CN111339785A - 一种基于业务建模的语义级安全审计方法 - Google Patents
一种基于业务建模的语义级安全审计方法 Download PDFInfo
- Publication number
- CN111339785A CN111339785A CN202010416553.0A CN202010416553A CN111339785A CN 111339785 A CN111339785 A CN 111339785A CN 202010416553 A CN202010416553 A CN 202010416553A CN 111339785 A CN111339785 A CN 111339785A
- Authority
- CN
- China
- Prior art keywords
- instruction
- controlled variable
- data
- flow
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012550 audit Methods 0.000 title claims abstract description 28
- 238000004519 manufacturing process Methods 0.000 claims abstract description 15
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 238000004891 communication Methods 0.000 claims abstract description 8
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 230000008859 change Effects 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 14
- 230000006399 behavior Effects 0.000 claims description 9
- 238000009776 industrial production Methods 0.000 claims description 5
- 230000008672 reprogramming Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 15
- 238000011217 control strategy Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000013515 script Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 229910052770 Uranium Inorganic materials 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- JFALSRSLKYAFGM-UHFFFAOYSA-N uranium(0) Chemical compound [U] JFALSRSLKYAFGM-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于业务建模的语义级安全审计方法,包括以下步骤:S1:接收业务建模指令,读取工业控制系统的组态文件并进行识别和解析;S2:进行业务建模,生成业务规则集合;S3:接收流量监测指令,获取工业控制系统中的网络通讯流量,得到应用层数据内容;S4:接收深度解析指令,得到与工业过程控制相关的信息;S5:接收语义识别指令,识别数据包对应的操作语义;S6:接收合法性判断指令,对数据操作语义的合法性进行判断,识别出带有恶意行为的流量。本发明根据控制指令和参数并结合业务模型识别指令语义,对控制指令进行语义级安全审计,识别潜在的异常控制指令,提高了工业控制系统对于安全威胁的识别能力。
Description
技术领域
本发明涉及网络信息安全领域,特别涉及一种基于业务建模的语义级安全审计方法。
背景技术
工业控制系统用于对生产过程进行控制,是工业生产的核心中枢。在役的工业控制系统在设计之初普遍没有考虑到网络安全的威胁,系统中存在大量可被攻击者利用的脆弱性,存在极大的风险隐患。2010年爆发的震网病毒事件,病毒通过修改PLC控制参数,使铀浓缩离心机频繁启停,最终造成设备损坏,对伊朗核计划的开展产生了重大影响。
工业控制系统由DCS、PLC等控制设备和温度、压力等传感器以及上位主机构成,对工业生产过程进行监视控制。控制过程为:由PLC等控制设备读取传感器的数值,根据配置好的控制策略,生成相应的控制指令,控制生产设备按照工艺要求运行。
工业控制系统的组态文记录了工业控制系统的各类配置信息,包括PLC的I/O连接情况、各个参数的取值范围和换算方式、生产过程对应的控制策略等。工程师按照系统设计方案在组态软件上进行录入和编辑,并生成组态文件。
工业控制系统自身的安全防护主要依赖于安全联锁设备。当生产过程出现异常情况或发生故障时,按照一定的规则和要求,对部分设备进行自动操作,从而使生产过程转入正常运行或安全状态,属于系统层面的安全防护措施。但面对类似震网病毒这样的攻击时,由于恶意控制参数均在系统设定范围内,安全联锁设备失效,无法及时发现攻击行为并进行防护。
随着工控安全问题的暴露,安全厂商发布了一系列工控安全防护产品,在网络层面对工业控制系统进行防护。就安全审计类产品来说,目前用于工控安全领域的安全审计产品和技术,主要延续了传统信息安全领域中使用的五元组规则匹配技术和黑名单技术。
例如申请公布号为CN109889546A(2019.06.14)的发明专利中公开了一种快速细粒度多域网络互联安全控制方法,属于网络空间安全领域。首先建立安全策略语言语法规范,将每个安全策略分别转换成范式脚本,并实现相应的语法解析器,将没有错误的脚本进行存储;然后对其中域以及业务的语义在网络中存在的脚本,将白名单中每条策略分别设计成一棵树,对树进行合并;将黑名单中每条策略分别设计成一棵树,并将其合并白名单中;将范围默认动作内每条策略分别设计成一棵树,将其与黑白名单合并树进行合并,得到安全策略树。最后把描述域间业务通信的该脚本转换为描述细粒度的七元组安全规则,并高速分发/传输到安全互联网关,依据安全规则更新执行单元的安全控制信息。本发明具有简便性和灵活性,效率更高。
上述专利公开的内容结合近年来又出现了使用白名单技术和工控协议格式规约比对的工控安全审计产品,但是依旧难以识别出符合规则的合法流量中隐含的非法指令。由于现有的防护方法并未深入到控制指令和参数级别,无法对工业控制系统运行状态和业务行为进行全面监控,也无法识别出异常的控制指令。
发明内容
为了解决上述问题,本发明提出了一种基于业务建模的语义级安全审计方法,能够生成工业控制系统业务模型作为安全审计的基线;通过监听工业控制系统通讯流量并进行深度解析,根据控制指令和参数内容并结合业务模型识别指令语义,对控制指令进行语义级安全审计,识别潜在的异常控制指令。
本发明的技术方案如下所示:
一种基于业务建模的语义级安全审计方法,包括以下步骤:
S1:接收业务建模指令,读取工业控制系统的组态文件,并对组态文件的内容进行识别和解析;
S2:进行业务建模,按照预置格式生成业务规则集合;
S3:接收流量监测指令,获取工业控制系统中的网络通讯流量,基于OSI模型对流量进行逐层拆解,得到应用层数据内容;
S4:接收深度解析指令,基于流量对应的工业控制协议格式,对应用层数据内容进行深度解析,得到与工业过程控制相关的信息;
S5:接收语义识别指令,识别数据包对应的操作语义,将控制指令、参数对应到设备操作行为;
S6:接收合法性判断指令,对数据操作语义的合法性进行判断,识别出带有恶意行为的流量。
优选的,所述业务规则集合的预设格式为<被控设备,寄存器地址,被控变量,变量值域,变化规则>;所述变化规则包括变化特征、时间范围T和指定数量N,所述变化特征包括递增、递减、变化幅度和变化频率。
优选的,步骤S4中的所述信息包括请求数据包中的控制指令及其参数以及响应数据包中的数据、状态内容。
优选的,步骤S5中的识别过程为:根据功能码进行初步识别,当功能码为编程相关指令时,识别为设备编程操作;当功能码为关闭PLC的相关指令时,识别为设备启停操作;当功能码为写寄存器或写线圈等写操作指令时,识别为控制操作;对所述控制操作,进行进一步的识别,对照业务规则集合,根据参数中的寄存器地址匹配对应的被控设备和被控变量。
优选的,步骤S6中的所述的合法性判断流程为:
S6.1:获取步骤S5生成的数据包的操作语义作为输入;
S6.2:若数据包的操作语义为设备编程操作,则判定为非法流量,反之则进入步骤S6.3;
S6.3:若数据包的操作语义为设备启停操作,则判定为非法流量,反之则进入步骤S6.4;
S6.4:根据被控变量对应的业务规则,获取被控变量的值域范围。若被控变量的数值超出值域范围,则判定为非法流量,反之则进入步骤S6.5;
S6.5:根据被控变量对应的业务规则,获取被控变量的变化规则,并获取时间范围T操作同一被控变量的关联历史数据。若数据量小于指定数量N,则判定为合法流量,反之则进入S6.6;
S6.6:使用预设的统计方法对被控变量数据值的变化规律进行识别,若被控变量数据值的变化规律符合对应业务规则中的变化规则,则判定为合法流量,反之则判定为非法流量。
合法流量指流量的发送方、接收方和数据格式符合规则要求;相对应的非法流量包括不合法的发送方、不合法的接收方或数据格式不满足协议格式规约等情况。合法流量中隐含的非法指令:指的是流量方面满足规则要求,属于合法流量,但是具体在应用层的工控协议内容方面,其控制指令隐含恶意攻击的意图,例如关闭PLC、进行编程操作、控制值超出值域范围、控制值在值域范围内快速变动等操作指令。
优选的,步骤S6.2中判定的依据为:工业控制系统在运行期间不需要对控制设备进行重新编程。
优选的,步骤S6.3中判定的依据为:控制设备的启停操作需严格审批才可执行,工业控制系统在运行期间启停控制设备将直接影响工业生产过程。
优选的,步骤S6.4中判定的依据为:被控变量的数值在工业控制系统正常运行期间应在其值域范围内,超出值域范围会对产品及生产设备造成损坏。
优选的,步骤S6.5中判定的依据为:当被控变量的数据量不足时,无法准确识别其变化特征,待数据量增多后,该数据会作为历史数据支撑对新数据进行合法性判断。
优选的,步骤S6.6中判定的依据为:当被控变量数据值的变化规律不符合变化规则时,则认定为攻击导致被控变量偏离工艺要求。
本发明的技术效果为:本发明的技术方案充分利用了已知的信息,通过解析工业控制系统的组态文件,获取设备连接、控制策略等信息,对工业控制系统承载的生产业务过程进行建模,生成工业控制系统业务模型作作为安全审计的基线,业务模型能够准确描述工业控制系统正常运行的状态。
本发明还提供了一种工业控制系统语义级安全审计方法,能够监听工业控制系统通讯流量并进行深度解析,根据控制指令和参数并结合业务模型识别指令语义,对控制指令进行语义级安全审计,识别潜在的异常控制指令,提高工业控制系统对于安全威胁的识别能力。
附图说明
图1为本发明实施例的总体流程示意图。
图2为本发明实施例中合法性判断流程示意图。
具体实施方式
下面将结合附图对本发明实施例作进一步的说明。
如图1所示,本发明提供一种基于业务建模的语义级安全审计方法,包括以下步骤:
1、接收业务建模指令,读取工业控制系统的组态文件,并对内容进行识别和解析,组态文件中包括硬件配置,如PLC的I/O点位、现场I/O控制站的配置;重要参数变量及其工程量标度变换、上下限值、线性化处理规则;各个控制回路的控制策略及其算法等重要信息。
2、对工业控制系统所承载的生产业务过程进行建模,按照<被控设备,寄存器地址,被控变量,变量值域,变化规则>的格式生成业务规则集合。其中变化规则包含变化特征、时间范围T和指定数量N等信息,变化特征包括递增、递减、变化幅度、变化频率等情况,变化规则表示在时间范围T内,指定数量N被控变量的数据值应满足的变化特征。在业务建模的过程种不限于以上述格式来来生成业务规则集合。
不同被控变量的情况不同,时间范围T和指定数量N由用户进行指定,本实施例中不做具体限定;对于通过频繁改变被控变量数值的行为,在初期由于数据量不足可能会被误标记为正常流量,一方面随着数据量的增多,异常的数据变化将能够被检测出来,另一方面可以通过用户减小时间范围T和指定数量N的取值,来提高监测的敏感度。
3、接收流量监测指令,获取工业控制系统中的网络通讯流量,基于OSI模型对流量进行逐层拆解,得到与工业过程控制相关的应用层数据内容。
4、接收深度解析指令,基于流量对应的工业控制协议格式,对应用层数据内容进行深度解析,得到与工业过程控制相关的信息,包括请求数据包中的控制指令及其参数,以及响应数据包中的数据、状态内容。该模块能够支持工业控制协议的扩展,通过录入新增的工业控制协议格式,以实现对不同工业控制协议进行语义级审计。工业控制系统可由不同品牌的控制设备构成,采用专用协议进行通讯,既有协议格式公开的公有协议,也有协议格式不公开的私有协议。若缺乏协议格式支持,第三方安全厂商无法通过监听数据包了解工业控制系统内部相关指令控制的情况。近年来随着对工控协议研究的深入,出现了二进制逆向分析等技术,可以对私有协议进行破解,获取协议格式。本实施例预设已获取特定的工控协议格式,对于目前无法解析的私有协议,在出现新的解析方法后也能按本实施例提出的方法进行语义级审计。
5、接收语义识别指令,识别数据包对应的操作语义,将控制指令、参数对应到设备操作行为。
根据功能码进行初步识别,当功能码为编程相关指令时,识别为设备编程操作;当功能码为关闭PLC时,识别为设备启停操作;当功能码为写寄存器或写线圈等写操作指令时,识别为控制操作。对所述控制操作,再进行进一步的识别。对照业务规则集合,根据参数中的寄存器地址匹配对应的被控设备和被控变量。当功能码不属于设备编程、设备启停或控制操作时,识别为其他指令操作。本实施例不限定功能码中包含的具体指令。
例如某寄存器地址对应现场某个开关,数据表示开关的开闭状态,对该寄存器地址的写操作表示对开关进行控制;又如某寄存器地址对应现场某个电机,数据表示电机转速,根据业务规则集合进行量程变换后可得到电机的转速,对该寄存器地址的写操作表示对电机转速进行控制。
上述仅为部分控制操作。由于工业控制系统中涉及多种多样的传感器和执行器,本实施例中不再赘述。
6、接收合法性判断指令,对数据操作语义的合法性进行判断,识别出带有恶意行为的流量。合法性判断流程如图2所示:
6.1、获取前序工作生成的数据操作语义作为输入。
6.2、若数据操作语义为设备编程操作,则判定为非法流量,反之则进入下一步判定。判断依据是工业控制系统在运行期间基本不需要对控制设备进行重新编程,有很大可能性是攻击者在尝试修改控制策略以实现恶意目的。
6.3、若数据操作语义为设备启停操作,则判定为非法流量,反之则进入下一步判定。判断依据是控制设备的启停操作需要经验严格审批才可执行,工业控制系统在运行期间启停控制设备将直接影响工业生产过程,有很大可能是攻击者进行网络攻击。
6.4、根据被控变量对应的业务规则,获取被控变量的值域范围。若被控变量的数值超出值域范围,则判定为非法流量,反之则进入下一步判定。判断依据是被控变量的数值在工业控制系统正常运行期间应在其值域范围内,超出值域范围会对产品及生产设备造成损坏,有很大可能是攻击者通过中间人攻击手段恶意篡改被控变量数值,或是攻击导致的被控变量偏离工艺要求。
6.5、根据被控变量对应的业务规则,获取被控变量的变化规则,并获取时间范围T操作同一被控变量的关联历史数据。若数据量小于指定数量N,则判定为合法流量,若数据量大于等于指定数量N,则进入下一步判定。判断依据是当被控变量的数据量不足时,无法准确识别其变化特征,待数据量增多后,该数据会作为历史数据支撑对新数据进行合法性判断。
6.6、选择合适的统计方法,如单调性、极差、方差等对被控变量数据值的变化规律进行识别。若被控变量数据值的变化规律符合对应业务规则中的变化规则,则判定为合法流量,反之则判定为非法流量。判断依据是当被控变量数据值的变化规律不符合变化规则时,有很大可能是攻击导致的被控变量偏离工艺要求。
本实施例中采用解析组态文件的方式进行建模,由于组态文件是由工程师按照系统设计方案在组态软件上录入并生成的,在实际应用中,也可以通过人工录入的方式,按照本实施例中提出的格式生成业务规则集合。
本实施例中提出的业务规则格式可以进行拓展,加入更多工业控制系统业务相关的属性,从而实现对工业控制系统更为精准的建模,以支撑后续更为多样的语义识别和合法性判断方法。
本实施例中通过识别设备编程操作、设备启停操作、超出值域范围的控制操作和不符合数值变化规则的控制操作进行合法性判断,这些操作包含了目前针对工业控制系统的主流攻击方法。对于未来可能出现的新型攻击方法,可以在本实施例提出的合法性判断的基础上,对合法流量进行进一步的判断,从而识别出其他类型的攻击。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于业务建模的语义级安全审计方法,其特征在于,包括以下步骤:
S1:接收业务建模指令,读取工业控制系统的组态文件,并对组态文件的内容进行识别和解析;
S2:进行业务建模,按照预置格式生成业务规则集合;
S3:接收流量监测指令,获取工业控制系统中的网络通讯流量,基于OSI模型对流量进行逐层拆解,得到应用层数据内容;
S4:接收深度解析指令,基于流量对应的工业控制协议格式,对应用层数据内容进行深度解析,得到与工业过程控制相关的信息;
S5:接收语义识别指令,识别数据包对应的操作语义,将控制指令、参数对应到设备操作行为;
S6:接收合法性判断指令,对数据操作语义的合法性进行判断,识别出带有恶意行为的流量。
2.根据权利要求1所述的基于业务建模的语义级安全审计方法,其特征在于,所述业务规则集合的预设格式为<被控设备,寄存器地址,被控变量,变量值域,变化规则>;所述变化规则包括变化特征、时间范围T和指定数量N,所述变化特征包括递增、递减、变化幅度和变化频率。
3.根据权利要求2所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S4中的所述信息包括请求数据包中的控制指令及其参数以及响应数据包中的数据、状态内容。
4.根据权利要求1所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S5中的识别过程为:根据功能码进行初步识别,当功能码为编程相关指令时,识别为设备编程操作;当功能码为关闭PLC的相关指令时,识别为设备启停操作;当功能码为写寄存器或写线圈等写操作指令时,识别为控制操作;对所述控制操作进行进一步的识别,对照业务规则集合,根据参数中的寄存器地址匹配对应的被控设备和被控变量。
5.根据权利要求3所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S6中的所述的合法性判断流程为:
S6.1:获取步骤S5生成的数据包的操作语义作为输入;
S6.2:若数据包的操作语义为设备编程操作,则判定为非法流量,反之则进入步骤S6.3;
S6.3:若数据包的操作语义为设备启停操作,则判定为非法流量,反之则进入步骤S6.4;
S6.4:根据被控变量对应的业务规则,获取被控变量的值域范围;
若被控变量的数值超出值域范围,则判定为非法流量反之则进入步骤S6.5;
S6.5:根据被控变量对应的业务规则,获取被控变量的变化规则,并获取时间范围T操作同一被控变量的关联历史数据,若数据量小于指定数量N,则判定为合法流量,反之则进入S6.6;
S6.6:使用预设的统计方法对被控变量数据值的变化规律进行识别,若被控变量数据值的变化规律符合对应业务规则中的变化规则,判定为合法流量,反之则判定为非法流量。
6.根据权利要求5所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S6.2中判定的依据为:工业控制系统在运行期间不需要对控制设备进行重新编程。
7.根据权利要求5所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S6.3中判定的依据为:控制设备的启停操作需严格审批才可执行,工业控制系统在运行期间启停控制设备将直接影响工业生产过程。
8.根据权利要求5所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S6.4中判定的依据为:被控变量的数值在工业控制系统正常运行期间应在其值域范围内,超出值域范围会对产品及生产设备造成损坏。
9.根据权利要求5所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S6.5中判定的依据为:当被控变量的数据量不足时,无法准确识别其变化特征,待数据量增多后,该数据会作为历史数据支撑对新数据进行合法性判断。
10.根据权利要求5所述的基于业务建模的语义级安全审计方法,其特征在于,步骤S6.6中判定的依据为:当被控变量数据值的变化规律不符合变化规则时,则认定为攻击导致被控变量偏离工艺要求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010416553.0A CN111339785B (zh) | 2020-05-18 | 2020-05-18 | 一种基于业务建模的语义级安全审计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010416553.0A CN111339785B (zh) | 2020-05-18 | 2020-05-18 | 一种基于业务建模的语义级安全审计方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111339785A true CN111339785A (zh) | 2020-06-26 |
| CN111339785B CN111339785B (zh) | 2021-02-05 |
Family
ID=71186533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010416553.0A Active CN111339785B (zh) | 2020-05-18 | 2020-05-18 | 一种基于业务建模的语义级安全审计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111339785B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
| CN113119124A (zh) * | 2021-04-13 | 2021-07-16 | 北京航空航天大学 | 一种机器人控制系统的安全防护系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107065838A (zh) * | 2017-06-05 | 2017-08-18 | 广东顺德西安交通大学研究院 | 基于指令感知和模型响应分析的工控系统攻击检测方法 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
| CN109698831A (zh) * | 2018-12-28 | 2019-04-30 | 中电智能科技有限公司 | 数据防护方法和装置 |
-
2020
- 2020-05-18 CN CN202010416553.0A patent/CN111339785B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107065838A (zh) * | 2017-06-05 | 2017-08-18 | 广东顺德西安交通大学研究院 | 基于指令感知和模型响应分析的工控系统攻击检测方法 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN109391613A (zh) * | 2018-09-06 | 2019-02-26 | 国网山东省电力公司电力科技研究院 | 一种基于scd解析的智能变电站安全审计方法 |
| CN109698831A (zh) * | 2018-12-28 | 2019-04-30 | 中电智能科技有限公司 | 数据防护方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 徐凯宏等: "《安全监测技术》", 31 December 2012 * |
| 王勇等: "《工业控制系统网络安全防护》", 31 August 2017 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
| CN112799358B (zh) * | 2020-12-30 | 2022-11-25 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
| CN113119124A (zh) * | 2021-04-13 | 2021-07-16 | 北京航空航天大学 | 一种机器人控制系统的安全防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111339785B (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108600193B (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
| CN116488939B (zh) | 计算机信息安全监测方法、系统及存储介质 | |
| US9197652B2 (en) | Method for detecting anomalies in a control network | |
| CN111339785B (zh) | 一种基于业务建模的语义级安全审计方法 | |
| CN103259778A (zh) | 安全监视系统以及安全监视方法 | |
| CN111510339B (zh) | 一种工业互联网数据监测方法和装置 | |
| Lemaire et al. | A SysML extension for security analysis of industrial control systems | |
| CN110825040A (zh) | 一种工业控制系统的过程控制攻击检测方法及装置 | |
| CN112799358A (zh) | 一种工业控制安全防御系统 | |
| CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
| CN114371682B (zh) | Plc控制逻辑攻击检测方法及装置 | |
| CN114760103A (zh) | 一种工业控制系统异常检测系统、方法、设备及存储介质 | |
| Kim et al. | STRIDE‐based threat modeling and DREAD evaluation for the distributed control system in the oil refinery | |
| US11356468B2 (en) | System and method for using inventory rules to identify devices of a computer network | |
| CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
| US11683336B2 (en) | System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network | |
| KR20220121745A (ko) | 스마트팩토리 시스템 | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
| CN114257404B (zh) | 异常外联统计告警方法、装置、计算机设备和存储介质 | |
| CN110798425B (zh) | 一种黑客攻击行为的检测方法、系统及相关装置 | |
| CN113341870B (zh) | 一种控制代码异常识别的系统和方法 | |
| US20220067171A1 (en) | Systems and methods for automated attack planning, analysis, and evaluation | |
| CN117195241B (zh) | 固件漏洞的检测方法、设备和介质 | |
| CN117081855B (zh) | 蜜罐优化方法、蜜罐防护方法以及蜜罐优化系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 310000 rooms 501-505, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee after: Zhejiang Mulian Internet of things Technology Co.,Ltd. Address before: 310000 rooms 501-505, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou wooden chain Internet of things Technology Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A semantic level security audit method based on business modeling Effective date of registration: 20210831 Granted publication date: 20210205 Pledgee: Hangzhou High-tech Financing Guarantee Co.,Ltd. Pledgor: Zhejiang Mulian Internet of things Technology Co.,Ltd. Registration number: Y2021330001315 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20220904 Granted publication date: 20210205 Pledgee: Hangzhou High-tech Financing Guarantee Co.,Ltd. Pledgor: Zhejiang Mulian Internet of things Technology Co.,Ltd. Registration number: Y2021330001315 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A semantic level security audit method based on business modeling Effective date of registration: 20221021 Granted publication date: 20210205 Pledgee: Hangzhou High-tech Financing Guarantee Co.,Ltd. Pledgor: Zhejiang Mulian Internet of things Technology Co.,Ltd. Registration number: Y2022330002761 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20231016 Granted publication date: 20210205 Pledgee: Hangzhou High-tech Financing Guarantee Co.,Ltd. Pledgor: Zhejiang Mulian Internet of things Technology Co.,Ltd. Registration number: Y2022330002761 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |