CN112578694A - 针对一个工业控制器的监测系统、方法、装置和计算机可读介质 - Google Patents
针对一个工业控制器的监测系统、方法、装置和计算机可读介质 Download PDFInfo
- Publication number
- CN112578694A CN112578694A CN201910931744.8A CN201910931744A CN112578694A CN 112578694 A CN112578694 A CN 112578694A CN 201910931744 A CN201910931744 A CN 201910931744A CN 112578694 A CN112578694 A CN 112578694A
- Authority
- CN
- China
- Prior art keywords
- industrial controller
- mode
- information
- security threat
- network traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 115
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000012795 verification Methods 0.000 claims abstract description 76
- 238000004891 communication Methods 0.000 claims description 29
- 238000004458 analytical method Methods 0.000 claims description 13
- 238000012806 monitoring device Methods 0.000 claims description 5
- 238000005111 flow chemistry technique Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 abstract description 4
- 239000000284 extract Substances 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 238000004519 manufacturing process Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000010223 real-time analysis Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000007788 liquid Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24024—Safety, surveillance
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及工业网络与信息安全技术领域,尤其涉及一种针对一个工业控制器的监测系统、方法、装置和计算机可读介质,用以有效阻止针对工业控制器的恶意网络流量。一种监测系统(100)包括:监测模块(101),被配置为截取发送至工业控制器(10)的网络流量(30),并从中提取针对工业控制器(10)的操作的信息;确定工业控制器(10)所处的模式;按照模式所对应的规则,判断操作对工业控制器(10)是否存在安全威胁;若存在安全威胁,则拦截网络流量(30);否则允许网络流量发送至工业控制器(10);一个安全验证模块(102),被配置为对于每一种模式,确定该模式所对应的规则。
Description
技术领域
本发明涉及工业网络与信息安全技术领域,尤其涉及一种针对一个工业控制器的监测系统、方法、装置和计算机可读介质。
背景技术
在制造、电力、交通、食品、医药等工业领域中,工业控制系统(IndustrialControl System,ICS)广泛用于监测和/或控制工业过程。Gartner将运营技术(OperationTechnology,OT)技术用于工业控制系统中,其使用硬件和软件进行安全检测,对企业中的物理设备、工业过程和时间进行监测和控制。为便于描述,以下将OT系统和ICS系统等用于监测和/或控制工业设备和/或工业过程等的系统统称为“工业控制系统”。
在工业控制系统中,越来越多的工业控制器连接到工业以太网上,该工业以太网可由一个中央控制管理平台进行监控。中央控制管理平台可通过该工业以太网监视和配置工业控制系统及工业控制系统中的设备。另一方面,随之工业数字化的发展,OT网络和IT网络之间的连接越来越普遍。
由于传统的工业控制系统缺乏安全防御能力,导致针对工业控制系统、特别是针对工业控制器的攻击日益增多。虚假的控制命令和恶意的篡改会导致工业控制器所控制的物理系统运行异常。不幸的是,工业控制器通常无法在进行工业控制的同时,频繁地获取数据,因此往往无法有效检测到这些攻击。
发明内容
本发明实施例提供一种针对工业控制器的监测系统、方法、装置和计算机可读介质,用以有效阻止针对工业控制器的恶意网络流量。
第一方面,提供一种针对一个工业控制器的监测系统,包括:一个监测模块和一个安全验证模块。其中,监控模块被配置为截取发送至所述工业控制器的网络流量;从所述网络流量中提取针对所述工业控制器的操作的信息;确定所述工业控制器所处的模式,所述模式包括:配置模式、更新模式和运行模式;按照确定的模式所对应的规则,判断所述操作对所述工业控制器是否存在安全威胁;若确定存在安全威胁,则拦截所述网络流量;若确定不存在安全威胁,则允许所述网络流量发送至所述工业控制器。安全验证模块,被配置为对于每一种所述模式,确定该模式所对应的规则。
第二方面,提供一种针对一个工业控制器的监测方法。该方法可由第一方面提供的监测系统中的监测模块执行,包括如下步骤:截取发送至所述工业控制器的网络流量;从所述网络流量中提取针对所述工业控制器的操作的信息;确定所述工业控制器所处的模式,所述模式包括:配置模式、更新模式和运行模式;按照确定的模式所对应的规则,判断所述操作对所述工业控制器是否存在安全威胁;若确定存在安全威胁,则拦截所述网络流量;若确定不存在安全威胁,则允许所述网络流量发送至所述工业控制器。
第三方面,提供一种针对一个工业控制器的监测方法。该方法可由第一方面所提供的监测系统中的安全验证模块执行,包括如下步骤:接收针对一个工业控制器的操作的信息,以及所述工业控制器所处的模式,其中,所述操作的信息是从发送至所述工业控制器的网络流量中提取的,且包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围;执行下列操作中的至少一项:根据所述操作的信息中的协议类型,确定所述工业控制器处于该模式时,具有该协议类型的网络流量是否存在安全威胁;根据所述操作的信息中的操作命令,确定所述工业控制器处于该模式时,执行所述操作命令是否存在安全威胁;根据所述操作的信息中的操作参数,确定所述工业控制器处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁;根据判断是否存在安全威胁的结果生成该模式对应的规则,其中,所述规则用于判断所述工业控制器处于该模式时收到具有所述操作的信息的网络流量是否存在安全威胁。
第四方面,提供一种监测模块,包括:一个流量截取单元,被配置为截取发送至一个工业控制器的网络流量;一个信息分析单元,被配置为从所述网络流量中提取针对所述工业控制器的操作的信息;一个模式确定单元,被配置为确定所述工业控制器所处的模式,所述模式包括:配置模式、更新模式和运行模式;一个操作判断单元,被配置为按照确定的模式所对应的规则,判断所述操作对所述工业控制器是否存在安全威胁;一个流量处理单元,被配置为若确定存在安全威胁,则拦截所述网络流量,以及若确定不存在安全威胁,则允许所述网络流量发送至所述工业控制器。
第五方面,提供一种安全验证模块,包括:一个信息收集单元,被配置为接收针对一个工业控制器的操作的信息,以及所述工业控制器所处的模式,其中,所述操作的信息是从发送至所述工业控制器的网络流量中提取的,且包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围;一个安全验证单元,被配置为执行下列操作中的至少一项:根据所述操作的信息中的协议类型,确定所述工业控制器处于该模式时,具有该协议类型的网络流量是否存在安全威胁;根据所述操作的信息中的操作命令,确定所述工业控制器处于该模式时,执行所述操作命令是否存在安全威胁;根据所述操作的信息中的操作参数,确定所述工业控制器处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁;一个规则生成单元,被配置为根据判断是否存在安全威胁的结果生成该模式对应的规则,其中,所述规则用于判断所述工业控制器处于该模式时收到具有所述操作的信息的网络流量是否存在安全威胁。
第六方面,提供一种监测装置,包括:至少一个存储器,被配置为存储计算机可读指令;以及至少一个处理器,与所述至少一个存储器耦合连接,当执行所述计算机可读指令时,被配置为执行第二方面或第三方面所提供的方法。
第七方面,提供一种计算机可读介质,所述计算机可读介质上存储计算机可读指令,其特征在于,所述计算机可读指令在被处理器调用时,执行第二方面或第三方面所提供的方法。
其中,提取网络流量中的操作的信息,根据操作的性质来判断对工业控制器是否存在安全威胁;并且根据工业控制器所处的不同模式,采用对应的不同规则来加以判断,考虑到不同模式下操作性质的不同,可以提高针对网络流量安全监测的准确性;在判断时,直接采用规则加以判断,而规则的生成则依赖于另一个安全验证模块,可有效降低监测模块的处理负荷,加快判断过程,便于监测模块的部署。
结合上述任一方面,在一种可能的实现方式中,所述监测模块若无法确定是否存在安全威胁,则将所述操作的信息发送至所述安全验证模块,进而所述安全验证模块,根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。监测模块仅简单地依据规则判断是否存在安全威胁,复杂的判断由安全验证模块进一步完成。可提高监测模块安全威胁判断的效率。
可选地,所述安全验证模块在确定是否存在安全威胁时,可向用户展示所述操作的信息,并根据所述用户的反馈确定是否存在安全威胁。将实时判断、规则生成和人工判断结合起来,提供了一种更实用的针对工业控制器的安全防护方案。
结合上述任一方面,在一种可能的实现方式中,所述操作的信息包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围,所述安全验证模块在对于每一种模式,确定该模式所对应的规则时,执行下列操作中的至少一项:根据所述操作的信息中的协议类型,确定所述工业控制器处于该模式时,具有该协议类型的网络流量是否存在安全威胁;根据所述操作的信息中的操作命令,确定所述工业控制器处于该模式时,执行所述操作命令是否存在安全威胁;根据所述操作的信息中的操作参数,确定所述工业控制器处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁。其中,结合操作的协议信息、操作命令、操作参数的取值范围中的一种或多种来确定当工业控制器处于某种模式时,网络流量是否对工业控制器造成安全威胁,提供了一种实用的、可操作的规则生成和判断方法。
结合上述任一方面,在一种可能的实现方式中,所述监测模块还被确定所述工业控制器所处的阶段,所述阶段包括:学习阶段和运行阶段;所述监测模块在确定所述工业控制器处于运行阶段时,按照确定的模式所对应的规则,判断针对所述工业控制器的所述操作对所述工业控制器是否存在安全威胁;若确定所述工业控制器处于学习阶段,则将所述操作的信息以及所述工业控制器所处的模式发送至所述安全验证模块,进而,所述安全验证模块根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。其中,通过设置学习阶段和运行阶段,在学习阶段生成规则,在运行阶段利用学习阶段生成的规则快速判断,结合了实时分析和离线判断,一方面通过复杂的离线判断能够得到准确的规则,另一方面,根据准确的规则可以实现实时、准确的在线分析。提高了工业控制器安全防护的效率和准确率。
结合上述任一方面,在一种可能的实现方式中,所述监测模块位于所述工业控制器的通信板卡上。由于利用已生成的规则可以实现实时的网络流量分析,且不占用大量的处理资源,因此可将监测模块部署在工业控制器的通信板卡上。并且,发往工业控制器的网络流量一定要经过通信板卡才能实现工业过程控制,将监测模块设置在通信板卡上,可有效无遗漏地拦截网络流量,又能够实现快速的分析,与以往放置在工业控制器之外的设备上实现相比,实时性更好。此外,将监测模块部署在通信板卡上,不会影响工业控制器的控制功能。传统的工业控制器如果不采用单独的通信板卡,安全防护功能需要占用工业控制器的核心控制处理资源,因此安全防护功能的实现受到了极大的限制。如果采用单独的通信板卡,一般只进行简单的通信,但不会提供复杂的深度包检测与防护功能。并且,以往的工业控制系统是一个封闭的系统,通常不会设计安全防护功能。该可选的实现方式,结合了新型工业控制器的硬件特点,又考虑到和高性能处理器处理能力的差异,将耗费处理资源较少的依赖于规则的简单分析放置在通信板卡上实现,具有实用性强的优点。
附图说明
图1为本发明实施例提供的工业控制器的监测系统的结构示意图。
图2为本发明实施例提供的监测方法的流程图。
图3~图6为本发明实施例提供的监测装置的示意图。
附图标记列表:
10:工业控制器
11:工业控制器10的通信板卡
20:上位机
30:网络流量
40:用户
100:监测系统
101:监测模块
102:安全验证模块
200a:学习阶段
200b:运行阶段
S201~S218:步骤
1011:流量截取单元
1012:信息分析单元
1013:模式确定单元
1014:操作判断单元
1015:流量处理单元
1016:存储器
1017:处理器
1018:通信单元
1021:信息收集单元
1022:安全验证单元
1023:规则生成单元
1024:存储器
1025:处理器
1026:通信单元
具体实施方式
如前所述,工业控制系统用于远程和/或控制工业过程。工业控制系统还可称作OT系统、ICS系统等。
工业控制系统的例子有:数据采集与监测控制(Supervisory Control And DataAcquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)、计算机数字控制(Computer Numerical Control,CNC)系统(包括计算机化的机械工具),以及科学设备(比如:数字示波器)。
一个工业控制系统中可包括但不限于如下工业设备:
-工业控制器
比如:可编程逻辑控制器(Programmable Logic Controller,PLC)、可编程自动化控制器(Programmable Automation Controller,PAC)等,在工业控制系统中用于控制工业过程的设备。
-现场设备
比如:传感器,电机等。传感器可在工业控制器的控制下获取温度、湿度、压力、液体流速等现场数据。电机可在工业控制器的控制下驱动运动。
-工业主机
比如:工程师站(Engineer Station,ES)、操作员站(Operator Station,OS)、人机界面(Human Machine Interface,HMI)、数据库服务器、应用服务器等。其中,工程师站和操作员站又称为“上位机”。
-网络交换与路由设备
比如:工业交换机、工业路由器等。这些网络交换与路由设备可组成一个工业以太网,实现工业控制系统内部设备的互联。
下面,结合附图对本发明实施例进行详细说明。
图1为本发明实施例提供的监测系统的结构示意图,该监测系统可针对一个工业控制器进行安全监测。如图1所示,监测系统100可包括:监测模块101和安全验证模块102。
其中,监测模块101可获取发送给工业控制器10的网络流量30,对获取的网络流量30进行实时监测,若确定无安全威胁,则允许网络流量30发送至工业控制器10,否则,则截取网络流量30,即不允许网络流量30发送至工业控制器10。
监测模块101在进行安全威胁判断时依据已经定义好的规则。而这些规则的确定是在安全验证模块102上完成的。安全验证模块102对发送至工业控制器10、来自工业控制器10的网络流量,可选地,还可对发送至其他工业控制器10,来自其他工业控制器10,以及工业控制系统中其他设备之间传送的网络流量进行分析,通过对大量网络流量的分析,得到用于判断网络流量是否存在安全威胁的规则,并将得到的规则发送至监测模块101。监测模块101则可以利用已经制定好的规则进行快速的实时网络流量分析。
其中,可针对多个工业控制器10部署一个监测模块101和一个安全验证模块102。考虑到实时性的问题,也可一个工业控制器10部署一个监测模块101。多个监测模块101可从同一个安全验证模块102处获取实时监测所依据的规则。
对于具有通信板卡(communication processor,CP)的新型工业控制器,比如图1中的通信板卡11,监测模块101可部署在通信板卡11上。通信板卡11是独立于完成核心工业控制过程的处理器,其用于完成网络流量的收发功能,将监测模块101部署在通信板卡11上,一方面,依赖于通信板卡11的处理能力,可实现快速实时的网络流量的分析;另一方面,由于通信板卡11独立于核心工业控制过程的处理器,监测模块101的实现不会影响工业控制器10的核心工业控制过程;此外,由于发送至工业控制器10的网络流量首先发送至通信板卡11,将监测模块101部署在通信板卡11上,实现了在最佳位置获取网络流量,有效拦截恶意网络流量的目的。
如图1所示,安全验证模块102可部署在工业控制系统中的上位机20上,比如:工程师站或操作台上,其可利用上位机充足强大的处理能力,实现复杂的网络流量分析的任务,生成用于判断安全威胁的规则。安全验证模块102也可部署在工业控制系统之外的可信任的监测中心上,具体实现可依照客户要求和实际工业控制系统的情况而定。
本发明实施例的一个应用场景的例子中,具有通信板卡的PLC S7-1500安装在Profinet网络中。监测模块101步骤在通信板卡上。部署了安全验证模块102的上位机需要与PLC通信。
可选地,本发明实施例中,可将工业控制器10所处的阶段分为学习阶段和运行阶段。可在监测模块101上设置一个开关,用来控制工业控制器10所处的阶段。在学习阶段,对网络流量进行学习,生成用于判断安全威胁的规则;在运行阶段,对网络流量进行实时监测。
对于学习阶段和运行阶段,工业控制器10又可处于不同的模式,包括:配置模式、更新模式和运行模式。
1)配置模式
在该模式下,上位机20对工业控制器10可进行大量的模块安装、过程控制配置等操作。比如自动工程师会通过上位机20配置工业控制器10。
2)更新模式
在该模式下,对工业控制器10有一些固件更新、控制过程修改等操作。
3)运行模式
在该模式下,工业控制器10进行工业过程控制,也可与上位机20或其他设备之间进行通信,产生网络流量。
当工业控制器10处于配置模式和更新模式时,与运行模式相比,对工业控制器10有更多的敏感操作。
本发明实施例中,在判断网络流量30对工业控制器10是否具有安全威胁时,可从网络流量30中提取操作的信息,并依据操作的信息进行判断。操作的信息可包括但不限于下列中的任意一项或多项:
1)协议信息
2)操作命令
3)操作参数取值范围
安全验证模块102可据此加以判断并生成规则。考虑到工业控制器10处于不同的模式时,针对工业控制器10的操作存在差异,因此本发明实施例中,安全验证模块102依据工业控制器10所处的模式进行安全威胁判断,进而生成规则。具体地,安全验证模块102可以根据操作的信息中的协议类型,确定工业控制器10处于该模式时,具有该协议类型的网络流量是否存在安全威胁;根据操作的信息中的操作命令,确定工业控制器10处于该模式时,执行操作命令是否存在安全威胁;以及根据操作的信息中的操作参数,确定工业控制器10处于该模式时,按照操作参数执行操作命令是否存在安全威胁。
安全验证模块102可通过网络流量嗅探器(network traffic sniffer)从工业控制系统中的工业主机或网络中获取网络流量30,从网络流量30中获取操作的信息以及其他可能嵌入恶意软件代码的数据。进一步地,安全验证模块102可将操作命令与以往的操作相匹配,如果确定是一个新的操作,则标记该新的操作并通知用户40(比如管理员)。此外,安全验证模块102还可计算得到操作参数的取值范围,基于分析结果创建一个操作参数的取值范围规则。安全验证模块102可将操作参数的取值范围作为事件通知用户40,若用户40确认该参数的取值范围合法,则安全验证模块102可依据该操作参数的取值范围生成一条新的规则。总之,安全验证模块102可将收到的操作的信息与以往在学习阶段和/或运行阶段所收集到的网络流量30中的操作的信息进行比较,并向用户40展示差异,以便用户40检查差异部分,容易地确定是否存在安全威胁。
安全验证模块102将生成的不同模式所分别对应的规则发送至监测模块101,监测模块101依据规则和工业控制器10当前所处的模式对网络流量30进行实时分析。当工业控制器10处于运行阶段时,按照确定的模式所对应的规则,判断针对工业控制器10的操作对工业控制器10是否存在安全威胁。而当工业控制器10处于学习阶段,监测模块101从网络流量30中提取上述操作的信息并确定工业控制器10所处的模式。监测模块101将操作的信息和模式发送至安全验证模块102,安全验证模块102根据操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
当工业控制器10处于运行阶段时,监测模块101若确定网络流量30存在安全威胁,则拦截网络流量30;若确定不存在安全威胁,则允许网络流量发送至工业控制器10。此外,还有一种情况,监测模块101从网络流量30中提取出的操作的信息无法与已有规则相匹配,此时,监测模块101无法确定网络流量30是否存在安全威胁,此时,监测模块101可先拦截网络流量30,并且将从网络流量30中提取的操作的信息以及工业控制器10所处的模式发送至安全验证模块102,由安全验证模块102加以分析。
可选地,安全验证模块102还可向用户40展示操作的信息,并根据用户40的反馈确定是否存在安全威胁。比如:安全验证模块102可将新收到的操作的信息与以往已经记录的操作的信息相比较,向用户40展示新收到的操作的信息和以往记录的信息,以得到用户40的确认。由于用户40仅需要检查不同的操作的信息,因此比较容易确定是否存在安全威胁。
一旦安全验证模块102确定是否存在安全威胁,则安全验证模块102可依据工业控制器10所处的模式、操作的信息生成一条新的规则,并将判断结果和规则发送至监测模块101,若判断结果是存在安全威胁,则监测模块101不允许该网络流量30发送至工业控制器10,若判断结果是不存在安全威胁,可允许该网络流量30发送至工业控制器10。此外,监测模块101记录该新的规则,用于后续网络流量30的实时分析。
图2为本发明实施例提供的监测方法的流程图。如图2所示,该方法可包括如下步骤S201~S218,其中,步骤S201~S207执行时,工业控制器10处于学习阶段200a;步骤S208~S218执行时,工业控制器10处于运行阶段200b。
S201:截取网络流量30。
在该步骤,监测模块101获取发送至工业控制器10的网络流量30。
S202:提取操作的信息。
在该步骤,监测模块101从网络流量30这种提取操作的信息,比如:协议类型、操作命令、操作参数的取值范围,以及其他可能嵌入恶意软件代码的数据。
S203:确定工业控制器10所处的模式。
在该步骤,监测模块101确定工业控制器10所处的模式:配置模式、更新模式和运行模式。确定工业控制器10所处的模式是考虑到不同模式下,针对工业控制器10的操作不同。因此,模式的划分可不限于上述方式,比如:对于更新模式,又可分为固件更新模式和配置参数修改模式,其中,处于固件更新模式的工业控制器10正在更新固件,而处于配置参数修改模式的工业控制器10正在进行一项或多项配置参数的修改。该步骤也可在步骤S202之前或者与步骤S202同时执行。
S204:发送操作的信息和模式。
在该步骤,监测模块101将提取的操作的信息和确定的工业控制器10所处的模式发送至安全验证模块102。
S205:判断是否存在安全威胁。
在该步骤,安全验证模块102根据接收到的操作的信息和工业控制器10所处的模式,判断在该模式下,具有该操作的信息属性的网络流量30是否对工业控制器10造成安全威胁。
S206:生成规则。
在该步骤,安全验证模块102根据步骤S205判断的结果,生成一条规则,该规则规定具有该操作的信息属性的网络流量对处于当前模式的工业控制器10是否造成安全威胁。
S207:发送规则。
在该步骤,安全验证模块102将步骤S206生成的规则发送至监测模块101。其中,安全验证模块102可将学习阶段生成的全部规则一同发送至监测模块101,也可在每确定一条规则后即将规则发送至监测模块101。监测模块101接收并保存规则。
S208:截取网络流量30。
在该步骤,工业控制器10处于运行阶段,监测模块101截取发送至工业控制器10的网络流量30。
S209:提取操作的信息
在该步骤,监测模块101从步骤S208所截取的网络流量30中提取操作的信息。
S210:确定工业控制器10所处的模式。
在该步骤,监测模块101确定工业控制器10所处的模式。该步骤可在步骤S209之前,或者与步骤S209通知执行。
S211:获取确定的模式对应的规则。
在该步骤,监测模块101获取步骤S210中所确定的模式对应的规则。
S212:依据规则判断是否存在安全威胁。
在该步骤,监测模块101依据规则判断是否存在安全威胁。若不存在安全威胁,则执行步骤S213,若存在安全威胁,则执行步骤S214,若无法确定是否存在安全威胁,比如根据操作的信息没有找到匹配的规则,则执行步骤S215。
S213:允许网络流量30发送至工业控制器10。
在该步骤,监测模块101允许网络流量30发送至工业控制器10。
S214:拦截网络流量30。
在该步骤,监测模块101拦截网络流量30,不允许网络流量30发送至工业控制器10。可选地,可以丢弃该网络流量30,也可以向安全验证模块102或工业控制系统的监测中心发送告警信息。
S215:发送操作的信息和模式。
在该步骤,监测模块101将操作的信息和工业控制器10当前所处的模式发送至安全验证模块102。
S216:判断是否存在安全威胁。
在该步骤,安全验证模块102判断是否存在安全威胁。必要时,可以将操作的信息和工业控制器10所处的模式展示给用户40,由用户40确定是否存在安全威胁。
S217:生成规则。
在该步骤,安全验证模块102根据步骤S216的判断结果、操作的信息和工业控制器10所处的模式生成第一条规则。
S218:发送规则。
在该步骤,安全验证模块102将步骤S217生成的规则发送至监测模块101。监测模块101接收并记录该规则。
图3~图6为本发明实施例提供的监测装置的示意图。其中监测装置包括前述的监测模块101和安全验证模块102。
如图3所示,本发明实施例所提供的监测模块101可包括:
-一个流量截取单元1011,被配置为截取发送至一个工业控制器10的网络流量30;
-一个信息分析单元1012,被配置为从网络流量30中提取针对工业控制器10的操作的信息;
-一个模式确定单元1013,被配置为确定工业控制器10所处的模式,模式包括:配置模式、更新模式和运行模式;
-一个操作判断单元1014,被配置为按照确定的模式所对应的规则,判断操作对工业控制器10是否存在安全威胁;
-一个流量处理单元1015,被配置为若确定存在安全威胁,则拦截网络流量30,以及若确定不存在安全威胁,则允许网络流量发送至工业控制器10。
可选地,流量处理单元1015还被配置为:若无法确定是否存在安全威胁,则将操作的信息发送至一个安全验证模块102,以根据操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
可选地,信息分析单元1012提取的操作的信息包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围,操作判断单元1013判断是否存在安全威胁时所依据的一个模式所对应的规则包括下述规则中的至少一项:
-根据操作的信息中的协议类型,确定工业控制器10处于该模式时,具有该协议类型的网络流量是否存在安全威胁的规则;
-根据操作的信息中的操作命令,确定工业控制器10处于该模式时,执行操作命令是否存在安全威胁的规则;
-根据操作的信息中的操作参数,确定工业控制器10处于该模式时,按照操作参数执行操作命令是否存在安全威胁的规则。
可选地,模式确定单元1013,还被配置为确定工业控制器10所处的阶段;操作判断单元1014,具体被配置为:在工业控制器10处于运行阶段时,按照确定的模式所对应的规则,判断针对工业控制器10的操作对工业控制器10是否存在安全威胁;操作判断单元1014,还被配置为:若工业控制器10处于学习阶段,则将操作的信息以及工业控制器10所处的模式发送至安全验证模块102,以根据操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
图4示出了监测模块101实现的另一种结构。如图4所示,监测模块101可包括:
-至少一个存储器1016,被配置为存储计算机可读指令;
-至少一个处理器1017,与至少一个存储器1016耦合连接,当执行计算机可读指令时,执行前述的监测模块101所执行的操作。
监测模块101还可包括一个通信单元1018,用于与其他设备,比如安全验证模块102之间通信。
其中,存储器1016、处理器1017、以及通信单元1018之间可通过总线连接。图3中所示的各个单元可以为软件实现的单元,存储于图4中存储器1016中,当被处理器1017调用时,实现各自的功能。
如图5所示,安全验证模块102可包括:
-一个信息收集单元1021,被配置为接收针对一个工业控制器10的操作的信息,以及工业控制器10所处的模式,其中,操作的信息是从发送至工业控制器10的网络流量30中提取的,且包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围;
-一个安全验证单元1022,被配置为执行下列操作中的至少一项:
-根据操作的信息中的协议类型,确定工业控制器10处于该模式时,具有该协议类型的网络流量是否存在安全威胁;
-根据操作的信息中的操作命令,确定工业控制器10处于该模式时,执行操作命令是否存在安全威胁;
-根据操作的信息中的操作参数,确定工业控制器10处于该模式时,按照操作参数执行操作命令是否存在安全威胁;
-一个规则生成单元1023,被配置为根据判断是否存在安全威胁的结果生成该模式对应的规则,其中,规则用于判断工业控制器10处于该模式时收到具有操作的信息的网络流量30是否存在安全威胁。
可选地,安全验证单元1022在确定是否存在安全威胁时,具体被配置为:向用户40展示操作的信息;根据用户40的反馈确定是否存在安全威胁。
图6示出了安全验证模块102实现的另一种结构。如图6所示,安全验证模块102可包括:
-至少一个存储器1024,被配置为存储计算机可读指令;
-至少一个处理器1025,与至少一个存储器1024耦合连接,当执行计算机可读指令时,执行前述的安全验证模块102所执行的操作。
安全验证模块102还可包括一个通信单元1026,用于与其他设备,比如监测模块101之间通信。
其中,存储器1024、处理器1025、以及通信单元1026之间可通过总线连接。图5中所示的各个单元可以为软件实现的单元,存储于图6中存储器1024中,当被处理器1025调用时,实现各自的功能。
本发明实施例还提供一种计算机可读介质,该计算机可读介质上存储有计算机可读指令,该计算机可读指令在被处理器执行时,使处理器执行前述的任一种方法。具体地,可以提供配有计算机可读介质的系统或者装置,在该计算机可读介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机或处理器读出并执行存储在该计算机可读介质中的计算机可读指令。
在这种情况下,从计算机可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此计算机可读代码和存储计算机可读代码的计算机可读介质构成了本发明的一部分。
计算机可读介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。
Claims (20)
1.针对一个工业控制器(10)的监测系统(100),其特征在于,包括:
-一个监测模块(101),被配置为:
-截取发送至所述工业控制器(10)的网络流量(30);
-从所述网络流量(30)中提取针对所述工业控制器(10)的操作的信息;
-确定所述工业控制器(10)所处的模式,所述模式包括:配置模式、更新模式和运行模式;
-按照确定的模式所对应的规则,判断所述操作对所述工业控制器(10)是否存在安全威胁;
-若确定存在安全威胁,则拦截所述网络流量(30);
-若确定不存在安全威胁,则允许所述网络流量发送至所述工业控制器(10);
-一个安全验证模块(102),被配置为:对于每一种所述模式,确定该模式所对应的规则。
2.如权利要求1所述的监测系统(100),其特征在于,
-所述监测模块(101),还被配置为:若无法确定是否存在安全威胁,则将所述操作的信息发送至所述安全验证模块(102);
-所述安全验证模块(102),还被配置为:根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
3.如权利要求2所述的监测系统(100),其特征在于,所述安全验证模块(102)在确定是否存在安全威胁时,具体被配置为:
向用户(40)展示所述操作的信息;
根据所述用户(40)的反馈确定是否存在安全威胁。
4.如权利要求1所述的监测系统(100),其特征在于,所述操作的信息包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围,所述安全验证模块(102)在对于每一种模式,确定该模式所对应的规则时,执行下列操作中的至少一项:
根据所述操作的信息中的协议类型,确定所述工业控制器(10)处于该模式时,具有该协议类型的网络流量是否存在安全威胁;
根据所述操作的信息中的操作命令,确定所述工业控制器(10)处于该模式时,执行所述操作命令是否存在安全威胁;
根据所述操作的信息中的操作参数,确定所述工业控制器(10)处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁。
5.如权利要求1所述的监测系统(100),其特征在于,
-所述监测模块(101)还被配置为:确定所述工业控制器(10)所处的阶段,所述阶段包括:学习阶段和运行阶段;
-所述监测模块(101)具体被配置为:在确定所述工业控制器(10)处于运行阶段时,按照确定的模式所对应的规则,判断针对所述工业控制器(10)的所述操作对所述工业控制器(10)是否存在安全威胁;
-所述监测模块(101)还被配置为:若确定所述工业控制器(10)处于学习阶段,则将所述操作的信息以及所述工业控制器10所处的模式发送至所述安全验证模块(102),所述安全验证模块(102)还被配置为:根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
6.如权利要求1所述的监测系统(100),其特征在于,所述监测模块(101)位于所述工业控制器(10)的通信板卡(11)上。
7.针对一个工业控制器(10)的监测方法,其特征在于,包括:
-截取发送至所述工业控制器(10)的网络流量(30);
-从所述网络流量(30)中提取针对所述工业控制器(10)的操作的信息;
-确定所述工业控制器(10)所处的模式,所述模式包括:配置模式、更新模式和运行模式;
-按照确定的模式所对应的规则,判断所述操作对所述工业控制器(10)是否存在安全威胁;
-若确定存在安全威胁,则拦截所述网络流量(30);
-若确定不存在安全威胁,则允许所述网络流量发送至所述工业控制器(10)。
8.如权利要求7所述的监测方法,其特征在于,还包括:
-若无法确定是否存在安全威胁,则将所述操作的信息发送至一个安全验证模块(102),以根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
9.如权利要求7所述的监测方法,其特征在于,所述操作的信息包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围,一个模式所对应的规则包括下述规则中的至少一项:
-根据所述操作的信息中的协议类型,确定所述工业控制器(10)处于该模式时,具有该协议类型的网络流量是否存在安全威胁的规则;
-根据所述操作的信息中的操作命令,确定所述工业控制器(10)处于该模式时,执行所述操作命令是否存在安全威胁的规则;
-根据所述操作的信息中的操作参数,确定所述工业控制器(10)处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁的规则。
10.如权利要求7所述的监测方法,其特征在于,还包括:
-确定所述工业控制器(10)所处的阶段,所述阶段包括:学习阶段和运行阶段;
-在确定所述工业控制器(10)处于运行阶段时,按照确定的模式所对应的规则,判断针对所述工业控制器(10)的所述操作对所述工业控制器(10)是否存在安全威胁;
-若确定所述工业控制器(10)处于学习阶段,则将所述操作的信息以及所述工业控制器10所处的模式发送至所述安全验证模块(102),以根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
11.针对一个工业控制器(10)的监测方法,其特征在于,包括:
-接收针对一个工业控制器(10)的操作的信息,以及所述工业控制器(10)所处的模式,其中,所述操作的信息是从发送至所述工业控制器(10)的网络流量(30)中提取的,且包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围;
-执行下列操作中的至少一项:
-根据所述操作的信息中的协议类型,确定所述工业控制器(10)处于该模式时,具有该协议类型的网络流量是否存在安全威胁;
-根据所述操作的信息中的操作命令,确定所述工业控制器(10)处于该模式时,执行所述操作命令是否存在安全威胁;
-根据所述操作的信息中的操作参数,确定所述工业控制器(10)处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁;
-根据判断是否存在安全威胁的结果生成该模式对应的规则,其中,所述规则用于判断所述工业控制器(10)处于该模式时收到具有所述操作的信息的网络流量(30)是否存在安全威胁。
12.如权利要求11所述的监测方法,其特征在于,确定是否存在安全威胁,具体包括:
向用户(40)展示所述操作的信息;
根据所述用户(40)的反馈确定是否存在安全威胁。
13.一种监测模块(101),其特征在于,包括:
-一个流量截取单元(1011),被配置为截取发送至一个工业控制器(10)的网络流量(30);
-一个信息分析单元(1012),被配置为从所述网络流量(30)中提取针对所述工业控制器(10)的操作的信息;
-一个模式确定单元(1013),被配置为确定所述工业控制器(10)所处的模式,所述模式包括:配置模式、更新模式和运行模式;
-一个操作判断单元(1014),被配置为按照确定的模式所对应的规则,判断所述操作对所述工业控制器(10)是否存在安全威胁;
-一个流量处理单元(1015),被配置为若确定存在安全威胁,则拦截所述网络流量(30),以及若确定不存在安全威胁,则允许所述网络流量发送至所述工业控制器(10)。
14.如权利要求13所述的监测模块(101),其特征在于,所述流量处理单元(1015)还被配置为:
-若无法确定是否存在安全威胁,则将所述操作的信息发送至一个安全验证模块(102),以根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
15.如权利要求13所述的监测模块(101),其特征在于,所述信息分析单元(1012)提取的所述操作的信息包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围,所述操作判断单元(1013)判断是否存在安全威胁时所依据的一个模式所对应的规则包括下述规则中的至少一项:
-根据所述操作的信息中的协议类型,确定所述工业控制器(10)处于该模式时,具有该协议类型的网络流量是否存在安全威胁的规则;
-根据所述操作的信息中的操作命令,确定所述工业控制器(10)处于该模式时,执行所述操作命令是否存在安全威胁的规则;
-根据所述操作的信息中的操作参数,确定所述工业控制器(10)处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁的规则。
16.如权利要求13所述的监测模块(101),其特征在于,
-所述模式确定单元(1013),还被配置为确定所述工业控制器(10)所处的阶段,所述阶段包括:学习阶段和运行阶段;
-所述操作判断单元(1014),具体被配置为:在所述工业控制器(10)处于运行阶段时,按照确定的模式所对应的规则,判断针对所述工业控制器(10)的所述操作对所述工业控制器(10)是否存在安全威胁;
-所述操作判断单元(1014),还被配置为:若所述工业控制器(10)处于学习阶段,则将所述操作的信息以及所述工业控制器10所处的模式发送至所述安全验证模块(102),以根据所述操作的信息确定是否存在安全威胁,以及增加在确定的模式下对应的规则。
17.一种安全验证模块(102),其特征在于,包括:
-一个信息收集单元(1021),被配置为接收针对一个工业控制器(10)的操作的信息,以及所述工业控制器(10)所处的模式,其中,所述操作的信息是从发送至所述工业控制器(10)的网络流量(30)中提取的,且包括下列信息中的至少一项:协议信息、操作命令、操作参数取值范围;
-一个安全验证单元(1022),被配置为执行下列操作中的至少一项:
-根据所述操作的信息中的协议类型,确定所述工业控制器(10)处于该模式时,具有该协议类型的网络流量是否存在安全威胁;
-根据所述操作的信息中的操作命令,确定所述工业控制器(10)处于该模式时,执行所述操作命令是否存在安全威胁;
-根据所述操作的信息中的操作参数,确定所述工业控制器(10)处于该模式时,按照所述操作参数执行所述操作命令是否存在安全威胁;
-一个规则生成单元(1023),被配置为根据判断是否存在安全威胁的结果生成该模式对应的规则,其中,所述规则用于判断所述工业控制器(10)处于该模式时收到具有所述操作的信息的网络流量(30)是否存在安全威胁。
18.如权利要求17所述的安全验证模块(102),其特征在于,所述安全验证单元(1022)在确定是否存在安全威胁时,具体被配置为:
向用户(40)展示所述操作的信息;
根据所述用户(40)的反馈确定是否存在安全威胁。
19.一个监测装置,其特征在于,包括:
-至少一个存储器,被配置为存储计算机可读指令;
-至少一个处理器,与所述至少一个存储器耦合连接,当执行所述计算机可读指令时,被配置为执行如权利要求7~12任一项所述的方法。
20.计算机可读介质,所述计算机可读介质上存储计算机可读指令,其特征在于,所述计算机可读指令在被处理器调用时,执行如权利要求7~12任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910931744.8A CN112578694A (zh) | 2019-09-27 | 2019-09-27 | 针对一个工业控制器的监测系统、方法、装置和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910931744.8A CN112578694A (zh) | 2019-09-27 | 2019-09-27 | 针对一个工业控制器的监测系统、方法、装置和计算机可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112578694A true CN112578694A (zh) | 2021-03-30 |
Family
ID=75110909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910931744.8A Pending CN112578694A (zh) | 2019-09-27 | 2019-09-27 | 针对一个工业控制器的监测系统、方法、装置和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112578694A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115379029A (zh) * | 2022-10-27 | 2022-11-22 | 北京六方云信息技术有限公司 | 报文识别方法、装置、终端设备以及存储介质 |
| WO2024020962A1 (en) * | 2022-07-28 | 2024-02-01 | Siemens Aktiengesellschaft | Method, apparatus and system for covert path discovering and computer-readable storage medium |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制系统威胁检测防御装置、系统及方法 |
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
| US20160381070A1 (en) * | 2015-06-26 | 2016-12-29 | Fortinet, Inc. | Protocol based detection of suspicious network traffic |
| CN106911529A (zh) * | 2015-12-22 | 2017-06-30 | 国网青海省电力公司 | 基于协议解析的电网工控安全检测系统 |
| CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
-
2019
- 2019-09-27 CN CN201910931744.8A patent/CN112578694A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制系统威胁检测防御装置、系统及方法 |
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
| US20160381070A1 (en) * | 2015-06-26 | 2016-12-29 | Fortinet, Inc. | Protocol based detection of suspicious network traffic |
| CN106911529A (zh) * | 2015-12-22 | 2017-06-30 | 国网青海省电力公司 | 基于协议解析的电网工控安全检测系统 |
| CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张松清;刘智国;: "一种基于半监督学习的工控网络入侵检测方法", 信息技术与网络安全, no. 01 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024020962A1 (en) * | 2022-07-28 | 2024-02-01 | Siemens Aktiengesellschaft | Method, apparatus and system for covert path discovering and computer-readable storage medium |
| CN115379029A (zh) * | 2022-10-27 | 2022-11-22 | 北京六方云信息技术有限公司 | 报文识别方法、装置、终端设备以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110495138B (zh) | 工业控制系统及其网络安全的监视方法 | |
| CN109617813B (zh) | 增强的智能过程控制交换机端口锁定 | |
| Kwon et al. | IEEE 1815.1-based power system security with bidirectional RNN-based network anomalous attack detection for cyber-physical system | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| EP2366241B1 (en) | Network analysis | |
| CA2842465A1 (en) | Method and system for classifying a protocol message in a data communication network | |
| EP3618353B1 (en) | Dynamic, endpoint configuration-based deployment of network infrastructure | |
| CN110830287B (zh) | 一种基于监督学习的物联网环境态势感知方法 | |
| Yang et al. | iFinger: Intrusion detection in industrial control systems via register-based fingerprinting | |
| CN111869189A (zh) | 网络探针和处理消息的方法 | |
| CN111510339B (zh) | 一种工业互联网数据监测方法和装置 | |
| CN108270772A (zh) | 监视多个联网设备的监视装置、设备监视系统和方法 | |
| CN112799358A (zh) | 一种工业控制安全防御系统 | |
| CN112578694A (zh) | 针对一个工业控制器的监测系统、方法、装置和计算机可读介质 | |
| CN103916288A (zh) | 一种基于网关与本地的Botnet检测方法及系统 | |
| Nicholson et al. | Position paper: Safety and security monitoring in ics/scada systems | |
| JP6962476B2 (ja) | 通信装置、通信方法、及び、通信プログラム | |
| CN111935085A (zh) | 工业控制网络异常网络行为的检测防护方法和系统 | |
| US11805142B2 (en) | Communication system and communication method | |
| US20220217172A1 (en) | System and method for protection of an ics network by an hmi server therein | |
| EP2819053A1 (en) | Diagnosing a device in an automation and control system | |
| KR20180012548A (ko) | 자동제어 시스템에서의 이상 행위 판별 방법 | |
| WO2023206521A1 (en) | Method, apparatus and device for hardening assets in ot system and storage medium and computer program product | |
| Nwakanma et al. | Effective Industrial Internet of Things Vulnerability Detection Using Machine Learning | |
| CN112866172A (zh) | 安全防护方法、装置、智能家居系统和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |