CN112242990A - 检测技术系统中的异常的系统和方法 - Google Patents
检测技术系统中的异常的系统和方法 Download PDFInfo
- Publication number
- CN112242990A CN112242990A CN202010560769.4A CN202010560769A CN112242990A CN 112242990 A CN112242990 A CN 112242990A CN 202010560769 A CN202010560769 A CN 202010560769A CN 112242990 A CN112242990 A CN 112242990A
- Authority
- CN
- China
- Prior art keywords
- monitor
- replicator
- data packet
- intercepted
- technical system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及检测技术系统中的异常的系统和方法。在一个方面中,示例性方法包括:通过在所述技术系统的上级单元上运行的复制器拦截发往所述技术系统的中级单元的至少一个传出数据包;通过所述复制器,使用安全连接将关于被拦截的所述至少一个传出数据包的信息发送到监控器,所述监控器在所述中级单元上运行;通过所述监控器拦截至少一个传入数据包;通过所述监控器将从所述复制器接收到的信息与被拦截的所述至少一个传入数据包进行比较;以及当被拦截的所述至少一个传入数据包与从所述复制器接收到的信息不符时,通过所述监控器检测到所述技术系统中的异常。
Description
技术领域
本发明涉及信息保护领域,更具体地,涉及提高技术系统的信息技术(Information Technology,IT)安全性的系统和方法。例如,所述系统和方法旨在检测技术系统中的异常。
背景技术
工业安全的当前问题之一是技术过程(Technological Process,TP)的安全运行问题。TP运行的主要威胁包括操作控制中的意外动作或恶意动作、设备及子单元的磨损和故障、对控制系统和信息技术系统(IT)的计算机攻击等。
企业中的自动控制系统(Automated Control System,ACS)控制着技术系统。因此,ACS必须被给予足够的安全级别。技术系统的单元以及控制这些单元的操作系统和固件经常会变得过时。频繁地更新操作系统和固件是不可行的,因为更新会导致技术过程的频繁中断。此外,正在更新的较新版本的程序可能也会包含缺陷,这些缺陷会对技术系统的各个单元的运行稳定性产生负面影响。另外,现有的过时ACS(通常被设计为独立存在的)经常连接到计算机网络。然而,这些过时的ACS通常没有用于在来自外部的恶意动作发生的情况下确保IT安全性的手段。
技术系统中普遍存在的问题是需要使用过时的设备,而该过时的设备又使用不受保护或易受攻击的信息传输协议。这是由于这样的事实:这类系统中的设备的使用寿命长达数年甚至数十年,并且在此期间,信息传输协议会变得过时,从而使得随着设备的老化而出现漏洞。另外,更换已经在操作的设备是一个复杂且昂贵的过程(并且有时是不可行的)。因此,安全性问题经常无法解决,并且在技术过程的控制系统中会出现漏洞。技术系统的典型控制网络包括各种类型的单元。重要单元包括控制计算机(用于监视控制和数据采集(Supervisory Control and Data Acquisition,SCADA)的服务器和客户端站点)和直接控制设备(例如,致动器)的可编程逻辑控制器(Programmable Logic Controller,PLC)。SCADA软件相当容易更新,而PLC固件的更新则需要设备制造商的参与,并且经常是极难解决的问题。在这种情况下,黑客就有机会影响PLC的工作,这可能导致严重的后果。例如,正在被监控的设备可能发生故障,从而对技术系统的技术过程整体造成破坏。在一些情况下,后果甚至可能是灾难性的。
用于解决上述问题的一种方法是通过对技术系统的数据传输网络内的流量执行分析来检测异常。例如,卡巴斯基实验室股份制公司的用于网络的软件KICS描述了利用这种分析来进行异常检测。然而,这种方法需要大量关于PLC的先验信息(例如,可能需要关于PLC所使用的协议和参数值的知识)。此外,复杂系统的流量中的异常的检测可能包含错误,例如I型错误和II型错误(假阳性和假阴性)。
因此,需要一种更优化的方法来检测技术系统中的异常。
发明内容
本发明的各个方面涉及信息安全领域,更具体地,涉及用于检测技术系统中的异常的系统和方法。
在一个示例性方面中,一种用于检测技术系统中的异常的方法在包括硬件处理器的计算机中实施,所述方法包括:通过在所述技术系统的上级单元上运行的复制器拦截发往所述技术系统的中级单元的至少一个传出数据包;通过所述复制器,使用安全连接将关于被拦截的所述至少一个传出数据包的信息发送到监控器,所述监控器在所述中级单元上运行;通过所述监控器拦截至少一个传入数据包;通过所述监控器将从所述复制器接收到的信息与被拦截的所述至少一个传入数据包进行比较;以及当被拦截的所述至少一个传入数据包与从所述复制器接收到的信息不符时,通过所述监控器检测到所述技术系统中的异常。
根据本发明的一个方面,提供了一种用于检测技术系统中的异常的系统,所述系统包括硬件处理器,所述硬件处理器被配置为:通过在所述技术系统的上级单元上运行的复制器拦截发往所述技术系统的中级单元的至少一个传出数据包;通过所述复制器,使用安全连接将关于被拦截的所述至少一个传出数据包的信息发送到监控器,所述监控器在所述中级单元上运行;通过所述监控器拦截至少一个传入数据包;通过所述监控器将从所述复制器接收到的信息与被拦截的所述至少一个传入数据包进行比较;以及当被拦截的所述至少一个传入数据包与从所述复制器接收到的信息不符时,通过所述监控器检测到所述技术系统中的异常。
在一个示例性方面中,提供了一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于检测技术系统中的异常的一组指令,其中,所述一组指令包括用于以下操作的指令:通过在所述技术系统的上级单元上运行的复制器拦截发往所述技术系统的中级单元的至少一个传出数据包;通过所述复制器,使用安全连接将关于被拦截的所述至少一个传出数据包的信息发送到监控器,所述监控器在所述中级单元上运行;通过所述监控器拦截至少一个传入数据包;通过所述监控器将从所述复制器接收到的信息与被拦截的所述至少一个传入数据包进行比较;以及当被拦截的所述至少一个传入数据包与从所述复制器接收到的信息不符时,通过所述监控器检测到所述技术系统中的异常。
在一个方面中,所述方法还包括通过所述监控器将与关于检测到的所述异常的信息发送到所述技术系统的所有上级单元。
在一个方面中,所述上级单元正在受保护的环境中运行,并且所述中级单元正在使用不受保护的数据传输协议。
在一个方面中,所述方法还包括通过所述复制器建立与位于数据传输网络中的每个监控器的至少一个安全连接,并将关于每个被拦截的传出数据包的信息发送到所述复制器已与其建立至少一个安全连接的所述监控器。
在一个方面中,所述监控器为受保护的操作系统。
在一个方面中,所述监控器位于与被拦截的所述至少一个传出数据包所发往的中级单元所位于的数据传输网络相同的数据传输网络中。
在一个方面中,在受保护的环境中操作的所述技术系统的所述上级单元包括以下中的一者或多者:监视控制和数据采集(SCADA)设备和可编程逻辑控制器(PLC)设备。
在一个方面中,本发明的所述方法检测技术系统中的异常。所述方法被设计为用于提高计算机安全性。因此,本发明的方法有利地实现了数据的信息安全。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例方面,以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
图1a示出了根据本发明的一方面的技术系统的示例性示图。
图1b示出了根据本发明的一方面的技术系统的特定示例性实现方式。
图2示出了根据本发明的一方面的用于检测技术系统中的异常的系统的示例性实现。
图3示出了根据本发明的各方面的用于检测技术系统中的异常的示例性方法。
图4示出了可以在其上实现本发明的各方面的通用计算机系统的示例。
具体实施方式
本文中在用于检测技术系统中的异常的系统、方法和计算机程序的上下文中描述示例性各方面。本领域普通技术人员将意识到,以下的描述仅仅是示例性的,而不旨在以任何方式进行限制。其它方面将很容易将其自身暗示给了解本发明的优点的本领域技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或相似的项目。
为了清楚地呈现本发明的教导,在本文中定义了如在描述本发明的各个方面时所使用的一些术语和概念。
控制对象是经受外部动作(控制和/或扰乱)以改变其状态的技术对象;在特定情况下,此类对象是设备(例如电动机)或技术过程。
技术过程(TP)是材料生产的过程,其包括材料实体(工作对象)的状态的连续改变。
技术过程的控制(过程控制)是用于在最终产品的生产过程中控制技术参数的一组方法。
技术参数(过程变量,PV)是正在被观察或监控的TP的特定部分的当前计量值。例如,过程变量可以是来自检测器的测量值。
外部动作是在特定方向上改变要经受该动作的单元(例如技术系统的单元)的状态的方法,该动作以信号的形式从技术系统的一个单元传输至技术系统的另一单元。
控制对象的状态是如由状态的参数表达的所述控制对象的基本属性的总和,所述状态的参数在外部动作的影响下变化或维持,该外部动作包括来自控制子系统的控制动作。
状态的参数是表征对象的基本属性的一个或多个数值;在一个特定实例中,状态的参数为物理量的数值。
控制对象的规范状态是对应于流程图和其它技术文件(在TP的情况下)或者对应于时间表(在设备的情况下)的控制对象的状态。
控制动作是对控制对象的控制子系统的控制主体的部分而言的故意的(该动作的目标是作用在对象的状态上)、合理的(由TP提供)外部动作,从而导致控制对象的状态的改变或控制对象的状态的维持。
扰乱动作是对于控制对象的状态的故意或无意的(即,不由TP提供)不合理的外部动作,包括对控制主体部分的动作。
异常是在技术系统中发生了扰乱动作。
控制主体是对控制对象施加控制动作或者在直接施加到对象之前将控制动作传输到另一控制主体以进行转换的设备。
多级控制子系统是一组涉及多个级的控制主体。
信息物理系统(cyber-physical system)是IT概念,意味着将计算资源整合到物理过程中。在这种系统中,检测器、设备和IT系统沿超出了单个企业或商业的范围的整个价值创造链连接。这些系统通过标准协议彼此交互,以进行预测、反馈和适应变化。信息物理系统的示例是技术系统和工业物联网。
物联网(Internet of Things,IoT)是物理对象(“事物”)的计算机网络,所述物联网配备有用于彼此交互或与外部世界进行交互的内置技术。物联网包括诸如便携式设备、交通工具的电子系统、智能汽车、智能城市、工业系统等技术。
工业物联网(Industrial Internet of Things,IIoT)是物联网的子类别,工业物联网也包括面向消费者的应用,例如便携式设备、“智能家居”技术和具有自动控制的汽车。这两个概念的显著特征是具有内置检测器的设备、机床和基础设施通过因特网发送数据并借助于软件被控制。
技术系统(Technological System,TS)是多级控制子系统的一组功能上相关联的控制主体、以及控制对象(TP或设备),通过改变控制主体的状态实现了改变控制对象的状态。技术系统的结构由技术系统的基本单元(多级控制子系统的彼此关联的控制主体、以及控制对象)以及这些单元之间的链接而形成。
在技术系统中的控制对象为技术过程的情况下,控制的最终目标是:通过改变控制对象的状态来改变工作对象(原材料、坯料等)的状态。
在技术系统中的控制对象为设备的情况下,控制的最终目标是改变设备(交通工具、航天器)的状态。
TS的单元的功能关系是指这些单元的状态的关系。需要注意的是,单元之间可以存在或者可以不存在直接的物理链接,例如在致动器和技术操作之间不存在物理链接,但是切削速度例如与主轴的旋转速度在功能上相关,即使这些状态参数不是物理连接的。
控制主体的状态是由状态的参数表达的所述控制主体的基本属性的总和,所述状态的参数在外部动作的影响下变化或维持。
控制主体的基本属性(以及相应地状态的基本参数)是对控制对象的状态的基本属性具有直接影响的属性。
控制对象的基本属性是对正在针对TS进行控制的操作因素(精度、安全性、效力)有直接影响的属性。例如,对应于规范指定条件的切削条件、对应于时间表的火车的移动、将反应器温度维持在可容许的范围内。根据正在被控制的因素,将选择控制对象的状态的参数,并因此选择与其相关的对该控制对象施加控制动作的控制主体的状态的参数。
管理程序(虚拟机监控器)是通过模拟计算机硬件并控制该硬件和在该环境中运行的客操作系统来为其它程序(包括其它管理程序)创建操作环境的程序。
在一个方面中,本发明描述了在包括真实的设备、系统、组件、和组件组的计算机系统(例如,服务器、计算机等)上实现的用于检测技术系统中的异常的系统,其中,这些真实的设备、系统、组件、和组件组利用硬件(诸如集成微电路(专用集成电路,ASIC)或现场可编程门阵列(FPGA))或例如以软件和硬件的组合(诸如微处理器系统和程序指令集)的形式、以及还在神经突触芯片上实现。这类系统模块的功能可以仅通过硬件来实现,也可以以组合形式来实现,其中,系统模块的一些功能通过软件来实现,一些功能通过硬件来实现。在特定方面中,可以在通用计算机(诸如在图4中所示的通用计算机)的处理器上运行一些组件或全部的组件、系统等。此外,系统组件可以在单一计算设备内实现或散布在多个互连的计算设备上。
在一个方面中,本发明描述了一种用于检测异常的方法,该方法需要最少的关于PLC的先验知识。本方法通过确保对系统中未经授权的干预进行检测来提高技术系统的保护级别。在一个方面中,SCADA组件与PLC使用安全连接(例如,使用密码保护方案)受保护地交互。因此,确保了数据传输网络中的异常的检测。执行检测而无需进行统计数据的汇集和/或对网络数据包的内容的检查和过滤(例如,使用深度数据包检查(Deep PacketInspection,DPI))。此外,即使在技术系统的某些单元在数据传输网络中正在使用不受保护的数据传输协议的情况下,也执行异常检测。另外,本发明的方法还可以用于检测如下恶意动作,该恶意动作可能不是TP的一部分并且经常旨在破坏TP流。在该方面中,本发明的方法使得可以提供SCADA组件与PLC的受保护的交互,甚至不需要修改SCADA的软件(例如,通过使用虚拟化技术)。
图1a示出了根据本发明的一方面的技术系统100的示例性示图。技术系统100包括控制对象105和多级控制子系统120。多级控制子系统120包括多个级140,例如级1、级2、…、级N,其中每个级均包括任意数量的控制主体110。水平链接130a使一个级内的主体互连,并且竖直链接130b使各个级(例如级1和级2、级2和级3等)互连。控制主体按照级140进行分组。
图1b示出了根据本发明的一方面的技术系统100的特定示例性实现方式。控制对象105为TP或设备;控制动作被分派给控制对象105,该控制动作由自动控制系统(ACS)120详细制定和实现;在ACS中,示出了了三个级140(上级、中级和下级)。在下面描述了各个级的功能。上级、中级和下级中的每一者都包括控制主体110,各个控制主体110通过水平链接(级内的链接,图中未示出)和竖直链接130b(级之间的链接)彼此互连。为了清楚起见,上级的控制主体被示出为110上,中级的控制主体被示出为110中,以及下级的控制主体被示出为110下。该关系是功能上的,即,在通常情况下,在一个级上的一控制主体110的状态的改变会引起在同一级上的和在其它级上的与该控制主体连接的其它控制主体110的状态的改变。关于控制主体的状态的改变的信息以信号的形式沿着在控制主体之间建立的水平链接和竖直链接传输,即关于特定控制主体的状态的变化的信息是相对于其它控制主体110的外部动作。根据控制主体110的目的来识别ACS 120中的级140。级的数量可以变化。为了将TS的单元(即105和110)与TS 100的子系统进行物理链接而使用有线网络、无线网络或集成微电路;为了将TS的单元(105、110)与TS 100的子系统之间进行逻辑链接而使用以太网、工业以太网或工业网络。在这些方面中,可以使用以下各种类型和标准的工业网络和协议:现场总线(Profibus)、文件传输协议(FIP)、控制网(ControlNet)、Interbus-S、设备网(DeviceNet)、P-NET、WorldFIP、LongWork、Modbus及其它。
上级(监视控制和数据采集(SCADA)级)是分派者/操作者控制的级,并且至少包括以下控制主体110上:控制计算机以及人机界面(Human-Machine Interface,HMI)的控制器(1b示出了在单个控制主体内的SCADA)。该级被设计成跟踪TS的单元(105、110上)的状态,以获得并汇集关于TS的单元(105、110上)的状态的信息,以及在必要时对这些信息进行更正。
中级(控制级(CONTROL level))是控制器级,并且至少包括以下控制主体:可编程逻辑控制器(PLC)、计数器、继电器、调节器。PLC类型的控制主体110中从“测量和控制设备”类型的控制主体以及从“检测器”类型的控制主体110下接收关于控制对象105的状态的信息。PLC类型的控制主体根据用于“致动器”类型的编程控制算法来详细制定(创建)控制动作。致动器直接在下级实现动作(将动作应用于控制对象)。致动器是致动设备(装置)的一部分。
下级(输入/输出级)是诸如如下的控制主体的级:检测器和传感器、监控控制对象105的状态的测量和控制仪器(MCI)、以及致动器。致动器直接作用于控制对象105的状态,以使该状态符合规范状态,所述规范状态即符合技术任务、技术图表或一些其它技术文件(在TP的情况下)或时间表(在设备的情况下)的状态。在该下级上,来自“检测器”类型的控制主体110下的信号与中级的控制主体的输入相协调,并且由“PLC”类型的控制主体110中所详细制定的控制动作与“致动器”类型的控制主体110下相协调,“致动器”类型的控制主体110下实现该控制动作。致动器是致动设备的一部分。致动设备根据来自调节器或控制设备的信号来移动调节元件。致动设备是自动控制链中的最后一链,并且在通常情况下包括以下单元:
·放大设备(接触器、变频器、放大器等);
·具有反馈单元(输出轴的位置的检测器、末端位置的信令、手动驱动器等)的致动器(电动驱动器、气动驱动器或液压驱动器);
·调节元件(闸门、阀门、遮板、滑阀等)。
根据应用条件,致动设备的设计可以不同。致动器和调节元件通常是致动设备的基本单元。
在特定示例中,致动设备作为整体被称为致动器。
所列举的不同级的控制主体(110上、110中、110下)是技术系统(以下称为TS)的单元。
图2示出了根据本发明的一方面的用于检测技术系统中的异常的系统200的示例性实现。
在通常情况下,上级TS单元110上(其上安装了SCADA组件的计算机、或工程终端)通过网络系统领域中通常已知的系统和方法组合成单独的受保护的数据传输网络。此外,上级TS单元110上将数据包(诸如包含技术过程的命令和该命令的参数的数据包)发送到中级TS单元110中(在通常情况下,为可编程逻辑控制器)。因为技术过程被设计为持续数十年,所以在通常情况下中级TS元件110中受保护程度较低,并且经常变得过时。也就是说,中级TS单元通常使用过时的未受保护的数据传输协议来操作。这些中级TS单元通常还具有已知的漏洞。假定中级TS单元110中(诸如PLC)的IP地址是已知的。为了干扰PLC的操作,黑客必须将信息数据包发送到PLC的IP地址。
因此,本发明的方法通过至少确定哪些数据包是“可信的(trusted)”以及哪些是“不可信的(untrusted)”来解决上述问题。通常,可信数据包是由一个TS单元(诸如上级TS单元110上)分派到另一TS单元(诸如中级TS单元110中)的数据包。在本发明的上下文中,可以允许考虑从受保护的数据传输网络传出的数据包是可信的。可信数据包应当被传送到中级TS单元110中。
在一个方面中,系统200包含至少一个复制器210和至少一个监控器220。
复制器210包括具有管理程序功能支持的受保护的操作系统,并且被设计为用于安装在TS单元上(在特定实例中,安装在上级TS单元110上上)。具有管理程序功能支持的受保护的操作系统用于在虚拟环境中运行现有的操作系统和上级TS单元110上的应用程序。使用虚拟化技术使得能够对在上级TS单元上操作的SCADA系统的组件进行修改,而无需修改SCADA应用程序的软件。例如,可以将新属性添加至在上级TS单元110上上操作的SCADA系统的组件,而无需修改SCADA应用程序的软件。
在一个方面中,安装在上级TS单元110上上的复制器210拦截发往其它单元(诸如中级单元110中)的传出数据包。由在虚拟环境中运行的客操作系统中正在执行的应用程序、由客操作系统自身接收所述传出数据包。在一个方面中,使用虚拟化方法执行数据包的拦截。
在一个方面中,复制器还确定传出数据包所发往的中级TS单元110中的IP地址。
在一个方面中,每个复制器210建立与位于数据传输网络中的所有监控器220的安全连接(针对图2中的一个复制器210所指示的安全连接),并向监控器220发送关于已经被拦截的每个传出数据包的信息。在一个方面中,发送到监控器220的信息包括被拦截的以其初始形式或变换形式(例如,在加密或封装之后)的传出数据包本身或传出数据包的校验和(诸如MD5或CRC)。在一个方面中,发送到监控器220的信息还包括:复制器210由于拦截传出数据包而获得的补充信息。在一个方面中,当将数据发送到监控器220时,复制器210使用已知的加密保护方法。在另一方面中,由管理程序级提供由复制器210拦截的传出数据包的附加变换或加密。
在一个方面中,如果已经确定了传出数据包所发往的中级TS单元110中的IP地址,则复制器210使用安全连接将信息发送到中级TS单元110中的IP地址。在一个方面中,还使用安全连接将关于被拦截的传出数据包的信息发送到位于与传出数据包所发往的中级TS单元110中的数据传输网络相同的数据传输网络(或子网络)中的监控器220。
在一个方面中,由复制器210拦截的传出数据包不被继续发送到数据传输网络,而是被保留在管理程序的存储器中。在从监控器220获得关于接收到有关被拦截的数据包的信息的确认之后,复制器210将保存在管理程序的存储器中的被拦截的传出数据包以其原始未改变的形式发送到数据传输网络。
在另一方面中,例如,当在发送数据包时(即,TS实时工作)不允许任何延迟时,由复制器210立即将拦截的传出数据包发送到数据传输网络,即,在通过安全连接将信息发送到监控器220的同时将被拦截的传出数据包发送到数据传输网络。
返回到图2,现代ACS可以具有在位于不同数据传输网络中的上级TS单元110上上操作的SCADA系统的多个组件。在这种情况下,每个这类网络都可以包含执行上述拦截传出数据包的动作并将关于被拦截数据包的信息发送到监控器220的复制器210。
在一个方面中,监控器220在TS单元110上实施。在另一方面中,监控器220在上级TS单元110上上实施。在又一方面中,监控器220在中级TS单元110中上实施。
在一个方面中,监控器220拓扑地位于数据传输网络中,以便拦截发往TS单元110的所有数据包。在一个方面中,监控器220在现有的TS单元110上操作(被实施),所述现有的TS单元110例如中级TS单元110中或上级TS单元110上,监控器220为可执行应用程序或服务。在又一方面中,监控器220是具有管理程序功能支持的受保护的操作系统,且被设计为用于安装在中级TS单元110中上。在另一方面中,监控器220安装在被设计为仅用于监控器220的操作的附加中级TS单元110中上。
如前所述,监控器220经由安全连接从复制器220接收关于被拦截的传出数据包的信息。在接收到关于被拦截的传出数据包的信息之后,监控器220向复制器210发送关于接收到该信息的确认。此外,监控器220拦截通过数据传输网络发往中级TS单元110中的传入数据包。在一个方面中,使用本领域中已知的虚拟化方法来执行传入数据包的拦截。在又一方面中,执行该拦截而不使用虚拟化方法。例如,可以使用以数据未处理(或最少处理)的模式(即原始(RAW)模式)中打开的套接字来执行该拦截。
在一个方面中,监控器220将在安全连接上从复制器210接收到的关于被拦截的传出数据包的信息与在数据传输网络中发往中级TS单元110中的被拦截的传入数据包进行比较。
在另一方面中,当通过复制器210使用安全连接将被拦截的传出数据包与关于被拦截的传出数据包的信息同时发送到数据传输网络时,监控器220将接收到的关于被拦截的传出数据包的信息与在预定的时间间隔(例如1秒)内拦截的传入数据包进行比较。如果传入数据包已经被拦截且在所述预定的时间间隔内没有从复制器210接收到关于被拦截的传入数据包的信息,则监控器220检测到技术系统中的异常。
在另一方面中,当在从监控器220接收到使用安全连接收到关于被拦截的传出数据包的信息的确认之后,通过复制器210将被拦截的传出数据包发送到数据传输网络时,监控器220将被拦截的传入数据包与接收到的信息进行比较。如果传入数据包已经被拦截但没有从复制器210接收到任何信息,则监控器220检测到技术系统中的异常。
当针对技术系统检测到异常时,可以通过监控器220将关于检测到的异常的信息发送到在上级TS单元110上上操作的SCADA系统的组件。将关于检测到的异常的信息提供给SCADA系统的组件,这既是为了通知的目的,也是为了使得SCADA系统能够采取进一步的动作来处理检测到的异常。例如,可以采取缓解措施来降低对组件损坏的风险并降低数据丢失的可能性。
在一个方面中,如果监控器220在数据传输网络中拓扑地位于第一中级TS单元110中之后且位于第二中级TS单元110中之前,并且针对技术系统检测到异常,则监控器220不将被拦截的传入数据包继续发送到数据传输网络—从而抵消了由技术系统中的异常所导致的可能后果。在该示例性方面中,中级TS单元110中不接收被拦截的传入数据包,这防止了在中级TS单元110中上的扰乱动作。
在又一方面中,监控器220可以在数据传输网络中位于被拦截的传入数据包所发往的那个中级TS单元110中上。在这种情况下,如上所述,监控器220抵消了由技术系统中的异常所导致的可能后果。
下面示出了本发明的方法的示例性应用。假设有一建筑物,该建筑物配备有对其的自动访问系统、体育馆、游泳池,并且该建筑物至少具有通风系统和灭火系统。还假设ACS和SCADA组件位于建筑物的受保护环境中的数据传输网络中(或受保护的子网中),但还使用数据传输网络与控制前述系统的可编程控制器相互通信。此外,该建筑物的工作人员和来访者可以访问该同一数据传输网络。实际上,这种数据传输网络经常存在。该建筑物被建造,但在其设计时或者在初始建造时考虑节省材料费用而没有适当注意IT安全性。
显然,第三方可以向所述网络发送并非来自SCADA组件且可以被可编程逻辑控制器接收的数据包,这在本发明的方法的上下文中属于异常。因此,如本发明中所描述的,当前的系统可以关于这种异常而警告系统的其它组件。因此,安装在SCADA组件上的复制器210拦截传出数据包并将被拦截的传出数据包发送到监控器220。因此,监控器220接收并比较被发往可编程逻辑控制器的所有的传入数据包,从而使得异常检测成为可能。例如,如果数据包已经被发送(不是从SCADA组件)到数据传输网络,则可以检测到异常,并可以采取措施抵消这种影响。例如,可以阻断传入数据包。
图3示出了根据本发明的各方面的用于检测技术系统中的异常的示例性方法300。方法300可以在包括任何数量的设备的计算系统(例如上述系统200)上实施。
在步骤310中,在技术系统的上级单元(例如,110上)上运行的复制器210拦截被发往技术系统的中级单元(例如,110中)的至少一个传出数据包。上级单元在受保护的环境中运行,而中级单元不受保护,例如,中级单元运行不受保护的数据传输协议。
在一个方面中,复制器210包括具有管理程序功能支持的受保护的操作系统。
在又一方面中,技术系统的上级单元包括SCADA组件。在一个方面中,使用虚拟化技术(例如,本领域中已知的虚拟化技术)执行数据包的拦截。
在步骤320中,复制器210使用安全连接将关于被拦截的至少一个数据包的信息发送到监控器220,其中,监控器220在技术系统的中级单元110中上运行。在一个方面中,复制器210建立与位于数据传输网络中的每个监控器220的至少一个安全连接,并将关于每个被拦截的传出数据包的信息发送到复制器210已与其建立至少一个安全连接的监控器220。
在一个方面中,监控器220为受保护的操作系统。
在另一方面中,监控器220位于与被拦截的至少一个数据包所发往的技术系统的中级单元110中所位于的数据传输网络相同的数据传输网络中。在一个方面中,监控器220是被设计为用于安装在技术系统的中级单元110中上的具有管理程序功能支持的受保护的操作系统。
在步骤330中,监控器220拦截至少一个传入数据包。在一个方面中,使用本领域已知的虚拟化技术来执行对至少一个传入数据包的拦截。
在步骤340中,当被拦截的至少一个传入数据包与关于从复制器210接收到的被拦截的至少一个数据包的信息不符时,监控器220检测到技术系统中的异常。为了检测异常,监控器220将在安全连接上从复制器210接收到的关于被拦截的传出数据包的信息与在数据传输网络中发往技术系统的中级单元110中的被拦截的传入数据包进行比较。如果未发现异常,则所述方法返回到步骤330。换言之,传入数据包被拦截,并且关于被拦截的数据包的信息被成功地从复制器210获得。因此,没有检测到异常。
在一个方面中,在步骤350中,监控器220将关于检测到的异常的信息发送到在技术系统的上级单元110上上操作的SCADA系统的组件。在一个方面中,发送关于检测到的异常的信息以用于通知目的和/或用于采取进一步措施来避免技术系统中检测到的异常的可能后果。
在一个方面中,如果检测到异常,则所述方法返回到步骤330。
图4是示出了根据各示例性方面的计算机系统20的框图,在计算机系统20上可以实施用于检测技术系统中的异常的系统和方法的各方面。计算机系统20可以是以多个计算设备的形式或者以单个计算设备的形式,例如:台式电脑、笔记本电脑、手提电脑、移动计算设备、智能手机、平板电脑、服务器、主机、嵌入式设备和其它形式的计算设备。
如图所示,计算机系统20包括中央处理单元(Central Processing Unit,CPU)21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其它的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI-Express)、超传输TM(HyperTransport TM)、无限带宽TM(InfiniBand TM)、串行ATA、I2C、和其它合适的互连。中央处理单元21(也称为处理器)可以包括单组或多组具有单核或多核的处理器。处理器21可以执行实现本发明的技术的一种或多种计算机可执行代码。系统存储器22可以为用于存储本文中所使用的数据和/或由处理器21可执行的计算机程序的任何存储器。系统存储器22可以包括易失性存储器(诸如随机存取存储器(Random Access Memory,RAM)25)和非易失性存储器(诸如只读存储器(Read-Only Memory,ROM)24、闪存等)或其任意组合。基本输入/输出系统(Basic Input/Output System,BIOS)26可以存储用于在计算机系统20的元件之间传输信息的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20可以包括一个或多个存储设备,诸如一个或多个可移除存储设备27、一个或多个不可移除存储设备28、或其组合。所述一个或多个可移除存储设备27和一个或多个不可移除存储设备28借助存储器接口32连接到系统总线23。在一个方面中,存储设备和相应的计算机可读存储介质为用于存储计算机指令、数据结构、程序模块、和计算机系统20的其它数据的电源独立的模块。系统存储器22、可移除存储设备27和不可移除存储设备28可以使用各种各样的计算机可读存储介质。计算机可读存储介质的示例包括:机器存储器,诸如缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM;闪存或其它存储技术,诸如在固态驱动器(Solid State Drive,SSD)或闪存驱动器中;磁带盒、磁带、和磁盘存储器,诸如在硬盘驱动器或软盘驱动器中;光学存储器,诸如在光盘(CD-ROM)或数字通用光盘(Digital Versatile Disk,DVD)中;以及可用于存储期望数据且可被计算机系统20访问的任何其它介质。
计算机系统20的系统存储器22、可移除存储设备27和不可移除存储设备28可以用于存储操作系统35、附加应用程序37、其它程序模块38和程序数据39。计算机系统20可以包括用于传送来自输入设备40的数据的外围接口46,所述输入设备40诸如键盘、鼠标、光笔、游戏控制器、语音输入设备、触点输入设备、或其它外围设备,诸如借助一个或多个I/O端口的打印机或扫描仪,该一个或多个I/O端口诸如串行端口、并行端口、通用串行总线(Universal Serial Bus,USB)、或其它外围接口。显示设备47(诸如一个或多个监控器、投影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到系统总线23。除了显示设备47之外,计算机系统20还可以装配有其它外围输出设备(未示出),诸如扬声器和其它视听设备。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中工作。所述一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括前面在描述计算机系统20的性质时所述的元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中,诸如但不限于路由器、网站、对等设备或其它网络节点。计算机系统20可以包括用于借助一个或多个网络而与远程计算机49通信的一个或多个网络接口51或网络适配器,该一个或多个网络诸如局域计算机网络(Local-Area computer Network,LAN)50、广域计算机网络(Wide-Area computer Network,WAN)、内联网、和因特网。网络接口51的示例可以包括以太网接口、帧中继接口、SONET(同步光纤网)接口、和无线接口。
本发明的各个方面可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括一种或多种计算机可读存储介质,该计算机可读存储介质上具有用于使处理器执行本发明的各方面的计算机可读程序指令。
计算机可读存储介质可以为有形设备,该有形设备可以保持且存储指令或数据结构的形式的程序代码,该程序代码可以被计算设备(诸如计算系统20)的处理器访问。计算机可读存储介质可以为电子存储设备、磁性存储设备、光学存储设备、电磁存储设备、半导体存储设备、或其任何合适的组合。作为示例,这类计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、便携式光盘只读存储器(CD-ROM)、数字通用光盘(DVD)、闪存、硬盘、便携式电脑磁盘、记忆棒、软盘、或甚至机械编码设备,诸如在其上记录有指令的凹槽中的打孔卡或凸起结构。如在本文中所使用的,计算机可读存储介质不应被视为暂时性信号本身,暂时性信号诸如无线电波或其它自由传播的电磁波、通过波导或传输介质传播的电磁波、或通过电线传输的电信号。
可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算设备、或借助网络(例如,因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。在每个计算设备中的网络接口从网络接收计算机可读程序指令并转发该计算机可读程序指令,用以存储在相应的计算设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构(Instruction-Set-Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言和传统程序化编程语言)的任何组合编写的源代码或目标代码。计算机可读程序指令(作为独立的软件包)可以完全地在用户的计算机上、部分地在用户的计算机上、部分地在用户的计算机上且部分地在远程计算机上、或完全地在远程计算机或服务器上执行。在后一种情况中,远程计算机可以通过任何类型的网络(包括LAN或WAN)连接到用户的计算机,或可以进行与外部计算机的连接(例如通过因特网)。在一些方面中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)、或可编程逻辑阵列(Programmable Logic Array,PLA))可以通过利用计算机可读程序指令的状态信息而执行计算机可读程序指令,以使该电子电路个性化,从而执行本发明的各方面。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。如本文中所使用的术语“模块”指的是例如现实世界的设备、部件、或使用硬件(例如通过专用集成电路(ASIC)或FPGA)实现的部件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,并且通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分(以及在一些情况下,模块的全部)可以在计算机系统(诸如上文在图4中更详细描述的计算机系统)的处理器上运行。因此,每个模块可以以各种适合的配置来实现,而不应受限于本文中所例示的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合(一个或多个)相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将明显的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。
Claims (21)
1.一种用于检测技术系统中的异常的方法,所述方法包括:
通过在所述技术系统的上级单元上运行的复制器拦截发往所述技术系统的中级单元的至少一个传出数据包;
通过所述复制器,使用安全连接将关于被拦截的所述至少一个传出数据包的信息发送到监控器,所述监控器在所述中级单元上运行;
通过所述监控器拦截至少一个传入数据包;
通过所述监控器将从所述复制器接收到的信息与被拦截的所述至少一个传入数据包进行比较;以及
当被拦截的所述至少一个传入数据包与从所述复制器接收到的信息不符时,通过所述监控器检测到所述技术系统中的异常。
2.根据权利要求1所述的方法,还包括:
通过所述监控器将关于检测到的所述异常的信息发送到所述技术系统的所有上级单元。
3.根据权利要求1所述的方法,其中,所述上级单元正在受保护的环境中运行,并且所述中级单元正在使用不受保护的数据传输协议。
4.根据权利要求1所述的方法,还包括:
通过所述复制器建立与位于数据传输网络中的每个监控器的至少一个安全连接;以及
通过所述复制器将关于每个被拦截的传出数据包的信息发送到所述复制器已与其建立至少一个安全连接的所述监控器。
5.根据权利要求1所述的方法,其中,所述监控器为受保护的操作系统。
6.根据权利要求1所述的方法,其中,所述监控器位于与被拦截的所述至少一个传出数据包所发往的所述中级单元所位于的数据传输网络相同的数据传输网络中。
7.根据权利要求1所述的方法,其中,在受保护的环境中操作的所述技术系统的所述上级单元包括以下中的一者或多者:监视控制和数据采集设备以及可编程逻辑控制器设备。
8.一种用于检测技术系统中的异常的系统,包括:
至少一个处理器,所述至少一个处理器被配置为:
通过在所述技术系统的上级单元上运行的复制器拦截发往所述技术系统的中级单元的至少一个传出数据包;
通过所述复制器,使用安全连接将关于被拦截的所述至少一个传出数据包的信息发送到监控器,所述监控器在所述中级单元上运行;
通过所述监控器拦截至少一个传入数据包;
通过所述监控器将从所述复制器接收到的信息与被拦截的所述至少一个传入数据包进行比较;以及
当被拦截的所述至少一个传入数据包与从所述复制器接收到的信息不符时,通过所述监控器检测到所述技术系统中的异常。
9.根据权利要求8所述的系统,其中,所述处理器还被配置为:
通过所述监控器将关于检测到的所述异常的信息发送到所述技术系统的所有上级单元。
10.根据权利要求8所述的系统,其中,所述上级单元正在受保护的环境中运行,并且所述中级单元正在使用不受保护的数据传输协议。
11.根据权利要求8所述的系统,其中,所述处理器还被配置为:
通过所述复制器建立与位于数据传输网络中的每个监控器的至少一个安全连接;以及
通过所述复制器将关于每个被拦截的传出数据包的信息发送到所述复制器已与其建立至少一个安全连接的所述监控器。
12.根据权利要求8所述的系统,其中,所述监控器为受保护的操作系统。
13.根据权利要求8所述的系统,其中,所述监控器位于与被拦截的所述至少一个传出数据包所发往的所述中级单元所位于的数据传输网络相同的数据传输网络中。
14.根据权利要求8所述的系统,其中,在受保护的环境中操作的所述技术系统的所述上级单元包括以下中的一者或多者:监视控制和数据采集设备以及可编程逻辑控制器设备。
15.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于检测技术系统中的异常的计算机可执行指令,所述计算机可执行指令包括用于以下操作的指令:
通过在所述技术系统的上级单元上运行的复制器拦截发往所述技术系统的中级单元的至少一个传出数据包;
通过所述复制器,使用安全连接将关于被拦截的所述至少一个传出数据包的信息发送到监控器,所述监控器在所述中级单元上运行;
通过所述监控器拦截至少一个传入数据包;
通过所述监控器将从所述复制器接收到的信息与被拦截的所述至少一个传入数据包进行比较;以及
当被拦截的所述至少一个传入数据包与从所述复制器接收到的信息不符时,通过所述监控器检测到所述技术系统中的异常。
16.根据权利要求15所述的非暂时性计算机可读介质,其中,所述计算机可执行指令还包括用于以下操作的指令:
通过所述监控器将关于检测到的所述异常的信息发送到所述技术系统的所有上级单元。
17.根据权利要求15所述的非暂时性计算机可读介质,其中,所述上级单元正在受保护的环境中运行,并且所述中级单元正在使用不受保护的数据传输协议。
18.根据权利要求15所述的非暂时性计算机可读介质,其中,所述计算机可执行指令还包括用于以下操作的指令:
通过所述复制器建立与位于数据传输网络中的每个监控器的至少一个安全连接;以及
通过所述复制器将关于每个被拦截的传出数据包的信息发送到所述复制器已与其建立至少一个安全连接的所述监控器。
19.根据权利要求15所述的非暂时性计算机可读介质,其中,所述监控器为受保护的操作系统。
20.根据权利要求15所述的非暂时性计算机可读介质,其中,所述监控器位于与被拦截的所述至少一个传出数据包所发往的所述中级单元所位于的数据传输网络相同的数据传输网络中。
21.根据权利要求15所述的非暂时性计算机可读介质,其中,在受保护的环境中操作的所述技术系统的所述上级单元包括以下中的一者或多者:监视控制和数据采集设备以及可编程逻辑控制器设备。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2019122436A RU2750629C2 (ru) | 2019-07-17 | 2019-07-17 | Система и способ выявления аномалий в технологической системе |
| RU2019122436 | 2019-07-17 | ||
| US16/682,027 | 2019-11-13 | ||
| US16/682,027 US11425154B2 (en) | 2019-07-17 | 2019-11-13 | System and method of detecting anomalies in a technological system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112242990A true CN112242990A (zh) | 2021-01-19 |
| CN112242990B CN112242990B (zh) | 2023-06-30 |
Family
ID=70977760
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010560769.4A Active CN112242990B (zh) | 2019-07-17 | 2020-06-18 | 检测技术系统中的异常的系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP3767914A1 (zh) |
| CN (1) | CN112242990B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110126195A1 (en) * | 2009-11-24 | 2011-05-26 | Tsirkin Michael S | Zero copy transmission in virtualization environment |
| CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
| CN104570822A (zh) * | 2013-10-27 | 2015-04-29 | 康斯坦丁·萨普雷金 | 自动化流程控制系统的保护系统、方法及安全复合装置 |
| CN105227559A (zh) * | 2015-10-13 | 2016-01-06 | 南京联成科技发展有限公司 | 一种积极的自动检测http攻击的信息安全管理框架 |
| US20160021253A1 (en) * | 2014-07-18 | 2016-01-21 | Jive Communications, Inc. | Managing data streams for a communication network |
| CN106936546A (zh) * | 2015-12-31 | 2017-07-07 | 上海贝尔股份有限公司 | Harq反馈信道和竞争上行传输的方法及装置 |
| CN107077570A (zh) * | 2014-09-10 | 2017-08-18 | 赛门铁克公司 | 用于检测通过数据分发通道发送敏感信息的尝试的系统和方法 |
| CN107276983A (zh) * | 2017-05-12 | 2017-10-20 | 西安电子科技大学 | 一种基于dpi和云同步的流量安全控制方法及系统 |
| CN107896212A (zh) * | 2017-11-16 | 2018-04-10 | 成都艾尔普科技有限责任公司 | 基于高速网络环数据采集的apt防御方法和系统 |
| US20180139104A1 (en) * | 2016-11-12 | 2018-05-17 | Solana Networks Inc. | Method and System for Discovery and Mapping of a Network Topology |
| CN108337232A (zh) * | 2017-12-26 | 2018-07-27 | 努比亚技术有限公司 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
| CN108769022A (zh) * | 2018-05-29 | 2018-11-06 | 浙江大学 | 一种用于渗透测试的工业控制系统安全实验平台 |
| WO2018208715A1 (en) * | 2017-05-08 | 2018-11-15 | Siemens Aktiengesellschaft | Multilevel intrusion detection in automation and control systems |
| CN109274669A (zh) * | 2018-09-18 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于在线流量镜像旁路waf反向代理方法 |
-
2020
- 2020-06-04 EP EP20178178.8A patent/EP3767914A1/en active Pending
- 2020-06-18 CN CN202010560769.4A patent/CN112242990B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110126195A1 (en) * | 2009-11-24 | 2011-05-26 | Tsirkin Michael S | Zero copy transmission in virtualization environment |
| CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
| CN104570822A (zh) * | 2013-10-27 | 2015-04-29 | 康斯坦丁·萨普雷金 | 自动化流程控制系统的保护系统、方法及安全复合装置 |
| US20160021253A1 (en) * | 2014-07-18 | 2016-01-21 | Jive Communications, Inc. | Managing data streams for a communication network |
| CN107077570A (zh) * | 2014-09-10 | 2017-08-18 | 赛门铁克公司 | 用于检测通过数据分发通道发送敏感信息的尝试的系统和方法 |
| CN105227559A (zh) * | 2015-10-13 | 2016-01-06 | 南京联成科技发展有限公司 | 一种积极的自动检测http攻击的信息安全管理框架 |
| CN106936546A (zh) * | 2015-12-31 | 2017-07-07 | 上海贝尔股份有限公司 | Harq反馈信道和竞争上行传输的方法及装置 |
| US20180139104A1 (en) * | 2016-11-12 | 2018-05-17 | Solana Networks Inc. | Method and System for Discovery and Mapping of a Network Topology |
| WO2018208715A1 (en) * | 2017-05-08 | 2018-11-15 | Siemens Aktiengesellschaft | Multilevel intrusion detection in automation and control systems |
| CN107276983A (zh) * | 2017-05-12 | 2017-10-20 | 西安电子科技大学 | 一种基于dpi和云同步的流量安全控制方法及系统 |
| CN107896212A (zh) * | 2017-11-16 | 2018-04-10 | 成都艾尔普科技有限责任公司 | 基于高速网络环数据采集的apt防御方法和系统 |
| CN108337232A (zh) * | 2017-12-26 | 2018-07-27 | 努比亚技术有限公司 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
| CN108769022A (zh) * | 2018-05-29 | 2018-11-06 | 浙江大学 | 一种用于渗透测试的工业控制系统安全实验平台 |
| CN109274669A (zh) * | 2018-09-18 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于在线流量镜像旁路waf反向代理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112242990B (zh) | 2023-06-30 |
| EP3767914A1 (en) | 2021-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2866407A1 (en) | Protection of automated control systems | |
| AU2016225920B2 (en) | Cloud computing as a security layer | |
| KR102251600B1 (ko) | 산업 제어 시스템을 보안화하기 위한 시스템 및 방법 | |
| US11971996B2 (en) | Increasing the cybersecurity of a control subject of a technological system by using a protected operating system | |
| CN109791514B (zh) | 抵抗网络攻击的控制系统设计 | |
| EP3099037A1 (en) | Providing a password for temporary access privilege escalation in a control program | |
| EP3618353B1 (en) | Dynamic, endpoint configuration-based deployment of network infrastructure | |
| US11683336B2 (en) | System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network | |
| US11356468B2 (en) | System and method for using inventory rules to identify devices of a computer network | |
| CN112242991B (zh) | 用于关联事件来检测信息安全事故的系统和方法 | |
| US11425154B2 (en) | System and method of detecting anomalies in a technological system | |
| US11399036B2 (en) | Systems and methods for correlating events to detect an information security incident | |
| US20160241583A1 (en) | Risk management in an air-gapped environment | |
| CN112242990B (zh) | 检测技术系统中的异常的系统和方法 | |
| EP3716109B1 (en) | System and method of stepwise increasing the it security of elements of a technological system | |
| RU2747461C2 (ru) | Система и способ противодействия аномалиям в технологической системе | |
| Conklin | State Based Network Isolation for Critical Infrastructure Systems Security | |
| Milinković et al. | Some facts about industrial software security | |
| JP2024515738A (ja) | プロセス自動化ノード間で帯域外通信チャネルを活用すること |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |