CN111709034A - 基于机器学习的工控环境智能安全检测系统与方法 - Google Patents
基于机器学习的工控环境智能安全检测系统与方法 Download PDFInfo
- Publication number
- CN111709034A CN111709034A CN202010471767.8A CN202010471767A CN111709034A CN 111709034 A CN111709034 A CN 111709034A CN 202010471767 A CN202010471767 A CN 202010471767A CN 111709034 A CN111709034 A CN 111709034A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- machine learning
- module
- safety detection
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 68
- 238000010801 machine learning Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims abstract description 11
- 230000002159 abnormal effect Effects 0.000 claims abstract description 26
- 239000000523 sample Substances 0.000 claims abstract description 20
- 230000006399 behavior Effects 0.000 claims description 22
- 238000007781 pre-processing Methods 0.000 claims description 18
- 238000012549 training Methods 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 7
- 238000004519 manufacturing process Methods 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 4
- 230000002776 aggregation Effects 0.000 claims description 3
- 238000004220 aggregation Methods 0.000 claims description 3
- 230000015572 biosynthetic process Effects 0.000 claims description 3
- 238000009826 distribution Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 2
- 230000008447 perception Effects 0.000 abstract description 4
- 239000000428 dust Substances 0.000 abstract description 3
- 238000009776 industrial production Methods 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 12
- 241000700605 Viruses Species 0.000 description 5
- 230000017525 heat dissipation Effects 0.000 description 5
- 230000007704 transition Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- XAGFODPZIPBFFR-UHFFFAOYSA-N aluminium Chemical compound [Al] XAGFODPZIPBFFR-UHFFFAOYSA-N 0.000 description 2
- 229910052782 aluminium Inorganic materials 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 229910000831 Steel Inorganic materials 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000003889 chemical engineering Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 229910052761 rare earth metal Inorganic materials 0.000 description 1
- 150000002910 rare earth metals Chemical class 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000011257 shell material Substances 0.000 description 1
- 239000010959 steel Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本发明公开了一种基于机器学习的工控环境智能安全检测系统与方法。本发明基于工业控制内部网络部署安全探针装置,可用于实现工控环境的信息安全状况与态势感知。安全探针装置内置机器学习算法,且安全探针的检测算法因素增加包括实现应用白名单、配置合规性检查与补丁扫描、正常工控协议与异常工控协议列表等内容。本发明提出的探针设备可广泛应用于工业生产的高热、粉尘等恶劣环境,相较于传统标准机房环境的工控探针更具有部署优势。
Description
技术领域
本发明涉及工控安全技术领域,具体的说是一种基于机器学习的工控环境智能安全检测系统与方法。
背景技术
随着网络无线化、移动化的发展,网络信息安全给工业控制网络设施带来了巨大隐患,加上各种智能仪表、操作终端入网能力的提高,使得工业控制系统固有漏洞和攻击面日益增加。
文献《基于机器学习的可感知序列型工控入侵检测技术研究》对中国国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)、中国国家信息安全漏洞库(China NationalVulnerability Database of Information Security,CNNVD)发布的漏洞进行了分类以及统计分析,结果表明:2010年以来工控漏洞数量增长态势明显。2010年全年公开工控漏洞数量为77条,而2018年全年公开工控漏洞数量为628条。
“震网病毒”、“火焰病毒”等事件表明,某些国家已能够破坏具有战略价值的民用行业信息系统,并且攻击和破坏能力逐步增大。迫于此,全球各国均开始重视工控系统网络安全问题。
常用的工控安全网络保护技术是采用工业防火墙、网络安全漏洞扫描、白名单技术等方式。文献《基于多核处理器的工业控制系统硬件防火墙研究》提到工业防火墙主要是在工业控制网络和信息网络之间设置防护系统,串联在网络中,将工业控制网络和信息网络分隔开,主要起到过滤的作用。工业防火墙虽然能够阻止对工控系统的一些非法访问,但对系统的一些恶意入侵抵御性差。工控安全漏洞扫描技术主要是先扫描系统中的端口,从而得到系统的目标设备和软件信息,然后通过获取的信息识别出种类、型号、版本等,最后将这些信息与网络漏洞库进行一一列表,查询相关安全漏洞,降低系统的安全风险。文献《Apractical flow white list approach for SCADA systems》提到的白名单主要是指一个管理员或者用户授权的应用程序列表,当有应用程序需要运行时,系统会自动查询该列表,若在该列表中,则运行此程序。
文献《基于FCM-SVM的工控网络异常检测算法研究》提到入侵检测技术是一种主动防御技术,该技术通过对工控系统网络进行检测对系统中可能存在的异常行为进行分析,在网络中呈并联状态,将防护、检测、响应融为一体,具有智能监控、实施探测等特点,构建了工业控制系统可靠的运行环境。入侵检测技术能够分析、识别很多的攻击行为,是非常重要的一种安全防护技术,该技术的发展趋势对工控网络信息的安全性有重大的影响。
随着工控安全技术的发展,新的工业控制系统病毒也在不断地繁衍、传播和进化,隐藏程度逐步加深。显然,针对互联网病毒通常采用的“发作一补救一防范”的措施对工业控制系统的安全防护是无效的。
离线建立的模型、列表等难以适应工业过程网络环境变化中的新情况,如基于旧规则建立的入侵检测模型难以检测新的入侵手段,基于旧的异常协议列表难以检测新出现的异常协议的入侵。因此,需要基于机器学习方法来监测网络数据变化并自适应即时更新模型、列表等。综上所述,有必要将机器学习技术用于工业控制网络的安全监测与防护,建立具有智能安全检测的工控系统迫在眉睫。
发明内容
鉴于上述的分析,本发明提出了一种基于机器学习的工控环境智能安全检测系统与方法,用于不同工控环境下的安全检测与态势感知。
本发明的目的主要通过以下技术方案实现:一种基于机器学习的工控环境智能安全检测系统,基于工业控制内部网部署安全探针装置,所述安全探针装置包括数据采集模块、基线形成模块和安全检测模块;
所述数据采集模块,用于采集工业控制内部网应用层协议的数据包;
所述基线形成模块,用于对采集的数据包进行预处理,将预处理后得到的数据作为训练数据集进行机器学习,生成适应当前工控环境的合法行为基线;
所述安全检测模块,用于根据所述合法行为基线在不同工控环境下进行安全检测,当检测到不符合所述基线形成模块学习的行为则告警。
所述安全探针装置部署在主节点上。
所述数据采集模块通过PF_RING进行数据包流量采集,将所述数据包按照既定的通信协议规则解析出各个不同意义的字段,并将解析出来的每个字段的数据进行标记。
所述基线形成模块包括预处理模块、机器学习模块和安全检测基线形成模块;
所述预处理模块,用于对所述数据采集模块采集的数据包进行预处理;
所述机器学习模块,用于通过机器学习算法对所述预处理模块处理后得到的数据作为训练数据集进行机器学习;
所述安全检测基线形成模块,用于根据所述机器学习模块的训练结果生成适应当前工控环境的合法行为基线。
所述预处理模块基于本体将数据聚合,即,将工业控制系统中具有相同概念和语义的数据进行归类和抽取,将聚合得到新的数据分类,所有分类构成的集合作为机器学习的训练数据集;
所述机器学习模块基于CNN/RNN学习与建模;
所述安全检测基线形成模块根据机器学习训练结果形成符合安全规范的协议特征、设备对象信息,并生成可供参考的网络通信特征列表,通过对协议分布和流量信息的匹配形成安全检测基线。
所述安全检测模块的安全检测包括:实施应用白名单、配置合规性检查与补丁扫描、正常工控协议与异常工控协议列表。
所述配置合规性检查是对工控系统的配置文件进行解析,将功能代码与具体业务操作、国家标准和行业标准进行关联,用于实现合规性检查功能。
所述正常工控协议与异常工控协议列表针对不同行业工控网络进行异常监测;
所述正常工控协议包括:DNP3、IEC104、IEC61850-GOOSE、IEC61850-MMS、MODBUS、S7COMM、IEC62351。
本发明还提供一种基于机器学习的工控环境智能安全检测方法,包括以下步骤:
创建连接与创建列表:确定连接的客户端与服务器端,并根据八元组汇总连接形成列表;
学习阶段:在一段时间内通过网络流量的收集,对所有合法的数据流进行统计,自动建立并初始化白名单;或,对工控系统的配置文件等进行解析,将功能代码与具体业务操作、国家标准和行业标准进行关联,针对不同的工控环境使用预先准备好的模板进行配置合规性检查;或,针对不同行业工控网络增加正常工控协议与异常工控协议列表进行异常监测;
生成阶段:针对形成的初始化白名单信息进行阈值范围设定,形成稳定空间范围白名单;或,结合生产标注形成具有约束条件的信号上下限;
检测阶段:使用在学习阶段所创建的白名单去识别非法流并告警;或,对运维人员下发的工控协议报文产生的非法操作进行检测,对未知协议、越权操作、关键控制行为进行检测并警告;或,基于异常工控协议列表对异常工控协议进行检测检测并警告。
所述八元组包括源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型和工控协议解析指令字段。
本发明提供的所述的上述技术方案,与现有的技术相比,至少具有如下优点:
1.本发明是基于工业控制内部网络部署安全探针装置,可用于实现工控环境的信息安全状况与态势感知。
2.本发明提出的基于机器学习的工控环境智能安全检测框架及实施方法安全探针装置内置机器学习算法,用于对当前环境下的合法行为进行学习,当检测到不符合之前学习后的行为则告警。
3. 本发明安全探针的检测算法因素增加包括实现应用白名单、配置合规性检查与补丁扫描、正常工控协议与异常工控协议列表等内容。
4.本发明提出的探针设备可广泛应用于工业生产的高热、粉尘等恶劣环境,相较于传统标准机房环境的工控探针更具有部署优势。
附图说明
图1是本发明的总体架构图;
图2是本发明实施例中安全检测因素的实施应用白名单的一个具体示例的流程图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种基于机器学习的工控环境智能安全检测系统,应用于钢铁、稀土、化工等不同工控环境下的安全监测。在更细粒度的内网(车间等)网络中部署安全探针装置,可用于网络即时监控,当发现可疑传输时发出警报或者采取主动反应措施的网络安全设备;可用于实现工控环境的信息安全状况与态势感知,辅助实现态势信息采集、病毒事件处理等业务。
作为本发明的一个实施例,针对高热、粉尘的较极端环境下,安全探针装置可采用耐高温的外壳材料,全密闭、紧凑、坚固的设计结构。当需要散热时,探针设备或可采用无风扇散热系统,在散热方式上采用低功耗、性能优越的CPU。设备可采用厚实的散热铝块或铜块配合外部大面积散热铝鳍片,能够高效有序地将设备内部产生的热能及时有效地传送到外部。
安全探针装置的架构图如图1所示,包括:
数据采集模块:采集工业控制内部网应用层协议中的多个数据包,通过PF_RING进行数据包流量采集以支持高流量的数据传输,将所述数据包按照既定的通信协议规则解析出各个不同意义的字段,并将解析出来的每个字段的数据进行标记。上述数据包内包含了工控系统监测区域的所有上下行流量、设备状态、配置信息等信息。
基线形成模块:对采集的多个数据包进行预处理,将上述多个数据包进行数据分析,对当前环境下的合法行为进行学习,建立安全检测基线;
进一步地,上述模块以对采集的多个数据包进行预处理后得到的数据为训练数据集进行机器学习,根据训练结果生成工控环境下的安全检测基线;
进一步地,上述机器学习可基于以事件序列为数据源的离散时间马尔科夫链(DTMC)模型或模糊C均值聚类和支持向量机结合的FCM-SVM模型等进行快速建模;
具体地,离散时间马尔科夫链(DTMC)模型是对于事件序列中的每一个事件,根据其现有DTMC情况进行处理。如果DTMC中不存在与之相同的状态,则建模算法会在DTMC中新增一个状态,状态计数为1;如果DTMC中已存在与之相同的状态,则建模算法会更新该状态,将状态计数和最近时间戳等信息更新。除此之外,当出现新的状态转换时,建模算法会新增一个转换。如果出现了已存在的转换,则更新该转换的信息。
具体地,模糊C均值聚类和支持向量机结合的FCM-SVM模型是根据聚类中心和隶属度计算聚类中心距离D,与阈值比较,设定优化参数后进行SVM检测,建立模型。
所述基线形成模块包括预处理模块、机器学习模块和安全检测基线形成模块;所述预处理模块,用于对所述数据采集模块采集的数据包进行预处理,基于本体将数据聚合,即,将工业控制系统中具有相同概念和语义的数据进行归类和抽取,将聚合得到新的数据分类,所有分类构成的集合作为机器学习的训练数据集;所述机器学习模块,用于通过机器学习算法对所述预处理模块处理后得到的数据作为训练数据集进行机器学习,基于CNN/RNN学习与建模;所述安全检测基线形成模块,用于根据所述机器学习模块的训练结果生成适应当前工控环境的合法行为基线,具体地,根据机器学习训练结果形成符合安全规范的协议特征、设备对象信息,并生成可供参考的网络通信特征列表,通过对协议分布和流量信息的匹配形成安全检测基线。
安全检测模块:基于检测算法在当前工控环境下进行安全检测,当检测到不符合之前学习后的行为则告警。
进一步地,上述安全检测模块的检测算法因素增加实现应用白名单,比如传统白名单、基于机器学习的白名单,还包括配置合规性检查与补丁扫描、正常工控协议与异常工控协议列表;
具体地,上述传统白名单:指一个管理员或者用户授权的应用程序列表,当有应用程序需要运行时,系统会自动查询该列表,若在该列表中,则运行此程序。
具体地,所述配置合规性检查是对工控系统的配置文件进行解析,将功能代码与具体业务操作、国家标准和行业标准进行关联,用于实现合规性检查功能。
具体地,所述正常工控协议与异常工控协议列表针对不同行业工控网络进行异常监测;所述正常工控协议包括:DNP3、IEC104、IEC61850-GOOSE、IEC61850-MMS、MODBUS、S7COMM、IEC62351。
一种基于机器学习方法的白名单工作流程如图2所示,包括创建连接与创建列表、学习阶段、检测阶段;
创建连接与创建列表:创建连接是将捕获到的包聚集,以TCP状态机或超时作为创建连接的结束标志。在创建列表阶段确定了连接的客户端与服务器端,并根据八元组(源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型和工控协议解析指令字段)进一步汇总连接;
学习阶段:在一段时间内通过网络流量的收集,对所有合法的数据流进行统计,自动建立并初始化白名单;或,对工控系统的配置文件等进行解析,将功能代码与具体业务操作、国家标准和行业标准进行关联,针对不同的工控环境使用预先准备好的模板进行配置合规性检查;或,针对不同行业工控网络增加正常工控协议与异常工控协议列表进行异常监测;
生成阶段:针对形成的初始化白名单信息进行阈值范围设定,形成稳定空间范围白名单;或,结合生产标注形成具有约束条件的信号上下限;
检测阶段:使用在学习阶段所创建的白名单去识别非法流并告警;或,对运维人员下发的工控协议报文产生的非法操作进行检测,对未知协议、越权操作、关键控制行为进行检测并警告;或,基于异常工控协议列表对异常工控协议进行检测检测并警告。当与白名单相匹配,则正常运行,否则会产生报警信息。实际生产环境中,管理员可在误报时将其添加到白名单中,或在漏报时限制这个信息流,或对异常数据进行合规性安全检测以防因生产异常导致的数据误报。
进一步地,上述安全检测模块的检测算法因素增加的配置合规性检查是对工控系统的配置文件等进行解析,将功能代码与具体业务操作、国家标准和行业标准等进行关联,用于实现合规性检查功能。
具体地,可对工控设备进行扫描,做好工控资产的评估,可以针对不同的工控环境使用预先准备好的模板进行配置合规性检查;可工控协议合规性进行检查;对运维人员下发的工控协议报文产生的非法操作进行检测;可对未知协议、越权操作、关键控制等行为进行告警。
进一步地,上述安全检测模块的检测算法因素增加的正常工控协议与异常工控协议列表需针对不同行业工控网络进行异常监测。
具体地,所述正常的工控协议包括:DNP3、IEC104(南方电网DL/T634.5104-2002远动协议实施细则(Q/CSG110006-2012)中IEC104通信规约部分)、IEC61850-GOOSE、IEC61850-MMS、MODBUS、S7COMM、IEC62351。
具体地,当针对变电站场景时,可对IEC 61850协议簇进行深度解析,对应到特定场景下的关键操作行为(遥控操作,改定值操作)。
Claims (10)
1.一种基于机器学习的工控环境智能安全检测系统,其特征在于,基于工业控制内部网部署安全探针装置,所述安全探针装置包括数据采集模块、基线形成模块和安全检测模块;
所述数据采集模块,用于采集工业控制内部网应用层协议的数据包;
所述基线形成模块,用于对采集的数据包进行预处理,将预处理后得到的数据作为训练数据集进行机器学习,生成适应当前工控环境的合法行为基线;
所述安全检测模块,用于根据所述合法行为基线在不同工控环境下进行安全检测,当检测到不符合所述基线形成模块学习的行为则告警。
2.根据权利要求1所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述安全探针装置部署在主节点上。
3.根据权利要求1所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述数据采集模块通过PF_RING进行数据包流量采集,将所述数据包按照既定的通信协议规则解析出各个不同意义的字段,并将解析出来的每个字段的数据进行标记。
4.根据权利要求1所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述基线形成模块包括预处理模块、机器学习模块和安全检测基线形成模块;
所述预处理模块,用于对所述数据采集模块采集的数据包进行预处理;
所述机器学习模块,用于通过机器学习算法对所述预处理模块处理后得到的数据作为训练数据集进行机器学习;
所述安全检测基线形成模块,用于根据所述机器学习模块的训练结果生成适应当前工控环境的合法行为基线。
5.根据权利要求4所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述预处理模块基于本体将数据聚合,即,将工业控制系统中具有相同概念和语义的数据进行归类和抽取,将聚合得到新的数据分类,所有分类构成的集合作为机器学习的训练数据集;
所述机器学习模块基于CNN/RNN学习与建模;
所述安全检测基线形成模块根据机器学习训练结果形成符合安全规范的协议特征、设备对象信息,并生成可供参考的网络通信特征列表,通过对协议分布和流量信息的匹配形成安全检测基线。
6.根据权利要求1所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述安全检测模块的安全检测包括:实施应用白名单、配置合规性检查与补丁扫描、正常工控协议与异常工控协议列表。
7.根据权利要求6所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述配置合规性检查是对工控系统的配置文件进行解析,将功能代码与具体业务操作、国家标准和行业标准进行关联,用于实现合规性检查功能。
8.根据权利要求6所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述正常工控协议与异常工控协议列表针对不同行业工控网络进行异常监测;
所述正常工控协议包括:DNP3、IEC104、IEC61850-GOOSE、IEC61850-MMS、MODBUS、S7COMM、IEC62351。
9.一种基于机器学习的工控环境智能安全检测方法,其特征在于,包括以下步骤:
创建连接与创建列表:确定连接的客户端与服务器端,并根据八元组汇总连接形成列表;
学习阶段:在一段时间内通过网络流量的收集,对所有合法的数据流进行统计,自动建立并初始化白名单;或,对工控系统的配置文件等进行解析,将功能代码与具体业务操作、国家标准和行业标准进行关联,针对不同的工控环境使用预先准备好的模板进行配置合规性检查;或,针对不同行业工控网络增加正常工控协议与异常工控协议列表进行异常监测;
生成阶段:针对形成的初始化白名单信息进行阈值范围设定,形成稳定空间范围白名单;或,结合生产标注形成具有约束条件的信号上下限;
检测阶段:使用在学习阶段所创建的白名单去识别非法流并告警;或,对运维人员下发的工控协议报文产生的非法操作进行检测,对未知协议、越权操作、关键控制行为进行检测并警告;或,基于异常工控协议列表对异常工控协议进行检测检测并警告。
10.根据权利要求9所述的基于机器学习的工控环境智能安全检测方法,其特征在于,所述八元组包括源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型和工控协议解析指令字段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010471767.8A CN111709034A (zh) | 2020-05-29 | 2020-05-29 | 基于机器学习的工控环境智能安全检测系统与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010471767.8A CN111709034A (zh) | 2020-05-29 | 2020-05-29 | 基于机器学习的工控环境智能安全检测系统与方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111709034A true CN111709034A (zh) | 2020-09-25 |
Family
ID=72538519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010471767.8A Pending CN111709034A (zh) | 2020-05-29 | 2020-05-29 | 基于机器学习的工控环境智能安全检测系统与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111709034A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351035A (zh) * | 2020-11-06 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种工控安全态势感知方法、装置及介质 |
| CN112417434A (zh) * | 2020-10-15 | 2021-02-26 | 北京八分量信息科技有限公司 | 一种结合ueba机制的程序白名单防护方法 |
| CN112437041A (zh) * | 2020-10-27 | 2021-03-02 | 北京珞安科技有限责任公司 | 一种基于人工智能的工控安全审计系统及方法 |
| CN113032793A (zh) * | 2021-04-13 | 2021-06-25 | 北京国联易安信息技术有限公司 | 数据安全智能加固系统及方法 |
| CN115473734A (zh) * | 2022-09-13 | 2022-12-13 | 四川大学 | 基于单分类和联邦学习的远程代码执行攻击检测方法 |
| WO2022262698A1 (zh) * | 2021-06-18 | 2022-12-22 | 中兴通讯股份有限公司 | 入侵检测方法、装置和系统、电子设备、计算机可读介质 |
| RU2805014C1 (ru) * | 2022-12-09 | 2023-10-10 | Федеральное государственное бюджетное учреждение науки Институт системного программирования им. В.П. Иванникова Российской академии наук | Способ генерации состязательных примеров для системы обнаружения вторжений промышленной системы управления |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106125643A (zh) * | 2016-06-22 | 2016-11-16 | 华东师范大学 | 一种基于机器学习技术的工控安防方法 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN110324316A (zh) * | 2019-05-31 | 2019-10-11 | 河南恩湃高科集团有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
| CN110855711A (zh) * | 2019-11-27 | 2020-02-28 | 上海三零卫士信息安全有限公司 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
-
2020
- 2020-05-29 CN CN202010471767.8A patent/CN111709034A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106125643A (zh) * | 2016-06-22 | 2016-11-16 | 华东师范大学 | 一种基于机器学习技术的工控安防方法 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada系统的深度包检测平台 |
| CN110324316A (zh) * | 2019-05-31 | 2019-10-11 | 河南恩湃高科集团有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
| CN110855711A (zh) * | 2019-11-27 | 2020-02-28 | 上海三零卫士信息安全有限公司 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
Non-Patent Citations (1)
| Title |
|---|
| 赵贵成等: "工控系统现场控制网络异常检测技术浅析", 《信息技术与网络安全》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112417434A (zh) * | 2020-10-15 | 2021-02-26 | 北京八分量信息科技有限公司 | 一种结合ueba机制的程序白名单防护方法 |
| CN112437041A (zh) * | 2020-10-27 | 2021-03-02 | 北京珞安科技有限责任公司 | 一种基于人工智能的工控安全审计系统及方法 |
| CN112437041B (zh) * | 2020-10-27 | 2022-11-18 | 北京珞安科技有限责任公司 | 一种基于人工智能的工控安全审计系统及方法 |
| CN112351035A (zh) * | 2020-11-06 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种工控安全态势感知方法、装置及介质 |
| CN113032793A (zh) * | 2021-04-13 | 2021-06-25 | 北京国联易安信息技术有限公司 | 数据安全智能加固系统及方法 |
| WO2022262698A1 (zh) * | 2021-06-18 | 2022-12-22 | 中兴通讯股份有限公司 | 入侵检测方法、装置和系统、电子设备、计算机可读介质 |
| CN115473734A (zh) * | 2022-09-13 | 2022-12-13 | 四川大学 | 基于单分类和联邦学习的远程代码执行攻击检测方法 |
| CN115473734B (zh) * | 2022-09-13 | 2023-08-11 | 四川大学 | 基于单分类和联邦学习的远程代码执行攻击检测方法 |
| RU2805014C1 (ru) * | 2022-12-09 | 2023-10-10 | Федеральное государственное бюджетное учреждение науки Институт системного программирования им. В.П. Иванникова Российской академии наук | Способ генерации состязательных примеров для системы обнаружения вторжений промышленной системы управления |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111709034A (zh) | 基于机器学习的工控环境智能安全检测系统与方法 | |
| CN109167796B (zh) | 一种基于工业scada系统的深度包检测平台 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| EP2517437B1 (en) | Intrusion detection in communication networks | |
| Paudel et al. | Detecting dos attack in smart home iot devices using a graph-based approach | |
| CN113098878B (zh) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 | |
| CN111131338A (zh) | 感知态势处物联网安全检测方法、系统及存储介质 | |
| KR100615080B1 (ko) | 컴퓨터 네트워크상에서 악성 봇과 웜에 대한 규칙기반탐지패턴을 자동 생성하기 위한 방법 | |
| KR102001812B1 (ko) | K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법 | |
| US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
| CN113315771A (zh) | 一种基于工业控制系统的安全事件告警装置和方法 | |
| Alruwaili | Intrusion detection and prevention in industrial iot: A technological survey | |
| CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
| CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| Kosamkar et al. | Data Mining Algorithms for Intrusion Detection System: An Overview | |
| Chhikara et al. | Significance of hybrid feature selection technique for intrusion detection systems | |
| Katkar et al. | Lightweight approach for detection of denial of service attacks using numeric to binary preprocessing | |
| CN114493338A (zh) | 一种基于大数据的电力信息威胁情景感知和防御系统 | |
| Qiu et al. | Research on vehicle network intrusion detection technology based on dynamic data set | |
| Peng et al. | Research on abnormal detection technology of real-time interaction process in new energy network | |
| Ding et al. | Multi-step attack threat recognition algorithm based on attribute association in internet of things security | |
| CN112769847A (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 | |
| CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 | |
| Xiang et al. | Network Intrusion Detection Method for Secondary System of Intelligent Substation based on Semantic Enhancement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200925 |
|
| RJ01 | Rejection of invention patent application after publication |