CN112468488B - 工业异常监测方法、装置、计算机设备及可读存储介质 - Google Patents
工业异常监测方法、装置、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN112468488B CN112468488B CN202011337921.9A CN202011337921A CN112468488B CN 112468488 B CN112468488 B CN 112468488B CN 202011337921 A CN202011337921 A CN 202011337921A CN 112468488 B CN112468488 B CN 112468488B
- Authority
- CN
- China
- Prior art keywords
- protocol
- cip
- white list
- message
- message data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明提供一种工业异常监测方法、装置、计算机设备及可读存储介质,方法包括以下步骤:采集Ethernet/IP‑CIP协议监测端口的报文数据;对报文数据进行解析获取Ethernet/IP报文头;根据报文头判断协议是否合规;若合规,则进行CIP协议的深度解析获取指令码和指令码下工艺参数;根据指令码和指令码下工艺参数并结合ip、端口、协议类型生成CIP协议白名单,并根据CIP协议白名单设置白名单规则;采集实时报文数据,并判断所述实时报文数据的ip、端口、应用层协议以及经解析后得到的指令码下工艺参数与白名单规则是否匹配。通过对Ethernet/IP‑CIP协议的深层次解析,结合CIP协议报文的具体内容和行为,以及现场关键工艺数据的智能匹配,来识别工业环境的异常操作攻击行为。
Description
技术领域
本发明涉及工业控制领域,特别是涉及一种工业异常监测方法、装置、计算机设备及可读存储介质。
背景技术
目前,随着互联网的发展,网络攻击难度和攻击成本的降低,工业控制系统已经成为当今网络部队、黑客、极端势力的打击目标,而这些对我们国家的安全也造成了巨大的威胁。因此,需要采取一些必要的工控防护措施来保证工控安全。
在工业网络中,常见的攻击方式是发送不合规的协议字段,导致PLC等工业控制设备处于异常工作状态,造成工厂的停机或对设备造成损坏来达到攻击的目的。然而,新工业时代,针对工业控制系统的攻击不再是发送不合规协议字段或指令,让设备处于异常处理的阶段,而是,发送正常协议字段或指令,使设备进入不符合当前工业系统的条件进行攻击。例如,调整设备的温度,忽高忽低,或加大传送带速度,使工业控制系统处于瘫痪工作状态。这种情况下,若采取常规的工控防护手段,则难以保障工业系统的安全。
现有的工控防护方法,主要存在以下问题:都是针对协议的合规性来进行检测,协议层(如Modbus协议),无法做到和实际环境相结合;且现有的工控入侵检测系统,主要针对ip、端口、应用层协议,对工业环境中的源ip、源端口、目的ip、目的端口、传输层协议进行监测,这种检测方式只是将工业环境中的ip资产,和通讯协议展示出来,并不会对传输的数据进行监测,一旦受到相同ip、端口、应用层协议报文的非法攻击(如参数设置超过负荷),则会对工业系统造成巨大破坏,工业系统停止运转等巨大损失。
发明内容
本发明的一个目的在于提出一种工业异常监测方法、装置、计算机设备及可读存储介质,以解决现有的工控防护方法无法做到和实际环境相结合,且针对协议的解析不深入,使得监测不全面,工业系统容易受到攻击的问题。
本发明提出一种工业异常监测方法,包括以下步骤:
采集Ethernet/IP-CIP协议监测端口的报文数据;
对报文数据进行解析获取Ethernet/IP报文头;
根据报文头判断协议是否合规;
若合规,则进行CIP协议的深度解析获取指令码和指令码下工艺参数;
根据指令码和指令码下工艺参数并结合ip、端口、协议类型生成CIP协议白名单,并根据CIP协议白名单设置白名单规则;
采集实时报文数据,并判断所述实时报文数据的ip、端口、应用层协议以及经解析后得到的指令码下工艺参数与白名单规则是否匹配;
若报文数据的ip、端口、应用层协议无法从白名单中找到或者报文经解析后得到的指令码下工艺参数超出白名单中指令码下工艺参数的预设范围值,则发出警告。
另外,根据本发明提供的工业异常监测方法,还可以具有如下附加的技术特征:
进一步地,所述Ethernet/IP-CIP协议监测端口的报文数据包括显式报文和隐式报文。
进一步地,所述对报文数据进行解析获取Ethernet/IP报文头的步骤之前,通过端口对所有报文数据进行过滤,筛选出CIP协议报文。
进一步地,所述进行CIP协议的深度解析获取指令码和指令码下工艺参数的具体步骤中,获取指令码包含Message Router、Connection Manager、PCCC Class、MotionDevice Axis Object、Modbus Object和Connection Configuration Object指令信息。
进一步地,所述对采集的报文数据进行解析的步骤前,对由网络原因或工厂设备开关机产生的无效报文数据,进行警告并过滤。
进一步地,所述白名单中指令码下工艺参数的预设范围值通过黑名单检测结合数据统计得出。
进一步地,采集Ethernet/IP-CIP协议监测端口的报文数据的步骤具体包括:
采用linux下的libpcap库,对Ethernet/IP-CIP协议监测端口的报文数据进行采集。
本发明提出一种工业异常监测装置,包括:
数据采集模块:用于采集Ethernet/IP-CIP协议监测端口的报文数据;
应用层解析模块:用于对报文数据进行解析获取Ethernet/IP报文头;
协议合规性判断模块:用于根据报文头判断协议是否合规;
应用层协议解析模块:用于若合规,则进行CIP协议的深度解析获取指令码和指令码下工艺参数;
白名单生成模块:用于根据指令码和指令码下工艺参数并结合ip、端口、协议类型生成CIP协议白名单,并根据CIP协议白名单设置白名单规则;
白名单规则匹配模块:用于采集实时报文数据,并判断所述实时报文数据的ip、端口、应用层协议以及经解析后得到的指令码下工艺参数与白名单规则是否匹配;
警告模块:用于若报文数据的ip、端口、应用层协议无法从白名单中找到或者报文经解析后得到的指令码下工艺参数超出白名单中指令码下工艺参数的预设范围值,则发出警告。
本申请提出了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述所述的工业异常监测方法。
本申请提出了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述所述的工业异常监测方法。
相比于相关技术,本申请提供的一种工业异常监测方法、装置及系统,通过对Ethernet/IP-CIP协议的深层次解析,结合CIP协议报文的具体内容和行为,以及现场关键工艺数据的智能匹配,来识别工业环境的异常操作攻击行为,实现对入侵报文的全面监控识别,进而采取相应措施避免受到入侵攻击。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明第一实施例工业异常监测方法的流程图;
图2为本发明第一实施例入侵监测平台部署结构;
图3为本发明第二实施例工业异常监测装置的系统框图;
图4为本发明第三实施例工业异常监测计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
实施例1
本实施例提供了一种工业异常监测方法。图1是根据本申请实施例的一种工业异常监测方法的流程图,如图1所示,该流程包括如下步骤S101~S107:
步骤S101,采集Ethernet/IP-CIP协议监测端口的报文数据。
其中,所述Ethernet/IP-CIP协议监测端口的报文数据包括显式报文和隐式报文。
步骤S102,对报文数据进行解析获取Ethernet/IP报文头。
其中,所述对报文数据进行解析获取Ethernet/IP报文头的步骤之前,通过端口对所有报文数据进行过滤,筛选出CIP协议报文。
步骤S103,根据报文头判断协议是否合规;
步骤S104,若合规,则进行CIP协议的深度解析获取指令码和指令码下工艺参数;
步骤S105,根据指令码和指令码下工艺参数并结合ip、端口、协议类型生成CIP协议白名单,并根据CIP协议白名单设置白名单规则;
步骤S106,采集实时报文数据,并判断所述实时报文数据的ip、端口、应用层协议以及经解析后得到的指令码下工艺参数与白名单规则是否匹配;
步骤S107,若报文数据的ip、端口、应用层协议无法从白名单中找到或者报文经解析后得到的指令码下工艺参数超出白名单中指令码下工艺参数的预设范围值,则发出警告。
所述实时监测关键工艺参数数据的过程中,同时记录点位参数数值,绘制点位参数数值统计图。
本实施例中,具体还包括以下流程:
Ethernet/IP-CIP入侵监测平台部署:该装置在实际工厂的部署方式,在控制网络中的每个工业交换机位置旁路部署一台Ethernet/IP-CIP监测平台,每个工Ethernet/IP-CIP监测平台通过交换机镜像口复制一份经过该交换机的所有网络流量。由于是旁路部署,且Ethernet/IP-CIP监测平台的审计探针只接收网络流量,不会对工控网络发生任何干扰报文,所以对生产工艺过程不会造成任何影响,如图2所示。
Ethernet/IP-CIP协议解析及策略生成:加载Ethernet/IP-CIP相关配置,是指,CIP协议监测端口为:显式报文:44818隐式报文:2222。
采集网卡数据,本实施例采用linux下的libpcap库,进行网口流量的数据采集。
端口过滤,是指针对报文的数据,可通过端口对所有数据报文简单过滤,减少其他协议的干扰。
解析出Ethernet/IP报文头,判断协议合规性,如果合规,再进行CIP协议的详细解析,解析出CIP协议中的Message Router;Connection Manager;PCCC Class;MotionDevice Axis Object;Modbus Object;Connection Configuration Object指令信息,及指令下面的参数。需要注意,隐式CIP报文数据多为I/O数据,这里直接保存它的16进制数据即可。报文结构具体如下:
3.1命令2字节
3.2长度2字节
3.3回话句柄4字节
3.4状态码4字节
3.5发送方上下文6字节
3.6选项4字节
3.7命令数据根据接收和发送方情况而定
将部署三种解析的详细信息,结合,源ip,源端口,目的ip,目的端口,Ethernet/IP-CIP协议类型,指令码,指令码下参数信息,保存到系统的规则表中,生成一份该工厂特有的白名单,用于之后的入侵监测分析,及用户查看了解。
运行大概一周后,该工厂的所有Ethernet/IP-CIP数据采集完成,学习模式可以结束。
下面针对参数信息的获取进行详细说明:
为了适应工业企业对于业务安全的要求,比如某温度正常范围是100℃-110℃,或者说是100℃正负偏差10%,当下发的控股指令或上报的状态信息中,关于该温度的设定值或状态值超出了正常范围,则进行警告,警告方式包括系统界面警告、短信警告、设备上的发声、亮光装置的警告。
该功能需要工业控制企业提供点表数据,点表数据示例如下:
在针对此类基于关键工艺过程参数数值范围的异常警告实现,需要提供可配置、可导入的系统接口让用户进行录入和配置。录入和配置的数据字段包括
通过关键工艺参数的数值范围设置、数据解析方法设置,结合DPI技术,在对CIP协议网络流量旁路镜像解析的基础上,对关键工艺过程参数进行监测,对超出预设范围的情况(上报状态信息、下发控制指令)进行警告。记录点位参数数值,绘制点位参数数值统计图,以便返回查看历史状态。
对过程参数的数值采用基于数值范围的黑名单检测方式结合基于历史数值的统计方式得到更精准的数值范围,及时上报异常情况。
针对Ethernet/IP-CIP的入侵监测判断:加载Ethernet/IP-CIP相关配置及CIP协议白名单;采集网卡数据;端口过滤,筛选CIP协议。
针对Ethernet/IP-CIP协议的不合规性监测,一般由于一些网络原因,或工厂设备开关机,会产生一些,长度丢失,报文信息不匹配等不合规报文,这里直接进行警告,过滤掉这些报文数据。
进行白名单匹配,针对入侵攻击报文,对其进行分析,首先如果监测到ip,端口,应用层协议等信息,无法从白名单中找到,这直接警告,表示工业系统中出现非法资产ip,让用户,进行数据攻击定位。如果,发现只是和白名单中指令码下参数信息不匹配,也警告,表示,有模拟工厂环境的CIP协议数据报文攻击,破坏工厂正常的运行环境。最后,如果报文,完全匹配白名单,那么说明,该报文时工厂中正常环境报文,则跳出,进行下一个报文的监测。
以上,主要是通过Ethernet/IP-CIP的深度解析、白名单的自我学习生成和白名单策略的匹配算法,来达到本发明的目的。
本实施例提供的工业异常监测方法,有益效果在于:通过对Ethernet/IP-CIP协议的深层次解析,结合CIP协议报文的具体内容和行为,以及现场关键工艺数据的智能匹配,来识别工业环境的异常操作攻击行为,实现对入侵报文的全面监控识别,进而采取相应措施避免受到入侵攻击。
本发明除了包含ip、端口、应用层协议的设定外,还需要对应用层进行解析,获取Ethernet/IP的报文头,再根据报文头判断协议的合规性,再对Ethernet/IP-CIP协议进行深度解析,获取指令码及指令码下工艺参数,根据指令码及指令码下工艺参数,结合ip、端口、应用层协议生成CIP协议白名单,并设置白名单规则,从而用于识别白名单规则外的异常报文,若ip、端口、应用层协议无法从白名单中找到,则表示工业系统中出现非法资产ip。若发现只是指令码下参数信息与白名单不匹配,则表示有模拟工厂环境的CIP协议数据报文攻击,破坏工厂正常的运行环境。
本实施例还提供了一种工业异常监测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
实施例2
图3是根据本申请实施例的一种工业异常监测装置的结构框图,如图3所示,该装置包括:
数据采集模块:用于采集Ethernet/IP-CIP协议监测端口的报文数据。
应用层解析模块:用于对报文数据进行解析获取Ethernet/IP报文头。
协议合规性判断模块:用于根据报文头判断协议是否合规。
应用层协议解析模块:用于若合规,则进行CIP协议的深度解析获取指令码和指令码下工艺参数。
白名单生成模块:用于根据指令码和指令码下工艺参数并结合ip、端口、协议类型生成CIP协议白名单,并根据CIP协议白名单设置白名单规则。
白名单规则匹配模块:用于采集实时报文数据,并判断所述实时报文数据的ip、端口、应用层协议以及经解析后得到的指令码下工艺参数与白名单规则是否匹配。
警告模块:用于若报文数据的ip、端口、应用层协议无法从白名单中找到或者报文经解析后得到的指令码下工艺参数超出白名单中指令码下工艺参数的预设范围值,则发出警告。
本实施例中,具体还包括:
Ethernet/IP-CIP入侵监测平台部署:该装置在实际工厂的部署方式,在控制网络中的每个工业交换机位置旁路部署一台Ethernet/IP-CIP监测平台,每个工Ethernet/IP-CIP监测平台通过交换机镜像口复制一份经过该交换机的所有网络流量。由于是旁路部署,且Ethernet/IP-CIP监测平台的审计探针只接收网络流量,不会对工控网络发生任何干扰报文,所以对生产工艺过程不会造成任何影响,如图2所示。
Ethernet/IP-CIP协议解析及策略生成:加载Ethernet/IP-CIP相关配置,是指,CIP协议监测端口为:显式报文:44818隐式报文:2222。
采集网卡数据,本实施例采用linux下的libpcap库,进行网口流量的数据采集。
端口过滤,是指针对报文的数据,可通过端口对所有数据报文简单过滤,减少其他协议的干扰。
解析出Ethernet/IP报文头,判断协议合规性,如果合规,再进行CIP协议的详细解析,解析出CIP协议中的Message Router;Connection Manager;PCCC Class;MotionDevice Axis Object;Modbus Object;Connection Configuration Object指令信息,及指令下面的参数。需要注意,隐式CIP报文数据多为I/O数据,这里直接保存它的16进制数据即可。报文结构具体如下:
3.1命令2字节
3.2长度2字节
3.3回话句柄4字节
3.4状态码4字节
3.5发送方上下文6字节
3.6选项4字节
3.7命令数据根据接收和发送方情况而定
将部署三种解析的详细信息,结合,源ip,源端口,目的ip,目的端口,Ethernet/IP-CIP协议类型,指令码,指令码下参数信息,保存到系统的规则表中,生成一份该工厂特有的白名单,用于之后的入侵监测分析,及用户查看了解。
运行大概一周后,该工厂的所有Ethernet/IP-CIP数据采集完成,学习模式可以结束。
下面针对参数信息的获取进行详细说明:
为了适应工业企业对于业务安全的要求,比如某温度正常范围是100℃-110℃,或者说是100℃正负偏差10%,当下发的控股指令或上报的状态信息中,关于该温度的设定值或状态值超出了正常范围,则进行警告,警告方式包括系统界面警告、短信警告、设备上的发声、亮光装置的警告。
该功能需要工业控制企业提供点表数据,点表数据示例如下:
在针对此类基于关键工艺过程参数数值范围的异常警告实现,需要提供可配置、可导入的系统接口让用户进行录入和配置。录入和配置的数据字段包括
通过关键工艺参数的数值范围设置、数据解析方法设置,结合DPI技术,在对CIP协议网络流量旁路镜像解析的基础上,对关键工艺过程参数进行监测,对超出预设范围的情况(上报状态信息、下发控制指令)进行警告。记录点位参数数值,绘制点位参数数值统计图,以便返回查看历史状态。
对过程参数的数值采用基于数值范围的黑名单检测方式结合基于历史数值的统计方式得到更精准的数值范围,及时上报异常情况。
针对Ethernet/IP-CIP的入侵监测判断:加载Ethernet/IP-CIP相关配置及CIP协议白名单;采集网卡数据;端口过滤,筛选CIP协议。
针对Ethernet/IP-CIP协议的不合规性监测,一般由于一些网络原因,或工厂设备开关机,会产生一些,长度丢失,报文信息不匹配等不合规报文,这里直接进行警告,过滤掉这些报文数据。
进行白名单匹配,针对入侵攻击报文,对其进行分析,首先如果监测到ip,端口,应用层协议等信息,无法从白名单中找到,这直接警告,表示工业系统中出现非法资产ip,让用户,进行数据攻击定位。如果,发现只是和白名单中指令码下参数信息不匹配,也警告,表示,有模拟工厂环境的CIP协议数据报文攻击,破坏工厂正常的运行环境。最后,如果报文,完全匹配白名单,那么说明,该报文时工厂中正常环境报文,则跳出,进行下一个报文的监测。
以上,主要是通过Ethernet/IP-CIP的深度解析、白名单的自我学习生成和白名单策略的匹配算法,来达到本发明的目的。
本实施例提供的工业异常监测装置,有益效果在于:通过对Ethernet/IP-CIP协议的深层次解析,结合CIP协议报文的具体内容和行为,以及现场关键工艺数据的智能匹配,来识别工业环境的异常操作攻击行为,实现对入侵报文的全面监控识别,进而采取相应措施避免受到入侵攻击。
本发明除了包含ip、端口、应用层协议的设定外,还需要对应用层进行解析,获取Ethernet/IP的报文头,再根据报文头判断协议的合规性,再对Ethernet/IP-CIP协议进行深度解析,获取指令码及指令码下工艺参数,根据指令码及指令码下工艺参数,结合ip、端口、应用层协议生成CIP协议白名单,并设置白名单规则,从而用于识别白名单规则外的异常报文,若ip、端口、应用层协议无法从白名单中找到,则表示工业系统中出现非法资产ip;若发现只是指令码下参数信息与白名单不匹配,则表示有模拟工厂环境的CIP协议数据报文攻击,破坏工厂正常的运行环境。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例工业异常监测方法可以由工业异常监测计算机设备来实现。图4为根据本申请实施例的工业异常监测计算机设备的硬件结构示意图。
工业异常监测计算机设备可以包括处理器81以及存储有计算机程序指令的存储器82。
具体地,上述处理器81可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器82可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器82可在数据处理装置的内部或外部。在特定实施例中,存储器82是非易失性(Non-Volatile)存储器。在特定实施例中,存储器82包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器82所执行的可能的计算机程序指令。
处理器81通过读取并执行存储器82中存储的计算机程序指令,以实现上述实施例中的任意一种工业异常监测方法。
在其中一些实施例中,工业异常监测计算机设备还可包括通信接口83和总线80。其中,如图4所示,处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。
通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口83还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线80包括硬件、软件或两者,将工业异常监测计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线80可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(MicroChannel Architecture,简称为MCA)总线、外围组件互连(Peripheral ComponentInterconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SerialAdvanced Technology Attachment,简称为SATA)总线、视频电子标准协会局部(VideoElectronics Standards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该工业异常监测计算机设备可以基于获取到的工业异常监测,执行本申请实施例中的工业异常监测方法,从而实现结合图1描述的工业异常监测方法。
另外,结合上述实施例中的工业异常监测方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种工业异常监测方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种工业异常监测方法,其特征在于,包括以下步骤:
采集Ethernet/IP-CIP协议监测端口的报文数据;
对报文数据进行解析获取Ethernet/IP报文头;
根据报文头判断协议是否合规;
若合规,则进行CIP协议的深度解析获取指令码和指令码下工艺参数;
根据指令码和指令码下工艺参数并结合ip、端口、协议类型生成CIP协议白名单,并根据CIP协议白名单设置白名单规则;
采集实时报文数据,并判断所述实时报文数据的ip、端口、应用层协议以及经解析后得到的指令码下工艺参数与白名单规则是否匹配;其中,经解析后得到的指令码下工艺参数,包括:通过Ethernet/IP-CIP监测平台中的交换机镜像端口,对CIP协议网络流量旁路镜像中报文数据进行解析,得到所述指令码下工艺参数;
若报文数据的ip、端口、应用层协议无法从白名单中找到或者报文经解析后得到的指令码下工艺参数超出白名单中指令码下工艺参数的预设范围值,则发出警告。
2.根据权利要求1所述的工业异常监测方法,其特征在于,所述Ethernet/IP-CIP协议监测端口的报文数据包括显式报文和隐式报文。
3.根据权利要求1所述的工业异常监测方法,其特征在于,所述对报文数据进行解析获取Ethernet/IP报文头的步骤之前,通过端口对所有报文数据进行过滤,筛选出CIP协议报文。
4.根据权利要求1所述的工业异常监测方法,其特征在于,所述进行CIP协议的深度解析获取指令码和指令码下工艺参数的步骤中,获取指令码包含Message Router、Connection Manager、PCCC Class、Motion Device Axis Object、Modbus Object和Connection Configuration Object指令信息。
5.根据权利要求1所述的工业异常监测方法,其特征在于,所述对采集的报文数据进行解析的步骤前,对由网络原因或工厂设备开关机产生的无效报文数据,进行警告并过滤。
6.根据权利要求1所述的工业异常监测方法,其特征在于,所述白名单中指令码下工艺参数的预设范围值通过黑名单检测结合数据统计得出。
7.根据权利要求1所述的工业异常监测方法,其特征在于,采集Ethernet/IP-CIP协议监测端口的报文数据的步骤具体包括:
采用linux下的libpcap库,对Ethernet/IP-CIP协议监测端口的报文数据进行采集。
8.一种工业异常监测装置,其特征在于,包括:
数据采集模块:用于采集Ethernet/IP-CIP协议监测端口的报文数据;
应用层解析模块:用于对报文数据进行解析获取Ethernet/IP报文头;
协议合规性判断模块:用于根据报文头判断协议是否合规;
应用层协议解析模块:用于若合规,则进行CIP协议的深度解析获取指令码和指令码下工艺参数;
白名单生成模块:用于根据指令码和指令码下工艺参数并结合ip、端口、协议类型生成CIP协议白名单,并根据CIP协议白名单设置白名单规则;
白名单规则匹配模块:用于采集实时报文数据,并判断所述实时报文数据的ip、端口、应用层协议以及经解析后得到的指令码下工艺参数与白名单规则是否匹配;其中,经解析后得到的指令码下工艺参数,包括:通过Ethernet/IP-CIP监测平台中的交换机镜像端口,对CIP协议网络流量旁路镜像中报文数据进行解析,得到所述指令码下工艺参数;
警告模块:用于若报文数据的ip、端口、应用层协议无法从白名单中找到或者报文经解析后得到的指令码下工艺参数超出白名单中指令码下工艺参数的预设范围值,则发出警告。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的工业异常监测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的工业异常监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011337921.9A CN112468488B (zh) | 2020-11-25 | 2020-11-25 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011337921.9A CN112468488B (zh) | 2020-11-25 | 2020-11-25 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468488A CN112468488A (zh) | 2021-03-09 |
| CN112468488B true CN112468488B (zh) | 2023-05-23 |
Family
ID=74798958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011337921.9A Active CN112468488B (zh) | 2020-11-25 | 2020-11-25 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468488B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112995192B (zh) * | 2021-03-16 | 2022-11-15 | 深圳融安网络科技有限公司 | 白名单生成方法、系统、设备及存储介质 |
| CN113709129A (zh) * | 2021-08-20 | 2021-11-26 | 绿盟科技集团股份有限公司 | 一种基于流量学习的白名单生成方法、装置和系统 |
| CN114070624B (zh) * | 2021-11-16 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种报文监测的方法、装置、电子设备及介质 |
| CN114640496B (zh) * | 2021-11-26 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 一种流量传输控制方法、装置、电子设备和存储介质 |
| CN114422309B (zh) * | 2021-12-03 | 2023-08-11 | 中国电子科技集团公司第二十八研究所 | 基于摘要回传比对方式的业务消息传输效果分析方法 |
| CN114221805A (zh) * | 2021-12-13 | 2022-03-22 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网数据的监测方法、装置、设备及介质 |
| CN114363018B (zh) * | 2021-12-20 | 2023-09-22 | 北京六方云信息技术有限公司 | 工业数据传输方法、装置、设备与存储介质 |
| CN114363026A (zh) * | 2021-12-27 | 2022-04-15 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
| CN114760103B (zh) * | 2022-03-21 | 2023-10-31 | 广州大学 | 一种工业控制系统异常检测系统、方法、设备及存储介质 |
| CN114697364B (zh) * | 2022-04-01 | 2024-03-22 | 西安华凡科技有限公司 | 一种基于tcp链接支持多种传输协议的物联网安保方法 |
| CN114839938B (zh) * | 2022-04-28 | 2022-12-09 | 东方电气中能工控网络安全技术(成都)有限责任公司 | 一种dcs工控网络安全审计分析系统及其审计分析方法 |
| CN115529162A (zh) * | 2022-08-26 | 2022-12-27 | 中国科学院信息工程研究所 | 工控流量异常行为防护方法及系统 |
| CN115622963A (zh) * | 2022-12-01 | 2023-01-17 | 北京安帝科技有限公司 | 基于工业交换机的报文检测方法、装置、设备与介质 |
| CN117278660B (zh) * | 2023-11-21 | 2024-03-29 | 华信咨询设计研究院有限公司 | 一种基于dpdk技术的流量过滤的协议解析方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN108848067A (zh) * | 2018-05-28 | 2018-11-20 | 北京威努特技术有限公司 | 智能学习并预置只读白名单规则的opc协议安全防护方法 |
| CN109922085A (zh) * | 2019-04-11 | 2019-06-21 | 江苏亨通工控安全研究院有限公司 | 一种基于plc中cip协议的安全防护系统及方法 |
| CN110266735A (zh) * | 2019-07-30 | 2019-09-20 | 北京中投安能科技有限公司 | 基于时序的工业通讯协议白名单访问控制 |
| CN110365717A (zh) * | 2019-08-27 | 2019-10-22 | 杭州安恒信息技术股份有限公司 | 基于hart-ip协议的工业入侵监测方法和系统 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040107345A1 (en) * | 2002-10-21 | 2004-06-03 | Brandt David D. | System and methodology providing automation security protocols and intrusion detection in an industrial controller environment |
-
2020
- 2020-11-25 CN CN202011337921.9A patent/CN112468488B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN108848067A (zh) * | 2018-05-28 | 2018-11-20 | 北京威努特技术有限公司 | 智能学习并预置只读白名单规则的opc协议安全防护方法 |
| CN109922085A (zh) * | 2019-04-11 | 2019-06-21 | 江苏亨通工控安全研究院有限公司 | 一种基于plc中cip协议的安全防护系统及方法 |
| CN110266735A (zh) * | 2019-07-30 | 2019-09-20 | 北京中投安能科技有限公司 | 基于时序的工业通讯协议白名单访问控制 |
| CN110365717A (zh) * | 2019-08-27 | 2019-10-22 | 杭州安恒信息技术股份有限公司 | 基于hart-ip协议的工业入侵监测方法和系统 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112468488A (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112468488B (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
| CN111478966A (zh) | 物联网协议的解析方法、装置、计算机设备及存储介质 | |
| CN113364746B (zh) | 设备识别方法、装置、设备及计算机存储介质 | |
| CN111130883B (zh) | 工控设备拓扑图的确定方法、装置及电子设备 | |
| CN109309591B (zh) | 流量数据统计方法、电子设备及存储介质 | |
| CN113645065A (zh) | 基于工业互联网的工控安全审计系统及其方法 | |
| CN113285916B (zh) | 智能制造系统异常流量检测方法及检测装置 | |
| CN111654477A (zh) | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 | |
| CN111277602A (zh) | 网络数据包的识别处理方法、装置、电子设备及存储介质 | |
| CN114189570B (zh) | 一种对工业协议进行深度解析的方法 | |
| CN113225342B (zh) | 一种通信异常检测方法、装置、电子设备及存储介质 | |
| CN114553749A (zh) | 私有协议分析方法、装置、计算机设备及可读存储介质 | |
| CN113259367B (zh) | 工控网络流量多级异常检测方法及装置 | |
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| EP3576365B1 (en) | Data processing device and method | |
| CN113630417B (zh) | 基于waf的数据发送方法、装置、电子装置和存储介质 | |
| CN114374838A (zh) | 一种网络摄像头监测方法、装置、设备及介质 | |
| CN111865822A (zh) | 一种基于智能变电站交换机的业务流告警方法及装置 | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems | |
| CN110995733A (zh) | 一种基于遥测技术的工控领域的入侵检测系统 | |
| CN116208431B (zh) | 一种工控网络流量异常检测方法、系统、装置和可读介质 | |
| CN112261056B (zh) | 电力系统的通讯控制方法、装置、控制设备和存储介质 | |
| CN115396314B (zh) | 获得防护策略集合、报文检测的方法、装置、系统及介质 | |
| CN116318777A (zh) | 密码应用监测方法、系统、设备及存储介质 | |
| CN115022381A (zh) | 一种光伏板数据采集设备的智能组网方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |