位机连接,用于接收上位机的指令,根据上位机的指令向工控设备广播数据。在工业控制系统被病毒入侵的情况下,也是通过操纵源设备通过上位机和下位机向工控设备广播异常数据。本实施例中,工控设备例如可以为温度传感器、湿度传感器、压力传感器等。
下位机与工控设备的交互过程可以为,(1)下位机向工控设备广播数据,广播数据中包括:源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议。(2)各工控设备接收广播数据,在广播数据的传输协议与自身协议一致时,确定广播数据是广播给自身的,对广播数据进行协议解析;在传输协议与自身协议不一致时,确定广播数据不是广播给自身的,不对广播数据进行协议解析。或者,各工控设备采用自身协议对广播数据进行解析,判断解析是否成功,若解析成功,则确定广播数据是广播给自身的;若解析不成功,则确定广播数据不是广播给自身的。(3)工控设备根据广播数据,向下位机返回响应消息,例如,在工控设备为温度传感器,广播数据为温度取值范围时,温度传感器可以根据广播数据设置温度取值范围,并在设置成功后,向下位机返回设置成功响应消息;设置成功响应消息中携带:源设备地址信息、目的工控设备地址信息、传输协议、表示设置成功的内容等。
本实施例中,仿真设备可以通过模拟工控设备,获取下位机向工控设备广播的广播数据,并进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议。
S202、将参数取值范围以及传输协议输入预设的安全模型,判断与传输协议对应的参数取值范围是否存在异常。
进一步的,本实施例中,步骤201之前,所述的方法还可以包括:接收仿真设备上报的超过预设数量阈值的样本广播数据;对样本广播数据进行协议解析以及状态标注,得到训练数据,采用训练数据对初始的安全模型进行训练,得到预设的安全模型;状态包括:正常状态和异常状态。
进一步的,步骤201之前,所述的方法还可以包括:根据标注为正常状态的训练数据,确定工业控制总线上各个工控设备的基础数据;将工业控制总线上各个工控设备的基础数据发送给仿真设备。
其中,监管服务器可以根据标注为正常状态的训练数据,以及工业控制系统模型,确定工业控制系统中的各个工控设备的类型、收发数据等,进而确定工业控制系统中各个工控设备的基础数据。具体的,监管服务器可以根据标注为正常状态的训练数据,获取工业控制总线上的各个工控设备的地址信息、传输协议、参数取值范围以及其他信息,将这些信息作为工控设备的基础数据。
另外,仿真数据在接收到监管服务器发送的各个工控设备的基础数据后,根据工控设备的基础数据,对仿真设备的基础数据进行设置,以使仿真设备模拟工控设备接收广播数据。还需要进行说明的是,本实施例中,仿真设备可以获取至少一个工控设备的基础数据,根据至少一个工控设备的基础数据进行设置,模拟至少一个工控设备。例如,在工控设备包括温度传感器、湿度传感器、压力传感器等传感器的情况下,可以对仿真设备的基础数据进行设置,将仿真设备模拟为一个或者多个传感器,例如模拟为至少一个温度传感器加至少一个压力传感器。
S203、在参数取值范围存在异常时,向仿真设备发送异常指令,以使仿真设备模拟广播数据中的目的工控设备与下位机进行交互,获取源设备的异常行为数据。
本实施例中,仿真设备在接收到监管服务器发送的异常指令时,可以模拟目的工控设备与下位机进行交互,诱导源设备通过上位机和下位机发送与目标工控设备相关的数据,例如,仿真设备可以模拟目的工控设备向下位机返回设置成功响应消息;设置成功响应消息中携带:源设备地址信息,目的工控设备地址信息,传输协议,表示设置成功的内容等,使得源设备能够继续通过上位机和下位机向目的工控设备广播数据,从而获取到源设备的大量异常行为数据。其中,仿真设备可以通过将基础数据修改为所述目的工控设备的基础数据,来模拟目的工控设备。
S204、接收仿真设备上报的入侵信息;入侵信息中携带:异常行为数据、参数取值范围、传输协议以及源设备地址信息。
本实施例中,监管服务器可以通过以太网接口与仿真设备进行连接,通过以太网接口接收仿真设备上报的入侵信息。另外,监管服务器在接收到入侵信息后,可以根据入侵信息确定入侵行为是否可能对工业控制系统造成威胁,若是,则采用声光提示、短信提示、显示提示等方式进行报警提示,提示监管人员进行入侵排查等处理。
本发明实施例的基于工业控制系统的入侵检测方法,通过获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;将参数取值范围以及传输协议输入预设的安全模型,判断与传输协议对应的参数取值范围是否存在异常;在参数取值范围存在异常时,向仿真设备发送异常指令,以使仿真设备模拟广播数据中的目的工控设备与下位机进行交互,获取源设备的异常行为数据,并上报携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
图3为本发明实施例提供的一种基于工业控制系统的入侵检测装置的结构示意图。如图3所示,包括:获取模块31、上报模块32和模拟模块33。
其中,获取模块31,用于获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;
上报模块32,用于将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
模拟模块33,用于在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。
本发明提供的基于工业控制系统的入侵检测装置具体可以为通过总线接口接入工业控制总线的仿真设备,例如计算机等。需要说明的是,仿真设备可以通过总线旁路接口接入工业控制总线,无需改造工业控制系统架构,从而避免对工业控制系统的数据传输造成影响。
本实施例中,工业控制总线上连接有下位机和工控设备,下位机与上位机连接,用于接收上位机的指令,根据上位机的指令向工控设备广播数据。在工业控制系统被病毒入侵的情况下,也是通过操纵源设备通过上位机和下位机向工控设备广播异常数据。
进一步的,在图3所示实施例的基础上,所述获取模块31,还用于获取超过预设数量阈值的样本广播数据;
所述上报模块32,还用于将样本广播数据上报给监管服务器,以使监管服务器对样本广播数据进行协议解析以及状态标注,得到训练数据,采用训练数据对初始的安全模型进行训练,得到预设的安全模型;状态包括:正常状态和异常状态。
其中,训练数据可以包括:传输协议、参数取值范围以及标注的状态。例如在传输协议为与压力相关的传输协议时,参数取值范围可以为压力取值范围。初始的安全模型例如可以为神经网络模型等。例如,用“1”表示正常状态,用“0”表示异常状态,采用上述训练数据对初始的安全模型进行训练后,训练后的安全模型的输入可以为待判断的参数取值范围以及传输协议,输出可以为“0”或者“1”,在输出为“0”时,确定参数取值范围存在异常;在输出为“1”时,确定参数取值范围不存在异常。另外,训练数据中还可以包括:源设备地址信息、目的工控地址信息等。
进一步的,在图3所示实施例的基础上,所述获取模块31,还用于获取监管服务器发送的工业控制总线上各个工控设备的基础数据;
所述模拟模块33,还用于根据工控设备的基础数据,对仿真设备的基础数据进行设置,以使仿真设备模拟工控设备接收广播数据。
其中,监管服务器可以根据标注为正常状态的训练数据,以及工业控制系统模型,确定工业控制系统中的各个工控设备的类型、收发数据等,进而确定工业控制系统中各个工控设备的基础数据。
其中,监管服务器可以根据标注为正常状态的训练数据,获取工业控制总线上的各个工控设备的地址信息、传输协议、参数取值范围以及其他信息,将这些信息作为工控设备的基础数据。另外,还需要进行说明的是,本实施例中,仿真设备可以获取至少一个工控设备的基础数据,根据至少一个工控设备的基础数据进行设置,模拟至少一个工控设备。例如,在工控设备包括温度传感器、湿度传感器、压力传感器等传感器的情况下,可以对仿真设备的基础数据进行设置,将仿真设备模拟为一个或者多个传感器,例如模拟为至少一个温度传感器加至少一个压力传感器。
本发明实施例的基于工业控制系统的入侵检测装置中,接入工业控制总线的仿真设备,通过获取工业控制总线上下位机向工控设备广播的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议;将参数取值范围以及传输协议上报给监管服务器,判断与传输协议对应的参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,以便监管服务器进行处理,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
图4为本发明实施例提供的另一种基于工业控制系统的入侵检测装置的结构示意图。如图4所示,包括:获取模块41、判断模块42、发送模块43和接收模块44。
其中,获取模块41,用于获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;所述参数取值范围以及所述传输协议为仿真设备对广播数据进行协议解析得到的;所述广播数据为工业控制总线上下位机向工控设备广播的广播数据;
判断模块42,用于将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
发送模块43,用于在所述参数取值范围存在异常时,向所述仿真设备发送异常指令,以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互,获取源设备的异常行为数据;
接收模块44,用于接收所述仿真设备上报的入侵信息;所述入侵信息中携带:所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。
本发明提供的基于工业控制系统的入侵检测装置具体可以为监管服务器。需要说明的是,仿真设备可以通过总线旁路接口接入工业控制总线,无需改造工业控制系统架构,从而避免对工业控制系统的数据传输造成影响。
本实施例中,仿真设备可以通过模拟工控设备,获取下位机向工控设备广播的广播数据,并进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议。
进一步的,结合参考图5,在图4所示实施例的基础上,所述的装置还可以包括:标注模块45和训练模块46;
其中,所述接收模块44,还用于接收仿真设备上报的超过预设数量阈值的样本广播数据;
所述标注模块45,用于对样本广播数据进行协议解析以及状态标注,得到训练数据;状态包括:正常状态和异常状态。
所述训练模块46,用于采用训练数据对初始的安全模型进行训练,得到预设的安全模型;
进一步的,在上述实施例的基础上,所述的装置还包括:确定模块;
所述确定模块,用于根据标注为正常状态的训练数据,确定工业控制总线上各个工控设备的基础数据;
所述发送模块,还用于将工业控制总线上各个工控设备的基础数据发送给仿真设备。
其中,监管服务器可以根据标注为正常状态的训练数据,以及工业控制系统模型,确定工业控制系统中的各个工控设备的类型、收发数据等,进而确定工业控制系统中各个工控设备的基础数据。具体的,监管服务器可以根据标注为正常状态的训练数据,获取工业控制总线上的各个工控设备的地址信息、传输协议、参数取值范围以及其他信息,将这些信息作为工控设备的基础数据。
本实施例中,仿真设备在接收到监管服务器发送的异常指令时,可以模拟目的工控设备与下位机进行交互,诱导源设备通过上位机和下位机发送与目标工控设备相关的数据,例如,仿真设备可以模拟目的工控设备向下位机返回设置成功响应消息;设置成功响应消息中携带:源设备地址信息,目的工控设备地址信息,传输协议,表示设置成功的内容等,使得源设备能够继续通过上位机和下位机向目的工控设备广播数据,从而获取到源设备的大量异常行为数据。其中,仿真设备可以通过将基础数据修改为所述目的工控设备的基础数据,来模拟目的工控设备。
本实施例中,监管服务器可以通过以太网接口与仿真设备进行连接,通过以太网接口接收仿真设备上报的入侵信息。另外,监管服务器在接收到入侵信息后,可以根据入侵信息确定入侵行为是否可能对工业控制系统造成威胁,若是,则采用声光提示、短信提示、显示提示等方式进行报警提示,提示监管人员进行入侵排查等处理。
本发明实施例的基于工业控制系统的入侵检测装置,通过获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;将参数取值范围以及传输协议输入预设的安全模型,判断与传输协议对应的参数取值范围是否存在异常;在参数取值范围存在异常时,向仿真设备发送异常指令,以使仿真设备模拟广播数据中的目的工控设备与下位机进行交互,获取源设备的异常行为数据,并上报携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
图6为本发明实施例提供的一种基于工业控制系统的入侵检测系统的结构示意图。如图6所示,包括:仿真设备61以及监管服务器62;
所述仿真设备61包括:控制器,以及与控制器连接的总线接口、实时时钟、存储器和以太网接口;控制器包括如图1所示实施例所述的基于工业控制系统的入侵检测装置;以太网接口连接监管服务器;
监管服务器包括:如图2所示实施例所述的基于工业控制系统的入侵检测装置。
其中,以太网接口可以通过以太网与监管服务器实现连接。
本实施例中,各装置功能的具体描述可以参考图3至图5所示实施例,此处不再做详细描述。
图7示出了适于用来实现本申请实施方式的示例性计算机设备的框图。图7显示的计算机设备72仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机设备72以通用计算设备的形式表现。计算机设备72的组件可以包括但不限于:一个或者多个处理器或者处理单元76,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元76)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture;以下简称:ISA)总线,微通道体系结构(Micro Channel Architecture;以下简称:MAC)总线,增强型ISA总线、视频电子标准协会(Video Electronics StandardsAssociation;以下简称:VESA)局域总线以及外围组件互连(Peripheral ComponentInterconnection;以下简称:PCI)总线。
计算机设备72典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备72访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(Random Access Memory;以下简称:RAM)30和/或高速缓存存储器66。计算机设备72可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统64可以用于读写不可移动的、非易失性磁介质(图7未显示,通常称为“硬盘驱动器”)。尽管图7中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如:光盘只读存储器(Compact Disc Read OnlyMemory;以下简称:CD-ROM)、数字多功能只读光盘(Digital Video Disc Read OnlyMemory;以下简称:DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本申请各实施例的功能。
具有一组(至少一个)程序模块22的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块22包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块22通常执行本申请所描述的实施例中的功能和/或方法。
计算机设备72也可以与一个或多个外部设备74(例如键盘、指向设备、显示器54等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器72交互的设备通信,和/或与使得该计算机系统/服务器72能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口52进行。并且,计算机设备72还可以通过网络适配器20与一个或者多个网络(例如局域网(Local AreaNetwork;以下简称:LAN),广域网(Wide Area Network;以下简称:WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机设备72的其它模块通信。应当明白,尽管图中未示出,可以结合计算机设备72使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元76通过运行存储在系统存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现前述实施例中提及的方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种基于工业控制系统的入侵检测方法,其特征在于,包括:
接入工业控制总线的仿真设备,获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;
将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。
2.根据权利要求1所述的方法,其特征在于,所述将所述参数取值范围以及所述传输协议上报给监管服务器之前,还包括:
获取超过预设数量阈值的样本广播数据;
将所述样本广播数据上报给监管服务器,以使所述监管服务器对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。
3.根据权利要求2所述的方法,其特征在于,还包括:
获取所述监管服务器发送的所述工业控制总线上各个工控设备的基础数据;
根据所述工控设备的基础数据,对所述仿真设备的基础数据进行设置,以使所述仿真设备模拟所述工控设备接收广播数据。
4.一种基于工业控制系统的入侵检测方法,其特征在于,包括:
获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;所述参数取值范围以及所述传输协议为所述仿真设备对广播数据进行协议解析得到的;所述广播数据为工业控制总线上下位机向工控设备广播的广播数据;
将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
在所述参数取值范围存在异常时,向所述仿真设备发送异常指令,以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互,获取源设备的异常行为数据;
接收所述仿真设备上报的入侵信息;所述入侵信息中携带:所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。
5.根据权利要求4所述的方法,其特征在于,所述获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议之前,还包括:
接收所述仿真设备上报的超过预设数量阈值的样本广播数据;
对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。
6.根据权利要求4所述的方法,其特征在于,还包括:
根据标注为正常状态的训练数据,确定所述工业控制总线上各个工控设备的基础数据;
将所述工业控制总线上各个工控设备的基础数据发送给所述仿真设备。
7.根据权利要求4所述的方法,其特征在于,还包括:
根据所述入侵信息进行报警提示;提示方式包括:声光提示、短信提示或者显示提示。
8.一种基于工业控制系统的入侵检测装置,其特征在于,包括:
获取模块,用于获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;
上报模块,用于将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
模拟模块,用于在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。
9.一种基于工业控制系统的入侵检测装置,其特征在于,包括:
获取模块,用于获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;所述参数取值范围以及所述传输协议为仿真设备对广播数据进行协议解析得到的;所述广播数据为工业控制总线上下位机向工控设备广播的广播数据;
判断模块,用于将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;
发送模块,用于在所述参数取值范围存在异常时,向所述仿真设备发送异常指令,以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互,获取源设备的异常行为数据;
接收模块,用于接收所述仿真设备上报的入侵信息;所述入侵信息中携带:所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。
10.一种基于工业控制系统的入侵检测系统,其特征在于,包括:仿真设备以及监管服务器;
所述仿真设备包括:控制器,以及与所述控制器连接的总线接口、实时时钟、存储器和以太网接口;所述控制器包括如权利要求8所述的基于工业控制系统的入侵检测装置;所述以太网接口连接所述监管服务器;
所述监管服务器包括:如权利要求9所述的基于工业控制系统的入侵检测装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711403401.1A CN109962881A (zh) | 2017-12-22 | 2017-12-22 | 基于工业控制系统的入侵检测方法、装置以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711403401.1A CN109962881A (zh) | 2017-12-22 | 2017-12-22 | 基于工业控制系统的入侵检测方法、装置以及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109962881A true CN109962881A (zh) | 2019-07-02 |
Family
ID=67019179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711403401.1A Pending CN109962881A (zh) | 2017-12-22 | 2017-12-22 | 基于工业控制系统的入侵检测方法、装置以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109962881A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110442837A (zh) * | 2019-07-29 | 2019-11-12 | 北京威努特技术有限公司 | 复杂周期模型的生成方法、装置及其检测方法、装置 |
| CN110535854A (zh) * | 2019-08-28 | 2019-12-03 | 南京市晨枭软件技术有限公司 | 一种用于工业控制系统入侵检测方法及系统 |
| CN111669411A (zh) * | 2020-07-28 | 2020-09-15 | 国网电子商务有限公司 | 一种工控设备异常检测方法及系统 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
| CN113489675A (zh) * | 2021-05-25 | 2021-10-08 | 深圳供电局有限公司 | 电力终端入侵检测方法、装置、设备及存储介质 |
| CN113645241A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种工控专有协议的入侵检测方法、装置及设备 |
| CN113987481A (zh) * | 2021-12-23 | 2022-01-28 | 浙江国利网安科技有限公司 | 工控入侵检测方法、装置、存储介质和设备 |
| CN114415606A (zh) * | 2021-12-16 | 2022-04-29 | 北京天玛智控科技股份有限公司 | 控制方法和系统 |
| CN117278423A (zh) * | 2023-11-07 | 2023-12-22 | 国家工业信息安全发展研究中心 | 模型构建方法、测试平台、计算机设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102136100A (zh) * | 2010-01-25 | 2011-07-27 | 索尼公司 | 电力管理设备、电子机器以及管理电力的方法 |
| CN103248607A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 基于IPv4和IPv6的拒绝服务攻击检测方法及系统 |
| CN105429987A (zh) * | 2015-11-25 | 2016-03-23 | 西安科技大学 | 一种计算机网络的安全系统 |
| EP3093721A1 (en) * | 2015-05-14 | 2016-11-16 | Yokogawa Electric Corporation | Field device configuration system and method |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN107409073A (zh) * | 2015-03-04 | 2017-11-28 | 高通股份有限公司 | 用于自动化对物联网设备健康状况的直接和间接本地监视的行为分析 |
-
2017
- 2017-12-22 CN CN201711403401.1A patent/CN109962881A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102136100A (zh) * | 2010-01-25 | 2011-07-27 | 索尼公司 | 电力管理设备、电子机器以及管理电力的方法 |
| CN103248607A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 基于IPv4和IPv6的拒绝服务攻击检测方法及系统 |
| CN107409073A (zh) * | 2015-03-04 | 2017-11-28 | 高通股份有限公司 | 用于自动化对物联网设备健康状况的直接和间接本地监视的行为分析 |
| EP3093721A1 (en) * | 2015-05-14 | 2016-11-16 | Yokogawa Electric Corporation | Field device configuration system and method |
| CN105429987A (zh) * | 2015-11-25 | 2016-03-23 | 西安科技大学 | 一种计算机网络的安全系统 |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110442837A (zh) * | 2019-07-29 | 2019-11-12 | 北京威努特技术有限公司 | 复杂周期模型的生成方法、装置及其检测方法、装置 |
| CN110442837B (zh) * | 2019-07-29 | 2023-04-07 | 北京威努特技术有限公司 | 复杂周期模型的生成方法、装置及其检测方法、装置 |
| CN110535854A (zh) * | 2019-08-28 | 2019-12-03 | 南京市晨枭软件技术有限公司 | 一种用于工业控制系统入侵检测方法及系统 |
| CN111669411B (zh) * | 2020-07-28 | 2021-11-19 | 国网电子商务有限公司 | 一种工控设备异常检测方法及系统 |
| CN111669411A (zh) * | 2020-07-28 | 2020-09-15 | 国网电子商务有限公司 | 一种工控设备异常检测方法及系统 |
| CN112486139A (zh) * | 2020-11-12 | 2021-03-12 | 顶象科技有限公司 | 基于虚拟补丁的工业控制系统保护方法、装置、设备及介质 |
| CN113489675A (zh) * | 2021-05-25 | 2021-10-08 | 深圳供电局有限公司 | 电力终端入侵检测方法、装置、设备及存储介质 |
| CN113489675B (zh) * | 2021-05-25 | 2023-08-25 | 深圳供电局有限公司 | 电力终端入侵检测方法、装置、设备及存储介质 |
| CN113645241A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种工控专有协议的入侵检测方法、装置及设备 |
| CN113645241B (zh) * | 2021-08-11 | 2022-11-25 | 杭州安恒信息技术股份有限公司 | 一种工控专有协议的入侵检测方法、装置及设备 |
| CN114415606A (zh) * | 2021-12-16 | 2022-04-29 | 北京天玛智控科技股份有限公司 | 控制方法和系统 |
| CN113987481A (zh) * | 2021-12-23 | 2022-01-28 | 浙江国利网安科技有限公司 | 工控入侵检测方法、装置、存储介质和设备 |
| CN117278423A (zh) * | 2023-11-07 | 2023-12-22 | 国家工业信息安全发展研究中心 | 模型构建方法、测试平台、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109962881A (zh) | 基于工业控制系统的入侵检测方法、装置以及系统 | |
| WO2022257925A1 (zh) | 基于数字孪生的故障预测方法、装置、服务器及存储介质 | |
| CN104252479B (zh) | 信息的处理方法、装置和系统 | |
| CN108156166A (zh) | 异常访问识别和接入控制方法及装置 | |
| CN107610702A (zh) | 终端设备待机唤醒方法、装置及计算机设备 | |
| CN109348275A (zh) | 视频处理方法和装置 | |
| WO2018201615A1 (zh) | 一种电池管理单元的测试方法及系统 | |
| CN103745382A (zh) | 智慧城市app应用群广告推送方法、装置及系统 | |
| CN109101228A (zh) | 应用程序的执行方法和装置 | |
| CN109304034A (zh) | 一种游戏作弊检测方法及相关设备 | |
| US7840948B2 (en) | Automation of keyboard accessibility testing | |
| CN113553765A (zh) | 锅炉运行过程的动态仿真模拟方法、装置及系统 | |
| CN109688030A (zh) | 报文检测方法、装置、设备和存储介质 | |
| CN107368568A (zh) | 一种笔记生成的方法、装置、设备和存储介质 | |
| CN110188303A (zh) | 页面错误识别方法和装置 | |
| CN110362825A (zh) | 一种基于文本的金融数据抽取方法、装置和电子设备 | |
| US10990669B2 (en) | Vehicle intrusion detection system training data generation | |
| CN107844531A (zh) | 答案输出方法、装置和计算机设备 | |
| CN109032947A (zh) | 用于操作系统的测试方法、装置、设备和存储介质 | |
| CN107291069A (zh) | 真空泵控制器测试装置 | |
| CN112884280A (zh) | 嵌入在fmea系统中的失效分析方法及装置 | |
| CN108734369A (zh) | 推广情况的监控方法、装置、设备及计算机可读存储介质 | |
| US20170316457A1 (en) | System and Method for Measuring Mobile Advertising and Content by Simulating Mobile-Device Usage | |
| CN100501669C (zh) | 一种屏幕保护方法及系统 | |
| CN110278099A (zh) | 报文测试方法、装置和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190702 |