CN113315771B - 一种基于工业控制系统的安全事件告警装置和方法 - Google Patents

一种基于工业控制系统的安全事件告警装置和方法 Download PDF

Info

Publication number
CN113315771B
CN113315771B CN202110591504.5A CN202110591504A CN113315771B CN 113315771 B CN113315771 B CN 113315771B CN 202110591504 A CN202110591504 A CN 202110591504A CN 113315771 B CN113315771 B CN 113315771B
Authority
CN
China
Prior art keywords
industrial control
rule
data
information
network connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110591504.5A
Other languages
English (en)
Other versions
CN113315771A (zh
Inventor
张洋斌
滕永
邓婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110591504.5A priority Critical patent/CN113315771B/zh
Publication of CN113315771A publication Critical patent/CN113315771A/zh
Application granted granted Critical
Publication of CN113315771B publication Critical patent/CN113315771B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于工业控制系统的安全事件告警装置和方法,告警方法包括:步骤1:采集模块采集工控子网中的数据信息并预处理;步骤2:检测引擎基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比,得到分析结果;步骤3:将分析结果提交到消息中间件;步骤4:数据处理引擎读取并消费消息中间件中的数据,消费步骤为:将日志数据入库持久化;存在安全事件时发送告警信息给用户系统。本发明实时发送告警提醒用户系统发生的安全事件,为用户的系统安全提供极大的便利和强有力的保障。

Description

一种基于工业控制系统的安全事件告警装置和方法
技术领域
本发明涉及工业控制系统领域,尤其涉及一种基于工业控制系统的安全事件告警装置和方法。
背景技术
工业控制系统是由各种自控设备以及对工业数据进行采集、监测的过程控制设备组成的系统;随着科学技术的高速发展,工业化与信息化的不断融合,工业控制系统越来越多采用标准、通用的通信协议和软硬件系统,并且以各种方式接入互联网,从而打破了这些系统原有的封闭性和专用性,造成病毒、木马等安全威胁向工控领域迅速扩散。工业控制系统所面临的信息安全问题日益严重,而且呈现出诸多与传统IT系统不同的特点。工控系统的安全问题已直接关系到国家关键基础设施的安危。
发明内容
本发明的目的是为了提供一种基于工业控制系统的安全事件告警装置和方法,在工业控制系统中发生安全事件时,实时发送告警提醒用户系统发生的安全事件,为用户的系统安全提供极大的便利和强有力的保障。
为解决以上技术问题,本发明的技术方案为:一种基于工业控制系统的安全事件告警装置,包括采集模块、检测引擎、消息中间件和数据处理引擎;
采集模块,用于采集工控子网中的数据信息并预处理;
检测引擎,用于基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比,得到分析结果;用于将分析结果提交到消息中间件;
数据处理引擎,用于读取并消费消息中间件中的数据,数据处理引擎通过数据持久化模块和告警信息发送模块消费消息中间件中的数据,数据持久化模块用于将日志数据入库持久化,告警信息发送模块用于存在安全事件时发送告警信息给用户系统。
进一步的,采集模块通过部署在工控子网内的网络探针进行信息采集,实现侦听、捕获并解析网络数据包功能;网络探针部署在子网控制层中,通过工业交换机镜像流量实现对工控流量的捕获,网络探针在网络或区域的边界,通过监听的方式捕获网络中的数据包。
进一步的,预处理步骤包括会话解析和工控协议识别;会话解析为根据TCP/IP协议的头部格式从数据包中提取源IP、源端口、目的IP、目的端口、协议所组成的五元组信息;工控协议识别为根据工控协议的特征字段而不是协议使用的默认端口来识别工控协议。
进一步的,检测引擎比对的数据为工控流量、从数据包中提取的关于数据包的关键特征以及工控协议操作,数据包的关键特征为源IP、源端口、目的IP、目的端口和协议组成的五元组信息;接着将这些数据特征与从已知攻击中提取出来的黑白名单规则进行对比,实现对已知和未知攻击的识别;
检测引擎中从已知攻击中提取出来的黑白名单规则为黑名单规则和白名单规则两大类,黑名单规则是对已知的攻击的形式化表示,而白名单规则是对系统正常行为的描述。
进一步的,检测引擎包括网络连接规则检测模块、流量特征规则检测模块和工控操作规则检测模块,通过网络连接规则、流量特征规则、工控操作规则检测入侵行为;
网络连接规则检测模块的检测方式为:当网络连接规则作为白名单规则,表示这条网络连接允许被建立;相反,当网络连接规则作为黑名单时,表示这条网络连接是危险的;所述网络连接规则由源IP、源端口、目的IP、目的端口、协议所组成的五元组表示,用来标识对应的网络连接;
流量特征规则检测模块的检测方式为:流量特征规则在网络连接规则的基础上增加了流量特征选项,每条流量特征规则包含了流量时间信息和流量大小信息;其中,当流量时间信息作为黑名单规则选项时表示这段时间内出现的所有流量都被视为攻击,而当流量时间信息作为白名单选项时表示这段时间内允许有流量产生;流量大小信息用来限制合法流量的大小,只出现在白名单当中;
工控操作规则检测模块的检测方式为:工控操作规则在网络连接规则的基础上增加了表示工控协议的特征选项,表示工控协议的特征选项包括功能码、访问地址以及值域范围;当表示工控协议的特征选项出现在黑名单规则中时表示的是危险的功能码、错误的访问地址以及不合法的值域范围,而当表示工控协议的特征选项出现在白名单当中时则表示被允许的功能码、访问地址、值域范围。
本发明还提供一种基于工业控制系统的安全事件告警方法,采用上述的安全事件告警装置,告警方法为:
步骤1:采集模块采集工控子网中的数据信息并预处理;
步骤2:检测引擎基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比,得到分析结果;
步骤3:将分析结果提交到消息中间件;
步骤4:数据处理引擎读取并消费消息中间件中的数据,消费步骤为:将日志数据入库持久化;存在安全事件时发送告警信息给用户系统。
进一步的,所述步骤1中,采集模块通过部署在工控子网内的网络探针进行信息采集;网络探针部署在子网控制层中,通过工业交换机镜像流量实现对工控流量的捕获,网络探针在网络或区域的边界,通过监听的方式捕获网络中的数据包。
进一步的,所述步骤1中,预处理步骤包括会话解析和工控协议识别;会话解析为根据TCP/IP协议的头部格式从数据包中提取源IP、源端口、目的IP、目的端口、协议所组成的五元组信息;工控协议识别为根据工控协议的特征字段而不是协议使用的默认端口来识别工控协议。
进一步的,检测引擎从数据包中提取的关于数据包的关键特征,数据包的关键特征为源IP、源端口、目的IP、目的端口和协议组成的五元组信息;
采用基于黑白名单比对的检测方法,将工控流量、从数据包中提取的关于数据包的关键特征以及工控协议操作与从已知攻击中提取出来的黑白名单规则进行对比,实现对已知和未知攻击的识别;
检测引擎工作时,基于网络连接规则、流量特征规则、工控操作规则检测入侵行为;
所述网络连接规则由源IP、源端口、目的IP、目的端口、协议所组成的五元组表示,用来标识对应的网络连接;当网络连接规则作为白名单规则,表示这条网络连接允许被建立;相反,当网络连接规则作为黑名单时,表示这条网络连接是危险的;
所述流量特征规则在网络连接规则的基础上增加了流量特征选项,每条流量特征规则包含了流量时间信息和流量大小信息;其中,当流量时间信息作为黑名单规则选项时表示这段时间内出现的所有流量都被视为攻击,而当流量时间信息作为白名单选项时表示这段时间内允许有流量产生;流量大小信息用来限制合法流量的大小,只出现在白名单当中;
所述工控操作规则在网络连接规则的基础上增加了表示工控协议的特征选项,表示工控协议的特征选项包括功能码、访问地址以及值域范围;当表示工控协议的特征选项出现在黑名单规则中时表示的是危险的功能码、错误的访问地址以及不合法的值域范围,而当表示工控协议的特征选项出现在白名单当中时则表示被允许的功能码、访问地址、值域范围。
进一步的,存在安全事件时发送告警信息给用户系统的发送方式为:将检测结果中的安全事件以邮件的形式发送到用户邮箱。
本发明具有如下有益效果:
一、本发明用于监控工业控制系统运行状态,实时发现可疑行为并发送告警信息,便于安全人员及时采取应对措施,抵御已知和未知的攻击;本发明告警方法实现了实时提醒用户系统发生的安全事件,为工业控制系统信息安全领域及管理方面提供极大的便利和强有力的保障;
二、本发明中,由于生产者即检测引擎不执行耗时的业务逻辑,仅仅是将消息存放至消息中间件中,能够显著地提高单个生产者的性能,节约了时间,同时也提高了单个消费者即数据处理引擎处理消息的速度和效率,明显提高了大批量消息的处理的能力。
附图说明
图1为本发明实施例中告警方法的流程示意图;
图2为本发明实施例中消息中间件工作流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图和具体实施例对本发明作进一步详细说明。
本发明基于主流工业控制系统,提供一种基于工业控制系统的安全事件告警装置,包括采集模块、检测引擎、消息中间件和数据处理引擎;
采集模块用于采集工控子网中的数据信息并预处理;具体为:
采集模块通过部署在工控子网内的网络探针进行信息采集;网络探针部署在子网控制层中,通过工业交换机镜像流量实现对工控流量的捕获,网络探针在网络或区域的边界,通过监听的方式捕获网络中的数据包;
预处理步骤包括会话解析和工控协议识别;会话解析为根据TCP/IP协议的头部格式从数据包中提取源IP、源端口、目的IP、目的端口、协议所组成的五元组信息;工控协议识别为根据工控协议的特征字段而不是协议使用的默认端口来识别工控协议。
检测引擎用于基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比,得到分析结果;用于将分析结果提交到消息中间件;
检测引擎比对的数据为工控流量、从数据包中提取的关于数据包的关键特征以及工控协议操作,数据包的关键特征为源IP、源端口、目的IP、目的端口和协议组成的五元组信息;接着将这些特征与从已知攻击中提取出来的黑白名单规则进行对比,实现对已知和未知攻击的识别,检测引擎中从已知攻击中提取出来的黑白名单规则为黑名单规则和白名单规则两大类,黑名单规则是对已知的攻击的形式化表示,而白名单规则是对系统正常行为的描述。
检测引擎包括网络连接规则检测模块、流量特征规则检测模块和工控操作规则检测模块,通过网络连接规则、流量特征规则、工控操作规则检测入侵行为;
网络连接规则检测模块的检测方式为:当网络连接规则作为白名单规则,表示这条网络连接允许被建立;相反,当网络连接规则作为黑名单时,表示这条网络连接是危险的;所述网络连接规则由源IP、源端口、目的IP、目的端口、协议所组成的五元组表示,用来标识对应的网络连接;
流量特征规则检测模块的检测方式为:流量特征规则在网络连接规则的基础上增加了流量特征选项,每条流量特征规则包含了流量时间信息和流量大小信息,流量时间信息包括流量起始时间和流量结束时间,流量大小信息包括最大流量信息和最小流量信息;其中,流量的时间信息既可以作为黑名单规则选项也可以作为白名单规则选项,当流量时间信息作为黑名单规则选项时表示这段时间内出现的所有流量都被视为攻击,而当流量时间信息作为白名单选项时表示这段时间内允许有流量产生;流量大小信息用来限制合法流量的大小,只出现在白名单当中;
工控操作规则检测模块的检测方式为:工控操作规则在网络连接规则的基础上增加了表示工控协议的特征选项,表示工控协议的特征选项包括功能码、访问地址以及值域范围;当表示工控协议的特征选项出现在黑名单规则中时表示的是危险的功能码、错误的访问地址以及不合法的值域范围,而当表示工控协议的特征选项出现在白名单当中时则表示被允许的功能码、访问地址、值域范围。
参阅图1和图2,本发明提供一种基于工业控制系统的安全事件告警方法,采用上述的安全事件告警装置,告警方法为:
步骤1:采集模块采集工控子网中的数据信息并预处理;
采集模块通过部署在工控子网内的网络探针进行信息采集;网络探针部署在子网控制层中,通过工业交换机镜像流量实现对工控流量的捕获,网络探针在网络或区域的边界,通过监听的方式捕获网络中的数据包;
预处理步骤包括会话解析和工控协议识别;会话解析为根据TCP/IP协议的头部格式从数据包中提取源IP、源端口、目的IP、目的端口、协议所组成的五元组信息;工控协议识别为根据工控协议的特征字段而不是协议使用的默认端口来识别工控协议;
步骤2:检测引擎基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比,得到分析结果;具体为:
检测引擎从数据包中提取的关于数据包的关键特征,数据包的关键特征为源IP、源端口、目的IP、目的端口和协议组成的五元组信息;
采用基于黑白名单比对的检测方法,将工控流量、从数据包中提取的关于数据包的关键特征以及工控协议操作与从已知攻击中提取出来的黑白名单规则进行对比,实现对已知和未知攻击的识别;
检测引擎工作时,基于网络连接规则、流量特征规则、工控操作规则检测入侵行为;
网络连接规则由源IP、源端口、目的IP、目的端口、协议所组成的五元组表示,用来标识对应的网络连接;当网络连接规则作为白名单规则,表示这条网络连接允许被建立;相反,当网络连接规则作为黑名单时,表示这条网络连接是危险的;
流量特征规则在网络连接规则的基础上增加了流量特征选项,每条流量特征规则包含了流量时间信息和流量大小信息,流量时间信息包括流量起始时间和流量结束时间,流量大小信息包括最大流量信息和最小流量信息;其中,流量的时间信息既可以作为黑名单规则选项也可以作为白名单规则选项,当流量时间信息作为黑名单规则选项时表示这段时间内出现的所有流量都被视为攻击,而当流量时间信息作为白名单选项时表示这段时间内允许有流量产生;流量大小信息用来限制合法流量的大小,只出现在白名单当中;
工控操作规则在网络连接规则的基础上增加了表示工控协议的特征选项,表示工控协议的特征选项包括功能码、访问地址以及值域范围;当表示工控协议的特征选项出现在黑名单规则中时表示的是危险的功能码、错误的访问地址以及不合法的值域范围,而当表示工控协议的特征选项出现在白名单当中时则表示被允许的功能码、访问地址、值域范围。
步骤3:将分析结果提交到消息中间件;
步骤4:数据处理引擎读取并消费消息中间件中的数据,消费步骤为:数据持久化模块将日志数据入库持久化,保存检测日志,数据持久化增加执行速度;告警信息发送模块在存在安全事件时发送告警信息给用户系统;本实施例中,告警信息发送模块发送方式为:将检测结果中的安全事件以邮件的形式发送到用户邮箱,做到实时提醒。
本发明未涉及部分均与现有技术相同或采用现有技术加以实现。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (3)

1.一种基于工业控制系统的安全事件告警装置,其特征在于:包括采集模块、检测引擎、消息中间件和数据处理引擎;
采集模块,用于采集工控子网中的数据信息并预处理;
检测引擎,用于基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比,得到分析结果;用于将分析结果提交到消息中间件;检测引擎不执行耗时的业务逻辑,仅将消息存放至消息中间件中;
数据处理引擎,用于读取并消费消息中间件中的数据,数据处理引擎通过数据持久化模块和告警信息发送模块消费消息中间件中的数据,数据持久化模块用于将日志数据入库持久化,告警信息发送模块用于存在安全事件时发送告警信息给用户系统;
采集模块通过部署在工控子网内的网络探针进行信息采集;网络探针部署在子网控制层中,通过工业交换机镜像流量实现对工控流量的捕获,网络探针在网络或区域的边界,通过监听的方式捕获网络中的数据包;
预处理步骤包括会话解析和工控协议识别;会话解析为根据TCP/IP协议的头部格式从数据包中提取源IP、源端口、目的IP、目的端口、协议所组成的五元组信息;工控协议识别为根据工控协议的特征字段而不是协议使用的默认端口来识别工控协议;
检测引擎比对的数据为工控流量、从数据包中提取的关于数据包的关键特征以及工控协议操作,数据包的关键特征为源IP、源端口、目的IP、目的端口和协议组成的五元组信息;检测引擎中从已知攻击中提取出来的黑白名单规则为黑名单规则和白名单规则两大类,黑名单规则是对已知的攻击的形式化表示,而白名单规则是对系统正常行为的描述;
检测引擎包括网络连接规则检测模块、流量特征规则检测模块和工控操作规则检测模块,通过网络连接规则、流量特征规则、工控操作规则检测入侵行为;
网络连接规则检测模块的检测方式为:当网络连接规则作为白名单规则,表示这条网络连接允许被建立;相反,当网络连接规则作为黑名单时,表示这条网络连接是危险的;所述网络连接规则由源IP、源端口、目的IP、目的端口、协议所组成的五元组表示,用来标识对应的网络连接;
流量特征规则检测模块的检测方式为:流量特征规则在网络连接规则的基础上增加了流量特征选项,每条流量特征规则包含了流量时间信息和流量大小信息;其中,当流量时间信息作为黑名单规则选项时表示这段时间内出现的所有流量都被视为攻击,而当流量时间信息作为白名单选项时表示这段时间内允许有流量产生;流量大小信息用来限制合法流量的大小,只出现在白名单当中;
工控操作规则检测模块的检测方式为:工控操作规则在网络连接规则的基础上增加了表示工控协议的特征选项,表示工控协议的特征选项包括功能码、访问地址以及值域范围;当表示工控协议的特征选项出现在黑名单规则中时表示的是危险的功能码、错误的访问地址以及不合法的值域范围,而当表示工控协议的特征选项出现在白名单当中时则表示被允许的功能码、访问地址、值域范围。
2.一种基于工业控制系统的安全事件告警方法,其特征在于:采用权利要求1所述的安全事件告警装置,告警方法为:
步骤1:采集模块采集工控子网中的数据信息并预处理;
步骤2:检测引擎基于黑白名单比对的检测方法将预处理后的数据信息与从已知攻击中提取出来的黑白名单规则进行数据对比,得到分析结果;
步骤3:将分析结果提交到消息中间件;
步骤4:数据处理引擎读取并消费消息中间件中的数据,消费步骤为:将日志数据入库持久化;存在安全事件时发送告警信息给用户系统;
所述步骤1中,采集模块通过部署在工控子网内的网络探针进行信息采集;网络探针部署在子网控制层中,通过工业交换机镜像流量实现对工控流量的捕获,网络探针在网络或区域的边界,通过监听的方式捕获网络中的数据包;
所述步骤1中,预处理步骤包括会话解析和工控协议识别;会话解析为根据TCP/IP协议的头部格式从数据包中提取源IP、源端口、目的IP、目的端口、协议所组成的五元组信息;工控协议识别为根据工控协议的特征字段而不是协议使用的默认端口来识别工控协议;
检测引擎从数据包中提取的关于数据包的关键特征,数据包的关键特征为源IP、源端口、目的IP、目的端口和协议组成的五元组信息;
采用基于黑白名单比对的检测方法,将工控流量、从数据包中提取的关于数据包的关键特征以及工控协议操作与从已知攻击中提取出来的黑白名单规则进行对比,实现对已知和未知攻击的识别;
检测引擎工作时,基于网络连接规则、流量特征规则、工控操作规则检测入侵行为;
所述网络连接规则由源IP、源端口、目的IP、目的端口、协议所组成的五元组表示,用来标识对应的网络连接;当网络连接规则作为白名单规则,表示这条网络连接允许被建立;相反,当网络连接规则作为黑名单时,表示这条网络连接是危险的;
所述流量特征规则在网络连接规则的基础上增加了流量特征选项,每条流量特征规则包含了流量时间信息和流量大小信息;其中,当流量时间信息作为黑名单规则选项时表示这段时间内出现的所有流量都被视为攻击,而当流量时间信息作为白名单选项时表示这段时间内允许有流量产生;流量大小信息用来限制合法流量的大小,只出现在白名单当中;
所述工控操作规则在网络连接规则的基础上增加了表示工控协议的特征选项,表示工控协议的特征选项包括功能码、访问地址以及值域范围;当表示工控协议的特征选项出现在黑名单规则中时表示的是危险的功能码、错误的访问地址以及不合法的值域范围,而当表示工控协议的特征选项出现在白名单当中时则表示被允许的功能码、访问地址、值域范围。
3.根据权利要求2所述的安全事件告警方法,其特征在于:存在安全事件时发送告警信息给用户系统的发送方式为:将检测结果中的安全事件以邮件的形式发送到用户邮箱。
CN202110591504.5A 2021-05-28 2021-05-28 一种基于工业控制系统的安全事件告警装置和方法 Active CN113315771B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110591504.5A CN113315771B (zh) 2021-05-28 2021-05-28 一种基于工业控制系统的安全事件告警装置和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110591504.5A CN113315771B (zh) 2021-05-28 2021-05-28 一种基于工业控制系统的安全事件告警装置和方法

Publications (2)

Publication Number Publication Date
CN113315771A CN113315771A (zh) 2021-08-27
CN113315771B true CN113315771B (zh) 2023-06-27

Family

ID=77375888

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110591504.5A Active CN113315771B (zh) 2021-05-28 2021-05-28 一种基于工业控制系统的安全事件告警装置和方法

Country Status (1)

Country Link
CN (1) CN113315771B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205126A (zh) * 2021-11-25 2022-03-18 北京国泰网信科技有限公司 一种工业系统中攻击检测的方法、设备及介质
CN114817641B (zh) * 2022-02-19 2023-06-20 英赛克科技(北京)有限公司 一种工业数据采集方法、装置及电子设备
CN114338233A (zh) * 2022-02-28 2022-04-12 北京安帝科技有限公司 基于流量解析的网络攻击检测方法和系统
CN115776409B (zh) * 2023-01-29 2023-06-06 信联科技(南京)有限公司 一种工业网络安全事件基础数据定向采集方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109818985A (zh) * 2019-04-11 2019-05-28 江苏亨通工控安全研究院有限公司 一种工控系统漏洞趋势分析与预警方法及系统
CN109861995A (zh) * 2019-01-17 2019-06-07 安徽谛听信息科技有限公司 一种网络空间安全大数据智能分析方法、计算机可读介质
CN110958231A (zh) * 2019-11-21 2020-04-03 博智安全科技股份有限公司 基于互联网的工控安全事件监测平台及其方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101107742B1 (ko) * 2008-12-16 2012-01-20 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
CN110868425A (zh) * 2019-11-27 2020-03-06 上海三零卫士信息安全有限公司 一种采用黑白名单进行分析的工控信息安全监控系统
CN112511545A (zh) * 2020-12-03 2021-03-16 北京国泰网信科技有限公司 一种工业审计系统中安全事件上报的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861995A (zh) * 2019-01-17 2019-06-07 安徽谛听信息科技有限公司 一种网络空间安全大数据智能分析方法、计算机可读介质
CN109818985A (zh) * 2019-04-11 2019-05-28 江苏亨通工控安全研究院有限公司 一种工控系统漏洞趋势分析与预警方法及系统
CN110958231A (zh) * 2019-11-21 2020-04-03 博智安全科技股份有限公司 基于互联网的工控安全事件监测平台及其方法

Also Published As

Publication number Publication date
CN113315771A (zh) 2021-08-27

Similar Documents

Publication Publication Date Title
CN113315771B (zh) 一种基于工业控制系统的安全事件告警装置和方法
CN109167754B (zh) 一种网络应用层安全防护系统
CN109587179B (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN104937886B (zh) 日志分析装置、信息处理方法
CN111277587A (zh) 基于行为分析的恶意加密流量检测方法及系统
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
CN111526121B (zh) 入侵防御方法、装置、电子设备及计算机可读介质
US20100138535A1 (en) Network service zone locking
CN108134761B (zh) 一种apt检测系统及装置
Haris et al. Detecting TCP SYN flood attack based on anomaly detection
CN112953971B (zh) 一种网络安全流量入侵检测方法和系统
CN113098878A (zh) 一种基于支持向量机的工业互联网入侵检测方法及实现系统
CN111709034A (zh) 基于机器学习的工控环境智能安全检测系统与方法
KR102501372B1 (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
CN114205126A (zh) 一种工业系统中攻击检测的方法、设备及介质
KR102244036B1 (ko) 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
CN111641591A (zh) 云服务安全防御方法、装置、设备及介质
CN111556473A (zh) 一种异常访问行为检测方法及装置
Jadhav et al. A novel approach for the design of network intrusion detection system (NIDS)
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
KR100441409B1 (ko) 바이러스 탐지 엔진을 갖는 침입 탐지 시스템
CN111885020A (zh) 一种分布式架构的网络攻击行为实时捕获与监控系统
CN115022034B (zh) 攻击报文识别方法、装置、设备和介质
CN110995733A (zh) 一种基于遥测技术的工控领域的入侵检测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant