CN111935085A - 工业控制网络异常网络行为的检测防护方法和系统 - Google Patents
工业控制网络异常网络行为的检测防护方法和系统 Download PDFInfo
- Publication number
- CN111935085A CN111935085A CN202010613433.XA CN202010613433A CN111935085A CN 111935085 A CN111935085 A CN 111935085A CN 202010613433 A CN202010613433 A CN 202010613433A CN 111935085 A CN111935085 A CN 111935085A
- Authority
- CN
- China
- Prior art keywords
- network
- network behavior
- state
- detection
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 76
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 30
- 230000007704 transition Effects 0.000 claims abstract description 39
- 230000001681 protective effect Effects 0.000 claims abstract description 12
- 230000005540 biological transmission Effects 0.000 claims abstract description 4
- 238000001514 detection method Methods 0.000 claims description 30
- 238000004891 communication Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000013480 data collection Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 11
- 238000012545 processing Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本发明公开了一种工业控制网络异常网络行为的检测防护方法和系统,该方法包括从传输数据包中获取特定字段;基于数据包的特定字段获取特定协议矢量;基于一个网络行为状态的特定协议矢量指示产生一个数值;维护网络行为状态机,其中,转移计数器基于数值进行计数,根据转移计数器确定转移概率,转移概率是指在正常的网络运行中从第一个网络状态到随后第二个网络状态的估计概率;为网络行为基准建立估计概率门限,确定从特定的网络数据包流获得的一系列的网络行为状态发生的转移概率;当一系列的网络行为状态发生的转移概率低于该估计概率门限时表示异常情况;如果确定的一系列的网络行为状态发生的转移概率低于估计概率门限,则执行保护措施。
Description
技术领域
本发明涉及工业控制安全领域技术领域,特别涉及一种工业控制系统异常行为防护方法和系统。
背景技术
由于工业控制系统设计之初是一个与外界物理隔离的系统,因此传统的工业控制协议没有考虑信息安全和网络安全的问题。随着标准网络和互联网技术在工业控制系统的广泛应用,工业控制系统面临的安全威胁正日益加剧,比如:为了造成工业控制系统的损坏,病毒可以伪装成可编程逻辑控制器发送流量;通过识别重要基础设施通信的对人机界面(HMI)实施代码注入;利用MODBUS、DNP3等工业控制系统协议;源自外部的主机的恶意活动;利用运营环境中使用的通用的通信协议,比如HTTP(Hyper Text Transfer Protocol)、FTP(File Transfer Protocol)、SMB(Server Message Block)等;运营网络中的授权用户进行授权范围之外的非授权操作。为了解决这些问题,需要有具有针对性的检测和防护方法来缓解工业控制系统面临的风险。
发明内容
本发明提供了一种工业控制系统异常网络行为检测防护方法和系统,用于发现和解决在控制系统中的控制器在外界干扰或自身出现问题时出现不符合正常网络行为基准的网络事件,潜在的工业控制系统信息安全隐患。
一种工业控制网络异常网络行为的检测防护方法,该检测防护方法包括:
从工业控制网络多个工业控制设备传输数据包中获取特定字段;基于数据包的特定字段获取特定协议矢量;
基于一个网络行为状态的特定协议矢量指示产生一个数值;
维护网络行为状态机,包括网络行为状态列表和转移计数器,其中,所述的转移计数器基于所述网络行为状态矢量产生的数值进行计数,根据转移计数器确定转移概率,所述转移概率是指在正常的网络运行中从第一个网络状态到随后第二个网络状态的估计概率;
为网络行为基准建立估计概率门限,确定从特定的网络数据包流获得的一系列的网络行为状态发生的转移概率;
当一系列的网络行为状态发生的转移概率低于该估计概率门限时表示异常情况;
如果确定的一系列的网络行为状态发生的转移概率低于估计概率门限,则执行保护措施。
优选的,数据包中特定字段是从被监控的工业控制网络中获得。
优选的,从特定的网络数据包流中得到的一系列网络行为状态包括“n”个连续网络行为状态,n大于2。
优选的,所述保护措施包括产生告警、阻断数据包和/或禁用网络节点装置。
优选的,所述保护措施中的告警包括取证数据。
优选的,所述数据包特定字段代表了表示特定网络通信的协议。
一种工业控制网络异常网络行为的检测防护的计算机系统,其特征在于:包括处理器;
存储器;存储有一个或多个计算机程序模块,其中,所述一个或多个计算机程序模块被存储在存储器中、并配置为由所述处理器执行,所述一个或多个计算机程序模块包括用于执行实现上述任一一项所述的检测防护方法的指令。一种存储介质,其特征在于,所述存储介质存储有工业控制网络异常网络行为的检测防护程序,所述程序被一个或多个处理器执行时实现上述任一一项所述的检测防护方法。
下面对本申请做进一步说明:
为实现本发明的目的,本发明针对工业控制系统的特点,大量存在的是有限的设备之间通信,相比通常的IT系统,工业控制网络的通信能够被更清晰的定义,在这个前提下,本发明采用的技术方案如下:
1.在控制网络中从不同的控制器,例如可编程逻辑控制器(PLC)的流量中学习建立其正常的行为模式,用于检测试图偏离正常行为模式的企图。
2.在控制网络中从不同的HMI流量中学习建立其正常的行为模式,用于检测偏离所述正常行为模式的企图,这其中包括实行代码注入的尝试。
3.检查和验证当前在网络上传输的数据包是否符合已知规范。
4.以状态机方式对网络行为进行自动精准建模,将网元的运行映射为网络行为状态,用有限的状态集合为网络行为建模,然后利用每个网元已构建的合法的网络行为模型,追踪每个网元的网络行为。
本发明的第一方面,提供一种检测工业控制网络中异常网络行为及防护的方法,所述方法包括:建立一个符合现场要求的网络行为基准,包括网络状态列表和转移概率,其中转移概率是在正常的网络运行过程中从一个网络状态到下一个网络状态转移的估计概率;建立一个概率门限,当一系列网络状态发生的概率低于该门限时表示异常情况;根据符合现场要求的网络行为基准,确定从特定的网络数据包流获得的一系列网络状态发生的概率;如果确定的一系列网络状态发生的概率低于估计概率门限,则执行防护措施。
可选地,建立包括网络状态列表和转移概率的正常网络行为基准需要:分析一系列表示正常网络行为的数据包,确定当时网络状态的序列;在已经确定的网络状态序列中,根据从第一个网络状态到第二个网络状态的次数,计算第一个网络状态到随后的第二个网络状态的概率。
可选地,特定数据包流来自被监控的工业控制网络(该工业控制网络可以是控制网络130,也可以是现场网络110)。可选地,从特定数据包流得到的一系列网络状态包括“n”个连续网络状态,这里“n”大于2。
可选地,采取的保护措施包括产生告警;可选地,采取的保护措施包括阻断数据包。可选地,采取的保护措施包括禁用网络节点装置。可选地,告警包括取证数据。
本申请中的转移概率是根据正常情况下,系统从一个状态(比如A状态)转移到另一个状态(比如B状态)的计数,与A状态转移到所有可能状态(有限数目,比如共有5中可能的状态,A-A,A-B,A-C,A-D,A-E,)计数之和的比值,此时n=2。若n>2,所以转移概率是两个或两个以上的转移概率的乘积。
本发明的第二方面,提供一种检测工业控制网络中异常网络行为并提供防护措施的计算机系统,该计算机系统包括用于存储计算机组件的存储介质;至少一个执行计算机组件的处理器;第一计算机组件用于建立一个符合现场要求的网络行为基准,网络行为基准包括网络状态列表和转移概率,其中转移概率是在正常的网络运行过程中从一个网络状态到下一个网络状态转移的估计概率;第二计算机组件用于根据符合现场要求的网络行为基准,确定从特定的网络数据包流获得的一系列网络状态发生的概率;第三计算机组件用于建立一个估计概率门限,当一系列网络状态发生的概率低于估计概率门限时表示异常情况;第四计算机组件确定一系列网络状态发生的概率低于估计概率门限后,执行防护措施。
本发明的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或多个处理器执行时实现本发明的第一方面中任意一种实施方式所述的方法。
本发明的优点在于:
1)本发明能够自动准确地建立工业控制系统的正常网络行为模型,在此基础上及时检测任何偏离正常行为的尝试,并根据被监控网络的实际情况发送防护指令,因此本发明能够迅速适应不同类型的工业控制系统信息安全检测的要求,适用范围宽泛;
2)在建立正常网络行为模型后,系统进入防护阶段可以迅速发现违背正常网络行为模型的网络行为,避免信息安全事态进一步恶化,缓解网络安全风险快速有效。
附图说明
图1是本发明在工业控制系统中一个具体实施例的系统环境示意图;;
图2是利用本发明实现网络行为学习和异常检测功能框架实施例;
图3是数据采集模块一个逻辑实现实施例的处理流程;
图4是告警模块的一个逻辑实现实施例的处理流程;
图5是状态机模块在学习阶段一个逻辑实现实施例的处理流程;
图6是状态机模块在保护阶段一个逻辑实现实施例的处理流程。
附图标记:
110-现场网络;112–现场网络工业交换机;114-控制器;116-现场设备;130-控制网络;132–控制网络交换机;134–人机界面;136–控制服务器;138–检测防护服务器;142–防火墙;150–企业管理网络;152–交换机;154–PC;156–服务器;158–网络安全管理控制台;162–防火墙;170–互联网;210–网络接口模块;220–数据采集模块;225–网络拓扑数据库;230–告警模块;235–异常场景数据库;240–状态机模块;245–网络行为状态机;250–管理模块。
具体实施方式
本发明提供了许多可应用的创造性概念,该创造性概念可大量的体现在具体的上下文中。在下述本发明的实施方式中描述的具体实施例仅作为本发明的具体实施方式的示例性说明,不构成对本发明范围的限制。
下面结合附图和具体的实施方式对本发明做进一步的描述。
图1是本发明部署在工业控制系统中时一个系统环境具体实施例的示意图,该系统环境包括现场网络110,控制网络130,企业管理网络150和互联网170。其中,现场网络110中包括工业交换机112、若干台控制器114、以及在控制器控制下的若干现场设备116;控制网络130包括与防火墙142相连的交换机132、人机界面134、控制服务器136和本发明部署在控制网络130的检测保护服务器138,检测防护服务器138用于检测控制网络上的异常网络行为,提供所需的防护并根据实际需要和企业管理网络150中的网络安全管理控制台158进行通信;控制网络130和企业管理网络150之间有防火墙142隔离企业管理网络150和控制网络130之间的非法访问;企业管理网络150包括交换机152、管理人员使用的若干PC机154,提供各种应用的若干服务器156、以及可选的网络安全管理控制台158;在企业管理网络150和互联网170之间有防火墙162负责隔离互联网170和企业管理网络150之间的非法访问。
图2是本发明的检测防护服务器138在一个具体实施例的功能架构,包括网络通信接口模块210、数据采集模块220、网络拓扑数据库225、告警模块230、异常场景数据库235、状态机模块240和网络行为状态机245、以及管理模块250。
其中网络通信接口模块210,负责与检测防护服务器138内部和外部的计算机和设备通信,例如物理连接、虚拟或逻辑数据链路等;
数据采集模块220执行深度包解析的功能,例如从网络通信接口模块210读取数据包、提取数据包中的特定字段,为告警模块230和状态机模块240提供数据包数据和元数据;
网络拓扑数据库225拥有已经检测到的工业控制网络的主设备和从属设备的信息,例如,在检测防护服务器138的学习阶段,网络拓扑数据库225为数据采集模块220所用,在检测防护服务器138的防护阶段,为告警模块230或状态机模块240所用;
告警模块230是基于异常场景告警,所述场景是一系列网络行为匹配条件的集合,包括数据包匹配数据、和/或元数据匹配数据、和/或用于匹配数据包或一系列数据包的状态信息,以及当场景满足特定的条件时有关行动的一个指令。例如,一个和MODBUS相关的场景数据结构可能包括MODBUS子站地址、MODBUS功能代码和数据包元数据。告警模块230将接收到的每个数据包与异常场景数据库235的场景匹配,检查接收到的数据包是否符合所使用的工业控制协议,是否包含已知威胁,是否符合当前的控制流程的要求,是否符合当前控制系统的配置等等,一旦告警模块230检测到与异常场景数据库中任何一个场景匹配,则产生告警;
异常场景数据库235包括描述网络行为的条件列表,可以通过管理模块250预先加载;
状态机模块240可以从数据采集模块220接收数据,例如数据包数据和元数据,状态机模块240根据所处的阶段进行不同的操作,在学习阶段,状态机模块240通过分析从数据采集模块220接收到数据包数据/元数据生成网络行为状态机245,在防护阶段,状态机模块240结合网络行为状态机245分析每个接收到的数据包,识别异常的网络行为,并且在异常网络事件发生时产生防护指令,包括告警、阻断数据包或禁用相关的网元,状态机模块240在学习阶段的工作流程实施例参见图5,状态机模块240在防护阶段的实施例参见图6;
管理模块250负责与检测防护服务器138的内部模块之间的协调管理以及与外部设备之间的交互,例如,检测防护服务器138与部署在企业管理网络的网络安全管理控制台158之间交换管理请求和告警信息,又例如,检测防护服务器138与人机界面134的交互可能包括检测防护服务器138从学习阶段向防护阶段的迁移。
图3是数据采集模块220的一个逻辑实现实施例的处理流程,如步骤S302,数据采集模块220接收控制网络的数据包,例如同通过网络通信接口模块210获得,或从一个存储在硬盘上的文件中的捕获数据包;如步骤S304,数据采集模块220对接收到的数据包执行深度包解析;如步骤306,数据采集模块220在步骤S304的基础上确定数据包使用的协议类型,例如,在传输协议封装在以太网协议(MODBUS/TCP),数据采集模块220可检查以太网协议字段,ether type或VLAN(Virtual Local Area Network)标识,结合上层字段像Modbus功能代码和单元标识等来确定协议类型,协议类型可能是MODBUS、OPC、IEC61850等等;如步骤S308,数据采集模块220从接收到的数据包选择特定字段,例如工业控制协议中通信双方的标识、指令和查询,以及数据包的元数据,例如数据包到达时间和输入端口号等,所有这些数据形成了一个集合;如步骤S310,数据采集模块220可以根据当前接收到的数据包中主从设备通信地址更新网络拓扑数据库225,数据采集模块220还可以从网络拓扑数据库225中删除长期没有使用的地址,在典型的实施例中,数据采集模块220只在检测防护服务器138处于学习阶段时对网络拓扑数据库225进行更新;如步骤S312,数据采集模块220可能存储与当前数据包有关的取证数据用于可能产生的告警;如步骤S314,数据采集模块220基于步骤S310中得到的数据集合准备一个数据矢量;如步骤S316,数据采集模块220转发数据矢量,例如转发至状态机模块240。
图4是基于场景报警模块的一个逻辑实现实施例的处理流程,告警模块230从异常场景数据库235选择异常场景与当前数据包进行匹配,如步骤S402,告警模块230从异常场景数据库235提取数据包匹配场景,告警模块230进行数据包匹配,包括偏移量和数据模式的匹配,例如匹配要求可能是指定的IP地址范围要求,超出范围是非法的IP地址,数据包匹配的结果可能是当前数据包和数据包异常场景“匹配”或“不匹配”;
如步骤S404,如果S402的匹配结果是匹配,执行步骤S410,反之,执行步骤S406;
如步骤S406,告警模块230从异常场景数据库235提取元数据包匹配场景,告警模块230进行元数据匹配,例如元数据的匹配规则可能是规定了需要监督的端口,或者是数据包到达间隔时间值或范围,元数据匹配的结果可能是当前数据包和元数据异常场景“匹配”或“不匹配”;
如步骤S408,如果S406的匹配结果是匹配,执行步骤S410,反之,执行步骤S412;
如步骤S410,告警模块230发出防护信号,例如发送至管理模块250报告检测到网络行为,然后返回步骤S402;
如步骤S412,告警模块230从异常场景数据库235提取状态特性匹配场景,告警模块230进行状态特性场景匹配,例如场景规定为检测到一个设备的消失,如果数据包构成的是未响应的请求(在达到未应答请求特定的门限之后),则构成匹配。状态特性场景匹配的结果可能是当前数据包和状态特性场景“匹配”或“不匹配”;
如步骤S414,如果S412的匹配结果是匹配,执行步骤S410,反之,结束当前数据包的基于场景告警处理,返回执行步骤S416进行下一个数据包的处理。
图5是状态机模块240在学习阶段一个逻辑实现实施例的处理流程,如步骤S502,状态机模块240处理启动;
如步骤S504,状态机模块240从数据采集模块220接收到一个代表一个数据包的特定字段和元数据的输入特定协议矢量(该特定协议矢量是从控制网络中实时解析的数据包数据计算得到的);
如步骤S506,状态机模块240对接收到的特定协议矢量应用聚类算法得到一个数值表示“现态”,状态机模块240在网络行为状态机245中选择与现态数值相关的记录;
如步骤S508,状态机模块240检查是否接收到结束学习的指令,若是,执行步骤S510,反之,执行步骤S512;如步骤S510,状态机模块240结束学习阶段进入防护阶段;
如步骤S512,状态机模块240检查是否接收到新的数据特定协议数据矢量,若是,执行步骤S514,反之等待;
如步骤S514,状态机模块240对新接收到的特定协议矢量应用聚类算法得到一个数值表示“次态”,状态机模块240在网络行为状态机245中选择与次态数值相关的记录;
如步骤S516,状态机模块240增加网络行为状态机245列表记录中从现态到次态的转移计数器的数值;
如步骤S518,状态机模块240将次态的数值赋值给新的现态,并从网络行为状态机245列表中选择新的现态对应的记录,然后返回步骤S508。
图6是状态机模块240在保护阶段一个逻辑实现实施例的处理流程,如步骤S602,处于保护阶段的状态机模块240接收到一个特定协议矢量;
如步骤S604,状态机模块240对从数据采集模块220接收到的特定协议矢量应用聚类算法得到一个数值表示“次态”
如步骤S606,状态机模块240利用网络行为状态机245中转移计数器中的信息确定从现态到次态的转移概率(这里的现态是从网络行为状态机中存储的协议矢量计算得到的);
如步骤S608,状态机模块240将步骤S606得到的计算结果结合之前最后“n”个状态的计算概率,计算出发生连续“n”个状态的转移概率,在一个具体的实施例中,n大于2;
如步骤S610,状态机模块240比较步骤S608得到的转移概率和门限概率大小,若小于门限概率(所述的门限概率是经验值,根据实际情况调整,来保证不会造成漏报(假阴,错的当成对的)和错报(假阳,对的当成错的),执行步骤S612,反之,返回步骤S602准备接收下一个特定协议矢量;
如步骤S612,状态机模块240采取防护措施,例如产生一个告警报告给管理模块250,之后返回步骤S602准备接收下一个特定协议矢量。
其中,步骤608是计算连续的n个状态的概率的计算,举例来说,有一个控制过程是状态A1→状态A2→状态A3→状态A4→状态A5如果我们要计算连续4个状态的概率,当前的次态是状态A5,那么,连续4个状态的概率=P(A2→A3)*P(A3→A4)*P(A4→A5),P(现态,次态)表示从现态到次态的概率,当然,现态和次态是针对某一时刻来说的,此时的“次态”就是下次的“现态”,参见步骤518。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (8)
1.一种工业控制网络异常网络行为的检测防护方法,该检测防护方法包括:
从工业控制网络多个工业控制设备传输数据包中获取特定字段;
基于数据包的特定字段获取特定协议矢量;
基于一个网络行为状态的特定协议矢量指示产生一个数值;
维护网络行为状态机,包括网络行为状态列表和转移计数器,其中,所述的转移计数器基于所述网络行为状态矢量产生的数值进行计数,根据转移计数器确定转移概率,所述转移概率是指在正常的网络运行中从第一个网络状态到随后第二个网络状态的估计概率;
为网络行为基准建立估计概率门限,确定从特定的网络数据包流获得的一系列的网络行为状态发生的转移概率;
当一系列的网络行为状态发生的转移概率低于该估计概率门限时表示异常情况;
如果确定的一系列的网络行为状态发生的转移概率低于估计概率门限,则执行保护措施。
2.根据权利要求1所述的检测防护方法,其特征在于:数据包中特定字段是从被监控的工业控制网络中获得。
3.根据权利要求2所述的检测防护方法,其特征在于:从特定的网络数据包流中得到的一系列网络行为状态包括“n”个连续网络行为状态,n大于2。
4.根据权利要求1所述的检测防护方法,其特征在于:所述保护措施包括产生告警、阻断数据包和/或禁用网络节点装置。
5.根据权利要求4所述的检测防护方法,其特征在于:所述保护措施中的告警包括取证数据。
6.根据权利要求1所述的检测防护方法,其特征在于:所述数据包特定字段代表了表示特定网络通信的协议。
7.一种工业控制网络异常网络行为的检测防护的计算机系统,其特征在于:包括处理器;
存储器;存储有一个或多个计算机程序模块,其中,所述一个或多个计算机程序模块被存储在存储器中、并配置为由所述处理器执行,所述一个或多个计算机程序模块包括用于执行实现权利要求1-6任一一项所述的检测防护方法的指令。
8.一种存储介质,其特征在于,所述存储介质存储有工业控制网络异常网络行为的检测防护程序,所述程序被一个或多个处理器执行时实现权利要求1-6任一一项所述的检测防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010613433.XA CN111935085A (zh) | 2020-06-30 | 2020-06-30 | 工业控制网络异常网络行为的检测防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010613433.XA CN111935085A (zh) | 2020-06-30 | 2020-06-30 | 工业控制网络异常网络行为的检测防护方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111935085A true CN111935085A (zh) | 2020-11-13 |
Family
ID=73317343
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010613433.XA Pending CN111935085A (zh) | 2020-06-30 | 2020-06-30 | 工业控制网络异常网络行为的检测防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111935085A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098837A (zh) * | 2021-02-19 | 2021-07-09 | 中国科学院信息工程研究所 | 工业防火墙状态检测方法、装置、电子设备及存储介质 |
| CN113259160A (zh) * | 2021-05-11 | 2021-08-13 | 杭州安恒信息安全技术有限公司 | 工控网络的点位信息预警方法、装置和电子装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230772A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 工业互联网异常行为挖掘方案 |
| US20170264629A1 (en) * | 2016-03-10 | 2017-09-14 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
| CN107438052A (zh) * | 2016-05-26 | 2017-12-05 | 中国科学院沈阳自动化研究所 | 一种面向未知工业通信协议规约的异常行为检测方法 |
-
2020
- 2020-06-30 CN CN202010613433.XA patent/CN111935085A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170264629A1 (en) * | 2016-03-10 | 2017-09-14 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
| CN107438052A (zh) * | 2016-05-26 | 2017-12-05 | 中国科学院沈阳自动化研究所 | 一种面向未知工业通信协议规约的异常行为检测方法 |
| CN106230772A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 工业互联网异常行为挖掘方案 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098837A (zh) * | 2021-02-19 | 2021-07-09 | 中国科学院信息工程研究所 | 工业防火墙状态检测方法、装置、电子设备及存储介质 |
| CN113259160A (zh) * | 2021-05-11 | 2021-08-13 | 杭州安恒信息安全技术有限公司 | 工控网络的点位信息预警方法、装置和电子装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
| Touqeer et al. | Smart home security: challenges, issues and solutions at different IoT layers | |
| Mirian et al. | An internet-wide view of ics devices | |
| KR101436874B1 (ko) | 침입 탐지 시스템의 탐지 성능 향상 장치 및 방법 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| Parthasarathy et al. | Bloom filter based intrusion detection for smart grid SCADA | |
| CN102257787B (zh) | 网络分析 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| Iturbe et al. | Towards large-scale, heterogeneous anomaly detection systems in industrial networks: A survey of current trends | |
| CN106789982B (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
| CN111935085A (zh) | 工业控制网络异常网络行为的检测防护方法和系统 | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| US11405411B2 (en) | Extraction apparatus, extraction method, computer readable medium | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| KR20150110065A (ko) | 실행파일 모니터링 기반 악성코드 탐지 방법 및 시스템 | |
| TW202335468A (zh) | 用於檢測網路中基礎設施的異常的方法及設備 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| KR102295348B1 (ko) | 운영 기술 데이터의 보안 위협 분석 및 탐지 방법 | |
| Hayden et al. | Providing cyber situational awareness on defense platform networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201113 |