CN109167796B - 一种基于工业scada***的深度包检测平台 - Google Patents
一种基于工业scada***的深度包检测平台 Download PDFInfo
- Publication number
- CN109167796B CN109167796B CN201811163446.0A CN201811163446A CN109167796B CN 109167796 B CN109167796 B CN 109167796B CN 201811163446 A CN201811163446 A CN 201811163446A CN 109167796 B CN109167796 B CN 109167796B
- Authority
- CN
- China
- Prior art keywords
- field
- deep packet
- protocol
- field information
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于工业SCADA***的深度包检测平台,该检测平台能够针对电力***常用的Modbus/Tcp和IEC 60870‑5‑104协议环境对***状态进行检测。该检测平台包括四部分:工业SCADA***仿真平台、深度包解析模块、异常检测模块、入侵模块。该检测平台基于SCADA***中周期轮询的典型交互模式,模拟电力***中的正常网络数据流,并通过协议脆弱性分析和报文变异实现对***异常状态及相应网络数据流的全面模拟。对报文字段信息进行特征分析和提取,通过机器学习的方法构建***状态模型,实现对***状态完整、深入的检测。
Description
技术领域
本发明涉及工业控制***领域,尤其涉及一种对工业SCADA***通讯环境中的协议解析和异常检测,基于协议格式及脆弱性构建正/异常数据集,并通过机器学***台。
背景技术
工业控制***是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件,共同构成的确保工业技术设施自动化运行、过程控制和监控的业务流程管控***,其核心组件包括数据采集与监控***(SCADA)、分布式控制***(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)和确保各组件通信的接口技术,在我国石化、电力、楼宇、交通、医疗、冶金等各领域广泛应用。
随着信息技术的高速发展与工业化程度的不断推进,信息化与工业化紧密融合的智能化生产成为发展趋势,工业控制***的远程通讯需求逐步增强,基于***特点设计的各类工控协议也逐渐应用广泛,而针工业控制***,大部分协议设计时会更多地考虑协议通讯过程中对***可用性和通信实时性的影响,相对地忽略了协议通讯过程中数据的真实性和保密性,缺乏完整可靠的校验机制和加密手段,这就导致了入侵者在对目标***的通讯协议具备一定知识后能够通过修改或构建特定报文,实现与PLC的“正常”通讯,从而窃取信息或发送控制指令,对目标***进行针对性的破坏。近年来工控安全领域频繁出现APT(Advanced Persistent Threat,高级持续性威胁)攻击:10年Stuxnet蠕虫病毒入侵伊朗布什尔核电站,导致20%离心机报废,显著拖延了伊朗核电计划的实施;11年的Duqu木马、12年的Flame病毒、14年的Havex病毒窃取信息、破坏***;15年乌克兰电网遭受BlackEnergy病毒攻击,60座变电站被攻击,致使140万用户停电;这些事件显示在电力***中工控设备应用的广泛性及其重要性,因此针对电力***场景对其常用的工控协议进行协议解析和异常检测显得尤为重要。
电力***场景中常用的工控协议有Modbus/Tcp和IEC 60870-5-104,Modbus/Tcp为工业控制领域中应用最广泛的协议,除电力***外也大量应用于化工、水处理等领域,该协议采用以太网通用网络部件,借助信息行业的TCP/IP协议,为用户提供了一种开放、灵活和标准的通讯技术;电力***调度自动化协议IEC 60870-5-104采用平衡式传输,较好地解决了电力自动化***中主站与远动子站间传输延时的问题,具有很好的可靠性、稳定性和传输效率。针对这些工控协议及其应用场景,SCADA***的网络通信架构一般具有三层结构,从低到高分别为现场控制层、过程监控层和企业管理层,网络信息主要集中于现场控制层及过程监控层,而过程监控层多为PC机,数据库易受入侵者篡改,因此许多相关研究会通过分析网络数据流来获取***真实状态,由于SCADA***的特殊性,通讯过程中通常存在周期轮询的交互模式,分析网络数据流也可以较好地建立***的正常状态模型。
目前,根据对网络数据流的解析程度,解析信息的利用方式及检测算法不同,深度包检测方法主要可以分为以下三类,分别为基于单包格式的黑/白名单规则,基于周期轮询模式的流量模型和基于变量语义的预测模型。
1)基于单包格式的黑/白名单规则
此类深度包检测方法多采用Snort检测规则模板,基于特定协议的格式及应用层字段特点分析***正常状态下的网络数据流,并根据协议相关知识部署黑/白名单,对网络数据流每条记录进行规则匹配,对符合黑名单规则或不符合白名单规则的报文进行异常标记、警报。这类检测方法往往针对性强,应用环境单一,普适性较差。
2)基于周期轮询模式的流量模型
此类深度包检测方法基于SCADA***的典型交互模式,对网络数据流进行解析,提取其中的功能码、指令信息等,形成相应的功能码序列、“事件序列”,通过学习算法建立离散时间马尔可夫链(DTMC)图及有限状态自动机(DFA)等模型。这类检测方法主要关注网络数据流中包含的操作和指令信息,基于网络数据流中少量常用字段建立模型,对应用层信息利用程度有限,难以应对特定协议环境下针对性极强的APT攻击。
3)基于变量语义的预测模型
此类深度包检测方法基于网络数据流中包含的工控***中被控对象的变量信息分析***状态,以寄存器地址和寄存器值为主,分析同节点下通讯过程传输的变量值,提取对象过程中的语义信息,并建立预测模型来反映和检测***的被控过程状态信息。这类检测方法涉及的字段信息单一,应用环境较为单一,只可检测被控对象的语义变化,无法获取PLC的功能和状态信息,而当被控过程状态信息发生改变时,入侵者大多已实现攻击目标,检测延时较长。
针对工业控制领域的深度包检测方法实现,关键点在于网络数据流的特征分析、提取及***异常状态数据集的构建。目前大多数研究工作采用的深度包检测方法对应用的目标场景、协议环境有较高的要求,对网络数据流进行少量常用字段的解析或直接采用现有的字段信息作为数据集,将这些字段信息直接作为网络数据流的特征建立***状态模型,对网络数据流中包含的信息缺乏完整的特征分析和提取,只在异常行为涉及到利用的常用字段时能有较为理想的效果。此外,已有的研究工作大多通过几种已知的常见攻击对***状态进行修改、破坏,构建相应数据集,几乎没有工作可以很好地模拟现场场景中可能出现的各类异常状态,检测效果具有一定的局限性。本发明中采用的深度包检测基于原始报文载荷进行解析、特征分析与提取,实现对网络数据流信息的完整、深入解析与利用,并通过分析协议本身的脆弱性,基于协议格式构建变异报文,实现通过“正常”网络数据流对***状态进行修改和破坏,从而实现较为全面地模拟***中可能出现的各类异常状态的目标。在实现方式上对深度包检测和异常状态模拟的功能进行了封装,便于不同场景下的修改和拓展实现。
发明内容
本发明的目的在于针对现有技术的不足,提供一种完整、深入的异常状态模拟及深度包检测平台,实现通过网络数据流对工业SCADA***状态的准确检测。
本发明的目的是通过以下技术方案来实现的:一种基于工业SCADA***的深度包检测平台,包括:工业SCADA***仿真平台、深度包解析模块、异常检测模块、入侵模块;
工业SCADA***仿真平台用于模拟电力***中过程监控层与现场控制层的网络架构及交互模式,能够实现Modbus/Tcp和IEC 60870-5-104协议的完整协议栈功能,在无人干预的情况下两层设备保持周期轮询的交互状态,生成***正常状态下网络数据流,并为深度包解析模块和入侵模块分别提供数据来源和攻击场景;
深度包解析模块抓取原始的二进制报文并进行解码,完整获取网络数据流中的***状态信息,结合协议格式为报文字段添加属性标签,为异常检测模块完成报文的分析,提供基本字段信息;
异常检测模块实现对基本字段信息的特征分析和提取,通过基本字段信息建立属性集并能够在已知协议格式的基础上对字段信息进行补全、分类,形成完整字段信息,基于各字段信息包含的对象语义分别提取相应的统计、行为及时间特征,并添加能够反映对象语义的特征,最终建立***状态模型;
入侵模块基于协议脆弱性的分析设计攻击方式,构建变异报文对***状态进行修改、破坏,实现对***异常状态全面的模拟。
进一步地,所述工业SCADA***仿真平台采用工控***中广泛使用的组态软件模拟过程监控层设备,采用PLC蜜罐模拟现场控制层设备,并通过Matlab中的simulink模块仿真目标电力***,同时利用OPC Toolbox与PLC进行交互。
进一步地,所述工业SCADA***仿真平台采用的协议环境为Modbus/Tcp和IEC60870-5-104,支持协议中定义的各类型通讯,已通过docker封装,提供相应配置修改接口,便于部署和移动。
进一步地,所述深度包解析模块对抓取的网络数据流采用离线解析的方式,对报文每个bit位信息进行分析,实现完整字段信息的获取。
进一步地,所述异常检测模块基于深度包解析模块所得字段信息,统计通讯过程中存在的字段属性,建立属性集,根据属性集对各记录字段信息进行补全,实现将缺失字段特征的提取。
进一步地,所述异常检测模块基于电力***环境下协议格式的特点对协议格式进行分析,采用通讯功能字段、控制功能字段及过程变量字段对属性集中字段进行分类,并对不同的字段采用不同的利用方式对***状态特征进行提取。
进一步地,所述异常检测模块对通讯功能字段(以寄存器地址、信息对象地址、功能码等非数值类型字段为主)提取窗口时间内的统计特征(频次、连接数等)。
进一步地,所述异常检测模块对控制功能字段(以端口信息、APDU长度等无前后时序相关关系的数值类型字段为主)提取窗口时间内的行为特征(均值、方差等)。
进一步地,所述异常检测模块对过程变量字段(以寄存器值等存在前后时序相关关系的数值类型字段为主)提取窗口时间内的时间特征(预测残差等)。
进一步地,所述异常检测模块对各字段分别提取特征后通过机器学习的方法建立***正/异常状态模型。
进一步地,所述入侵模块采用完整协议栈的应答机制,通过报文字段变异构建攻击报文,实现绕过协议本身校验机制对目标***状态进行修改、破坏。
进一步地,所述入侵模块基于协议格式和协议本身校验机制分析协议脆弱性,获取在满足协议双方正常通讯需求下可进行修改的协议字段及相应可修改的范围,从而对通讯过程中可能导致的***异常状态进行全面的模拟,构建完整、可靠的异常状态数据集。
本发明的有益效果是:
1、本平台基于网络数据流进行离线分析、检测,信息的完整性、真实性较好,无需搭建***平台提供数据来源,便于研究工作的开展和检测方法测试部署,具有很好的灵活性和可实现性。
2、本平台提供深度包解析模块,对网络数据流进行完整、深入的解码,并转化为直观的字段信息,便于观察***运行过程中的状态信息及其他相关研究的进行。
3、本平台采用的异常检测模块基于工控协议的典型特点设计框架,对不同场景、不同协议的工控***均具备很好的适用性。
4、本平台中的异常检测模块功能采用多个子模块分步实现,对各部分进行封装,并将结果输出显示,测试方便,同时便于优化、扩展。
5、本平台提供异常检测功能中实现属性集构建和字段信息补全功能的子模块,可直观体现***通讯过程中的交互模式,并为不同的建模方法和检测算法提供相同维度数据的接口。
6、本平台对不同特点的字段类型采用不同的特征提取方法,添加了异常检测过程中利用的信息维度和深度,同时可以简单地体现出通讯过程在***受到各种攻击时的变化。
7、本平台提供入侵模块,对协议通讯过程进行了封装,提供字段变异的配置接口,便于实现定向或随机变异报文的构建与发送,生成测试用例和正/异常数据集。
附图说明
图1是本发明中工业SCADA***环境及各模块的网络架构图。
图2是本发明基于网络数据流的深度包解析及异常检测方法的具体实现方式流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明提供的工业SCADA***的深度包检测平台主要针对电力***场景,***环境常用协议包括Modbus/Tcp和IEC 60870-5-104协议。检测平台由四个部分构成:工业SCADA***仿真平台、深度包解析模块、异常检测模块、入侵模块。该检测平台通过模拟工业SCADA***中过程监控层和现场控制层的典型交互模式实现现场环境中的关键通讯过程。检测的主要过程为深度包解析模块通过两层间部署的交换机抓取网络数据流,并基于网络数据流的深度包解析获取通讯过程中完整、真实的***状态信息,异常检测模块对解析所得的字段信息进行特征分析与提取,并通过机器学***台对不同异常场景下的普适性。其整体网络架构如附图1所示。
工业SCADA***仿真平台:通过Matlab的simulink模块搭建和模拟电力***被控对象,并利用simulink中的OPC Toolbox与PLC进行实时交互,向PLC传递电力***的过程变量信息,并响应来自PLC的控制指令,提供***中被控对象的过程变量信息。PLC和SCADA服务器分别实现电力***中现场控制层和过程监控层功能,具体通过docker封装的PLC蜜罐和部署有工控***组态软件的上位机进行搭建,其中PLC、RTU基于docker环境部署,通过conpot和FreyrSCADA程序实现Modbus/Tcp和IEC 60870-5-104PLC蜜罐在建立通讯过程中对相应协议的基础请求和响应功能,并对每个PLC蜜罐进行docker容器封装,模拟电力***中的各个节点功能,针对每个节点的PLC蜜罐,根据协议标准和***需求配置其通讯功能、寄存器或信息对象个数及类型、IP地址、公共地址、信息对象地址以及相应寄存器或信息对象的数据,实现协议在现场环境中对具体目标的报文检验和响应功能,实现完整的协议栈功能和***网络架构,在无人干预的情况下两层设备保持周期轮询的交互状态,生成***正常状态下网络数据流,其中包含两层设备的功能、控制信息及过程变量信息。
深度包解析模块:通过过程监控层与现场控制层间交换机抓取通讯过程中的网络数据流,对其进行离线解析,采用Python程序分层解析报文字段信息,基于OSI七层模型,解析应用层以外的IP、端口等关键信息,对应用层报文按照每个bit位进行完整的分析,实现对通讯过程中传输的功能、控制信息及过程变量信息完整、深入的解析,并根据协议格式为各报文字段添加属性标签,建立基本字段信息数据集。
异常检测模块:由数据预处理和模型建立子模块组成,数据预处理模块对基本字段信息进行补全,具体实现为统计通讯过程中存在的字段属性,建立属性集,根据协议格式对其中各属性添加默认值,并对各报文中未出现的属性按照默认值进行补全,作为缺失字段特征,获取包含完整属性的字段信息。基于网络数据流的协议格式对字段信息进行分析,通过各字段信息与SCADA***中通讯功能、控制功能及过程变量信息的相关关系和字段数据类型对字段信息进行分类,将反映***设备当前功能的非数值字段信息划分为通讯功能字段,反映***设备控制指令及响应行为的数值字段信息划分为控制功能字段,反映***被控对象过程变量值的字段信息划分为过程变量字段。基于各类字段信息,分析其特征,通讯功能字段通常为字符串信息,具有一定的统计特征,控制功能字段通常为无前后时序相关关系的数值类型字段,具有一定的行为特征,过程变量字段通常为存在前后时序相关关系的数值类型字段,具有一定的时间特征。据此对各类型字段采用不同的特征提取方法,添加频次、连接数、均值、方差、预测残差等特征字段,模型建立子模块通过朴素贝叶斯算法构建***状态模型,实现对***状态完整、深入的检测。其具体实现流程如附图2所示。
入侵模块:攻击基于开源安全漏洞检测工具metasploit,通过.rb文件实现Modbus/Tcp和IEC 60870-5-104协议的完整协议栈应答机制,可模拟SCADA服务器建立与PLC之间的通讯,向目标PLC发送指令、请求信息,并自动完成后续交互的响应。通过协议格式和协议本身校验机制分析协议脆弱性,获取在满足协议双方正常通讯需求下可进行修改的协议字段及相应可修改的范围,设计攻击方式和配置接口,具体为originator address、common adsu address、value(determined)、value(indetermined)、QOS(IV、NT)等可变异字段接口,通过配置报文字段实现定向或随机变异报文的构建与发送,对***状态进行修改、破坏,从而达到全面模拟***异常状态的功能。
本发明基于工业SCADA***的深度包检测平台的检测过程为:工业SCADA***仿真平台模拟电力***场景通讯过程,产生包含过程监控层、现场控制层功能、控制信息及被控对象过程变量信息的正常网络数据流,入侵模块发送变异报文修改、破坏***状态,深度包解析模块解析网络数据流获得基本字段信息,异常检测模块对基本字段信息进行特征分析、提取,并通过机器学习方法构建***状态模型。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。
Claims (10)
1.一种基于工业SCADA***的深度包检测平台,其特征在于:包括模拟电力***的工业SCADA***仿真平台、深度包解析模块、异常检测模块和入侵模块;
工业SCADA***仿真平台用于模拟电力***过程监控层与现场控制层间的典型交互模式,能够实现Modbus/Tcp和IEC 60870-5-104的完整协议栈功能,接收和响应入侵模块的攻击报文,生成网络数据流;
深度包解析模块抓取网络数据流进行离线解析,对网络数据流进行分层解析,完整获取应用层的基本字段信息;
异常检测模块基于所有报文的基本字段信息构建属性集,通过属性集补全单个报文的属性形成完整字段信息,并根据各个字段信息的语义对各字段信息进行分类,对不同类型字段分别进行特征分析和提取,添加特征字段,实现对网络数据流中对象语义信息的深入解析,并通过机器学习方法建立***状态模型;
入侵模块基于协议脆弱性设计攻击方式,发送攻击报文修改、破坏***状态,实现***异常状态的模拟。
2.根据权利要求1所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述工业SCADA***仿真平台通过Matlab中simulink模拟电力***,同时通过组态软件与多PLC、RTU的周期轮询模拟现场环境Modbus/Tcp和IEC 60870-5-104协议的通讯过程,其中PLC、RTU基于docker环境部署,通过conpot和FreyrSCADA程序实现Modbus/Tcp和IEC60870-5-104PLC蜜罐在建立通讯过程中对相应协议的基础请求和响应功能,并对每个PLC蜜罐进行docker容器封装,模拟电力***中的各个节点功能,针对每个节点的PLC蜜罐,通过具体对象参数配置,实现协议在现场环境中对具体目标的报文检验和响应功能,实现完整的协议栈功能和***网络架构,从而对电力***协议场景、交互模式、网络规模进行模拟。
3.根据权利要求1所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述深度包解析模块对报文应用层基本字段信息进行bit位的完整解析,并添加属性标签。
4.根据权利要求1所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述异常检测模块基于解析结果基本字段信息构建相应协议属性集,并以此补全形成完整字段,实现对缺失特征的利用。
5.根据权利要求1所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述异常检测模块基于网络数据流的协议格式对字段信息进行分析,通过各字段信息与SCADA***中通讯功能、控制功能及过程变量信息的相关关系和字段数据类型对字段信息进行分类,将反映***设备当前功能的非数值字段信息划分为通讯功能字段,反映***设备控制指令及响应行为的数值字段信息划分为控制功能字段,反映***被控对象过程变量值的字段信息划分为过程变量字段。
6.根据权利要求5所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述异常检测模块根据通讯功能字段的语义特点,分析提取其统计特征。
7.根据权利要求5所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述异常检测模块根据控制功能字段的语义特点,分析提取其行为特征。
8.根据权利要求5所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述异常检测模块根据过程变量字段的语义特点,分析提取其时间特征。
9.根据权利要求1所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述异常检测模块结合提取特征字段和补全后的完整字段信息并通过朴素贝叶斯算法构建***状态模型。
10.根据权利要求1所述的一种基于工业SCADA***的深度包检测平台,其特征在于,所述入侵模块完整分析协议的脆弱性,获取function code、originator address、commonadsu address、determined value、indetermined value、QOS字段对***的影响,并在满足协议约束的条件下,随机变异以上字段构建并发送报文,对***异常状态进行全面的模拟。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811163446.0A CN109167796B (zh) | 2018-09-30 | 2018-09-30 | 一种基于工业scada***的深度包检测平台 |
PCT/CN2019/101244 WO2020063188A1 (zh) | 2018-09-30 | 2019-08-18 | 一种基于工业scada***的深度包检测平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811163446.0A CN109167796B (zh) | 2018-09-30 | 2018-09-30 | 一种基于工业scada***的深度包检测平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109167796A CN109167796A (zh) | 2019-01-08 |
CN109167796B true CN109167796B (zh) | 2020-05-19 |
Family
ID=64877278
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811163446.0A Active CN109167796B (zh) | 2018-09-30 | 2018-09-30 | 一种基于工业scada***的深度包检测平台 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109167796B (zh) |
WO (1) | WO2020063188A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US12034742B2 (en) | 2021-06-23 | 2024-07-09 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109167796B (zh) * | 2018-09-30 | 2020-05-19 | 浙江大学 | 一种基于工业scada***的深度包检测平台 |
CN109818950B (zh) * | 2019-01-18 | 2022-04-22 | 北京和利时***工程有限公司 | 一种访问控制规则优化方法及装置、计算机可读存储介质 |
CN112019478A (zh) * | 2019-05-29 | 2020-12-01 | 中车株洲电力机车研究所有限公司 | 基于trdp协议列车网络的安全防护方法、装置及*** |
CN118124505A (zh) | 2019-09-12 | 2024-06-04 | 华为技术有限公司 | 实现汽车中电子控制功能的***、方法以及汽车 |
CN110752966B (zh) * | 2019-10-08 | 2023-06-30 | 南京南瑞继保电气有限公司 | 网络协议安全测试方法及装置、电子设备及存储介质 |
CN111314278A (zh) * | 2019-11-22 | 2020-06-19 | 南京聚铭网络科技有限公司 | 一种基于Ethernet IP工控协议的安全检测方法 |
CN111338297B (zh) * | 2019-12-31 | 2022-04-12 | 南京联成科技发展股份有限公司 | 一种基于工业云的工控安全框架*** |
WO2021173961A1 (en) * | 2020-02-28 | 2021-09-02 | Nanotronics Imaging, Inc. | Method, systems and apparatus for intelligently emulating factory control systems and simulating response data |
CN113595957B (zh) * | 2020-04-30 | 2022-11-08 | 华为技术有限公司 | 一种网络防御方法及安全检测设备 |
CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测***与方法 |
CN111817917B (zh) * | 2020-07-03 | 2021-12-24 | 中移(杭州)信息技术有限公司 | 一种深度包检测的方法、装置、服务器及存储介质 |
CN111669411B (zh) * | 2020-07-28 | 2021-11-19 | 国网电子商务有限公司 | 一种工控设备异常检测方法及*** |
CN112084152A (zh) * | 2020-09-17 | 2020-12-15 | 中电科仪器仪表有限公司 | 一种电子测量仪器全生命周期管理*** |
CN112260885B (zh) * | 2020-09-22 | 2022-06-24 | 武汉思普崚技术有限公司 | 一种工控协议自动测试方法、***、装置及可读存储介质 |
CN112187585B (zh) * | 2020-09-30 | 2023-10-27 | 腾讯科技(深圳)有限公司 | 网络协议测试方法及装置 |
CN112272123B (zh) * | 2020-10-16 | 2022-04-15 | 北京锐安科技有限公司 | 网络流量分析方法、***、装置、电子设备和存储介质 |
CN112910898A (zh) * | 2021-02-03 | 2021-06-04 | 北京顶象技术有限公司 | Scada网络数据的检测方法、***及电子设备 |
CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
CN113119124B (zh) * | 2021-04-13 | 2022-06-14 | 北京航空航天大学 | 一种机器人控制***的安全防护*** |
CN113132392B (zh) * | 2021-04-22 | 2022-05-06 | 苏州联电能源发展有限公司 | 工控网络流量异常检测方法、装置及*** |
CN113194010A (zh) * | 2021-04-28 | 2021-07-30 | 浙江大学 | 一种非公开工业通信协议的字段语义分析方法 |
CN114124478B (zh) * | 2021-11-08 | 2023-05-09 | 湖南大学 | 电力***工控流量异常检测方法及*** |
CN114697081B (zh) * | 2022-02-28 | 2024-05-07 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和*** |
CN115996133B (zh) * | 2022-06-27 | 2024-04-09 | 西安电子科技大学 | 一种工业控制网络行为检测方法以及相关装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及*** |
WO2017090045A1 (en) * | 2015-11-26 | 2017-06-01 | Rafael Advanced Defense Systems Ltd. | System and method for detecting a cyber-attack at scada/ics managed plants |
CN108319161A (zh) * | 2018-02-05 | 2018-07-24 | 浙江大学 | 一种工业scada***仿真平台 |
CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制***主流协议实现与监测解析平台 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302535A (zh) * | 2016-09-30 | 2017-01-04 | 中国南方电网有限责任公司电网技术研究中心 | 电力***的攻击仿真方法、装置及攻击仿真设备 |
EP3523929A4 (en) * | 2016-10-07 | 2020-09-30 | Schneider Electric Systems USA, Inc. | SYSTEMS AND METHODS FOR COMMUNICATION AND / OR CONTROL OF EXTENDABLE MODULAR NETWORK NODES |
US10699003B2 (en) * | 2017-01-23 | 2020-06-30 | Hysolate Ltd. | Virtual air-gapped endpoint, and methods thereof |
CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及*** |
CN109167796B (zh) * | 2018-09-30 | 2020-05-19 | 浙江大学 | 一种基于工业scada***的深度包检测平台 |
-
2018
- 2018-09-30 CN CN201811163446.0A patent/CN109167796B/zh active Active
-
2019
- 2019-08-18 WO PCT/CN2019/101244 patent/WO2020063188A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546638A (zh) * | 2012-01-12 | 2012-07-04 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及*** |
WO2017090045A1 (en) * | 2015-11-26 | 2017-06-01 | Rafael Advanced Defense Systems Ltd. | System and method for detecting a cyber-attack at scada/ics managed plants |
CN108319161A (zh) * | 2018-02-05 | 2018-07-24 | 浙江大学 | 一种工业scada***仿真平台 |
CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制***主流协议实现与监测解析平台 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US12034742B2 (en) | 2021-06-23 | 2024-07-09 | Nanotronics Imaging, Inc. | Dynamic monitoring and securing of factory processes, equipment and automated systems |
US12032365B2 (en) | 2023-07-24 | 2024-07-09 | Nanotronics Imaging, Inc. | Predictive process control for a manufacturing process |
Also Published As
Publication number | Publication date |
---|---|
CN109167796A (zh) | 2019-01-08 |
WO2020063188A1 (zh) | 2020-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109167796B (zh) | 一种基于工业scada***的深度包检测平台 | |
Fovino et al. | Modbus/DNP3 state-based intrusion detection system | |
CN111262722B (zh) | 一种用于工业控制***网络的安全监测方法 | |
CN109861988A (zh) | 一种基于集成学习的工业控制***入侵检测方法 | |
Lin et al. | Cyber attack and defense on industry control systems | |
CN108319161A (zh) | 一种工业scada***仿真平台 | |
Al-Hawawreh et al. | Developing a security testbed for industrial internet of things | |
Faisal et al. | Modeling Modbus TCP for intrusion detection | |
CN111709034A (zh) | 基于机器学习的工控环境智能安全检测***与方法 | |
CN112149120A (zh) | 一种透传式双通道电力物联网安全检测*** | |
Rajesh et al. | Detection and blocking of replay, false command, and false access injection commands in scada systems with modbus protocol | |
CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及*** | |
Al Ghazo et al. | ICS/SCADA device recognition: A hybrid communication-patterns and passive-fingerprinting approach | |
Kim et al. | Unknown payload anomaly detection based on format and field semantics inference in cyber-physical infrastructure systems | |
Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
CN113259367B (zh) | 工控网络流量多级异常检测方法及装置 | |
CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
Chang et al. | The Modbus protocol vulnerability test in industrial control systems | |
Deng et al. | Intrusion detection method based on support vector machine access of modbus TCP protocol | |
Khan et al. | Lightweight testbed for cybersecurity experiments in scada-based systems | |
Siddavatam et al. | Testing and validation of Modbus/TCP protocol for secure SCADA communication in CPS using formal methods | |
CN115333915B (zh) | 一种面向异构主机的网络管控*** | |
Tu et al. | A vulnerability mining system based on fuzzing for IEC 61850 protocol | |
Xu et al. | Identification of ICS Security Risks toward the Analysis of Packet Interaction Characteristics Using State Sequence Matching Based on SF‐FSM | |
CN114745152A (zh) | 基于iec61850 goose报文运行态势模型的入侵检测方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |