CN113098837B - 工业防火墙状态检测方法、装置、电子设备及存储介质 - Google Patents

工业防火墙状态检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113098837B
CN113098837B CN202110192210.5A CN202110192210A CN113098837B CN 113098837 B CN113098837 B CN 113098837B CN 202110192210 A CN202110192210 A CN 202110192210A CN 113098837 B CN113098837 B CN 113098837B
Authority
CN
China
Prior art keywords
state
message data
detection
state transition
time interval
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110192210.5A
Other languages
English (en)
Other versions
CN113098837A (zh
Inventor
孙利民
陈新
刘凯祥
谢永芳
吕世超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202110192210.5A priority Critical patent/CN113098837B/zh
Publication of CN113098837A publication Critical patent/CN113098837A/zh
Application granted granted Critical
Publication of CN113098837B publication Critical patent/CN113098837B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种工业防火墙状态检测方法、装置、电子设备及存储介质,属于工业控制系统安全技术领域,所述方法包括:根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测;基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。本发明通过对获取工业控制系统的消息数据进行第一阶段的合法性检测和第二阶段的状态转移概率的检测,提高了对消息数据检测的精度,有效防止工业控制系统遭受网络攻击。

Description

工业防火墙状态检测方法、装置、电子设备及存储介质
技术领域
本发明涉及工业控制系统安全技术领域,尤其涉及一种工业防火墙状态检测方法、装置、电子设备及存储介质。
背景技术
工业控制系统(Industrial Control System,ICS)包括监控和数据采集(Supervisory Control and Data Acquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)和可编程逻辑控制器(Programmable LogicController,PLC)等,广泛应用于电力、水利、石油化工和冶金等工业领域,是国家关键基础设施的重要组成部分。近年来,为了促进更高效的远程控制,ICS与信息和通信技术广泛融合,但该技术为ICS带来高效便捷的同时,也导致ICS易遭受网络攻击。
工业防火墙是专为保护ICS信息安全而设计。然而,现有工业防火墙存在以下几点不足:1)使用深度包检测(Deep Packet Inspection,DPI)算法,仅能检测部分载荷内容数据,经过特别构造、携带恶意载荷的数据包,可利用该缺点绕过防火墙的检测。2)仅检测单条数据报文,未考虑ICS操作指令间的关联性,无法检测针对ICS的语义攻击。3)大部分ICS设备同时支持网络协议与串行链路协议,而工业防火墙主要针对ICS网络协议,未考虑串行链路协议。
发明内容
本发明提供一种工业防火墙状态检测方法、装置、电子设备及存储介质,用以解决现有技术中上述工业防火墙检测精度低及不支持串行链路协议的缺陷,实现工业防火墙检测精度高及支持串行链路协议。
本发明提供一种工业防火墙状态检测方法,包括:
根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测;
基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。
根据本发明提供的一种工业防火墙状态检测方法,所述根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测之前,包括:
使用串口采集历史消息数据;
根据CPI算法,对每条历史消息数据按照六元组定义为状态事件;
根据所述历史消息数据自学习构建预设DTMC模型,所述预设DTMC模型存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息。
据本发明提供的一种工业防火墙状态检测方法,所述六元组包括:
第一元组,所述第一元组为设备从站地址;
第二元组,所述第二元组为报文请求/响应类别;
第三元组,所述第三元组为协议功能码;
第四元组,所述第四元组为协议参数数据;
第五元组,所述第五元组为校验码数据;
第六元组,所述第六元组为状态事件时间戳;
基于所述第一元组~第六元组的信息,预设协议指令序列映射的状态事件具有唯一性,所述状态事件包括状态事件出度值和状态事件入度值两个统计属性。
据本发明提供的一种工业防火墙状态检测方法,根据所述历史消息数据自学习构建预设DTMC模型,包括:
步骤一,根据状态事件的六元组定义完成预设协议指令数据到状态事件的映射,若映射成功,则直接执行步骤三,否则执行步骤二;
步骤二,根据当前消息创建新的状态事件,执行步骤三;
步骤三,更新当前状态与前一跳状态的转移关系,将前一跳状态事件出度值加1和当前状态事件入度值加1,并将当前状态事件的第六元组的值设为当前消息的时间戳,执行步骤四;
步骤四,将当前消息的时间戳与前一跳状态事件时间戳的差值作为转移时间间隔信息添加至对应的转移关系序列集合,执行步骤五;
步骤五,重复执行所述步骤一~步骤四,直至所有历史消息数据映射完毕,以实现自学习构建所述预设DTMC模型。
据本发明提供的一种工业防火墙状态检测方法,所述步骤五之后,还包括:
对每个状态节点的转移关系有向边序列进行计算,得到状态转移概率以及状态转移时间间隔的均值;
所述状态转移概率的计算公式为:ρ=n/N,
其中,ρ为状态转移概率,n为边序列转移次数,N为状态节点的出度值;
所述状态转移时间间隔的均值的计算公式为:δ=τ/n,
其中,δ为状态转移时间间隔的均值,τ为状态转移时间间隔累计,n为边序列转移次数。
据本发明提供的一种工业防火墙状态检测方法,所述根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,包括:
步骤一,对获取工业控制系统的第一条消息数据,根据已构建的所述预设DTMC模型的状态节点,使用CPI算法检测所述第一条消息数据,若未检测到,则判断所述第一条消息数据为非法状态节点;若检测到,则判断所述第一条消息数据为合法状态节点,对后续的消息数据执行步骤二;
步骤二,根据前一状态节点的后继状态节点,使用CPI算法检测当前消息数据,若未检测到,则判断所述当前消息数据为非法状态转移;若检测到,则判断所述当前消息数据为合法状态转移并执行步骤三;
步骤三,计算当前状态与前一状态的状态转移时间间隔,执行步骤四;
步骤四,将所述状态转移时间间隔的值与预设训练状态转移时间间隔的值进行比较,比较的式子如下:
Figure GDA0003743570600000041
其中,τdetect为当前状态与前一状态的转移时间间隔的值,τtrain为预设训练状态转移时间间隔的值,θτ为时间间隔偏差阈值;
若满足所述式子,则检测出非法状态转移时间间隔。
据本发明提供的一种工业防火墙状态检测方法,所述基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,包括:
计算当前状态与前一状态的状态转移概率;
将所述状态转移概率与预设训练状态转移概率进行比较,比较的式子如下:
detecttrain|>θρ
其中,ρdetect为当前状态与前一状态的状态转移概率,ρtrain为预设训练状态转移概率,θρ为概率偏差阈值;
若满足所述式子,则检测出非法状态转移概率。
本发明还提供一种工业防火墙状态检测装置,包括:
第一阶段检测模块,用于根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及对状态转移时间间隔的合法性检测;
第二阶段检测模块,用于基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率分布的检测。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述工业防火墙状态检测方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述工业防火墙状态检测方法的步骤。
本发明提供的一种工业防火墙状态检测方法、装置、电子设备及存储介质,通过对获取工业控制系统的消息数据进行第一阶段的合法性检测和第二阶段的状态转移概率的检测,提高了对消息数据检测的精度,有效防止工业控制系统遭受网络攻击。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的工业防火墙状态检测方法的流程示意图;
图2是本发明提供的构建预设DTMC模型的流程示意图;
图3是本发明提供的状态事件的六元组的示意图;
图4是本发明提供的第一阶段的检测的流程示意图;
图5是本发明提供的第二阶段的检测的流程示意图;
图6是本发明提供的一实施例的工业防火墙状态检测方法的流程示意图;
图7是本发明提供的工业防火墙状态检测装置的结构框图;
图8是本发明提供的电子设备的结构示意图;
图9是本发明提供的CPI算法与DPI算法对比的示意图;
图10是本发明提供的Modbus RTU消息数据的示意图;
图11是本发明提供的构建预设DTMC模型第一阶段的示意图;
图12是本发明提供的构建预设DTMC模型第二阶段的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
以下将针对本发明涉及的技术术语进行说明:
工业控制系统(Industrial Control System,ICS)是一个通用术语,它包括几种工业生产中使用的控制系统类型,即包括监控和数据采集(SCADA)系统,分布式控制系统(DCS),和其他较小的控制系统配置,如可编程逻辑控制器(PLC),通常出现在工业部门和关键基础设施中。
ICS主要用于电力,水利,石油,天然气和数据等行业。基于从远程站点获取的数据,自动化或者操作者驱动的监控命令可以推送到远程站点的控制设备,这种设备通常被称为现场设备。现场设备控制诸如开闭阀和断路器的本地操作,从传感器系统收集数据,并监测本地环境的报警条件。
SCADA(SupervisoryControlAndDataAcquisition)数据采集与监控系统是工业控制的核心系统,可以对现场的设备进行实时监视和控制。实现数据采集、设备控制、测量、参数调节、各类信号报警等。
DCS(DistributedControlSystems)分布式控制系统应用于基于流程的控制行业,实现对各子系统运行过程的整体管控。
PLC(ProgrammableLogicControllers)可编程逻辑控制器用于实现工业设备的具体操作与工艺控制,通常SCADA或DCS系统调用各PLC组件,为其分布式业务提供基本操作。
由于数据通常在使用互联网时在网络空间中的计算机与服务器和路由器之间进行交换,而防火墙的目的是监视所述数据(以数据包的形式发送)并检查是否安全。防火墙通过确定数据包是否符合已经建立的规则来检查数据包是否安全,根据这些规则,数据包被拒绝或接受。而工业防火墙是专为保护ICS信息安全而设计的。
深度包检测技术(Deep Packet Inspection,简称DPI)是在传统IP数据包检测技术(OSI L2-L4之间包含的数据包元素的检测分析)之上增加了对应用层数据的应用协议识别,数据包内容检测与深度解码。通过对网络通讯的原始数据包捕获,DPI技术可使用其三大类的检测手段:基于应用数据的“特征值”检测、基于应用层协议的识别检测、基于行为模式的数据检测。根据不同的检测方法对通信数据包可能含有的异常数据做逐一的拆包分析,深度挖掘出宏观数据流中存在的细微数据变化。
CPI(Comprehensive Packet Inspection,综合包检测技术)算法,本发明所述CPI算法是在传统DPI算法基础上,增加了对整个数据域的检测,具体可参考图9、图10。
马尔可夫链(Markov chain),又称离散时间马尔可夫链(discrete-time Markovchain,缩写为DTMC),因俄国数学家安德烈·马尔可夫得名,为状态空间中经过从一个状态到另一个状态的转换的随机过程。该过程要求具备“无记忆”的性质:下一状态的概率分布只能由当前状态决定,在时间序列中它前面的事件均与之无关。这种特定类型的“无记忆性”称作马尔可夫性质。马尔科夫链作为实际过程的统计模型具有许多应用。
传统的数据包过滤防火墙只是通过检测IP数据包头的相关信息来决定数据流的通过还是拒绝,而本发明是基于状态检测技术提出的一种工业防火墙状态检测方法、装置、电子设备及存储介质。状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有数据包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统数据包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
下面结合图1-图12描述本发明的工业防火墙状态检测方法、装置、电子设备及存储介质。
图1是本发明提供的工业防火墙状态检测方法的流程示意图,如图所示。一种工业防火墙状态检测方法,包括:
步骤101,根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测。
步骤102,基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。
需要说明的是,所述工业控制系统的周期性消息数量可以是系统预先设置的某个数量值M,也可以是根据实际系统检测需要设置的某个数量值N,本发明对所述周期性数量的值不限定,当然本发明也不限定所述消息是历史消息还是实时消息。
本发明所述工业防火墙状态检测方法的检测过程分为两个部分,第一阶段(即起始阶段)和第二阶段(即后续阶段)。在起始阶段仅检测状态节点的合法性、状态转移的合法性以及状态转移时间间隔的合法性。而在获取一定数量历史数据后,增加后续阶段对状态概率的检测,所以提高了检测的精度。
图2是本发明提供的构建预设DTMC模型的流程示意图,如图所示。所述步骤101之前,即所述根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测之前,包括:
步骤201,使用串口采集程序,采集正常串口的历史消息数据。
可选的,通过使用串口采集历史消息数据,可使得本发明所述工业防火墙同时支持网络协议和串行链路协议。
可选的,可通过搭建仿真环境,采集长达预设时长(比如1小时)的正常流量数据,并将所述预设时长分为两个时间段,第一时间段(比如前50分钟)的流量数据作为训练数据,用于构建预设DTMC模型;第二时间段(比如后10分钟),通过篡改、重放等方式构造用于检测的时序攻击(data_set1)、注入攻击(data_set2)以及次序攻击(data_set3)。
步骤202,根据CPI(Comprehensive Packet Inspection,综合包检测技术)算法,对每条历史消息数据按照六元组定义为状态事件。
可选的,所述CPI算法为综合包检测算法,可以检测载荷的全部内容数据,包括经过特别构造、携带恶意载荷的数据包,都能检测出。
以下对本发明提供的CPI算法进行描述,如下:
CPI算法在传统DPI算法基础上,增加了对整个数据域的检测。以Modbus RTU协议为例,DPI算法与CPI算法检测区域的对比,如图9所示,图9示出的灰色模块对应是DPI算法可检测到的内容数据与CPI算法可检测到的内容数据。
为解决不同协议的载荷结构存在差异性等难题,CPI算法将载荷内容按层次划分,实现更加系统、全面、有效地检测。以一条具体的Modbus RTU消息数据,说明各个域的位置,如图10所示,图10示出了CPI各域位置。
其中,协议载荷内容层次:1)主域,载荷中首先检测的域,如Modbus RTU协议中的从站地址。2)父域与子域,载荷中有关联性的相邻域,如Modbus RTU协议中功能码域与数据域,前者为父域,后者为子域。3)独立域,该域与其他域相互无关联,如标志数据。4)固有范围与限定范围,如功能码或寄存器地址等在协议标准中已规定范围,此为固有范围。但在实际设备中,不同产品支持的功能码或寄存器地址范围不同,其支持的功能码或寄存器地址范围为限定范围。
可选的,所述六元组包括(如图3所示):
第一元组(slaveId),所述第一元组为设备从站地址;
第二元组(pktType),所述第二元组为报文请求/响应类别;
第三元组(funCode),所述第三元组为协议功能码;
第四元组(pduData),所述第四元组为协议参数数据;
第五元组(checkSum),所述第五元组为校验码数据;
第六元组(time),所述第六元组为状态事件时间戳。
基于所述第一元组~第六元组的信息,预设协议(比如Modbus RTU)指令序列映射的状态事件具有唯一性,所述状态事件包括状态事件出度值(OUT)和状态事件入度值(IN)两个统计属性。
其中,Modbus是一种串行通信协议,可以用RTU(远程终端模型)和ASCII(美国信息交换标准代码)两种方式进行协议数据的互传,RTU是通过二进制数据方式直接传送数据。
步骤203,根据所述历史消息数据自学习构建预设DTMC模型,所述DTMC模型存储状态信息作为工业防火墙检测的状态集合,包括存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息。
具体的,上述步骤203中,所述根据所述历史消息数据自学习构建预设DTMC模型,包括:
步骤一,根据状态事件的六元组定义完成预设协议(比如网络协议或串行链路协议)指令数据到状态事件的映射,若映射成功,则直接执行步骤三,否则执行步骤二。
步骤二,根据当前消息创建新的状态事件,执行步骤三。
步骤三,更新当前状态与前一跳状态的转移关系,将前一跳状态事件出度值加1和当前状态事件入度值加1,并将当前状态事件的第六元组的值设为当前消息的时间戳,执行步骤四。
步骤四,将当前消息的时间戳与前一跳状态事件时间戳的差值作为转移时间间隔信息添加至对应的转移关系序列集合,执行步骤五。
步骤五,重复执行所述步骤一~步骤四,直至所有历史消息数据映射完毕,以实现自学习构建所述预设DTMC模型。
进一步的,在上述步骤五中,构建完成所述预设DTMC模型之后,需要对每个状态节点的转移关系有向边序列进行统计,计算求得转移概率以及转移时间间隔均值。
比如,以<1,2>边序列为例,记状态节点1的出度值为N,边序列转移次数为n,时间间隔累计和为τ,则1,2状态节点间的转移关系中转移概率ρ计算公式为(1),时间间隔均值δ计算公式为(2):
ρ=n/N (1);
δ=τ/n (2)。
因此,本发明利用ICS行为有限与状态有限的特征,根据历史流量数据构建ICS正常行为模型(即预设DTMC模型)。
具体的,以下将针对本发明提供的预设模型的构建过程进行描述。
马尔科夫模型是经典的概率统计模型,本发明通过应用DTMC模型进行工业防火墙的状态检测。
以下是DTMC模型的相关定义与定理:
定义1:如果一个随机过程{Xn,n≥1}对所有的n≥1,j∈S与sm∈S(1≤m≤n)式(1)成立,则称作具有状态空间S={s1,s2,…}的(一阶)DTMC。
Pr(Xn+1=j|Xn=sn,Xn-1=sn-1,…,X1=s1)=
Pr(Xn+1=j|Xn=sn) (1);
定义2:一个DTMC{Xn,n≥1}对所有j∈S和i∈S,若条件概率Pr(Xn+1=j|Xn=i)与n无关,则其满足不动性假设,称作是时间齐次的。
当DTMC{Xn,n≥1}是时间齐次时,pij=Pr(Xn+1=j|Xn=i)称作(一步)转移概率,由(一步)转移概率pij构成的矩阵P=[pij]称作(一步)转移概率矩阵。ai=Pr(X1=i)称作状态i的初始出现概率,由状态的初始出现概率构成行向量A=(ai)i∈S称作初始概率分布。
定理1:时间齐次的DTMC{Xn,n≥1}由初始概率分布A和转移概率矩阵P完全刻画,即:
Figure GDA0003743570600000121
定义3:如果一个DTMC{Xn,n≥1}初始概率分布A和转移概率矩阵P满足式(3),则称作平稳的。
A=A×P (3);
定理2:对平稳的DTMC{Xn,n≥1},式(4)成立:
Pr(Xn=i)=Pr(X1=i)=ai (4);
由定理1和定理2得定理3。
定理3:对平稳的、时间齐次的DTMC{Xn,n≥1},有式(5):
Figure GDA0003743570600000122
DTMC建模说明:
为了详细说明DTMC的构建过程,以如下4条通信数据为例进行说明:
(1),slaveId="1"、pktType="0"、funCode="1"、pduData="0,2"、checkSum="52157"、time="2021-1-11 10:14:00.269";
(2),slaveId="1"、pktType="1"、funCode="1"、pduData="0,2;00"、checkSum="34897"、time="2021-1-1110:14:00.347";
(3),slaveId="1"、pktType="0"、funCode="1"、pduData="0,2"、checkSum="52157"、time="2021-1-11 10:14:01.268";
(4),slaveId="1"、pktType="1"、funCode="1"、pduData="0,2;00"、checkSum="34897"、time="2021-1-11 10:14:01.346"。
上述通信数据构建DTMC模型的第一阶段,如下:
对于通信数据(1),数据到状态事件的映射失败,因为当前未创建任何状态事件。因此创建新的状态事件1,该状态事件表示一条主站发送至从站地址为1的设备,读取线圈地址0开始的2个值的请求消息;通信数据(2),表示一条从站地址1的设备,返回线圈地址0开始的2个值的响应消息。该消息无法映射到状态1,因此创建新的状态2,将该消息时间戳"2021-1-11 10:14:00.347"与状态事件a时间戳"2021-1-11 10:14:00.269"的差值添加到对应边的数值集合中以及对应边的count值加1,并且将状态事件1的出度值加1,状态事件2的入度值加1。具体过程如图11所示。
上述通信数据构建DTMC模型的第二阶段,如下:
通信数据(3)根据状态事件的定义可映射到状态事件1,因此将状态事件1的time值设为当前消息的时间戳"2021-1-11 10:14:01.268",将该数据时间戳与状态事件2时间戳的差值添加到对应边的数值集合中以及对应边的count值加1,并且将状态事件2的出度值加1,状态事件1的入度值加1;通信数据(4)根据状态事件的定义可映射为状态事件2,因此将状态事件2的time值设为当前消息的时间戳"2021-1-11 10:14:01.346",并且将该数据时间戳与状态事件1时间戳的差值添加到对应边的数值集合中以及对应边的count值加1,并且将状态事件1的出度值加1,状态事件2的入度值加1。具体过程如图12所示。
DTMC模型构建完成后,对每个状态节点的转移关系进行统计,计算转移概率以及转移时间间隔均值。以<1,2>转移关系为例,记状态节点1的出度为N,边序列转移次数为n,时间间隔累计和为τ,则1,2状态节点间的转移关系中转移概率ρ计算公式为(6),时间间隔均值δ计算公式为(7)。
ρ=n/N (6);
δ=τ/n (7)。
图4是本发明提供的第一阶段的检测的流程示意图,如图所示。上述步骤101中,所述根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,包括:
步骤401,对获取工业控制系统的第一条消息数据,根据已构建的所述预设DTMC模型的状态节点,使用CPI算法检测所述第一条消息数据,若未检测到,则判断所述第一条消息数据为非法状态节点;若检测到,则判断所述第一条消息数据为合法状态节点,对后续的消息数据执行步骤402。
步骤402,根据前一状态节点的后继状态节点,使用CPI算法检测当前消息数据,若未检测到,则判断所述当前消息数据为非法状态转移;若检测到,则判断所述当前消息数据为合法状态转移并执行步骤403。
步骤403,计算当前状态与前一状态的状态转移时间间隔,执行步骤404。
步骤404,将所述状态转移时间间隔的值τdetect与预设训练状态转移时间间隔的值τtrain进行比较,比较的式子如下:
Figure GDA0003743570600000141
其中,τdetect为当前状态与前一状态的转移时间间隔的值,τtrain为预设训练状态转移时间间隔的值,θτ为时间间隔偏差阈值。
若满足上述所述式子,则检测出τdetect为非法状态转移时间间隔;若不满足上述所述式子,则检测出τdetect为合法的状态转移时间间隔。
图5是本发明提供的第二阶段的检测的流程示意图,如图所示。所述步骤102中,所述基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,包括:
步骤501,计算当前状态与前一状态的状态转移概率。
步骤502,将所述状态转移概率ρdetect与预设训练状态转移概率ρtrain进行比较,比较的式子如下:
detecttrain|>θρ
其中,ρdetect为当前状态与前一状态的状态转移概率,ρtrain为预设训练状态转移概率,θρ为概率偏差阈值。
若满足上述所述式子,则检测出ρdetect为非法状态转移概率;若不满足上述所述式子,则检测出为ρdetect为合法的状态转移概率。
综上可知,经过上述第一阶段和第二阶段的检测,并且在第一阶段对状态节点的检测使用了CPI算法,使得本发明能够检测全部载荷内容数据,并且考虑了历史消息数据的当前状态与前一状态的关联性,能够检测出针对ICS的语义攻击,并且使用串口采集历史消息数据,使得本发明所述工业防火墙除了支持网络协议,还支持串行链路协议。
图6是本发明提供的一实施例的工业防火墙状态检测方法的流程示意图,如图所示。一种工业防火墙状态检测方法,包括如下步骤:
步骤601,工业防火墙捕获一条消息数据,执行步骤602。
步骤602,判断所述消息数据是否为第一条消息数据,如果是则执行步骤603,否则执行步骤606。
步骤603,根据已构建的预设DTMC模型存储的状态节点,使用CPI算法进行检查,执行步骤604。
步骤604,判断所述第一条消息数据的状态节点是否为合法状态,如果是则结束操作,否则执行步骤605。
步骤605,产生非法状态节点的告警并结束操作。
步骤606,根据前一状态的后继节点,使用CPI算法检测,执行步骤607。
步骤607,判断是否为前一状态的后继节点,如果是则执行步骤609,否则执行步骤608。
步骤608,产生非法状态转移告警并结束操作。
步骤609,计算与前一状态的状态转移时间间隔,并执行步骤610。
步骤610,判断是否满足式子(3),式子(3)为:
Figure GDA0003743570600000161
其中,τdetect为当前状态与前一状态的转移时间间隔的值,τtrain为预设训练状态转移时间间隔的值,θτ为时间间隔偏差阈值。
如果满足则执行步骤612,否则执行步骤611。
步骤611,产生非法状态转移时间间隔告警并结束操作。
步骤612,判断是否达到后续检测的消息数量。因为第二阶段的检测需要获取一定数量(比如根据工业控制系统的周期性消息数量)的历史消息数据后进行的。如果是则执行步骤613,否则结束操作。
步骤613,计算与前一状态的状态转移概率,执行步骤614。
步骤614,判断是否满足式子(4),式子(4)为:
detecttrain|>θρ (4);
其中,ρdetect为当前状态与前一状态的状态转移概率,ρtrain为预设训练状态转移概率,θρ为概率偏差阈值。
如果满足则结束操作,否则执行步骤615。
步骤615,产生非法状态转移概率告警并结束操作。
综上可知,本发明所述工业防火墙状态检测方法,在起始阶段仅检测状态节点、状态转移、状态转移时间间隔的合法性。而在获取一定数量历史数据后,增加对状态转移概率分布的检测,其中对状态节点检测时使用CPI算法。所以本发明所述工业防火墙状态检测方法相比之前的工业防火墙状态检测方法,具有自动学习状态信息、防护串行链路协议安全、检测语义攻击和检测精度高等优点。
以下将通过测试集验证本发明基于预设DTMC模型的串行链路工业防火墙状态检测方法的准确度,将本发明与现有技术的多种算法那进行对比,结果如下表1、表2所示。
表1
算法 误报率 漏报率
本发明算法 5.3% 0.6%
状态迁移图算法 0.1% 35.12%
CNN算法 9.9% 3.2%
决策树算法 7.6% 1.0%
表2
算法 data_set1 data_set2 data_set3
本发明算法 99.1% 100% 99.1%
状态迁移图算法 0.6% 100% 13.9%
CNN算法 100% 100% 11.0%
决策树算法 100% 100% 73.4%
实验结果表明,利用本发明所述工业防火墙状态检测方法,误报率为5.3%,漏报率为0.6%。本发明对于ICS攻击的检测,准确率有较大的提升。
下面对本发明提供的所述工业防火墙状态检测装置进行描述,下文描述的所述工业防火墙状态检测装置与上文描述的所述工业防火墙状态检测方法可相互对应参照。
图7是本发明提供的工业防火墙状态检测装置的结构框,如图所示。一种工业防火墙状态检测装置700,包括第一阶段检测模块710和第二阶段检测模块720。
其中,第一阶段检测模块710,用于根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及对状态转移时间间隔的合法性检测。
其中,第二阶段检测模块720,用于基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率分布的检测。
可选的,所述工业防火墙状态检测装置700,还包括预设DTMC模型构建模块(图中暂未标示)。
所述预设DTMC模型构建模块,用于使用串口采集历史消息数据,根据CPI算法,对每条历史消息数据按照六元组定义为状态事件,并根据所述历史消息数据自学习构建预设DTMC模型,所述预设DTMC模型存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息。
可选的,所述六元组包括:
第一元组,所述第一元组为设备从站地址;
第二元组,所述第二元组为报文请求/响应类别;
第三元组,所述第三元组为协议功能码;
第四元组,所述第四元组为协议参数数据;
第五元组,所述第五元组为校验码数据;
第六元组,所述第六元组为状态事件时间戳;
基于所述第一元组~第六元组的信息,预设协议指令序列映射的状态事件具有唯一性,所述状态事件包括状态事件出度值和状态事件入度值两个统计属性。
可选的,所述预设DTMC模型构建模块,还用于执行如下步骤:
步骤一,根据状态事件的六元组定义完成预设协议指令数据到状态事件的映射,若映射成功,则直接执行步骤三,否则执行步骤二;
步骤二,根据当前消息创建新的状态事件,执行步骤三;
步骤三,更新当前状态与前一跳状态的转移关系,将前一跳状态事件出度值加1和当前状态事件入度值加1,并将当前状态事件的第六元组的值设为当前消息的时间戳,执行步骤四;
步骤四,将当前消息的时间戳与前一跳状态事件时间戳的差值作为转移时间间隔信息添加至对应的转移关系序列集合,执行步骤五;
步骤五,重复执行所述步骤一~步骤四,直至所有历史消息数据映射完毕,以实现自学习构建所述预设DTMC模型;
步骤六,对每个状态节点的转移关系有向边序列进行计算,得到状态转移概率以及状态转移时间间隔的均值;
所述状态转移概率的计算公式为:ρ=n/N,
其中,ρ为状态转移概率,n为边序列转移次数,N为状态节点的出度值;
所述状态转移时间间隔的均值的计算公式为:δ=τ/n,
其中,δ为状态转移时间间隔的均值,τ为状态转移时间间隔累计,n为边序列转移次数。
可选的,第一阶段检测模块710,还用于执行如下步骤:
步骤一,对获取工业控制系统的第一条消息数据,根据已构建的所述预设DTMC模型的状态节点,使用CPI算法检测所述第一条消息数据,若未检测到,则判断所述第一条消息数据为非法状态节点;若检测到,则判断所述第一条消息数据为合法状态节点,对后续的消息数据执行步骤二;
步骤二,根据前一状态节点的后继状态节点,使用CPI算法检测当前消息数据,若未检测到,则判断所述当前消息数据为非法状态转移;若检测到,则判断所述当前消息数据为合法状态转移并执行步骤三;
步骤三,计算当前状态与前一状态的状态转移时间间隔,执行步骤四;
步骤四,将所述状态转移时间间隔的值与预设训练状态转移时间间隔的值进行比较,比较的式子如下:
Figure GDA0003743570600000201
其中,τdetect为当前状态与前一状态的转移时间间隔的值,τtrain为预设训练状态转移时间间隔的值,θτ为时间间隔偏差阈值;
若满足所述式子,则检测出非法状态转移时间间隔。
可选的,所述第二阶段检测模块720,还用于执行如下步骤:
步骤一,计算当前状态与前一状态的状态转移概率;
步骤二,将所述状态转移概率与预设训练状态转移概率进行比较,比较的式子如下:
detecttrain|>θρ
其中,ρdetect为当前状态与前一状态的状态转移概率,ρtrain为预设训练状态转移概率,θρ为概率偏差阈值;
若满足所述式子,则检测出非法状态转移概率。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行所述工业防火墙状态检测方法的步骤,所述方法包括:
根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测;
基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的所述工业防火墙状态检测方法的步骤,所述方法包括:
根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测;
基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的所述工业防火墙状态检测方法的步骤,所述方法包括:
根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测;
基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (7)

1.一种工业防火墙状态检测方法,其特征在于,包括:
根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测;
基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测;
所述根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测之前,包括:
使用串口采集历史消息数据;
根据CPI算法,对每条历史消息数据按照六元组定义为状态事件;
根据所述历史消息数据自学习构建预设DTMC模型,所述预设DTMC模型存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息;
所述六元组包括:
第一元组,所述第一元组为设备从站地址;
第二元组,所述第二元组为报文请求/响应类别;
第三元组,所述第三元组为协议功能码;
第四元组,所述第四元组为协议参数数据;
第五元组,所述第五元组为校验码数据;
第六元组,所述第六元组为状态事件时间戳;
基于所述第一元组~第六元组的信息,预设协议指令序列映射的状态事件具有唯一性,所述状态事件包括状态事件出度值和状态事件入度值两个统计属性;
所述根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,包括:
步骤一,对获取工业控制系统的第一条消息数据,根据已构建的所述预设DTMC模型的状态节点,使用CPI算法检测所述第一条消息数据,若未检测到,则判断所述第一条消息数据为非法状态节点;若检测到,则判断所述第一条消息数据为合法状态节点,对后续的消息数据执行步骤二;
步骤二,根据前一状态节点的后继状态节点,使用CPI算法检测当前消息数据,若未检测到,则判断所述当前消息数据为非法状态转移;若检测到,则判断所述当前消息数据为合法状态转移并执行步骤三;
步骤三,计算当前状态与前一状态的状态转移时间间隔,执行步骤四;
步骤四,将所述状态转移时间间隔的值与预设训练状态转移时间间隔的值进行比较,比较的式子如下:
Figure FDA0003648128830000021
其中,τdetect为当前状态与前一状态的转移时间间隔的值,τtrain为预设训练状态转移时间间隔的值,θτ为时间间隔偏差阈值;
若满足所述式子,则检测出非法状态转移时间间隔。
2.根据权利要求1所述的工业防火墙状态检测方法,其特征在于,根据所述历史消息数据自学习构建预设DTMC模型,包括:
步骤一,根据状态事件的六元组定义完成预设协议指令数据到状态事件的映射,若映射成功,则直接执行步骤三,否则执行步骤二;
步骤二,根据当前消息创建新的状态事件,执行步骤三;
步骤三,更新当前状态与前一跳状态的转移关系,将前一跳状态事件出度值加1和当前状态事件入度值加1,并将当前状态事件的第六元组的值设为当前消息的时间戳,执行步骤四;
步骤四,将当前消息的时间戳与前一跳状态事件时间戳的差值作为转移时间间隔信息添加至对应的转移关系序列集合,执行步骤五;
步骤五,重复执行所述步骤一~步骤四,直至所有历史消息数据映射完毕,以实现自学习构建所述预设DTMC模型。
3.根据权利要求2所述的工业防火墙状态检测方法,其特征在于,所述步骤五之后,还包括:
对每个状态节点的转移关系有向边序列进行计算,得到状态转移概率以及状态转移时间间隔的均值;
所述状态转移概率的计算公式为:ρ=n/N,
其中,ρ为状态转移概率,n为边序列转移次数,N为状态节点的出度值;
所述状态转移时间间隔的均值的计算公式为:δ=τ/n,
其中,δ为状态转移时间间隔的均值,τ为状态转移时间间隔累计,n为边序列转移次数。
4.根据权利要求1所述的工业防火墙状态检测方法,其特征在于,所述基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,包括:
计算当前状态与前一状态的状态转移概率;
将所述状态转移概率与预设训练状态转移概率进行比较,比较的式子如下:
detecttrain|>θρ
其中,ρdetect为当前状态与前一状态的状态转移概率,ρtrain为预设训练状态转移概率,θρ为概率偏差阈值;
若满足所述式子,则检测出非法状态转移概率。
5.一种工业防火墙状态检测装置,其特征在于,包括:
第一阶段检测模块,用于根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及对状态转移时间间隔的合法性检测;
所述第一阶段检测模块,具体用于:
步骤一,对获取工业控制系统的第一条消息数据,根据已构建的所述预设DTMC模型的状态节点,使用CPI算法检测所述第一条消息数据,若未检测到,则判断所述第一条消息数据为非法状态节点;若检测到,则判断所述第一条消息数据为合法状态节点,对后续的消息数据执行步骤二;
步骤二,根据前一状态节点的后继状态节点,使用CPI算法检测当前消息数据,若未检测到,则判断所述当前消息数据为非法状态转移;若检测到,则判断所述当前消息数据为合法状态转移并执行步骤三;
步骤三,计算当前状态与前一状态的状态转移时间间隔,执行步骤四;
步骤四,将所述状态转移时间间隔的值与预设训练状态转移时间间隔的值进行比较,比较的式子如下:
Figure FDA0003648128830000041
其中,τdetect为当前状态与前一状态的转移时间间隔的值,τtrain为预设训练状态转移时间间隔的值,θτ为时间间隔偏差阈值;
若满足所述式子,则检测出非法状态转移时间间隔;
所述第一阶段检测模块,还用于:
使用串口采集历史消息数据;
根据CPI算法,对每条历史消息数据按照六元组定义为状态事件;
根据所述历史消息数据自学习构建预设DTMC模型,所述预设DTMC模型存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息;
所述六元组包括:
第一元组,所述第一元组为设备从站地址;
第二元组,所述第二元组为报文请求/响应类别;
第三元组,所述第三元组为协议功能码;
第四元组,所述第四元组为协议参数数据;
第五元组,所述第五元组为校验码数据;
第六元组,所述第六元组为状态事件时间戳;
基于所述第一元组~第六元组的信息,预设协议指令序列映射的状态事件具有唯一性,所述状态事件包括状态事件出度值和状态事件入度值两个统计属性;
第二阶段检测模块,用于基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。
6.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述工业防火墙状态检测方法的步骤。
7.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述工业防火墙状态检测方法的步骤。
CN202110192210.5A 2021-02-19 2021-02-19 工业防火墙状态检测方法、装置、电子设备及存储介质 Active CN113098837B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110192210.5A CN113098837B (zh) 2021-02-19 2021-02-19 工业防火墙状态检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110192210.5A CN113098837B (zh) 2021-02-19 2021-02-19 工业防火墙状态检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113098837A CN113098837A (zh) 2021-07-09
CN113098837B true CN113098837B (zh) 2022-08-23

Family

ID=76663884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110192210.5A Active CN113098837B (zh) 2021-02-19 2021-02-19 工业防火墙状态检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113098837B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107438052A (zh) * 2016-05-26 2017-12-05 中国科学院沈阳自动化研究所 一种面向未知工业通信协议规约的异常行为检测方法
CN109412900A (zh) * 2018-12-04 2019-03-01 腾讯科技(深圳)有限公司 一种网络状态识别的方法、模型训练的方法及装置
CN110084398A (zh) * 2019-03-15 2019-08-02 国网上海市电力公司 一种基于企业电力大数据的行业景气自适应检测方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108418843B (zh) * 2018-06-11 2021-06-18 中国人民解放军战略支援部队信息工程大学 基于攻击图的网络攻击目标识别方法及系统
US10885454B2 (en) * 2019-03-19 2021-01-05 International Business Machines Corporation Novelty detection of IoT temperature and humidity sensors using Markov chains
CN111935085A (zh) * 2020-06-30 2020-11-13 物耀安全科技(杭州)有限公司 工业控制网络异常网络行为的检测防护方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107438052A (zh) * 2016-05-26 2017-12-05 中国科学院沈阳自动化研究所 一种面向未知工业通信协议规约的异常行为检测方法
CN109412900A (zh) * 2018-12-04 2019-03-01 腾讯科技(深圳)有限公司 一种网络状态识别的方法、模型训练的方法及装置
CN110084398A (zh) * 2019-03-15 2019-08-02 国网上海市电力公司 一种基于企业电力大数据的行业景气自适应检测方法

Also Published As

Publication number Publication date
CN113098837A (zh) 2021-07-09

Similar Documents

Publication Publication Date Title
CN111262722B (zh) 一种用于工业控制系统网络的安全监测方法
Caselli et al. Sequence-aware intrusion detection in industrial control systems
CN110752951A (zh) 工业网络流量监测审计方法、装置及系统
CN113645065B (zh) 基于工业互联网的工控安全审计系统及其方法
CN111885060B (zh) 面向车联网的无损式信息安全漏洞检测系统和方法
CN109660518B (zh) 网络的通信数据检测方法、装置以及机器可读存储介质
CN110324323A (zh) 一种新能源厂站涉网端实时交互过程异常检测方法及系统
CN110099058A (zh) Modbus报文检测方法、装置、电子设备及存储介质
Nivethan et al. A SCADA intrusion detection framework that incorporates process semantics
CN113132392B (zh) 工控网络流量异常检测方法、装置及系统
Faisal et al. Modeling Modbus TCP for intrusion detection
Matoušek et al. Efficient modelling of ICS communication for anomaly detection using probabilistic automata
CN115396324A (zh) 一种网络安全态势感知预警处理系统
US20210067523A1 (en) Method and device for detecting an attack on a serial communications system
CN109459995A (zh) 一种面向多种工业以太网协议的状态监测系统及监测方法
CN110086829B (zh) 一种基于机器学习技术进行物联网异常行为检测的方法
Hu et al. An enhanced multi-stage semantic attack against industrial control systems
CN110266765B (zh) 一种基于区块链的物联网在线共识节点实时更新方法和装置
CN113098837B (zh) 工业防火墙状态检测方法、装置、电子设备及存储介质
Potluri et al. Development of injection attacks toolbox in MATLAB/Simulink for attacks simulation in industrial control system applications
CN116170203A (zh) 一种安全风险事件的预测方法及系统
CN113645241B (zh) 一种工控专有协议的入侵检测方法、装置及设备
Hoeve Detecting intrusions in encrypted control traffic
Lei et al. Diagnosis of intermittent connections for DeviceNet
JP2023126177A (ja) ネットワークにおけるインフラストラクチャの異常を検出するための方法および装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant