CN112822211A - 电力工控便携式自学习工业防火墙系统、装置及使用方法 - Google Patents

电力工控便携式自学习工业防火墙系统、装置及使用方法 Download PDF

Info

Publication number
CN112822211A
CN112822211A CN202110165451.0A CN202110165451A CN112822211A CN 112822211 A CN112822211 A CN 112822211A CN 202110165451 A CN202110165451 A CN 202110165451A CN 112822211 A CN112822211 A CN 112822211A
Authority
CN
China
Prior art keywords
firewall
flow
module
similarity
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110165451.0A
Other languages
English (en)
Other versions
CN112822211B (zh
Inventor
毕玉冰
崔逸群
董夏昕
介银娟
朱博迪
刘超飞
王文庆
邓楠轶
高原英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Thermal Power Research Institute Co Ltd
Original Assignee
Xian Thermal Power Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Thermal Power Research Institute Co Ltd filed Critical Xian Thermal Power Research Institute Co Ltd
Priority to CN202110165451.0A priority Critical patent/CN112822211B/zh
Publication of CN112822211A publication Critical patent/CN112822211A/zh
Application granted granted Critical
Publication of CN112822211B publication Critical patent/CN112822211B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Computer And Data Communications (AREA)

Abstract

电力工控便携式自学习工业防火墙系统、装置及使用方法,所述防火墙系统包括输入模块、流量分析模块、行为相似度计算模块、正常行为特征库、策略配置模块、用户操作模块、输出模块和日志模块;所述防火墙装置包括接收单元、处理单元、发送单元;所述使用方法包括启动防火墙、配置防火墙、接入调试笔记本、接入调试控制器四个步骤。本发明在用户调试笔记本和电力工控系统控制器之间增加了一个具有自学习能力的防火墙装置,该装置能通过自适应学习算法对两者之间的正常流量进行学习,迭代出专属于电厂自身的正常行为特征库,从而识别出调试过程中的恶意攻击行为,实现对调试过程的安全防护。

Description

电力工控便携式自学习工业防火墙系统、装置及使用方法
技术领域
本发明属于工控网络安全技术领域,具体涉及一种适用于电力工控调试场景的便携式自学习工业防火墙系统、装置及使用方法。
背景技术
工控系统指的是工业自动化控制系统,主要是指使用计算机技术、微电子技术、电气手段,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性的系统。电力工控系统就是用于火电、水电、风电、光伏等发电厂,控制发电机、水轮机、风机、锅炉等生产设备的系统,该系统中有大量的PLC、控制器装置,能够通过不同的工控协议,对现场设备进行控制。
为保证电力工控系统的安全、稳定运行,发电厂需要经常对工控系统进行检查、调试、维护和升级,这些工作往往通过使用专门的调试笔记本计算机连接工控系统设备对应的控制器来完成程序的下载、调试、更新和维护。由于调试笔记本是公用设备,使用人员杂、系统更新不及时、管理不规范、维护不到位等都有可能导致笔记本被植入病毒、木马、后门等恶意程序,或被安装无线网卡,成为网络攻击者的跳板机,进而攻击工控系统。由于工控系统的复杂性,现有的工业防火墙主要部署在网络中,只能对从网络发起的对工控控制器的攻击进行检测和阻断,对直接从调试笔记本连接到控制器发起的攻击无能为力。
而且,现有工业防火墙采用的通用包过滤技术、NAT安全技术、流量监测技术、应用协议控制技术、深度内容检测安全技术等,都是基于传统的黑名单机制、标准化业务,与电力工控网络“千人千面”的独特性不相适应,直接运用到电力工控网络中,存在着引发设备误动、阻断正常通讯、在内外网物理隔离的环境中难以更新特征库、发现不及时、准确率低等问题。
发明内容
本发明针对以上不足,提供一种适用于电力工控调试场景的便携式自学习工业防火墙系统、装置及使用方法,本发明在用户调试笔记本和电力工控系统控制器之间增加了一个具有自学习能力的防火墙装置,该装置能通过自适应学习算法对两者之间的正常流量进行学习,迭代出专属于电厂自身的正常行为特征库,从而识别出调试过程中的恶意攻击行为,实现对调试过程的安全防护。
为了达到上述目的,本发明是通过以下技术方案来实现的:
一种电力工控便携式自学习工业防火墙系统,所述防火墙系统包括输入模块1、流量分析模块2、行为相似度计算模块3、正常行为特征库4、策略配置模块5、用户操作模块6、输出模块7和日志模块8,其中:
所述输入模块1用于接入用户调试笔记本,采集调试笔记本发出的流量数据;
所述流量分析模块2用于对输入模块1采集的流量数据进行分析,对不匹配工控协议的流量直接进行丢弃,对匹配工控协议的流量发送给行为相似度计算模块3进行相似度计算,并根据计算结果和用户配置的策略,执行相应的操作;
所述行为相似度计算模块3基于现有的正常行为特征库4,对接收的流量进行行为相似度计算,并将结果反馈给流量分析模块2;
所述正常行为特征库4用于存储调试笔记本和电力工控系统控制器之间已经判断为正常的行为流量特征,并为行为相似度计算模块3提供参考数据;
所述策略配置模块5用于存储用户已经定义的防火墙策略,该策略用于指导流量分析模块2对流量采取何种处理方式;
所述用户操作模块6为用户提供对防火墙策略、设备信息进行配置,并具有查看防火墙日志、报警信息的功能;所述设备信息包括防火墙名称、登录账号和密码、当前日期和时间;
所述输出模块7与流量分析模块2相连接,将允许通过的流量发送出去;
所述日志模块8与流量分析模块2相连接,用于记录用户操作日志、防火墙处理日志;
所述的工控协议包括:ASI、BACnet、CANopen、CC-Link、ControlNet、DALI、DeviceNet、DMX、EIB、EnOcean、EtherCAT、EtherNet/IP、Ethernet TCP/IP、FIAS、Fipio、IEEE 1588、InterBus、IO-Link、LightBus、LON、Modbus、MP-Bus、Profibus、PROFINET、RS232/RS485、SERCOS III;
所述的进行相似度计算,并根据计算结果和用户配置的策略,执行相应的操作的过程的具体步骤包括:
A、流量特征提取:对流量分析模块2发送过来的流量进行特征提取,所述特征包括:协议类型、协议格式、协议长度、报文头部数据块、功能码、数据单元、请求体、时间戳、数据包个数、数据包相隔时间;
B、相似度计算:采用相似度算法,逐一提取正常行为特征库4中的正常流量特征与当前流量进行相似度计算,并给出计算结果R;当正常行为特征库4中没有数据时,直接将当前流量特征放入正常行为特征库4中作为初始化数据,同时,将相似度赋值为1;
C、策略匹配:将流量的相似度计算结果R与用户配置的防火墙策略进行匹配,并根据匹配策略的执行方式执行以下操作中的一种:
1匹配成功且防火墙策略为放行,则将流量发送给输出模块7;
2匹配成功且防火墙策略为丢弃,则将流量丢弃,并记录本次操作到日志中;
3匹配失败,则在用户操作模块6中弹出用户确认界面,要求用户选择处理方式,若用户选择放行,则将该流量发送给输出模块7,同时将该流量特征放入正常行为特征库4中,如用户选择丢弃,则将该流量丢弃,并记录本次操作到日志中;
其中,所述的防火墙策略包括相似度判定条件、执行动作、是否启用;其中,所述的相似度判定条件为以下条件之一:相似度大于设定的阈值、相似度等于设定的阈值、相似度小于设定的阈值;所述执行动作包括放行、丢弃;所述是否启用包括:启用、禁用;所述阈值为0到1之间的任意值。
所述的相似度算法包括:
A、流量特征集合化:将当前流量的特征:协议类型、协议格式、协议长度、报文头部数据块、功能码、数据单元、请求体、时间戳、数据包个数、数据包相隔时间定义为集合S;
B、正常行为特征集合化:从正常行为特征库4中任意取出一个正常流量的行为特征,并定义为集合T;
C、Jaccard相似度计算:使用开源的Min Hashing算法,将S、T作为算法参数,按如下公式计算得到Jasccard相似度:
Figure BDA0002937675010000041
其中,a、b分别为A和B向量中的非零值个数和,c为A、B向量中共同的非零值个数为。Jaccard相似度用于比较有限样本集之间的相似性与差异性,值位于0-1之间,值越大,样本相似度越高;
D、逐一比较:将当前流量特征逐一按照A、B、C步骤与正常行为特征库4中的正常流量特征进行比较,取Jaccard值最大的为相似度值。
一种电力工控便携式自学习工业防火墙装置所述便携式防火墙装置包括接收单元9、处理单元10和发送单元11,其中:
所述的接收单元9包括所述的输入模块1;
所述的处理单元10包括所述的流量分析模块2、行为相似度计算模块3、正常行为特征库4、策略配置模块5、用户操作模块6、日志模块8;
所述的发送单元11包括所述的输出模块7;
所述防火墙装置的尺寸小于100*100*100(mm)。
所述的防火墙装置的使用方法,包括启动防火墙、配置防火墙、接入调试笔记本、接入调试控制器四个步骤,其中:
所述的启动防火墙包括:用户接通防火墙装置电源、防火墙装置自动加载;
所述配置防火墙包括:防火墙装置启动后,进入显示界面,如果防火墙装置还没有配置信息,则提示用户进行配置,如果已经有配置信息,则不提示;
所述接入调试笔记本包括:用户通过防火墙装置的输入口(RJ45口),使用网线或USB转RJ45线,将调试笔记本接入到防火墙装置中;
所述接入调试控制器包括:用户通过防火墙装置的输出口(RJ45口),使用网线将防火墙装置接入电力工控系统控制器的网口。
综上,本发明的有益效果在于:
1)该防火墙系统能够通过学习用户调试过程中的正常的流量数据,并接受用户的指导,逐步学会如何区分正常流量和恶意攻击流量,形成完全符合电厂自身工控系统特征的特征库,对针对该电厂的攻击发现能够更准确、更有针对性;
2)该防火墙装置体积小巧,可随身携带,随时在用户调试笔记本和电力工控系统控制器之间形成一道屏障,对调试的流量进行实时分析和防护,确保了即使调试笔记本存在问题,也不会影响到工控系统上,极大地提高了电力工控系统的安全性;
3)该防火墙装置使用简单、方便,无需用户具备专业知识,降低了用户的使用难度和成本,有利于在电力工控系统中推广运用。
附图说明
图1是本发明防火墙系统的系统架构图。
图2是本发明防火墙装置的组成示意图。
图3是本发明防火墙装置的使用方法示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案做进一步地详细说明。
实施例
图1为本发明一种电力工控便携式自学习工业防火墙系统架构图,所述防火墙系统适用在火电厂、水电厂、风电场、光伏电场等发电厂的工控系统调试环境中使用。
如图1所示,本发明一种电力工控便携式自学习工业防火墙系统,该系统包括输入模块1、流量分析模块2、行为相似度计算模块3、正常行为特征库4、策略配置模块5、用户操作模块6、输出模块7和日志模块8,其中:
所述输入模块1用于接入用户调试笔记本,采集调试笔记本发出的流量数据;
所述流量分析模块2用于对输入模块1采集的流量数据进行分析,对不匹配工控协议的流量直接进行丢弃,对匹配工控协议的流量发送给行为相似度计算模块3进行相似度计算,并根据计算结果和用户配置的策略,执行相应的操作;
所述行为相似度计算模块3基于现有的正常行为特征库4,对接收的流量进行行为相似度计算,并将结果反馈给流量分析模块2;
所述正常行为特征库4用于存储调试笔记本和电力工控系统控制器之间已经判断为正常的行为流量特征,并为行为相似度计算模块3提供参考数据;
所述策略配置模块5用于存储用户已经定义的防火墙策略,该策略用于指导流量分析模块2对流量采取何种处理方式;
所述用户操作模块6为用户提供对防火墙策略、设备信息进行配置,并具有查看防火墙日志、报警信息的功能;所述设备信息包括防火墙名称、登录账号和密码、当前日期和时间;
所述输出模块7将允许通过的流量发送出去;
所述日志模块8用于记录用户操作日志、防火墙处理日志;
作为本发明的优选实施方式,所述的工控协议包括:ASI、BACnet、CANopen、CC-Link、ControlNet、DALI、DeviceNet、DMX、EIB、EnOcean、EtherCAT、EtherNet/IP、EthernetTCP/IP、FIAS、Fipio、IEEE 1588、InterBus、IO-Link、LightBus、LON、Modbus、MP-Bus、Profibus、PROFINET、RS232/RS485和SERCOS III。
作为本发明的优选实施方式,所述的进行相似度计算,并根据计算结果和用户配置的策略,执行相应的操作的过程的具体步骤包括:
A、流量特征提取:对流量分析模块2发送过来的流量进行特征提取,所述特征包括:协议类型、协议格式、协议长度、报文头部数据块、功能码、数据单元、请求体、时间戳、数据包个数、数据包相隔时间;
B、相似度计算:采用相似度算法,逐一提取正常行为特征库4中的正常流量特征与当前流量进行相似度计算,并给出计算结果R;当正常行为特征库4中没有数据时,直接将当前流量特征放入正常行为特征库4中作为初始化数据,同时,将相似度赋值为1;
C、策略匹配:将流量的相似度计算结果R与用户配置的防火墙策略进行匹配,并根据匹配策略的执行方式执行以下操作中的一种:
1匹配成功且防火墙策略为放行,则将流量发送给输出模块7;
2匹配成功且防火墙策略为丢弃,则将流量丢弃,并记录本次操作到日志中;
3匹配失败,则在用户操作模块6中弹出用户确认界面,要求用户选择处理方式,若用户选择放行,则将该流量发送给输出模块7,同时将该流量特征放入正常行为特征库4中,如用户选择丢弃,则将该流量丢弃,并记录本次操作到日志中;
其中,所述的防火墙策略包括相似度判定条件、执行动作、是否启用;其中,所述的相似度判定条件为以下条件之一:相似度大于设定的阈值、相似度等于设定的阈值、相似度小于设定的阈值;所述执行动作包括放行、丢弃;所述是否启用包括:启用、禁用;所述阈值为0到1之间的任意值.
作为本发明的优选实施方式,所述的相似度算法包括:
A、流量特征集合化:将当前流量的特征:协议类型、协议格式、协议长度、报文头部数据块、功能码、数据单元、请求体、时间戳、数据包个数、数据包相隔时间定义为集合S;
B、正常行为特征集合化:从正常行为特征库4中任意取出一个正常流量的行为特征,并定义为集合T;
C、Jaccard相似度计算:使用开源的Min Hashing算法,将S、T作为算法参数,按如下公式计算得到Jasccard相似度:
Figure BDA0002937675010000081
其中,a、b分别为A和B向量中的非零值个数和,c为A、B向量中共同的非零值个数为。Jaccard相似度用于比较有限样本集之间的相似性与差异性,值位于0-1之间,值越大,样本相似度越高;
D、逐一比较:将当前流量特征逐一按照A、B、C步骤与正常行为特征库4中的正常流量特征进行比较,取Jaccard值最大的为相似度值。
本发明实施例提供了一种一种电力工控便携式自学习工业防火墙装置,参阅图2所示,该装置包括:接收单元9、处理单元10、发送单元11,其中:
所述的接收单元9包括所述的输入模块1;
所述的处理单元10包括所述的流量分析模块2、行为相似度计算模块3、正常行为特征库4、策略配置模块5、用户操作模块6、日志模块8;
所述的发送单元11包括所述的输出模块7;
基于以上实施例,本发明实施例提供一种一种电力工控便携式自学习工业防火墙装置的使用方法,包括启动防火墙、配置防火墙、接入调试笔记本、接入调试控制器四个步骤,参阅图3所示的示意图进行说明,其中:
所述的启动防火墙包括:用户接通防火墙装置13电源、防火墙装置13自动加载;
所述配置防火墙包括:防火墙装置13启动后,进入显示界面,如果防火墙装置还没有配置信息,则提示用户进行配置,如果已经有配置信息,则不提示;
所述接入调试笔记本包括:用户通过防火墙装置13的输入口(RJ45口),使用网线或USB转RJ45线,将调试笔记本接入到防火墙装置13中;
所述接入调试控制器包括:用户通过防火墙装置13的输出口(RJ45口),使用网线将防火墙装置13接入电力工控系统控制器14的网口。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种电力工控便携式自学习工业防火墙系统,其特征在于,所述防火墙系统包括输入模块(1)、流量分析模块(2)、行为相似度计算模块(3)、正常行为特征库(4)、策略配置模块(5)、用户操作模块(6)、输出模块(7)和日志模块(8),其中:
所述输入模块(1)用于接入用户调试笔记本,采集调试笔记本发出的流量数据;
所述流量分析模块(2)用于对输入模块(1)采集的流量数据进行分析,对不匹配工控协议的流量直接进行丢弃,对匹配工控协议的流量发送给行为相似度计算模块(3)进行相似度计算,并根据计算结果和用户配置的策略,执行相应的操作;
所述行为相似度计算模块(3)基于现有的正常行为特征库(4),对接收的流量进行行为相似度计算,并将结果反馈给流量分析模块(2);
所述正常行为特征库(4)用于存储调试笔记本和电力工控系统控制器之间已经判断为正常的行为流量特征,并为行为相似度计算模块(3)提供参考数据;
所述策略配置模块(5)用于存储用户已经定义的防火墙策略,该策略用于指导流量分析模块(2)对流量采取何种处理方式;
所述用户操作模块(6)为用户提供对防火墙策略、设备信息进行配置,并具有查看防火墙日志、报警信息的功能;所述设备信息包括防火墙名称、登录账号和密码、当前日期和时间;
所述输出模块(7)与流量分析模块(2)相连接,将允许通过的流量发送出去;
所述日志模块(8)与流量分析模块(2)相连接,用于记录用户操作日志、防火墙处理日志。
2.根据权利要求1所述的防火墙系统,其特征在于,所述的工控协议包括:ASI、BACnet、CANopen、CC-Link、ControlNet、DALI、DeviceNet、DMX、EIB、EnOcean、EtherCAT、EtherNet/IP、Ethernet TCP/IP、FIAS、Fipio、IEEE 1588、InterBus、IO-Link、LightBus、LON、Modbus、MP-Bus、Profibus、PROFINET、RS232/RS485和SERCOS III。
3.根据权利要求1所述的防火墙系统,其特征在于,所述的进行相似度计算,并根据计算结果和用户配置的策略,执行相应的操作的过程的具体步骤包括:
A、流量特征提取:对流量分析模块(2)发送过来的流量进行特征提取,所述特征包括:协议类型、协议格式、协议长度、报文头部数据块、功能码、数据单元、请求体、时间戳、数据包个数、数据包相隔时间;
B、相似度计算:采用相似度算法,逐一提取正常行为特征库(4)中的正常流量特征与当前流量进行相似度计算,并给出计算结果R;当正常行为特征库(4)中没有数据时,直接将当前流量特征放入正常行为特征库(4)中作为初始化数据,同时,将相似度赋值为1;
C、策略匹配:将流量的相似度计算结果R与用户配置的防火墙策略进行匹配,并根据匹配策略的执行方式执行以下操作中的一种:
(1)匹配成功且防火墙策略为放行,则将流量发送给输出模块(7);
(2)匹配成功且防火墙策略为丢弃,则将流量丢弃,并记录本次操作到日志中;
(3)匹配失败,则在用户操作模块(6)中弹出用户确认界面,要求用户选择处理方式,若用户选择放行,则将该流量发送给输出模块(7),同时将该流量特征放入正常行为特征库(4)中,如用户选择丢弃,则将该流量丢弃,并记录本次操作到日志中;
其中,所述的防火墙策略包括相似度判定条件、执行动作、是否启用;其中,所述的相似度判定条件为以下条件之一:相似度大于设定的阈值、相似度等于设定的阈值、相似度小于设定的阈值;所述执行动作包括放行、丢弃;所述是否启用包括:启用、禁用;所述阈值为0到1之间的任意值。
4.根据权利要求3所述的防火墙系统,其特征在于,所述的相似度算法包括:
A、流量特征集合化:将当前流量的特征:协议类型、协议格式、协议长度、报文头部数据块、功能码、数据单元、请求体、时间戳、数据包个数、数据包相隔时间定义为集合S;
B、正常行为特征集合化:从正常行为特征库(4)中任意取出一个正常流量的行为特征,并定义为集合T;
C、Jaccard相似度计算:使用开源的Min Hashing算法,将S、T作为算法参数,按如下公式计算得到Jasccard相似度:
Figure FDA0002937674000000031
其中,a、b分别为A和B向量中的非零值个数和,c为A、B向量中共同的非零值个数为;Jaccard相似度用于比较有限样本集之间的相似性与差异性,值位于0-1之间,值越大,样本相似度越高;
D、逐一比较:将当前流量特征逐一按照A、B、C步骤与正常行为特征库(4)中的正常流量特征进行比较,取Jaccard值最大的为相似度值。
5.一种电力工控便携式自学习工业防火墙装置,其特征在于,所述防火墙装置包括接收单元(9)、处理单元(10)和发送单元(11),其中:
所述的接收单元(9)包括权利要求1所述的输入模块(1);
所述的处理单元(10)包括权利要求1所述的流量分析模块(2)、行为相似度计算模块(3)、正常行为特征库(4)、策略配置模块(5)、用户操作模块(6)、日志模块(8);
所述的发送单元(11)包括权利要求1所述的输出模块(7)。
6.根据权利要求5所述的防火墙装置,其特征在于,所述防火墙装置的尺寸小于100*100*100,单位mm。
7.权利要求5所述的防火墙装置的使用方法,其特征在于,包括启动防火墙、配置防火墙、接入调试笔记本、接入调试控制器四个步骤,其中:
所述的启动防火墙包括:用户接通防火墙装置电源、防火墙装置自动加载;
所述配置防火墙包括:防火墙装置启动后,进入显示界面,如果防火墙装置还没有配置信息,则提示用户进行配置,如果已经有配置信息,则不提示;
所述接入调试笔记本包括:用户通过防火墙装置的输入口即RJ45口,使用网线或USB转RJ45线,将调试笔记本接入到防火墙装置中;
所述接入调试控制器包括:用户通过防火墙装置的输出口即RJ45口,使用网线将防火墙装置接入电力工控系统控制器的网口。
CN202110165451.0A 2021-02-06 2021-02-06 电力工控便携式自学习工业防火墙系统、装置及使用方法 Active CN112822211B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110165451.0A CN112822211B (zh) 2021-02-06 2021-02-06 电力工控便携式自学习工业防火墙系统、装置及使用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110165451.0A CN112822211B (zh) 2021-02-06 2021-02-06 电力工控便携式自学习工业防火墙系统、装置及使用方法

Publications (2)

Publication Number Publication Date
CN112822211A true CN112822211A (zh) 2021-05-18
CN112822211B CN112822211B (zh) 2023-03-24

Family

ID=75862036

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110165451.0A Active CN112822211B (zh) 2021-02-06 2021-02-06 电力工控便携式自学习工业防火墙系统、装置及使用方法

Country Status (1)

Country Link
CN (1) CN112822211B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666137A (zh) * 2022-03-25 2022-06-24 山东鼎夏智能科技有限公司 一种威胁情报处理方法及装置

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102387135A (zh) * 2011-09-29 2012-03-21 北京邮电大学 一种基于用户身份过滤的方法以及防火墙
CN104519016A (zh) * 2013-09-29 2015-04-15 中国电信股份有限公司 防火墙自动防御分布式拒绝服务攻击的方法和装置
CN104735084A (zh) * 2015-04-13 2015-06-24 国家电网公司 一种防火墙基线策略审计方法
US20150286825A1 (en) * 2014-04-04 2015-10-08 Palo Alto Research Center Incorporated Methods for centralized privacy-preserving collaborative threat mitigation
CN105847291A (zh) * 2016-05-13 2016-08-10 内蒙古工业大学 计算机网络防御决策系统
US20170251003A1 (en) * 2016-02-29 2017-08-31 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
CN108933731A (zh) * 2017-05-22 2018-12-04 南京骏腾信息技术有限公司 基于大数据分析的智能网关
CN109327469A (zh) * 2018-11-26 2019-02-12 杨凌汇方农业有限公司 用于管理物联网的方法及智能网关
CN109685376A (zh) * 2018-12-26 2019-04-26 国家电网公司华中分部 一种基于相似度分析理论的电力客户异常行为预警方法
US20190173844A1 (en) * 2017-12-05 2019-06-06 Cyber Security Cloud, Inc. Firewall device
CN110391988A (zh) * 2018-04-16 2019-10-29 阿里巴巴集团控股有限公司 网络流量控制方法、系统及安全防护装置
US20190372934A1 (en) * 2018-06-05 2019-12-05 Imperva, Inc. Aggregating alerts of malicious events for computer security
CN110650151A (zh) * 2019-10-10 2020-01-03 青海大学 一种计算机网络安全远程监控装置
WO2020037478A1 (zh) * 2018-08-21 2020-02-27 上海云剑信息技术有限公司 一种基于状态关系图的工控防火墙实现方法
CN111193719A (zh) * 2019-12-14 2020-05-22 贵州电网有限责任公司 一种网络入侵防护系统
CN111431864A (zh) * 2020-02-28 2020-07-17 深圳开源互联网安全技术有限公司 车联网监控系统、方法、装置及可读存储介质

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102387135A (zh) * 2011-09-29 2012-03-21 北京邮电大学 一种基于用户身份过滤的方法以及防火墙
CN104519016A (zh) * 2013-09-29 2015-04-15 中国电信股份有限公司 防火墙自动防御分布式拒绝服务攻击的方法和装置
US20150286825A1 (en) * 2014-04-04 2015-10-08 Palo Alto Research Center Incorporated Methods for centralized privacy-preserving collaborative threat mitigation
CN104735084A (zh) * 2015-04-13 2015-06-24 国家电网公司 一种防火墙基线策略审计方法
US20170251003A1 (en) * 2016-02-29 2017-08-31 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
CN105847291A (zh) * 2016-05-13 2016-08-10 内蒙古工业大学 计算机网络防御决策系统
CN108933731A (zh) * 2017-05-22 2018-12-04 南京骏腾信息技术有限公司 基于大数据分析的智能网关
US20190173844A1 (en) * 2017-12-05 2019-06-06 Cyber Security Cloud, Inc. Firewall device
CN110391988A (zh) * 2018-04-16 2019-10-29 阿里巴巴集团控股有限公司 网络流量控制方法、系统及安全防护装置
US20190372934A1 (en) * 2018-06-05 2019-12-05 Imperva, Inc. Aggregating alerts of malicious events for computer security
WO2020037478A1 (zh) * 2018-08-21 2020-02-27 上海云剑信息技术有限公司 一种基于状态关系图的工控防火墙实现方法
CN109327469A (zh) * 2018-11-26 2019-02-12 杨凌汇方农业有限公司 用于管理物联网的方法及智能网关
CN109685376A (zh) * 2018-12-26 2019-04-26 国家电网公司华中分部 一种基于相似度分析理论的电力客户异常行为预警方法
CN110650151A (zh) * 2019-10-10 2020-01-03 青海大学 一种计算机网络安全远程监控装置
CN111193719A (zh) * 2019-12-14 2020-05-22 贵州电网有限责任公司 一种网络入侵防护系统
CN111431864A (zh) * 2020-02-28 2020-07-17 深圳开源互联网安全技术有限公司 车联网监控系统、方法、装置及可读存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
P. SENTHILKUMAR AND M. MUTHUKUMAR: "A Study on Firewall System, Scheduling and Routing using pfsense Scheme", 《2018 INTERNATIONAL CONFERENCE ON INTELLIGENT COMPUTING AND COMMUNICATION FOR SMART WORLD (I2C2SW)》 *
关超,蒋建中,郭军利: "基于姿态模型的图像内容过滤防火墙的研究", 《通信技术》 *
曾卫东,杨新民,崔逸群: "火电厂工控系统网络安全风险及防护", 《热力发电》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666137A (zh) * 2022-03-25 2022-06-24 山东鼎夏智能科技有限公司 一种威胁情报处理方法及装置

Also Published As

Publication number Publication date
CN112822211B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
US11595396B2 (en) Enhanced smart process control switch port lockdown
EP2382512B1 (en) Communication module with network isolation and communication filter
US11546295B2 (en) Industrial control system firewall module
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
Yau et al. PLC forensics based on control program logic change detection
CN112578761A (zh) 一种工业控制蜜罐安全防护装置及方法
CN112822211B (zh) 电力工控便携式自学习工业防火墙系统、装置及使用方法
CN112787911A (zh) 一种物联网设备集成网关及系统
CN110266680B (zh) 一种基于双重相似性度量的工业通信异常检测方法
Havlena et al. Accurate Automata-Based Detection of Cyber Threats in Smart Grid Communication
Alsabbagh et al. A fully-blind false data injection on PROFINET I/O systems
US11621972B2 (en) System and method for protection of an ICS network by an HMI server therein
CN116668078A (zh) 一种互联网入侵安全防御系统
Hormann et al. Detecting Anomalies by using Self-Organizing Maps in Industrial Environments.
CN115883169A (zh) 基于蜜罐系统的工控网络攻击报文响应方法及响应系统
CN114760151A (zh) 一种通过plc获取上位机权限的方法和装置
Ponomarev Intrusion Detection System of industrial control networks using network telemetry
GB2568145A (en) Poisoning protection for process control switches
CN112398217A (zh) 一种基于snmp的变电站网络安全监测方法
EP3427438B1 (en) Dc-powered device and electrical arrangement for monitoring unallowed operational data
Patel IEC-61850 protocol analysis and online intrusion detection system for SCADA networks using machine learning
CN115022056A (zh) 针对电网系统的网络攻击行为智能处置方法
CN113965368A (zh) 基于通信协议的网络异常检测方法
CN113904800A (zh) 内部网络风险资产侦测分析系统
CN114839938A (zh) 一种dcs工控网络安全审计分析系统及其审计分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant