CN111628994A - 一种工控环境的异常检测方法、系统及相关装置 - Google Patents
一种工控环境的异常检测方法、系统及相关装置 Download PDFInfo
- Publication number
- CN111628994A CN111628994A CN202010455029.4A CN202010455029A CN111628994A CN 111628994 A CN111628994 A CN 111628994A CN 202010455029 A CN202010455029 A CN 202010455029A CN 111628994 A CN111628994 A CN 111628994A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control environment
- characteristic value
- index data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本申请提供一种工控环境的异常检测方法,包括:获取所述工控环境的指标数据;提取所述指标数据的特征值;判断所述特征值是否超出特征集中对应的基准线;若是,生成超过基准线的特征值的对应告警信息。本申请通过获取工控环境的指标数据,在提取得到特征值后与特征集中对应的基准线相比较,以确定该指标数据是否存在异常,实现了对于工控环境的安全特征进行统计、分析和提取,为工控环境的各项指标数据设立了对应的基准线,从而实现有效的异常检测,提高了工控环境的安全水平。本申请还提供一种工控环境的异常检测系统、计算机可读存储介质和异常检测终端,具有上述有益效果。
Description
技术领域
本申请涉及工控领域,特别涉及一种工控环境的异常检测方法、系统及相关装置。
背景技术
随着工业控制系统的发展,互联互通成为趋势,但这同时也对工控系统的网络安全防护提出了更高的要求。工控系统遭受内部和外部的攻击威胁,并且威胁已从单一特征型攻击转变为高级可持续威胁攻击,传统的针对特征型威胁检测手段检测能力不逮,需要采取对应的检测手段进行威胁攻击检测。
发明内容
本申请的目的是提供一种工控环境的异常检测方法、系统、计算机可读存储介质额和异常检测终端,能够提高工控环境的异常检测能力。
为解决上述技术问题,本申请提供一种工控环境的异常检测方法,具体技术方案如下:
获取所述工控环境的指标数据;
提取所述指标数据的特征值;
判断所述特征值是否超出特征集中对应的基准线;
若是,生成超过基准线的特征值的对应告警信息。
可选的,所述指标数据包括资产数据、网络数据、时序数据、工控指令数据和核心工艺参数数据五类数据中的一类或任几类的组合;其中,每类数据对应至少一个基准线。
可选的,获取所述工控环境的指标数据包括:
以预设周期获取所述工控环境的指标数据。
可选的,所述预设周期为所述工控环境对应工艺周期的整倍数。
可选的,所述生成超过基准线的特征值的对应告警信息之后,还包括:
对所述告警信息进行复核;
若所述告警信息对应的指标数据所属工况正常,将所述指标数据对应的特征值添加至基准线。
可选的,还包括:
根据预设时间段内所述指标数据的特征值变化得到特征值曲线;
根据所述特征值曲线和所述基准线生成所述工控环境的指标变化图。
本申请还提供一种工控环境的异常检测系统,包括:
获取模块,用于获取所述工控环境的指标数据;
提取模块,用于提取所述指标数据的特征值;
判断模块,用于判断所述特征值是否超出特征集中对应的基准线;
异常告警模块,用于所述判断模块的判断结果为是时,生成超过基准线的特征值的对应告警信息。
可选的,还包括:
曲线示意模块,用于根据预设时间段内所述指标数据的特征值变化得到特征值曲线;根据所述特征值曲线和所述基准线生成所述工控环境的指标变化图。
本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的方法的步骤。
本申请还提供一种异常检测终端,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如上所述的方法的步骤。
本申请提供一种工控环境的异常检测方法,包括:获取所述工控环境的指标数据;提取所述指标数据的特征值;判断所述特征值是否超出特征集中对应的基准线;若是,生成超过基准线的特征值的对应告警信息。
本申请通过获取工控环境的指标数据,在提取得到特征值后与特征集中对应的基准线相比较,以确定该指标数据是否存在异常,实现了对于工控环境的安全特征进行统计、分析和提取,为工控环境的各项指标数据设立了对应的基准线,从而实现有效的异常检测,提高了工控环境的安全水平。本申请还提供一种工控环境的异常检测系统、计算机可读存储介质和异常检测终端,具有上述有益效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种工控环境的异常检测方法的流程图;
图2为本申请实施例所提供的一种工控环境的异常检测系统结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种工控环境的异常检测方法的流程图,该方法包括:
S101:获取所述工控环境的指标数据;
本步骤旨在获取工控环境的指标数据。在此对于获取何种指标数据不作具体限定。优选的,指标数据可以包括资产数据、网络数据、时序数据、工控指令数据和核心工艺参数数据五类数据中的一类或任几类的组合。工控环境的安全基线考察的维度主要分为资产、网络、时序、工控指令、核心工艺参数五个方面。
资产数据主要指工控网络中的资产设备的相关数据,其指标数据包括是否出现了新设备、是否出现了冒充设备等,通过设备的ip地址集合、Mac地址集合和相互关系可以分析得出。
而网络数据主要包括网络健康状况、访问关系、流量、协议等,其中访问关系除了源ip/端口,目的IP/端口的四元组关系,还需要考虑网络连接频率,通常不低于每天3次,从而检测出低频发送的违规连接。同时网络数据还需要考虑网络流量,网络流量需要检测流量大小是否出现大幅偏离或零流量情况。
时序方面需要对工作时间进行检测,还需要检测请求报文和响应报文的间隔时间,用以检测中间人攻击。所谓请求报文和响应报文,指工控环境接收到的任务请求报文和对该任务请求作响应的响应报文。
工控指令方面旨在检测关键工控指令操作,即启动、停止、上装、下载等工控指令的发送频率等。
核心工艺参数主要指关键工艺参数数值。
在此对于如何获取指标数据不做具体限定,可以以预设周期获取工控环境的指标数据,该预设周期可以为工控环境对应工艺周期的整倍数,例如两个工艺周期或者三个工艺周期,或者以自然天的倍数为预设周期,例如每周获取一次工控环境的指标数据。所谓工艺周期根据工控环境中的不同设备以及设备制造产品而定,在此不做具体限定。
S102:提取所述指标数据的特征值;
本步骤旨在提取指标数据的特征值。由于任何一类指标数据可能包含多个检测项,因此,通过对指标数据进行特征提取,以得到各检测项的特征值。在进行提取时,以检测项为区分点得到各检测项对应的特征值。同时,去除无效数据,仅保留有效数据。
以资产数据为例,其可以包含设备名称和设备网络两个检测项。在获取到资产数据后,可以对资产数据提取得到设备名称和设备网络两个特征项,其内容即为特征值。设备名称即确定接入工控环境的设备数量,由于不同设备其设备名称不同,因此可以通过检测当前工控环境内的设备名称,以判断是否有新设备接入。而设备网络用于判断是否存在冒充设备,即某台设备顶替了原有工控环境中的设备名称,此时可以通过设备网络作进一步判断,避免被冒充设备攻击。
S103:判断所述特征值是否超出特征集中对应的基准线;若是,进入S104;
本步骤旨在将特征值与特征集中的对应的基准线进行比对。需要注意的是,本实施例默认在本步骤前需要预先设定特征集中的基准线。此外,每类数据对应至少一个基准线。所谓特征集,包括各指标数据对应的基准线,基准线指各指标数据在正常运行时的数据范围或者数据要求,应由本领域技术人员预先设置,在此不做具体限定。
下文以上文的五类数据为例说明各数据对应的基准线。
对于资产数据,其若包含设备名称和设备网络两个检测项,则其基准线至少也为两条,即第一条基准线对应设备名称,该基准线上应包含工控环境中所存在的设备名称。第二条基准线与第一条基准线相对应,即各设备名称对应的设备网络信息,包括但不限定于IP地址和MAC地址等等。
对于网络数据,其可以包括网络安全检查、网络访问关系、网络端口、流量、数据包和协议等检测项。其中,网络安全检测包括TCP重复连接、TCP拒绝连接、TCP重传、TCP重复确认、IP非法校验和、ICMP端口不可达、ARP请求风暴和TCP端口扫描等数据,而其对应的基准线则是针对每项数据的标准。而网络访问关系主要指工控环境中各设备与其他设备的访问关系,包括工控环境内的网络访问和跨工控环境访问。对于网络端口的检测主要是检测工控环境的各通讯关系中是否存在新的服务器端口,以及对端口的通讯频率作相应的基线设定。例如限定各服务器端口每天的出现频率不得大于三次,若某个服务器端口的日出现频率超过三次,那么存在工控环境被攻击的可能,即可能该服务器端口被利用进行网络攻击。
流量包括工控环境中各设备的日流量统计、设备单向传输流量统计和整个工控环境的日流量等检测项,
对于时序数据,其可以包括工作时间和中间人攻击检测等检测项,工作时间指的是对于工控环境内各设备的工作时间作检测,该检测项对应的基准线为许可的工作时间,当检测到某设备的工作时间不再许可时间内时,即可执行步骤S104,生成对应的告警信息。中间人攻击检测需要对请求包和响应包的时间间隔作判断,通常可以与历史平均值作比较,其基准线可以为历史平均值或者以历史平均值为基准的范围值。
对于工控指令数据,其可以包括新指令、关键指令和指令发送频率等检测项,新指令指监测工控环境中是否新增指令,其对应的基准线为预设指令,当新增指令不属于预设指令时,意味着工控环境中存在未知指令,此时可以进行告警。关键指令包括工控环境中的常用指令,包括启动操作、停止操作、上装操作和下载操作,对关键指令的检测在于检测这些指令是否经过授权许可,对于未获授权的关键指令可以生成对应的告警信息。
对于核心工艺参数数据,其主要指关键工艺参数数据监测和偏离告警。
S104:生成超过基准线的特征值的对应告警信息。
本步骤旨在对超过基准线的指标数据生成对应的告警信息。容易理解的是,该告警信息可疑包括异常特征名称、异常内容以及发生异常的设备等,便于本领域技术人员快速定位异常位置。当指标数据包含多类数据时,其对应的告警信息可以包含多条,或者针对每个异常值生成对应的告警信息,意即一个告警信息可以同时包含多个异常内容,也可以每个异常数据生成一个告警信息,在此对于告警信息的具体生成过程不作限定。
上文所公开的五类指标数据仅为本申请所公开的一种较优的实施方式,本领域技术人员可以针对工控环境的其他指标数据作相应设定。
本申请实施例通过获取工控环境的指标数据,在提取得到特征值后与特征集中对应的基准线相比较,以确定该指标数据是否存在异常,实现了对于工控环境的安全特征进行统计、分析和提取,为工控环境的各项指标数据设立了对应的基准线,从而实现有效的异常检测,提高了工控环境的安全水平。
在上述实施例的基础上,作为优选的实施例,步骤S104生成超过基准线的特征值的对应告警信息之后,还包括:
S201:对告警信息进行复核;
S202:若告警信息对应的指标数据所属工况正常,将指标数据对应的特征值添加至基准线。
本实施例旨在告警信息进行复核,即确认各指标数据的异常情况,由于并非所有异常情况会产生不良后果,或者由于该指标数据未事先写入基准线,因此产生相应的告警信息。此时可以对基准线进行更新,以便满足工控环境在不同场景下的工作需要。特别的,在不同工况下,同一类数据可以对应不同的基准线。
在上述实施例的基础上,作为优选的实施例,还包括:
S301:根据预设时间段内指标数据的特征值变化得到特征值曲线;
S302:根据特征值曲线和基准线生成工控环境的指标变化图。
本实施例旨在将指标数据的特征值变化实现可视化处理,即将特征值与对应基准线以指标变化图的形式展现给工控环境的维护人员等,通过该指标变化图,可以直接得到每个指标数据的变化,以及每个设备行为发生的频率、次数及时间分布,便于本领域技术人员及时掌控工控环境的工作状态。
下面对本申请实施例提供的一种工控环境的异常检测系统进行介绍,下文描述的异常检测系统与上文描述的一种工控环境的异常检测方法可相互对应参照。
参见图2,图2为本申请实施例所提供的一种工控环境的异常检测系统结构示意图,本申请还提供一种工控环境的异常检测系统,包括:
获取模块100,用于获取所述工控环境的指标数据;
提取模块200,用于提取所述指标数据的特征值;
判断模块300,用于判断所述特征值是否超出特征集中对应的基准线;
异常告警模块400,用于所述判断模块的判断结果为是时,生成超过基准线的特征值的对应告警信息。
在上述实施例的基础上,作为优选的实施例,还可以包括:
曲线示意模块,用于根据预设时间段内所述指标数据的特征值变化得到特征值曲线;根据所述特征值曲线和所述基准线生成所述工控环境的指标变化图。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种异常检测终端,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述异常检测终端还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言,由于其与实施例提供的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种工控环境的异常检测方法,其特征在于,包括:
获取所述工控环境的指标数据;
提取所述指标数据的特征值;
判断所述特征值是否超出特征集中对应的基准线;
若是,生成超过基准线的特征值的对应告警信息。
2.根据权利要求1所述的异常检测方法,其特征在于,所述指标数据包括资产数据、网络数据、时序数据、工控指令数据和核心工艺参数数据五类数据中的一类或任几类的组合;其中,每类数据对应至少一个基准线。
3.根据权利要求1所述的异常检测方法,其特征在于,获取所述工控环境的指标数据包括:
以预设周期获取所述工控环境的指标数据。
4.根据权利要求3所述的异常检测方法,其特征在于,所述预设周期为所述工控环境对应工艺周期的整倍数。
5.根据权利要求1所述的异常检测方法,其特征在于,所述生成超过基准线的特征值的对应告警信息之后,还包括:
对所述告警信息进行复核;
若所述告警信息对应的指标数据所属工况正常,将所述指标数据对应的特征值添加至基准线。
6.根据权利要求1所述的异常检测方法,其特征在于,还包括:
根据预设时间段内所述指标数据的特征值变化得到特征值曲线;
根据所述特征值曲线和所述基准线生成所述工控环境的指标变化图。
7.一种工控环境的异常检测系统,其特征在于,包括:
获取模块,用于获取所述工控环境的指标数据;
提取模块,用于提取所述指标数据的特征值;
判断模块,用于判断所述特征值是否超出特征集中对应的基准线;
异常告警模块,用于所述判断模块的判断结果为是时,生成超过基准线的特征值的对应告警信息。
8.根据权利要求7所述的异常检测系统,其特征在于,还包括:
曲线示意模块,用于根据预设时间段内所述指标数据的特征值变化得到特征值曲线;根据所述特征值曲线和所述基准线生成所述工控环境的指标变化图。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的方法的步骤。
10.一种异常检测终端,其特征在于,包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1-6任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010455029.4A CN111628994A (zh) | 2020-05-26 | 2020-05-26 | 一种工控环境的异常检测方法、系统及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010455029.4A CN111628994A (zh) | 2020-05-26 | 2020-05-26 | 一种工控环境的异常检测方法、系统及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111628994A true CN111628994A (zh) | 2020-09-04 |
Family
ID=72260792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010455029.4A Pending CN111628994A (zh) | 2020-05-26 | 2020-05-26 | 一种工控环境的异常检测方法、系统及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111628994A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113590663A (zh) * | 2021-08-05 | 2021-11-02 | 苏州普瑞菲环保科技有限公司 | 一种环境检测方法及系统 |
| CN114355853A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
| CN115348339A (zh) * | 2022-08-12 | 2022-11-15 | 北京威努特技术有限公司 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011147053A1 (zh) * | 2010-05-28 | 2011-12-01 | Yan Tak Kin Andrew | 主动前瞻式流体薄膜智能监控方法及装置 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105871638A (zh) * | 2016-06-03 | 2016-08-17 | 北京启明星辰信息安全技术有限公司 | 一种网络安全控制方法及装置 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
-
2020
- 2020-05-26 CN CN202010455029.4A patent/CN111628994A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011147053A1 (zh) * | 2010-05-28 | 2011-12-01 | Yan Tak Kin Andrew | 主动前瞻式流体薄膜智能监控方法及装置 |
| CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
| CN105871638A (zh) * | 2016-06-03 | 2016-08-17 | 北京启明星辰信息安全技术有限公司 | 一种网络安全控制方法及装置 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113590663A (zh) * | 2021-08-05 | 2021-11-02 | 苏州普瑞菲环保科技有限公司 | 一种环境检测方法及系统 |
| CN114355853A (zh) * | 2021-12-30 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
| CN114355853B (zh) * | 2021-12-30 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种工控数据取证方法、装置、电子设备及存储介质 |
| CN115348339A (zh) * | 2022-08-12 | 2022-11-15 | 北京威努特技术有限公司 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
| CN115348339B (zh) * | 2022-08-12 | 2023-11-21 | 北京威努特技术有限公司 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| CN111628994A (zh) | 一种工控环境的异常检测方法、系统及相关装置 | |
| Yang et al. | Intrusion detection system for IEC 60870-5-104 based SCADA networks | |
| CN109587179B (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
| CN110495138B (zh) | 工业控制系统及其网络安全的监视方法 | |
| CN107404465B (zh) | 网络数据分析方法及服务器 | |
| CN103634786B (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| KR101544322B1 (ko) | 시각화를 이용한 악성 코드 탐지 시스템과 방법 | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| RU2636640C2 (ru) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак | |
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN108259473B (zh) | Web服务器扫描防护方法 | |
| CN113518057B (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
| KR20090090641A (ko) | 능동형 보안 감사 시스템 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN111736521B (zh) | 一种工业控制设备安全防护方法 | |
| Alsabbagh et al. | A fully-blind false data injection on PROFINET I/O systems | |
| US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
| CN106330975A (zh) | 一种基于scada系统的周期性异常检测的方法 | |
| CN109040137B (zh) | 用于检测中间人攻击的方法、装置以及电子设备 | |
| WO2020103154A1 (en) | Method, apparatus and system for data analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200904 |