CN111736521B - 一种工业控制设备安全防护方法 - Google Patents
一种工业控制设备安全防护方法 Download PDFInfo
- Publication number
- CN111736521B CN111736521B CN202010860150.5A CN202010860150A CN111736521B CN 111736521 B CN111736521 B CN 111736521B CN 202010860150 A CN202010860150 A CN 202010860150A CN 111736521 B CN111736521 B CN 111736521B
- Authority
- CN
- China
- Prior art keywords
- plc
- information
- memory state
- industrial control
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14006—Safety, monitoring in general
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Programmable Controllers (AREA)
Abstract
本发明涉及一种工业控制设备安全防护方法及工业控制系统,该方法包括:配置工业控制设备的PLC信息;获取并下载正常状态下的PLC内存状态信息,构建PLC正常内存状态基线;周期性与PLC建立通信,问询获取PLC内存状态信息;留存问询获取的PLC内存状态信息,并与PLC正常内存状态基线进行比对,若无法完全匹配,则判断PLC出现异常。本发明能够快速、准确地检测PLC是否出现异常,并且可适用于不同品类、应用领域的工业控制设备。
Description
技术领域
本发明涉及工业控制与信息安全技术领域,尤其涉及一种工业控制设备安全防护方法及工业控制系统。
背景技术
工业控制是国家工业体系与基础建设中的重要环节,近年来,工业控制逐渐由封闭走向互联,随着相关的安全事件的高发,尤其是针对工业控制设备的攻击,攻击威胁呈现出定向性、精准性,技术手段复杂化、专业化,攻击行为组织化、周期长的显著特征,工业控制设备信息安全问题受到了越来越多的重视。可编程逻辑控制器(PLC)是实现工业控制的重要基础性控制设备,在现网环境及时发现针对PLC的攻击类安全风险对于维护国家的战略安全与社会生产稳定都具有重要意义。
然而,由于工业控制设备大多来自国外,涉及的应用领域和设备品类众多,且具有工业控制协议大多私有等特点,往往难以获取控制器进程数据或更改控制器组态软件,这使得对于工业控制设备的安全威胁发现和防护更加困难。为应对国家级的多步骤、多层次的攻击和复杂多变的安全挑战,聚焦攻防过程,从信息化系统内生长出安全防护能力,实现设备运行异常的自动发现并有效防止攻击范围及危害进一步扩大,对于工业控制系统的安全具有重大价值和意义。
发明内容
本发明的目的是提供一种不基于控制器进程数据、不需要修改组态软件的工业控制设备安全防护方法,实现工业控制设备安全监测。
为了实现上述目的,本发明提供了一种工业控制设备安全防护方法,包括如下步骤:
S1、配置工业控制设备的PLC信息;其中,PLC信息至少包括PLC的IP地址、PLC通信协议类型、认证密码和采集间隔时间;
S2、以配置的PLC的IP地址作为通信地址,根据配置的PLC通信协议类型和认证密码,与PLC建立通信,获取并下载正常状态下的PLC内存状态信息,构建PLC正常内存状态基线;其中,PLC内存状态信息至少包括CPU状态、内存程序块信息和组态文件信息,其中的内存程序块信息至少包括内存中程序块数量,以及各程序块的编译名称、编译时间和大小;
S3、在现网环境中,按照配置的采样间隔时间,周期性与PLC建立通信,问询获取PLC内存状态信息;
S4、留存问询获取的PLC内存状态信息,并与PLC正常内存状态基线进行比对,若无法完全匹配,则判断PLC出现异常。
优选地,该方法还包括如下步骤:
S5、若判断PLC出现异常,则产生警告信息,根据留存的PLC内存状态信息进行安全事件回溯分析,分析PLC出现异常的时间点与攻击类型,并执行应急处置方案。
优选地,该方法采用采集器实现,所述采集器包括配置模块、通信模块、存储模块、基线模块和比对模块;
其中,所述配置模块用于配置PLC信息;所述通信模块与所述配置模块连接,用于根据配置的PLC信息,通过交换机与PLC建立通信,获取PLC内存状态信息;所述存储模块与所述通信模块连接,用于存储PLC内存状态信息;所述基线模块与所述存储模块连接,用于基于正常状态下的PLC内存状态信息构建PLC正常内存状态基线;所述比对模块与所述基线模块、所述存储模块连接,用于比对现网环境下问询获取的PLC内存状态信息与PLC正常内存状态基线,进而判断PLC是否出现异常。
优选地,所述通信模块与PLC建立通信时,执行如下步骤:
按照配置的PLC信息,通过交换机向PLC发送三次握手协议进行认证,三次握手协议成功后,通信连接打开;
通过交换机向PLC发送上载指令码;
通过交换机接收PLC内存状态信息;
在接收成功后,通过交换机向PLC发送三次握手协议关闭通信连接。
优选地,所述存储模块至少包括第一存储单元和第二存储单元,所述第一存储单元与所述通信模块、所述基线模块连接,用于存储正常状态下的PLC内存状态信息,所述第二存储单元与所述通信模块、所述比对模块连接,用于存储现网环境下问询获取的PLC内存状态信息。
优选地,所述步骤S2中获取并下载正常状态下的PLC内存状态信息来自不联网的PLC或联网初期的PLC,联网初期的PLC的联网时长少于预设时长阈值,或来自在业务正常情况下运行一天的PLC。
优选地,所述步骤S4中,留存问询获取的PLC内存状态信息,并与PLC正常内存状态基线进行比对时,首先比对CPU状态,其次比对程序块数量,以及各程序块的编译名称、编译时间和大小,最后比对组态文件信息;
若比对CPU状态,发现CPU当前处于非正常状态,则认为CPU状态无法完全匹配,判断PLC出现系统故障异常;
若比对程序块数量,发现程序块数量增多,则认为内存程序块信息无法完全匹配,判断PLC出现程序块增多异常;
若比对各程序块的编译名称、编译时间,发现程序块编译名称、编译时间发生改变,则认为内存程序块信息无法完全匹配,判断PLC出现程序非法更新异常;
若比对各程序块的大小,发现程序块的大小发生改变,则认为内存程序块信息无法完全匹配,判断PLC出现程序注入异常;
若比对组态文件信息,发现组态文件信息发生改变,则认为组态文件信息无法完全匹配,判断PLC出现组态文件异常。
优选地,所述步骤S4中,当判断PLC出现系统故障异常,则初步诊断为PLC发生非法指令攻击,或者PLC出现了系统故障;
当判断PLC出现程序块增多异常,且出现异常的程序块名称时,则初步诊断为PLC感染蠕虫病毒;
当判断PLC出现程序非法更新异常,则初步诊断为PLC被非法更新;
当判断PLC出现程序注入异常,则初步诊断为PLC被植入恶意程序;
当判断PLC出现组态文件异常,则初步诊断为PLC被非法更新。
本发明还提供了一种工业控制系统,采用如上述任一项所述的工业控制设备安全防护方法监控PLC运行。
本发明的上述技术方案具有如下优点:本发明提供了一种工业控制设备安全防护方法及工业控制系统,本发明获取正常状态下的PLC内存状态信息,构建PLC正常内存状态基线,通过周期性比对现网环境下PLC内存状态信息与PLC正常内存状态基线,判断是否出现异常。本发明无需更改PLC组态软件或获取进程数据,无需建立安全风险黑名单,也不考虑PLC中各个程序块的输入、输出,能够快速、准确地检测PLC出现异常和安全风险,可适用于不同品类、应用领域的工业控制设备。
附图说明
图1是本发明实施例中一种工业控制设备安全防护方法流程示意图;
图2是本发明实施例中采集器的结构示意图;
图3是本发明实施例中采集器的通信过程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种工业控制设备安全防护方法,该方法包括如下步骤:
S1、配置工业控制设备的PLC信息。其中,PLC信息至少包括PLC的IP地址、PLC通信协议类型、认证密码和采集间隔时间。
配置PLC是与PLC通信、获取PLC的数据的基础。PLC的IP地址即通信地址,PLC通信协议类型包括SS7、Modbus等,根据配置的通信协议类型进行通信,认证密码即为PLC配置的CPU密码,用于进行认证。采集间隔时间即设定的周期性采集数据的时间间隔。
S2、以配置的PLC的IP地址作为通信地址,根据配置的PLC通信协议类型和认证密码,与PLC建立通信,获取并下载正常状态下的PLC内存状态信息,构建PLC正常内存状态基线。其中,PLC内存状态信息至少包括CPU状态、内存程序块信息和组态文件信息,其中的内存程序块信息至少包括内存中程序块数量,以及各个程序块的编译名称、编译时间和大小。
优选地,步骤S2中获取并下载正常状态下的PLC内存状态信息来自不联网的PLC或联网初期的PLC,联网初期的PLC的联网时长少于预设时长阈值。或者,步骤S2中获取并下载正常状态下的PLC内存状态信息来自在业务正常情况下运行一天的PLC。
S3、在现网环境中,按照配置的采样间隔时间,周期性与PLC建立通信,问询获取现网环境中的PLC内存状态信息。
S4、留存问询获取的PLC内存状态信息,并与PLC正常内存状态基线进行比对,若无法完全匹配,则判断PLC出现异常。
在正常运行状态下,PLC内存中的程序块的输入、输出信息可能不断变化,但CPU状态、内存程序块信息和组态文件信息,特别是内存中总的程序块数量,以及各程序块的编译名称、编译时间和大小,通常并不会轻易改变,因此,本发明通过周期性地检查这些不变的信息来监测PLC运行状态是否出现异常和安全风险,实现工业控制设备内生安全防护。
优选地,步骤S4中,留存问询获取的PLC内存状态信息,并与PLC正常内存状态基线进行比对时,首先比对CPU状态,其次比对内存程序块信息,即逐项比对程序块数量,以及各程序块的编译名称、编译时间和大小,最后比对组态文件信息。
若比对CPU状态,发现CPU当前处于非正常状态,则认为CPU状态无法完全匹配,判断PLC出现系统故障异常。
若比对程序块数量,发现程序块数量增多,则认为内存程序块信息无法完全匹配,判断PLC出现程序块增多异常。
若比对各程序块的编译名称、编译时间,发现程序块编译名称、编译时间发生改变,则认为内存程序块信息无法完全匹配,判断PLC出现程序非法更新异常。
若比对各程序块的大小,发现程序块的大小发生改变,则认为内存程序块信息无法完全匹配,判断PLC出现程序注入异常。
若比对组态文件信息,发现组态文件信息发生改变,则认为组态文件信息无法完全匹配,判断PLC出现组态文件异常。
进一步地,步骤S4中,当判断PLC出现系统故障异常,则初步诊断为PLC发生非法指令攻击,或者PLC出现了系统故障;
当判断PLC出现程序块增多异常,且出现异常的程序块名称时(如OB9999),则初步诊断为PLC感染蠕虫病毒;
当判断PLC出现程序非法更新异常,则初步诊断为PLC被非法更新;
当判断PLC出现程序注入异常,则初步诊断为PLC被植入恶意程序(如后门或者逻辑炸弹等);
当判断PLC出现组态文件异常,则初步诊断为PLC被非法更新。
优选地,该工业控制设备安全防护方法还包括如下步骤:
S5、若步骤S4中判断PLC出现异常,则产生警告信息,根据留存的PLC内存状态信息进行安全事件回溯分析,分析PLC出现异常的时间点与攻击类型,并执行应急处置方案。
优选地,根据留存的PLC内存状态信息进行安全事件回溯分析,时,通过分析存储模块保存的每次问询的信息,比对发生改变的PLC内存状态信息与正常状态下的PLC内存状态信息,分析发生改变的时间点以及被改变的PLC内存状态信息,如果出现了异常的内存程序块信息,如出现程序块的编译名称为OB9999,或者某程序块大小异常变化,说明当前时间点出现了针对PLC的蠕虫攻击。
在一些优选的实施方式中,该方法工业控制设备安全防护方法采用采集器实现,如图2所示,采集器包括配置模块100、通信模块200、存储模块300、基线模块400和比对模块500。
其中,配置模块100用于配置PLC信息。通信模块200与配置模块100连接,用于根据配置的PLC信息,通过交换机与PLC建立通信,获取PLC内存状态信息。存储模块300与通信模块200连接,用于存储PLC内存状态信息。基线模块400与存储模块300连接,用于基于正常状态下的PLC内存状态信息构建PLC正常内存状态基线。比对模块500与基线模块400、存储模块300连接,用于比对现网环境下问询获取的PLC内存状态信息与PLC正常内存状态基线,判断PLC出现是否异常。
进一步地,如图3所示,采集器中,通信模块200与PLC建立通信时,执行如下步骤:
按照配置的PLC信息,即按照配置的PLC通信协议类型,向所配置的IP地址的PLC发送信号,通过交换机向PLC发送三次握手协议进行认证,三次握手协议成功后,通信连接打开。如图3所示,此步骤中,采集器通过交换机向PLC发送握手申请,PLC反馈握手确认。
通过交换机向PLC发送上载指令码。此步骤中,PLC(正常PLC或现网PLC)通过交换机向采集器发送内存状态信息。
通过交换机接收PLC内存状态信息,即接收PLC发送的内存状态信息。
在接收成功后,通过交换机向PLC发送三次握手协议关闭通信连接。
如图3所示,采集器构建PLC正常内存状态基线(简称构建基线),或,根据配置的采集间隔时间,在一定的时间间隔后重复问询获取PLC内存状态信息并与PLC正常内存状态基线进行比对(简称进行比对),均通过上述方式与PLC建立通信,区别仅在于:构建基线时,采集器通过交换机与正常状态下的PLC(简称正常PLC)建立通信,进行比对时,采集器通过交换机与现网环境中PLC(简称现网PLC)建立通信。
优选地,采集器中,存储模块300至少包括第一存储单元和第二存储单元,第一存储单元与通信模块200、基线模块400连接,用于存储正常状态下的PLC内存状态信息,第二存储单元与通信模块200、比对模块500连接,用于存储现网环境下问询获取的PLC内存状态信息。分离存储正常状态下的PLC内存状态信息及现网环境下问询获取的PLC内存状态信息,便于调用相应的信息,且有利于在发现异常和安全风险时进行安全事件回溯分析。
上述采集器中的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明还提供了一种工业控制系统,采用如上述任一项所述的工业控制设备安全防护方法监控PLC运行,以便及时发现PLC异常与风险。
综上所述,本发明通过周期性问询并获取PLC运行中的CPU状态、内存程序块信息和组态文件信息,及时发现PLC的运行异常,发现针对PLC的攻击类安全风险。且通过保存的PLC内存状态信息,能够进行安全事件回溯分析,及时进行应急响应处置。
进一步地,采用本发明还能够根据现网环境下PLC内存状态信息与PLC正常内存状态基线的比对结果,初步诊断PLC出现异常与风险的种类,有助于分析针对PLC的攻击类安全风险。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种工业控制设备安全防护方法,其特征在于,包括如下步骤:
S1、配置工业控制设备的PLC信息;其中,PLC信息至少包括PLC的IP地址、PLC通信协议类型、认证密码和采集间隔时间;
S2、以配置的PLC的IP地址作为通信地址,根据配置的PLC通信协议类型和认证密码,与PLC建立通信,获取并下载正常状态下的PLC内存状态信息,构建PLC正常内存状态基线;其中,PLC内存状态信息至少包括CPU状态、内存程序块信息和组态文件信息,其中的内存程序块信息至少包括内存中程序块数量,以及各程序块的编译名称、编译时间和大小;
S3、在现网环境中,按照配置的采样间隔时间,周期性与PLC建立通信,问询获取PLC内存状态信息;
S4、留存问询获取的PLC内存状态信息,并与PLC正常内存状态基线进行比对,若无法完全匹配,则判断PLC出现异常。
2.根据权利要求1所述的工业控制设备安全防护方法,其特征在于,该方法还包括如下步骤:
S5、若判断PLC出现异常,则产生警告信息,根据留存的PLC内存状态信息进行安全事件回溯分析,分析PLC出现异常的时间点与攻击类型,并执行应急处置方案。
3.根据权利要求1所述的工业控制设备安全防护方法,其特征在于,
采用采集器实现,所述采集器包括配置模块、通信模块、存储模块、基线模块和比对模块;
其中,所述配置模块用于配置PLC信息;所述通信模块与所述配置模块连接,用于根据配置的PLC信息,通过交换机与PLC建立通信,获取PLC内存状态信息;所述存储模块与所述通信模块连接,用于存储PLC内存状态信息;所述基线模块与所述存储模块连接,用于基于正常状态下的PLC内存状态信息构建PLC正常内存状态基线;所述比对模块与所述基线模块、所述存储模块连接,用于比对现网环境下问询获取的PLC内存状态信息与PLC正常内存状态基线,进而判断PLC是否出现异常。
4.根据权利要求3所述的工业控制设备安全防护方法,其特征在于,
所述通信模块与PLC建立通信时,执行如下步骤:
按照配置的PLC信息,通过交换机向PLC发送三次握手协议进行认证,三次握手协议成功后,通信连接打开;
通过交换机向PLC发送上载指令码;
通过交换机接收PLC内存状态信息;
在接收成功后,通过交换机向PLC发送三次握手协议关闭通信连接。
5.根据权利要求3所述的工业控制设备安全防护方法,其特征在于,
所述存储模块至少包括第一存储单元和第二存储单元,所述第一存储单元与所述通信模块、所述基线模块连接,用于存储正常状态下的PLC内存状态信息,所述第二存储单元与所述通信模块、所述比对模块连接,用于存储现网环境下问询获取的PLC内存状态信息。
6.根据权利要求1所述的工业控制设备安全防护方法,其特征在于,
所述步骤S2中获取并下载正常状态下的PLC内存状态信息来自不联网的PLC或联网初期的PLC,联网初期的PLC的联网时长少于预设时长阈值,或来自在业务正常情况下运行一天的PLC。
7.根据权利要求1所述的工业控制设备安全防护方法,其特征在于,
所述步骤S4中,留存问询获取的PLC内存状态信息,并与PLC正常内存状态基线进行比对时,首先比对CPU状态,其次比对程序块数量,以及各程序块的编译名称、编译时间和大小,最后比对组态文件信息;
若比对CPU状态,发现CPU当前处于非正常状态,则认为CPU状态无法完全匹配,判断PLC出现系统故障异常;
若比对程序块数量,发现程序块数量增多,则认为内存程序块信息无法完全匹配,判断PLC出现程序块增多异常;
若比对各程序块的编译名称、编译时间,发现程序块编译名称、编译时间发生改变,则认为内存程序块信息无法完全匹配,判断PLC出现程序非法更新异常;
若比对各程序块的大小,发现程序块的大小发生改变,则认为内存程序块信息无法完全匹配,判断PLC出现程序注入异常;
若比对组态文件信息,发现组态文件信息发生改变,则认为组态文件信息无法完全匹配,判断PLC出现组态文件异常。
8.根据权利要求7所述的工业控制设备安全防护方法,其特征在于,
所述步骤S4中,当判断PLC出现系统故障异常,则初步诊断为PLC发生非法指令攻击,或者PLC出现了系统故障;
当判断PLC出现程序块增多异常,且出现异常的程序块名称时,则初步诊断为PLC感染蠕虫病毒;
当判断PLC出现程序非法更新异常,则初步诊断为PLC被非法更新;
当判断PLC出现程序注入异常,则初步诊断为PLC被植入恶意程序;
当判断PLC出现组态文件异常,则初步诊断为PLC被非法更新。
9.一种工业控制系统,其特征在于,采用如权利要求1-8任一项所述的工业控制设备安全防护方法监控PLC运行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010860150.5A CN111736521B (zh) | 2020-08-25 | 2020-08-25 | 一种工业控制设备安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010860150.5A CN111736521B (zh) | 2020-08-25 | 2020-08-25 | 一种工业控制设备安全防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111736521A CN111736521A (zh) | 2020-10-02 |
CN111736521B true CN111736521B (zh) | 2020-12-04 |
Family
ID=72658724
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010860150.5A Active CN111736521B (zh) | 2020-08-25 | 2020-08-25 | 一种工业控制设备安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111736521B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112649675A (zh) * | 2020-12-17 | 2021-04-13 | 深圳供电局有限公司 | 一种基于电磁侧信道的plc异常检测方法 |
CN114721321B (zh) * | 2022-03-01 | 2023-04-07 | 大连理工大学 | 一种基于智能化工业交换机的设备自动管理方法和系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3896877B2 (ja) * | 2002-03-14 | 2007-03-22 | オムロン株式会社 | データサーバ |
CN104597833B (zh) * | 2015-01-14 | 2017-03-22 | 上海海得控制系统股份有限公司 | 一种plc保护系统及保护方法 |
CN105302055B (zh) * | 2015-11-09 | 2018-08-14 | 北京工业大学 | 一种工业控制系统中可编程逻辑控制器的安全监控系统及方法 |
CN110851188B (zh) * | 2019-12-18 | 2023-08-29 | 宁波和利时信息安全研究院有限公司 | 一种基于双体架构的国产plc可信链实现装置及方法 |
-
2020
- 2020-08-25 CN CN202010860150.5A patent/CN111736521B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111736521A (zh) | 2020-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5926491B2 (ja) | ネットワークにおけるセキュリティ保全のための方法及び、プロセッサにセキュリティ保全のための方法を遂行させるようなコンピュータ・プログラムのコンピュータ読取り可能な命令を有しているコンピュータ読取り可能な媒体 | |
CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
Fovino et al. | Modbus/DNP3 state-based intrusion detection system | |
CN114978770B (zh) | 基于大数据的物联网安全风险预警管控方法及系统 | |
AU2016333461B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
CN111736521B (zh) | 一种工业控制设备安全防护方法 | |
EP2366241B1 (en) | Network analysis | |
US9854069B2 (en) | Network security agent | |
CN113596028B (zh) | 一种网络异常行为的处置方法及装置 | |
CN110365709B (zh) | 一种基于上游探针感知未知网络攻击行为的装置 | |
CN110351277A (zh) | 电力监控系统安全防护告警方法 | |
CN111628994A (zh) | 一种工控环境的异常检测方法、系统及相关装置 | |
CN113329017A (zh) | 网络安全风险的检测系统及方法 | |
CN115643041A (zh) | 一种漏洞的处理方法、管理设备以及网关设备 | |
CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
Alsabbagh et al. | A fully-blind false data injection on PROFINET I/O systems | |
CN109462617B (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
TW202335468A (zh) | 用於檢測網路中基礎設施的異常的方法及設備 | |
US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
CN111786980A (zh) | 基于行为的特权账户威胁告警方法 | |
Degeler et al. | Self-healing intrusion detection system concept | |
CN107070861B (zh) | 抽样流量下物联网设备蠕虫受害节点的发现方法及系统 | |
CN115102725B (zh) | 一种工业机器人的安全审计方法、装置及介质 | |
CN114448690B (zh) | 一种攻击组织分析方法、装置、设备及介质 | |
CN115577369B (zh) | 源代码泄露行为检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |