CN114600424B - 用于过滤数据流量的安全系统、方法和计算机可读存储介质 - Google Patents

用于过滤数据流量的安全系统、方法和计算机可读存储介质 Download PDF

Info

Publication number
CN114600424B
CN114600424B CN202080074052.7A CN202080074052A CN114600424B CN 114600424 B CN114600424 B CN 114600424B CN 202080074052 A CN202080074052 A CN 202080074052A CN 114600424 B CN114600424 B CN 114600424B
Authority
CN
China
Prior art keywords
rule set
network
security system
data traffic
additional rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080074052.7A
Other languages
English (en)
Other versions
CN114600424A (zh
Inventor
R·法尔克
C·奥托
H·帕茨拉夫
M·维默
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of CN114600424A publication Critical patent/CN114600424A/zh
Application granted granted Critical
Publication of CN114600424B publication Critical patent/CN114600424B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Circuits Of Receivers In General (AREA)
  • Emergency Protection Circuit Devices (AREA)

Abstract

本发明涉及用于过滤第一网络(NW1)和第二网络(NW2)之间的数据流量的安全系统(100)和方法,其中安全系统(100)布置在第一网络和第二网络之间。安全系统(100)包括管理模块(101),该管理模块被设立为根据控制指令激活针对用于过滤数据流量的安全系统的附加的规则集(P2)以及通知禁止指令和/或在激活附加的规则集的情况下阻止重置到安全系统的最初激活的规则集(P1)和修改附加的规则集。此外安全系统(100)包括过滤模块(102),该过滤模块被设立为根据最初激活的规则集(P1)和附加的规则集(P2)或仅仅根据附加的规则集(P2)过滤第一网络(NW1)和第二网络(NW2)之间的数据流量并且允许相应地经过滤的数据流量。

Description

用于过滤数据流量的安全系统、方法和计算机可读存储介质
技术领域
本发明涉及用于过滤第一网络和第二网络之间的数据流量的安全系统和计算机实施的方法。此外,本发明针对一种用于执行该计算机实施的方法的计算机程序产品。
背景技术
对IT系统或基于IT的自动化系统的攻击或袭击、即用于损害这种系统的不允许的访问可以借助防火墙或安全网关来避免。防火墙根据所配置的规则集(英语:Policy(策略))过滤数据流量。此外,可以借助合适的设备或软件、诸如借助(网络)入侵检测系统(缩写:(N)IDS)来检测攻击。在攻击的情况下可以重新配置防火墙,以便限制允许的数据流量并且以便因此防御攻击。不过,在此存在如下风险:攻击者或未充分训练的用户不允许地取消或改变该限制。
发明内容
因此本发明的任务是可靠地限制网络流量,以便使不受控制地切换回最初配置的规则集变得困难。
该任务通过在独立权利要求中所描述的措施来解决。在从属权利要求中呈现了本发明的有利的改进方案。
根据第一方面,本发明涉及一种用于根据规则集过滤第一网络和第二网络之间的数据流量的安全系统,其中所述安全系统布置在第一网络和第二网络之间,所述安全系统具有:
a)管理模块,该管理模块被设立为
- 根据控制指令,激活针对用于过滤数据流量的安全系统的附加的规则集,以及
- 通知禁止指令和/或在激活附加的规则集的情况下,阻止重置到安全系统的最初激活的规则集和修改附加的规则集,
b)过滤模块,该过滤模块被设立为,在激活附加的规则集的情况下根据最初激活的规则集和附加的规则集或仅仅根据附加的规则集过滤第一网络和第二网络之间的数据流量并且允许相应地经过滤的数据流量。
本发明的第二方面涉及一种计算机实施的用于通过布置在第一网络和第二网络之间的安全系统根据规则集过滤第一网络和第二网络之间的数据流量的方法,所述方法包括以下方法步骤:
- 根据控制指令激活针对用于过滤数据流量的安全系统的附加的规则集,
- 通过禁止指令和/或在激活附加的规则集的情况下,阻止重置到安全系统的最初激活的规则集和修改附加的规则集,
- 在激活附加的规则集的情况下根据最初激活的规则集和附加的规则集或仅仅根据附加的规则集过滤第一网络和第二网络之间的数据流量,以及
- 允许相应地经过滤的数据流量。
本发明的优点是,这样可配置的安全系统可靠地限制数据流量。过滤尤其根据至少一个可配置的规则集进行。例如,在识别出例如通过恶意软件对网络的攻击的情况下,可以激活附加的规则集并且安全系统可以被配置,使得该安全系统根据附加的规则集和最初的规则集过滤数据流量。因此,数据流量可以不仅根据最初的规则集而且根据附加的规则集被视为允许的,以便由安全系统转发。攻击者、例如黑客或用户不能以简单的方式改变在攻击的情况下激活的附加的规则集或将安全系统不允许地重置到最初的规则集。
该安全系统尤其可以包括软件和/或硬件。安全系统尤其已预先配置了最初的规则集,根据该最初的规则集,安全系统尤其在常规运行中过滤第一网络和第二网络之间的数据流量。根据控制指令,配置附加的规则集,使得过滤模块根据最初的规则集和附加的规则集或仅仅根据附加的规则集过滤数据流量。因此,一方面,如果附加规则集被激活,则可以根据两个规则集进行过滤,即实施逻辑“与”运算。在这种情况下,只有当数据流量满足两个规则集的条件时,数据流量才是允许的。另一方面,可以或者根据最初的规则集或者在激活附加的规则集的情况下根据附加的规则集进行过滤。
在安全系统的一种实施方式中,附加的规则集可以被设立为,基于与最初激活的规则集的过滤标准至少部分地不同的过滤标准过滤数据流量。
最初的规则集和/或附加的规则集尤其可以被设立,使得双向地允许第一网络和第二网络之间的数据流量。最初的规则集和附加的规则集的过滤标准尤其可以互相补充或部分重叠。因此,例如可以借助附加的规则集进一步限制数据流量。替代地,附加的规则集的过滤标准可以较少地限制数据流量,并且在激活附加的规则集的情况下允许指定的数据流量。
在安全系统的一种实施方式中,附加的规则集可以被设立为,更具限制性地(restriktiver)过滤通过最初激活的规则集被过滤的数据流量。
尤其,附加的规则集的过滤标准可以包括最初的规则集的过滤标准并且例如具有其他过滤标准。因此可以实现对数据流量的更具限制性的过滤。
在安全系统的一种实施方式中,附加的规则集可以被设立为,单向地允许数据流量。
因此,数据传输可以在仅仅一个方向上、即从第一网络到第二网络中或从第二网络到第一网络中实现。该实现尤其可以是基于硬件的/硬件支持的。
在安全系统的一种实施方式中,管理模块可以被设立为,如果满足如下条件中的至少一个条件,则停用附加的规则集并将安全系统重置到最初激活的规则集:
- 接收到针对附加的规则集的停用指令,
- 停用和/或重新激活安全系统,和/或
- 中断安全系统至第一网络和/或第二网络的至少一个通信连接。
因此实现,如果例如由于攻击激活了附加的规则集,则不会无意地或不允许地重置到最初激活的规则集。通过停用附加的规则集,安全系统又常规地可用,即根据最初的规则集进行过滤。
在安全系统的一种实施方式中,安全系统可以被设立为,从攻击识别设备的接收到的警告消息中导出控制指令,其中所述攻击识别设备被设立在第一网络中和/或在第二网络中在第一或第二网络之外。
攻击识别设备例如可以是本地入侵检测系统。这种攻击识别设备例如可以被设立在两个网络之一中。附加地或替代地,攻击识别设备可以与数据流量分析设备、例如预测性维护服务或网络监控服务一起被设立在云中。
基于识别出的或推测出的攻击,可以由攻击识别设备输出警告消息。用于激活附加的规则集的控制指令可以从这种警告消息中导出。因此,附加的规则集可以根据检测到的或推测的攻击来设立。
在一种实施方式中,安全系统可以被设立为,如果在预先给定的持续时间之后没有出现攻击识别设备的肯定消息,则输出控制指令。
例如,可以由攻击识别设备以预先给定的时间步长将关于网络状态的肯定消息传送给安全系统。肯定消息例如可以包括证明无错误的网络状态的日志数据。一旦在预先给定的持续时间之后没有出现这种肯定消息,就例如可以激活附加的规则集。
此外,本发明涉及一种计算机程序产品,该计算机程序产品可以直接加载到可编程的计算机中,所述计算机程序产品包括程序代码部分,在通过计算机执行程序的情况下所述程序代码部分促使该计算机执行根据本发明的方法的步骤。
计算机程序产品例如可以在存储介质、诸如存储卡、U盘、CD-ROM、DVD、非易失性/永久存储介质(英语:Non-transitory storage Medium)上提供或交付,或也可以以能够从网络中的服务器下载的文件的形式提供或交付。
附图说明
根据本发明的安全系统和根据本发明的方法的实施例在附图中示例性地呈现并借助以下描述更详细地解释。
图1示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的安全系统的示意图;
图2示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的安全系统的另一示意图;
图3示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的安全系统的另一示意图;和
图4示出根据本发明的用于过滤第一网络和第二网络之间的数据流量的方法的流程图。
彼此对应的部分在所有图中配备有相同的附图标记。
具体实施方式
尤其,以下实施例仅仅示出尤其根据本发明的教导的这种实现可能看起来如何的示例性实现可能性,因为指明(benennen)所有这些实现可能性是不可能的并且对于理解本发明而言也不是有利的或必要的。
在现有技术中惯用的用于实现本发明的所有可能性对于了解该/多个方法权利要求的(有关的)本领域技术人员而言自然也是已知的,使得其尤其不需要在说明书中的单独公开。
图1以框图示出根据本发明的安全系统100的一个实施例,所述安全系统布置在第一网络NW1和第二网络NW2之间。第一网络NW1和第二网络NW2经由无线或有线通信连接相互连接,使得可以在所述网络之间交换数据。
第一网络NW1例如可以是自动化网络,所述自动化网络将多个现场设备FD1、FD2相互联网。现场设备例如可以是控制设备或IIoT设备(英语:Industrial Internet ofThings(工业物联网),缩写:IIoT)。此外,攻击识别设备IDS、诸如攻击识别工具(英语:IntrusionDetection System(入侵检测系统))可以集成在第一网络NW1中。攻击识别设备IDS优选地配置为识别对第一网络NW1的攻击并将对应的警告消息输出给安全系统100。
第二网络NW2例如是开放式网络、诸如办公网络、移动无线电网络或互联网。安全系统100被设立为根据预先给定的过滤标准过滤并且必要时限制第一网络NW1和第二网络NW2之间的数据流量。安全系统100例如可以是防火墙、IoT网关或跨域安全解决方案。预先给定的过滤标准在被配置在安全系统100上的规则集P_act中定义。规则集也可以被称为策略。
安全系统100具有至少一个管理模块101和过滤模块102。此外,安全系统100可以包括至少一个处理器。管理模块101被设立为根据所接收的控制指令激活用于最初配置的规则集P1的附加的规则集P2。管理模块101与过滤模块102耦合。管理模块101管理相应存储的规则集P1、P2,根据控制指令激活这些规则集并在过滤模块102上配置至少一个激活的规则集。尤其,多个附加的规则集可以被存储并且由管理模块101管理。根据控制指令,尤其这些附加的规则集之一可以被选择和激活。
过滤模块102被配置为根据该相应地激活的规则集P_act或多个相应地激活的规则集过滤第一网络NW1和第二网络NW2之间的数据流量。在安全系统100的常规运行中,最初的规则集P1被配置为激活的规则集P_act。在常规运行中,过滤根据最初的激活的规则集P1进行。
过滤模块102可以根据附加的规则集P2(如果该规则集P2是激活的)和/或最初激活的规则集P1进行过滤。一旦识别出或推测出攻击,附加的规则集P2的激活就优选地根据攻击识别设备IDS的警告消息进行。除了激活附加的规则集P2之外,通过明确的禁止指令和/或在激活附加的规则集P2的情况下,阻止重置到最初激活的规则集P1和修改附加的规则集P2。换言之,通过激活附加的规则集P2来防止攻击者或用户改变激活的附加的规则集P2和/或将过滤模块102重置到最初激活的规则集P1。因此,在激活附加的规则集P2的情况下经由网络或常规配置接口不再可能激活另一规则集或改变附加的规则集P2。
基于警告消息,可以导出用于激活附加的规则集P2的控制指令。此外,过滤可以不仅根据最初激活的规则集P1而且附加的规则集P2进行,或者仅仅根据附加的规则集P2进行。过滤模块102仅仅允许经过滤的数据流量。
附加的规则集P2的过滤标准可以被定义,使得所述过滤标准至少部分地与最初激活的规则集P1的过滤标准不同。
附加的规则集P2的过滤标准优选地被定义,使得因此与利用最初激活的规则集P1相比实现对数据流量的更具限制性的过滤。
替代地,附加的规则集P2的过滤标准也可以被定义,使得如果尤其仅仅根据附加的规则集P2进行过滤,则允许指定的数据流量,所述数据流量根据最初的规则集P1不被允许。因此例如可以在错误状况下释放附加的维修通道,该附加的维修通道在根据最初的规则集P1进行过滤的情况下是不被允许的。
如果满足如下检查条件中的至少一个,则重置到最初激活的规则集P1可以通过受保护的重置过程进行:
- 接收用于停用附加的规则集的停用指令,诸如在安全系统100上的本地键击或跳线,
- 诸如通过重新启动或通过启动安全系统,停用和/或重新激活安全系统100,使得用于安全系统的电力供应在预先给定的时间间隔内是中断的,和/或
- 诸如通过移除以太网线缆,中断安全系统至第一网络和/或第二网络的至少一个通信连接。
在重置过程之后,安全系统100又处于常规运行模式中,即数据流量根据最初的规则集P1被过滤。
图2以框图示出根据本发明的安全系统100的另一实施例,所述安全系统包括管理模块101和过滤模块102,该安全系统布置在第一网络NW1和第二网络NW2之间。在第一网络NW1中例如现场设备FD1、FD2联网。此外,网络NW1具有第一攻击识别设备IDS1。
此外,安全系统100与系统200经由通信连接来连接,其中该系统200包括第二攻击识别设备IDS2和数据流量分析设备PW。例如,系统200是在云中实现的IIoT后端服务,该IIoT后端服务包括预测性维护服务和入侵检测系统即服务(Intrusion-Detection-System-as-a-Service)。预测性维护服务例如可以接收和评估来自第一网络NW1的现场设备FD1、FD2的设备数据。例如,可以执行统计评估,以便确定现场设备的即将来临的缺陷的概率并且事先促使维护。利用攻击识别设备系统即服务可以执行对第一网络NW1的网络数据的远程分析,以便识别出潜在的攻击。
安全系统100根据激活的策略P_act过滤第一网络NW1和第二网络NW2之间的数据流量。如果两个攻击识别设备IDS1、IDS2之一识别出攻击并且将对应的警告消息传送给安全系统100,则由管理模块101激活附加的策略P2。如果该附加的策略P2被激活并且在过滤模块102中被配置,则紧接着根据该附加的策略P2和最初激活的策略P1过滤第一网络NW1和第二网络NW2之间的数据流量。替代地,如果在预先给定的持续时间中没有出现攻击识别设备IDS1、IDS2之一的肯定消息,则也可以激活附加的规则集P2。
图3以框图示出根据本发明的安全系统100的另一实施例,该安全系统过滤安全关键网络NW1和开放式网络NW2之间的数据流量。安全系统100的管理模块101包括附加的策略P2,该附加的策略构成为单向策略。该单向策略P2引起,仅仅在一个方向上、例如仅仅从安全关键网络NW1到开放式网络NW2中的数据传输是可能的。因此,例如可以将来自安全关键网络NW1的现场设备FD1、FD2的状态和/或诊断数据经由单向协议、例如UDP来传送。
单向策略P2的实施可以以基于硬件或硬件支持的方式进行,使得在物理上保证,仅仅单向数据传输是可能的。尤其,在激活单向策略P2的情况下可以仅仅根据该策略进行过滤。然而也可能的是,根据单向策略P2允许的数据流量附加地还根据最初的策略P1被过滤。在两种变型方案中,在通过例如攻击识别设备IDS检测到攻击的情况下保证,从开放式网络NW2不可能影响安全关键网络NW1并且因此也不可能攻击该安全关键网络的设备FD1、FD2。例如,在从传统双向防火墙检测到攻击的情况下可以配置单向的、过滤数据的单向网关(数据二极管)。
图4示出根据本发明的计算机实施的用于通过布置在第一网络和第二网络之间的安全系统过滤第一网络和第二网络之间的数据流量的方法。
在该方法的第一步骤10中,可以借助攻击识别设备检测对这两个网络之一的攻击。替代地,这种攻击识别设备可以在预先给定的时间点传送肯定消息。一旦在预先给定的持续时间之后没有出现这种肯定消息,就同样可以输出警告消息。该警告消息可以被传送给安全系统。
在下一步骤11中,根据例如从所传送的警告消息导出的控制指令激活针对安全系统的附加的规则集。在该安全系统上配置了最初激活的规则集。在激活附加的规则集的情况下可以在安全系统的过滤模块中配置该附加的规则集。
在下一步骤12中,通过禁止指令和/或在激活附加的规则集的情况下,阻止重置到最初激活的规则集。换言之,在安全系统上最初激活的规则集通过附加的规则集来补充或代替,根据所述最初激活的规则集在常规运行中进行过滤。优选地,附加的规则集的过滤标准被定义,使得因此数据流量与通过最初的规则集的过滤标准相比更具限制性地被过滤。
在下一步骤13中,根据最初激活的规则集和/或根据附加的规则集过滤第一网络和第二网络之间的数据流量,使得允许满足根据第一和/或第二规则集的过滤标准的数据流量。
经过滤的数据流量被安全系统允许,步骤14。
所有所描述的和/或所绘出的特征可以在本发明的范围中有利地相互组合。本发明并不限于所描述的实施例。

Claims (9)

1.一种用于根据规则集过滤第一网络(NW1)和第二网络(NW2)之间的数据流量的安全系统(100),其中所述安全系统(100)布置在所述第一网络和所述第二网络之间,所述安全系统具有:
a)管理模块(101),所述管理模块被设立为
- 根据控制指令,激活针对用于过滤所述数据流量的所述安全系统的附加的规则集(P2),以及
- 通过禁止指令和/或在激活所述附加的规则集的情况下,阻止重置到所述安全系统的最初激活的规则集(P1)和修改所述附加的规则集,
b)过滤模块(102),所述过滤模块被设立为,在激活附加的规则集(P2)的情况下根据所述最初激活的规则集(P1)和所述附加的规则集(P2)或仅仅根据所述附加的规则集(P2)过滤所述第一网络(NW1)和所述第二网络(NW2)之间的数据流量并且允许相应地经过滤的数据流量。
2.根据权利要求1所述的安全系统(100),其中所述附加的规则集(P2)被设立为基于与所述最初激活的规则集的过滤标准至少部分地不同的过滤标准过滤所述数据流量。
3.根据权利要求1所述的安全系统(100),其中所述附加的规则集(P2)被设立为更具限制性地过滤通过所述最初激活的规则集被过滤的数据流量。
4.根据权利要求1所述的安全系统(100),其中所述附加的规则集(P2)被设立为单向地允许所述数据流量。
5.根据上述权利要求1-4中任一项所述的安全系统(100),其中所述管理模块(101)被设立为,如果满足如下条件中的至少一个条件,则停用所述附加的规则集(P2)并将所述安全系统(100)重置到所述最初激活的规则集(P1):
- 接收到针对所述附加的规则集的停用指令,
- 停用和/或重新激活所述安全系统(100),和/或
- 中断所述安全系统至所述第一网络和/或第二网络的至少一个通信连接。
6.根据上述权利要求1-4中任一项所述的安全系统(100),其中所述安全系统(100)被设立为从攻击识别设备(IDS)的接收到的警告消息导出所述控制指令,其中所述攻击识别设备被设立在所述第一网络中或在所述第二网络中和/或在所述第一或第二网络之外。
7.根据上述权利要求1-4中任一项所述的安全系统,其中所述安全系统被设立为,如果在预先给定的持续时间之后没有出现攻击识别设备的肯定消息,则输出所述控制指令。
8.一种计算机实施的用于通过布置在第一网络和第二网络之间的安全系统(100)根据规则集过滤所述第一网络(NW1)和所述第二网络(NW2)之间的数据流量的方法,该方法包括以下方法步骤:
- 根据控制指令激活(11)针对用于过滤所述数据流量的所述安全系统(100)的附加的规则集(P2),
- 通过禁止指令和/或在激活所述附加的规则集的情况下,阻止(12)重置到所述安全系统的最初激活的规则集(P1)和修改所述附加的规则集,
- 在激活所述附加的规则集(P2)的情况下根据所述最初激活的规则集(P1)和所述附加的规则集(P2)或仅仅根据所述附加的规则集(P2)过滤(13)所述第一网络和第二网络之间的数据流量,以及
- 允许(14)相应地经过滤的数据流量。
9.一种计算机可读存储介质,其上存储有计算机程序,该计算机程序包括程序代码部分,所述程序代码部分在通过计算机执行程序时促使所述计算机执行根据权利要求8所述的方法的步骤。
CN202080074052.7A 2019-10-23 2020-10-09 用于过滤数据流量的安全系统、方法和计算机可读存储介质 Active CN114600424B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP19204902.1A EP3813314B1 (de) 2019-10-23 2019-10-23 Sicherungssystem und verfahren zur filterung eines datenverkehrs
EP19204902.1 2019-10-23
PCT/EP2020/078433 WO2021078538A1 (de) 2019-10-23 2020-10-09 Sicherungssystem und verfahren zur filterung eines datenverkehrs

Publications (2)

Publication Number Publication Date
CN114600424A CN114600424A (zh) 2022-06-07
CN114600424B true CN114600424B (zh) 2023-06-02

Family

ID=68342675

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080074052.7A Active CN114600424B (zh) 2019-10-23 2020-10-09 用于过滤数据流量的安全系统、方法和计算机可读存储介质

Country Status (5)

Country Link
EP (1) EP3813314B1 (zh)
CN (1) CN114600424B (zh)
ES (1) ES2921212T3 (zh)
PL (1) PL3813314T3 (zh)
WO (1) WO2021078538A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026500A (zh) * 2007-01-31 2007-08-29 北京佳讯飞鸿电气有限责任公司 一种减少网络入侵检测系统漏报的方法
CN102299909A (zh) * 2009-09-24 2011-12-28 费希尔-罗斯蒙特系统公司 用于过程控制系统的集成统一威胁管理
CN109076068A (zh) * 2016-03-31 2018-12-21 西门子股份公司 减少经由网络接入点对设备弱点的攻击可能性

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005051090A1 (de) * 2005-10-25 2007-04-26 Siemens Ag Filteranpassung bei Änderung von Netzzuständen
US8056115B2 (en) * 2006-12-11 2011-11-08 International Business Machines Corporation System, method and program product for identifying network-attack profiles and blocking network intrusions
US8561129B2 (en) * 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
DE102017203898A1 (de) * 2017-03-09 2018-09-13 Siemens Aktiengesellschaft Gateway-Vorrichtung, Kommunikationsverfahren und Kommunikationssystem für ein Fahrzeug, insbesondere ein Schienenfahrzeug

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026500A (zh) * 2007-01-31 2007-08-29 北京佳讯飞鸿电气有限责任公司 一种减少网络入侵检测系统漏报的方法
CN102299909A (zh) * 2009-09-24 2011-12-28 费希尔-罗斯蒙特系统公司 用于过程控制系统的集成统一威胁管理
CN109076068A (zh) * 2016-03-31 2018-12-21 西门子股份公司 减少经由网络接入点对设备弱点的攻击可能性

Also Published As

Publication number Publication date
EP3813314B1 (de) 2022-04-27
EP3813314A1 (de) 2021-04-28
WO2021078538A1 (de) 2021-04-29
PL3813314T3 (pl) 2022-08-22
ES2921212T3 (es) 2022-08-19
CN114600424A (zh) 2022-06-07

Similar Documents

Publication Publication Date Title
CN106168757B (zh) 工厂安全系统中的可配置鲁棒性代理
US9509628B2 (en) Managing devices in a heterogeneouus network
US8737398B2 (en) Communication module with network isolation and communication filter
US10680893B2 (en) Communication device, system, and method
CN108141399B (zh) 用于防止在can总线处的操纵的方法和装置
EP3108614B1 (en) System and method for information security threat disruption via a border gateway
US20190109824A1 (en) Rule enforcement in a network
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
CN114600424B (zh) 用于过滤数据流量的安全系统、方法和计算机可读存储介质
JP2020092417A (ja) ノードデバイスが、許可できないメッセージをcanバス上に送信することを防止する方法及び装置
US20170374028A1 (en) Software-defined networking controller
CN105635067B (zh) 报文发送方法及装置
US9124618B2 (en) Process of reliability for the generation of warning messages on a network of synchronized data
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
US11095649B2 (en) Uni-directional and bi-directional cross-domain (secure exchange gateway) design
CN105580323A (zh) 通过网络过滤装置过滤数据包
CN116015776A (zh) 一种失陷主机的封禁方法、装置电子设备和存储介质
CN105393497B (zh) 一种生成访问控制列表规则的方法、装置及系统
US10616094B2 (en) Redirecting flow control packets
CN117938728B (zh) 服务器集群中边缘节点的路由方法、装置、设备及介质
JP2006252109A (ja) ネットワークアクセス制御装置、遠隔操作用装置及びシステム
JP2014023136A (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム
TWM563582U (zh) 網路入侵偵測系統

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230103

Address after: Munich, Germany

Applicant after: Siemens Transportation Co.,Ltd.

Address before: Munich, Germany

Applicant before: SIEMENS AG

GR01 Patent grant
GR01 Patent grant