CN107493265B - 一种面向工业控制***的网络安全监控方法 - Google Patents
一种面向工业控制***的网络安全监控方法 Download PDFInfo
- Publication number
- CN107493265B CN107493265B CN201710605143.9A CN201710605143A CN107493265B CN 107493265 B CN107493265 B CN 107493265B CN 201710605143 A CN201710605143 A CN 201710605143A CN 107493265 B CN107493265 B CN 107493265B
- Authority
- CN
- China
- Prior art keywords
- information
- control system
- network
- industrial control
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000004458 analytical method Methods 0.000 claims abstract description 32
- 230000006399 behavior Effects 0.000 claims abstract description 27
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims abstract description 4
- 230000002159 abnormal effect Effects 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 12
- 230000005856 abnormality Effects 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 8
- 238000007619 statistical method Methods 0.000 claims description 6
- 238000012098 association analyses Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 5
- 238000004140 cleaning Methods 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 2
- 230000002093 peripheral effect Effects 0.000 abstract description 3
- 230000007123 defense Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 230000003612 virological effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000005272 metallurgy Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002203 pretreatment Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种面向工业控制***的网络安全监控方法,包括以下步骤:采集工业控制***内部监测对象的相关信息;对采集到的相关信息进行安全分析;当分析发现有潜在异常行为时,生成相关安全管控命令,并下发到相关监测对象进行执行,阻断异常行为。本发明通过对工业控制***的核心联网设备进行丰富的数据采集,实现了对外设接入、人员操作、网络外联等工业控制***主要安全隐患行为的实时监视,同时,通过对各种行为进行分析处理,及时发现并阻断异常行为,真正实现了工业控制***的主动防御。对于难以将传统安全防护措施有效应用到工业控制***的现状,从监控预警的角度很好的解决了当前工业控制***面临的主要安全威胁。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种面向工业控制***的网络安全监控方法。
背景技术
以采集、监视、控制为主的工业控制***广泛应用于电力、石化、交通、冶金等各个行业,实现了工业控制的自动化。典型的工业控制***包括SCADA(Supervisory ControlAnd Data Acquisition,监视控制与数据采集)、DCS(Distributed Control System,分布式控制***)、PLC(Programmable Logic Controller,可编程逻辑控制器)等。随着我国工业化、信息化的日益融合,计算机技术和网络通信技术在工业控制***的广泛应用,传统工业控制***逐步打破了以往的封闭性和专有性,标准、通用的通信协议及软硬件***应用愈发广泛。工业控制***在提升自动化、信息化水平的同时,也面临着越来越大的安全威胁。近年来频繁发生的工控安全事件为人们敲响了警钟。
与传统信息***相比,工业控制***由于对实时性、可靠性、工作连续性等方面的特殊要求,在设计之初很少考虑安全性,在使用时往往很少安装防病毒木马软件、很少进行***漏洞补丁的升级,导致工业控制***极易受病毒木马的感染。而在工业控制***的日常运行与维护中,U盘、光盘等移动存储介质的使用,厂家运维笔记本的使用往往成为引入病毒木马的窗口。
针对这种情况,部分行业从管理上加强了对工业控制***中移动存储介质及运维笔记本的使用,如拆除工业控制***中不必要的USB接口、光驱,采用专门的运维笔记本进行安全运维等。这些管理措施的应用,起到了良好的效果,但也出现了日常运行和维护工作不方便,管理措施执行不到位,无法限制人为恶意违规操作等问题。
为此,有必要从技术上对工业控制***的日常运行与维护进行全过程的监管,防止因违规使用移动存储介质、使用带毒运维笔记本而引入病毒木马,同时也需要为事后的审计回溯提出数据支撑。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种面向工业控制***的网络安全监控方法,以解决现有技术的不足。
本发明的一种面向工业控制***的网络安全监控方法,包括以下几个步骤:
步骤一,采集工业控制***内部监测对象的相关信息;
步骤二,对采集到的相关信息进行安全分析;
步骤三,当分析发现有潜在异常行为时,生成相关安全管控命令,下发到相关监测对象进行执行,阻断异常行为。
步骤一中,所述监测对象包括网络设备、安全设备、主机设备三类,所述网络设备包括工控交换机,所述安全设备包括防火墙、网闸隔离装置、VPN加密装置,所述主机设备包括监控主机、通信网关机、服务器、工作站。
步骤一中,所述相关信息从信息严重程度上由高到低分为紧急、重要、普通、一般四类。
步骤一中,所述相关信息从信息类型上划分为接入信息、登录信息、操作信息、状态信息、网络连接信息、安全事件信息六类;所述接入信息包括移动存储设备的接入及笔记本电脑通过网络接入;所述登录信息包括对所有监测对象的本地及远程登录信息,包括登录成功信息、登录失败信息及退出登录信息;所述操作信息是指通过远程终端登录到主机设备及网络设备后进行的操作命令与操作命令结果回显信息;所述状态信息包括CPU利用率、内存利用率、磁盘空间使用率、网口流量;所述网络连接信息是指主机设备上存在的与外部的TCP/UDP连接信息;所述安全事件信息是指安全设备检测到的安全事件信息。
上述移动存储设备包括U盘、移动硬盘、USB光驱、USB上网卡、手机和光盘。
步骤一中,所述监测对象支持通过SNMP、SYSLOG、自定义专用协议方式进行信息采集。
步骤二中,所述安全分析包括统计分析、异常检测和关联分析;所述统计分析是指从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行统计;所述异常检测是指分析检测出接入异常、登录异常、操作异常、状态异常、网络外联异常和异常安全事件;所述接入异常包括不在白名单范围内的移动存储设备、笔记本的接入;所述登录异常是指连续登录失败次数超过规定阈值的登录;所述操作异常是指执行了定义的危险操作指令,对定义的受控目录、受控文件的内容、权限进行了修改;所述状态异常是指CPU利用率、内存利用率、磁盘空间使用率、网口流量超过了规定的阈值;所述网络外联异常是指出现了不在安全策略允许范围内的网络连接;所述异常安全事件是指不符合访问控制策略的访问事件、网络攻击事件;所述关联分析是指对离散的采集信息之间进行关联性分析,找出各个离散的采集信息之间的关联关系。
上述安全分析具体方法如下:
(2-1)对采集的信息进行去重、清洗、分类、格式化处理;
(2-2)从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行综合统计;
(2-3)进行异常检测,根据采集信息的类型,检测该信息是否存在异常;如果不存在,且该信息的重要程度为一般,则返回步骤(2-1),否则,转向步骤(2-4);
(2-4)进行关联分析,从聚类、时序对当前的单个事件信息与其他已收集分析的事件信息进行关联分析,识别出当前事件信息所属的行为序列,并将该事件信息添加到所属的行为序列中;
(2-5)查找知识库,对所述行为序列进行威胁分析;如果分析结果没有威胁且该行为序列结束,则删除该行为序列并返回步骤(2-1);如果尚未识别到威胁,且该行为序列尚未结束,则返回步骤(2-1)继续;如果识别出该行为序列存在异常或威胁,则转向步骤(2-6);
(2-6)进行安全告警,并启动后续安全管控命令。
步骤三中,安全管控命令下发支持多种方式,包括通过SNMP下发、通过自定义专用协议下发。
步骤三中,阻断异常行为的方法包括以下几种:禁用可疑移动存储设备所接USB接口、关闭运维笔记本所接的交换机的端口、阻止危险操作指令执行、断开可疑登录连接、添加访问控制策略阻止非法访问。
本发明的有益效果是:
本发明通过对工业控制***的核心联网设备进行丰富的数据采集,实现了对外设接入、人员操作、网络外联等工业控制***主要安全隐患行为的实时监视,同时,通过对各种行为进行分析处理,及时发现并阻断异常行为,真正实现了工业控制***的主动防御。对于难以将传统安全防护措施有效应用到工业控制***的现状,本发明方法从监控预警的角度很好的解决了当前工业控制***面临的主要安全威胁。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1为本发明的结构图。
图2为本发明的安全分析处理流程图。
具体实施方式
如图1所示,一种面向工业控制***的网络安全监控方法,包括以下步骤:
步骤一,采集工业控制***内部监测对象的相关信息;
步骤二,对采集到的了相关信息进行安全分析;
步骤三,当分析发现有潜在异常行为时,生成相关安全管控命令,并下发到相关监测对象进行执行,阻断异常行为。
本实施例中,所述监测对象包括网络设备、安全设备、主机设备三类,所述网络设备是指工控交换机,通过snmp方式主动获取交换机相关信息,如网口状态信息,通过snmptrap方式获取交换机发生的安全事件,如网口up、网口down等接入事件,非法MAC接入事件、用户登录交换机事件等。需要对工控交换机进行安全改造以支持上述信息的采集。
安全设备包括防火墙、网闸隔离装置、VPN加密装置,通过标准SYSLOG方式采集安全设备相关信息,包括用户登录安全设备信息、违反访问控制策略信息、攻击事件信息、配置变更信息等。需要对安全设备进行安全改造以支持上述信息的采集。
主机设备包括监控主机、通信网关机、工作站。通过在主机内安装agent代理方式实现主机信息的采集,agent通过自定义专用协议上报信息。agent采集的信息主要包括用户登录主机信息、非法外联信息、用户操作命令及回显信息、移动存储设备或手机等通过USB接口插拔事件信息、危险操作信息等。agent支持Linux、Unix、Windows等工业控制***内主机设备常用的操作***。
本实施例中,所述相关信息包括接入信息、登录信息、操作信息、状态信息、网络连接信息、安全事件信息;接入信息包括移动存储设备的接入及笔记本电脑等电脑设备通过网络接入;登录信息包括对所有监测对象的本地及远程登录信息,包括登录成功信息、登录失败信息及退出登录信息;操作信息是指通过远程终端登录到主机设备及网络设备后进行的操作命令与操作命令结果回显信息;状态信息包括CPU利用率、内存利用率、磁盘空间使用率、网口流量;网络连接信息是指主机设备上存在的与外部的TCP/UDP连接信息;安全事件信息是指安全设备检测到的安全事件信息,包括违反访问控制策略的访问、攻击告警。
本实施例中,移动存储设备包括U盘、移动硬盘、USB光驱、USB上网卡、手机、光盘。
本实施例中,所述监测对象支持通过SNMP、SYSLOG、自定义专用协议多种方式进行信息采集。
本实施例中,步骤二安全分析包括统计分析、异常检测和关联分析。一次网络攻击往往表现为一个攻击链上许多不同单个行为的组合,任何一个环节出错,都可能导致攻击的失败。通过这些单个行为的收集、分析,能够发现其潜在的关联关系,进而分析出可能的网络攻击行为,为后续及时切断攻击链,阻止网络攻击行为的发生提供基础。
本发明方法通过对外设接入、人员操作、网络外联等各种安全相关信息的收集,具备了进一步分析的数据基础。通过对接入信息、登录信息、操作信息、状态信息、网络连接信息、安全事件信息进行关联分析,对用户或恶意代码的行为进行画像,结合历史行为进行对比,达到对异常行为的识别。
如图2所示,本发明方法的具体安全分析流程如下:
1)对采集的信息进行去重、清洗、分类、格式化等预处理;
2)进行统计分析,从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量等维度对采集信息进行综合统计;
3)进行异常检测,根据采集信息的类型,检测该信息是否存在异常。如果不存在,且该信息的重要程度为一般,则返回步骤1),否则,转向步骤4);
4)进行关联分析,从聚类、时序等方面对当前的单个事件信息与其他已收集分析的事件信息进行关联分析,识别出当前事件信息所属的行为序列,并将该事件信息添加到所属的行为序列中;
5)查找知识库,对所述行为序列进行威胁分析;如果分析结果没有威胁且该行为序列结束,则删除该行为序列并返回步骤1);如果尚未识别到威胁,且该行为序列尚未结束,则返回步骤1)继续;如果识别出该行为序列存在异常或威胁,则转向步骤6);
6)进行安全告警,并启动后续安全管控命令。
本实施例中,步骤三生成安全管控命令,并下发到相关监测对象进行执行,其中安全管控命令下发支持多种方式,包括通过SNMP下发、通过自定义专用协议下发。
本实施例中,步骤三阻断异常行为的方法包括以下几种:禁用可疑移动存储设备所接USB接口、关闭运维笔记本所接的交换机的端口、阻止危险操作指令执行、断开可疑登录连接、添加访问控制策略阻止非法访问。
对于不同的监测对象,采用不同的方式下发不同的安全管控命令,如针对网络设备,通过SNMP方式下发命令关闭可疑设备所接的交换机端口;针对安全设备,通过自定义专有协议下发访问控制策略阻止非法访问;对于主机设备,通过自定义专有协议下发断开登录连接,临时禁用可疑帐号登录、临时禁用USB接口、阻止危险操作执行等指令到主机上的agent代理,由agent代理执行指令。
上述方法对当前工业控制***内部面临的主要安全威胁进行了实时的监控与管理,在不对工业控制***内部进行大的安全改造的情况下,能够显著提升工业控制***内部的安全防护水平,有效抵御病毒、木马的攻击。此外,该方法通用性强,可适用于电力、石化、交通、冶金等多个行业的工业控制***。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (8)
1.一种面向工业控制***的网络安全监控方法,其特征在于,包括以下几个步骤:
步骤一,采集工业控制***内部监测对象的相关信息;
步骤二,对采集到的相关信息进行安全分析;
步骤三,当分析发现有潜在异常行为时,生成相关安全管控命令,下发到相关监测对象进行执行,阻断异常行为;
步骤二中,所述安全分析包括统计分析、异常检测和关联分析;所述统计分析是指从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行统计;所述异常检测是指分析检测出接入异常、登录异常、操作异常、状态异常、网络外联异常和异常安全事件;所述接入异常包括不在白名单范围内的移动存储设备、笔记本的接入;所述登录异常是指连续登录失败次数超过规定阈值的登录;所述操作异常是指执行了定义的危险操作指令,对定义的受控目录、受控文件的内容、权限进行了修改;所述状态异常是指CPU利用率、内存利用率、磁盘空间使用率、网口流量超过了规定的阈值;所述网络外联异常是指出现了不在安全策略允许范围内的网络连接;所述异常安全事件是指不符合访问控制策略的访问事件、网络攻击事件;所述关联分析是指对离散的采集信息之间进行关联性分析,找出各个离散的采集信息之间的关联关系;
所述安全分析具体方法如下:
(2-1)对采集的信息进行去重、清洗、分类、格式化处理;
(2-2)从信息来源、信息类型、信息重要程度、当天信息数量、当月信息数量对采集信息进行综合统计;
(2-3)进行异常检测,根据采集信息的类型,检测该信息是否存在异常;如果不存在,且该信息的重要程度为一般,则返回步骤(2-1),否则,转向步骤(2-4);
(2-4)进行关联分析,从聚类、时序对当前的单个事件信息与其他已收集分析的事件信息进行关联分析,识别出当前事件信息所属的行为序列,并将该事件信息添加到所属的行为序列中;
(2-5)查找知识库,对所述行为序列进行威胁分析;如果分析结果没有威胁且该行为序列结束,则删除该行为序列并返回步骤(2-1);如果尚未识别到威胁,且该行为序列尚未结束,则返回步骤(2-1)继续;如果识别出该行为序列存在异常或威胁,则转向步骤(2-6);
(2-6)进行安全告警,并启动后续安全管控命令。
2.如权利要求1所述的一种面向工业控制***的网络安全监控方法,其特征在于:步骤一中,所述监测对象包括网络设备、安全设备、主机设备三类,所述网络设备包括工控交换机,所述安全设备包括防火墙、网闸隔离装置、VPN加密装置,所述主机设备包括监控主机、通信网关机、服务器、工作站。
3.如权利要求1所述的一种面向工业控制***的网络安全监控方法,其特征在于:步骤一中,所述相关信息从信息严重程度上由高到低分为紧急、重要、普通、一般四类。
4.如权利要求1所述的一种面向工业控制***的网络安全监控方法,其特征在于:步骤一中,所述相关信息从信息类型上划分为接入信息、登录信息、操作信息、状态信息、网络连接信息、安全事件信息六类;所述接入信息包括移动存储设备的接入及笔记本电脑通过网络接入;所述登录信息包括对所有监测对象的本地及远程登录信息,包括登录成功信息、登录失败信息及退出登录信息;所述操作信息是指通过远程终端登录到主机设备及网络设备后进行的操作命令与操作命令结果回显信息;所述状态信息包括CPU利用率、内存利用率、磁盘空间使用率、网口流量;所述网络连接信息是指主机设备上存在的与外部的TCP/UDP连接信息;所述安全事件信息是指安全设备检测到的安全事件信息。
5.如权利要求4所述的一种面向工业控制***的网络安全监控方法,其特征在于:所述移动存储设备包括U盘、移动硬盘、USB光驱、USB上网卡、手机和光盘。
6.如权利要求1所述的一种面向工业控制***的网络安全监控方法,其特征在于:步骤一中,所述监测对象支持通过SNMP、SYSLOG、自定义专用协议方式进行信息采集。
7.如权利要求1所述的一种面向工业控制***的网络安全监控方法,其特征在于:步骤三中,安全管控命令下发支持多种方式,包括通过SNMP下发、通过自定义专用协议下发。
8.如权利要求1所述的一种面向工业控制***的网络安全监控方法,其特征在于:步骤三中,阻断异常行为的方法包括以下几种:禁用可疑移动存储设备所接USB接口、关闭运维笔记本所接的交换机的端口、阻止危险操作指令执行、断开可疑登录连接、添加访问控制策略阻止非法访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710605143.9A CN107493265B (zh) | 2017-07-24 | 2017-07-24 | 一种面向工业控制***的网络安全监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710605143.9A CN107493265B (zh) | 2017-07-24 | 2017-07-24 | 一种面向工业控制***的网络安全监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107493265A CN107493265A (zh) | 2017-12-19 |
| CN107493265B true CN107493265B (zh) | 2018-11-02 |
Family
ID=60644738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710605143.9A Active CN107493265B (zh) | 2017-07-24 | 2017-07-24 | 一种面向工业控制***的网络安全监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107493265B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3933519A1 (en) * | 2020-06-26 | 2022-01-05 | Kabushiki Kaisha Yaskawa Denki | Production system, production method, and program |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108183920B (zh) * | 2018-01-23 | 2020-08-11 | 北京网藤科技有限公司 | 一种工业控制***恶意代码防御***的防御方法 |
| CN110224970B (zh) | 2018-03-01 | 2021-11-23 | 西门子公司 | 一种工业控制***的安全监视方法和装置 |
| CN108696391A (zh) * | 2018-05-10 | 2018-10-23 | 浙江八方电信有限公司 | 一种应用于移动网络优化告警时序聚类算法 |
| CN108712425A (zh) * | 2018-05-21 | 2018-10-26 | 南京南瑞集团公司 | 一种面向工业控制***网络安全威胁事件的分析监管方法 |
| US11973777B2 (en) * | 2018-07-09 | 2024-04-30 | Siemens Aktiengesellschaft | Knowledge graph for real time industrial control system security event monitoring and management |
| CN108931968B (zh) * | 2018-07-25 | 2021-07-20 | 安徽三实信息技术服务有限公司 | 一种应用于工业控制***中的网络安全防护***及其防护方法 |
| CN109150869B (zh) * | 2018-08-14 | 2021-06-04 | 南瑞集团有限公司 | 一种交换机信息采集分析***及方法 |
| CN109474620A (zh) * | 2018-12-17 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 快速保护互联网安全事件现场的方法、装置及电子设备 |
| CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
| CN109922055A (zh) * | 2019-02-26 | 2019-06-21 | 深圳市信锐网科技术有限公司 | 一种风险终端的检测方法、***及相关组件 |
| CN110011973B (zh) * | 2019-03-06 | 2021-08-03 | 浙江国利网安科技有限公司 | 工业控制网络访问规则构建方法及训练*** |
| CN110505215B (zh) * | 2019-07-29 | 2021-03-30 | 电子科技大学 | 基于虚拟运行和状态转换的工控***网络攻击应对方法 |
| CN110661339A (zh) * | 2019-10-10 | 2020-01-07 | 四川洪辉电力科技有限公司 | 一种变电站监控主机运行状态监测方法 |
| CN110933064B (zh) * | 2019-11-26 | 2023-10-03 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其*** |
| CN110809009A (zh) * | 2019-12-12 | 2020-02-18 | 江苏亨通工控安全研究院有限公司 | 一种应用于工控网络的两级入侵检测*** |
| CN111031062B (zh) * | 2019-12-24 | 2020-12-15 | 四川英得赛克科技有限公司 | 带自学习的工业控制***全景感知监测方法、装置和*** |
| CN111786822A (zh) * | 2020-06-17 | 2020-10-16 | 许昌许继软件技术有限公司 | 一种用于网关机的远程管理方法 |
| CN111698267B (zh) * | 2020-07-02 | 2022-07-26 | 厦门力含信息技术服务有限公司 | 一种工业控制***信息安全测试***及方法 |
| CN112187914A (zh) * | 2020-09-24 | 2021-01-05 | 上海思寒环保科技有限公司 | 一种远程控制机器人管理方法及*** |
| CN112543289A (zh) * | 2020-10-29 | 2021-03-23 | 中国农业银行股份有限公司福建省分行 | 用于生猪养殖的ai视频点数方法、装置、设备和介质 |
| CN112419130B (zh) * | 2020-11-17 | 2024-02-27 | 北京京航计算通讯研究所 | 基于网络安全监控和数据分析的应急响应***及方法 |
| CN112799358B (zh) * | 2020-12-30 | 2022-11-25 | 上海磐御网络科技有限公司 | 一种工业控制安全防御*** |
| CN113191917B (zh) * | 2021-03-09 | 2023-04-07 | 中国大唐集团科学技术研究院有限公司 | 一种基于径向基函数算法的电厂工控***网络安全威胁分类方法 |
| CN115001877B (zh) * | 2022-08-08 | 2022-12-09 | 北京宏数科技有限公司 | 一种基于大数据的信息安全运维管理***及方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106464577B (zh) * | 2014-06-18 | 2019-10-29 | 日本电信电话株式会社 | 网络***、控制装置、通信装置以及通信控制方法 |
| CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
| CN106627102A (zh) * | 2017-02-10 | 2017-05-10 | 中国第汽车股份有限公司 | 一种轮毂电机驱动装置 |
-
2017
- 2017-07-24 CN CN201710605143.9A patent/CN107493265B/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3933519A1 (en) * | 2020-06-26 | 2022-01-05 | Kabushiki Kaisha Yaskawa Denki | Production system, production method, and program |
| JP7147807B2 (ja) | 2020-06-26 | 2022-10-05 | 株式会社安川電機 | エンジニアリング装置、上位制御装置、エンジニアリング方法、処理実行方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107493265A (zh) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107493265B (zh) | 一种面向工业控制***的网络安全监控方法 | |
| CN106982235B (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及*** | |
| CN108931968B (zh) | 一种应用于工业控制***中的网络安全防护***及其防护方法 | |
| US9197652B2 (en) | Method for detecting anomalies in a control network | |
| WO2020087781A1 (zh) | 一种外接式终端防护设备及防护*** | |
| EP3151152B1 (en) | Non-intrusive software agent for monitoring and detection of cyber security events and cyber-attacks in an industrial control system | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全*** | |
| KR101880162B1 (ko) | 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법 | |
| CN108712425A (zh) | 一种面向工业控制***网络安全威胁事件的分析监管方法 | |
| CN106803037A (zh) | 一种软件安全防护方法及装置 | |
| CN111835680A (zh) | 一种工业自动制造的安全防护*** | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| CN115314286A (zh) | 一种安全保障*** | |
| CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
| CN114124450A (zh) | 一种蓄电池远程核容的网络安全***及方法 | |
| Zhang et al. | Investigating the impact of cyber attacks on power system reliability | |
| CN106534110B (zh) | 一种三位一体的变电站二次***安全防护体系架构*** | |
| CN111885020A (zh) | 一种分布式架构的网络攻击行为实时捕获与监控*** | |
| CN111898167A (zh) | 包括身份信息验证的外接式终端防护设备及防护*** | |
| CN111885179B (zh) | 一种基于文件监测服务的外接式终端防护设备及防护*** | |
| CN114398642A (zh) | 一种企业经济管理信息安全*** | |
| CN112565246A (zh) | 一种基于人工智能的网络防攻击***及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |