CN113645241A - 一种工控专有协议的入侵检测方法、装置及设备 - Google Patents
一种工控专有协议的入侵检测方法、装置及设备 Download PDFInfo
- Publication number
- CN113645241A CN113645241A CN202110919377.7A CN202110919377A CN113645241A CN 113645241 A CN113645241 A CN 113645241A CN 202110919377 A CN202110919377 A CN 202110919377A CN 113645241 A CN113645241 A CN 113645241A
- Authority
- CN
- China
- Prior art keywords
- detection
- industrial control
- protocol
- detected
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种工控专有协议的入侵检测方法、装置、设备及计算机可读存储介质,通过对工业控制系统基于工控专有协议传输的原始通信流量的识别,建立了结合未公开协议部分的通信工艺参数以及公开协议部分的协议特征的检测的白环境基线,即第一检测特征库和第二检测特征库;基于第一检测特征库和第二检测特征库对待检测流量进行异常特征检测,当检测到违反第一检测特征库和/或第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作,从而能够及时、准确地识别入侵行为,并进行入侵响应,维护工业控制系统的安全稳定运行。
Description
技术领域
本申请涉及工业控制技术领域,特别是涉及一种工控专有协议的入侵检测方法、装置、设备及计算机可读存储介质。
背景技术
工业控制系统广泛应用于关键基础设施中,是工业的大脑。工业控制系统主要完成对工艺参数的采集和控制指令的下发以及安全联锁保护功能,实现对工业过程的安全、平稳和有序,一旦遭受破坏不仅经会造成财产损失,也会带来社会影响甚至是国家安全问题。因此,加强工业控制系统的信息安全已经迫在眉睫,国家也出台了一系列的法律法规来加强对工业控制系统的信息安全防护以及入侵检测。
入侵检测是针对工业控制系统中传输的信息进行识别,及时发现未经授权的访问行为,加之有效的阻断方法能够避免对工业控制系统的破坏,保护工业控制系统的信息安全,进而维护社会稳定和国家稳定。现有针对工业控制系统或工控协议的入侵检测方式,普遍采用通信协议分析的方式来检测已知漏洞特征、攻击特征、异常协议报文特征或敏感指令特征,这类检测方式的前提是在已知协议的详细规范的前提下,对协议的通讯关系、协议内容、异常报文、敏感指令检测等方式来识别入侵。
然而,为了保证工业控制系统的高实时性、稳定性以及低时延,各个自动化厂商均推出了自有的专用工控协议,即工控专有协议。这些工控专有协议不仅存在协议规范不公开的问题,还存在对数据进行加密传输的问题,这都给入侵检测带来了难度和不确定性,使得现有的入侵检测方法无法对此类工控专有协议进行有效的入侵检测。
提供一种针对工控专有协议的入侵检测办法,是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的是提供一种工控专有协议的入侵检测方法、装置、设备及计算机可读存储介质,用于实现对基于工控专有协议传输的工控信息进行有效的入侵检测。
为解决上述技术问题,本申请提供一种工控专有协议的入侵检测方法,包括:
预先获取工业控制系统基于工控专有协议传输的原始通信流量,根据所述原始通信流量中基于所述工控专有协议的未公开协议传输的通信流量建立基于通信工艺参数的第一检测特征库,根据所述原始通信流量中基于所述工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库;
接收待检测流量;
分别根据所述第一检测特征库和所述第二检测特征库对所述待检测流量进行异常特征检测;
当检测到所述待检测流量中存在违反所述第一检测特征库和/或所述第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作。
可选的,所述第一检测特征库具体为:所述通信工艺参数所采用的位号列表的字节数与时间维度的二维正态分布数据所构成的位号列表特征库。
可选的,所述位号列表特征库具体包括:所述工业控制系统的标准作业程序与时间维度的第一规则集,以及所述工业控制系统的确定性行为对应的单位时间的字节数与协议类型的第二规则集;
其中,所述确定性行为至少包括检修计划;
相应的,根据第二检测特征库对所述待检测流量进行异常特征检测,具体包括:
根据所述第一规则集对所述待检测流量进行异常特征检测;
若未检测到违反所述第一规则集的异常特征,则确认所述待检测流量通过所述第一检测特征库的异常特征检测;
若检测到违反所述第一规则集的异常特征,则根据所述第二规则集对所述待检测流量进行异常特征检测;
若未检测到违反所述第二规则集的异常特征,则确认所述待检测流量通过所述第一检测特征库的异常特征检测;
若检测到违反所述第二规则集的异常特征,则根据检测到的异常特征执行对所述待检测流量的入侵相应动作。
可选的,所述第二检测特征库具体包括:站类型与协议类型的第三规则集,以及站间访问关系与协议类型的第四规则集。
可选的,还包括:
分析得到所述待检测流量的发送端地址与所述待检测流量的接收端地址;
若所述发送端地址和所述接收端地址中至少一个不属于所述工业控制系统的资产信息对应的地址,则执行对应的入侵响应动作。
可选的,所述获取工业控制系统基于工控专有协议传输的原始通信流量,具体为:
获取所述工业控制系统的仿真系统基于所述工控专有协议传输的所述原始通信流量。
可选的,所述入侵响应动作包括:异常报警、控制防火墙设备进行入侵拦截、控制终端安全设备进行入侵拦截中的至少一种。
为解决上述技术问题,本申请还提供一种工控专有协议的入侵检测装置,包括:
统计单元,应用于预先获取工业控制系统基于工控专有协议传输的原始通信流量,根据所述原始通信流量中基于所述工控专有协议的未公开协议传输的通信流量建立基于通信工艺参数的第一检测特征库,根据所述原始通信流量中基于所述工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库;
接收单元,用于接收待检测流量;
检测单元,用于分别根据所述第一检测特征库和所述第二检测特征库对所述待检测流量进行异常特征检测;
第一执行单元,用于当检测到所述待检测流量中存在违反所述第一检测特征库和/或所述第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作。
为解决上述技术问题,本申请还提供一种工控专有协议的入侵检测设备,包括:
存储器,用于存储指令,所述指令包括上述任意一项所述工控专有协议的入侵检测方法的步骤;
处理器,用于执行所述指令。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述工控专有协议的入侵检测方法的步骤。
本申请所提供的工控专有协议的入侵检测方法,通过对工业控制系统基于工控专有协议传输的原始通信流量的识别,建立了结合未公开协议部分的通信工艺参数以及公开协议部分的协议特征的检测的白环境基线,即第一检测特征库和第二检测特征库;基于第一检测特征库和第二检测特征库对待检测流量进行异常特征检测,当检测到违反第一检测特征库和/或第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作,从而能够及时、准确地识别入侵行为,并进行入侵响应,维护工业控制系统的安全稳定运行。
本申请还提供一种工控专有协议的入侵检测装置、设备及计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚的说明本申请实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种工控专有协议的入侵检测方法的流程图;
图2为VNET/IP协议架构图;
图3为本申请实施例提供的一种分散式控制系统的结构示意图;
图4为本申请实施例提供的一种工控专有协议的入侵检测装置的结构示意图;
图5为本申请实施例提供的一种工控专有协议的入侵检测设备的结构示意图。
具体实施方式
本申请的核心是提供一种工控专有协议的入侵检测方法、装置、设备及计算机可读存储介质,用于实现对基于工控专有协议传输的工控信息进行有效的入侵检测。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
图1为本申请实施例提供的一种工控专有协议的入侵检测方法的流程图;图2为VNET/IP协议架构图;图3为本申请实施例提供的一种分散式控制系统的结构示意图。
如图1所示,本申请实施例提供的工控专有协议的入侵检测方法包括:
S101:预先获取工业控制系统基于工控专有协议传输的原始通信流量,根据原始通信流量中基于工控专有协议的未公开协议传输的通信流量建立基于通信工艺参数的第一检测特征库,根据原始通信流量中基于工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库。
S102:接收待检测流量。
S103:分别根据第一检测特征库和第二检测特征库对待检测流量进行异常特征检测。
S104:当检测到待检测流量中存在违反第一检测特征库和/或第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作。
在具体实施中,本申请实施例提供的工控专有协议的入侵检测方法可以应用于工业控制系统中的任何可以作为通信接收端的设备,也可以应用于通信中转设备,用于执行入侵检测以及入侵响应任务。
以横河电机(YOKOGAWA)开发的专用工业以太网协议——VNET/IP协议为例进行说明。横河电机的CENTUM系列分散式控制系统(Distribution Control System,DCS)广泛应用在我国的石油化工、天然气管道、化工、能源等关键基础设施中,一旦遭受破坏不仅仅关乎财产损失,同时会带来社会稳定甚至国家安全。VNET/IP协议是由横河电机(YOKOGAWA)开发的专用工业以太网协议,用于CENTUM系列分散式控制系统的内部通讯,收录在IEC61158的TYPE17。该协议包含两个部分,一是与以太网通讯时可使用超文本传输协议(Hyper TextTransfer Protocol,HTTP)或其他以太网协议,二是专用的实时以太网协议叫做实时传输协议(Real-time Transport Protocol,RTP)。VNET/IP协议事实上不是真正的实时以太网(Real-time Ethernet,RTE),而是使用UDP/IP协议来传输实时传输协议应用的协议。VNET/IP网络可以组成一个或通过路由器连接的多个域的网络。IP的单播和多播使用数据链路层协议和队列通讯来完成。
VNET/IP协议最小的实时调度周期是10毫秒,用以满足过程控制的需要。该协议用于以太网通讯部分称作OPEN网,采用TCP/IP传输层协议和例如超文本传输协议或文件传输协议(File Transfer Protocol,FTP)的应用层协议,用于非实时部分的任务如工程组态数据和维护数据的传输。对于控制数据部分叫做VNET网,采用UDP/IP传输层协议和RTP应用层协议,用于实时部分的任务如工艺变量、事件、时间等,并通过公钥加密来防止数据被伪造或被篡改,协议的架构图如图2所示。
对于VNET/IP协议来说,由于协议规范未公开,同时实时控制通讯部分采用了公钥加密的方式,仅仅采用现有的基于协议特征的入侵检测方法,无法进行有效的入侵检测。
横河电机的分散式控制系统架构如图3所示,在VNET/IP网络上,操作员站301、工程师站302、历史数据服务器303、OPC服务器304、控制器305等设备通过核心交换机306进行通信交互。
则在本申请实施例中,对于步骤S101来说,可以在工业控制系统运行过程中,通过旁路采集工业控制系统中的设备之间通信的核心交换机的镜像流量的方式来实现对原始通信流量的获得。由于工业控制系统中的工艺操作过程具有重复性、规律性,通过对一个或多个工艺生产周期的原始通信流量进行其通信工艺参数的统计,即可不通过统计协议特征而对原始通信流量中的基于工控专有协议的未公开协议传输的通信流量建立基于通信工艺参数的第一检测特征库。此外,对原始通信流量中基于工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库。此第一检测特征库和第二检测特征库构成了工控专有协议的白环境基线,即违反第一检测特征库和第二检测特征库中记载的特征的信息将被确认为异常行为特征。
由于在构建第一检测特征库和第二检测特征库的阶段无法对入侵行为进行有效的检测,为避免学习到非法行为特征,保证特征库的安全性,步骤S101中获取工业控制系统基于工控专有协议传输的原始通信流量,具体为:获取工业控制系统的仿真系统基于工控专有协议传输的原始通信流量。通过在工业控制系统的仿真系统中执行基于工控专有协议的工艺通信流程,保证在数据安全的前提下进行特征学习。
对于步骤S102-S104来说,若方法基于通信接收端实现,则通信接收端在接收到信息后首先利用第一检测特征库和第二检测特征库对其进行异常特征检测,在未发现异常特征(即待检测流量符合第一检测特征库和第二检测特征库中记载的特征要求)后才进行待检测流量的后续处理。若方法基于中转设备实现,则中转设备在分析得到待检测流量的通信发送端和通信接收端之后利用第一检测特征库和第二检测特征库对其进行异常特征检测,在未发现异常特征(即待检测流量符合第一检测特征库和第二检测特征库中记载的特征要求)后才将待检测流量发送至通信接收端。
将待检测流量的特征与第一检测特征库和第二检测特征库中的特征(如IP、MAC、协议、字节数、时间等)对比,当检测到待检测流量中存在违反第一检测特征库和/或第二检测特征库的特征,即异常特征时,根据预设的入侵响应规则执行对应的入侵响应动作,可以包括但不限于异常报警、控制防火墙设备进行入侵拦截、控制终端安全设备进行入侵拦截等。针对异常特征的不同类型,可以设置不同级别的入侵响应动作。为实现有效的入侵拦截以及安全处理,入侵响应的过程可以采用联动安全设备进行入侵拦截同时报警通知安全运维人员的方式,并生成入侵检测日志和入侵响应日志。
将待检测流量与第一检测特征库进行比对和将待检测流量与第二检测特征库进行比对的过程可以先后进行或者同时进行。
本申请实施例提供的工控专有协议的入侵检测方法,通过对工业控制系统基于工控专有协议传输的原始通信流量的识别,建立了结合未公开协议部分的通信工艺参数以及公开协议部分的协议特征的检测的白环境基线,即第一检测特征库和第二检测特征库;基于第一检测特征库和第二检测特征库对待检测流量进行异常特征检测,当检测到违反第一检测特征库和/或第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作,从而能够及时、准确地识别入侵行为,并进行入侵响应,维护工业控制系统的安全稳定运行。
实施例二
由于各自动化厂商在制定工控专有协议的过程中采用位号列表(taglist)的方式确定通信工艺参数后,进行工控专有协议的编写。则在上述实施例的基础上,在本申请实施例提供的工控专有协议的入侵检测方法中,第一检测特征库具体为:通信工艺参数所采用的位号列表的字节数与时间维度的二维正态分布数据所构成的位号列表特征库。
由于大部分工厂都有多台操作员站执行不同的工艺操作过程,例如火力发电厂包括1~N号机组操作、辅控操作(辅控包括给水系统、给煤系统、灰渣系统、风系统等),而这些工艺操作过程具有重复性、规律性,从而形成了标准作业程序(Standard OperatingProcedure,SOP)。标准作业程序主要包括工业操作过程和站点周期扫描两种类型的作业程序。
因此在本申请实施例提供的工控专有协议的入侵检测方法中,位号列表特征库具体可以包括:工业控制系统的标准作业程序与时间维度的第一规则集,以及工业控制系统的确定性行为对应的单位时间的字节数与协议类型的第二规则集。
其中,确定性行为至少包括检修计划。
相应的,步骤S103中根据第二检测特征库对待检测流量进行异常特征检测,具体包括:
根据第一规则集对待检测流量进行异常特征检测;
若未检测到违反第一规则集的异常特征,则确认待检测流量通过第一检测特征库的异常特征检测;
若检测到违反第一规则集的异常特征,则根据第二规则集对待检测流量进行异常特征检测;
若未检测到违反第二规则集的异常特征,则确认待检测流量通过第一检测特征库的异常特征检测;
若检测到违反第二规则集的异常特征,则根据检测到的异常特征执行对待检测流量的入侵相应动作。
由工业操作过程的重复性形成的工业标准作业程序与时间维度的第一规则集,具体可以为P-Rule1={station,Protocol,byte,t},其中station为各设备的作用集,Protocol为协议类型,byte为字节大小,t为每日的操作时间点,工业操作过程是与时间相关的重复性操作过程,例如:操作员站A在每天的10点钟会操作控制器B的阀门,因而会广播UDP/IP协议包,包大小等于控制器B周期同步的位号列表的字节数。如下表所示:
| station | TCP/IP | UDP/IP | byte | t |
| 操作站A | X | taglist B | 10:00 | |
| 操站B | X | taglist A | 8:10 | |
| 工程师站 | X | 20:00 | ||
| 控制站A | X | taglist A | 每个扫描周期 | |
| 控制站B | X | taglist B | 每个扫描周期 | |
| 长趋势站 | ||||
| OPC站 | ||||
| 通讯站 |
站点周期扫描是由于标准作业程序、设备变更或检修计划等确定性行为而产生的周期性通信行为,可以根据这些确定性行为形成固定的统计特征。例如控制器周期性地采用UDP/IP协议发送数据包,数据包大小即发送端控制器的位号列表字节数;操作站周期性地使用TCP/IP协议读取长趋势数据,大小为固定的字节数;工程师站的下载行为是按照工艺维护的计划来实施,正常生产过程中不执行下载行为等。因而可以形成单位时间的字节数与协议类型的第二规则集,即P-rule2={byte,protcol},例如可以按照一个工控扫描周期(如1秒)统计TCP/IP、UDP/IP的字节数作为规则集。
在实际应用中,在分析工控专有协议的通信工艺参数的过程中还可以制定其他特征参数,并随着作业程序变更、设备变更、检修计划等形成新的规则集,均属于本申请实施例的保护范围。
由于标准作业程度通常是适用周期较长,而设备变更、检修计划往往是临时行为,故在步骤S103中根据第二检测特征库对待检测流量进行异常特征检测时,先利用第一规则集对待检测流量进行异常特征检测,在未通过检测时再利用第二规则集对待检测流量进行异常特征检测。
在此基础上,本申请实施例提供的工控专有协议的入侵检测方法还可以包括:
接收输入的确定性行为。
根据输入的确定性行为关联对应的通信流量,进而统计得到第二规则集。
实施例三
VNET/IP协议用于以太网通讯部分的协议内容是公开的,针对这部分内容,可以参照现有技术中基于协议特征的入侵检测方法建立第二检测特征库。此外,在上述实施例的基础上,在本申请实施例提供的工控专有协议的入侵检测方法中,步骤S101中根据原始通信流量中基于工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库,具体可以包括:站类型与协议类型的第三规则集,以及站间访问关系与协议类型的第四规则集。
在一个VNET/IP网络中最大可实现64个设备的通讯,每个VNET/IP设备有固定的硬件拨码地址从1~64个。在一个分散式控制系统的扫描周期中(通常是1秒或自定义,最小50ms)通信的实时调度过程是按照硬件拨码地址从1~64依次广播读写的实时报文,该报文为UDP/IP协议,应用层数据采用公钥加密防止被篡改。
只有工艺需要操作时,操作员站会发送UDP/IP报文,其余情况下只有控制站会每个周期广播UDP/IP报文包;操作站读取长趋势站趋势数据时会周期请求采用TCP/IP协议,工程师站在下载应用程序时会使用TCP/IP协议。因而可形成站类型与协议类型的第一规则集C-rule1={type,protocol},其中type包含操作员站、工程师站、控制站、OPC站、通讯站、长趋势服务站;protocol为协议类型,包含TCP/IP、UDP/IP等,例如下表所示:
| TYPE | TCP/IP | UDP/IP |
| 操作站 | X | X |
| 工程师站 | X | X |
| 控制站 | X | |
| 长趋势站 | X | |
| OPC站 | X | |
| 通讯站 | X |
站间访问关系与协议类型的第四规则集C-rule2={station,station,protocol},其中,“station,station”表示交互的两个站点,protocol为协议类型。例如下表所示:
在实际应用中,在分析工控专有协议的协议特征的过程中还可以制定其他特征参数,并随着作业程序变更、设备变更、检修计划等形成新的规则集,均属于本申请实施例的保护范围。
实施例四
在上述实施例的基础上,本申请实施例提供的工控专有协议的入侵检测方法还可以包括:
分析得到待检测流量的发送端地址与待检测流量的接收端地址;
若发送端地址和接收端地址中至少一个不属于工业控制系统的资产信息对应的地址,则执行对应的入侵响应动作。
在具体实施中,预先确定工业控制系统的资产信息,形成资产库。分析待检测流量的发送端地址与接收端地址,如IP地址、MAC地址等,若检测到资产库之外的异常资产,则认为存在入侵行为。此步骤可以在步骤S103之前执行,即在确定待检测流量涉及到异常资产时,直接进行入侵响应,无需进行后续步骤的检测,否则再进行后续步骤的检测。
上文详述了工控专有协议的入侵检测方法对应的各个实施例,在此基础上,本申请还公开了与上述方法对应的工控专有协议的入侵检测装置、设备及计算机可读存储介质。
实施例五
图4为本申请实施例提供的一种工控专有协议的入侵检测装置的结构示意图。
如图4所示,本申请实施例提供的工控专有协议的入侵检测装置包括:
统计单元401,应用于预先获取工业控制系统基于工控专有协议传输的原始通信流量,根据原始通信流量中基于工控专有协议的未公开协议传输的通信流量建立基于通信工艺参数的第一检测特征库,根据原始通信流量中基于工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库;
接收单元402,用于接收待检测流量;
检测单元403,用于分别根据第一检测特征库和第二检测特征库对待检测流量进行异常特征检测;
第一执行单元404,用于当检测到待检测流量中存在违反第一检测特征库和/或第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作。
可选的,本申请实施例提供的工控专有协议的入侵检测装置还包括:
分析单元,用于分析得到待检测流量的发送端地址与待检测流量的接收端地址;
第二执行单元,用于若发送端地址和接收端地址中至少一个不属于工业控制系统的资产信息对应的地址,则执行对应的入侵响应动作。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
图5为本申请实施例提供的一种工控专有协议的入侵检测设备的结构示意图。
如图5所示,本申请实施例提供的工控专有协议的入侵检测设备包括:
存储器510,用于存储指令,所述指令包括上述任意一项实施例所述的工控专有协议的入侵检测方法的步骤;
处理器520,用于执行所述指令。
其中,处理器520可以包括一个或多个处理核心,比如3核心处理器、8核心处理器等。处理器520可以采用数字信号处理DSP(Digital Signal Processing)、现场可编程门阵列FPGA(Field-Programmable Gate Array)、可编程逻辑阵列PLA(Programmable LogicArray)中的至少一种硬件形式来实现。处理器520也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器CPU(CentralProcessing Unit);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器520可以集成有图像处理器GPU(Graphics Processing Unit),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器520还可以包括人工智能AI(Artificial Intelligence)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器510可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器510还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器510至少用于存储以下计算机程序511,其中,该计算机程序511被处理器520加载并执行之后,能够实现前述任一实施例公开的工控专有协议的入侵检测方法中的相关步骤。另外,存储器510所存储的资源还可以包括操作系统512和数据513等,存储方式可以是短暂存储或者永久存储。其中,操作系统512可以为Windows。数据513可以包括但不限于上述方法所涉及到的数据。
在一些实施例中,工控专有协议的入侵检测设备还可包括有显示屏530、电源540、通信接口550、输入输出接口560、传感器570以及通信总线580。
本领域技术人员可以理解,图5中示出的结构并不构成对工控专有协议的入侵检测设备的限定,可以包括比图示更多或更少的组件。
本申请实施例提供的工控专有协议的入侵检测设备,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现如上所述的工控专有协议的入侵检测方法,效果同上。
需要说明的是,以上所描述的装置、设备实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。
为此,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如工控专有协议的入侵检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器ROM(Read-OnlyMemory)、随机存取存储器RAM(Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例中提供的计算机可读存储介质所包含的计算机程序能够在被处理器执行时实现如上所述的工控专有协议的入侵检测方法的步骤,效果同上。
以上对本申请所提供的一种工控专有协议的入侵检测方法、装置、设备及计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种工控专有协议的入侵检测方法,其特征在于,包括:
预先获取工业控制系统基于工控专有协议传输的原始通信流量,根据所述原始通信流量中基于所述工控专有协议的未公开协议传输的通信流量建立基于通信工艺参数的第一检测特征库,根据所述原始通信流量中基于所述工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库;
接收待检测流量;
分别根据所述第一检测特征库和所述第二检测特征库对所述待检测流量进行异常特征检测;
当检测到所述待检测流量中存在违反所述第一检测特征库和/或所述第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作。
2.根据权利要求1所述的入侵检测方法,其特征在于,所述第一检测特征库具体为:所述通信工艺参数所采用的位号列表的字节数与时间维度的二维正态分布数据所构成的位号列表特征库。
3.根据权利要求2所述的入侵检测方法,其特征在于,所述位号列表特征库具体包括:所述工业控制系统的标准作业程序与时间维度的第一规则集,以及所述工业控制系统的确定性行为对应的单位时间的字节数与协议类型的第二规则集;
其中,所述确定性行为至少包括检修计划;
相应的,根据第二检测特征库对所述待检测流量进行异常特征检测,具体包括:
根据所述第一规则集对所述待检测流量进行异常特征检测;
若未检测到违反所述第一规则集的异常特征,则确认所述待检测流量通过所述第一检测特征库的异常特征检测;
若检测到违反所述第一规则集的异常特征,则根据所述第二规则集对所述待检测流量进行异常特征检测;
若未检测到违反所述第二规则集的异常特征,则确认所述待检测流量通过所述第一检测特征库的异常特征检测;
若检测到违反所述第二规则集的异常特征,则根据检测到的异常特征执行对所述待检测流量的入侵相应动作。
4.根据权利要求1所述的入侵检测方法,其特征在于,所述第二检测特征库具体包括:站类型与协议类型的第三规则集,以及站间访问关系与协议类型的第四规则集。
5.根据权利要求1所述的入侵检测方法,其特征在于,还包括:
分析得到所述待检测流量的发送端地址与所述待检测流量的接收端地址;
若所述发送端地址和所述接收端地址中至少一个不属于所述工业控制系统的资产信息对应的地址,则执行对应的入侵响应动作。
6.根据权利要求1所述的入侵检测方法,其特征在于,所述获取工业控制系统基于工控专有协议传输的原始通信流量,具体为:
获取所述工业控制系统的仿真系统基于所述工控专有协议传输的所述原始通信流量。
7.根据权利要求1所述的入侵检测方法,其特征在于,所述入侵响应动作包括:异常报警、控制防火墙设备进行入侵拦截、控制终端安全设备进行入侵拦截中的至少一种。
8.一种工控专有协议的入侵检测装置,其特征在于,包括:
统计单元,应用于预先获取工业控制系统基于工控专有协议传输的原始通信流量,根据所述原始通信流量中基于所述工控专有协议的未公开协议传输的通信流量建立基于通信工艺参数的第一检测特征库,根据所述原始通信流量中基于所述工控专有协议的公开协议传输的通信流量建立基于协议特征的第二检测特征库;
接收单元,用于接收待检测流量;
检测单元,用于分别根据所述第一检测特征库和所述第二检测特征库对所述待检测流量进行异常特征检测;
第一执行单元,用于当检测到所述待检测流量中存在违反所述第一检测特征库和/或所述第二检测特征库的异常特征时,根据检测到的异常特征执行对应的入侵响应动作。
9.一种工控专有协议的入侵检测设备,其特征在于,包括:
存储器,用于存储指令,所述指令包括权利要求1至7任意一项所述工控专有协议的入侵检测方法的步骤;
处理器,用于执行所述指令。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述工控专有协议的入侵检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110919377.7A CN113645241B (zh) | 2021-08-11 | 2021-08-11 | 一种工控专有协议的入侵检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110919377.7A CN113645241B (zh) | 2021-08-11 | 2021-08-11 | 一种工控专有协议的入侵检测方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113645241A true CN113645241A (zh) | 2021-11-12 |
| CN113645241B CN113645241B (zh) | 2022-11-25 |
Family
ID=78420909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110919377.7A Active CN113645241B (zh) | 2021-08-11 | 2021-08-11 | 一种工控专有协议的入侵检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113645241B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114760103A (zh) * | 2022-03-21 | 2022-07-15 | 广州大学 | 一种工业控制系统异常检测系统、方法、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014042636A1 (en) * | 2012-09-13 | 2014-03-20 | Siemens Aktiengesellschaft | Packet intrusion inspection in an industrial control network |
| CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
| CN109962881A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 基于工业控制系统的入侵检测方法、装置以及系统 |
| US20210099470A1 (en) * | 2019-09-27 | 2021-04-01 | Institute For Information Industry | Intrusion detection device and intrusion detection method |
-
2021
- 2021-08-11 CN CN202110919377.7A patent/CN113645241B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014042636A1 (en) * | 2012-09-13 | 2014-03-20 | Siemens Aktiengesellschaft | Packet intrusion inspection in an industrial control network |
| CN109962881A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 基于工业控制系统的入侵检测方法、装置以及系统 |
| CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
| US20210099470A1 (en) * | 2019-09-27 | 2021-04-01 | Institute For Information Industry | Intrusion detection device and intrusion detection method |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114760103A (zh) * | 2022-03-21 | 2022-07-15 | 广州大学 | 一种工业控制系统异常检测系统、方法、设备及存储介质 |
| CN114760103B (zh) * | 2022-03-21 | 2023-10-31 | 广州大学 | 一种工业控制系统异常检测系统、方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113645241B (zh) | 2022-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Caselli et al. | Sequence-aware intrusion detection in industrial control systems | |
| US8789182B2 (en) | Security event logging in process control | |
| Lin et al. | Adapting bro into scada: building a specification-based intrusion detection system for the dnp3 protocol | |
| Radoglou-Grammatikis et al. | Attacking iec-60870-5-104 scada systems | |
| CN113098846A (zh) | 工控流量监测方法、设备、存储介质及装置 | |
| CN111130883B (zh) | 工控设备拓扑图的确定方法、装置及电子设备 | |
| Yang et al. | iFinger: Intrusion detection in industrial control systems via register-based fingerprinting | |
| CN110505206B (zh) | 一种基于动态联防的互联网威胁监测防御方法 | |
| Annor-Asante et al. | Development of smart grid testbed with low-cost hardware and software for cybersecurity research and education | |
| Chromik et al. | An integrated testbed for locally monitoring SCADA systems in smart grids | |
| CN112738063A (zh) | 一种工业控制系统网络安全监测平台 | |
| Elbez et al. | A new classification of attacks against the cyber-physical security of smart grids | |
| CN113645241B (zh) | 一种工控专有协议的入侵检测方法、装置及设备 | |
| Xiong et al. | A vulnerability detecting method for Modbus-TCP based on smart fuzzing mechanism | |
| CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
| Mai et al. | Uncharted networks: A first measurement study of the bulk power system | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| Chromik et al. | Bro in SCADA: Dynamic intrusion detection policies based on a system model | |
| Chang et al. | The Modbus protocol vulnerability test in industrial control systems | |
| Havlena et al. | Accurate Automata-Based Detection of Cyber Threats in Smart Grid Communication | |
| Izzuddin et al. | Mapping threats in smart grid system using the mitre att&ck ics framework | |
| Siddavatam et al. | Testing and validation of Modbus/TCP protocol for secure SCADA communication in CPS using formal methods | |
| Hoeve | Detecting intrusions in encrypted control traffic | |
| CN114363018B (zh) | 工业数据传输方法、装置、设备与存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |