CN111193738A - 一种工业控制系统的入侵检测方法 - Google Patents
一种工业控制系统的入侵检测方法 Download PDFInfo
- Publication number
- CN111193738A CN111193738A CN201911396476.0A CN201911396476A CN111193738A CN 111193738 A CN111193738 A CN 111193738A CN 201911396476 A CN201911396476 A CN 201911396476A CN 111193738 A CN111193738 A CN 111193738A
- Authority
- CN
- China
- Prior art keywords
- attack
- industrial control
- control system
- ics
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工业控制系统的入侵检测方法,其特征在于,扫描和检测工业控制系统上的设备,向工业控制系统上的设备或某一个核心设备发起攻击,截获攻击数据包,监控攻击数据包的攻击效果,分析攻击数据包的行为数据,按照分析结果创建攻击模板,生成入侵攻击检测规则和建立基于规则的工业控制系统的入侵检测系统。通过本申请,不仅能够检测到ICS上的已知网络攻击,而且还能够检测到ICS上新的网络攻击或未知网络攻击。
Description
技术领域
本发明涉及计算机、网络安全、网络管理和自动控制的技术领域,尤其涉及到一种工业控制系统的入侵检测方法。
背景技术
工业控制系统ICS(industrial control systems)用于国家关键基础设施的管理和维护,国家关键基础设施通常分布在不同的地理位置,如天然气管道、水资源、运输和输电系统。工业控制系统一般由可编程逻辑控制器(PLC Programmable LogicControllers)、人机界面(HMI Human Machine Interface)、主终端单元(MTU MasterTerminal Unit)和远程终端单元(RTU Remote Terminal Unit)等几个子组件组成。在老一代工业控制系统中,采用了专用内部网络通信组件和专用网络协议。因此,与外部网络隔离的老一代工业控制系统被认为是安全的,不受网络攻击,因而网络安全被大大忽视。然而,为了控制和监控地理上分散的ICS结构,下一代ICS需要与Internet或与Intranet连接。此外,原厂委托制造OEM(Original Equipment Manufacturer)的使用以及Modbus/TCP等混合集成协议的开发使得ICS更容易受到各种网络攻击。随着这些使用和开发进程的不断发展,出现了一些以前无法检测到的新漏洞。
工业控制系统负责控制、管理和监控国家关键基础设施。鉴于此,必须检测工业控制系统中会成为攻击者潜在目标的安全漏洞。攻击者控制ICS会导致国家关键基础设施瘫痪。这不仅会造成经济损失,而且会导致公民在生活中无法得到重要的服务。2003年8月14日,100多家发电厂在美国停止运行。这场灾难的原因是通讯系统出现故障,大约5000万美国和加拿大居民和10个主要机场受到这场灾难的影响,纽约地铁也无法正常运行。另一个受到网络攻击是澳大利亚昆士兰州的垃圾管理设施,导致大量垃圾被排放到公共场所。有报道称,发生的Stuxnet蠕虫攻击,被认为是针对伊朗核计划的最复杂的计算机蠕虫之一,并影响了10万多个计算机系统。
上述攻击事件强调了这样一个事实,即ICS极易受到攻击。因此,工业控制系统已成为网络恐怖主义和网络战争的主要目标之一。因此,深入分析以揭示工业控制系统中使用的组件(PLC、HMI、RTU、MTU等)和网络协议(Modbus、Profinet、DNP3等)的现有漏洞至关重要。因此,迫切需要一种ICS入侵检测系统以实现对这些漏洞的预防措施,基于这样的ICS入侵检测系统,才能够防止攻击者再次利用这些漏洞。
已有的ICS安全技术主要集中在基于仿真系统的分析上,这不是真正的系统实现;基于仿真系统的研究最薄弱的一点是难以准确地预测真实系统,分析结果可能在真实系统中给出不一样的结果;另一方面,已有ICS安全技术还集中在保密性方面,针对保密性提出的解决方案通常基于加密技术。然而,考虑到当今的ICS网络覆盖了数百套装置和数百万台设备,在实践中实现这些解决方案的难度是可想而知。
发明内容
对于上述工业控制系统的网络安全的缺陷和不足,本申请提出了一种工业控制系统的入侵检测方法,其特征在于,对工业控制系统发起攻击,分析攻击行为,通过分析结果而生成自动检测入侵攻击的规则和建立基于规则的工业控制系统的入侵检测系统,所述方法,还包括如下步骤:
1、扫描和检测工业控制系统上的设备;
2、向工业控制系统上的设备或某一个核心设备发起攻击;
3、截获攻击数据包;
4、监控攻击数据包的攻击效果;
5、对攻击数据包的行为数据进行分析;
6、按照分析结果创建攻击模板;
7、入侵攻击检测规则的生成;
8、建立基于规则的工业控制系统的入侵检测系统。
本申请提供了一种工业控制系统的入侵检测方法,其特征在于,包括扫描和检测工业控制系统上的设备,向工业控制系统上的设备或某一个核心设备发起攻击,截获攻击数据包,监控攻击数据包的攻击效果,分析攻击数据包的行为数据,按照分析结果创建攻击模板,生成入侵攻击检测规则和建立基于规则的工业控制系统的入侵检测系统。通过本申请,不仅能够检测到ICS上的已知网络攻击,而且还能够检测到ICS上新的网络攻击或未知网络攻击。
附图说明
图1为本发明所述的一种工业控制系统的入侵检测方法的工业控制系统设备的示意图;
图2为本发明所述的一种工业控制系统的入侵检测方法的步骤示意图;
图3为本发明所述的一种工业控制系统的入侵检测方法的攻击包特征的示意图;
图4为本发明所述的一种工业控制系统的入侵检测方法的入侵检测规则的示意图。
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
图1为本发明所述的一种工业控制系统的入侵检测方法的工业控制系统的示意图,工业控制系统ICS(如图1所示的100)包括两台西门子S-7 1200 PLC(如图1所示的105和110)、一台管理计算机(如图1所示的150),在该计算机上使用工业控制系统终端管理软件执行PLC的远程命令和控制,甚至可以对PLC进行梯形图编程,一台个人计算机(如图1所示的170),攻击者使用和执行攻击,(安思易)集中管控系统被用来检测安全攻击(如图1所示的130和140)被用来检测安全攻击,它通过监测工控网络及其组件,根据定义的规则检测工控网络异常和变化,特别是当认为这些攻击不仅来自外部,而且内部攻击也具有更大的破坏性时,通过(安思易)集中管控系统监控内部网络的重要性就凸现出来了,并根据所提供的告警源将能够使安全官员更容易对异常网络活动作出快速反应。当收到基于(安思易)集中管控系统的告警时,例如,更改内部网络的配置、添加新设备,操作员会检查它是合法的还是未经授权的可疑操作,并可以快速实施阻止或允许操作,以及IDS(Intrusion DetectionSystems 入侵检测系统)(如图1所示120),本申请通过它建立ICS的安全防范措施,能够有效地保证ICS安全和避免可能的攻击造成的任何可能的损害非常重要。
然而遗憾的是,已有的绝大多数商用的IDS规则不适用于工业控制系统和其他控制系统。传统的IDS和IPS(Intrusion Prevention System 入侵防御系统)基于处理数据包或阻止访问和取消相同数据包的路由的这种操作方法已不再适用于当今的ICS。由于工业基础设施的要求,在诸如SCADA(Supervisory Control And Data Acquisition 监控和数据采集)等工业控制系统中,控制器和其他设备之间需要定期和连续的通信。这种通信的最小中断可能导致重大灾难。
因此,本申请提供了一种工业控制系统的入侵检测方法,通过利用ICS设备和网络协议的安全漏洞而发起安全攻击,探索如何建立绕过ICS设备的安全防范措施。在图1环境中,通过发起启动/停止或重启的安全攻击来评估工业控制系统设备的漏洞,然后截获和分析安全攻击数据包,获得安全攻击模式和检测入侵攻击规则,并建立基于规则的工业控制系统的入侵检测系统;然后,所述入侵检测系统跟踪工业控制系统的网络流量,并通过其上的所述入侵攻击检测规则定义以达到检测安全攻击的目标。它通过检测与该入侵检测系统相同签名匹配的数据包的签名而检测出攻击和生成告警,这要归功于确定为可疑行为的数据包的签名,本申请通过将网络上数据包副本传输给IDS来进行分析,得到了针对威胁和安全攻击特征的模型。
一种工业控制系统的入侵检测方法,如图2所示,包括三个阶段。在第一个阶段,对工业控制系统的主要设备PLC进行了安全攻击,并测量了安全攻击对ICS的影响。第二个阶段是观察阶段。在这个阶段,由于安全攻击而发生的数据包被流量分析仪器所截获。随后,对所截获到的安全攻击数据包进行分析,无论是合法数据包还是异常数据包,同时从工业控制系统终端管理软件和PLC设备上跟踪安全攻击的影响。在第三个阶段,它的目的是检测安全攻击,防止ICS在发生类似安全攻击时受到影响,通过IDS(如图1所示120)创建与安全攻击相关的模型。因此,当以循环模式(8次及以上重复)执行启动/停止或重启的安全攻击时,通过连续监视网络流量包来获取安全攻击的签名。最后,为了区分合法数据包,指定了特定于每种情况(非重复、重复攻击、脱机、联机、启动、通过工业控制系统终端软件停止)的模式。
所述启动/停止或重启的安全攻击是工业控制系统设备PLC最致命和最有效的攻击之一,按照图2所示的步骤执行。在这种情况下,首先执行启动/停止或重启的安全攻击,并检测与攻击相关的ICS变化。通过对截获的攻击包进行行为分析,确定攻击模式和检测入侵攻击的规则。因此,通过将此规则集输入到IDS(如图1所示的120)的库,可以通过该IDS检测具有相同攻击模型的网络攻击。启动/停止或重启的网络攻击分别由扫描、停止、启动和重启步骤所组成。在安全攻击的第一个阶段,扫描在没有读/写密码的PLC上进行。软件和硬件版本信息从流量分析工具wireshark所截获的数据包中获取。可以使用任何端口扫描工具(例如nmap)在任何网络上扫描PLC。在本申请中,nmap工具中使用了“nmap-script mms-identify.nse-script-args='mmsidentify.timeout=500'-p 102<host>”命令扫描网络中的102端口。因此,通过获取网络上PLC设备的信息和这些设备的IP地址,可以实现其它攻击。在本申请中,使用nmap工具扫描工控网络后,检测到属于PLC-1和PLC-2硬件的“10.20.0.2”和“10.20.0.3”的IP地址。扫描PLC所在的ICS网络,检测到网络中的PLC后,对PLC进行启停或重启攻击,监测攻击对ICS的影响。在攻击范围内,发送扫描包并等待回复,以了解是否与PLC发生交互。从PLC成功执行扫描应答后,停止或重启命令发送到PLC的功能使能模块,设备停止或重启。此外,还对工业控制系统终端管理软件进行了停止或重启命令,以验证此命令对ICS的影响。在第三个阶段,启动/停止或重启安全攻击以循环模式进行。在确定为8次重复的攻击周期内,工业控制系统终端管理软件无法命令PLC。如果重复次数设置为高值,例如1000次重复(或更高),则在很长时间内工业控制系统终端管理软件都无法控制PLC,只能通过冷启动重新管理。由于启动/停止或重启的安全攻击,特别是在循环模式下,PLC无法完成其任务。在本申请中,当考虑到PLC的实时反应需求时,工业控制系统的网络流量因启停或重启攻击而产生的延迟可能会导致严重的问题。在启动/停止或重启安全攻击的第四个阶段,通过工业控制系统终端管理软件激活PLC的读/写密码,并在PLC上重复启动/停止攻击。如图2所示,只有启动/停止或重启的安全攻击的扫描阶段成功完成,但由于设备需要停止命令的密码,因此无法执行安全攻击的停止阶段。值得注意的是,密码输入是抵御此类安全攻击的主要措施之一。由于启动/停止或重启,可以推断,如果读/写密码处于非活动状态,则可以成功执行攻击。
如图3所示,当检测到高级事件列表中显示的事件中列出的名为“set plcstart/stop or restart”的数据包时,可以在图3所示中定义可疑数据包的源和目标IP地址以及通信端口。例如,可以看出,图3所示的数据包是一个启动/停止攻击数据包,它是从IP地址为192.168.0.16的攻击者计算机到IP地址为10.20.0.3的PLC设备执行的。此外,102端口是最常见的PLC通信端口之一,用于网络攻击。
如图4所示,它是输入到IDS(如图1所示的120)的示例性的规则。为了检测工业控制系统的攻击,需要输入特定于某一种工业控制系统的配置和规则,诸如图4所示的第一行的启动/停止或重启安全攻击的规则;另一方面,为了获得检测规则,如图1所示,本申请首先利用wireshark软件分析仪进行攻击和截获攻击包进行分析。随后,通过连续监测图4第二行中指定的102端口,发现了攻击的特征。最后,攻击再次执行以验证输入到IDS(如图1所示120)的入侵检测规则。由于定义了入侵检测系统IDS的启动/停止或重启的入侵攻击的规则,在发生攻击时,该入侵检测系统IDS能够检测到入侵攻击事件并生成告警。如果入侵检测系统IDS的屏幕的可视化效果没有定义规则名称,那么屏幕上将只显示规则编号。这将使系统管理员难以理解为什么会生成告警。因此,该规则的名称被定义为“PLC启动/停止或重启”。此标识使系统管理员更容易识别入侵检测系统IDS生成的告警源,以便他们可以通过在此时快速反应和采取预防措施。
提供告警事件的源和目标IP地址以及使用的端口号将为网络安全专家提供极大的便利。可以确定启动/停止或重启命令是由授权用户(如图1所示150的工业控制系统终端管理软件)执行还是由恶意攻击者执行。除了IP欺骗或内幕影响,这些信息将允许对未经授权的访问作出更快的反应。
工业控制系统终端管理软件(如图1所示150)发送的授权启动/停止或重启数据包的捕获可视为IDS(如图1所示120)的入侵检测系统的误报。但是,在评估启动/停止或重启操作的敏感性时,即使ICS授权,入侵检测系统IDS也应检测并记录流量。因此,IDS必须能够通过持续监控网络流量和生成攻击模型来区分合法命令和真实攻击。在检测阶段的分析中,可以通过连续的监控过程提取来自不同来源(例如,如图所示150的工业控制系统终端管理界面和如图1所示170的攻击者PC)的请求。因此,这些攻击模型可以进入任何安全设备(防火墙、网络访问控制、NAC、电子邮件网关等)的黑名单,以防止类似攻击的再次发生。
工业控制系统中的漏洞会导致入侵者渗透到网络中,获取控制软件的访问权限,并随着ICS运行条件的变化而导致不期望的重大损坏。如果所使用的所有连接仅属于相关组织,那么网络的保密性对于防止未经授权的访问非常有益。然而,如今很难管理具有非物理/或逻辑“隔离”网络的工业控制系统,这种更改使ICS易受外部攻击。因此,深入分析工业控制系统中的部件(PLC、HMI、RTU、MTU等)和协议(Modbus、Profinet、DNP3等)存在的漏洞至关重要。除非识别出这些ICS的漏洞并采取预防措施来克服这些漏洞,否则这些国家关键基础设施可能面临无法控制的问题。为此,本申请对ICS最重要的组成部分之一的可编程逻辑控制器进行了启停或重启攻击的网络安全分析。攻击结果表明,可编程逻辑控制器容易受到攻击,关键设备的密码保护和对ICS网络的持续监控至关重要。检测阶段的分析结果表明,通过对ICS网络流量的连续监控,可以检测到类似的可能攻击。因此,关键的ICS组件(如PLC)需要实时监控,因此,对社会生活有重大影响的ICS可以在受到潜在攻击的最小损害的情况下生存下来。
由于ICS管理的国家关键基础设施没有针对网络攻击的有效安全评估,而且它们已使用多年,也没有更新。因为业务连续性是ICS的首要任务,所以对这些工业控制系统的网络安全分析仍然是一个重要的挑战。在发生灾难性重大后果后,人们才关注对ICS的网络攻击。尽管安全事件造成重大损害,但在许多机构中,对ICS环境的安全意识仍然不是首要任务。在本申请中,分析了ICS在关键基础设施管理中的弱点,它对社区生活非常重要。在分析范围内,作为ICS重要组成部分的可编程逻辑控制器PLC被选为目标设备。图1实验环境采用西门子S-7 1200型PLC装置。然而,通过遵循本申请所解释的攻击、观察和检测阶段,类似的实现可以应用于其他品牌和模型。因为,这些系统的快速发展、商用现货OEM的使用以及混合集成工业网络协议(如Modbus/TCP或Profinet/TCP)的开发,以及利用互联网或内部网连接提高生产率和效率,使得ICS及其组件(包括PLC)易受攻击各种网络攻击。因此,通过对其他品牌和型号的可编程逻辑控制器进行安全分析,也可以发现这些可编程逻辑控制器的漏洞和加以利用。分析、持续监控、检测异常数据包、创建攻击的签名和模型以及在发生类似攻击时生成告警等最突出的方面可以成功应用于其它PLC。因此,只能对这些漏洞采取预防措施,并防止攻击者再次利用它们。
基于签名的预防系统(杀病毒软件、IPS等)被认为对已知的网络安全攻击有很大的成功,并且部署了这些预防系统的网络可以安全地抵御任何网络安全攻击。然而,它们还不够有效,无法处理每秒出现的新恶意软件和网络攻击。因此,在网络流量异常的情况下,通过实时监控网络流量,及时调整IDS的入侵攻击检测规则,可以检测出入侵攻击和实现对网络管理员/安全专家的报警。在这方面,可以防止恶意数据包渗透和破坏工业控制系统,同时确保在工业控制系统的连续性维度范围内不延迟和不阻止合法数据包。本申请的基于规则的入侵检测的解决方案,包括持续监控和基于行为的分析,比基于预防的安全措施更有效,因为每秒钟都会出现新的恶意软件和新的网络攻击。
PLC是地理上分布的工业现场设备,因此物理检测对其进行的攻击非常困难。可编程逻辑控制器对分析中的启动/停止或重启攻击非常敏感,入侵检测系统监控对于有效地确保工业控制系统安全和避免可能的安全攻击造成的任何可能的损害非常重要。因此,对真实的ICS组件(如PLC)进行安全分析和持续监控,对于国家关键基础设施而言非常重要,可以在网络攻击造成最小损害的情况下进行救援。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
Claims (1)
1.一种工业控制系统的入侵检测方法,其特征在于,对工业控制系统发起攻击,分析攻击行为,通过分析结果而生成自动检测入侵攻击的规则和建立基于规则的工业控制系统的入侵检测系统,所述方法,还包括如下步骤:
1、扫描和检测工业控制系统上的设备;
2、向工业控制系统上的设备或某一个核心设备发起攻击;
3、截获攻击数据包;
4、监控攻击数据包的攻击效果;
5、分析攻击数据包的行为数据;
6、按照分析结果创建攻击模板;
7、生成入侵攻击检测规则;
8、建立基于规则的工业控制系统的入侵检测系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911396476.0A CN111193738A (zh) | 2019-12-30 | 2019-12-30 | 一种工业控制系统的入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911396476.0A CN111193738A (zh) | 2019-12-30 | 2019-12-30 | 一种工业控制系统的入侵检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111193738A true CN111193738A (zh) | 2020-05-22 |
Family
ID=70709708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911396476.0A Pending CN111193738A (zh) | 2019-12-30 | 2019-12-30 | 一种工业控制系统的入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111193738A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422557A (zh) * | 2020-11-17 | 2021-02-26 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
| CN114189395A (zh) * | 2022-02-15 | 2022-03-15 | 北京安帝科技有限公司 | Plc受攻击停止的风险检测包获取方法及装置 |
| CN114205126A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种工业系统中攻击检测的方法、设备及介质 |
| CN116843625A (zh) * | 2023-06-05 | 2023-10-03 | 广东粤桨产业科技有限公司 | 工业质检场景的缺陷检测模型部署方法、系统及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227559A (zh) * | 2015-10-13 | 2016-01-06 | 南京联成科技发展有限公司 | 一种积极的自动检测http攻击的信息安全管理框架 |
| CN107426227A (zh) * | 2017-08-02 | 2017-12-01 | 江苏省邮电规划设计院有限责任公司 | 一种自动化安全渗透测试方法 |
| CN108769022A (zh) * | 2018-05-29 | 2018-11-06 | 浙江大学 | 一种用于渗透测试的工业控制系统安全实验平台 |
| CN108809951A (zh) * | 2018-05-16 | 2018-11-13 | 南京大学 | 一种适用于工业控制系统的渗透测试框架 |
| US20190075123A1 (en) * | 2017-09-06 | 2019-03-07 | Rank Software Inc. | Systems and methods for cyber intrusion detection and prevention |
| CN109543301A (zh) * | 2018-11-22 | 2019-03-29 | 苏州健雄职业技术学院 | 一种基于工业控制的网络安全攻击原型建模方法 |
-
2019
- 2019-12-30 CN CN201911396476.0A patent/CN111193738A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227559A (zh) * | 2015-10-13 | 2016-01-06 | 南京联成科技发展有限公司 | 一种积极的自动检测http攻击的信息安全管理框架 |
| CN107426227A (zh) * | 2017-08-02 | 2017-12-01 | 江苏省邮电规划设计院有限责任公司 | 一种自动化安全渗透测试方法 |
| US20190075123A1 (en) * | 2017-09-06 | 2019-03-07 | Rank Software Inc. | Systems and methods for cyber intrusion detection and prevention |
| CN108809951A (zh) * | 2018-05-16 | 2018-11-13 | 南京大学 | 一种适用于工业控制系统的渗透测试框架 |
| CN108769022A (zh) * | 2018-05-29 | 2018-11-06 | 浙江大学 | 一种用于渗透测试的工业控制系统安全实验平台 |
| CN109543301A (zh) * | 2018-11-22 | 2019-03-29 | 苏州健雄职业技术学院 | 一种基于工业控制的网络安全攻击原型建模方法 |
Non-Patent Citations (1)
| Title |
|---|
| ERCAN NURCAN YILMAZ,SERKAN GÖNEN: "Attack detection_prevention system against cyber attack in industrial control systems", 《COMPUTERS & SECURITY》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422557A (zh) * | 2020-11-17 | 2021-02-26 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN112422557B (zh) * | 2020-11-17 | 2023-06-27 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
| CN113645181B (zh) * | 2021-06-21 | 2023-07-28 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
| CN114205126A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种工业系统中攻击检测的方法、设备及介质 |
| CN114189395A (zh) * | 2022-02-15 | 2022-03-15 | 北京安帝科技有限公司 | Plc受攻击停止的风险检测包获取方法及装置 |
| CN114189395B (zh) * | 2022-02-15 | 2022-06-28 | 北京安帝科技有限公司 | Plc受攻击停止的风险检测包获取方法及装置 |
| CN116843625A (zh) * | 2023-06-05 | 2023-10-03 | 广东粤桨产业科技有限公司 | 工业质检场景的缺陷检测模型部署方法、系统及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yılmaz et al. | Attack detection/prevention system against cyber attack in industrial control systems | |
| Süzen | A risk-assessment of cyber attacks and defense strategies in industry 4.0 ecosystem | |
| Lin et al. | Cyber attack and defense on industry control systems | |
| Jardine et al. | Senami: Selective non-invasive active monitoring for ics intrusion detection | |
| CN111193738A (zh) | 一种工业控制系统的入侵检测方法 | |
| CN113660296B (zh) | 一种工控系统防攻击性能的检测方法、装置及计算机设备 | |
| Abe et al. | Security threats of Internet-reachable ICS | |
| Robinson | The SCADA threat landscape | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| Abouzakhar | Critical infrastructure cybersecurity: A review of recent threats and violations | |
| Ferencz et al. | Review of industry 4.0 security challenges | |
| AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| Kang et al. | Cyber threats and defence approaches in SCADA systems | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| Slunjski et al. | Off-the-shelf solutions as potential cyber threats to industrial environments and simple-to-implement protection methodology | |
| Kamaev et al. | Attacks and intrusion detection in wireless sensor networks of industrial SCADA systems | |
| Monjur et al. | Hardware security in advanced manufacturing | |
| EP1544707A1 (en) | Network security system | |
| Pranggono et al. | Intrusion detection systems for critical infrastructure | |
| Botvinkin et al. | Analysis, classification and detection methods of attacks via wireless sensor networks in SCADA systems | |
| Sindhwad et al. | Exploiting Control Device Vulnerabilities: Attacking Cyber-Physical Water System | |
| Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
| Findrik et al. | Trustworthy computer security incident response for nuclear facilities | |
| Mesbah et al. | Cyber threats and policies for industrial control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200522 |
|
| RJ01 | Rejection of invention patent application after publication |