CN114866355A - 一种报文流转发方法、装置、计算机设备 - Google Patents
一种报文流转发方法、装置、计算机设备 Download PDFInfo
- Publication number
- CN114866355A CN114866355A CN202210789695.0A CN202210789695A CN114866355A CN 114866355 A CN114866355 A CN 114866355A CN 202210789695 A CN202210789695 A CN 202210789695A CN 114866355 A CN114866355 A CN 114866355A
- Authority
- CN
- China
- Prior art keywords
- target
- command
- message
- control module
- command set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书提供一种报文流转发方法、装置、计算机设备,方法应用于防护规则引擎,防护规则引擎独立于工业控制器的控制模块。该方法包括:拦截通过网络发送给控制模块的目标报文流;解析目标报文流,得到目标报文通信属性与目标命令集;判断目标报文通信属性与目标命令集是否命中任一合法权限识别规则;若命中,则基于若干命令识别规则,识别目标命令集是否会对所述控制模块产生攻击;若识别出目标命令集不会对控制模块产生攻击,则将目标报文流转发给控制模块。通过升级防护规则引擎中的规则,加强对控制模块的防护,且在防护规则引擎升级期间,不影响控制模块的正常运行。
Description
技术领域
本说明书涉及网络安全技术领域,尤其涉及一种报文流转发方法、装置、计算机设备。
背景技术
工业控制器通常应用于工业生产环境中,用于控制若干生产设备进行工业生产。常见的工业控制器例如可以是可编程逻辑控制器PLC和可编程自动化控制器PAC等。
在实际应用中,工业生产的技术人员可以通过网络下工业控制器下发携带有命令集的报文,工业控制器的控制模块需要执行接收到的报文中携带的命令集。
有时工业控制器会从网络接收到一些异常报文,这些异常报文中的命令集可能会对工业控制器的控制模块产生攻击,这些攻击例如可以是恶意代码注入、非法修改运行参数、非法修改I/O引脚配置、绕过权限验证、造成缓冲区溢出、非法访问受保护对象等。
发明内容
为克服相关技术中存在的问题,本说明书提供了一种报文流转发方法、装置、计算机设备。
根据本申请实施例的第一方面,提供一种报文流转发方法,应用于防护规则引擎,所述防护规则引擎独立于工业控制器的控制模块;所述防护规则引擎中预设有若干合法权限识别规则,每个合法权限识别规则包含:一组报文通信属性,以及,具有该组报文通信属性的报文可合法携带的命令提示符;所述防护规则引擎中还预设有若干命令识别规则,所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击;所述方法包括:
拦截通过网络发送给所述控制模块的目标报文流;所述目标报文流携带有目标命令集;
解析所述目标报文流,得到目标报文通信属性与所述目标命令集;
判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则;
若命中任一所述合法权限识别规则,则基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击;
若识别出所述目标命令集不会对所述控制模块产生攻击,则将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述报文通信属性,包括以下至少一种:
报文源MAC地址;
报文目的MAC地址;
报文源IP地址;
报文目的IP地址;
报文目的端口;
报文遵循的通信协议。
在一个可行的实施方案中,所述防护规则引擎中还预设有若干合法报文识别规则,每个合法报文识别规则包括:一组报文通信属性;
在判断是否命中任一所述合法权限识别规则之前,所述方法还包括:
判断所述目标报文通信属性是否命中任一所述合法报文识别规则;
判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则,包括:
若命中任一所述合法报文识别规则,则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。
在一个可行的实施方案中,还包括:
若未命中任一所述合法报文识别规则,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,还包括:
若未命中任一所述合法权限识别规则,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,还包括:
若识别出所述目标命令集会对所述控制模块产生攻击,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述目标命令集还包括命令执行顺序;每个命令识别规则用于表征:一个风险命令集,以及,该风险命令集中各个风险命令的至少一个安全执行顺序;
其中,该风险命令集中的各个风险命令具有对所述控制模块的攻击风险,但是,按照所述安全执行顺序执行该风险命令集中的各个风险命令时,客观上不会对所述控制模块产生攻击;
基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击,包括:
针对任一命令识别规则,若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序一致,则识别出所述目标命令集不会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集不存在相同的命令提示符,则识别出所述目标命令集不会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序不一致,则识别出所述目标命令集会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集存在部分相同的命令提示符,则识别出所述目标命令集会对所述控制模块产生攻击。
在一个可行的实施方案中,还包括:
若识别出所述目标命令集会对所述控制模块产生攻击,则记录所述目标报文流并进行告警。
根据本申请实施例的第二方面,提供一种报文流转发装置,应用于防护规则引擎,所述防护规则引擎独立于工业控制器的控制模块;所述防护规则引擎中预设有若干合法权限识别规则,每个合法权限识别规则包含:一组报文通信属性,以及,具有该组报文通信属性的报文可合法携带的命令提示符;所述防护规则引擎中还预设有若干命令识别规则,所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击;所述装置包括:
拦截单元,用于拦截通过网络发送给所述控制模块的目标报文流;所述目标报文流携带有目标命令集;
解析单元,用于解析所述目标报文流,得到目标报文通信属性与所述目标命令集;
第一判断单元,用于判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则;
攻击识别单元,用于若命中任一所述合法权限识别规则,则基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击;
转发单元,用于若识别出所述目标命令集不会对所述控制模块产生攻击,则将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述报文通信属性,包括以下至少一种:
报文源MAC地址;
报文目的MAC地址;
报文源IP地址;
报文目的IP地址;
报文目的端口;
报文遵循的通信协议。
在一个可行的实施方案中,所述防护规则引擎中还预设有若干合法报文识别规则,每个合法报文识别规则包括:一组报文通信属性;所述装置还包括:
第二判断单元,用于在判断是否命中任一所述合法权限识别规则之前,判断所述目标报文通信属性是否命中任一所述合法报文识别规则;
所诉第一判断单元,用于:
若命中任一所述合法报文识别规则,则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。
在一个可行的实施方案中,所述装置还包括:
第一拒绝单元,用于若未命中任一所述合法报文识别规则,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述装置还包括:
第二拒绝单元,用于若未命中任一所述合法权限识别规则,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述装置还包括:
第三拒绝单元,用于若识别出所述目标命令集会对所述控制模块产生攻击,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述目标命令集还包括命令执行顺序;每个命令识别规则用于表征:一个风险命令集,以及,该风险命令集中各个风险命令的至少一个安全执行顺序;
其中,该风险命令集中的各个风险命令具有对所述控制模块的攻击风险,但是,按照所述安全执行顺序执行该风险命令集中的各个风险命令时,客观上不会对所述控制模块产生攻击;
所述攻击识别单元,用于:
针对任一命令识别规则,若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序一致,则识别出所述目标命令集不会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集不存在相同的命令提示符,则识别出所述目标命令集不会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序不一致,则识别出所述目标命令集会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集存在部分相同的命令提示符,则识别出所述目标命令集会对所述控制模块产生攻击。
在一个可行的实施方案中,所述装置还包括:
告警单元,用于若识别出所述目标命令集会对所述控制模块产生攻击,则记录所述目标报文流并进行告警。
根据本申请实施例的第三方面,提供一种计算机设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器执行所述程序时实现如上述任一实施例中所述的报文流转发方法。
根据本申请实施例的第四方面,提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机程序,所述计算机程序被执行时实现如上述任一实施例中所述的报文流转发方法。
本说明书的实施例提供的技术方案可以包括以下有益效果:
本申请实施例利用独立于控制模块的规则引擎对可能出现的网络报文攻击进行防护,而在需要对防护能力进行升级时,仅需要对规则引擎中内置的防护规则进行增减即可,规则引擎并不需要重启,可以保持运行。从而可以在防护规则引擎更新期间,不影响控制模块对目标报文流的接收,可以始终保持针对网络报文攻击的防护。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1示出了本申请实施例提供的一种报文流转发方法的流程图。
图2示出了本申请实施例提供的一种进一步防护报文流的方法的流程图。
图3示出了本申请实施例提供的一种报文流转发装置的结构示意图。
图4示出了本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在工业控制器的控制模块控制若干生产设备进行工业生产的过程中,若工业控制器中的控制模块在通过网络接收报文流的过程中遭受到网络攻击,会导致控制模块异常运行,进而由于无法正常控制各生产设备导致工业生产瘫痪等多种问题。
现有技术中通常是在工业控制器的控制模块中内置防护补丁,利用防护补丁来对针对工业控制器的网络攻击进行防护。在实际应用中,如果需要对防护能力进行升级更新,则需要对控制模块中内置的防护补丁进行升级更新,而由于控制模块本质上是软件程序,因此在更新时需要对控制模块进行停机和重启处理,这必然会耽误正常的工业生产。
另外,现有技术中还可能采用网络防火墙来针对工业控制器可能受到的网络攻击进行防护。然而,网络防火墙仅能实现对于网络通信层面的网络攻击进行防护,却很难实现针对工业控制器的设计缺陷的网络攻击进行防护。
为了解决上述技术问题,在本申请的一个或多个实施例中,设置独立于工业控制器的控制模块的防护规则引擎,防护规则引擎拦截通过网络发送给工业控制器的控制模块的目标报文流,并基于内置的规则对目标报文流进行校验,当确定目标报文流安全时,将目标报文流转发到控制模块,控制模块可以正常执行目标报文流中携带的命令集。
通过本申请的一个或多个实施例,利用独立于控制模块的防护规则引擎对可能出现的网络报文攻击进行防护,而在需要对防护能力进行升级时,由于规则引擎的特性(引擎运行时的能力依赖于规则,而规则可以动态配置),因此仅需要对规则引擎中内置的防护规则进行增减即可,规则引擎并不需要重启,可以保持运行。这意味着,与现有技术中将防护能力内置于控制模块、需要重启控制模块才能升级防护能力相比,本实施例中不仅可以保持(哪怕是对规则引擎进行升级期间)针对网络攻击的防护能力始终在线,而且工业控制器的控制模块也可以正常保持运行。
此外,本实例中,区别于现有的防火墙仅能针对网络通信层面进行防护,防护规则引擎中内置了合法权限识别规则与命令识别规则,合法权限识别规则考虑了报文通信属性与报文可合法携带的命令提示符之间的权限关系,也即考虑了针对工业控制器的控制权限漏洞的网络攻击;而命令识别规则考虑了针对工业控制器的控制模块的设计缺陷的攻击,因此,可以很好的防护针对工业控制器的网络攻击。
接下来对本申请实施例进行详细说明。
图1示出了本申请实施例提供的一种报文流转发方法的流程图,如图1所示,该方法包括以下步骤:
步骤101,拦截通过网络发送给所述控制模块的目标报文流;所述目标报文流携带有目标命令集。
具体的,防护规则引擎内置有数据库,用于在数据库中存储在对工业控制器防护时用到的每个规则,包括但不限于:合法权限识别规则、命令识别规则、以及下述的合法报文识别规则。在对防护规则引擎进行更新时,实际上是对数据库中的规则进行修改、增加和删除,因此在对其内置的数据库中的规则进行更新时,不需要对防护规则引擎进行停机和重启。
控制模块,设置在工业控制器中,是一种具有运算和处理能力的软件程序,当工业控制器自身存在容易被网络攻击的设计缺陷时,若要提高网络防护能力,需要将控制模块中执行的程序和命令中断,从而在控制模块空闲、停机、重启的状态下实现对控制模块中软件程序的更新和升级。然而,将控制模块中执行的程序和命令中断,必然会影响工业控制器控制的多台生产设备的运行,从而由于影响生产设备的运行导致生产线停工停产等问题。
并且,由于防护规则引擎与工业控制器的控制模块相互独立,当想要加强对工业控制器的防护时,可以在防护规则引擎中删减和修改数据库中的规则,不需要对控制模块进行修改和重启。可以避免当工业控制器正在控制各生产设备时,由于程序升级导致的停机和重启故障,进而能够在工业控制器运行时加强对工业控制器的网络防护功能。
报文流中携带有更改工业控制器运行配置、运行程序的目标命令集。当监测到有访问用户通过网络将目标报文流发送给工业控制器时,拦截每个目标报文流,从而防止有安全风险的报文直接发送到控制器中。目标报文流可以是通过工业控制器支持的任意网络和网络协议发送的,例如局域网、广域网等等。
步骤102,解析所述目标报文流,得到目标报文通信属性与所述目标命令集。
报文流中包括至少一个报文,每个报文流中的报文数量可以是一个也可以是多个,每个报文中携带一个命令集,每个命令集中的命令提示符的数量可以是一个,也可以是多个。每个报文中都携带有能够表征报文通信属性的通信字符、至少一个命令提示符。除此之外,报文中还可以包括配合该命令提示符生效的若干其他字符。
其他字符包括但不限于:命令提示符对应的命令所操作的数据地址、对该数据地址操作的数据值。数据地址和数据值可以是具体的字符,也可以为空。
其中,报文通信属性用于表征报文对应的访问用户、访问方式和访问地址等信息,命令提示符用于修改工业控制器的运行配置和/或运行程序。同一个报文流中的不同报文的报文通信属性是相同的。
例1,当报文流一中包括报文A和报文B,报文A中包括一个命令提示符,报文B中包括两个命令提示符,则报文流一携带的命令集中存在三个命令提示符。
对目标报文流进行解析,是指当根据步骤101拦截到目标报文流之后,不同的目标报文流的报文格式可能是相同的,也可能是不同的。想要确定出目标报文流的目标报文通信属性和目标命令集,就需要对目标报文流进行格式转换,并从目标报文流中提取出能够表示目标报文流的目标报文通信属性、和目标命令集的参数,通过对参数进行分析和整合,从而得到目标报文流的目标报文通信属性和目标命令集。
需要注意的是,目标命令集中还可以包括用于表示命令提示符所在的报文状态的状态字符、表示对报文校验得到的校验值的校验字符。
步骤103,判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。
具体的,合法权限识别规则中包括报文通信属性,以及每个报文通信属性可合法携带的命令提示符;即,合法权限识别规则中为不同的访问用户设置有不同的权限,从而限定了访问用户在每个报文中可合法携带的命令提示符。合法权限识别规则可以是一个,也可以是多个,例如为每个访问用户(报文通信属性)生成唯一的合法权限识别规则。
目标报文通信属性和目标命令集命中合法权限识别规则是指:合法权限识别规则中为目标报文通信属性表征的访问用户配置的命令提示符包含了目标命令集中的每个命令提示符,也即存在至少一个合法权限识别规则允许该目标报文通信属性表征的访问用户调用目标命令集中的每个命令提示符。
例如,每个访问用户的地址是唯一的,假设其中一个合法权限识别规则中,配置了访问用户一的权限为:能够设置命令集一、设置命令集二、设置命令集三;访问用户二的权限为:能够设置命令集四;假设每个命令集中均至少包括一个命令提示符。(例如访问用户一为工程师、访问用户二为操作员,那么工程师对应的权限是:能够设置控制模块的工作逻辑和工作方式等等,操作员无法更改控制模块的工作逻辑和工作方式,仅仅能够修改控制模块中运行的代码。而不在合法权限识别规则中的访问用户则被认为是非法访问用户或网络攻击者)。
则若目标报文通信属性表征的访问用户为访问用户三,则由于合法权限识别规则中未设置访问用户三的访问权限,因此访问用户三对应的报文流的目标通信属性与目标命令集未命中合法权限识别规则。
若目标报文通信属性表征的访问用户为访问用户一,且目标报文流的目标命令集为命令集二,即报文流的目标命令集在上述合法权限识别规则的权限范围中,则该目标报文通信属性和目标命令集对应的报文流命中合法权限识别规则。
步骤104,若命中任一所述合法权限识别规则,则基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击。
具体的,命令识别规则中设置有可能对控制模块产生攻击的命令提示符、以及该命令提示符对应的其他字符(操作的数据地址和数据值等),这些可能会对控制模块产生攻击的命令提示符,以及由这些命令提示符构成的命令识别规则,是在收集到各个工业控制器自身存在的设计缺陷后,通过经验总结得到的。
在根据步骤103判断出该目标报文流的目标报文通信属性和目标命令集是否命中任一合法权限识别规则后,当命中合法权限识别规则时,认为该目标报文流中具有设置目标命令集中的每个命令提示符的权限,则根据目标命令集中的命令提示符与命令识别规则中的命令提示符的相似程度,校验该目标报文流中的目标命令集是否会对控制模块产生攻击,进而导致生产设备异常运行。
步骤105,若识别出所述目标命令集不会对所述控制模块产生攻击,则将所述目标报文流转发给所述控制模块。
具体的,在根据步骤104识别出所述目标命令集不会对所述控制模块产生攻击时,则认为目标报文流中的目标命令集不会导致生产设备异常运行,将报文流转发给控制模块。
本申请实施例利用独立于控制模块的规则引擎对可能出现的网络报文攻击进行防护,而在需要对防护能力进行升级时,仅需要对规则引擎中内置的防护规则进行增减即可,规则引擎并不需要重启,可以保持运行。从而可以在防护规则引擎更新期间,不影响控制模块对目标报文流的接收,可以始终保持针对网络报文攻击的防护。
在一个可行的实施方案中,所述报文通信属性,包括以下至少一种:
报文源MAC地址;报文目的MAC地址;报文源IP地址;报文目的IP地址;报文目的端口;报文遵循的通信协议。
具体的,访问用户的信息包括但不限于:报文源MAC地址、报文源IP地址。访问方式包括但不限于:报文遵循的通信协议。访问地址包括但不限于:报文目的MAC地址、报文目的IP地址、报文目的端口。对报文流中涉及到的上述信息进行提取和分析,得到包含访问用户、访问方式和访问地址的报文通信属性。
在一个可行的实施方案中,所述防护规则引擎中还预设有若干合法报文识别规则,每个合法报文识别规则包括:一组报文通信属性。
在执行步骤103判断是否命中任一所述合法权限识别规则之前,所述方法还包括以下步骤:
步骤1021,判断所述目标报文通信属性是否命中任一所述合法报文识别规则。
具体的,合法报文识别规则中设置有允许通过的报文通信属性,当目标报文通信属性与每个合法报文识别规则中设置的报文通信属性均不相同时,确定目标报文通信属性未命中任一合法报文识别规则,当目标报文通信属性与任一个合法报文识别规则中设置的报文通信属性相同时,则认为目标报文通信属性命中所述合法报文识别规则。
需要注意的是,当报文通信属性包括报文源MAC地址;报文目的MAC地址;报文源IP地址;报文目的IP地址;报文目的端口;报文遵循的通信协议时,判断目标报文通信属性是否命中任一所述合法报文识别规则,也就是对目标报文流中的访问用户、访问地址和访问方式均进行验证。当目标报文通信属性与每个合法报文识别规则相比,均存在不满足合法报文识别规则的内容时,则认为目标报文通信属性未命中任一所述合法报文识别规则。例如,报文目的IP地址或报文目的MAC地址与接收该目标报文流的工业控制器的IP地址或MAC地址不同,则认为未命中。
在根据步骤1021判断出所述目标报文通信属性是否命中任一所述合法报文识别规则后,执行步骤103中的判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则,包括以下步骤:
若命中任一所述合法报文识别规则,则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。
具体的,当目标报文通信属性命中任一合法报文识别规则后,再判断目标报文流是否命中合法权限识别规则。具体判断方法如上述步骤103中所述的内容相同,在此不再赘述。
通过上述方法先判断目标报文通信属性是否命中合法报文识别规则,使得当目标报文通信属性与每个合法报文识别规则中设置的报文通信属性均不相同时,该目标报文流不进入后续步骤103-步骤105的计算,过滤了不可信的目标报文流,减少了步骤103中的目标报文流的数量,进而减轻了计算压力。
在一个可行的实施方案中,在执行步骤1021后,还包括以下步骤:若未命中任一所述合法报文识别规则,则拒绝将所述目标报文流转发给所述控制模块。
具体的,若目标报文通信属性未命中任一所述合法报文识别规则,则认为该目标报文通信属性以及该目标报文通信属性对应的目标报文流不可信,则拒绝将所述目标报文流转发给所述控制模块。通过上述方法有效拦截不可信的目标报文流。
在一个可行的实施方案中,在执行步骤103后,还包括以下步骤:
若未命中任一所述合法权限识别规则,则拒绝将所述目标报文流转发给所述控制模块。
具体的,当未命中合法权限识别规则时,则认为目标报文流没有能够设置目标命令集中的每个命令提示符的权限,则认为该目标报文流中携带了不合法命令提示符,则拒绝将所述目标报文流转发给所述控制模块,有效避免由于非权限操作导致的生产设备异常运行的问题。
在一个可行的实施方案中,在执行步骤104后,若识别出所述目标命令集会对所述控制模块产生攻击,则拒绝将所述目标报文流转发给所述控制模块。
具体的,当识别出目标命令集会对所述控制模块产生攻击时,尽管目标报文流对应的访问用户具备设置每个目标命令集的权限,但由于这些目标命令集中的多个命令提示符组合在一起会对控制模块产生攻击,因此拒绝将该目标报文流转发给控制模块,进而避免当对控制模块产生攻击时导致的生产设备运行异常的问题。
在一个可行的实施方案中,所述目标命令集还包括命令执行顺序;每个命令识别规则用于表征:一个风险命令集,以及,该风险命令集中各个风险命令的至少一个安全执行顺序;其中,该风险命令集中的各个风险命令具有对所述控制模块的攻击风险,但是,按照所述安全执行顺序执行该风险命令集中的各个风险命令时,客观上不会对所述控制模块产生攻击。
具体的,当目标命令集中存在至少两个命令提示符时,目标命令集中还包括用于表示每个命令提示符的执行顺序的命令执行顺序。命令执行规则的风险命令集中包括至少两个命令提示符,以及用于表示每个命令提示符的执行顺序的安全执行顺序,安全执行顺序是在获取到控制模块的自身设计缺陷的时候,根据人工经验总结出的。
风险命令集中的命令提示符,以及配合该命令提示符生效的其他字符,是可能对控制模块产生攻击的命令提示符,因此,当目标命令集中与风险命令集中的命令提示符存在部分或全部重叠时,认为目标命令集对控制模块具有攻击风险。由于这些目标命令集已经经过步骤103被验证为具有合法权限,理论上是可以对这些目标命令集放行并转发到控制模块中的,但是由于目标命令集对控制模块具有攻击风险,因此需要判断是否真的会对控制模块产生攻击。
命令识别规则中列举了当某些命令提示符对控制模块具有攻击风险时,能正常运行在控制模块中的安全执行顺序。那么当目标命令集与风险命令集不存在任何重叠命令提示符时,认为目标命令集对该控制模块不具备攻击风险,可以转发到控制模块,若目标命令集中的全部命令提示符与某个风险命令集中的命令提示符至少存在部分相同,则必须满足该安全执行顺序时才会排除对控制模块的攻击风险。以下进行详细说明:
在执行步骤104基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击时,包括以下四种情况:
情况一、针对任一命令识别规则,若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序一致,则识别出所述目标命令集不会对所述控制模块产生攻击。
具体的,目标命令集与某个命令识别规则所表征的风险命令集相同,是指目标命令集中的每个命令提示符,以及配合该命令提示生效的其他字符,与命令识别规则的风险命令集中的命令提示符和配合该命令提示符生效的其他字符完全相同。
例2,目标命令集中有:命令提示符A、命令提示符B;其中,命令提示符A配合有操作的数据地址一和对数据地址一操作的数据值一(其他字符)。目标命令集与风险命令集相同时,则该风险命令集中设置有:命令提示符A、命令提示符B;命令提示符A配合有操作的数据地址一和对数据地址一操作的数据值一。且,风险命令集中的安全执行顺序为:先执行命令提示符A,再执行命令提示符B。
若目标命令集中的命令执行顺序也是先执行命令提示符A,再执行命令提示符B,识别出所述目标命令集不会对所述控制模块产生攻击。
情况二、若所述目标命令集与该命令识别规则所表征的风险命令集不存在相同的命令提示符,则识别出所述目标命令集不会对所述控制模块产生攻击。
具体的,当目标命令集与任一风险命令集均不存在相同的命令提示符时,则认为目标命令集对应的目标报文流不会对控制模块产生攻击。
情况三、若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序不一致,则识别出所述目标命令集会对所述控制模块产生攻击。
具体的,若目标命令集与风险命令集中的所有命令提示符均完全相同,则判断安全执行顺序与目标命令集中的命令执行顺序是否相同。
例3,以上述例2为例进行说明,目标命令集中有:命令提示符A、命令提示符B;其中,命令提示符A配合有操作的数据地址一和对数据地址一操作的数据值一(其他字符)。目标命令集与风险命令集相同时,则该风险命令集中设置有:命令提示符A、命令提示符B;命令提示符A配合有操作的数据地址一和对数据地址一操作的数据值一。
若目标命令集中的命令执行顺序是先执行命令提示符B,再执行命令提示符A,则识别出所述目标命令集会对所述控制模块产生攻击。
情况四、若所述目标命令集与该命令识别规则所表征的风险命令集存在部分相同的命令提示符,则识别出所述目标命令集会对所述控制模块产生攻击。
例如,若目标命令集中包括:命令提示符A、命令提示符D和命令提示符E。风险命令集中包括:命令提示符A、命令提示符B和命令提示符C,且风险命令集中的安全执行顺序为:命令提示符A—命令提示符B—命令提示符C。
则目标命令集与风险命令集仅存在相同的命令提示符A,则由于目标命令集中不具备上述命令提示符B和命令提示符C,因此认为目标命令集不可能按照上述命令提示符A—命令提示符B—命令提示符C的安全执行顺序执行。因此识别出所述目标命令集会对所述控制模块产生攻击。
在确定目标报文流的目标报文通信属性可合法携带目标命令集中的每个命令提示符后,通过上述方法,通过校验目标命令集与风险命令集之间的相似程度,确定目标命令集中的命令提示符是否会对控制模块存在攻击风险,若存在攻击风险时,只有满足风险命令集中安全执行顺序时,才认为目标命令集对控制模块的攻击风险消除,允许目标命令集对应的目标报文流通过。能够防止在目标命令集会对控制模块存在攻击风险的情况下仍然放行目标报文流的情况,进而防止控制模块遭受网络攻击。
需要注意的是,由于目标命令集中也存在命令执行顺序,而工业控制器中控制模块的是按照该命令执行顺序执行目标命令集中的每个命令的,若该命令执行顺序是错误的,那么控制模块将会按照错误的命令执行顺序执行每个命令提示符,从而导致各个生产设备的运行先后顺序错误,容易造成工业生产出现问题。
当目标命令集中的命令提示符对控制模块具有攻击风险时,当且仅当目标命令集中的命令执行顺序与风险命令集中的安全执行顺序一致时,才认为目标命令集不会对控制模块产生攻击,也即不会导致工业生产出现问题。
例如,若安全执行顺序为:命令1:开启电动机—命令2:将电动机转速始终保持在2000转/分钟—命令3:关闭电动机。
若目标命令集与风险命令集中的三个命令提示符相同时,验证目标命令集的命令执行顺序是否与安全执行顺序相同:
假设目标命令集的命令执行顺序设置为:命令3:关闭电动机—命令1:开启电动机—命令2:将电动机转速始终保持在2000转/分钟。
则目标命令集在持续执行时会导致电动机持续运转,轻则浪费电、重则生产设备损坏并造成人身伤害,因此当目标命令集中的命令提示符对控制模块具有攻击风险时,需要校验目标命令集的命令执行顺序与风险命令集的安全执行顺序是否相同,在相同时,则认为不会对控制模块产生攻击,从而防止有人蓄意破坏工业生产秩序,提高对工业控制器的网络安全防护能力。
在一个可行的实施方案中,所述方法还包括:
若识别出所述目标命令集会对所述控制模块产生攻击,则记录所述目标报文流并进行告警。
具体的,当根据步骤104识别出目标命令集会对所述控制模块产生攻击时,将目标报文流进行记录,可以为其标记攻击标签,并进行告警。告警方式包括但不限于以下方式中的任一种、或者多种方式的组合:声音指示、画面指示、光亮指示等等。
需要注意的是,在未命中任一所述合法报文识别规则、未命中任一所述合法权限识别规则时,也对目标报文流进行记录并告警,并可以标识不同的标签,区分目标报文流被拒绝转发的原因。
图2示出了本申请实施例提供的一种进一步防护报文流的方法的流程图,如图2所示,该方法包括以下步骤:
步骤101,拦截通过网络发送给所述控制模块的目标报文流;所述目标报文流携带有目标命令集。
步骤102,解析所述目标报文流,得到目标报文通信属性与所述目标命令集。
步骤1021,判断所述目标报文通信属性是否命中任一所述合法报文识别规则。若命中任一所述合法报文识别规则,进入步骤201,否则进入步骤204。
步骤201,判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。若命中任一所述合法权限识别规则,进入步骤202,否则进入步骤204。
步骤202,基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击。若不产生攻击,则进入步骤203,否则进入步骤204。
步骤203,将所述目标报文流转发给所述控制模块。
步骤204,拒绝将所述目标报文流转发给所述控制模块。
步骤101—步骤204涉及的内容参见上述实施例中对相关内容的说明,此处不再赘述。
本申请实施例提供一种报文流转发装置,应用于防护规则引擎,所述防护规则引擎独立于工业控制器的控制模块;所述防护规则引擎中预设有若干合法权限识别规则,每个合法权限识别规则包含:一组报文通信属性,以及,具有该组报文通信属性的报文可合法携带的命令提示符;所述防护规则引擎中还预设有若干命令识别规则,所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击;图3示出了本申请实施例提供的一种报文流转发装置的结构示意图,如图3所示,所述装置包括:拦截单元301、解析单元302、第一判断单元303、攻击识别单元304、转发单元305。
拦截单元301,用于拦截通过网络发送给所述控制模块的目标报文流;所述目标报文流携带有目标命令集。
解析单元302,用于解析所述目标报文流,得到目标报文通信属性与所述目标命令集。
第一判断单元303,用于判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。
攻击识别单元304,用于若命中任一所述合法权限识别规则,则基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击。
转发单元305,用于若识别出所述目标命令集不会对所述控制模块产生攻击,则将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述报文通信属性,包括以下至少一种:
报文源MAC地址。
报文目的MAC地址。
报文源IP地址。
报文目的IP地址。
报文目的端口。
报文遵循的通信协议。
在一个可行的实施方案中,所述防护规则引擎中还预设有若干合法报文识别规则,每个合法报文识别规则包括:一组报文通信属性;所述装置还包括:
第二判断单元,用于在判断是否命中任一所述合法权限识别规则之前,判断所述目标报文通信属性是否命中任一所述合法报文识别规则。
所诉第一判断单元,用于:
若命中任一所述合法报文识别规则,则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。
在一个可行的实施方案中,所述装置还包括:
第一拒绝单元,用于若未命中任一所述合法报文识别规则,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述装置还包括:
第二拒绝单元,用于若未命中任一所述合法权限识别规则,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述装置还包括:
第三拒绝单元,用于若识别出所述目标命令集会对所述控制模块产生攻击,则拒绝将所述目标报文流转发给所述控制模块。
在一个可行的实施方案中,所述目标命令集还包括命令执行顺序;每个命令识别规则用于表征:一个风险命令集,以及,该风险命令集中各个风险命令的至少一个安全执行顺序。
其中,该风险命令集中的各个风险命令具有对所述控制模块的攻击风险,但是,按照所述安全执行顺序执行该风险命令集中的各个风险命令时,客观上不会对所述控制模块产生攻击。
所述攻击识别单元,用于:
针对任一命令识别规则,若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序一致,则识别出所述目标命令集不会对所述控制模块产生攻击。
若所述目标命令集与该命令识别规则所表征的风险命令集不存在相同的命令提示符,则识别出所述目标命令集不会对所述控制模块产生攻击。
若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序不一致,则识别出所述目标命令集会对所述控制模块产生攻击。
若所述目标命令集与该命令识别规则所表征的风险命令集存在部分相同的命令提示符,则识别出所述目标命令集会对所述控制模块产生攻击。
在一个可行的实施方案中,所述装置还包括:
告警单元,用于若识别出所述目标命令集会对所述控制模块产生攻击,则记录所述目标报文流并进行告警。
本申请实施例利用独立于控制模块的规则引擎对可能出现的网络报文攻击进行防护,而在需要对防护能力进行升级时,仅需要对规则引擎中内置的防护规则进行增减即可,规则引擎并不需要重启,可以保持运行。从而可以在防护规则引擎更新期间,不影响控制模块对目标报文流的接收,可以始终保持针对网络报文攻击的防护。
本说明书提供的文件处理装置的实施例可以应用在计算机设备上,例如服务器或终端设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,图4示出了本申请实施例提供的一种计算机设备的结构示意图,除了图4所示的处理器410、内存430、网络接口420、以及非易失性存储器440之外,实施例中文件处理装置431所在的服务器或电子设备,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
相应的,本说明书还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机程序,所述计算机程序被执行时实现如上述任一实施例中所述的报文流转发方法。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种报文流转发方法,其特征在于,应用于防护规则引擎,所述防护规则引擎独立于工业控制器的控制模块;所述防护规则引擎中预设有若干合法权限识别规则,每个合法权限识别规则包含:一组报文通信属性,以及,具有该组报文通信属性的报文可合法携带的命令提示符;所述防护规则引擎中还预设有若干命令识别规则,所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击;所述方法包括:
拦截通过网络发送给所述控制模块的目标报文流;所述目标报文流携带有目标命令集;
解析所述目标报文流,得到目标报文通信属性与所述目标命令集;
判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则;
若命中任一所述合法权限识别规则,则基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击;
若识别出所述目标命令集不会对所述控制模块产生攻击,则将所述目标报文流转发给所述控制模块。
2.如权利要求1所述方法,其特征在于,所述报文通信属性,包括以下至少一种:
报文源MAC地址;
报文目的MAC地址;
报文源IP地址;
报文目的IP地址;
报文目的端口;
报文遵循的通信协议。
3.如权利要求1所述方法,其特征在于,所述防护规则引擎中还预设有若干合法报文识别规则,每个合法报文识别规则包括:一组报文通信属性;
在判断是否命中任一所述合法权限识别规则之前,所述方法还包括:
判断所述目标报文通信属性是否命中任一所述合法报文识别规则;
判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则,包括:
若命中任一所述合法报文识别规则,则基于所述目标命令集中的命令提示符判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则。
4.如权利要求3所述方法,其特征在于,还包括:
若未命中任一所述合法报文识别规则,则拒绝将所述目标报文流转发给所述控制模块。
5.如权利要求1所述方法,其特征在于,还包括:
若未命中任一所述合法权限识别规则,则拒绝将所述目标报文流转发给所述控制模块。
6.如权利要求1所述方法,其特征在于,还包括:
若识别出所述目标命令集会对所述控制模块产生攻击,则拒绝将所述目标报文流转发给所述控制模块。
7.如权利要求1所述方法,其特征在于,所述目标命令集还包括命令执行顺序;每个命令识别规则用于表征:一个风险命令集,以及,该风险命令集中各个风险命令的至少一个安全执行顺序;
其中,该风险命令集中的各个风险命令具有对所述控制模块的攻击风险,但是,按照所述安全执行顺序执行该风险命令集中的各个风险命令时,客观上不会对所述控制模块产生攻击;
基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击,包括:
针对任一命令识别规则,若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序一致,则识别出所述目标命令集不会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集不存在相同的命令提示符,则识别出所述目标命令集不会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集相同,且所述目标命令集中的命令执行顺序与该命令识别规则所表征的安全执行顺序不一致,则识别出所述目标命令集会对所述控制模块产生攻击;
若所述目标命令集与该命令识别规则所表征的风险命令集存在部分相同的命令提示符,则识别出所述目标命令集会对所述控制模块产生攻击。
8.如权利要求1所述方法,其特征在于,还包括:
若识别出所述目标命令集会对所述控制模块产生攻击,则记录所述目标报文流并进行告警。
9.一种报文流转发装置,其特征在于,应用于防护规则引擎,所述防护规则引擎独立于工业控制器的控制模块;所述防护规则引擎中预设有若干合法权限识别规则,每个合法权限识别规则包含:一组报文通信属性,以及,具有该组报文通信属性的报文可合法携带的命令提示符;所述防护规则引擎中还预设有若干命令识别规则,所述若干命令识别规则用于识别命令集是否会对所述控制模块产生攻击;所述装置包括:
拦截单元,用于拦截通过网络发送给所述控制模块的目标报文流;所述目标报文流携带有目标命令集;
解析单元,用于解析所述目标报文流,得到目标报文通信属性与所述目标命令集;
第一判断单元,用于判断所述目标报文通信属性与所述目标命令集,是否命中任一所述合法权限识别规则;
攻击识别单元,用于若命中任一所述合法权限识别规则,则基于所述若干命令识别规则,识别所述目标命令集是否会对所述控制模块产生攻击;
转发单元,用于若识别出所述目标命令集不会对所述控制模块产生攻击,则将所述目标报文流转发给所述控制模块。
10.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1-8任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210789695.0A CN114866355B (zh) | 2022-07-06 | 2022-07-06 | 一种报文流转发方法、装置、计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210789695.0A CN114866355B (zh) | 2022-07-06 | 2022-07-06 | 一种报文流转发方法、装置、计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866355A true CN114866355A (zh) | 2022-08-05 |
| CN114866355B CN114866355B (zh) | 2023-04-28 |
Family
ID=82626232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210789695.0A Active CN114866355B (zh) | 2022-07-06 | 2022-07-06 | 一种报文流转发方法、装置、计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866355B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997427A (zh) * | 2014-03-03 | 2014-08-20 | 浙江大学 | 通信网络检测与防攻击保护方法、装置、通信设备及系统 |
| US20150304337A1 (en) * | 2012-11-14 | 2015-10-22 | University Of Virginia Patent Foundation | Methods, systems and computer readable media for detecting command injection attacks |
| CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
| US20200336497A1 (en) * | 2019-04-18 | 2020-10-22 | International Business Machines Corporation | Detecting sensitive data exposure via logging |
| US20210021636A1 (en) * | 2019-07-18 | 2021-01-21 | Bank Of America Corporation | Automated Real-time Multi-dimensional Cybersecurity Threat Modeling |
| CN112417443A (zh) * | 2020-11-20 | 2021-02-26 | 平安普惠企业管理有限公司 | 数据库防护方法、装置、防火墙及计算机可读存储介质 |
| CN112787985A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种漏洞的处理方法、管理设备以及网关设备 |
| CN112887274A (zh) * | 2021-01-12 | 2021-06-01 | 恒安嘉新(北京)科技股份公司 | 命令注入攻击的检测方法、装置、计算机设备和存储介质 |
| CN113779578A (zh) * | 2021-09-13 | 2021-12-10 | 支付宝(杭州)信息技术有限公司 | 移动端应用的智能混淆方法和系统 |
| CN114115885A (zh) * | 2020-08-28 | 2022-03-01 | 腾讯科技(深圳)有限公司 | 一种内容验证方法、装置和存储介质 |
| CN114422195A (zh) * | 2021-12-24 | 2022-04-29 | 杭州优稳自动化系统有限公司 | 适用于工控系统的伪控制指令识别与预警系统及方法 |
| CN114500065A (zh) * | 2022-01-30 | 2022-05-13 | 杭州立思辰安科科技有限公司 | 一种基于egd协议的攻击检测方法 |
-
2022
- 2022-07-06 CN CN202210789695.0A patent/CN114866355B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150304337A1 (en) * | 2012-11-14 | 2015-10-22 | University Of Virginia Patent Foundation | Methods, systems and computer readable media for detecting command injection attacks |
| CN103997427A (zh) * | 2014-03-03 | 2014-08-20 | 浙江大学 | 通信网络检测与防攻击保护方法、装置、通信设备及系统 |
| CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
| US20200336497A1 (en) * | 2019-04-18 | 2020-10-22 | International Business Machines Corporation | Detecting sensitive data exposure via logging |
| US20210021636A1 (en) * | 2019-07-18 | 2021-01-21 | Bank Of America Corporation | Automated Real-time Multi-dimensional Cybersecurity Threat Modeling |
| CN112787985A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种漏洞的处理方法、管理设备以及网关设备 |
| CN114115885A (zh) * | 2020-08-28 | 2022-03-01 | 腾讯科技(深圳)有限公司 | 一种内容验证方法、装置和存储介质 |
| CN112417443A (zh) * | 2020-11-20 | 2021-02-26 | 平安普惠企业管理有限公司 | 数据库防护方法、装置、防火墙及计算机可读存储介质 |
| CN112887274A (zh) * | 2021-01-12 | 2021-06-01 | 恒安嘉新(北京)科技股份公司 | 命令注入攻击的检测方法、装置、计算机设备和存储介质 |
| CN113779578A (zh) * | 2021-09-13 | 2021-12-10 | 支付宝(杭州)信息技术有限公司 | 移动端应用的智能混淆方法和系统 |
| CN114422195A (zh) * | 2021-12-24 | 2022-04-29 | 杭州优稳自动化系统有限公司 | 适用于工控系统的伪控制指令识别与预警系统及方法 |
| CN114500065A (zh) * | 2022-01-30 | 2022-05-13 | 杭州立思辰安科科技有限公司 | 一种基于egd协议的攻击检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| 李艳菊: "《电子商务基础与应用》", 31 August 2012 * |
| 王苗苗等: "基于通用规则的SQL注入攻击检测与防御系统的研究", 《电子设计工程》 * |
| 许子先;罗建;孟楠;赵相楠;: "工业控制系统组态软件安全研究" * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866355B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
| US7665138B2 (en) | Detecting method and architecture thereof for malicious codes | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| KR102208938B1 (ko) | Plc 가상 패칭 및 보안 콘텍스트의 자동화된 배포 | |
| CN106828362B (zh) | 汽车信息的安全测试方法及装置 | |
| CN106778243B (zh) | 基于虚拟机的内核漏洞检测文件保护方法及装置 | |
| CN106778244B (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| US20060099847A1 (en) | Terminal control apparatus and terminal control method | |
| CN111541686B (zh) | 一种扫描器的调用方法和装置 | |
| CN112351017A (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
| CN112104618A (zh) | 一种信息确定方法、信息确定设备和计算机可读存储介质 | |
| CN105844161B (zh) | 安全防御方法、装置与系统 | |
| EP3614285A1 (en) | Active testing of access control policy | |
| CN111339785B (zh) | 一种基于业务建模的语义级安全审计方法 | |
| CN114866355B (zh) | 一种报文流转发方法、装置、计算机设备 | |
| CN109785537B (zh) | 一种atm机的安全防护方法及装置 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN112769815B (zh) | 一种智能工控安全监控与防护方法和系统 | |
| CN105631317B (zh) | 一种系统调用方法及装置 | |
| CN107818260B (zh) | 保障系统安全的方法及装置 | |
| CN114329444A (zh) | 系统安全提升方法及装置 | |
| CN114866254A (zh) | 一种bmc安全防护方法、设备及可读存储介质 | |
| CN112307470A (zh) | 入侵内核的检测方法及装置、计算设备、计算机存储介质 | |
| CN111913430B (zh) | 工业控制系统控制行为检测防护方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |