CN112738077A - 一种工控网络安全检测系统 - Google Patents
一种工控网络安全检测系统 Download PDFInfo
- Publication number
- CN112738077A CN112738077A CN202011570146.1A CN202011570146A CN112738077A CN 112738077 A CN112738077 A CN 112738077A CN 202011570146 A CN202011570146 A CN 202011570146A CN 112738077 A CN112738077 A CN 112738077A
- Authority
- CN
- China
- Prior art keywords
- production equipment
- module
- network
- behavior
- honeypot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
一种工控网络安全检测系统,包括管理信息网和工业生产网,管理信息网和工业生产网之间设置安全缓冲区,安全缓冲区内设有第一防火墙和入侵检测模块;第一防火墙和入侵检测模块用来阻挡外网用户对系统的入侵;工业生产网中设置蜜罐、第二防火墙、生产设备识别模块、生产设备行为监控模块、生产设备行为分析模块和异常停机模块;蜜罐内设有入侵检测单元、行为记录单元和报警单元;生产设备识别模块内设有生产设备搜索单元、生产设备识别单元和生产设备信息记录单元;本发明中,通过两层网络安全检测防护,提高网络安全检测效果;且蜜罐能快速发现入侵行为,检测效果强;同时能快速发现异常行为并及时停机避免造成严重损失。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种工控网络安全检测系统。
背景技术
在现场总线技术的基础上发展了工业控制网络,它是用具有数字通信能力并能大量分散在生产现场的测量控制仪表作为网络节点而构成的。工业网络具有很高的公开性,对于通信协议的要求也很高。它的运作主要是实现现场的设备之间的信息自由交流,这样就更容易完成控制系统的任务,完成速度更快,但由于其高度的公开性,工控网络很容易受到攻击者利用漏洞进行的攻击,严重的攻击后果甚至可以使工控网络完全瘫痪,导致工业过程失控,造成无法挽回的损失。传统的工控网络安全检测系统是在工业生产网络前部署防火墙和入侵检测系统,此种方式内部网络是公开的,所有的安全依赖于操作系统本身的安全保障措施,实际运行过程中,存在U盘等第三方存储物绕过边界防护而将病毒带入内网的情况,从而造成安全防护可靠性大大降低,且传统的安全检测系统在检测入侵上存在较为严重的滞后性,往往入侵者已经完成了较多的攻击后管理者才能进行有效反击,造成大量损失;同时现有的入侵攻击手段越来越隐秘,越来越难以察觉,往往检测出入侵时已经发生无法挽回的损失甚至攻击者入侵结束后管理员都无法察觉。
中国发明专利公告号为CN106487813A提出的工控网络安全检测系统及检测方法,测试用例模块向模糊测试引擎提供测试用例;模糊测试引擎生成测试数据包并对检测目标进行安全检测,得出包括“正常”、“其他”和“疑似漏洞”的测试结果;监视器实时监测检测目标的状态;根源分析模块驱动模糊测试引擎进行攻击重放,在漏洞验证成功后对异常数据包进行异常分析,得出安全漏洞产生的根源;报告生成引擎生成测试报告。使用该工控网络安全检测系统进行安全检测,检测深入全面,能够有效发现未知安全漏洞,得出安全漏洞产生的根源。但由于工控网络的特性,其本身就会无规则、不定期出现各种漏洞,即使检测出漏洞还是无法对工控网络提供安全防护,入侵者依然能够快速利用漏洞进行攻击。
发明内容
(一)发明目的
为解决背景技术中存在的技术问题,本发明提出一种工控网络安全检测系统,通过第一防火墙和入侵检测模块构建第一层网络安全检测防护,通过蜜罐构建第二层网络安全检测防护,提高网络安全检测效果;且蜜罐正常情况下不被访问,因此所有对其链接的尝试都将被视为可疑操作,这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高,有利于快速发现入侵行为,检测效果强;同时通过设备的实际运行行为与理论运行行为实时比对,能快速发现异常行为并及时停机,即使入侵行为极为隐秘也不会造成严重损失。
(二)技术方案
本发明提出了一种工控网络安全检测系统,包括管理信息网和工业生产网,管理信息网和工业生产网之间设置安全缓冲区,安全缓冲区内设有第一防火墙和入侵检测模块;第一防火墙和入侵检测模块用来阻挡外网用户对系统的入侵;
工业生产网中设置蜜罐、第二防火墙、生产设备识别模块、生产设备行为监控模块、生产设备行为分析模块和异常停机模块;
蜜罐内设有入侵检测单元、行为记录单元和报警单元,入侵检测单元用来识别对蜜罐进行的扫描行为,行为记录单元用来记录入侵者在蜜罐内的行为,报警单元用来通知网络管理员;蜜罐在正常网络流量下不会被访问,所有对其链接的尝试均被视为可疑操作;
第二防火墙用来阻挡外网用户对工业生产网的入侵;
生产设备识别模块内设有生产设备搜索单元、生产设备识别单元和生产设备信息记录单元;生产设备搜索单元用来对工业生产网中的所有节点设备进行搜索,生产设备识别单元用来识别具体的生产设备,识别的信息包括设备类型、厂商型号、设备功能和设备理论运行行为,生产设备信息记录单元用来记录生产设备识别单元识别到的设备信息;生产设备识别模块建立与设备对应的理论运行行为库;
生产设备行为监控模块用来监控并记录生产设备发生的所有实际运行行为;
生产设备行为分析模块用来将实际运行行为与理论运行行为库进行比对,当实际运行行为不在理论运行行为库中时,判定为异常行为,同时通知管理人员;
异常停机模块与生产设备行为分析模块连接,异常停机模块用来停止生产设备的运行,当某一生产设备产生两次同种或不同种的异常行为时,异常停机模块启动将对应的生产设备紧急停机。
优选的,设定蜜罐外发流量上限值,当蜜罐外发的数量达到预先设定的上限时,第二防火墙阻塞后续蜜罐向外发出的所有信息包。
优选的,蜜罐内的漏洞数量多于正常的工业生产网中的漏洞数量。
优选的,提出工控网络安全检测方法,包括以下步骤:S1、生产设备识别模块识别设备类型,建立理论运行行为库;S2、第一防火墙和入侵检测模块检测和阻挡外网入侵行为;S3、蜜罐检测对工业生产网的扫描行为,判定可疑操作;S4、蜜罐甄别可疑操作,确认入侵行为,发送警报信息至管理员;S5、生产设备识别模块加快工作频率,识别某一生产设备产生两次同种或不同种的异常行为时,异常停机模块启动将对应的生产设备紧急停机;S6、蜜罐外发流量达到设定上限后,第二防火墙阻塞后续蜜罐向外发出的所有信息包。
优选的,蜜罐设置多组。
优选的,异常停机模块内设有存储单元,存储单元记录历史设备停机情况,并按照停机时间进行降序排列。
优选的,生产设备识别模块对每个设备进行编号,理论运行行为库与对应编号的设备匹配对应关系。
优选的,第一防火墙包括链路数据过滤模块、攻击检测模块、深度协议过滤模块和日志审计模块;链路数据过滤模块能对IP、TCP、UDP和ICMP三层协议过滤,对ARP和802.1q等二层协议过滤;攻击检测模块能对ICMP Flood、Ping of Deat、UDP Flood、Land、Tear Drop和SYN攻击进行检测;深度协议过滤模块支持OPC、Modbus、IEC 60870-5-104、IEC61850MMS、IEC 61850GOOSE、DNP3、EnIP、CIP、Profinet、Siemens S7和OMRON FIN协议的深度分析;日志审计模块可与远程管理终端互动即时上传日志信息。
本发明的上述技术方案具有如下有益的技术效果:通过第一防火墙和入侵检测模块构建第一层网络安全检测防护,通过蜜罐构建第二层网络安全检测防护,提高网络安全检测效果;且蜜罐正常情况下不被访问,因此所有对其链接的尝试都将被视为可疑操作,这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高,有利于快速发现入侵行为,检测效果强;同时通过设备的实际运行行为与理论运行行为实时比对,能快速发现异常行为并及时停机,即使入侵行为极为隐秘也不会造成严重损失。
附图说明
图1为本发明提出的工控网络安全检测系统的结构图。
图2为本发明提出的工控网络安全检测系统中第一防火墙的结构图。
图3为本发明提出的工控网络安全检测方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
如图1-3所示,本发明提出的一种工控网络安全检测系统,包括管理信息网和工业生产网,管理信息网和工业生产网之间设置安全缓冲区,安全缓冲区内设有第一防火墙和入侵检测模块;第一防火墙和入侵检测模块用来阻挡外网用户对系统的入侵;
工业生产网中设置蜜罐、第二防火墙、生产设备识别模块、生产设备行为监控模块、生产设备行为分析模块和异常停机模块;
蜜罐内设有入侵检测单元、行为记录单元和报警单元,入侵检测单元用来识别对蜜罐进行的扫描行为,行为记录单元用来记录入侵者在蜜罐内的行为,报警单元用来通知网络管理员;蜜罐在正常网络流量下不会被访问,所有对其链接的尝试均被视为可疑操作;
第二防火墙用来阻挡外网用户对工业生产网的入侵;
生产设备识别模块内设有生产设备搜索单元、生产设备识别单元和生产设备信息记录单元;生产设备搜索单元用来对工业生产网中的所有节点设备进行搜索,生产设备识别单元用来识别具体的生产设备,识别的信息包括设备类型、厂商型号、设备功能和设备理论运行行为,生产设备信息记录单元用来记录生产设备识别单元识别到的设备信息;生产设备识别模块建立与设备对应的理论运行行为库;
生产设备行为监控模块用来监控并记录生产设备发生的所有实际运行行为;
生产设备行为分析模块用来将实际运行行为与理论运行行为库进行比对,当实际运行行为不在理论运行行为库中时,判定为异常行为,同时通知管理人员;
异常停机模块与生产设备行为分析模块连接,异常停机模块用来停止生产设备的运行,当某一生产设备产生两次同种或不同种的异常行为时,异常停机模块启动将对应的生产设备紧急停机。
本发明中,第一防火墙和入侵检测模块检测和阻挡外网入侵行为,当入侵者突破第一防火墙和入侵检测模块后进入工业生产网中,蜜罐检测所有扫描行为,当蜜罐被扫描后,判定可疑操作,蜜罐通过后续可以操作的走向甄别可疑操作,确认入侵行为,发送警报信息至管理员,管理员就能及时采取措施进行反击,同时生产设备识别模块加快工作频率,识别某一生产设备产生两次同种或不同种的异常行为时,异常停机模块启动将对应的生产设备紧急停机,防止造成严重损失。本发明中,通过第一防火墙和入侵检测模块构建第一层网络安全检测防护,通过蜜罐构建第二层网络安全检测防护,提高网络安全检测效果;且蜜罐正常情况下不被访问,因此所有对其链接的尝试都将被视为可疑操作,这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高,有利于快速发现入侵行为,检测效果强;同时通过设备的实际运行行为与理论运行行为实时比对,能快速发现异常行为并及时停机,即使入侵行为极为隐秘也不会造成严重损失。
在一个可选的实施例中,设定蜜罐外发流量上限值,当蜜罐外发的数量达到预先设定的上限时,第二防火墙阻塞后续蜜罐向外发出的所有信息包;防止攻击者短时间内入侵破解蜜罐并利用蜜罐作为跳板进行继续入侵其他设备。
在一个可选的实施例中,蜜罐内的漏洞数量多于正常的工业生产网中的漏洞数量;更加容易吸引攻击者注意,让其首先将时间花在攻击蜜罐服务器上,可以是网络管理员及时发现有攻击者入侵并及时采取措施,从而使最初可能受攻击的目标得到了保护,真正有价值的内容没有受到侵犯。
在一个可选的实施例中,提出工控网络安全检测方法,包括以下步骤:
S1、生产设备识别模块识别设备类型,建立理论运行行为库;
S2、第一防火墙和入侵检测模块检测和阻挡外网入侵行为;
S3、蜜罐检测对工业生产网的扫描行为,判定可疑操作;
S4、蜜罐甄别可疑操作,确认入侵行为,发送警报信息至管理员;
S5、生产设备识别模块加快工作频率,识别某一生产设备产生两次同种或不同种的异常行为时,异常停机模块启动将对应的生产设备紧急停机;
S6、蜜罐外发流量达到设定上限后,第二防火墙阻塞后续蜜罐向外发出的所有信息包;蜜罐能在第一时间发现扫描或者其他异常入侵行为,便于管理人员快速反应,同时蜜罐还能起到陷阱作用,便于消耗攻击者大量精力,延缓攻击者入侵工业生产网的速度,从而对网络安全起到保护作用。
在一个可选的实施例中,蜜罐设置多组;便于诱使攻击者首先破解蜜罐,对其他设备提供保护。
在一个可选的实施例中,异常停机模块内设有存储单元,存储单元记录历史设备停机情况,并按照停机时间进行降序排列;便于后续查看停机记录。
在一个可选的实施例中,生产设备识别模块对每个设备进行编号,理论运行行为库与对应编号的设备匹配对应关系;比对实际运行行为时,先通过编号快速锁定对应设备,提高比对效率。
在一个可选的实施例中,第一防火墙包括链路数据过滤模块、攻击检测模块、深度协议过滤模块和日志审计模块;链路数据过滤模块能对IP、TCP、UDP和ICMP三层协议过滤,对ARP和802.1q等二层协议过滤;攻击检测模块能对ICMP Flood、Ping of Deat、UDPFlood、Land、Tear Drop和SYN攻击进行检测;深度协议过滤模块支持OPC、Modbus、IEC60870-5-104、IEC 61850MMS、IEC 61850GOOSE、DNP3、EnIP、CIP、Profinet、Siemens S7和OMRON FIN协议的深度分析;日志审计模块可与远程管理终端互动即时上传日志信息;能对市面上各种协议进行深度分析,对产生的日志进行分析,便于发现入侵行为。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (8)
1.一种工控网络安全检测系统,其特征在于,包括管理信息网和工业生产网,管理信息网和工业生产网之间设置安全缓冲区,安全缓冲区内设有第一防火墙和入侵检测模块;第一防火墙和入侵检测模块用来阻挡外网用户对系统的入侵;
工业生产网中设置蜜罐、第二防火墙、生产设备识别模块、生产设备行为监控模块、生产设备行为分析模块和异常停机模块;
蜜罐内设有入侵检测单元、行为记录单元和报警单元,入侵检测单元用来识别对蜜罐进行的扫描行为,行为记录单元用来记录入侵者在蜜罐内的行为,报警单元用来通知网络管理员;蜜罐在正常网络流量下不会被访问,所有对其链接的尝试均被视为可疑操作;
第二防火墙用来阻挡外网用户对工业生产网的入侵;
生产设备识别模块内设有生产设备搜索单元、生产设备识别单元和生产设备信息记录单元;生产设备搜索单元用来对工业生产网中的所有节点设备进行搜索,生产设备识别单元用来识别具体的生产设备,识别的信息包括设备类型、厂商型号、设备功能和设备理论运行行为,生产设备信息记录单元用来记录生产设备识别单元识别到的设备信息;生产设备识别模块建立与设备对应的理论运行行为库;
生产设备行为监控模块用来监控并记录生产设备发生的所有实际运行行为;
生产设备行为分析模块用来将实际运行行为与理论运行行为库进行比对,当实际运行行为不在理论运行行为库中时,判定为异常行为,同时通知管理人员;
异常停机模块与生产设备行为分析模块连接,异常停机模块用来停止生产设备的运行,当某一生产设备产生两次同种或不同种的异常行为时,异常停机模块启动将对应的生产设备紧急停机。
2.根据权利要求1所述的工控网络安全检测系统,其特征在于,设定蜜罐外发流量上限值,当蜜罐外发的数量达到预先设定的上限时,第二防火墙阻塞后续蜜罐向外发出的所有信息包。
3.根据权利要求1所述的工控网络安全检测系统,其特征在于,蜜罐内的漏洞数量多于正常的工业生产网中的漏洞数量。
4.根据权利要求1-3任一所述的工控网络安全检测系统,提出工控网络安全检测方法,其特征在于,包括以下步骤:
S1、生产设备识别模块识别设备类型,建立理论运行行为库;
S2、第一防火墙和入侵检测模块检测和阻挡外网入侵行为;
S3、蜜罐检测对工业生产网的扫描行为,判定可疑操作;
S4、蜜罐甄别可疑操作,确认入侵行为,发送警报信息至管理员;
S5、生产设备识别模块加快工作频率,识别某一生产设备产生两次同种或不同种的异常行为时,异常停机模块启动将对应的生产设备紧急停机;
S6、蜜罐外发流量达到设定上限后,第二防火墙阻塞后续蜜罐向外发出的所有信息包。
5.根据权利要求1所述的工控网络安全检测系统,其特征在于,蜜罐设置多组。
6.根据权利要求1所述的工控网络安全检测系统,其特征在于,异常停机模块内设有存储单元,存储单元记录历史设备停机情况,并按照停机时间进行降序排列。
7.根据权利要求1所述的工控网络安全检测系统,其特征在于,生产设备识别模块对每个设备进行编号,理论运行行为库与对应编号的设备匹配对应关系。
8.根据权利要求1所述的工控网络安全检测系统,其特征在于,第一防火墙包括链路数据过滤模块、攻击检测模块、深度协议过滤模块和日志审计模块;链路数据过滤模块能对IP、TCP、UDP和ICMP三层协议过滤,对ARP和802.1q等二层协议过滤;攻击检测模块能对ICMPFlood、Ping of Deat、UDP Flood、Land、Tear Drop和SYN攻击进行检测;深度协议过滤模块支持OPC、Modbus、IEC 60870-5-104、IEC 61850MMS、IEC 61850GOOSE、DNP3、EnIP、CIP、Profinet、Siemens S7和OMRON FIN协议的深度分析;日志审计模块可与远程管理终端互动即时上传日志信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011570146.1A CN112738077A (zh) | 2020-12-26 | 2020-12-26 | 一种工控网络安全检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011570146.1A CN112738077A (zh) | 2020-12-26 | 2020-12-26 | 一种工控网络安全检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112738077A true CN112738077A (zh) | 2021-04-30 |
Family
ID=75616737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011570146.1A Pending CN112738077A (zh) | 2020-12-26 | 2020-12-26 | 一种工控网络安全检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738077A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115348109A (zh) * | 2022-09-28 | 2022-11-15 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
CN115618353A (zh) * | 2022-10-21 | 2023-01-17 | 北京珞安科技有限责任公司 | 一种工业生产安全的识别系统及方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
CN110495138A (zh) * | 2017-05-31 | 2019-11-22 | 西门子股份公司 | 工业控制系统及其网络安全的监视方法 |
US20200137112A1 (en) * | 2018-10-30 | 2020-04-30 | Charter Communications Operating, Llc | Detection and mitigation solution using honeypots |
CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
-
2020
- 2020-12-26 CN CN202011570146.1A patent/CN112738077A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
CN110495138A (zh) * | 2017-05-31 | 2019-11-22 | 西门子股份公司 | 工业控制系统及其网络安全的监视方法 |
CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
US20200137112A1 (en) * | 2018-10-30 | 2020-04-30 | Charter Communications Operating, Llc | Detection and mitigation solution using honeypots |
CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115348109A (zh) * | 2022-09-28 | 2022-11-15 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
CN115348109B (zh) * | 2022-09-28 | 2023-02-03 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
CN115618353A (zh) * | 2022-10-21 | 2023-01-17 | 北京珞安科技有限责任公司 | 一种工业生产安全的识别系统及方法 |
CN115618353B (zh) * | 2022-10-21 | 2024-01-23 | 北京珞安科技有限责任公司 | 一种工业生产安全的识别系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7603709B2 (en) | Method and apparatus for predicting and preventing attacks in communications networks | |
US7624447B1 (en) | Using threshold lists for worm detection | |
JP4501280B2 (ja) | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 | |
Ganame et al. | A global security architecture for intrusion detection on computer networks | |
US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
US20100251370A1 (en) | Network intrusion detection system | |
CN112738077A (zh) | 一种工控网络安全检测系统 | |
EP1595193B1 (en) | Detecting and protecting against worm traffic on a network | |
Singh et al. | Testbed-based evaluation of siem tool for cyber kill chain model in power grid scada system | |
CN110636086A (zh) | 网络防护测试方法及装置 | |
CN116827675A (zh) | 一种网络信息安全分析系统 | |
CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
Zhang et al. | Unveiling malicious activities in lan with honeypot | |
Bhatnagar et al. | The proposal of hybrid intrusion detection for defence of sync flood attack in wireless sensor network | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
CN111885020A (zh) | 一种分布式架构的网络攻击行为实时捕获与监控系统 | |
Kato et al. | A real-time intrusion detection system (IDS) for large scale networks and its evaluations | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
Wu et al. | Study of intrusion detection systems (IDSs) in network security | |
Pao et al. | Netflow based intrusion detection system | |
CN215912109U (zh) | 实时检测网络数据流量及攻击的工控网架构 | |
CN115314252B (zh) | 应用于工业防火墙的防护方法、系统、终端及存储介质 | |
Abdulrezzak et al. | Enhancing Intrusion Prevention in Snort System | |
CN116112295B (zh) | 一种外连类攻击结果研判方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210430 |
|
RJ01 | Rejection of invention patent application after publication |