CN105959144A - 面向工业控制网络的安全数据采集与异常检测方法与*** - Google Patents
面向工业控制网络的安全数据采集与异常检测方法与*** Download PDFInfo
- Publication number
- CN105959144A CN105959144A CN201610387832.2A CN201610387832A CN105959144A CN 105959144 A CN105959144 A CN 105959144A CN 201610387832 A CN201610387832 A CN 201610387832A CN 105959144 A CN105959144 A CN 105959144A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- data acquisition
- information
- subnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0869—Validating the configuration within one network element
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
- H04L43/024—Capturing of monitoring data by sampling by adaptive sampling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向工业控制网络的安全数据采集与异常检测方法与***,该方法包括安全数据采集与异常检测两部分。安全数据采集基于弹性采集策略采集工业控制网络中多层次、多种类的安全数据,并形成统一格式的安全报文。异常检测对安全报文进行分析,通过配置基线检测发现工业控制网络中资产配置异常,通过控制操作一致性检测发现工业控制网络中的操作行为异常。本发明面向工业控制网络,能够在保障工业控制网络可用性和可靠性的基础上,提升工业控制网络抵抗APT攻击的能力。
Description
技术领域
本发明涉及计算机网络领域,更为具体地,涉及一种面向工业控制网络的安全数据采集与异常检测方法与***。
背景技术
在工业4.0的背景下,大量的IT网络技术被引入工业控制网络中,工业控制网络之前独立封闭的局面被逐渐打破。2010年的震网事件使得工业控制网络的安全问题得到了广泛地关注,各个国家都展开了针对工业控制网络安全的研究。但是,工业控制网络强调可用性和可靠性的特点决定了传统的网络安全设备无法直接部署在工业控制网络中,而且传统的网络安全设备也无法应对以震网和BlackEnergy为首的APT攻击的威胁。多维度的安全数据采集和异常行为检测技术为解决工业控制网络的安全问题提供了新的思路。
目前针对安全数据采集的专利是201310572103.0,该专利采用主动、被动、数据流量等多种方式实现了对各类数据的全面采集,但是该专利没有考虑工业控制网络强调可用性和可靠性的特点;针对异常检测的专利是201410828107.5,该专利首先建立通信模型并生成通信规则集,随后将捕获到的数据报与通信规则集进行比对以判断是否存在异常,但是该专利的通信模型需要在安装调试阶段或者尚未发生攻击阶段进行学习。
综上所述,现有的针对工业控制网络的安全解决方案普遍存四方面问题:(1)安全数据采集范围有限--部分方案基于防火墙、IDS等安全设备所产生的数据进行分析,但是安全设备部署在控制层之上,无法获得现场控制设备的真实状态;(2)安全数据采集没有充分考虑工业控制网络的特点--部分方案仅考虑了如何改善工业控制网络的安全性,却忽视了方案的实施将对工业控制网络的可用性和可靠性造成的负面影响,从而严重制约了安全方案的实施与推广;(3)异常检测需要前置条件--部分方案的前提是要在无任何异常的环境中建立模型或规则;(4)异常检测无法应对APT攻击--部分方案将检测范围限定在某几类设备或某几条网络路径上,孤立数据点的检测无法及时发现APT攻击。
通过以上分析,可根据工业控制网络的特点优化安全数据采集方法,实现多层次、多类型的安全数据采集,并在不同层次、不同类型的安全数据之间建立关联关系以发现针对工业控制网络的APT攻击。
发明内容
本发明提供一种面向工业控制网络的安全数据采集与异常检测方法与***,保障工业控制网络可用性和可靠性的同时实现基于弹性策略的多层次、多种类安全数据的采集,并利用配置基线检测和控制操作一致性检测发现工业网络中存在的异常。
一方面,本发明提供了一种面向工业控制网络的安全数据采集与异常检测方法,该方法包括:
1)所述安全数据采集方法为,安全数据采集以工业控制网络中的资产为采集目标,基于弹性数据采集策略进行多层次数据采集和多种类数据采集,并生成JSON格式的安全报文,安全报文被储存在分布式数据库中;
a)所述弹性数据采集策略,将依据资产的功能、用途及安全等级确定初始的数据种类和采集频率,并根据被采集对象的运行负荷以及当前网络的拥塞状况动态调整数据采集策略:如果被采集对象的运行负荷超过阈值,或者当前网络持续拥塞,则减少采集的数据种类并降低数据采集频率,以优先保证工业控制网络的可用性;
b)所述多层次数据采集,将从控制子网(包括PLC、DCS、交换机、防火墙)、监管子网(包括上位机、历史库服务器、实时库服务器、交换机、防火墙、单向网闸)和业务子网(包括Web服务器、邮件服务器、ERP***服务器、OA***服务器、交换机、防火墙、IDS/IPS)采集数据;
c)所述多种类数据采集,包括针对主机类设备的多类型数据采集、针对网络类设备的多类型数据采集以及针对控制类设备的多类型数据采集;
i.所述针对主机类设备的多类型数据采集,将采集资产的硬件型号信息、IP地址/MAC地址信息、操作***版本信息、安装的***补丁信息、安装的应用软件信息、应用的配置信息、***运行的进程信息、***开放的端口与服务信息、用户账号信息、用户登录信息、关键文件变更信息、接入的USB设备信息、资源使用率信息和非法外联信息;
ii.所述针对网络类设备的多类型数据采集,将采集资产的硬件型号信息、设备配置信息、运行状态信息和网络流量镜像数据;
iii.所述针对控制类设备的多类型数据采集,将采集资产的硬件型号信息、设备组态信息和I/O点数据变化信息;
2)所述异常检测方法为,针对安全报文进行资产配置基线检测和控制操作一致性检测,并实时输出异常检测结果;
a)所述资产配置基线检测,根据法律、法规及相关行业标准建立资产配置基线,并将安全报文中记录的配置信息与配置基线进行实时比对,如果当前资产的配置信息不满足配置基线的要求,则触发配置异常报警;
b)所述控制操作一致性检测,针对关键操作命令在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系,并检测被关联报文中操作数据的一致性,如果操作数据存在不一致,则触发操作异常报警。
另一方面,本发明提供了一种面向工业控制网络的安全数据采集与异常检测***,该***包括安全数据采集子***、安全数据分布式存储子***、异常检测子***和管理子***。
1)所述安全数据采集子***,包括主机设备数据采集模块、网络设备数据采集模块、控制设备数据采集模块和弹性采集策略模块,其中主机设备数据采集模块、网络设备数据采集模块和控制设备数据采集模块分布式部署在工业控制网络中,并根据弹性采集策略模块提供的弹性采集策略采集控制子网、监管子网和业务子网中资产的安全数据,生成安全报文;
2)所述安全数据分布式存储子***,其分布式部署在每一个安全区域中,接收当前安全区域中所有安全数据采集子***生成的安全报文,并存储在非关系型数据库中;
3)所述异常检测子***,其读取安全报文,进行资产配置基线检测和控制操作一致性检测,即包括资产配置基线检测模块和控制操作一致性检测模块;
a)所述资产配置基线检测模块,根据法律、法规、相关行业标准及用户自定义要求建立资产配置基线,从安全数据分布式存储子***中读取安全报文,并将安全报文中记录的配置信息与配置基线进行比对,如果当前资产的配置信息不满足配置基线的要求,则触发配置异常报警;
b)所述控制操作一致性检测模块,以关键操作命令为目标,以操作时间、资产网络地址、操作会话信息为线索,在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系,如果发现被关联的报文中存在操作数据不一致性,则触发操作异常报警;
4)所述管理子***,提供***管理员、安全管理员和***维护员三类角色,其中向***管理员提供***全部配置的接口,向安全管理员提供修改配置基线、设置控制操作一致性检测阈值的接口,向***维护员提供数据查看、备份和恢复的接口。
本发明的面向工业控制网络的安全数据采集与异常检测***具有如下有益效果:
本发明利用多层次、多种类数据采集实现对工业控制网络的全方面监管,支持弹性采集策略优先保证工业控制网络的可用性与可靠性,支持基于配置基线和控制操作一致性的异常检测,通过配置基线检测发现工业控制网络中资产配置异常,通过控制操作一致性检测发现工业控制网络中的操作行为异常,从而提升工业控制网络对抗APT攻击的能力,能够帮助管理人员尽早发现异常,尽可能降低APT攻击造成的人员伤亡和财产损失。
附图说明
图1是***运行流程示意图;
图2是安全数据采集子***中弹性采集策略模块的流程图;
图3是异常检测子***中资产配置基线检测模块的流程图;
图4是异常检测子***中控制操作一致性检模块的流程图。
具体实施方式
为使本发明的实施例的目的、技术方案和优点更加清楚,下面进一步结合附图对本发明作详细描述。
1.图1是本发明的***运行流程示意图。如图1所示,所述***包括:
1)安全数据采集子***由主机设备数据采集模块、网络设备数据采集模块、控制设备数据采集模块和弹性采集策略模块组成,其以工业控制网络中的资产为采集目标,采集资产的安全数据,并生成JSON格式的安全报文,安全报文被储存在分布式数据库中;所述资产是包括Web服务器、邮件服务器、ERP***服务器、OA***服务器、上位机、历史库服务器、实时库服务器、交换机、防火墙、单向网闸、IDS/IPS、PLC控制器、DCS控制器等;
2)异常检测子***由资产配置基线检测模块和控制操作一致性检测模块组成,其读取安全报文,并基于资产配置基线检测和控制操作一致性检测进行异常分析,输出异常分析的结果。
2.图2是本发明的安全数据采集子***中弹性采集策略模块的具体流程:
1)为资产划分安全区域,并为每个区域定义多个级别的采集数据集,采集数据集中数据种类的数量随级别的下降而减少;
2)根据功能、用途和安全区域的等级初始化数据采集的频率,并将采集数据集初始化为最高级;
3)下发初始策略后,监控数据上传链路的网络流量,确定当前网络的拥塞程度;
4)下发初始策略后,监控被采集设备的资源使用率,确定设备的当前负荷状态;
5)检测心跳信号是否正常,如果心跳信号不正常则停止采集,如果心跳信息正常则重新确定数据采集的频率以及采集数据集的级别;
6)按照公式(数据采集频率=基础采集频率×网络拥塞因子×负荷状态因子)重新计算出数据采集的频率,并根据当前网络的拥塞程度和设备的当前负荷状态确定采集数据集的级别;所述基础采集频率是指根据功能、用途和安全区域的等级而设定的数据采集频率的初始值,所述网络拥塞因子是指预设的网络带宽使用率阈值/当前链路网络带宽的使用率,所述负荷状态因子是指预设的资源使用率阈值/被采集设备当前的资源使用率(被采集设备的资源使用率是指CPU利用率和内存使用率);
a)如果当前网络畅通且设备负荷低,即当前链路网络带宽的使用率小于等于阈值且被采集设备当前的资源使用率小于等于阈值,则保持现有采集数据集的级别;
b)如果当前网络拥塞或者设备负荷高,即当前链路网络带宽的使用率大于阈值或者被采集设备当前的资源使用率大于阈值,则将现有采集数据集的级别降低一级;
c)如果当前网络拥塞且设备负荷高,即当前链路网络带宽的使用率大于阈值且被采集设备当前的资源使用率大于阈值,则将现有采集数据集的级别降为最低级;
7)下发包含有新的采集频率和采集数据集级别的采集策略,并重新启动网络链路监控和设备负荷监控流程。
3.图3是本发明的异常检测子***中资产配置基线检测的具体流程:
1)根据法律、法规及相关领域行规建立资产配置基线,资产配置基线指对生产过程中不会发生变化的配置或只会在特点范围内变化的配置建立基线,不会发生变化的配置的基线为固定值,在特点范围内变化的配置的基线为变化范围的临界值;
2)管理员通过自定义接口建立自定义配置基线;
3)从安全报文中检索相关的资产配置信息;
4)判断安全报文中的资产配置信息是否满足配置基线的要求;
a)如果安全报文中的资产配置信息无法满足配置基线的要求,则触发配置异常报警;
b)如果安全报文中的资产配置信息满足配置基线的要求,则进入步骤5)。
5)判断是否需要生产合规性报告;
a)如果需要生产合规性报告,则按照法律、法规或相关领域行规的要求生成文本形式的合规性报告;
b)如果不需要生产合规性报告,则结束资产配置基线检测。
4.图4是本发明的异常检测子***中控制操作一致性检的流程图的具体流程:
1)启动控制设备分析模块;
2)判断控制设备分析模块是否启动成功,如果启动不成功则转至步骤3),如果启动成功则执行:
a)启动控制网络嗅探器;
b)进行实时网络抓包;
c)启动网络数据包分析器;
d)启动数据包定时统计分析器;
e)对网络数据包进行定时统计分析;
f)解析工业以太网数据包类型及数据负载;
g)分析不同类型的工业以太网数据包:
i.处理注册响应数据包;
ii.处理策略数据包;
iii.处理获取资源配置请求数据包;
iv.处理分配资源ID请求数据包;
v.处理会话创建数据包;
vi.处理会话关闭数据包;
vii.处理其他数据包;
h)产生控制设备分析结果;
3)启动主机设备分析模块;
4)判断主机设备分析模块是否启动成功,如果启动不成功则转至步骤5),如果启动成功则执行:
a)启动主机代理嗅探器;
b)下发数据采集策略;
c)接收主机代理嗅探器提交的安全报文数据;
d)解析并分析不同类型的安全报文:
i.解析并分析主机设备配置变更事件报文;
ii.解析并分析主机设备运行状态异常事件报文;
iii.解析并分析主机设备上层应用(SCADA)的组态变更事件报文;
e)产生主机设备分析结果;
5)启动网络设备分析模块;
6)判断网络设备分析模块是否启动成功,如果启动不成功则转至步骤7),如果启动成功则执行:
a)通过SNMP协议和SYSLOG采集网络设备的配置信息,生产配置信息安全报文;
b)通过SNMP协议和SYSLOG获取网络设备的运行状态信息,生产运行状态信息安全报文;
c)解析并分析不同类型的网络设备安全报文:
i.解析并分析网络设备配置变更事件报文;
ii.解析并分析网络设备运行状态异常事件报文;
iii.解析并分析网络安全设备报警信息报文;
d)产生网络设备分析结果;
7)按照控制子网、监管子网、业务子网的范围对控制设备分析结果、主机设备分析结果和网络设备分析结果进行划分;
8)对区域间的分析结果数据进行关联分析,首先以发生时间和IP地址/MAC地址为关联条件,在控制子网、监管子网、业务子网的分析结果之间建立关联关系,其次以控制指令中的ID或起标识作用的协议字段为关联条件,对已经建立起的关联关系进行过滤、合并等优化操作;
9)检测被关联数据中的操作行为是否一致:
a)如果检测被关联数据中的操作行为一致,即被关联数据中所操作的I/O点位名称、I/O点位数据等信息均相同,则将当前操作行为标记为正常;
b)如果检测被关联数据中的操作行为不一致,即被关联数据中所操作的I/O点位名称或者I/O点位数据等信息中的任一项出现不同,则将当前操作行为标记为异常,并触发操作行为异常报警。
综上所述,本发明的面向工业控制网络的安全数据采集与异常检测方法与***采用弹性数据采集策略采集多层次、多类型的工业控制网络安全数据,并通过配置基线检测和控制操作一致性检测发现工业控制网络中的异常行为,全面且丰富的数据采集机制提供了对工业控制***的全面监管,弹性的数据采集策略保障了工业控制网络的可用性和可靠性,配置基线检测和控制操作一致性检测提升了工业控制网络抵抗APT攻击的能力,降低了可能造成的人员伤亡和财产损失。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明在工业控制网络中的实现过程,以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (10)
1.一种面向工业控制网络的安全数据采集与异常检测方法,其特征在于,包括安全数据采集步骤和异常检测步骤;所述安全数据采集步骤以工业控制网络中的资产为采集目标,基于弹性数据采集策略进行多种类数据采集和多层次数据采集,并生成安全报文,将安全报文储存在分布式数据库中;所述异常检测步骤对安全报文进行资产配置基线检测和控制操作一致性检测,并实时输出异常检测结果。
2.根据权利要求1所述的方法,其特征在于,所述多种类数据采集包含针对主机类设备的多类型数据采集、针对网络类设备的多类型数据采集以及针对控制类设备的多类型数据采集;所述多层次数据采集从控制子网、监管子网和业务子网采集数据。
3.根据权利要求2所述的方法,其特征在于,所述针对主机类设备的多种类数据采集是采集资产的硬件型号信息、IP地址/MAC地址信息、操作***版本信息、安装的***补丁信息、安装的应用软件信息、应用的配置信息、***运行的进程信息、***开放的端口与服务信息、用户账号信息、用户登录信息、关键文件变更信息、接入的USB设备信息、资源使用率信息和非法外联信息;所述针对网络类设备的多种类数据采集是采集资产的硬件型号信息、设备配置信息、运行状态信息和网络流量镜像数据;所述针对控制类设备的多种类数据采集是采集资产的硬件型号信息、设备组态信息和I/O点数据变化信息;所述控制子网包括PLC、DCS、交换机、防火墙,所述监管子网包括上位机、历史库服务器、实时库服务器、交换机、防火墙、单向网闸,所述业务子网包括Web服务器、邮件服务器、ERP***服务器、OA***服务器、交换机、防火墙、IDS/IPS。
4.根据权利要求1所述的方法,其特征在于,所述弹性数据采集策略根据资产的功能、用途及安全等级确定初始的数据种类和数据采集频率,并根据被采集对象的运行负荷以及当前网络的拥塞状况动态调整数据采集策略:如果被采集对象的运行负荷超过阈值,或者当前网络持续拥塞,则减少采集的数据种类并降低数据采集频率,以优先保证工业控制网络的可用性。
5.根据权利要求4所述的方法,其特征在于,所述数据采集频率的计算方法为:数据采集频率=基础采集频率×网络拥塞因子×负荷状态因子;所述基础采集频率是指根据功能、用途和安全区域的等级而设定的数据采集频率的初始值,所述网络拥塞因子是指预设的网络带宽使用率阈值/当前链路网络带宽的使用率,所述负荷状态因子是指预设的资源使用率阈值/被采集设备当前的资源使用率。
6.根据权利要求1所述的方法,其特征在于,所述资产配置基线检测根据法律、法规及相关行业标准建立资产配置基线,并将安全报文中记录的配置信息与配置基线进行实时比对,如果当前资产的配置信息不满足配置基线的要求,则触发配置异常报警。
7.根据权利要求1所述的方法,其特征在于,所述控制操作一致性检测针对关键操作命令在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系,并检测被关联报文中操作数据的一致性,如果操作数据存在不一致,则触发操作异常报警。
8.一种面向工业控制网络的安全数据采集与异常检测***,其特征在于,包括安全数据采集子***、安全数据分布式存储子***、异常检测子***和管理子***;
所述安全数据采集子***包括主机设备数据采集模块、网络设备数据采集模块、控制设备数据采集模块和弹性采集策略模块,其中主机设备数据采集模块、网络设备数据采集模块和控制设备数据采集模块分布式部署在工业控制网络中,并根据弹性采集策略模块提供的弹性采集策略采集控制子网、监管子网和业务子网中资产的安全数据,生成安全报文;
所述安全数据分布式存储子***分布式部署在每一个安全区域中,接收当前安全区域中所有安全数据采集子***生成的安全报文,并存储在非关系型数据库中;
所述异常检测子***包括资产配置基线检测模块和控制操作一致性检测模块,用于读取安全报文,进行资产配置基线检测和控制操作一致性检测;
所述管理子***提供***管理员、安全管理员和***维护员三类角色,其中向***管理员提供***全部配置的接口,向安全管理员提供修改配置基线、设置控制操作一致性检测阈值的接口,向***维护员提供数据查看、备份和恢复的接口。
9.根据权利要求8所述的***,其特征在于,所述资产配置基线检测模块根据法律、法规、相关行业标准及用户自定义要求建立资产配置基线,从安全数据分布式存储子***中读取安全报文,并将安全报文中记录的配置信息与配置基线进行比对,如果当前资产的配置信息不满足配置基线的要求,则触发配置异常报警。
10.根据权利要求8所述的***,其特征在于,所述控制操作一致性检测模块以关键操作命令为目标,以操作时间、资产网络地址、操作会话信息为线索,在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系,如果发现被关联的报文中存在操作数据不一致性,则触发操作异常报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610387832.2A CN105959144B (zh) | 2016-06-02 | 2016-06-02 | 面向工业控制网络的安全数据采集与异常检测方法与*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610387832.2A CN105959144B (zh) | 2016-06-02 | 2016-06-02 | 面向工业控制网络的安全数据采集与异常检测方法与*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105959144A true CN105959144A (zh) | 2016-09-21 |
CN105959144B CN105959144B (zh) | 2019-08-06 |
Family
ID=56908663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610387832.2A Active CN105959144B (zh) | 2016-06-02 | 2016-06-02 | 面向工业控制网络的安全数据采集与异常检测方法与*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105959144B (zh) |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106778210A (zh) * | 2016-12-16 | 2017-05-31 | 成都巧班科技有限公司 | 一种基于免疫学习的工业控制***功能安全验证方法 |
CN106817160A (zh) * | 2017-02-16 | 2017-06-09 | 国网江苏省电力公司无锡供电公司 | 网络管理控制器及非介入式光纤链路云监测*** |
CN106960018A (zh) * | 2017-04-07 | 2017-07-18 | 石河子开发区天业化工有限责任公司 | 工业生产控制实时数据采集报表的自动传输及保存方法 |
CN107086997A (zh) * | 2017-04-20 | 2017-08-22 | 无锡锐格思信息技术有限公司 | 通过syslog协议上报设备的配置信息的方法 |
CN108040081A (zh) * | 2017-11-02 | 2018-05-15 | 同济大学 | 一种地铁车站数字孪生监控运维*** |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及*** |
CN108490893A (zh) * | 2018-02-13 | 2018-09-04 | 烽台科技(北京)有限公司 | 一种工业控制方法、装置及设备 |
CN108933708A (zh) * | 2017-05-27 | 2018-12-04 | 中国互联网络信息中心 | 一种分布式dns服务的多维度校验方法和*** |
CN108933707A (zh) * | 2017-05-26 | 2018-12-04 | 西门子(中国)有限公司 | 一种工业网络的安全监控***及方法 |
CN109150869A (zh) * | 2018-08-14 | 2019-01-04 | 南瑞集团有限公司 | 一种交换机信息采集分析***及方法 |
CN107317865B (zh) * | 2017-06-30 | 2019-11-05 | 中国科学院信息工程研究所 | 一种通用的离线数据接入方法及*** |
CN110768970A (zh) * | 2019-10-16 | 2020-02-07 | 新华三信息安全技术有限公司 | 设备评估和异常检测方法、装置、电子设备及存储介质 |
CN111176202A (zh) * | 2019-12-31 | 2020-05-19 | 成都烽创科技有限公司 | 工业控制网络的安全管理方法、装置、终端设备及介质 |
CN111756691A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 采集策略冲突检测方法、装置、电子设备和存储介质 |
CN111917686A (zh) * | 2019-05-08 | 2020-11-10 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的数据网络通讯协议IPSCom |
CN112347515A (zh) * | 2020-11-20 | 2021-02-09 | 福州大学 | 一种面向边缘操作***的数据检测和安全隔离方法 |
CN112350887A (zh) * | 2020-10-19 | 2021-02-09 | 北京基调网络股份有限公司 | 一种apm探针采样率确定方法、计算机设备及存储介质 |
CN112507381A (zh) * | 2020-12-21 | 2021-03-16 | 中电福富信息科技有限公司 | 支持多种操作***的资产信息和安全管理装置 |
CN112953737A (zh) * | 2019-11-26 | 2021-06-11 | 中兴通讯股份有限公司 | 配置异常检测方法、服务器以及存储介质 |
CN114546519A (zh) * | 2022-01-26 | 2022-05-27 | 华北电力大学 | 一种工控安全数据采集***与方法 |
CN114615162A (zh) * | 2020-11-23 | 2022-06-10 | ***通信有限公司研究院 | 网络数据采集、上报方法及装置 |
WO2022198580A1 (zh) * | 2021-03-25 | 2022-09-29 | 西门子股份公司 | 一种工控网络的异常检测方法及装置 |
CN116112265A (zh) * | 2023-02-13 | 2023-05-12 | 山东云天安全技术有限公司 | 一种异常会话的确定方法、电子设备及存储介质 |
CN116800588A (zh) * | 2023-08-28 | 2023-09-22 | 深圳市华曦达科技股份有限公司 | 网通产品网络优化方法和装置 |
CN118075123A (zh) * | 2024-04-24 | 2024-05-24 | 湖北华中电力科技开发有限责任公司 | 面向电力全场景的海量数据统一处理平台的管理方法 |
WO2024120029A1 (zh) * | 2022-12-09 | 2024-06-13 | 华为技术有限公司 | 数据管理方法、装置和*** |
CN118075123B (zh) * | 2024-04-24 | 2024-07-09 | 湖北华中电力科技开发有限责任公司 | 面向电力全场景的海量数据统一处理平台的管理方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析*** |
CN102999565A (zh) * | 2012-11-06 | 2013-03-27 | 北京奇虎科技有限公司 | 一种设备使用痕迹的清理方法和装置 |
CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和*** |
KR20140005551A (ko) * | 2012-07-04 | 2014-01-15 | 엘에스산전 주식회사 | 데이터 취득 장치 및 방법 |
CN104852927A (zh) * | 2015-06-01 | 2015-08-19 | 国家电网公司 | 基于多源异构的信息安全综合管理*** |
-
2016
- 2016-06-02 CN CN201610387832.2A patent/CN105959144B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035855A (zh) * | 2010-12-30 | 2011-04-27 | 江苏省电力公司 | 网络安全事件关联分析*** |
KR20140005551A (ko) * | 2012-07-04 | 2014-01-15 | 엘에스산전 주식회사 | 데이터 취득 장치 및 방법 |
CN102999565A (zh) * | 2012-11-06 | 2013-03-27 | 北京奇虎科技有限公司 | 一种设备使用痕迹的清理方法和装置 |
CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和*** |
CN104852927A (zh) * | 2015-06-01 | 2015-08-19 | 国家电网公司 | 基于多源异构的信息安全综合管理*** |
Non-Patent Citations (2)
Title |
---|
MANUEL CHEMINOD: "Review of Security Issues in Industrial Networks", 《IEEE》 * |
陈庄: "工业控制***信息安全审计***分析与设计", 《计算机科学》 * |
Cited By (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106778210A (zh) * | 2016-12-16 | 2017-05-31 | 成都巧班科技有限公司 | 一种基于免疫学习的工业控制***功能安全验证方法 |
CN106817160A (zh) * | 2017-02-16 | 2017-06-09 | 国网江苏省电力公司无锡供电公司 | 网络管理控制器及非介入式光纤链路云监测*** |
CN106817160B (zh) * | 2017-02-16 | 2019-06-18 | 国网江苏省电力公司无锡供电公司 | 网络管理控制器及非介入式光纤链路云监测*** |
CN106960018A (zh) * | 2017-04-07 | 2017-07-18 | 石河子开发区天业化工有限责任公司 | 工业生产控制实时数据采集报表的自动传输及保存方法 |
CN107086997A (zh) * | 2017-04-20 | 2017-08-22 | 无锡锐格思信息技术有限公司 | 通过syslog协议上报设备的配置信息的方法 |
CN108933707B (zh) * | 2017-05-26 | 2021-03-05 | 西门子(中国)有限公司 | 一种工业网络的安全监控***及方法 |
CN108933707A (zh) * | 2017-05-26 | 2018-12-04 | 西门子(中国)有限公司 | 一种工业网络的安全监控***及方法 |
CN108933708B (zh) * | 2017-05-27 | 2021-03-09 | 中国互联网络信息中心 | 一种分布式dns服务的多维度校验方法和*** |
CN108933708A (zh) * | 2017-05-27 | 2018-12-04 | 中国互联网络信息中心 | 一种分布式dns服务的多维度校验方法和*** |
CN107317865B (zh) * | 2017-06-30 | 2019-11-05 | 中国科学院信息工程研究所 | 一种通用的离线数据接入方法及*** |
CN108040081A (zh) * | 2017-11-02 | 2018-05-15 | 同济大学 | 一种地铁车站数字孪生监控运维*** |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及*** |
CN108490893B (zh) * | 2018-02-13 | 2020-06-30 | 烽台科技(北京)有限公司 | 一种工业控制方法、装置及设备 |
CN108490893A (zh) * | 2018-02-13 | 2018-09-04 | 烽台科技(北京)有限公司 | 一种工业控制方法、装置及设备 |
CN109150869A (zh) * | 2018-08-14 | 2019-01-04 | 南瑞集团有限公司 | 一种交换机信息采集分析***及方法 |
CN109150869B (zh) * | 2018-08-14 | 2021-06-04 | 南瑞集团有限公司 | 一种交换机信息采集分析***及方法 |
CN111917686A (zh) * | 2019-05-08 | 2020-11-10 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的数据网络通讯协议IPSCom |
CN110768970A (zh) * | 2019-10-16 | 2020-02-07 | 新华三信息安全技术有限公司 | 设备评估和异常检测方法、装置、电子设备及存储介质 |
CN110768970B (zh) * | 2019-10-16 | 2022-02-25 | 新华三信息安全技术有限公司 | 设备评估和异常检测方法、装置、电子设备及存储介质 |
CN112953737A (zh) * | 2019-11-26 | 2021-06-11 | 中兴通讯股份有限公司 | 配置异常检测方法、服务器以及存储介质 |
CN111176202A (zh) * | 2019-12-31 | 2020-05-19 | 成都烽创科技有限公司 | 工业控制网络的安全管理方法、装置、终端设备及介质 |
CN111756691A (zh) * | 2020-05-19 | 2020-10-09 | 中国科学院信息工程研究所 | 采集策略冲突检测方法、装置、电子设备和存储介质 |
CN111756691B (zh) * | 2020-05-19 | 2021-10-08 | 中国科学院信息工程研究所 | 采集策略冲突检测方法、装置、电子设备和存储介质 |
CN112350887A (zh) * | 2020-10-19 | 2021-02-09 | 北京基调网络股份有限公司 | 一种apm探针采样率确定方法、计算机设备及存储介质 |
CN112350887B (zh) * | 2020-10-19 | 2021-07-13 | 北京基调网络股份有限公司 | 一种apm探针采样率确定方法、计算机设备及存储介质 |
CN112347515A (zh) * | 2020-11-20 | 2021-02-09 | 福州大学 | 一种面向边缘操作***的数据检测和安全隔离方法 |
CN114615162A (zh) * | 2020-11-23 | 2022-06-10 | ***通信有限公司研究院 | 网络数据采集、上报方法及装置 |
CN112507381A (zh) * | 2020-12-21 | 2021-03-16 | 中电福富信息科技有限公司 | 支持多种操作***的资产信息和安全管理装置 |
WO2022198580A1 (zh) * | 2021-03-25 | 2022-09-29 | 西门子股份公司 | 一种工控网络的异常检测方法及装置 |
CN114546519B (zh) * | 2022-01-26 | 2023-10-03 | 华北电力大学 | 一种工控安全数据采集***与方法 |
CN114546519A (zh) * | 2022-01-26 | 2022-05-27 | 华北电力大学 | 一种工控安全数据采集***与方法 |
WO2024120029A1 (zh) * | 2022-12-09 | 2024-06-13 | 华为技术有限公司 | 数据管理方法、装置和*** |
CN116112265A (zh) * | 2023-02-13 | 2023-05-12 | 山东云天安全技术有限公司 | 一种异常会话的确定方法、电子设备及存储介质 |
CN116112265B (zh) * | 2023-02-13 | 2023-07-28 | 山东云天安全技术有限公司 | 一种异常会话的确定方法、电子设备及存储介质 |
CN116800588A (zh) * | 2023-08-28 | 2023-09-22 | 深圳市华曦达科技股份有限公司 | 网通产品网络优化方法和装置 |
CN116800588B (zh) * | 2023-08-28 | 2023-12-22 | 深圳市华曦达科技股份有限公司 | 网通产品网络优化方法和装置 |
CN118075123A (zh) * | 2024-04-24 | 2024-05-24 | 湖北华中电力科技开发有限责任公司 | 面向电力全场景的海量数据统一处理平台的管理方法 |
CN118075123B (zh) * | 2024-04-24 | 2024-07-09 | 湖北华中电力科技开发有限责任公司 | 面向电力全场景的海量数据统一处理平台的管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105959144B (zh) | 2019-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105959144B (zh) | 面向工业控制网络的安全数据采集与异常检测方法与*** | |
KR100748246B1 (ko) | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 | |
US20170288974A1 (en) | Graph-based fusing of heterogeneous alerts | |
CN106371986A (zh) | 一种日志处理运维监控*** | |
US11451561B2 (en) | Automated creation of lightweight behavioral indicators of compromise (IOCS) | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全***及检测方法 | |
CN104506507A (zh) | 一种sdn网络的蜜网安全防护***及方法 | |
CN103957203B (zh) | 一种网络安全防御*** | |
CN107295010A (zh) | 一种企业网络安全管理云服务平台***及其实现方法 | |
Brahmi et al. | Towards a multiagent-based distributed intrusion detection system using data mining approaches | |
CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及*** | |
US9961047B2 (en) | Network security management | |
CN102014020A (zh) | 一种用于对网络设备进行网络监控的设备及其方法 | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及*** | |
CN107947998A (zh) | 一种基于应用***的实时监测*** | |
CN108306747A (zh) | 一种云安全检测方法、装置和电子设备 | |
CN109150869A (zh) | 一种交换机信息采集分析***及方法 | |
CN113965341A (zh) | 一种基于软件定义网络的入侵检测*** | |
Shah et al. | Signature-based network intrusion detection system using SNORT and WINPCAP | |
RU2630415C2 (ru) | Способ обнаружения аномальной работы сетевого сервера (варианты) | |
CN109150920A (zh) | 一种基于软件定义网络的攻击检测溯源方法 | |
CN116939589A (zh) | 一种基于校园无线网的学生上网监控*** | |
KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 | |
Beigh et al. | Performance evaluation of different intrusion detection system: An empirical approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |