CN110495138B - 工业控制***及其网络安全的监视方法 - Google Patents

工业控制***及其网络安全的监视方法 Download PDF

Info

Publication number
CN110495138B
CN110495138B CN201780089499.XA CN201780089499A CN110495138B CN 110495138 B CN110495138 B CN 110495138B CN 201780089499 A CN201780089499 A CN 201780089499A CN 110495138 B CN110495138 B CN 110495138B
Authority
CN
China
Prior art keywords
control system
industrial control
data
industrial
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780089499.XA
Other languages
English (en)
Other versions
CN110495138A (zh
Inventor
唐文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN110495138A publication Critical patent/CN110495138A/zh
Application granted granted Critical
Publication of CN110495138B publication Critical patent/CN110495138B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/027Alarm generation, e.g. communication protocol; Forms of alarm
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0681Configuration of triggering conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及工业网络与信息安全技术领域,尤其涉及一种工业控制***及其网络安全的监视方法,用于对一个工业控制***的网络安全进行有效监视。该方法中,选择与工业控制***相关的至少一个第一数据源并从中获取第一数据;统计第一数据随时间变化的特征作为工业控制***的行为模型;从至少一个第一数据源中的部分或全部中获取第二数据;判断第二数据是否具备行为模型所描述的特征,若具备特征,则确定工业控制***具有正常行为,若不具备特征,则确定工业控制***具有异常行为。考虑到了工业控制***行为的确定性,统计得到***行为模型。基于该相对确定的行为模型进行***异常行为的判断,得到的判断结果比较准确。

Description

工业控制***及其网络安全的监视方法
技术领域
本发明涉及工业网络与信息安全技术领域,尤其涉及一种工业控制***及其网络安全的监视方法。
背景技术
工业控制***(Industrial Control System,ICS)用于实现工业过程的自动控制。一个工业控制***可以是一个风力发电***、一个汽车制造车间、一个制药厂、一个城市的污水处理***等。
传统的工业控制***是封闭的,外部攻击很难对工业控制***中的工业控制器等关键设备造成安全威胁,因此传统的工业控制***对于网络安全的要求并不高。现代的工业控制***大量采用了网络技术与商用组件,可以与包括互联网在内的其他网络连接,来自外部的网络攻击可能会篡改工业控制器的控制流程,造成工业设备的损坏,严重影响工业控制***的正常运行。因此,如何避免来自外部的网络攻击就变得尤为重要。
为了有效抵御来自外部的网络攻击,保障关键的工业控制***及其控制过程,一个可行的方法即首先对工业控制***的网络安全进行监视,识别出可能的网络攻击。
发明内容
本发明实施例提供一种工业控制***及其网络安全的监视方法,用于对一个工业控制***的网络安全进行有效监视。
第一方面,提供用于监视一个工业控制***的网络安全的方法。
所述方法包括:选择与所述工业控制***相关的至少一个第一数据源,所述至少一个第一数据源用于衡量所述工业控制***是否符合网络安全要求;从所述至少一个第一数据源处获取第一数据;统计所述第一数据随时间变化的特征作为所述工业控制***的行为模型;从所述至少一个第一数据源中的部分或全部数据源处获取第二数据;判断所述第二数据是否具备所述行为模型所描述的特征,若具备特征,则确定所述第二数据所代表的所述工业控制***的行为是正常行为,若不具备特征,则确定所述行为是异常行为。
其中,考虑到了工业控制***行为的确定性,并基于这种行为的确定性,统计得到工业控制***的行为模型,则该行为模型也具有一定的确定性。基于该相对确定的行为模型进行***异常行为的判断,得到的判断结果比较准确。并且,本发明实施例中,通过合理选择与所述工业控制***相关的数据源,并从选择的数据源处获取数据,根据获取到的数据确定工业控制***的行为模型。再基于确定的数据模型判断工业控制***是否存在异常行为。可实现对工业控制***的网络安全的有效监视。
首先,在选择数据源时,选择能够衡量该工业控制***是否符合网络安全要求的数据源,使得后续在进行***异常行为判断时所依据的数据更能够针对网络安全的需求,判断结果更准确。其次,在该工业控制***未受到网络攻击时,从选择的数据源处获取数据,然后,统计获取到的数据随时间变化的特征作为该工业控制***的行为模型,这样,能够准确获知***的正常行为特征,从而在后续进行特征比对时得到的***异常行为判断的结果更准确。
可选地,该方法中,可根据如下因素中的至少一项,选择与所述工业控制***相关的至少一个第一数据源:所述工业控制***的客户所定义的所述工业控制***的至少一项运行指标;所述工业控制***的客户所定义的所述工业控制***的至少一项网络安全策略;所述工业控制***的正常运行过程;所述工业控制***的至少一个组成部分的配置信息;所述工业控制***可能受到的网络攻击。
这里,给出了数据源的多种来源。
可选地,所述至少一个第一数据源包括:所述工业控制***中的至少一个工业主机的日志,和/或从所述工业控制***中的至少一个关键网络位置处抓取的网络流量,和/或所述工业控制***中的至少一个安全防护设备的安全日志,和/或所述工业控制***中的至少一个网络交换与路由设备的网络日志。
其中,若所述至少一个第一数据源包括:所述工业控制***中的至少一个工业主机的日志,则可采用如下方式从所述至少一个第一数据源处获取第一数据:对于所述至少一个工业主机中的每一个,从该工业主机的日志中获取下列数据中的至少一项作为该工业主机的所述第一数据:该工业主机运行时的硬件性能数据;该工业主机运行时的文件输入输出信息;该工业主机上运行的工业应用程序的处理流程;该工业主机上运行的工业应用程序所访问的所述工业控制***中的资源。
其中,若所述至少一个第一数据源包括:从所述工业控制***中的至少一个关键网络位置处抓取的网络流量,则可采用如下方式从所述至少一个第一数据源处获取第一数据:对于所述至少一个关键网络位置中的每一处,确定所述网络流量的下列至少一项信息作为该关键网络位置处的所述第一数据:所述网络流量中数据分组的源地址;所述网络流量中数据分组的目的地址;所述网络流量所使用的工业控制通信协议的功能码;所述网络流量中的应用层数据。
对于该情形,可选地,所述行为模型可用于描述所述工业控制***内通信的下列至少一项特征:所述工业控制***内的工业主机与工业控制器之间的通信流程;所述工业控制***内工业应用程序执行的功能;所述工业控制***内工业设备及其监控的过程变量的状态。
其中,若所述至少一个第一数据源包括:所述工业控制***中的至少一个工业主机的日志,则可采用如下方式从所述至少一个第一数据源处获取第一数据:从所述至少一个工业主机处获取至少一项下列信息,作为所述第一数据:用户通过所述至少一个工业主机登入和/或登出所述工业控制***的信息;用户在所述至少一个工业主机上执行的对所述工业控制***的控制命令;用户通过所述至少一个工业主机访问的所述工业控制***中的数据。
对于该情形,所述行为模型用于描述所述工业控制***的用户行为的下列至少一项特征:工作时间;正常操作;数据获取模式。
以上,给出了多种数据源的不同实现方式,并且提供了针对不同的数据源获取数据的具体实现方式。
其中,针对不同的数据源,建立不同的行为模型,建立的行为模型能够体现出工业控制***的行为特征,这样,就使得在根据实时采集的数据判断行为是否异常时,判断的结果更准确。
可选地,在确定所述第二数据所代表的所述工业控制***的行为是异常行为之后,还可确定所述第二数据所代表的所述工业控制***的行为所对应的告警的级别;若确定的级别高于预设的最低告警优先级别,则触发告警上报,否则不触发告警上报。
对于该可选方案,一种可能的实现方式为按照优先级由高到低的顺序,告警的级别依次包括下列第一级别至第五级别中的至少两个级别。其中,所述第一级别的告警包括与所述工业控制***中的工业控制器相关的告警;所述第二级别的告警包括与所述工业控制***内的工业控制网络中的告警;所述第三级别的告警包括与所述工业控制***中的工业主机相关的告警;所述第四级别的告警包括与一个非军事化区中的后端防火墙、服务器和/或应用相关的告警,所述非军事化区用于分隔所述工业控制***与所述工业控制***的一个企业网络;所述第五级别的告警包括与所述非军事化区中的前端防火墙相关的告警。
这样,可以预先设置告警上报的策略,选择性地上报告警,使得告警上报实现方式更灵活,并且能够有效避免过多的告警上报。
可选地,在确定所述第二数据所代表的所述工业控制***的行为是异常行为之后,还可判断所述第二数据所代表的所述工业控制***的行为是否为网络攻击,若是,则根据所述第二数据所代表的所述工业控制***的行为所针对的对象定位攻击源。
这样,可有效定位网络攻击的攻击源。
可选地,在确定所述第二数据所代表的所述工业控制***的行为是异常行为之后,还可判断所述第二数据所代表的所述工业控制***的行为是否为网络攻击;若是,则确定所述第二数据所代表的所述工业控制***的行为所处的网络攻击阶段,其中,不同的网络攻击阶段对所述工业控制***的威胁程度不同。
这样,可明确确定网络攻击阶段,便于后续针对不同的网络攻击阶段采取相应的安全措施。
第二方面,提供一种工业控制***中的告警方法。
该方法可包括:确定所述工业控制***中产生的一项告警的级别;若所述告警的级别高于预设的最低告警优先级别,则触发告警上报,否则不触发告警上报;
其中,按照优先级由高到低的顺序,所述告警的级别依次包括下列级别中的至少两个:第一级别,其中所述第一级别的告警包括与所述工业控制***中的工业控制器相关的告警;第二级别,其中所述第二级别的告警包括与所述工业控制***内的工业控制网络中的告警;第三级别,其中所述第三级别的告警包括与所述工业控制***中的工业主机相关的告警;第四级别,其中所述第四级别的告警包括与一个非军事化区中的后端防火墙、服务器和/或应用相关的告警,所述非军事化区用于分隔所述工业控制***与所述工业控制***的一个企业网络;第五级别,其中所述第五级别的告警包括与所述非军事化区中的前端防火墙相关的告警。
这样,可以预先设置告警上报的策略,选择性地上报告警,使得告警上报实现方式更灵活,并且能够有效避免过多的告警上报。
第三方面,提供一个工业控制***的一个网络安全监视***。该网络安全监视***可用于实现第一方面或第一方面的任一种可能的实现方式提供的方法。该***可包括:
一个数据源选择模块,用于选择与所述工业控制***相关的至少一个第一数据源,所述至少一个第一数据源用于衡量所述工业控制***是否符合网络安全要求;
一个数据获取模块,用于从所述至少一个第一数据源处获取第一数据;
一个模型生成模块,用于统计所述第一数据随时间变化的特征作为所述工业控制***的行为模型;
所述数据获取模块,还用于从所述至少一个第一数据源中的部分或全部数据源处获取第二数据;
一个异常行为判断模块,用于判断所述第二数据是否具备所述行为模型所描述的特征,若具备特征,则确定所述第二数据所代表的所述工业控制***的行为是正常行为,若不具备特征,则确定所述行为是异常行为。
其中,考虑到了工业控制***行为的确定性,并基于这种行为的确定性,统计得到工业控制***的行为模型,则该行为模型也具有一定的确定性。基于该相对确定的行为模型进行***异常行为的判断,得到的判断结果比较准确。并且,本发明实施例中,通过合理选择与所述工业控制***相关的数据源,并从选择的数据源处获取数据,根据获取到的数据确定工业控制***的行为模型。再基于确定的数据模型判断工业控制***是否存在异常行为。可实现对工业控制***的网络安全的有效监视。
首先,在选择数据源时,选择能够衡量该工业控制***是否符合网络安全要求的数据源,使得后续在进行***异常行为判断时所依据的数据更能够针对网络安全的需求,判断结果更准确。其次,在该工业控制***未受到网络攻击时,从选择的数据源处获取数据,然后,统计获取到的数据随时间变化的特征作为该工业控制***的行为模型,这样,能够准确获知***的正常行为特征,从而在后续进行特征比对时得到的***异常行为判断的结果更准确。
可选地,所述数据源选择模块,具体用于根据如下因素中的至少一项,选择与所述工业控制***相关的至少一个第一数据源:所述工业控制***的客户所定义的所述工业控制***的至少一项运行指标;所述工业控制***的客户所定义的所述工业控制***的至少一项网络安全策略;所述工业控制***的正常运行过程;所述工业控制***的至少一个组成部分的配置信息;所述工业控制***可能受到的网络攻击。
这里,给出了数据源的多种来源。
可选地,所述数据源选择模块选择的所述至少一个第一数据源包括:所述工业控制***中的至少一个工业主机的日志,和/或从所述工业控制***中的至少一个关键网络位置处抓取的网络流量,和/或所述工业控制***中的至少一个安全防护设备的安全日志,和/或所述工业控制***中的至少一个网络交换与路由设备的网络日志。
其中,若所述数据源选择模块选择的所述至少一个第一数据源包括:所述工业控制***中的至少一个工业主机的日志,则所述数据获取模块,具体用于对于所述至少一个工业主机中的每一个,从该工业主机的日志中获取下列数据中的至少一项作为该工业主机的所述第一数据:该工业主机运行时的硬件性能数据;该工业主机运行时的文件输入输出信息;该工业主机上运行的工业应用程序的处理流程;该工业主机上运行的工业应用程序所访问的所述工业控制***中的资源。
其中,若所述数据源选择模块选择的所述至少一个第一数据源包括:从所述工业控制***中的至少一个关键网络位置处抓取的网络流量,则所述数据获取模块,具体用于对于所述至少一个关键网络位置中的每一处,确定所述网络流量的下列至少一项信息作为该关键网络位置处的所述第一数据:所述网络流量中数据分组的源地址;所述网络流量中数据分组的目的地址;所述网络流量所使用的工业控制通信协议的功能码;所述网络流量中的应用层数据。
对于该情形,所述模型生成模块生成的所述行为模型用于描述所述工业控制***内通信的下列至少一项特征:所述工业控制***内的工业主机与工业控制器之间的通信流程;所述工业控制***内工业应用程序执行的功能;所述工业控制***内工业设备及其监控的过程变量的状态。
其中,若所述数据源选择模块选择的所述至少一个第一数据源包括:所述工业控制***中的至少一个工业主机的日志,则所述数据获取模块,具体用于从所述至少一个工业主机处获取至少一项下列信息,作为所述第一数据:用户通过所述至少一个工业主机登入和/或登出所述工业控制***的信息;用户在所述至少一个工业主机上执行的对所述工业控制***的控制命令;用户通过所述至少一个工业主机访问的所述工业控制***中的数据。
对于该情形,所述模型生成模块生成的所述行为模型用于描述所述工业控制***的用户行为的下列至少一项特征:工作时间;正常操作;数据获取模式。
以上,给出了多种数据源的不同实现方式,并且提供了针对不同的数据源获取数据的具体实现方式。
其中,针对不同的数据源,建立不同的行为模型,建立的行为模型能够体现出工业控制***的行为特征,这样,就使得在根据实时采集的数据判断行为是否异常时,判断的结果更准确。
可选地,所述网络安全监视***还包括一个告警处理模块,用于在所述异常行为判断模块确定所述第二数据所代表的所述工业控制***的行为是异常行为之后,确定所述第二数据所代表的所述工业控制***的行为所对应的告警的级别;若确定的级别高于预设的最低告警优先级别,则触发告警上报,否则不触发告警上报。
其中,按照优先级由高到低的顺序,告警的级别依次包括下列第一级别至第五级别中的至少两个。其中,第一级别,其中所述第一级别的告警包括与所述工业控制***中的工业控制器相关的告警;第二级别,其中所述第二级别的告警包括与所述工业控制***内的工业控制网络中的告警;第三级别,其中所述第三级别的告警包括与所述工业控制***中的工业主机相关的告警;第四级别,其中所述第四级别的告警包括与一个非军事化区中的后端防火墙、服务器和/或应用相关的告警,所述非军事化区用于分隔所述工业控制***与所述工业控制***的一个企业网络;第五级别,其中所述第五级别的告警包括与所述非军事化区中的前端防火墙相关的告警。
这样,可以预先设置告警上报的策略,选择性地上报告警,使得告警上报实现方式更灵活,并且能够有效避免过多的告警上报。
可选地,所述网络安全监视***还包括一个攻击源定位模块,用于在所述异常行为判断模块确定所述第二数据所代表的所述工业控制***的行为是异常行为之后,判断所述第二数据所代表的所述工业控制***的行为是否为网络攻击;若是,则根据所述第二数据所代表的所述工业控制***的行为所针对的对象定位攻击源。
这样,可有效定位网络攻击的攻击源。
可选地,所述网络安全监视***还包括一个攻击阶段确定模块,用于在所述异常行为判断模块确定所述第二数据所代表的所述工业控制***的行为是异常行为之后,判断所述第二数据所代表的所述工业控制***的行为是否为网络攻击;若是,则确定所述第二数据所代表的所述工业控制***的行为所处的网络攻击阶段,其中,不同的网络攻击阶段对所述工业控制***的威胁程度不同。
这样,可明确确定网络攻击阶段,便于后续针对不同的网络攻击阶段采取相应的安全措施。
第四方面,提供一个工业控制***的一个网络安全监视***,包括:
至少一个存储器,用于存储机器可读指令;
至少一个处理器,用于调用所述机器可读指令,执行第一方面或第一方面的任一种可能的实现方式提供的方法。
第五方面,提供一个工业控制***中的一种告警处理装置,包括:
一个告警级别确定模块,用于确定所述工业控制***中产生的一项告警的级别;
一个告警上报模块,用于在所述告警的级别高于预设的最低告警优先级别时触发告警上报,以及在所述告警的级别不高于预设的最低告警优先级别时不触发告警上报;
其中,按照优先级由高到低的顺序,所述告警的级别依次包括下列第一级别至第五级别中的至少两个。其中,所述第一级别的告警包括与所述工业控制***中的工业控制器相关的告警;所述第二级别的告警包括与所述工业控制***内的工业控制网络中的告警;所述第三级别的告警包括与所述工业控制***中的工业主机相关的告警;所述第四级别的告警包括与一个非军事化区中的后端防火墙、服务器和/或应用相关的告警,所述非军事化区用于分隔所述工业控制***与所述工业控制***的一个企业网络;所述第五级别的告警包括与所述非军事化区中的前端防火墙相关的告警。
这样,可以预先设置告警上报的策略,选择性地上报告警,使得告警上报实现方式更灵活,并且能够有效避免过多的告警上报。
第六方面,提供一个工业控制***中的一种告警处理装置,包括:
至少一个存储器,用于存储机器可读指令;
至少一个处理器,用于调用所述机器可读指令,执行如权利要求第二方面所提供的方法。
第七方面,提供一种机器可读介质,所述机器可读介质上存储机器可读指令,所述机器可读指令在被处理器调用时,执行如第一方面、第一方面的任一种可能的实现方式、第二方面或第二方面的任一种可能的实现方式所提供的方法。
附图说明
图1A~图1C示出了本发明实施例中,网络安全监视***部署到工业控制***的三种方式。
图2为本发明实施例提供的网络安全监视方法的流程图。
图3为工业控制***的一个示意图。
图4为本发明实施例提供的告警方法的流程图。
图5为本发明实施例提供的告警方法中分级告警的示意图。
图6示出了网络攻击的三项重要因素。
图7为本发明实施例提供的网络安全监视***的一种结构示意图。
图8为本发明实施例提供的网络安全监视***的另一结构示意图。
图9为本发明实施例提供的告警处理装置的一种结构示意图。
图10为本发明实施例提供的告警处理装置的另一结构示意图。
附图标记列表:
10:网络安全监视*** 20:工业控制***
S201:数据源选择 S202:获取第一数据
S203:基于第一数据统计得到行为模型 S204:获取第二数据
S205:基于第二数据和行为模型进行异常行为判断
201:工业控制器 202a:传感器 202b:电机
200a:工程师站 200b:数据库服务器 200c:应用服务器
204a:防火墙 204b:进行入侵检测的服务器
205:网络交换与路由设备
30:非军事化区 301:前端防火墙 302:后端防火墙
300a:FTP服务器 300b:邮件服务器
40:企业网络
S401:确定告警级别 S402:告警级别比较 S403:触发告警上报
L1:第一级别 L2:第二级别 L3:第三级别
L4:第四级别 L5:第五级别
601:攻击源 602:安全威胁 603:攻击目标
101:数据源选择模块 102:数据获取模块 103:模型生成模块
104:异常行为判断模块 105:告警处理模块 106:攻击源定位模块
501:告警级别确定模块 502:告警上报模块 108,503:至少一个存储器
109,504:至少一个处理器 107:攻击阶段确定模块
具体实施方式
如前所述,工业控制***可用于实现工业过程的自动控制,也可称为操作技术(Operations Technology,OT)***。传统的工业控制***通常是封闭的,与外界的网络,比如互联网没有连接,因此较少或没有考虑***的安全性。但是随着数字化技术、自动化技术和过程控制技术的发展,信息技术(Information Technology)被广泛用于工业控制***中,工业控制***逐渐成为开放互联的***。比如:一个工业企业的合资公司或子公司,甚至服务外包公司的网络可能与该工业企业的工业控制***连接,这就存在网络攻击的风险,工业控制***所面临的安全威胁日益严重。因此,保护工业控制***免于安全攻击的需求变得迫切。
已知的可用于IT***的安全解决方案可实时分析由网络硬件和应用程序产生的安全事件,并能够产生相应的安全告警。其所针对的是IT***中的网络设备、安全防护设备、各种服务器等。与IT***不同的是,IT***的行为通常是不确定的,无法预测。而工业控制***的行为具有高度的确定性。比如:一个工业控制***在进行安装调试、投入运营之后,其配置基本上就确定了。
本发明实施例中,考虑到了工业控制***行为的确定性,并基于这种行为的确定性,统计得到工业控制***的行为模型,则该行为模型也具有一定的确定性。基于该相对确定的行为模型进行***异常行为的判断,得到的判断结果比较准确。并且,本发明实施例中,通过合理选择与所述工业控制***相关的数据源,并从选择的数据源处获取数据,根据获取到的数据确定工业控制***的行为模型。再基于确定的数据模型判断工业控制***是否存在异常行为。可实现对工业控制***的网络安全的有效监视。
首先,在选择数据源时,选择能够衡量该工业控制***是否符合网络安全要求的数据源,使得后续在进行***异常行为判断时所依据的数据更能够针对网络安全的需求,判断结果更准确。其次,在该工业控制***未受到网络攻击时,从选择的数据源处获取数据,然后,统计获取到的数据随时间变化的特征作为该工业控制***的行为模型,这样,能够准确获知***的正常行为特征,从而在后续进行特征比对时得到的***异常行为判断的结果更准确。
本发明实施例可通过一个网络安全监视***实现对一个工业控制***的网络安全的监视。该网络安全监视***可包括至少一个设备。当仅包括一个设备时,该网络安全监视***也可称为网络安全监视设备。本发明实施例中,网络安全监视***可位于工业控制***内部,也可位于工业控制***的外部。
下面,结合附图对本发明实施例进行详细说明。
图1A~图1C示出了本发明实施例中,网络安全监视***10是如何部署到工业控制***20中的。
图1A中,网络安全监视***10位于工业控制***20内部。
图1B中,网络安全监视***10中部分设备位于工业控制***20内部,部分设备位于工业控制***20外部。
图1C中,网络安全监视***10位于工业控制***20外部。其中,网络安全监视***10可以用于监视一个工业控制***20的网络安全,也可用于监视两个及以上网络安全监视***10的网络安全。
其中,网络安全监视***10可由至少一台服务器及其上部署的监视软件实现对工业控制***20的网络安全监视。
下面,详细说明本发明实施例中,网络安全监视***10对工业控制***20进行网络安全监视的方法。如图2所示,该方法可包括如下步骤:
S201:数据源选择;
S202:获取第一数据;
S203:基于第一数据统计得到行为模型;
S204:获取第二数据;
S205:基于第二数据和行为模型进行异常行为判断。
下面,对上述步骤一一详细说明。
【步骤S201】
步骤S201中,网络安全监视***10选择与工业控制***20相关的至少一个第一数据源。
由于不同的工业控制***的运行环境各不相同,因此,在选择第一数据源时,网络安全监视***10可首先确定工业控制***20的网络安全要求。比如:网络安全监视***10可采用威胁与风险评估(Threatand Risk Assessment,TRA)的方法确定网络安全要求。网络安全监视***10可根据如下因素中的至少一项,确定工业控制***20的网络安全要求:
工业控制***20的客户所定义的工业控制***20的至少一项运行指标;
工业控制***20的客户所定义的工业控制***20的至少一项网络安全策略;
工业控制***20的正常运行过程;
工业控制***20的至少一个组成部分的配置信息;
工业控制***20可能受到的网络攻击。
然后,网络安全监视***10可根据确定的网络安全要求选择第一数据源。第一数据源用于衡量工业控制***20是否符合确定的网络安全要求。
其中,网络攻击可能来自工业控制***20的内部。比如:恶意的雇员引入的病毒等网络攻击,或者雇员无意中将感染了恶意软件的U盘接入工业控制***20中等,都会带来对工业控制***20的网络攻击。
网络攻击也可能来自工业控制***20的外部。比如:根据开源或商用威胁情报可获知在工业控制***20的外部,来自哪些IP地址的分组可能是网络攻击,或者哪些类型的文件可能是网络攻击,亦或是具备哪些特征的网络流量可能是网络攻击。
下面,参考图3举例说明工业控制***20的一种结构,以便于理解第一数据源在工业控制***20中的位置。
如图3所示,工业控制***20可包括:
至少一个工业控制器201,其中,工业控制器201可包括但不限于可编程逻辑控制器(Programmable Logic Controller,PLC)、可编程自动化控制器(ProgrammableAutomation Controller,PAC)等。
至少一个现场设备,比如传感器202a,电机202b等。传感器202a可在工业控制器201的控制下获取温度、湿度、压力、液体流速等现场数据。电机202b可在工业控制器201的控制下驱动运动。
至少一台工业主机,比如工程师站(Engineer Station,ES)200a、操作台(Operator Station,OS)、人机界面(Human Machine Interface,HMI)、数据库服务器200b、应用服务器200c等。
至少一台安全防护设备,比如防火墙204a,进行入侵检测的服务器204b等。其中,防火墙204a、进行入侵检测的服务器204b等安全防火设备也可组成一个入侵检测***(Intrusion Detection System,IDS),实现工业控制***20的入侵检测。
至少一台网络交换与路由设备205,比如工业交换机、工业路由器等。这些网络交换与路由设备205可组成一个工业以太网,实现工业控制***20内部设备的互联。
网络安全监视***10确定的第一数据源可来自工业控制***20内部,比如:
工业控制***20中的至少一个工业主机的日志,比如记录该工业主机的一个CPU的占用率等;
从工业控制***20中的至少一个关键网络位置处抓取的网络流量;和/或
工业控制***20中的至少一个安全防护设备的安全日志,比如:记录用户登录输入错误口令的日志;
工业控制***20中的至少一个网络交换与路由设备(比如:路由器、交换机等)的网络日志。
其中,抓取的网络流量所在的关键网络位置可以自行定义,比如:位于防火墙204a处,核心的网络交换与路由设备处、工业控制器101与工业主机之间,工业控制器101处,数据库服务器200b处等。
【步骤S202和步骤S203】
步骤S202中,网络安全监视***10在工业控制***20未受到网络攻击时,从至少一个第一数据源处获取第一数据。步骤S203中,网络安全监视***10统计第一数据随时间变化的特征作为工业控制***20的行为模型。
如前所述,与IT***不同的是,工业控制***的行为具有高度的确定性。因此,本发明实施例中,基于该确定性,网络安全监视***10在工业控制***20未受到网络攻击时,通过数据统计获取工业控制***20的行为特征,作为后续判断工业控制***20行为异常的标准。
需要说明的是,一种可能的情况下,网络安全监视***10能够获取工业控制***20完全未受到网络攻击时的第一数据。另一种可能的情况是,网络安全监视***10在获取第一数据时,工业控制***20中某个或某些部分或可能正在受到网络攻击。这些网络攻击可能会影响到某一个第一数据源处的第一数据的特征。一种可选的解决方案是,由于行为模型是第一数据随时间变化的特征。网络安全监视***10可预先筛除掉明显与其他数据采样不同的数据采样,然后再进行数据统计确定行为特征,以得到工业控制***20的正常行为的行为特征。另一种可选的解决方案是,可在获取第一数据之前,对工业控制***20的当前情况进行评估,判断工业控制***20是否已经受到网络攻击,在确定未受到网络攻击的情况下,再获取第一数据。
下面,举例说明网络安全监视***10获取数据并确定行为特征的方法。
1)工业主机的行为特征
至少一个第一数据源包括工业控制***20中的至少一个工业主机的日志。网络安全监视***10对于每一台工业主机,从该工业主机的日志中获取下列数据中的至少一项作为该工业主机的第一数据:
该工业主机运行时的硬件性能数据,比如中央处理单元(Central ProcessingUnit,CPU)占用率,内存占用率等;
该工业主机运行时的文件输入输出信息;
该工业主机上运行的工业应用程序的处理流程,比如:应用服务器200c上运行的工业应用程序的处理流程;
该工业主机上运行的工业应用程序所访问的工业控制***20中的资源,比如:一个便携式电子设备所访问的文件、注册表、数据库、内存对象等。
网络安全监视***10可将获取的第一数据随时间的变化记录为时间序列。经过一段时间的观察,可统计得到第一数据随时间变化的特征,比如:CPU占用率的平均值、内存占用率随时间变化的方差等。还可得到工业应用程序的正常处理流程,正常运行时所访问的文件列表、注册表列表等。网络安全监视***10可将这些特征确定为工业主机的行为特征。
2)网络通信的特征
至少一个第一数据源包括从工业控制***20中的至少一个关键网络位置处抓取的网络流量。网络安全监视***10可对于至少一个关键网络位置中的每一处,确定网络流量的下列至少一项信息作为该关键网络位置处的第一数据:
网络流量中数据分组的源地址,比如:源媒体访问控制(Medium Access Control,MAC)地址、源互联网协议(Internet Protocol,IP)地址和源端口号(port);
网络流量中数据分组的目的地址,比如:目的MAC地址、目的IP地址和目的端口号;
网络流量所使用的工业控制通信协议的功能码,比如:S7Comm、PROFINET的功能码;
网络流量中的应用层数据(payload)。
其中,网络安全监视***10可采用端口映射或搭线监听的方式获取关键网络位置处的第一数据。
网络安全监视***10可将获取的第一数据随时间的变化记录为时间序列。经过一段时间的观察,可统计得到第一数据随时间变化的特征,即网络通信的特征,包括但不限于:
工业控制***20内的工业主机与工业控制器之间的通信流程;
工业控制***20内工业应用程序执行的功能;
工业控制***20内工业设备及其监控的过程变量的状态。
3)工业控制***20的用户的行为特征
至少一个第一数据源包括:所述工业控制***中的至少一个工业主机的日志。网络安全监视***10从至少一个工业主机处获取至少一项下列信息,作为第一数据:
用户通过至少一个工业主机登入和/或登出工业控制***的信息;
用户在至少一个工业主机上执行的对工业控制***的控制命令;
用户通过至少一个工业主机访问的工业控制***中的数据。
网络安全监视***10可将获取的第一数据随时间的变化记录为时间序列。经过一段时间的观察,可统计得到第一数据随时间变化的特征,即用户的行为特征,包括但不限于:工作时间、正常操作,和数据获取模式等。比如,一个HMI总是每隔2秒访问一个特定的PLC以获取控制状态,这就是HMI的行为随时间变化的特征。
【步骤S204】
步骤S204中,网络安全监视***10从至少一个第一数据源中的部分或全部数据源处获取第二数据。
【步骤S205】
步骤S205中,网络安全监视***10判断第二数据是否具备行为模型所描述的特征,若具备特征,则确定第二数据所代表的工业控制***20的行为是正常行为,若不具备特征,则确定行为是异常行为。
比如:步骤S203中,统计得到的行为模型包括:一个特定的HMI仅访问一个特定的PLC。那么根据步骤S204获取的第二数据,即该HMI的日志,若该HMI访问了其他PLC,则确定该访问行为是异常行为。
再比如:步骤S203中,统计得到的行为模型包括:一个操作员站的CPU的占用率不超过40%。那么根据步骤S204获取的第二数据,即该操作员站的日志,若CPU占用率超过50%,则确定工业控制***20出现了异常行为。若步骤S205确定第二数据所代表的工业控制***20的行为是异常行为后,可选地,可采用图4所示的方法进行告警上报。
如图4所示,本发明实施例还提供一种分级告警方法,该方法包括如下步骤:
S401:确定第二数据所代表的工业控制***20的行为所对应的告警的级别;
S402:判断步骤S401确定的级别是否高于预设的最低告警优先级别,若是,则执行步骤S403,否则不执行步骤S403。
S403:触发告警上报。
与IT***不同的是工业控制***是典型的网络-物理***(Cyber-PhysicalSystem,CPS)。一个工业控制***最关键的设备是工业控制器和现场设备,它们控制着物理世界,因此,这些设备对网络安全的要求更高。相对而言,位于企业网络中的处于管理级别的制造执行***(Manufacturing Execution System,MES)和企业资源计划(EnterpriseResource Planning,ERP)***对网络安全的要求没有工业控制器和现场设备的要求高。为了避免有过多的安全相关的告警上报,可以预先设定上述告警的级别以及最低告警优先级别。当工业控制***20产生异常行为时,采用图4所示的方法,首先判断异常行为对应的告警级别,若高于预设的最低告警优先级别,则进行告警上报,否则不进行告警上报,这样就有效减少了低级别告警的上报。
为了实现工业控制***与企业网络的隔离,可以在工业控制***和企业网络之间设置一个非军事化区(DeMilitarized Zone,DMZ)将工业控制***外部的网络可以访问的一些服务器等设备放置在DMZ中。其中DMZ通常包括前端防火墙、后端防火墙和其他用于数据交换的设备及应用,比如OPC服务器等。其中,通过前端防火墙将DMZ与企业网络隔离,通过后端防火墙将工业控制***与DMZ隔离。
本发明实施例中,可选地,如图3所示,DMZ30通过后端防火墙302与工业控制***20隔离,DMZ30通过前端防火墙301与企业网络40隔离。DMZ30中可部署诸如文件传输协议(File Transfer Protocol,FTP)服务器300a,邮件服务器300b等。在前端防火墙301和后端防火墙302上可分别设置安全策略,以避免从企业网络40通过DMZ30直接与工业控制***通信。基于黑名单或白名单的反病毒机制也可部署在工业控制***20的工业主机上。此外,额外的防火墙或虚拟专用网(Virtual Private Network,VPN)也可部署在工业控制器101上,以保证工业主机与工业控制器101之间通信的安全。
其中,可选地,如图5所示,按照优先级由高到低的顺序,告警的级别依次包括下列级别中的至少两个:
第一级别L1,其中第一级别的告警包括与工业控制***20中的工业控制器相关的告警;
第二级别L2,其中第二级别的告警包括与工业控制***20内的工业控制网络中的告警;
第三级别L3,其中第三级别的告警包括与工业控制***20中的工业主机(比如:操作员站、工程师站)相关的告警;
第四级别L4,其中第四级别的告警包括与非军事化区30中的后端防火墙302、服务器和/或应用相关的告警;
第五级别L5,其中第五级别的告警包括与非军事化区30中的前端防火墙301相关的告警。
其中,与前端防火墙301相关的告警具有最低级别是因为攻击源只能探测到非军事化区30。
与后端防火墙302或非军事化区30中的服务器和/或应用相关的告警被设置为稍高优先级的告警,是因为攻击源已经能够穿透非军事化区30,可以干扰到工业控制***20与企业网络40之间的通信和应用,并不能访问到工业控制***20。
与工业控制***20中的工业主机相关的告警具有更高一些的优先级,是因为这些告警表明攻击源已经能够访问到诸如工程师站、HMI设备、服务器等工业控制***20中的管理级别的设备,已经对工业控制***20产生了较大的威胁。
如果攻击源的行为继续扩展,已渗透到控制网络,即影响到管理级别与控制级别之间的网络通信,即工业主机与工业控制器101之间的网络通信,则表明对工业控制***20已产生了更大的威胁,因此,与工业控制***20内部的网络通信有关的告警的优先级较高。
最高优先级的告警发生在攻击源已经访问到工业控制器101甚至访问到现场设备,操纵了控制操作时。
以上的分级方法仅为示例,实际上,只要能够根据对工业控制***20的安全威胁对告警进行分级上报,则能够实现重要告警的优先处理。通过区分出告警的优先级,维护人员可以花费较多的时间和精力在高优先级的告警处理上,无需过多的关注低优先级的告警。
可选地,本发明实施例中,在网络安全监视***10确定第二数据所代表的工业控制***的行为是异常行为之后,还可进一步判断第二数据所代表的工业控制***的行为是否为网络攻击,若是,则根据第二数据所代表的工业控制***的行为所针对的对象定位攻击源。
对于一次网络攻击,有图6所示的三项重要因素:
攻击源601,安全威胁602和攻击目标603。
其中,攻击源601可以来自工业控制***20内部和/或工业控制***20的外部,其目的是攻击工业控制***20。攻击源601可以来自黑客,恶意组织甚至是恶意国家。也可来自恶意的雇员、前雇员、合资公司等。
安全威胁602是攻击源601用于攻击工业控制***20的能力和/或机制。
攻击目标603可以是工业控制器101、工业控制***20中的网络交换与路由设备205、工业主机的控制操作和流程,甚至可以是工业控制***20中的重要数据。
攻击目标603也可称为工业控制***20中的资产。前述的第一数据源可为工业控制***20中的这些资产的状态数据。网络安全监视***10可通过在这些资产处部署数据获取装置来获取这些资产的状态数据,即前述的第一数据。并将第一数据作为历史数据保存。
网络安全监视***10在通过前述的步骤S205判断工业控制***20的行为异常时,可基于上述历史数据判断异常行为是否是网络攻击。网络攻击包括但不限于:恶意软件,钓鱼邮件,弱点检测,口令暴力攻击等。
若确定异常行为是网络攻击,则网络安全监视***10可根据异常行为确定确定攻击源601,比如:
根据攻击源601的源IP地址、域名***(Domain Name System,DNS)和/或其他获取的数据确定攻击源601所在的地理位置;
根据网络攻击的属性,比如:哈希值、指示信息、网络通信的相关信息(比如:域名***、超文本传输协议相关的信息)等,将攻击源601与已知的攻击源进行匹配。进而识别网络攻击的策略、技术和流程(Tactics,Techniques and Procedures,TTP)。
此外,可选地,在确定工业控制***20的异常行为是网络攻击之后,网络安全监视***10还可确定该异常行为所处的网络攻击阶段,其中,不同的网络攻击阶段对工业控制***20的威胁程度不同。其中,网络攻击阶段包括但不限于如下阶段:
1)侦查阶段(Reconnaissance)
在侦查阶段,攻击源601可以对攻击目标603,即工业控制***20中的资产进行研究、识别和选择。比如:可通过爬虫技术从互联网网站上获取诸如会议日程、邮箱地址列表、社会关系信息等。
2)武器制造阶段(Weaponization)
在武器制造阶段,通过诸如自动化工具等,将远程访问木马(Trojan)置入可发送的净荷(payload)中,可将这些可发送的净荷称为“武器”。这些可发送的净荷包括但不限于:诸如便携式文件格式(Portable Document Format,PDF)文件、微软办公文件等客户端应用数据文件。
3)武器交付阶段(Delivery)
在武器交付阶段,利用武器对攻击目标603进行攻击,所采用的方式包括但不限于:邮件附件、网站、通用串行总线(Universal Serial Bus,USB)可插拔媒介。
4)利用阶段(Exploitation)
在已经利用武器对攻击目标603进行攻击后,开始触发攻击代码。通常,攻击目标603包括应用程序或操作***的弱点。或者,也可以简单地利用工业控制***20的用户或操作***的特性,来执行一段自动该执行的代码。
5)安装阶段(Installation)
在安装阶段,可将远程的木马或后门安装在攻击目标603上,以实现对工业控制***20的持续操作。
6)命令和控制阶段(Command and Control,C2)
在命令和控制阶段,攻击目标603与外部的互联网服务器建立了C2通道。入侵者人工操作攻击源601,实现对攻击目标603的直接操作。
7)行动阶段(Actions on Objective)
经过上述六个阶段之后,入侵者可直接操作攻击目标603。比如:可针对攻击目标603进行数据收集、数据加密、信息提取等的数据渗透(data exfiltration),破坏攻击目标603的数据完整性和可获得性。此外,入侵者也可将攻击目标603作为一个中间点以更深入工业控制***20内部。
通过上述网络攻击阶段的分析,可研究网络攻击在不同阶段的表现、机制和技术,识别真正的安全威胁,进而采取合适的措施阻止网络攻击,进而还可以预测工业控制***20的网络安全。
图7为本发明实施例提供的网络安全监视***10的一种结构示意图。该网络安全监视***可用于实现前述的网络安全监视方法。如图7所示,该网络安全监视***10可包括:
一个数据源选择模块101,用于选择与工业控制***20相关的至少一个第一数据源,至少一个第一数据源用于衡量工业控制***是否符合网络安全要求;
一个数据获取模块102,用于从至少一个第一数据源处获取第一数据;
一个模型生成模块103,用于统计第一数据随时间变化的特征作为工业控制***的行为模型;
数据获取模块102,还用于从至少一个第一数据源中的部分或全部数据源处获取第二数据;
一个异常行为判断模块104,用于判断第二数据是否具备行为模型所描述的特征,若具备特征,则确定第二数据所代表的工业控制***的行为是正常行为,若不具备特征,则确定行为是异常行为。
可选地,数据源选择模块101,具体用于根据如下因素中的至少一项,选择与工业控制***20相关的至少一个第一数据源:工业控制***20的客户所定义的工业控制***20的至少一项运行指标;工业控制***20的客户所定义的工业控制***20的至少一项网络安全策略;工业控制***20的正常运行过程;工业控制***20的至少一个组成部分的配置信息;工业控制***20可能受到的网络攻击。
可选地,数据源选择模块101选择的至少一个第一数据源包括:工业控制***20中的至少一个工业主机的日志,和/或从工业控制***20中的至少一个关键网络位置处抓取的网络流量,和/或工业控制***20中的至少一个安全防护设备的安全日志,和/或工业控制***20中的至少一个网络交换与路由设备的网络日志。
可选地,数据源选择模块101选择的至少一个第一数据源包括:工业控制***20中的至少一个工业主机的日志,数据获取模块102,具体用于对于至少一个工业主机中的每一个,从该工业主机的日志中获取下列数据中的至少一项作为该工业主机的第一数据:该工业主机运行时的硬件性能数据;该工业主机运行时的文件输入输出信息;该工业主机上运行的工业应用程序的处理流程;该工业主机上运行的工业应用程序所访问的工业控制***20中的资源。
可选地,数据源选择模块101选择的至少一个第一数据源包括:从工业控制***20中的至少一个关键网络位置处抓取的网络流量,数据获取模块102,具体用于对于至少一个关键网络位置中的每一处,确定网络流量的下列至少一项信息作为该关键网络位置处的第一数据:网络流量中数据分组的源地址;网络流量中数据分组的目的地址;网络流量所使用的工业控制通信协议的功能码;网络流量中的应用层数据。
在此情形下,模型生成模块103生成的行为模型用于描述工业控制***20内通信的下列至少一项特征:工业控制***20内的工业主机与工业控制器之间的通信流程;工业控制***20内工业应用程序执行的功能;工业控制***20内工业设备及其监控的过程变量的状态。
可选地,数据源选择模块101选择的至少一个第一数据源包括:工业控制***20中的至少一个工业主机的日志,数据获取模块102,具体用于从至少一个工业主机处获取至少一项下列信息,作为第一数据:用户通过至少一个工业主机登入和/或登出工业控制***20的信息;用户在至少一个工业主机上执行的对工业控制***20的控制命令;用户通过至少一个工业主机访问的工业控制***20中的数据。
对于该情形,模型生成模块103生成的行为模型用于描述工业控制***20的用户行为的下列至少一项特征:工作时间;正常操作;数据获取模式。
可选地,网络安全监视***10还包括一个告警处理模块105,用于在异常行为判断模块104确定第二数据所代表的工业控制***20的行为是异常行为之后,确定第二数据所代表的工业控制***20的行为所对应的告警的级别;若确定的级别高于预设的最低告警优先级别,则触发告警上报,否则不触发告警上报。
其中,按照优先级由高到低的顺序,告警的级别依次包括下列级别中的至少两个:第一级别,其中第一级别的告警包括与工业控制***20中的工业控制器相关的告警;第二级别,其中第二级别的告警包括与工业控制***20内的工业控制网络中的告警;第三级别,其中第三级别的告警包括与工业控制***20中的工业主机相关的告警;第四级别,其中第四级别的告警包括与一个非军事化区30中的后端防火墙、服务器和/或应用相关的告警,非军事化区30用于分隔工业控制***20与工业控制***20的一个企业网络40;第五级别,其中第五级别的告警包括与非军事化区30中的前端防火墙相关的告警。
可选地,网络安全监视***10还包括一个攻击源定位模块106,用于在异常行为判断模块104确定第二数据所代表的工业控制***20的行为是异常行为之后,判断第二数据所代表的工业控制***20的行为是否为网络攻击;若是,则根据第二数据所代表的工业控制***20的行为所针对的对象定位攻击源。
可选地,网络安全监视***10还包括一个攻击阶段确定模块107,用于在异常行为判断模块104确定第二数据所代表的工业控制***20的行为是异常行为之后,判断第二数据所代表的工业控制***20的行为是否为网络攻击;若是,则确定第二数据所代表的工业控制***20的行为所处的网络攻击阶段,其中,不同的网络攻击阶段对工业控制***20的威胁程度不同。
该网络安全监视***的其他可选实现方式可参照前述的网络安全监视方法的实现,这里不再赘述。
图8为本发明实施例提供的网络安全监视***10的另一结构示意图。该网络安全监视***10也可用于实现前述的网络安全监视方法。如图8所示,该网络安全监视***10可包括:至少一个存储器108,用于存储机器可读指令;至少一个处理器109,用于调用机器可读指令,执行本发明实施例提供的网络安全监视方法。
图9为本发明实施例提供的告警处理装置50的一种结构示意图。该告警处理装置50可用于实现前述的告警方法。如图9所示,该告警处理装置50可包括:
一个告警级别确定模块501,用于确定工业控制***20中产生的一项告警的级别;
一个告警上报模块502,用于在告警的级别高于预设的最低告警优先级别时触发告警上报,以及在告警的级别不高于预设的最低告警优先级别时不触发告警上报。
其中,按照优先级由高到低的顺序,告警的级别依次包括下列级别中的至少两个:第一级别,其中第一级别的告警包括与工业控制***20中的工业控制器相关的告警;第二级别,其中第二级别的告警包括与工业控制***20内的工业控制网络中的告警;第三级别,其中第三级别的告警包括与工业控制***20中的工业主机相关的告警;第四级别,其中第四级别的告警包括与一个非军事化区30中的后端防火墙、服务器和/或应用相关的告警,非军事化区30用于分隔工业控制***20与工业控制***20的一个企业网络40;第五级别,其中第五级别的告警包括与非军事化区30中的前端防火墙相关的告警。
该告警处理装置50的其他可选实现方式可参考前述的告警方法,这里不再赘述。
图10为本发明实施例提供的告警处理装置50的另一结构示意图。该告警处理装置50也可用于实现前述的告警方法。如图10所示,该告警处理装置50可包括:至少一个存储器503,用于存储机器可读指令;至少一个处理器504,用于调用机器可读指令,执行本发明实施例提供的告警方法。
本发明实施例提供的机器可读介质上存储有机器可读指令,该机器可读指令在被处理器执行时,使处理器执行前述的任一种方法。具体地,可以提供配有机器可读介质的***或者装置,在该机器可读介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该***或者装置的计算机或处理器读出并执行存储在该机器可读介质中的机器可读指令。
在这种情况下,从机器可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此机器可读代码和存储机器可读代码的机器可读介质构成了本发明的一部分。
机器可读介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
需要说明的是,上述各流程和各***结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的***结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。

Claims (14)

1.用于监视一个工业控制***(20)的网络安全的方法,其特征在于,所述方法包括:
选择与所述工业控制***(20)相关的至少一个第一数据源,所述至少一个第一数据源用于衡量所述工业控制***(20)是否符合网络安全要求;
从所述至少一个第一数据源处获取第一数据;所述至少一个第一数据源包括:所述工业控制***(20)中的至少一个工业主机的日志,和/或,所述工业控制***(20)中的至少一个安全防护设备的安全日志,和/或,所述工业控制***(20)中的至少一个网络交换与路由设备的网络日志;
统计所述第一数据随时间变化的特征作为所述工业控制***(20)的行为模型;其中在统计所述第一数据时,预先筛除掉与其他数据采样不同的数据采样;
从所述至少一个第一数据源中的部分或全部数据源处获取第二数据;
判断所述第二数据是否具备所述行为模型所描述的特征,若具备特征,则确定所述第二数据所代表的所述工业控制***(20)的行为是正常行为,若不具备特征,则确定所述行为是异常行为;
在确定所述第二数据所代表的所述工业控制***(20)的行为是异常行为之后,还包括:
确定所述第二数据所代表的所述工业控制***(20)的行为所对应的告警的级别;
若确定的级别高于预设的最低告警优先级别,则触发告警上报,否则不触发告警上报;
按照优先级由高到低的顺序,告警的级别依次包括下列级别中的至少两个:
第一级别,其中所述第一级别的告警包括与所述工业控制***(20)中的工业控制器相关的告警;
第二级别,其中所述第二级别的告警包括与所述工业控制***(20)内的工业控制网络中的告警;
第三级别,其中所述第三级别的告警包括与所述工业控制***(20)中的工业主机相关的告警;
第四级别,其中所述第四级别的告警包括与一个非军事化区(30)中的后端防火墙、服务器和/或应用相关的告警,所述非军事化区(30)用于分隔所述工业控制***(20)与所述工业控制***(20)的一个企业网络(40);
第五级别,其中所述第五级别的告警包括与所述非军事化区(30)中的前端防火墙相关的告警;
其中在获取第一数据之前,对工业控制***(20)的当前情况进行评估以判断工业控制***(20)是否已经受到网络攻击,其中在确定未受到网络攻击的情况下,再获取第一数据;
其中根据如下因素中的至少一项,选择与所述工业控制***(20)相关的至少一个第一数据源:
所述工业控制***(20)的客户所定义的所述工业控制***(20)的至少一项运行指标;
所述工业控制***(20)的客户所定义的所述工业控制***(20)的至少一项网络安全策略;
所述工业控制***(20)的正常运行过程;
所述工业控制***(20)的至少一个组成部分的配置信息;
所述工业控制***(20)可能受到的网络攻击。
2.如权利要求1所述的方法,其特征在于,所述至少一个第一数据源包括:
从所述工业控制***(20)中的至少一个关键网络位置处抓取的网络流量。
3.如权利要求2所述的方法,其特征在于,
从所述至少一个第一数据源处获取第一数据,包括对于所述至少一个工业主机中的每一个,从该工业主机的日志中获取下列数据中的至少一项作为该工业主机的所述第一数据:
该工业主机运行时的硬件性能数据;
该工业主机运行时的文件输入输出信息;
该工业主机上运行的工业应用程序的处理流程;
该工业主机上运行的工业应用程序所访问的所述工业控制***(20)中的资源。
4.如权利要求2所述的方法,其特征在于,
从所述至少一个第一数据源处获取第一数据,包括对于所述至少一个关键网络位置中的每一处,确定所述网络流量的下列至少一项信息作为该关键网络位置处的所述第一数据:
所述网络流量中数据分组的源地址;
所述网络流量中数据分组的目的地址;
所述网络流量所使用的工业控制通信协议的功能码;
所述网络流量中的应用层数据。
5.如权利要求2所述的方法,其特征在于,
从所述至少一个第一数据源处获取第一数据包括:从所述至少一个工业主机处获取至少一项下列信息,作为所述第一数据:
用户通过所述至少一个工业主机登入和/或登出所述工业控制***(20)的信息;
用户在所述至少一个工业主机上执行的对所述工业控制***(20)的控制命令;
用户通过所述至少一个工业主机访问的所述工业控制***(20)中的数据。
6.如权利要求1~5任一项所述的方法,其特征在于,
在确定所述第二数据所代表的所述工业控制***(20)的行为是异常行为之后,还包括:判断所述第二数据所代表的所述工业控制***(20)的行为是否为网络攻击;若是,则根据所述第二数据所代表的所述工业控制***(20)的行为所针对的对象定位攻击源;和/或
在确定所述第二数据所代表的所述工业控制***(20)的行为是异常行为之后,还包括:判断所述第二数据所代表的所述工业控制***(20)的行为是否为网络攻击;若是,则确定所述第二数据所代表的所述工业控制***(20)的行为所处的网络攻击阶段,其中,不同的网络攻击阶段对所述工业控制***(20)的威胁程度不同。
7.一个工业控制***(20)的一个网络安全监视***(10),其特征在于,包括:
一个数据源选择模块(101),用于选择与所述工业控制***(20)相关的至少一个第一数据源,所述至少一个第一数据源用于衡量所述工业控制***是否符合网络安全要求;
一个数据获取模块(102),用于从所述至少一个第一数据源处获取第一数据;所述至少一个第一数据源包括:所述工业控制***(20)中的至少一个工业主机的日志,和/或,所述工业控制***(20)中的至少一个安全防护设备的安全日志,和/或,所述工业控制***(20)中的至少一个网络交换与路由设备的网络日志;
一个模型生成模块(103),用于统计所述第一数据随时间变化的特征作为所述工业控制***的行为模型;其中在统计所述第一数据时,预先筛除掉与其他数据采样不同的数据采样;其中在获取第一数据之前,对工业控制***(20)的当前情况进行评估以判断工业控制***(20)是否已经受到网络攻击,其中在确定未受到网络攻击的情况下,再获取第一数据;
所述数据获取模块(102),还用于从所述至少一个第一数据源中的部分或全部数据源处获取第二数据;
一个异常行为判断模块(104),用于判断所述第二数据是否具备所述行为模型所描述的特征,若具备特征,则确定所述第二数据所代表的所述工业控制***的行为是正常行为,若不具备特征,则确定所述行为是异常行为;
所述网络安全监视***(10)还包括一个告警处理模块(105),用于在所述异常行为判断模块(104)确定所述第二数据所代表的所述工业控制***(20)的行为是异常行为之后,
确定所述第二数据所代表的所述工业控制***(20)的行为所对应的告警的级别;
若确定的级别高于预设的最低告警优先级别,则触发告警上报,否则不触发告警上报;
按照优先级由高到低的顺序,告警的级别依次包括下列级别中的至少两个:
第一级别,其中所述第一级别的告警包括与所述工业控制***(20)中的工业控制器相关的告警;
第二级别,其中所述第二级别的告警包括与所述工业控制***(20)内的工业控制网络中的告警;
第三级别,其中所述第三级别的告警包括与所述工业控制***(20)中的工业主机相关的告警;
第四级别,其中所述第四级别的告警包括与一个非军事化区(30)中的后端防火墙、服务器和/或应用相关的告警,所述非军事化区(30)用于分隔所述工业控制***(20)与所述工业控制***(20)的一个企业网络(40);
第五级别,其中所述第五级别的告警包括与所述非军事化区(30)中的前端防火墙相关的告警;
所述数据源选择模块(101),具体用于根据如下因素中的至少一项,选择与所述工业控制***(20)相关的至少一个第一数据源:
所述工业控制***(20)的客户所定义的所述工业控制***(20)的至少一项运行指标;
所述工业控制***(20)的客户所定义的所述工业控制***(20)的至少一项网络安全策略;
所述工业控制***(20)的正常运行过程;
所述工业控制***(20)的至少一个组成部分的配置信息;
所述工业控制***(20)可能受到的网络攻击。
8.如权利要求7所述的网络安全监视***(10),其特征在于,所述数据源选择模块(101)选择的所述至少一个第一数据源包括:
从所述工业控制***(20)中的至少一个关键网络位置处抓取的网络流量。
9.如权利要求8所述的网络安全监视***(10),其特征在于,所述数据获取模块(102),具体用于对于所述至少一个工业主机中的每一个,从该工业主机的日志中获取下列数据中的至少一项作为该工业主机的所述第一数据:
该工业主机运行时的硬件性能数据;
该工业主机运行时的文件输入输出信息;
该工业主机上运行的工业应用程序的处理流程;
该工业主机上运行的工业应用程序所访问的所述工业控制***(20)中的资源。
10.如权利要求8所述的网络安全监视***(10),其特征在于,所述数据获取模块(102),具体用于对于所述至少一个关键网络位置中的每一处,确定所述网络流量的下列至少一项信息作为该关键网络位置处的所述第一数据:
所述网络流量中数据分组的源地址;
所述网络流量中数据分组的目的地址;
所述网络流量所使用的工业控制通信协议的功能码;
所述网络流量中的应用层数据。
11.如权利要求8所述的网络安全监视***(10),其特征在于,所述数据获取模块(102),具体用于从所述至少一个工业主机处获取至少一项下列信息,作为所述第一数据:
用户通过所述至少一个工业主机登入和/或登出所述工业控制***(20)的信息;
用户在所述至少一个工业主机上执行的对所述工业控制***(20)的控制命令;
用户通过所述至少一个工业主机访问的所述工业控制***(20)中的数据。
12.如权利要求7~11任一项所述的网络安全监视***(10),其特征在于,
所述网络安全监视***(10)还包括一个攻击源定位模块(106),用于在所述异常行为判断模块(104)确定所述第二数据所代表的所述工业控制***(20)的行为是异常行为之后,判断所述第二数据所代表的所述工业控制***(20)的行为是否为网络攻击;若是,则根据所述第二数据所代表的所述工业控制***(20)的行为所针对的对象定位攻击源;和/或
所述网络安全监视***(10)还包括一个攻击阶段确定模块(107),用于在所述异常行为判断模块(104)确定所述第二数据所代表的所述工业控制***(20)的行为是异常行为之后,判断所述第二数据所代表的所述工业控制***(20)的行为是否为网络攻击;若是,则确定所述第二数据所代表的所述工业控制***(20)的行为所处的网络攻击阶段,其中,不同的网络攻击阶段对所述工业控制***(20)的威胁程度不同。
13.一个工业控制***(20)的一个网络安全监视***(10),其特征在于,包括:
至少一个存储器(108),用于存储机器可读指令;
至少一个处理器(109),用于调用所述机器可读指令,执行如权利要求1~6任一项所述的方法。
14.机器可读介质,所述机器可读介质上存储机器可读指令,其特征在于,所述机器可读指令在被处理器调用时,执行如权利要求1~6任一项所述的方法。
CN201780089499.XA 2017-05-31 2017-05-31 工业控制***及其网络安全的监视方法 Active CN110495138B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2017/086675 WO2018218537A1 (zh) 2017-05-31 2017-05-31 工业控制***及其网络安全的监视方法

Publications (2)

Publication Number Publication Date
CN110495138A CN110495138A (zh) 2019-11-22
CN110495138B true CN110495138B (zh) 2023-09-29

Family

ID=64456346

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780089499.XA Active CN110495138B (zh) 2017-05-31 2017-05-31 工业控制***及其网络安全的监视方法

Country Status (4)

Country Link
US (1) US11747799B2 (zh)
EP (1) EP3618354A4 (zh)
CN (1) CN110495138B (zh)
WO (1) WO2018218537A1 (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11636485B2 (en) * 2018-04-06 2023-04-25 Fair Isaac Corporation Efficient parallelized computation of global behavior profiles in real-time transaction scoring systems
US11418521B2 (en) 2018-12-26 2022-08-16 Siemens Aktiengesellschaft Industrial control system monitoring method, device and system, and computer-readable medium
CN110855514B (zh) * 2019-09-30 2021-06-15 北京瑞航核心科技有限公司 一种关注物联网实体安全的行为监控方法
CN111262722B (zh) * 2019-12-31 2023-04-18 中国广核电力股份有限公司 一种用于工业控制***网络的安全监测方法
US20220103591A1 (en) * 2020-09-30 2022-03-31 Rockwell Automation Technologies, Inc. Systems and methods for detecting anomolies in network communication
CN112351035B (zh) * 2020-11-06 2022-07-15 杭州安恒信息技术股份有限公司 一种工控安全态势感知方法、装置及介质
CN112491860A (zh) * 2020-11-20 2021-03-12 国家工业信息安全发展研究中心 一种面向工业控制网络的协同入侵检测方法
CN112153081A (zh) * 2020-11-24 2020-12-29 浙江齐安信息科技有限公司 一种工业网络异常状态的检测方法
CN112650180B (zh) * 2020-12-23 2022-04-08 烽台科技(北京)有限公司 安全告警方法、装置、终端设备及存储介质
CN112738077A (zh) * 2020-12-26 2021-04-30 北京珞安科技有限责任公司 一种工控网络安全检测***
CN112995175B (zh) * 2021-02-24 2022-12-02 西安热工研究院有限公司 一种基于水轮发电机组发电状态进行网络安全防护的方法
CN113225221B (zh) * 2021-04-07 2022-08-05 杭州玖欣物联科技有限公司 一种工业互联网行业有效数据质量管理方法
CN113778054B (zh) * 2021-09-09 2022-06-14 大连理工大学 一种针对工业控制***攻击的双级检测方法
CN114019946B (zh) * 2021-11-11 2023-08-29 辽宁石油化工大学 工控终端的监控数据处理方法及装置
CN114465799A (zh) * 2022-02-10 2022-05-10 北京神州慧安科技有限公司 火电厂生产控制***工控网络***与预警平台
CN114489025B (zh) * 2022-02-14 2023-07-04 上海交通大学宁波人工智能研究院 一种模型驱动的工业控制***安全防护方法
CN114666148B (zh) * 2022-03-31 2024-02-23 深信服科技股份有限公司 风险评估方法、装置及相关设备
US12014637B2 (en) * 2022-05-20 2024-06-18 The Boeing Company Prioritizing crew alerts
CN115529162A (zh) * 2022-08-26 2022-12-27 中国科学院信息工程研究所 工控流量异常行为防护方法及***
CN116170241A (zh) * 2023-04-26 2023-05-26 国家工业信息安全发展研究中心 一种工业控制***的入侵检测方法、***及设备
CN116319106B (zh) * 2023-05-22 2023-08-08 北京网藤科技有限公司 一种用于工控安全中的进程级微隔离的方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104702460A (zh) * 2013-12-10 2015-06-10 中国科学院沈阳自动化研究所 基于SVM的Modbus TCP通讯的异常检测方法
CN104883346A (zh) * 2014-09-28 2015-09-02 北京匡恩网络科技有限责任公司 一种网络设备行为分析方法及***
CN105915402A (zh) * 2016-07-05 2016-08-31 杨林 工业控制网络安全防护***

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070050777A1 (en) * 2003-06-09 2007-03-01 Hutchinson Thomas W Duration of alerts and scanning of large data stores
US7418354B1 (en) * 2004-03-23 2008-08-26 Invensys Systems Inc. System and method for leak detection based upon analysis of flow vectors
US8712596B2 (en) * 2010-05-20 2014-04-29 Accenture Global Services Limited Malicious attack detection and analysis
CN103051617B (zh) * 2012-12-18 2015-09-02 北京奇虎科技有限公司 识别程序的网络行为的方法、装置及***
US20140277612A1 (en) * 2013-03-14 2014-09-18 General Electric Company Automatic generation of a dynamic pre-start checklist
US9456003B2 (en) * 2013-07-24 2016-09-27 At&T Intellectual Property I, L.P. Decoupling hardware and software components of network security devices to provide security software as a service in a distributed computing environment
CN103439933B (zh) * 2013-08-13 2015-09-30 清华大学 一种应用ocsvm的生产过程自适应监控***及方法
US10489711B1 (en) * 2013-10-22 2019-11-26 EMC IP Holding Company LLC Method and apparatus for predictive behavioral analytics for IT operations
GB2529150B (en) 2014-08-04 2022-03-30 Darktrace Ltd Cyber security
US9930058B2 (en) * 2014-08-13 2018-03-27 Honeywell International Inc. Analyzing cyber-security risks in an industrial control environment
US9210185B1 (en) * 2014-12-05 2015-12-08 Lookingglass Cyber Solutions, Inc. Cyber threat monitor and control apparatuses, methods and systems
US9767308B2 (en) * 2015-05-29 2017-09-19 Rockwell Automation Technologies, Inc. Custom security policies for multiple objects
CN106209843A (zh) * 2016-07-12 2016-12-07 工业和信息化部电子工业标准化研究院 一种面向Modbus协议的数据流异常分析方法
US10530749B1 (en) * 2016-10-24 2020-01-07 Mission Secure, Inc. Security system, device, and method for operational technology networks
CN106603531A (zh) * 2016-12-15 2017-04-26 中国科学院沈阳自动化研究所 一种基于工业控制网络的入侵检测模型的自动建立方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104702460A (zh) * 2013-12-10 2015-06-10 中国科学院沈阳自动化研究所 基于SVM的Modbus TCP通讯的异常检测方法
CN104883346A (zh) * 2014-09-28 2015-09-02 北京匡恩网络科技有限责任公司 一种网络设备行为分析方法及***
CN105915402A (zh) * 2016-07-05 2016-08-31 杨林 工业控制网络安全防护***

Also Published As

Publication number Publication date
WO2018218537A1 (zh) 2018-12-06
US11747799B2 (en) 2023-09-05
EP3618354A4 (en) 2020-12-02
US20200089204A1 (en) 2020-03-19
CN110495138A (zh) 2019-11-22
EP3618354A1 (en) 2020-03-04

Similar Documents

Publication Publication Date Title
CN110495138B (zh) 工业控制***及其网络安全的监视方法
EP3588898B1 (en) Defense against apt attack
US10616258B2 (en) Security information and event management
Kuipers et al. Control systems cyber security: Defense in depth strategies
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
Singh et al. Analysis of host-based and network-based intrusion detection system
EP2366241B1 (en) Network analysis
CN106850637B (zh) 一种基于流量白名单的异常流量检测方法
WO2012166194A1 (en) Network asset information management
WO2012015489A1 (en) System and method for network level protection against malicious software
JP2020201940A (ja) 自動化された侵入検出用システム及び方法
JP2018194880A (ja) 情報処理装置、不正活動分類方法および不正活動分類用プログラム
EP4185975B1 (en) Detection of anomalous count of new entities
CN112583845A (zh) 一种访问检测方法、装置、电子设备和计算机存储介质
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
Radoglou-Grammatikis et al. Trusty: A solution for threat hunting using data analysis in critical infrastructures
Pranggono et al. Intrusion detection systems for critical infrastructure
CN114172881B (zh) 基于预测的网络安全验证方法、装置及***
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
Kang et al. Whitelist generation technique for industrial firewall in SCADA networks
Fanfara et al. Autonomous hybrid honeypot as the future of distributed computer systems security
Yılmaz et al. ICS Cyber attack analysis and a new diagnosis approach
EP4258147A1 (en) Network vulnerability assessment
Perez Practical SIEM tools for SCADA environment
Misbahuddin et al. Dynamic IDP Signature processing by fast elimination using DFA

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant