CN110351235A - 监测方法和装置、工业控制系统和计算机可读介质 - Google Patents
监测方法和装置、工业控制系统和计算机可读介质 Download PDFInfo
- Publication number
- CN110351235A CN110351235A CN201910090298.2A CN201910090298A CN110351235A CN 110351235 A CN110351235 A CN 110351235A CN 201910090298 A CN201910090298 A CN 201910090298A CN 110351235 A CN110351235 A CN 110351235A
- Authority
- CN
- China
- Prior art keywords
- control system
- industrial control
- physics
- data packet
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明提供一种用于监测工业控制系统的运行安全的监测方法、监测装置、工业控制系统和计算机可读介质。该监测方法包括:从所述工业控制系统的工业控制网络采集数据包;通过对所述数据包进行应用层解析,获取所述工业控制系统的物理特征量;以及基于所述物理特征量监测所述工业控制系统的运行异常。
Description
技术领域
本发明涉及工业控制领域,尤其涉及一种用于监测工业控制系统的运行安全的监测方法、监测装置、工业控制系统和计算机可读介质。
背景技术
核电工业控制系统用于监测和控制核电厂的各个流程和设备,若其受到网络安全的威胁,则会影响核电厂的安全和性能,可能会导致流程异常和设备故障,甚至酿成严重事故。由于核电工业控制系统在控制实时性、运行连续性方面有较高的要求,且采用专用工控协议,因此信息系统的网络安全方法和策略无法直接应用于核电工控系统。监测审计方法作为一种对系统运行干扰小的网络安全方法,可以应用于核电工控系统。
然而,现有的监测审计方法存在以下问题:1)现有工控网络安全监测审计的数据包解析方法一般仅得到网络特征量,个别方法可以根据特定的工控协议,分析得到工控协议中各个数据字段的值。上述方法均未结合具体的工艺过程还原出相关的物理特征量;2)现有的工控网络安全监测审计的异常判定方法只利用网络特征量或工控协议数据字段的值,没有利用工艺层面的物理特征量,无法应对网络特征量或工控协议数据结构正常、但控制行为异常的网络攻击。
背景技术部分的内容仅仅是发明人所知晓的技术,并不当然代表本领域的现有技术。
发明内容
针对现有技术存在问题中的一个或多个,本发明提供一种用于监测工业控制系统的运行安全的监测方法,包括:从所述工业控制系统的工业控制网络采集数据包;通过对所述数据包进行应用层解析,获取所述工业控制系统的物理特征量;以及基于所述物理特征量监测所述工业控制系统的运行异常。
根据本发明的一个方面,还提供一种用于监测工业控制系统的运行的监测装置,包括:采集单元,被配置为从所述工业控制系统的工业控制网络采集数据包;获取单元,通过对所述数据包进行应用层解析,获取所述工业控制系统的物理特征量;以及监测单元,被配置为基于所述物理特征量监测所述工业控制系统的运行异常。
根据本发明的一个方面,还提供一种工业控制系统,包括如上所述的监测装置。
根据本发明的一个方面,还提供一种计算机存储介质,包括存储于其上的计算机可执行指令,所述可执行指令在被处理器执行时实施如上所述的监测方法。
根据本发明的用于监测工业控制系统的运行的监测方法、监测装置、工业控制系统和计算机可读介质至少具有以下有益技术效果之一:能够通过对从网络获取的数据包进行解析获取工控数据,并利用工控系统的组态信息获取物理特征量;并且基于还原得到的物理特征量,扩展监测审计的数据来源,有助于识别更多更隐蔽的工控网络攻击,降低工控网络入侵检测的漏报率。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1示出了根据本发明的用于监测工业控制系统的运行安全的监测方法的示意图。
图2示出了Modbus协议中、请求数据包及其对应的应答数据包的示例。
图3示出了根据本发明实施例的监测装置的一种示例性结构的框图。
图4示出了根据本发明的用于监测工业控制系统的运行安全的监测方法的一种示例性处理。
图5是示出了可用来实现根据本发明实施例的用于监测工业控制系统的运行安全的监测方法和监测装置的一种可能的信息处理设备的硬件配置的结构简图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本发明的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
在本发明的描述中,需要理解的是,术语"中心"、"纵向"、"横向"、" 长度"、"宽度"、"厚度"、"上"、"下"、"前"、"后"、"左"、"右"、"竖直"、 "水平"、"顶"、"底"、"内"、"外"、"顺时针"、"逆时针"等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语"第一"、" 第二"仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有"第一"、"第二"的特征可以明示或者隐含地包括一个或者更多个所述特征。在本发明的描述中,"多个"的含义是两个或两个以上,除非另有明确具体的限定。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语" 安装"、"相连"、"连接"应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接:可以是机械连接,也可以是电连接或可以相互通讯;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征之"上" 或之"下"可以包括第一和第二特征直接接触,也可以包括第一和第二特征不是直接接触而是通过它们之间的另外的特征接触。而且,第一特征在第二特征"之上"、"上方"和"上面"包括第一特征在第二特征正上方和斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征"之下"、"下方 "和"下面"包括第一特征在第二特征正上方和斜上方,或仅仅表示第一特征水平高度小于第二特征。
下文的公开提供了许多不同的实施方式或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。当然,它们仅仅为示例,并且目的不在于限制本发明。此外,本发明可以在不同例子中重复参考数字和/或参考字母,这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施方式和/或设置之间的关系。此外,本发明提供了的各种特定的工艺和材料的例子,但是本领域普通技术人员可以意识到其他工艺的应用和/或其他材料的使用。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
根据本发明,提供一种用于监测工业控制系统的运行安全的监测方法,其通过对从工业控制网络获取的数据包进行解析来还原物理特征量,以通过物理特征量对工业控制系统的安全运行进行监测。
图1示出了根据本发明的监测方法的示意图。
如图1所示,本发明的监测方法可以包括:
在步骤S11,从所述工业控制系统的工业控制网络采集数据包;
在步骤S12,通过对所述数据包进行应用层解析,获取所述工业控制系统的物理特征量;以及
在步骤S13,基于所述物理特征量监测所述工业控制系统的运行异常。
根据本发明的一个实施例,在步骤S11,可以通过工业控制系统中的采集模块捕获工控网络上通信的数据包,并将捕获的数据包放入缓存;数据包采集模块可以使用例如旁路镜像的方式从工业控制网络中获取数据包。旁路镜像是一种常用的网络监控模式,通过端口镜像把交换机一个或多个端口的数据镜像到一个或多个端口。通过端口就可以获取网络中的数据流量而不影响原有的网络结构。
在步骤S12,可以对在步骤S11采集到的数据包进行应用层解析,以获取工业控制系统的物理特征量。
根据本发明的一个实施例,获取工业控制系统的物理特征量可以包括:通过对所述数据包进行应用层解析,以获取应用层信息;利用所述应用层信息,对所述数据包进行请求应答整合,以获取工控操作数据;以及根据所述工业控制系统的组态信息,对所述工控操作数据进行物理特征量匹配,以还原所述工业控制系统的物理特征量。
根据本发明,在步骤S12,获取所述应用层信息可以包括:根据工控应用协议,对采集到的数据包进行解析,以获取包括功能码和数据在内的应用层信息。具体地,可以对从工控网络采集到的数据包的数据段进行工控应用协议分析,即利用工控应用协议对从工控网络采集到的数据包的数据段进行解析,从而获取应用层信息。根据本发明的工控应用协议可以为本领域技术人员公知的任意一种应用层传输协议,例如Modbus TCP、Siemens S7等。根据本发明,通过对数据包进行应用层解析,可以获取包括功能码和数据在内的应用层信息。实现控制器中寄存器的数据访问功能。
在步骤S12,在获取了应用层信息之后,可以对所述数据包进行请求应答整合,以获取工控操作数据。根据本发明的一个实施例,获取工控操作数据可以包括:通过所述应用层信息中包括的功能码,将所采集到的数据包中执行请求的数据包与其对应的响应数据包进行匹配整合,从而获取所述工控操作数据。优选地,所述工控操作数据可以包括:寄存器地址、寄存器值以及操作指令。
具体地,例如,可以通过上位机(操作员界面)以固定的时间间隔向控制器发送数据包来请求控制器(例如,可编程逻辑控制器PLC)中的数据,从而整合上位机对控制器的请求数据包和控制器对上位机的应答数据包,来获取工控操作数据。例如,在Modbus协议中,响应功能码=请求功能码,把请求数据包中的寄存器号和应答数据包中的数据进行一一对应,如图2所示,例如,可以通过事务标识符(Transaction Identifier)匹配可以将请求数据包和应答数据包一一对应匹配,从而可以得到包括如下参数的工控操作数据:可以在请求数据包中获取寄存器地址,其中,reference number为48 表示要读取的寄存器的起始编号为48,word count为4表示要读取的寄存器的数目;并且可以在应答数据包中获取寄存器的值:如图2所示,在应答数据包中列出了4个寄存器的值。
根据本发明的一个实施例,工控操作数据还可以包括操作指令,如图2 所示,“Function code=Read Input Registers”表示读保持寄存器。以“阀门AA101状态为打开”为例,操作指令应该为“读寄存器”,阀门的状态是读取的结果,即指示“阀门AA101状态为打开”是从控制器反馈到上位机的信息。
基于获得的工控操作数据,在步骤S12,可以根据所述工业控制系统的组态信息,对所述工控操作数据进行物理特征量匹配,以还原所述工业控制系统的物理特征量,以便基于所述物理特征量监测所述工业控制系统的运行异常。
根据本发明,可以利用工控系统的组态信息对数据进行物理特征量匹配,还原出工控系统物理特征量信息。工控系统的组态信息是控制器(PLC)应用设计阶段的设计结果,其可以通过设计方获取,也可以从控制器中读取。工控系统的组态信息可以包括控制器(例如可编程逻辑控制器(PLC))中的各器件与工控系统内物理特征量的对应关系,例如控制系统中的寄存器(更具体地,例如寄存器地址)与工控系统中的泵状态、水位、阀门状态等物理特征量的对应关系。根据本发明的一个实施例,组态信息可以包括两部分:物理量名称与寄存器地址的对应关系,例如,M2.1号寄存器存储的是泵的开关状态;以及物理量内容与寄存器数值的对应关系,例如“M2.1号寄存器的值为‘1’表示泵为‘开’状态,为‘0’表示泵为‘关’状态。
可以基于工控系统的组态信息,将所获得的工控操作数据进行物理特征量匹配,从而还原得到包括物理特征量测量反馈和控制指令的信息。
根据本发明的一个实施例,物理特征量匹配可以包括两部分:对所述工控操作数据进行所述物理特征量的名称的匹配以及内容的匹配。物理特征量名称匹配可以包括:根据工业控制系统中的组态信息,将工控操作数据中表示控制器中器件的地址的信息(例如寄存器地址)转换为物理特征量的名称,如“水位CL001”、“阀门AA101状态”、“泵AN001的控制”等。物理特征量内容匹配可以包括将表示控制器中器件值的信息(例如寄存器值)转换为物理特征量的内容,如“1.0米”、“打开”、“启动”。包括物理特征量名称匹配和物理特征量内容匹配的物理特征量匹配最终得到物理量的反馈和/或控制信息,如“水位CL001为1.0米”、“阀门AA101状态为打开”、“启动泵AN001”,用于后续的安全监测审计及报警。
根据本发明的监测方法,在通过工控系统的组态信息还原了物理特征量之后,可以在步骤S13,基于物理特征量来判断工业控制系统的运行异常。
根据本发明的一个实施例,基于获取的物理特征量来监测工业控制系统的运行异常可以包括:针对多个所述物理特征量中至少一个,利用预定的第一事件规则,判断所述物理特征量是否构成事件;以及根据多个所述事件中的至少一个,基于预定的第一报警规则,判断所述工业控制系统是否存在运行异常。
根据本发明,例如可以针对所获取的多个物理特征量中的任意一个或几个是否超出预设阈值,来判断工业控制系统是否存在运行异常。但本发明不限于此,也可以基于所获取的物理特征量,采用其他方式来判断工业控制系统是否存在运行异常。
根据本发明的一个实施例,基于所获取的物理特征量监测工业控制系统的运行异常可以包括:针对多个所述物理特征量中的至少一个,利用预定的第一事件规则,判断所述物理特征量是否构成事件;以及根据多个所述事件中的至少一个,基于预定的第一报警规则,判断所述工业控制系统是否存在运行异常。事件指的是根据工控系统运行特点选定的一组工控状况,如“水位CL001低于1.5米”、“阀门AA101状态为打开”等。事件可通过预定的第一事件规则,对在步骤S13获得的物理特征量进行判断,确定其是否构成事件。对于基于事件规则而判断为事件的物理特征量,可以将其写入事件日志。例如,对于在步骤S13中还原的工业控制系统的物理特征量“水位CL001为 1.0米”,通过应用预定的第一事件规则,可以确定其为事件。
根据本发明,事件规则可以针对单组请求/应答对的数据包获取的物理特征量定义。但是本发明不限于此,也可以针对多组物理特征量的组合来定义。在事件规则列表中,每一条事件规则可以对应一个特定的事件规则编号和事件名称,事件规则编号用于日志记录,事件名称用于由操作人员确定事件内容。根据本发明,预定的第一事件规则是指基于物理特征量制定的事件规则。
事件日志是记录事件发生的列表,包含事件生成规则编号、事件发生时间、事件处理时间;事件发生后被列入事件日志,未被处理时,事件处理时间一栏为空,在事件被处理后,填写事件处理时间。
对于生成的事件,可以应用预定的第一报警规则,判断工业控制系统是否存在运行异常。在判断工业控制系统存在运行异常的情况下,将报警列入报警记录,并通知人机接口。根据本发明,上述预定的第一报警规则是基于物理特征量制定的报警规则。
报警指的是呈现给操作员的一组异常或危险的警报等。报警可通过预先制定的第一报警规则,对上述事件判断步骤中判断得到的至少一个事件进行联合判断,以确定工业控制系统是否存在运行异常。预定的第一报警规则可以包括例如“水位CL001持续1分钟低于下限”、“启动泵AN001且水位CL001 未上升”。根据本发明的报警规则可基于一组以上的请求/应答对中获取的不同的物理特征量进行组合判断。
基于预定的第一报警规则判断已发生的事件是否构成报警。例如,当事件
如果构成报警,则列入报警记录,并通知人机接口,使得人机接口显示闪烁的光字牌及报警类型,并在事件列表中列出引发该报警的事件,列表中同时可以看到该事件中超标物理特征量的实时值。根据本发明的一个实施例,事件列表中列出的事件仅包含未被处理的事件。
在通过预定的第一报警规则,判断工业控制系统存在运行异常,而针对其进行报警之后,操作人员可以基于该报警类型以及相应物理特征量的具体情况,判断出其属于设备故障还是流程异常,从而采取相应的措施来排除故障。
以上描述的是仅基于在步骤S12得到的物理特征量,确定工业控制系统中是否有运行异常,但是本发明不限于此。根据本发明,还可以将物理特征量以及从网络传输层获取的网络特征量两者相结合,来判断工业控制系统中的运行异常。
根据本发明的一个实施例,监测方法还可以包括:根据网络传输协议对所采集的数据包进行解析,以获取所述数据包的网络传输层数据作为网络特征量。并且,该监测方法中监测所述工业控制系统的运行异常包括还根据所述网络特征量,判断所述工业控制系统是否存在运行异常;其中,判断所述工业控制系统是否存在运行异常优选还包括:基于所述网络特征量和所述物理特征量,利用预定的第二事件规则,确定所述网络特征量和/或所述物理特征量是否构成事件;以及根据多个所述事件中的至少一个,基于预定的第二报警规则,判断所述工业控制系统是否存在运行异常。
根据本发明的一个实施例,可以通过对从工业控制网络采集到的数据包进行网络传输协议分析,包括:根据网络传输协议(TCP/IP等)对所采集的数据包的头段进行解析,以获取所述数据包的网络传输层数据作为网络特征量。网络特征量包括单个数据包的特征和基于多个数据包的统计量,单个数据包的特征包括:数据包的源IP地址、源端口、目的IP地址、目的端口、传输层协议类型等。基于多个数据包的统计量可以包括例如单位时间内的数据包数量、相邻20个数据包中网络层协议种类数等。
根据本发明,监测所述工业控制系统的运行异常还可以包括基于所述网络特征量,判断所述工业控制系统是否存在运行异常。根据本发明的一个实施例,判断所述工业控制系统是否存在运行异常优选还包括:基于所述网络特征量和所述物理特征量,利用预定的第二事件规则,确定所述网络特征量和/或所述物理特征量是否构成事件;以及根据多个所述事件中的至少一个,基于预定的第二报警规则,判断所述工业控制系统是否存在运行异常。
根据本发明的预定的第二事件规则可以是基于网络特征量、物理特征量以及物理特征量和网络特征量的组合至少其中之一定义的事件规则。本领域技术人员可以理解,根据本发明的预定的第二事件规则可以与第一事件规则不同,当然其也可以包括预定的第一事件规则中的规则。第二报警规则可以是基于预定的第二事件规则中定义的事件而设定的报警规则,即预定的第二报警规则也是基于网络特征量、物理特征量以及物理特征量和网络特征量的组合至少其中之一而定义的。
更具体地,根据本发明的第二事件规则可以是包括基于物理特征量定义的事件规则、基于网络特征量定义的事件规则、以及基于网络特征量和物理特征量的组合定义的事件规则。其中,基于物理特征量定义的事件规则用于判断例如在步骤S13中还原得到的物理特征量是否构成事件,基于网络特征量定义的事件规则用于判断例如如上所述获取的网络特征量是否构成事件;基于网络特征量和物理特征量的组合定义的事件规则用于判断例如如上所述获取的网络特征量和在上述步骤S13中还原得到的物理特征量的组合是否构成事件。
表1和表2分别示出了根据本发明的预定的第二事件规则和预定的第二报警规则的示例。
表1第二事件规则
如表1所示,其中序号为1-3的事件规则表示基于物理特征量定义的事件规则的示例;序号4的事件规则表示基于网络特征量定义的事件规则的示例;以及序号为5-7的事件规则表示基于网络特征量和物理特征量的组合定义的事件规则的示例。例如,以序号5表示的事件规则为例,当所获得的物理特征量和网络特征量满足以下条件时,可以判断构成事件:1、网络特征量中表明数据包的源IP地址为控制器001的IP地址;2、通过工控操作数据还原的物理特征量表明:数据包的控制指令是“读寄存器”,寄存器的地址对应的物理特征量的名称“水位”,寄存器的值对应的物理特征量的内容为“小于 1.5”。
表2第二报警规则
如表2所示,其中序号为1、2、3的报警规则表示的是基于物理特征量的报警规则,序号为4的报警规则表示基于物理特征量和网络特征量的组合的报警规则。例如,序号为1的报警规则中,count(CLL)是指CLL事件被连续记录的次数,此处默认为数据读取间隔为1s,所以count(CLL)>60表示水位持续一分钟低于1.5米。此外,对于序号为2的报警规则,其表示当出现上述事件1和2两者之后,即触发报警。
对网络特征量和所述物理特征量两者应用预定的第二事件规则来确定其是否构成事件的具体操作与上述对物理特征量应用预定的第一事件规则的操作类似,在此不再赘述。此外,对基于网络特征量和所述物理特征量确定的至少一个事件应用预定的第二报警规则,以判断工业控制系统中是否存在运行异常的具体操作与上述对物理特征量应用预定的第一报警规则的操作类似,在此不再赘述。
此外,根据本发明的用于监测工业控制系统运行的监测装置可以用于各种工业控制系统,尤其可以用于和核电工业控制系统,例如用于高温气冷堆等堆型的核电工业控制系统。
根据本发明,还提供一种用于监测工业控制系统的运行的监测装置。如图3所示,根据本发明的监测装置3可以包括:采集单元31,被配置为从所述工业控制系统的工业控制网络采集数据包;获取单元32,通过对所述数据包进行应用层解析,获取所述工业控制系统的物理特征量;以及监测单元33,被配置为基于所述物理特征量监测所述工业控制系统的运行异常。
根据本发明的一个实施例,获取单元32被进一步配置为:通过对所述数据包进行应用层解析,以获取应用层信息;利用所述应用层信息,对所述数据包进行请求应答整合,以获取工控操作数据;以及根据所述工业控制系统的组态信息,对所述工控操作数据进行物理特征量匹配,以还原所述工业控制系统的物理特征量。
根据本发明的一个实施例,获取单元32还被配置为根据工控应用协议,对采集到的数据包进行解析,以获取包括功能码和数据在内的应用层信息。
根据本发明的一个实施例,获取单元32优选被进一步配置为:通过所述应用层信息中包括的功能码,将所采集到的数据包中执行请求的数据包与其对应的响应数据包进行匹配整合,从而获取所述工控操作数据。优选地,工控操作数据优选包括:寄存器地址、寄存器值以及操作指令。
根据本发明的一个实施例,获取单元32被配置为对所述工控操作数据进行所述物理特征量的名称匹配和所述物理特征量的内容匹配,其中,所述获取单元优选被配置为根据所述工业控制系统的组态信息,将所述工控操作数据中包括的寄存器地址转换为所述物理特征量的名称;以及根据所述工业控制系统的组态信息,将所述工控操作数据中包括的寄存器数值转换为所述物理特征量的内容。
根据本发明的一个实施例,监测单元33可以被配置为:针对多个所述物理特征量中的至少一个,利用预定的第一事件规则,判断所述物理特征量是否构成事件;以及根据多个所述事件中的至少一个,基于预定的第一报警规则,判断所述工业控制系统是否存在运行异常。
根据本发明的另一个实施例,获取单元32还可以被配置为根据网络传输协议对所采集的数据包进行解析,以获取所述数据包的网络传输层数据作为网络特征量,其中,监测单元33还可以被配置为还基于所述网络特征量,判断所述工业控制系统是否存在运行异常。
根据本发明的优选实施例,监测单元33可以更进一步被配置为基于所述网络特征量和所述物理特征量,利用预定的第二事件规则,确定所述网络特征量和/或所述物理特征量是否构成事件;以及根据多个所述事件中的至少一个,基于预定的第二报警规则,判断所述工业控制系统是否存在运行异常。
根据本发明的一个实施例,所述工业控制系统可以为核电工业控制系统。
上述采集单元31、获取单元32、监测单元33的具体操作处理与如上参照图1描述的用于监测工业控制系统的运行安全的监测方法的各个步骤的处理类似,在此不再赘述。
图4示出了根据本发明的用于监测工业控制系统的运行安全的监测方法的一种示例性处理。
如图4所示,在该示例性处理中,基于网络特征量和物理特征量两者,判断工业控制系统是否存在运行异常。
在步骤S401,从工业控制网络采集数据集包,然后执行步骤S402。
在步骤S402,对采集到的数据包进行解析,包括应用层解析和传输层解析,以便获得应用层数据和传输层数据(传输层数据即为网络特征量)。其中,对于应用层数据,执行步骤S403。
在步骤S403,基于应用层数据执行物理特征量匹配,以获取物理特征量,然后执行步骤S404。
在步骤S404,对于在步骤S402获取的网络特征量和在步骤S403获取的物理特征量,应用预定的事件规则(例如,上述预定的第二事件规则)判断是否构成事件。如果构成事件,则执行步骤S405,否则执行步骤S407。
在步骤S405,基于在步骤S404判断得到的至少一个事件,应用预定的事件规则(例如,上述预定的第二事件规则)判断工业控制系统是否存在运行异常、从而需要报警。如果判断为存在异常,则执行步骤S406,否则执行步骤S407。
在步骤S406,触发报警。在步骤407,由于根据所获取的物理特征量和网络特征量判断出不构成事件或者不构成工业控制系统的运行异常情况,因此,可以将包括之前获取的数据包和解析得到的物理特征量和网络特征量的数据丢弃。
上述执行的各个步骤S401-S407的更具体的实现方式可以参考上述参照图1描述的监测方法的各个步骤的执行,在此省略对其的更具体描述。
本领域技术人员可以理解,本发明中上述各个模块之间的耦合,可以通过有线的方式进行耦合,也可以通过无线的方式进行耦合,也可以通过有线、无线相结合的方式进行耦合。另外,各个模块之间通讯所采用的协议、规范,可以是现有的协议和规范,也可以根据实际的工况和要求进行定制。这些都在本发明的范围内。
上述根据本发明的实施例的监测装置中的各个组成单元、子单元等可以通过软件、固件、硬件或其任意组合的方式进行配置。在通过软件或固件实现的情况下,可从存储介质或网络向具有专用硬件结构的机器安装构成该软件或固件的程序,该机器在安装有各种程序时,能够执行上述各组成单元、子单元的各种功能。
根据本发明的监测方法、监测装置、工业控制系统和计算机可读介质,能够对从工业控制网络采集到的数据包进行解析还原得到物理特征量数据,从而基于该物理特征量数据进行异常事件的判定和报警;这些物理特征量数据将扩展监测审计的数据来源,有助于识别更多更隐蔽的工控网络攻击,降低工控网络入侵检测的漏报率。
此外,本发明的实施例还提供了一种工业控制系统,该工业控制系统被配置包括如上所述的监测装置。该工业控制系统可以是以下设备中的任意一种:数据采集与监视控制系统(SCADA系统);分布式控制系统(DCS);可编程逻辑控制器(PLC);现场可编程门阵列(FPGA)等。相应地,该工业控制系统能够拥有如上所述的监测装置的有益效果和优点。
此外,本发明还提出了一种存储有机器可读取的指令代码的计算机可读存储介质。上述指令代码由机器读取并执行时,可执行上述根据本公开的实施例的监测方法。计算机存储介质包括但不限于:磁盘、光盘、磁光盘、半导体存储器等的各种存储介质。
上述根据本发明的实施例的监测装置中的各个组成单元、子单元等可以通过软件、固件、硬件或其任意组合的方式进行配置。在通过软件或固件实现的情况下,可从存储介质或网络向具有专用硬件结构的机器(例如图4所示的通用机器1000)安装构成该软件或固件的程序,该机器在安装有各种程序时,能够执行上述各组成单元、子单元的各种功能。
图5示出了可用来实现根据本发明的实施例的用于在监测区域内设置监测点的方法和监测装置的一种可能的信息处理设备的硬件配置的结构简图。
在图5中,中央处理单元(CPU)1001根据只读存储器(ROM)1002中存储的程序或从存储部分1008加载到随机存取存储器(RAM)1003的程序执行各种处理。在RAM 1003中,还根据需要存储当CPU 1001执行各种处理等等时所需的数据。CPU 1001、ROM 1002和RAM 1003经由总线1004彼此连接。输入/输出接口1005也连接到总线1004。
下述部件也连接到输入/输出接口1005:输入部分1006(包括键盘、鼠标等等)、输出部分1007(包括显示器,例如阴极射线管(CRT)、液晶显示器 (LCD)等,和扬声器等)、存储部分1008(包括硬盘等)、通信部分1009(包括网络接口卡例如LAN卡、调制解调器等)。通信部分1009经由网络例如因特网执行通信处理。根据需要,驱动器1010也可连接到输入/输出接口1005。可拆卸介质1011例如磁盘、光盘、磁光盘、半导体存储器等等可以根据需要被安装在驱动器1010上,使得从中读出的计算机程序可根据需要被安装到存储部分1008中。
在通过软件实现上述系列处理的情况下,可以从网络例如因特网或从存储介质例如可拆卸介质1011安装构成软件的程序。
本领域的技术人员应当理解,这种存储介质不局限于图5所示的其中存储有程序、与设备相分离地分发以向用户提供程序的可拆卸介质1011。可拆卸介质1011的例子包含磁盘(包含软盘)、光盘(包含光盘只读存储器(CD-ROM) 和数字通用盘(DVD))、磁光盘(包含迷你盘(MD)(注册商标))和半导体存储器。或者,存储介质可以是ROM 1002、存储部分1008中包含的硬盘等等,其中存有程序,并且与包含它们的设备一起被分发给用户。
此外,本发明还提出了一种存储有机器可读取的指令代码的程序产品。上述指令代码由机器读取并执行时,可执行上述根据本发明的实施例的图像处理方法。相应地,用于承载这种程序产品的例如磁盘、光盘、磁光盘、半导体存储器等的各种存储介质也包括在本发明中。
在上面对本发明具体实施例的描述中,针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用,与其它实施方式中的特征相组合,或替代其它实施方式中的特征。
此外,本发明的各实施例的方法不限于按照说明书中描述的或者附图中示出的时间顺序来执行,也可以按照其他的时间顺序、并行地或独立地执行。因此,本说明书中描述的方法的执行顺序不对本发明的技术范围构成限制。
此外,显然,根据本发明的上述方法的各个操作过程也可以以存储在各种机器可读的存储介质中的计算机可执行程序的方式实现。
而且,本发明的目的也可以通过下述方式实现:将存储有上述可执行程序代码的存储介质直接或者间接地提供给系统或设备,并且该系统或设备中的计算机或者中央处理单元(CPU)读出并执行上述程序代码。
此时,只要该系统或者设备具有执行程序的功能,则本公开的实施方式不局限于程序,并且该程序也可以是任意的形式,例如,目标程序、解释器执行的程序或者提供给操作系统的脚本程序等。
上述这些机器可读存储介质包括但不限于:各种存储器和存储单元,半导体设备,磁盘单元例如光、磁和磁光盘,以及其它适于存储信息的介质等。
另外,客户信息处理终端通过连接到因特网上的相应网站,并且将依据本公开的计算机程序代码下载和安装到信息处理终端中然后执行该程序,也可以实现本发明的各实施例。
另外,本发明的用于在监测区域内设置监测点的方法和监测装置所使用的各种上述阈值参数可以基于该方法和监测装置的实际应用场景而设定,或者可以通过有限次实验来确定。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种用于监测工业控制系统的运行安全的监测方法,包括:
从所述工业控制系统的工业控制网络采集数据包;
通过对所述数据包进行应用层解析,获取所述工业控制系统的物理特征量;以及
基于所述物理特征量监测所述工业控制系统的运行异常。
2.如权利要求1所述的监测方法,其中,获取所述工业控制系统的物理特征量包括:
通过对所述数据包进行应用层解析,以获取应用层信息;
利用所述应用层信息,对所述数据包进行请求应答整合,以获取工控操作数据;以及
根据所述工业控制系统的组态信息,对所述工控操作数据进行物理特征量匹配,以还原所述工业控制系统的物理特征量。
3.如权利要求2所述的监测方法,其中,获取所述应用层信息包括:根据工控应用协议,对采集到的数据包进行解析,以获取包括功能码和数据在内的应用层信息;
其中,获取工控操作数据优选包括:通过所述应用层信息中包括的功能码,将所采集到的数据包中执行请求的数据包与其对应的响应数据包进行匹配整合,从而获取所述工控操作数据,其中,所述工控操作数据优选包括:寄存器地址、寄存器值以及操作指令。
4.如权利要求3所述的监测方法,其中,对所述工控操作数据进行物理特征量匹配包括对所述工控操作数据进行所述物理特征量的名称匹配和所述物理特征量的内容匹配,
其中,对所述工控操作数据进行物理特征量名称匹配优选进一步包括:根据所述工业控制系统的组态信息,将所述工控操作数据中包括的寄存器地址转换为所述物理特征量的名称;和/或所述物理特征量的内容匹配优选进一步包括:根据所述工业控制系统的组态信息,将所述工控操作数据中包括的寄存器值转换为所述物理特征量的内容。
5.如权利要求1-4中任一项所述的监测方法,其中,监测所述工业控制系统的运行异常包括:
针对多个所述物理特征量中的至少一个,利用预定的第一事件规则,判断所述物理特征量是否构成事件;以及
根据多个所述事件中的至少一个,基于预定的第一报警规则,判断所述工业控制系统是否存在运行异常。
6.如权利要求1-4中任一项所述的监测方法,还包括:根据网络传输协议对所采集的数据包进行解析,以获取所述数据包的网络传输层数据作为网络特征量,
其中,监测所述工业控制系统的运行异常还包括基于所述网络特征量,判断所述工业控制系统是否存在运行异常;
其中,判断所述工业控制系统是否存在运行异常优选还包括:基于所述网络特征量和所述物理特征量,利用预定的第二事件规则,确定所述网络特征量和/或所述物理特征量是否构成事件;以及根据多个所述事件中的至少一个,基于预定的第二报警规则,判断所述工业控制系统是否存在运行异常。
7.如权利要求1-6中任一项所述的监测方法,其中所述工业控制系统为核电工业控制系统。
8.一种用于监测工业控制系统的运行的监测装置,包括:
采集单元,被配置为从所述工业控制系统的工业控制网络采集数据包;
获取单元,通过对所述数据包进行应用层解析,获取所述工业控制系统的物理特征量;以及
监测单元,被配置为基于所述物理特征量监测所述工业控制系统的运行异常。
9.如权利要求8所述的监测装置,其中,所述获取单元被进一步配置为:
通过对所述数据包进行应用层解析,以获取应用层信息;
利用所述应用层信息,对所述数据包进行请求应答整合,以获取工控操作数据;以及
根据所述工业控制系统的组态信息,对所述工控操作数据进行物理特征量匹配,以还原所述工业控制系统的物理特征量。
10.如权利要求9所述的监测装置,其中,所述获取单元被配置为根据工控应用协议,对采集到的数据包进行解析,以获取包括功能码和数据在内的应用层信息;
其中,所述获取单元优选被进一步配置为:通过所述应用层信息中包括的功能码,将所采集到的数据包中执行请求的数据包与其对应的响应数据包进行匹配整合,从而获取所述工控操作数据,其中,所述工控操作数据优选包括:寄存器地址、寄存器值以及操作指令。
11.如权利要求10所述的监测装置,其中,所述获取单元被配置为对所述工控操作数据进行所述物理特征量的名称匹配和所述物理特征量的内容匹配,
其中,所述获取单元优选被配置为根据所述工业控制系统的组态信息,将所述工控操作数据中包括的寄存器地址转换为所述物理特征量的名称;以及根据所述工业控制系统的组态信息,将所述工控操作数据中包括的寄存器数值转换为所述物理特征量的内容。
12.如权利要求8-11中任一项所述的监测装置,其中,所述监测单元被配置为:
针对多个所述物理特征量中的至少一个,利用预定的第一事件规则,判断所述物理特征量是否构成事件;以及
根据多个所述事件中的至少一个,基于预定的第一报警规则,判断所述工业控制系统是否存在运行异常。
13.如权利要求8-11中任一项所述的监测装置,
其中,所述获取单元还被配置为根据网络传输协议对所采集的数据包进行解析,以获取所述数据包的网络传输层数据作为网络特征量,
其中,所述监测单元被配置为还根据所述网络特征量,判断所述工业控制系统是否存在运行异常,
其中,所述监测单元进一步被配置为基于所述网络特征量和所述物理特征量,利用预定的第二事件规则,确定所述网络特征量和/或所述物理特征量否构成事件;以及根据多个所述事件中的至少一个,基于预定的第二报警规则,判断所述工业控制系统是否存在运行异常。
14.如权利要求8-13中任一项所述的监测装置,其中,所述工业控制系统为核电工业控制系统。
15.一种工业控制系统,包括如权利要求8-14中任一项所述的监测装置。
16.一种计算机存储介质,包括存储于其上的计算机可执行指令,所述可执行指令在被处理器执行时实施如权利要求1-7中任一项所述的监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910090298.2A CN110351235B (zh) | 2019-01-30 | 2019-01-30 | 监测方法和装置、工业控制系统和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910090298.2A CN110351235B (zh) | 2019-01-30 | 2019-01-30 | 监测方法和装置、工业控制系统和计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110351235A true CN110351235A (zh) | 2019-10-18 |
| CN110351235B CN110351235B (zh) | 2021-04-30 |
Family
ID=68173848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910090298.2A Active CN110351235B (zh) | 2019-01-30 | 2019-01-30 | 监测方法和装置、工业控制系统和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351235B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314289A (zh) * | 2019-12-26 | 2020-06-19 | 青岛海天炜业过程控制技术股份有限公司 | 一种识别基于以太网的工控协议危险通讯数据的方法 |
| CN111913430A (zh) * | 2020-06-30 | 2020-11-10 | 物耀安全科技(杭州)有限公司 | 工业控制系统控制行为检测防护方法和系统 |
| CN113904855A (zh) * | 2021-10-13 | 2022-01-07 | 南方电网科学研究院有限责任公司 | 一种异常检测方法、装置、电子设备及存储介质 |
| CN114355853A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
| CN116436668A (zh) * | 2023-04-12 | 2023-07-14 | 广州市点易资讯科技有限公司 | 信息安全管控方法及相关装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| CN101539764A (zh) * | 2009-04-30 | 2009-09-23 | 清华大学 | 一种用于对工业现场参数进行远程无线监测的装置 |
| CN101827007A (zh) * | 2010-04-19 | 2010-09-08 | 中兴通讯股份有限公司 | 传感器网络与移动终端互联的方法和装置及网络连接设备 |
| CN103744316A (zh) * | 2014-01-17 | 2014-04-23 | 武钢集团昆明钢铁股份有限公司 | 一种基于温度测量的控制系统保护装置及保护方法 |
| CN204360184U (zh) * | 2014-11-27 | 2015-05-27 | 杭州优稳自动化系统有限公司 | 一种基于实时数据库的Modbus设备主从站通讯管理系统 |
| CN105827613A (zh) * | 2016-04-14 | 2016-08-03 | 广东电网有限责任公司电力科学研究院 | 一种针对变电站工控设备信息安全的测试方法及系统 |
| CN105847249A (zh) * | 2016-03-22 | 2016-08-10 | 英赛克科技(北京)有限公司 | 一种用于Modbus网络的安全防护系统以及方法 |
| US20160234232A1 (en) * | 2015-02-11 | 2016-08-11 | Comcast Cable Communications, Llc | Protecting Network Devices from Suspicious Communications |
| CN105978745A (zh) * | 2016-07-27 | 2016-09-28 | 福州福大自动化科技有限公司 | 一种面向工业控制系统的异常状态监测方法 |
| CN107222491A (zh) * | 2017-06-22 | 2017-09-29 | 北京工业大学 | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 |
| CN206707987U (zh) * | 2017-04-24 | 2017-12-05 | 佛山科学技术学院 | 一种空压机自动测试系统 |
| CN107831285A (zh) * | 2017-01-19 | 2018-03-23 | 江苏省金威测绘服务中心 | 一种基于物联网的河湖污染监测系统及其方法 |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制系统主流协议实现与监测解析平台 |
| CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
-
2019
- 2019-01-30 CN CN201910090298.2A patent/CN110351235B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| CN101539764A (zh) * | 2009-04-30 | 2009-09-23 | 清华大学 | 一种用于对工业现场参数进行远程无线监测的装置 |
| CN101827007A (zh) * | 2010-04-19 | 2010-09-08 | 中兴通讯股份有限公司 | 传感器网络与移动终端互联的方法和装置及网络连接设备 |
| CN103744316A (zh) * | 2014-01-17 | 2014-04-23 | 武钢集团昆明钢铁股份有限公司 | 一种基于温度测量的控制系统保护装置及保护方法 |
| CN204360184U (zh) * | 2014-11-27 | 2015-05-27 | 杭州优稳自动化系统有限公司 | 一种基于实时数据库的Modbus设备主从站通讯管理系统 |
| US20160234232A1 (en) * | 2015-02-11 | 2016-08-11 | Comcast Cable Communications, Llc | Protecting Network Devices from Suspicious Communications |
| CN105847249A (zh) * | 2016-03-22 | 2016-08-10 | 英赛克科技(北京)有限公司 | 一种用于Modbus网络的安全防护系统以及方法 |
| CN105827613A (zh) * | 2016-04-14 | 2016-08-03 | 广东电网有限责任公司电力科学研究院 | 一种针对变电站工控设备信息安全的测试方法及系统 |
| CN105978745A (zh) * | 2016-07-27 | 2016-09-28 | 福州福大自动化科技有限公司 | 一种面向工业控制系统的异常状态监测方法 |
| CN107831285A (zh) * | 2017-01-19 | 2018-03-23 | 江苏省金威测绘服务中心 | 一种基于物联网的河湖污染监测系统及其方法 |
| CN206707987U (zh) * | 2017-04-24 | 2017-12-05 | 佛山科学技术学院 | 一种空压机自动测试系统 |
| CN107222491A (zh) * | 2017-06-22 | 2017-09-29 | 北京工业大学 | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制系统主流协议实现与监测解析平台 |
| CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314289A (zh) * | 2019-12-26 | 2020-06-19 | 青岛海天炜业过程控制技术股份有限公司 | 一种识别基于以太网的工控协议危险通讯数据的方法 |
| CN111314289B (zh) * | 2019-12-26 | 2022-04-22 | 青岛海天炜业过程控制技术股份有限公司 | 一种识别基于以太网的工控协议危险通讯数据的方法 |
| CN111913430A (zh) * | 2020-06-30 | 2020-11-10 | 物耀安全科技(杭州)有限公司 | 工业控制系统控制行为检测防护方法和系统 |
| CN113904855A (zh) * | 2021-10-13 | 2022-01-07 | 南方电网科学研究院有限责任公司 | 一种异常检测方法、装置、电子设备及存储介质 |
| CN114355853A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
| CN114355853B (zh) * | 2021-12-30 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
| CN116436668A (zh) * | 2023-04-12 | 2023-07-14 | 广州市点易资讯科技有限公司 | 信息安全管控方法及相关装置 |
| CN116436668B (zh) * | 2023-04-12 | 2023-11-10 | 广州市点易资讯科技有限公司 | 信息安全管控方法、装置,计算机设备,存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110351235B (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110351235A (zh) | 监测方法和装置、工业控制系统和计算机可读介质 | |
| Krotofil et al. | Resilience of process control systems to cyber-physical attacks | |
| CN109922085B (zh) | 一种基于plc中cip协议的安全防护系统及方法 | |
| US8019865B2 (en) | Method and apparatus for visualizing network security state | |
| CN106130786A (zh) | 一种网络故障的检测方法及装置 | |
| KR101951526B1 (ko) | 스마트팩토리 플랫폼을 위한 인터페이스 미들웨어 시스템 및 그 동작방법 | |
| CN101567812B (zh) | 对网络攻击进行检测的方法和装置 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN107295010A (zh) | 一种企业网络安全管理云服务平台系统及其实现方法 | |
| CN107786532A (zh) | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 | |
| CN109558366A (zh) | 一种基于多处理器架构的防火墙 | |
| CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
| CN101902349A (zh) | 一种检测端口扫描行为的方法和系统 | |
| CN103975331B (zh) | 并入了被管理基础设施设备的安全的数据中心基础设施管理系统 | |
| CN109768971A (zh) | 一种基于网络流量实时检测工控主机状态的方法 | |
| CN116015983A (zh) | 一种基于数字孪生体的网络安全漏洞分析方法及系统 | |
| Dong et al. | Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM | |
| CN105099762B (zh) | 一种系统运维功能的自检方法及自检系统 | |
| CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
| CN108418697A (zh) | 一种智能化的安全运维服务云平台的实现架构 | |
| US10554625B2 (en) | Integrated PCS functional competency assessment | |
| CN110365717A (zh) | 基于hart-ip协议的工业入侵监测方法和系统 | |
| CN111526109A (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
| JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| CN106713038A (zh) | 一种远程传输线路质量检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |