CN106921676A - 一种基于OPCClassic的入侵检测方法 - Google Patents
一种基于OPCClassic的入侵检测方法 Download PDFInfo
- Publication number
- CN106921676A CN106921676A CN201710260755.9A CN201710260755A CN106921676A CN 106921676 A CN106921676 A CN 106921676A CN 201710260755 A CN201710260755 A CN 201710260755A CN 106921676 A CN106921676 A CN 106921676A
- Authority
- CN
- China
- Prior art keywords
- data
- uuid
- data packet
- rpcv
- sip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 63
- 238000004891 communication Methods 0.000 claims abstract description 46
- 230000004044 response Effects 0.000 claims abstract description 30
- 230000005856 abnormality Effects 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 16
- 238000000034 method Methods 0.000 claims abstract description 12
- 238000010801 machine learning Methods 0.000 claims abstract description 7
- 238000003062 neural network model Methods 0.000 claims description 27
- 238000004458 analytical method Methods 0.000 claims description 9
- 230000009545 invasion Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 3
- 230000007935 neutral effect Effects 0.000 claims description 2
- 230000004888 barrier function Effects 0.000 abstract description 2
- 238000012549 training Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 210000004218 nerve net Anatomy 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000003209 petroleum derivative Substances 0.000 description 1
- 229920001228 polyisocyanate Polymers 0.000 description 1
- 239000005056 polyisocyanate Substances 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于OPC Classic的入侵检测方法,针对OPC的协议特征,采用基于机器学习的OPC Classic协议入侵检测和基于双向访问的异常检测;其中基于OPC Classic协议的入侵检测方法通过OPC客户端和OPC服务器之间的通讯流量进行机器学习,建立模型,然后利用该模型进行检测;基于双向访问的异常检测方法通过源IP、源端口以及通用唯一标识符来确定通信双方,进而通过匹配请求包和响应包的RPC版本号来判断通信是否异常;这样不仅实现通信的深度异常检测和双向访问检测,还提高了防护性能。
Description
技术领域
本发明属于入侵检测技术领域,更为具体地讲,涉及一种基于OPC Classic的入侵检测方法。
背景技术
工业控制***信息安全在控制器的安全防护方面有着非常广泛的应用,诸如电力、石油天然气、以及大型制造行业等。过去几年间,工业控制***开始广泛采用信息化技术,这就用到了工业通信协议,OPC就是一种典型的工业控制通信协议。OPC全称是ObjectLinking and Embedding(OLE)for Process Control,它的出现为基于Windows的应用程序和现场过程控制应用建立了桥梁。在过去,为了存取现场设备的数据信息,每一个应用软件开发商都需要编写专用的接口函数。由于现场设备的种类繁多,且产品的不断升级,往往给用户和软件开发商带来了巨大的工作负担。通常这样也不能满足工作的实际需要,***集成商和开发商急切需要一种具有高效性、可靠性、开放性、可互操作性的即插即用的设备驱动程序。在这种情况下,OPC标准应运而生。
尽管OPC协议给我们带来了诸多的便利,可是OPC协议在设计之初并未太多考虑到通信的安全问题,由于OPC协议的通信特点是先通过135端口建立连接,然后通过新端口进行通信,最初的防护仅仅是基于端口的防护,防护是非常脆弱的,近年来也有基于OPC协议深度解析做入侵检测的先例,本文提出了一种新的基于深度包解析的异常检测和基于双向访问控制相结合的检测方法,实践证明,本方法可以有效地实现工业控制***通信的异常检测。
OPC协议基于DCE/RPC协议,DCE/RPC协议头部包含很多调用信息,其中,RPC版本号(RPC version)标识协议的版本号,数据包类型(packet type)标识数据包的类型,通用唯一标识符(UUID)标识现场控制设备。因为在确定的工业环境中,OPC客户端与OPC服务器进行通信时,数据包中的数据包类型和通用唯一标识符存在对应关系,也就是对于某个特定的现场设备发送的是特定的数据包类型;另外,OPC请求数据包和OPC响应数据包的RPC版本号应该保持一致,通过这两个特征建立基于异常检测模型和基于双向访问的检测来实现对于异常流量的检测。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于OPC Classic的入侵检测方法,针对OPC的协议特征,采用基于机器学习的OPC Classic协议入侵检测和基于双向访问的异常检测,提高通信的安全性。
为实现上述发明目的,本发明一种基于OPC Classic的入侵检测方法,其特征在于,包括以下步骤:
(1)对待检测的工业控制***通信进行数据包的检测、识别和分析;
在机器学习阶段,通过防火墙中的入侵检测模块对工业控制***的通信数据包进行检测、识别,分析提取出控制端和执行端之间双向通信数据包的RPC版本号RPCV、数据包类型PT、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD;
(2)对获取的数据进行预处理;
将源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、RPC版本号RPCV,通用唯一标识符UUID作为一组数据,请求数据包处理为(SIP,SD,DIP,DD,UUID,RPCV),对应的响应数据包处理为(DIP,DD,SIP,SD,UUID,RPCV);数据包类型PT和通用统一标识符UUID作为一组数据(PT,UUID)进行处理;
(3)双向访问控制模块对通信数据包进行异常流量检测;
将请求数据包中的RPC版本号RPCV、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD处理成(SIP,SD,DIP,DD,UUID,RPCV),将响应数据包处理成(DIP,DD,SIP,SD,UUID,RPCV);
在双向访问控制模块中获取请求数据包和对应的响应数据包,通过对比源、目的IP地址、源、目的端口号和通用唯一标识符来确定通信双方,再根据请求数据包和对应的响应数据包的RPC版本号是否匹配,若请求数据包和对应的响应数据包的RPC版本号一致则正常,否则异常;
(4)、判断数据(PT,UUID)的异常
根据数据(PT,UUID)中的数据包类型来判断通用唯一标识符或者根据通用统一标识符来判断数据包类型;
当数据(PT,UUID)中的数据包类型确定后,若通用唯一标识符与数据包类型相匹配,则数据(PT,UUID)合法,否则为非法;
当数据(PT,UUID)中的通用唯一标识符确定之后,若数据包类型与通用唯一标识符相匹配,则数据(PT,UUID)合法,否则为非法;
(5)、基于模型的通信异常检测方法;
(5.1)、将步骤(3)中正常、异常的请求数据包和对应的响应数据包的数据(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV)分别作为神经网络模型1的输入,其正常数据包对应的输出设置为1,异常数据包对应的输出设置为0,完成对神经网络模型1进行训练;
(5.2)、将步骤(4)中获取的数据(PT,UUID)作为神经网络模型2的输入,其合法数据(PT,UUID)对应的输出设置为1,非法数据(PT,UUID)对应的输出设置为0,完成对神经网络模型2进行训练;
(5.3)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入格式(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV),并作为输入到神经网络模型1中,若神经网络模型1的输出为1,则数据正常,若神经网络模型1的输出为0,则数据异常,存在入侵;
(5.4)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入数据(PT,UUID),并作为输入到神经网络模型2中,若神经网络模型2的输出为1,则数据正常,若神经网络模型2的输出为0,则数据异常,存在入侵。
本发明的发明目的是这样实现的:
本发明一种基于OPC Classic的入侵检测方法,针对OPC的协议特征,采用基于机器学习的OPC Classic协议入侵检测和基于双向访问的异常检测;其中基于OPC Classic协议的入侵检测方法通过OPC客户端和OPC服务器之间的通讯流量进行机器学习,建立模型,然后利用该模型进行检测;基于双向访问的异常检测方法通过源IP、源端口以及通用唯一标识符来确定通信双方,进而通过匹配请求包和响应包的RPC版本号来判断通信是否异常;这样不仅实现通信的深度异常检测和双向访问检测,还提高了防护性能。
附图说明
图1是本发明基于OPC Classic的入侵检测方法拓扑结构图;
图2是本发明双向访问控制模块细节图;
图3是基于神经网络学习的异常检测模块细节图。
具体实施方式
下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
实施例
为了方便描述,先对具体实施方式中出现的相关专业术语进行说明:
SIP(Source Internet Protocol):源IP地址;
DIP(Destination Internet Protocol):目的IP地址;
SD(Source Port):源端口号;
DD(Destination Port):目的端口号;
UUID(Universally Unique Identifier):通用统一标识符;
RPCV(Remote Procedure Call Protocol Version):远程过程调用协议版本号;
PT(Packet Type):数据包类型。
图1是本发明基于OPC Classic的入侵检测方法拓扑结构图。
在本实施例中,如图1所示,如图1所示,本发明中的双向访问控制模块和异常流量检测模块位于OPC客户端和OPC服务器之间,OPC客户端发送的数据首先通过双向访问控制模块,解析出IP、端口号、通用唯一标识符并进行记录,然后数据包通过异常流量检测模块,解析出数据包类型和通用唯一标识符,将这两个作为输入,并输入到训练好的神经网络模型,根据数据结果进行判断通过还是丢弃数据。OPC服务器发送数据通过异常流量检测模型,检测通过后到达双向访问控制模块,双向访问控制模块根据IP、端口号、通用统一标识符和请求包以及响应包的数据包版本号进行判断,符合通过,不符合丢弃数据包并报警。
下面结合图1,对本发明一种基于OPC Classic的入侵检测方法进行详细说明,具体包括以下步骤:
S1、对待检测的工业控制***通信进行数据包的检测、识别和分析;
在机器学习阶段,通过防火墙中的入侵检测模块对工业控制***的通信数据包进行检测、识别,分析提取出控制端和执行端之间双向通信数据包的RPC版本号RPCV,现在数据包的通用版本号是2;数据包类型PT,数据包类型有二十种,包括request、response、ping包等,协议类型符是从0到19;通用唯一标识符UUID,在工业环境中,UUID是一个字符串,为了便于操作,我们需要使用哈希算法转换成唯一的数值;源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD等。
在本实施例中,如图2所示,首先收集OPC客户端和OPC服务器之间的数据,然后进行分析,根据IP、端口号、通用统一标识符、请求包的数据包版本和响应包的数据包版本进行分析,若请求包和对应的响应包都存在,并且对应的数据包版本号一致则通过;若请求包和响应包的数据包版本号不一致则丢弃该数据包并报警;若只有请求数据包或者只有响应数据包则直接丢弃并报警。
(2)对获取的数据进行预处理;
将源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、RPC版本号RPCV,通用唯一标识符UUID作为一组数据,请求数据包处理为(SIP,SD,DIP,DD,UUID,RPCV),对应的响应数据包处理为(DIP,DD,SIP,SD,UUID,RPCV);结合具体的数据将请求包处理为(1721610147,10056,其中1721610147是源IP地址,10056是源端口号,1721619133是目的IP地址,135是目的端口号,78是将通用统一标识符转换成的唯一整数,2是数据包的版本号;将响应数据包的处理为(1721610147,10056,1721610133,135,78,2),这里需要注意的是响应数据包的排序跟请求数据包是有所不同的,将目的IP地址和目的端口号放在前面,这样处理的目的主要是为了方便跟请求数据包进行比对;数据包类型PT和通用统一标识符UUID作为一组数据(PT,UUID)进行处理,结合具体数据处理为(0,78),其中0代表请求数据包request,78是通用统一标识符转换成的唯一数字;
(3)双向访问控制模块对通信数据包进行异常流量检测;
将请求数据包中的RPC版本号RPCV、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD处理成(SIP,SD,DIP,DD,UUID,RPCV),将响应数据包处理成(DIP,DD,SIP,SD,UUID,RPCV);
在双向访问控制模块中获取请求数据包和对应的响应数据包,通过对比源、目的IP地址、源、目的端口号和通用唯一标识符来确定通信双方,再根据请求数据包和对应的响应数据包的RPC版本号是否匹配,若请求数据包和对应的响应数据包的RPC版本号一致则正常,否则异常;例如,若请求数据包处理成(1721610147,10056,1721610133,135,78,2),响应数据数据包处理成(1721610147,10,通过源IP地址1721610147、源端口号10056,目的IP地址1721610133,目的端口号135,通用统一标识符78来确定通信双方,通过版本号来匹配,在数据中请求包和响应包的版本号都是2,一致,所以通信正常。若请求数据包数据处理为(1721610147,10056,1721610133,135,78,2),响应数据包处理为(1721610147,10056,1721610133,135,78,3),确定通信双方后,发现请求数据包的协议标识符是2,而请求数据包的协议标识符是3,不匹配,所以判断为通信异常。再比如请求数据包为(1721610147,10056,1721610133,135,78,2),响应数据包为(1721610147,10056,1721610133,135,78),确定通信双方之后我们发现响应数据包没有协议标识符,所以判断为数据包异常,更多异常情况如图2所示。
(4)、判断数据(PT,UUID)的异常
根据数据(PT,UUID)中的数据包类型来判断通用唯一标识符或者根据通用统一标识符来判断数据包类型;
当数据(PT,UUID)中的数据包类型确定后,若通用唯一标识符与数据包类型相匹配,则数据(PT,UUID)合法,否则为非法;比如若数据包类型为0通用统一标识符为78,122,56合法,即(0,78)(0,122)(0,56)合法,若检测发现数据包类型是0但是通用统一标识符是79则判断为通信异常。
当数据(PT,UUID)中的通用唯一标识符确定之后,若数据包类型与通用唯一标识符相匹配,则数据(PT,UUID)合法,否则为非法;比如若检测到通用统一标识符为78,数据包类型为0,2,7合法即(0,2)(0,2)(0,7)合法,而检测到通用统一标识符是78,数据包类型是18,则判断为通信异常。
(5)、基于模型的通信异常检测方法;
(5.1)、将步骤(3)中正常、异常的请求数据包和对应的响应数据包的数据(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV)分别作为神经网络模型1的输入,其正常数据包对应的输出设置为1,异常数据包对应的输出设置为0,完成对神经网络模型1进行训练;例如输入为(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,2)输出为1作为合法输入数据;输入为(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,3)输出为0作为非法数据进行训练,完成模型1的训练。
(5.2)、将步骤(4)中获取的数据(PT,UUID)作为神经网络模型2的输入,其合法数据(PT,UUID)对应的输出设置为1,非法数据(PT,UUID)对应的输出设置为0,完成对神经网络模型2进行训练;例如将(0,78)(0,122)(0,56)作为合法数据进行输入,将1作为输出作为合法数据进行训练,将(0,79)作为输入,0作为输作为非法数据进行训练,完成模型2的训练。
(5.3)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入格式(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV),并作为输入到神经网络模型1中,若神经网络模型1的输出接近为1,则数据正常,若神经网络模型1的输出接近为0,则数据异常,存在入侵;比如输入(1721610147,10056,1721610133,135,78,2)、(1721610147,10056,1721610133,135,78,2),输出值为0.9998,根据|1-0.9998|<0.3作为判断依据判断为数据包正常;若输入是(1721610147,10056,1721610133,135,、(1721610147,10056,1721610133,135,78,3)作为输入,得到的输出结果是0.002,根据|1-0.002|>0.3判断通信异常,具体如图3所示;
(5.4)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入数据(PT,UUID),并作为输入到神经网络模型2中,若神经网络模型2的输出接近1,则数据正常,若神经网络模型2的输出接近为0,则数据异常,存在入侵。比如输入是(0,78),输出结果是1.002,则根据|1-1.002|<0.3作为判断依据,判断通信正常;若输入是(0.79),输出结果是0.101,则根据|1-0.101|>0.3作为判断依据,判断通信异常,具体如图3所示。
实例
使用MatrikonOPC Explorer作为OPC客户端,MatrikonOPC Simulation Server作为OPC服务器,设置为每5秒钟读取一次数据。进行一段时间的通讯,我们可以提取出大量的样本:
对于模型1,合法数据样本为:
X1=(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,2)
X2=(1721610147,10056,1721610121,135,78,2),(1721610147,10056,1721610121,135,78,2)
X3=(1721610137,10056,1721610133,135,78,2),(1721610137,10056,1721610133,135,78,2)
非法样本数据为:
X1=(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,3)
X2=(1721610147,10056,1721610121,135,78,2),(1721610147,10056,1721610121,135,78)
X3=(1721610137,10056,1721610133,135,78),(1721610137,10056,1721610133,135,78,2)
对于模型2,合法数据样本为:
X1=(0,78)
X2=(1,122)
X3=(5,56)
非法数据样本为:
X1=(0,79)
X2=(1,123)
X3=(5,57)
检测结果:对于模型1,当入侵检测模块获取数据为(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,2),输入模型1,检测结果是0.9998,通信正常;当入侵检测模块获取的数据为(1721610147,10056,1721610133,135,78,2),(1721610147,10056,1721610133,135,78,3),输入结果为0.002,通信异常。对于模型2,当入侵检测模块获取数据为(0,78),输入模型1,检测结果是1.002,通信正常;当入侵检测模块获取的数据为(0,79),输入结果为0.101,通信异常。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
Claims (2)
1.一种基于OPC Classic的入侵检测方法,其特征在于,包括以下步骤:
(1)对待检测的工业控制***通信进行数据包的检测、识别和分析;
在机器学习阶段,通过防火墙中的入侵检测模块对工业控制***的通信数据包进行检测、识别,分析提取出控制端和执行端之间双向通信数据包的RPC版本号RPCV、数据包类型PT、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD;
(2)对获取的数据进行预处理;
将源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD、RPC版本号RPCV,通用唯一标识符UUID作为一组数据,请求数据包处理为(SIP,SD,DIP,DD,UUID,RPCV),对应的响应数据包处理为(DIP,DD,SIP,SD,UUID,RPCV);数据包类型PT和通用统一一标识符UUID作为一组数据(PT,UUID)进行处理;
(3)双向访问控制模块对通信数据包进行异常流量检测;
将请求数据包中的RPC版本号RPCV、通用唯一标识符UUID、源IP地址SIP、源端口号SD、目的IP地址DIP、目的端口号DD处理成(SIP,SD,DIP,DD,UUID,RPCV),将响应数据包处理成(DIP,DD,SIP,SD,UUID,RPCV);
在双向访问控制模块中获取请求数据包和对应的响应数据包,通过对比源、目的IP地址、源、目的端口号和通用唯一标识符来确定通信双方,再根据请求数据包和对应的响应数据包的RPC版本号是否匹配,若请求数据包和对应的响应数据包的RPC版本号一致则正常,否则异常;
(4)、判断数据(PT,UUID)的异常
根据数据(PT,UUID)中的数据包类型来判断通用唯一标识符或者根据通用统一标识符来判断数据包类型;
当数据(PT,UUID)中的数据包类型确定后,若通用唯一标识符与数据包类型相匹配,则数据(PT,UUID)合法,否则为非法;
当数据(PT,UUID)中的通用唯一标识符确定之后,若数据包类型与通用唯一标识符相匹配,则数据(PT,UUID)合法,否则为非法;
(5)、基于模型的通信异常检测方法;
(5.1)、将步骤(3)中正常、异常的请求数据包和对应的响应数据包的数据(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV)分别作为神经网络模型1的输入,其正常数据包对应的输出设置为1,异常数据包对应的输出设置为0,完成对神经网络模型1进行训;
(5.2)、将步骤(4)中获取的数据(PT,UUID)作为神经网络模型2的输入,其合法数据(PT,UUID)对应的输出设置为1,非法数据(PT,UUID)对应的输出设置为0,完成对神经网络模型2进行训练;
(5.3)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入格式(SIP,SD,DIP,DD,UUID,RPCV)、(DIP,DD,SIP,SD,UUID,RPCV),并作为输入到神经网络模型1中,若神经网络模型1的输出为1,则数据正常,若神经网络模型1的输出为0,则数据异常,存在入侵;
(5.4)、在实际的工业环境中进行检测时,防火墙中的入侵检测模块获取到通信数据包后,按照上述方法处理成标准输入数据(PT,UUID),并作为输入到神经网络模型2中,若神经网络模型2的输出为1,则数据正常,若神经网络模型2的输出为0,则数据异常,存在入侵。
2.根据权利要求1所述的一种基于OPC Classic的入侵检测方法,其特征在于,所述的数据包类型PT包括20中类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710260755.9A CN106921676B (zh) | 2017-04-20 | 2017-04-20 | 一种基于OPCClassic的入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710260755.9A CN106921676B (zh) | 2017-04-20 | 2017-04-20 | 一种基于OPCClassic的入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106921676A true CN106921676A (zh) | 2017-07-04 |
| CN106921676B CN106921676B (zh) | 2020-05-08 |
Family
ID=59568132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710260755.9A Expired - Fee Related CN106921676B (zh) | 2017-04-20 | 2017-04-20 | 一种基于OPCClassic的入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106921676B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474540A (zh) * | 2018-09-12 | 2019-03-15 | 北京奇安信科技有限公司 | 一种识别opc流量的方法及装置 |
| CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制***入侵检测方法 |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111404920A (zh) * | 2020-03-12 | 2020-07-10 | 四川英得赛克科技有限公司 | 应用于工业控制环境的异常检测方法 |
| CN112202736A (zh) * | 2020-09-15 | 2021-01-08 | 浙江大学 | 基于统计学习和深度学习的工业控制***通信网络异常分类方法 |
| CN112437043A (zh) * | 2020-11-03 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 基于双向访问控制的安全保障方法 |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| US11086988B1 (en) | 2020-02-28 | 2021-08-10 | Nanotronics Imaging, Inc. | Method, systems and apparatus for intelligently emulating factory control systems and simulating response data |
| US11100221B2 (en) | 2019-10-08 | 2021-08-24 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
| CN113904804A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、***及介质 |
| US12038743B2 (en) | 2023-06-05 | 2024-07-16 | Nanotronics Imaging, Inc. | Predictive process control for a manufacturing process |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| CN103888282A (zh) * | 2013-08-19 | 2014-06-25 | 中广核工程有限公司 | 基于核电站的网络入侵报警方法和*** |
| CN105959289A (zh) * | 2016-06-06 | 2016-09-21 | 中国东方电气集团有限公司 | 一种基于自学习的OPC Classic协议的安全检测方法 |
| CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及*** |
| CN106453416A (zh) * | 2016-12-01 | 2017-02-22 | 广东技术师范学院 | 一种基于深信度网络的分布式攻击入侵的检测方法 |
-
2017
- 2017-04-20 CN CN201710260755.9A patent/CN106921676B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| CN103888282A (zh) * | 2013-08-19 | 2014-06-25 | 中广核工程有限公司 | 基于核电站的网络入侵报警方法和*** |
| CN105959289A (zh) * | 2016-06-06 | 2016-09-21 | 中国东方电气集团有限公司 | 一种基于自学习的OPC Classic协议的安全检测方法 |
| CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及*** |
| CN106453416A (zh) * | 2016-12-01 | 2017-02-22 | 广东技术师范学院 | 一种基于深信度网络的分布式攻击入侵的检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| LI DENG;YISONG PENG;CANCHENG LIU;XIAOSHUAI XIN;YUCEN XIE: "Intrusion detection method based on support vector machine access of Modbus TCP protocol", 《2016 IEEE INTERNATIONAL CONFERENCE ON INTERNET OF THINGS (ITHINGS) AND IEEE GREEN COMPUTING AND COMMUNICATIONS (GREENCOM) AND IEEE CYBER, PHYSICAL AND SOCIAL COMPUTING (CPSCOM) AND IEEE SMART DATA (SMARTDATA)》 * |
| 谭爱平,陈浩,吴伯桥: "基于SVM的网络入侵检测集成学习算法", 《计算机科学》 * |
| 贺英杰,叶宗民,金吉学: "机器学习在入侵检测中的应用综述", 《计算机安全》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474540A (zh) * | 2018-09-12 | 2019-03-15 | 北京奇安信科技有限公司 | 一种识别opc流量的方法及装置 |
| CN109474540B (zh) * | 2018-09-12 | 2022-06-10 | 奇安信科技集团股份有限公司 | 一种识别opc流量的方法及装置 |
| CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制***入侵检测方法 |
| US11693956B2 (en) | 2019-10-08 | 2023-07-04 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
| US11100221B2 (en) | 2019-10-08 | 2021-08-24 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111092889B (zh) * | 2019-12-18 | 2020-11-20 | 江苏美杜莎信息科技有限公司 | 分布式数据节点异常行为检测方法、装置及服务器 |
| US11663327B2 (en) | 2020-02-28 | 2023-05-30 | Nanotronics Imaging, Inc. | Method, systems and apparatus for intelligently emulating factory control systems and simulating response data |
| US11086988B1 (en) | 2020-02-28 | 2021-08-10 | Nanotronics Imaging, Inc. | Method, systems and apparatus for intelligently emulating factory control systems and simulating response data |
| CN111404920B (zh) * | 2020-03-12 | 2022-05-27 | 四川英得赛克科技有限公司 | 应用于工业控制环境的异常检测方法 |
| CN111404920A (zh) * | 2020-03-12 | 2020-07-10 | 四川英得赛克科技有限公司 | 应用于工业控制环境的异常检测方法 |
| CN112202736A (zh) * | 2020-09-15 | 2021-01-08 | 浙江大学 | 基于统计学习和深度学习的工业控制***通信网络异常分类方法 |
| CN112437043B (zh) * | 2020-11-03 | 2023-05-16 | 深圳市永达电子信息股份有限公司 | 基于双向访问控制的安全保障方法 |
| CN112437043A (zh) * | 2020-11-03 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 基于双向访问控制的安全保障方法 |
| US12039040B2 (en) | 2020-11-20 | 2024-07-16 | Nanotronics Imaging, Inc. | Securing industrial production from sophisticated attacks |
| CN112953895A (zh) * | 2021-01-26 | 2021-06-11 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| US12039750B2 (en) | 2021-03-09 | 2024-07-16 | Nanotronics Imaging, Inc. | Systems, methods, and media for manufacturing processes |
| CN113904804A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、***及介质 |
| CN113904804B (zh) * | 2021-09-06 | 2023-07-21 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、***及介质 |
| US12038743B2 (en) | 2023-06-05 | 2024-07-16 | Nanotronics Imaging, Inc. | Predictive process control for a manufacturing process |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106921676B (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106921676A (zh) | 一种基于OPCClassic的入侵检测方法 | |
| CN103748853B (zh) | 用于对数据通信网络中的协议消息进行分类的方法和*** | |
| CN105656950B (zh) | 一种基于域名的http访问劫持检测与净化装置及方法 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN103944915B (zh) | 一种工业控制***威胁检测防御装置、***及方法 | |
| CN101370008B (zh) | Sql注入web攻击的实时入侵检测*** | |
| CN109861988A (zh) | 一种基于集成学习的工业控制***入侵检测方法 | |
| CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
| CN101001242B (zh) | 网络设备入侵检测的方法 | |
| CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN107104960A (zh) | 一种基于机器学习的工业控制***入侵检测方法 | |
| CN106549959B (zh) | 一种代理网际协议ip地址的识别方法及装置 | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| CN102882748A (zh) | 网络接入检测***和网络接入检测方法 | |
| CN112929390A (zh) | 一种基于多策略融合的网络智能监控方法 | |
| CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
| CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
| CN111327636A (zh) | 一种涉及网络安全的s7-300plc私有协议逆向方法 | |
| CN113285916A (zh) | 智能制造***异常流量检测方法及检测装置 | |
| CN108847983A (zh) | 基于mqtt协议的入侵检测方法 | |
| CN107707549A (zh) | 一种自动提取应用特征的装置及方法 | |
| CN107070941A (zh) | 异常流量检测的方法和装置 | |
| CN109600394A (zh) | 一种基于深度学习的http隧道木马检测方法 | |
| US20230275914A1 (en) | Method and apparatus for detecting anomalies of an infrastructure in a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200508 |