CN111913430A - 工业控制系统控制行为检测防护方法和系统 - Google Patents
工业控制系统控制行为检测防护方法和系统 Download PDFInfo
- Publication number
- CN111913430A CN111913430A CN202010615676.7A CN202010615676A CN111913430A CN 111913430 A CN111913430 A CN 111913430A CN 202010615676 A CN202010615676 A CN 202010615676A CN 111913430 A CN111913430 A CN 111913430A
- Authority
- CN
- China
- Prior art keywords
- protection
- packet
- data packet
- detection
- plc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/056—Programming the PLC
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/11—Plc I-O input output
- G05B2219/1138—Configuration of I-O
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工业控制系统控制行为检测防护方法和系统,所述检测防护方法包括接收工业控制系统通信网络上的至少一个正在传输的数据包;通过至少一个正在传输的数据包的一个或多个特性检测到与至少一个数据包相关联的控制行为;对应至少一个正在传输的数据包及检测到的控制行为,确定至少一条防护规则;对数据包执行防护操作,所述数据包为对应防护规则的若干数据包之一,防护操作包括以下一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。本发明能够在预先建立的控制行为规范的基础上,对违反控制行为规范的内部或外部非法操作企图进行检测。
Description
技术领域
本发明涉及工业控制安全领域技术领域,特别涉及一种工业控制系统控制行为检测防护方法和系统。
背景技术
工业控制系统允许操作员远程监督,工程师或分析人员基于获得的数据进行分析,然后决定发送命令或触发告警,工业控制系统包括可编程逻辑控制器(PLC),有时也可能是过程自动化控制器(PAC),PLC/PAC是执行预置逻辑程序的计算设备,基于传感器输入的数据来控制执行设备的输出,逻辑程序控制PLC的行为,称为控制逻辑,用户可以通过工程师工作站改变控制逻辑。
工业控制系统中可以人为手动或机器自动完成与其相关的PLC维护工作,例如通过工程师工作站对PLC的控制操作等,这类活动称之为控制行为,典型的控制行为包括读取或写入:PLC固件、PLC逻辑、PLC配置参数、或PLC的状态等,典型的实现可以将PLC只连接在工程师工作站以避免其他电脑对PLC的访问。
由于典型现代的工业控制系统基于标准的嵌入式系统平台,应用各种标准设备,例如路由器、调职解调器,经常利用或部分利用现成的软件,例如以太网、TCP/IP、HTTP和Windows,这些标准的软硬件节约了成本、提高的易用性,并且容易实现远程监控,然而随之带来的缺陷是来自基于网络的攻击,使工业控制系统在网络安全方面脆弱性更加恶化,恶意程序一旦渗透到控制网络,就有可能修改PLC/PAC的控制逻辑和配置参数,最终造成严重的后果。
发明内容
本发明提供了一种工业控制系统控制行为检测防护方法和系统,用于发现和防护来自外部或内部,利用其通信网络对工业控制系统中工业控制器非法访问的控制行为。
一种工业控制系统控制行为检测防护方法,其特征在于:所述检测防护方法包括接收工业控制系统通信网络上的至少一个正在传输的数据包;
通过至少一个正在传输的数据包的一个或多个特性检测到与至少一个数据包相关联的控制行为;
对应至少一个正在传输的数据包及检测到的控制行为,确定至少一条防护规则;
对数据包执行防护操作,所述数据包为对应防护规则的若干数据包之一,防护操作包括以下一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
优选的,所述控制行为是对连接在工业控制系统通信网络上正在运行的PLC的维护或一台配置成与PLC交互的计算机设备的操作,控制行为包括:登陆计算机系统,从计算机设备登出,启动计算机设备的CPU、终止计算机设备的CPU、扫描PLC、读取PLC的逻辑,写入PLC逻辑,读取PLC配置值、写入PLC的配置值。
优选的,所述数据包的特性包括数据包中一个或多个字段的值。
优选的,至少一个数据包特性是无需通过解析数据包包头来确定字段。
优选的,无需解析的数据包特性从组成数据包的一个字节的数值和组成数据包的载荷字节长度中选择。
优选的,从一个或多个数据包字段提取的一个或多个字段值中选择对应被检测到的控制行为。
优选的,数据包防护操作的发起对应着具有一系数据包序列特征的一系列防护规则,并且对应数据包序列中至少一个数据包,至少检测到一个控制行为。
优选的,还包括重新配置至少一个关联规则,用于确定随后接收到数据包的防护规则,进而确定防护操作,于是,在随后的重新配置触发不同的防护规则之前,对给定的数据包触发指定的防护操作。
优选的,重新配置在预定时间段后被反转.
优选的,重新配置是对应PLC写入逻辑相关确定的防护操作时,当接收到允许通过的数据包,随后接收到关联到PLC写入逻辑的数据包就被阻断。
一种工业控制网络控制行为检测防护的计算机系统,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于:所述处理器执行所述计算机程序时实现如上述任一一项所述的检测防护方法。
一种计算机可读存储介质,所述存储介质存储有计算机程序,该计算机程序被一个或多个处理器执行时用于实现上述任一一项所述的检测防护方法的步骤。
一种用于监控工业控制系统通信网络上传输数据包的系统,所述工业控制系统包括至少一个传感器、至少一个终端设备、和至少一个可编程控制器,所述系统包括:
存储器,带有计算机可执行指令集的软件,包含用于数据包与防护操作关联规则的用户行为数据库,包含用于数据包与防护规则关联规则的防护规则数据库,包含对给定防护规则为特征的数据包与指定防护操作关联规则的防护操作数据库;
通信端口,用于接收数据包,所述通信端口配置为与工业控制系统通信网络部分相连接;
处理器根据指令集处理通过所述通信端口从工业控制系统通信网络部分接收到的数据包,处理过程包括如上述任一一项所述的检测防护方法步骤。
下面对本发明做进一步说明:
一种工业控制系统控制行为检测防护的方法,包括:在工业控制系统通信网络上接收至少一个正在传输的数据包;通过至少一个正在传输的数据包的至少一个特性检测到与之相关的控制行为;对应至少一个正在传输的数据包和检测到的控制行为,确定至少一条防护规则;并且对应防护规则的至少一个数据包执行防护操作,防护操作包括以下一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
一种工业控制网络控制行为的检测防护方法,用于监控工业控制系统通信网络上传输的数据包,所述工业控制系统包括传感器、执行设备、和可编程控制器(PLC),控制行为的检测防护方法包括:
接收至少一个工业控制系统通信网络上传输的数据包;
通过至少一个正在传输的数据包的一个或多个特性检测到与至少一个数据包相关的控制行为;
对应至少一个正在传输的数据包和检测到的控制行为,确定至少一条防护规则;
对数据包执行防护操作,所述数据包为对应防护规则的若干数据包之一,防护操作包括以下一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
优选的,所述控制行为是对连接在工业控制系统通信网络上正在运行的PLC的维护,或一台配置成与PLC交互的计算机设备的操作,控制行为包括:登录计算机系统,从计算机设备登出,启动计算机设备的CPU、终止计算机设备的CPU、扫描PLC、读取PLC的逻辑,写入PLC逻辑,读取PLC配置值、写入PLC的配置值。
优选的,所述一个或多个数据包特性包括数据包中一个或多个字段的值。
优选的,至少一个数据包特性无需通过解析数据包包头来确定字段。
优选的,无需解析的数据包特性从组成数据包的一个字节的数值和组成数据包的载荷字节长度中选择。
优选的,其中,从一个或多个数据包字段提取的一个或多个字段值中选择对应被检测的控制行为。
优选的,数据包防护操作的发起对应着具有一系数据包序列特征的一系列防护规则,并且对应数据包序列中至少一个数据包,至少检测到一个控制行为。
进一步还包括:重新配置至少一个关联规则,用于确定随后接收到数据包的防护规则,进而确定防护操作,于是,在随后的重新配置触发不同的防护规则之前,对给定的数据包触发指定的防护操作。优选的,其中,所述的重新配置的方法,重新配置在预定时间段后被反转。
优选的,所述重新配置是对应PLC写入逻辑相关确定的防护操作时,当接收到允许通过的数据包,随后接收到关联到PLC写入逻辑的数据包就被阻断。
这些关联规则是根据工业控制网络的实际应用的控制过程事先确定的,每个数据库分别拥有各自的关联规则。
一种用于监控工业控制系统通信网络上传输数据包的系统,所述工业控制系统包括至少一个传感器、至少一个终端设备、和至少一个可编程控制器(PLC),所述系统包括:
存储器,带有计算机可执行指令集的软件,包含用于数据包与防护操作关联规则的用户行为数据库,包含用于数据包与防护规则关联规则的防护规则数据库,包含对给定防护规则为特征的数据包与指定防护操作关联规则的防护操作数据库;
通信端口,用于接收数据包,所述通信端口配置为与工业控制系统通信网络部分相连接;
处理器根据指令集处理通过所述通信端口从工业控制系统通信网络部分接收到的数据包,处理过程包括:
接收至少一个工业控制系统通信网络上传输的数据包;
利用用户行为数据库,对应至少一个正在传输的数据包的一个或多个特性检测与至少一个数据包相关的控制行为;
利用防护规则数据库,对应至少一个正在传输的数据包和检测到的控制行为,确定至少一条防护规则;
依照防护操作数据库,对应确定的防护规则数据包中的一个数据包发起防护操作,防护操作包括一个或多个以下操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
优选的,所述控制行为是对连接在工业控制系统通信网络上正在运行PLC的维护,或一台配置成与PLC交互的计算机设备的操作,控制行为包括:登录计算机系统,从计算机设备登出,启动计算机设备的CPU、终止计算机设备的CPU、扫描PLC、读取PLC的逻辑,写入PLC逻辑,读取PLC配置值、写入PLC的配置值。
优选的,所述一个或多个数据包特性包括数据包中一个或多个字段的值。
优选的,至少一个数据包特性不需要通过解析数据包包头来确定字段。
优选的,所述的无需解析数据包包头来确定字段的数据包特性,其中无需解析数据包包头来确定字段的数据包特性,从组成数据包中一个字节的值和组成数据包的载荷字节长度中选择。
其中,从一个或多个数据包字段提取的一个或多个字段值中选择对应被检测的控制行为。
所述的监控工业控制系统通信网络上传输的数据包的系统,其中,数据包防护操作的发起对应着具有一系数据包序列特征的一系列防护规则,并且对应数据包序列中至少一个数据包,至少检测到一个控制行为。
所述的监控工业控制系统通信网络上传输的数据包的系统,其中,为了响应确定的防护规则,处理器可以进一步运行重新配置包含在防护操作数据库中至少一个关联规则。
所述的监控工业控制系统通信网络上传输的数据包的系统,其中,重新配置在预定时间段后被翻转。
所述的监控工业控制系统通信网络上传输的数据包的系统,其中,为了响应PLC写入逻辑(控制行为)相关确定的防护操作,处理器可以重新配置包含在防护操作数据库中的至少一条关联规则,故当接收到允许通过的数据包时,随后接收到被关联到PLC写入逻辑的数据包就被阻断。
防护规则是指与在线传输中的数据包特征相关控制行为的防护规则,比如,某个在线数据包的字段指向了一个控制行为是“读取”,在防护规则数据库中对“读取”的控制行为对应的防护规则可能是对特定的目的/源IP地址允许或不允许进行该操作。
为实现本发明的目的,本发明针基于预先确定的控制规则,监控在工业控制系统的通信网络上传输的数据包,例如:控制行为检测防护系统可以允许输入的数据包通过,即控制行为检测防护系统的输出包括了允许的数据包,或者控制行为检测防护系统可以阻断输入的数据包,即控制行为检测防护系统的输出一个空(NULL)的数据包,表示数据包被丢弃,控制行为检测防护系统还可以记录被允许通过的数据包,即控制行为检测防护系统的输出包括了被允许的数据包和记录消息。
本发明的第一个方面,与监控工业控制系统网络上数据包的传输方法有关,在工业控制系统网络上传输的数据包对应着至少一个工业控制系统的控制行为,本发明控制行为检测防护方法包括:接收至少一个工业控制系统通信网络上传输的数据包;对应至少一个正在传输的数据包的一个或多个特性,检测与至少一个数据包相关的控制行为;对应至少一个正在传输的数据包和检测到的控制行为,确定至少一条防护规则;对包含在确定的防护规则对应若干数据包中的一个数据包,执行防护操作,防护操作包括一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
控制行为的例子包括:登录、登出、启动CPU、终止CPU、PLC扫描、读取PLC逻辑、写入PLC逻辑、读取配置数值、和写入配置数值等。
在本发明的一个实施例中,利用用户行为数据库来识别控制行为,用户行为数据库包含用于将数据包的至少一个特性与一个控制行为进行关联的关联规则。
在本发明的一个实施例中,用户行为数据库包含通过启动控制过程收集的根据经验推断的关联规则,可选地,在工程师工作站通过启动特定的控制操作收集被触发的数据包,处理获得的数据包确定与特定控制行为的发起和发生持续相关的数据包特征。
在本发明的一个实施例中,防护规则是根据防护规则数据库来确定,防护规则数据库包括将数据包和防护规则关联起来的关联规则。可选地,所述数据包先前和一个控制行为相关。
在本发明的一个实施例中,防护操作是根据防护操作数据库进行选择,防护操作数据库包含用于将一个或多个防护规则关联到一个或多个防护操作的关联规则,防护操作包括:允许数据包通过,请求用户鉴权,阻断数据包或记录数据包。
在本发明的一个实施例中,防护操作数据库包括用于将一系列防护规则关联到一个或多个防护操作的关联规则,同样,根据本发明的一个实施例,防护方法可以执行特定的防护操作来响应给定的接收数据包序列。可选地,至少一个数据包序列中的数据包与一个控制行为相关联。
在本发明的一个实施例中,防护方法可自动修改关联规则控制其功能响应检测到数据包中预先规定的一个或一系列字段值;在一个特别的实施例中,检测防护方法可能包括重新配置防护操作数据库的一个或多个关联规则来响应检测到的特定控制行为。
在本发明的一个实施例中,关联规则通过示例的方式,将具有一个或多个数据包特征的数据包与控制行为相关联,一个数据包和防护规则关联,或者一个或多个防护规则与一个或多个防护操作关联,包括查询表或决策树的分类器。
在本发明的一个实施例中,防护方法也可以通过HMI来控制和/或修改,在本发明的一个特别实施例中,还可以通过HMI来控制和修改用户行为数据库、防护规则数据库和防护操作数据库中的关联规则。
本发明的第二方面,提供了一种工业控制网络控制行为检测防护的计算机系统,该计算机系统包括用于存储软件的存储介质,所述软件包括计算机可执行的指令集,一个包含数据包和控制行为的关联规则的用户行为数据库,一个包含数据包和防护规则关联规则的数据库,一个包含给定与数据包特性相关的防护规则和指定的防护操作关联规则的数据库;网络通信接口用于连接工业控制网络的通信网络,控制行为检测防护系统从网络通信接口接收工业控制系统通信网络传输的数据包;处理器根据指令集处理通过网络通信端口从工业控制系统通信网络部分接收到的数据包,处理内容包括:接收至少一个工业控制系统通信网络上传输的数据包;依照用户行为数据库,对应至少一个正在传输的数据包的一个或多个特性检测与至少一个数据包相关的控制行为;依照防护规则数据库,对应至少一个正在传输的数据包和检测到的控制行为,确定至少一条防护规则;依照防护操作数据库,对应确定的防护规则数据包中的一个数据包发起防护操作,防护操作包括一个或多个以下操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
在本发明的一个实施例中,控制行为是与维持连接到工业控制系统通信网络PLC的可操作性,或操作配置为与PLC交互的计算机设备的操作有关的行为。可选地,该行为包括:登录计算机系统,从计算机设备注销,启动计算机设备的CPU,停止计算机设备的CPU,扫描PLC,
PLC的写入逻辑,读取逻辑PLC,读取PLC的配置值,并写入PLC的配置值。
可选地,数据包的一个或多个特征包括数据包中的一个或多个字段的值。可选地,数据包的一个或多个特征包括不需要通过解析数据包报头来识别字段的特征;可选地,不需要解析的特征有:数据包中包含的字节值;数据包中包含的有效载荷字节长度;可选地,从一个或多个分组字段中提取一个或多个字段值选择来对应被识别控制行为。
在本发明的一个实施例中,作用于数据包的防护动作的发起对应一系列数据包为特征的一系列防护规则,可选地,至少检测到一个控制行为对应数据包系列中的至少一个数据包。
在本发明的一个实施例中,还包括响应后续接收到数据包确定防护规则,重新配置至少一个关联规则用于确定随后收到数据包的防护操作,在重新配置触发不同的防护操作之前,对给定的数据包触发指定的防护操作。可选地,在预定的时间段之后,重新配置被逆转。
可选地,重新配置响应与PLC的写入逻辑相关联的已识别防护规则,使得在允许接收数据包的同时,阻断随后被标识为与PLC的写入逻辑相关联的接收数据包。
本发明的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或多个处理器执行时实现本发明的第一方面中任意一种实施方式所述的方法。
本发明的优点在于:
1)本发明能够在预先建立的控制行为规范的基础上,对违反控制行为规范的内部或外部非法操作企图进行检测;
2)能够检测出初始阶段非法控制行为,及时通过防护规则相关的防护操作对控制行为进行控制,使涉及控制行为的安全威胁消灭在萌芽状态。
3)利用重新配置规则,杜绝在写入控制逻辑之后,被非法指令重写如控制逻辑。
附图说明
图1是本发明在一个具体实施例的系统组成方框图;
图2是本发明检测防护方法一个实施例的检测防护过程流程图;
图3是本发明中防护规则序列分析的一个实施例流程图;
附图标记:
100–控制行为检测防护系统
110–网络通信接口模块
120–预处理模块
125–用户行为数据库
130–分析模块
135–防护规则数据库
140–防护模块
145–防护操作数据库
150–管理模块
具体实施方式
本发明提供了许多可应用的创造性概念,该创造性概念可大量的体现在具体的上下文中。在下述本发明的实施方式中描述的具体实施例仅作为本发明的具体实施方式的示例性说明,不构成对本发明范围的限制。
下面结合附图和具体的实施方式对本发明做进一步的描述。
图1是本发明的检测防护系统100的一个具体实施例的功能架构示意图,包括网络通信接口模块110、预处理模块120、用户行为数据库125、分析模块130、防护规则数据库135、防护模块140和防护操作数据库145、以及管理模块150。
其中网络通信接口模块110,负责与检测防护服务器100内部和外部的计算机和设备通信,例如物理连接、虚拟或逻辑数据链路等;
预处理模块120通过解析来自网络通信接口模块的一个或多个数据包,检测与所述数据包一个或多个特征相关联的控制行为。
本发明的一个实施例中,预处理模块120产生一个输出,包括组成数据包的字段和检测出的控制行为标识,表明预处理模块120根据用户行为数据库125确定的控制行为,若预处理模块120无法识别出与接收到的数据包相关的控制行为,预处理模块120输出不包括控制行为标识或控制行为标识为“空”(NULL)。
本发明的一个实施例中,用户行为数据库125中包含之前基于工业控制系统的实验验证的关联规则,可选地,通过工程师工作站发起控制行为,收集由于发起所述控制行为触发的数据包来确定与发起控制行为过程始终相关联的数据包特征,重复多个控制行为过程,建立用户行为数据库125。在获得的数据包和控制行为集关联实验中可以利用机器学习的方法,可选地,用于用户行为数据库125中的关联规则可以是基于以下技术的分类器:决策树、支持向量机(SVM)、随即森林分类器和最近邻分类器;可选地,决策树是一个分类回归树(CART)。
分析模块130基于数据包所述接收到的数据包的一个或多个特性,与所述数据包关联的一个或多个控制行为来确定一个防护规则,可选地,分析模块130根据防护规则数据库135中包含的关联规则,决定对应预处理模块的输出确定防护规则;
在本发明的一个实施例中,分析模块130将一个防护规则标识附着在预处理模块120输出上,产生分析模块输出。例如:如果预处理模块120输出包括IP目的地址字段的值a.b.c.d和一个控制行为标识字段值为“写PLC逻辑”,可选地,分析模块130将一个防护规则标识为“1”的字段附加在预处理模块120输出上,产生分析模块130输出。
防护模块140可以确定基于分析模块130的输出的一个或多个防护规则确定针对接收到的数据包要执行防护操作。
可选地,分析模块130的输出是防护模块140的输入,防护模块140根据防护操作数据库145中的关联规则来确定对接收到的数据包进行的防护操作,例如:防护操作数据库145包括了一条关联规则,即阻断具有防护规则识别字段值是“1”的所有分析模块130输出的数据包。分析模块输出,这样,上述预处理模块120包括IP目的地址字段为a.b.c.d,并且关联了“写PLC逻辑”的输出,并由分析模块130制定了关联到防护规则1的数据包被控制行为检测防护系统100阻断。
在某些特定的情景下,可能响应一系列的数据包比响应单一数据包确定一个防护操作或一系列防护操作更具有优势,在本发明的一个实施例中,防护模块140可以分析一段时间内多个数据包的序列,确定该数据包序列的一个或多个防护操作。
在本发明的一个实施例中,当执行一个数据包序列分析时,可选地,防护模块140在决定一个防护操作时,不仅要关联当前分析模块130的输出的防护规则,还要考虑与之前接收到的数据包关联的防护规则。在本发明的一个实施例中,管理模块150负责与检测防护系统100的内部模块之间的协调管理以及与外部设备之间的交互,例如,控制行为检测防护系统100与工程师工作站的交互,收集控制行为的实验数据,用于建立用户行为数据库的关联规则等。
图2是本发明检测防护方法一个实施例的流程图,步骤如下:
如步骤S210,检测防护系统100通过网络通信接口模块110从工业控制系统通信网络接收到一个数据包;
如步骤S220,检测防护系统100的预处理模块120利用用户行为数据库125中的关联规则,检测与接收到的数据包关联的控制行为,控制行为包括但不限于:登录,登出、启动CPU、终止CPU、扫描PLC、写入PLC逻辑、读取PLC逻辑、读取PLC配置值和写入PLC配置值等。并且输出接收到的数据包特征字段和检测到的控制行为标识。
如步骤230,检测防护系统100的分析模块130根据预处理模块120的输出,利用防护规则数据库135中的关联规则,确定对应预处理模块120的输出的防护规则,并在预处理模块120的输出的基础上添加所确定的防护规则的标识作为分析模块130的输出;
如步骤240,检测防护系统100的防护模块140根据分析模块130的输出,利用防护操作数据库中的关联规则,针对相关的数据包执行防护操作,防护操作的实例包括但不限于:允许数据包通过,请求用户鉴权、阻断数据包、或记录数据包等。
图3是本发明中防护规则序列分析的一个实施例流程图,步骤如下:
如步骤310,检测控制行为序列的初始行为,注册一个防护规则并将该规则作为防护规则序列的初始防护规则,所述防护规则是在步骤S230中分析模块130确认的防护规则;
如步骤320,为检测到的初始行为建立状态机,包括定义与将来的数据包相关的一个或多个预期的防护规则序列。
可选地,当防护模块140根据防护操作数据库145注册了指定为初始控制行为的防护规则时,防护模块140创建状态机作为数据包序列跟踪器,该状态机定义了预定数量的状态,包括防护操作和一组预定的输入,包括与将来的数据包相关的防护规则,它将改变数据包序列跟踪器的状态。用于转换状态机状态的一组输入将包括一系列预期的后续防护规则(可选地,由防护操作数据库145中的关联规则定义),这些规则将指示特定的控制行为进程。这样,防护操作数据库145可以根据数据包序列跟踪器将防护操作与给定的防护规则序列相关联,使得防护模块140会在检测到给定的防护规则序列时执行相关联的防护操作;
如步骤S330,在检测到初始控制行为后,跟踪防护规则,一旦防护模块140检测到初始控制行为,为了检测与初始控制行为相关的预期防护规则,防护模块140根据防护操作数据库145跟踪随后的防护规则是否是预期的防护规则;
如步骤S340,防护模块140响应跟踪到的防护规则来检测预期的防护规则序列;
如步骤S360,防护模块140响应检测到的防护规则序列,执行防护操作。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (13)
1.一种工业控制系统控制行为检测防护方法,其特征在于:所述检测防护方法包括接收工业控制系统通信网络上的至少一个正在传输的数据包;
通过至少一个正在传输的数据包的一个或多个特性检测到与至少一个数据包相关联的控制行为;
对应至少一个正在传输的数据包及检测到的控制行为,确定至少一条防护规则;
对数据包执行防护操作,所述数据包为对应防护规则的若干数据包之一,防护操作包括以下一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
2.根据权利要求1所述的检测防护方法,其特征在于:所述控制行为是对连接在工业控制系统通信网络上正在运行的PLC的维护或一台配置成与PLC交互的计算机设备的操作,控制行为包括:登陆计算机系统,从计算机设备登出,启动计算机设备的CPU、终止计算机设备的CPU、扫描PLC、读取PLC的逻辑,写入PLC逻辑,读取PLC配置值、写入PLC的配置值。
3.根据权利要求1所述的检测防护方法,其特征在于:所述数据包的特性包括数据包中一个或多个字段的值。
4.根据权利要求1所述的检测防护方法,其特征在于:至少一个数据包特性是无需通过解析数据包包头来确定字段。
5.根据权利要求4所述的检测防护方法,其特征在于:无需解析的数据包特性从组成数据包的一个字节的数值和组成数据包的载荷字节长度中选择。
6.根据权利要求3所述的检测防护方法,其特征在于:从一个或多个数据包字段提取的一个或多个字段值中选择对应被检测到的控制行为。
7.根据权利要求1所述的检测防护方法,其特征在于:数据包防护操作的发起对应着具有一系数据包序列特征的一系列防护规则,并且对应数据包序列中至少一个数据包,至少检测到一个控制行为。
8.根据权利要求1-7任一一项所述的检测防护方法,其特征在于:还包括重新配置至少一个关联规则,用于确定随后接收到数据包的防护规则,进而确定防护操作,于是,在随后的重新配置触发不同的防护规则之前,对给定的数据包触发指定的防护操作。
9.根据权利要求8所述的检测防护方法,其特征在于:重新配置在预定时间段后被反转。
10.根据权利要求8所述的检测防护方法,其特征在于:重新配置是对应PLC写入逻辑相关确定的防护操作时,当接收到允许通过的数据包,随后接收到关联到PLC写入逻辑的数据包就被阻断。
11.一种工业控制网络控制行为检测防护的计算机系统,其特征在于:包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-10任一一项所述的检测防护方法。
12.一种计算机可读存储介质,所述存储介质存储有计算机程序,该计算机程序被一个或多个处理器执行时用于实现权利要求1-10任一一项所述的检测防护方法的步骤。
13.一种用于监控工业控制系统通信网络上传输数据包的系统,所述工业控制系统包括至少一个传感器、至少一个终端设备、和至少一个可编程控制器,所述系统包括:
存储器,带有计算机可执行指令集的软件,包含用于数据包与防护操作关联规则的用户行为数据库,包含用于数据包与防护规则关联规则的防护规则数据库,包含对给定防护规则为特征的数据包与指定防护操作关联规则的防护操作数据库;
通信端口,用于接收数据包,所述通信端口配置为与工业控制系统通信网络部分相连接;
处理器根据指令集处理通过所述通信端口从工业控制系统通信网络部分接收到的数据包,处理过程包括如权利要求1-10任一一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010615676.7A CN111913430B (zh) | 2020-06-30 | 2020-06-30 | 工业控制系统控制行为检测防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010615676.7A CN111913430B (zh) | 2020-06-30 | 2020-06-30 | 工业控制系统控制行为检测防护方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111913430A true CN111913430A (zh) | 2020-11-10 |
| CN111913430B CN111913430B (zh) | 2022-03-18 |
Family
ID=73227018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010615676.7A Active CN111913430B (zh) | 2020-06-30 | 2020-06-30 | 工业控制系统控制行为检测防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111913430B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
| EP3506145A1 (en) * | 2017-12-29 | 2019-07-03 | Siemens Aktiengesellschaft | Data integrity protection method and device |
| CN110087242A (zh) * | 2019-04-29 | 2019-08-02 | 四川英得赛克科技有限公司 | 一种工业控制环境下无线接入设备合法性快速判别方法 |
| US20190310311A1 (en) * | 2018-04-06 | 2019-10-10 | Bently Nevada, Llc | Flexible and scalable monitoring systems for industrial machines |
| CN110351235A (zh) * | 2019-01-30 | 2019-10-18 | 清华大学 | 监测方法和装置、工业控制系统和计算机可读介质 |
-
2020
- 2020-06-30 CN CN202010615676.7A patent/CN111913430B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| EP3506145A1 (en) * | 2017-12-29 | 2019-07-03 | Siemens Aktiengesellschaft | Data integrity protection method and device |
| US20190310311A1 (en) * | 2018-04-06 | 2019-10-10 | Bently Nevada, Llc | Flexible and scalable monitoring systems for industrial machines |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110351235A (zh) * | 2019-01-30 | 2019-10-18 | 清华大学 | 监测方法和装置、工业控制系统和计算机可读介质 |
| CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
| CN110087242A (zh) * | 2019-04-29 | 2019-08-02 | 四川英得赛克科技有限公司 | 一种工业控制环境下无线接入设备合法性快速判别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111913430B (zh) | 2022-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN106650436B (zh) | 一种基于局域网的安全检测方法和装置 | |
| CN102663274B (zh) | 一种检测远程入侵计算机行为的方法及系统 | |
| CN109766694B (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
| CN111818068B (zh) | 微场景案例的编排验证方法、装置、介质及计算机设备 | |
| US12063236B2 (en) | Information processing apparatus, log analysis method and program | |
| US20180309724A1 (en) | Control plane network security | |
| CN112685745B (zh) | 一种固件检测方法、装置、设备及存储介质 | |
| CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
| CN105426751A (zh) | 一种防止篡改系统时间的方法及装置 | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| KR101626967B1 (ko) | 해킹 방지를 위한 어플리케이션의 동작 방법 및 장치 | |
| CN111913430B (zh) | 工业控制系统控制行为检测防护方法和系统 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN106899977B (zh) | 异常流量检验方法和装置 | |
| CN109889552A (zh) | 电力营销终端异常流量监控方法、系统及电力营销系统 | |
| CN113852623B (zh) | 一种病毒工控行为检测方法及装置 | |
| CN106411816B (zh) | 一种工业控制系统、安全互联系统及其处理方法 | |
| CN117093999A (zh) | 远程代码执行漏洞检测方法、装置、设备、介质及产品 | |
| CN107608339B (zh) | 汽车车机的接口防护方法及装置 | |
| KR101938415B1 (ko) | 비정상 행위 탐지 시스템 및 방법 | |
| CN110572372B (zh) | 一种检测物联网设备遭受入侵的方法及检测装置 | |
| US20240220382A1 (en) | System and Method to Monitor Programmable Logic Controller (PLCS) In a Cyber Physical Environment | |
| TWI835113B (zh) | 依記錄分析結果執行任務以實現設備聯防之系統及方法 | |
| CN109743282B (zh) | 一种基于工控协议的高危安全风险识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |