CN110912927B - 工业控制***中控制报文的检测方法及装置 - Google Patents

工业控制***中控制报文的检测方法及装置 Download PDF

Info

Publication number
CN110912927B
CN110912927B CN201911252258.XA CN201911252258A CN110912927B CN 110912927 B CN110912927 B CN 110912927B CN 201911252258 A CN201911252258 A CN 201911252258A CN 110912927 B CN110912927 B CN 110912927B
Authority
CN
China
Prior art keywords
message
control
packet
matched
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911252258.XA
Other languages
English (en)
Other versions
CN110912927A (zh
Inventor
胡斌
尹亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Lvmeng Network Security Technology Co ltd
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN201911252258.XA priority Critical patent/CN110912927B/zh
Publication of CN110912927A publication Critical patent/CN110912927A/zh
Application granted granted Critical
Publication of CN110912927B publication Critical patent/CN110912927B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种工业控制***中控制报文的检测方法及装置。该方法在获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数后,根据配置的通信协议参数、通信环境参数与最大存在时长,以及至少一个控制指令参数,生成至少一个控制指令参数对应的报文规则;接收目标监控主机在当前业务要求下发送的当前实际控制报文;采用预设报文推演规则,对至少一个报文规则和存储的上一次发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文,并根据其与当前实际控制报文的匹配检测结果,确定当前实际控制报文是否为正常控制报文。该方法避免了恶意代码对工控协议内容的修改,提高了工业控制***对控制报文的检测准确率。

Description

工业控制***中控制报文的检测方法及装置
技术领域
本申请涉及工业控制***的安全领域,尤其涉及一种工业控制***中控制报文的检测方法及装置。
背景技术
根据ISA99普渡参考模型可将工业企业***分为企业资源层、生产管理层、过程监控层、现场控制层、现场设备层。企业资源层、生产管理层、过程监控层为传统的信息技术(Information Tech,IT)架构,一般是非实时数据。现场控制层、现场设备层为操作技术(Operational Tech,OT),一般是实时***。工业控制***由过程监控层、现场控制层、现场设备层组成,过程监控层和现场控制层之间成为跨越IT与OT的桥梁,出现了安全威胁相互渗透的趋势,如何在过程监控层和现场控制层之间建立一条可信信道来阻止安全威胁是需要解决的问题。
如图1所示,在传统的工业控制***防护技术方案中,工业防火墙串联在过程监控层与工业交换机,工业交换机与现场控制层相连,工业入侵检测装置与工业交换机相连,镜像流经工业交换机的业务流量,并将该业务流量发送至安全管理中心。
在工业防火墙中配置安全规则,可以对过程监控层与现场控制层之间传输的工业报文进行传输协议过滤和控制,以阻断过程监控层与现场控制层间之间存在非授权访问的控制报文,然而,工业防火墙的安全规则为静态规则,仅对源IP地址,源端口,目的IP地址,目的端口、传输层协议和应用层协议等进行过滤,无法对控制报文的控制参数变化进行检测,也不能检测出用恶意代码伪装的异常控制报文。
此时由工业入侵检测设备(或称“检测设备”)基于存储的工业控制报文(或称“控制报文”)的特征信息库做报文的特征检测,来检测是否存在异常控制报文,由于该特征库是基于工业控制报文(或称“控制报文”)的外部特征来制定的,如报文功能,报文协议等,但对于控制报文中的报文字段中的控制参数被恶意代码篡改后,工业入侵检测设备将无法有效阻挡恶意代码的攻击,导致工业控制***存在较高的漏报率和误报率,降低了工业控制***对控制报文的检测准确率。
发明内容
本申请实施例提供一种工业控制***中控制报文的检测方法及装置,解决了现有技术存在的上述问题,可以解决传统工业控制***防护方案中对控制报文检测的漏报和误报问题,提高工业控制***对控制报文的检测准确率。
第一方面,提供了一种工业控制***中控制报文的检测方法,该方法可以包括:
获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数;
根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成所述至少一个控制指令参数对应的报文规则,并存储在报文规则库;
接收所述目标监控主机在所述当前业务要求下发送的当前实际控制报文;
采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文;
根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果,确定所述当前实际控制报文是否为正常控制报文。
在一个可选的实现中,采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文,包括:
获取所述通信协议参数对应的报文结构,以及存储的报文可变信息对应的当前报文可变信息;
根据所述预设报文推演规则,对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演,获取至少一个待匹配报文。
在一个可选的实现中,确定所述当前实际控制报文是否为正常控制报文之前,所述方法还包括:
将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。
在一个可选的实现中,将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测,包括:
若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功,则确定所述当前实际控制报文为正常控制报文;
若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容,则确定所述当前实际控制报文为异常控制报文。
在一个可选的实现中,确定所述当前实际控制报文为正常控制报文之后,所述方法还包括:
删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。
在一个可选的实现中,所述方法还包括:
若所述异常控制报文与预设的异常特征信息匹配成功,则根据所述预设的异常特征信息对应的异常类型,确定所述异常控制报文的异常类型;
若所述异常控制报文与预设的异常特征信息匹配失败,则确定所述异常控制报文的异常类型为未知异常类型;
生成第一告警信息,所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。
在一个可选的实现中,所述方法还包括:
若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长,则将所述报文规则确定为异常报文规则,并在所述报文规则库中删除所述报文规则。
在一个可选的实现中,所述方法还包括:
生成第二告警信息,所述第二告警信息包括所述报文规则为异常报文规则的信息。
在一个可选的实现中,获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数之前,所述方法还包括:
获取工业控制***的初始通信信息,所述初始通信信息包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息;
根据所述通信配置信息、所述目标监控主机的标识和所述目标控制器的标识,建立所述目标监控主机和所述目标控制器间的通信连接;
确定所述当前实际控制报文是否为正常控制报文之后,所述方法还包括:
若所述当前实际控制报文为正常控制报文,则向所述目标控制器输出所述正常控制报文。
第二方面,提供了一种工业控制***中控制报文的检测装置,该装置可以包括:获取单元、生成单元、接收单元和确定单元;
所述获取单元,用于获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数;
所述生成单元,用于根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成所述至少一个控制指令参数对应的报文规则,并存储在报文规则库;
所述接收单元,用于接收所述目标监控主机在所述当前业务要求下发送的当前实际控制报文;
所述获取单元,还用于采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文;
所述确定单元,用于根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果,确定所述当前实际控制报文是否为正常控制报文。
在一个可选的实现中,所述获取单元,具体用于获取所述通信协议参数对应的报文结构,以及存储的报文可变信息对应的当前报文可变信息;
根据所述预设报文推演规则,对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演,获取至少一个待匹配报文。
在一个可选的实现中,所述确定单元,还用于将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。
在一个可选的实现中,所述确定单元,还具体用于若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功,则确定所述当前实际控制报文为正常控制报文;
若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容,则确定所述当前实际控制报文为异常控制报文。
在一个可选的实现中,所述装置还包括删除单元;
所述删除单元,用于删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。
在一个可选的实现中,所述确定单元,还用于若所述异常控制报文与预设的异常特征信息匹配成功,则根据所述预设的异常特征信息对应的异常类型,确定所述异常控制报文的异常类型;
若所述异常控制报文与预设的异常特征信息匹配失败,则确定所述异常控制报文的异常类型为未知异常类型;
所述生成单元,还用于生成第一告警信息,所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。
在一个可选的实现中,所述确定单元,还用于若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长,则将所述报文规则确定为异常报文规则,并在所述报文规则库中删除所述报文规则。
在一个可选的实现中,所述生成单元,还用于生成第二告警信息,所述第二告警信息包括所述报文规则为异常报文规则的信息。
在一个可选的实现中,所述装置还包括建立单元和发送单元;
所述获取单元,还用于获取工业控制***的初始通信信息,所述初始通信信息包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息;
所述建立单元,用于根据所述通信配置信息、所述目标监控主机的标识和所述目标控制器的标识,建立所述目标监控主机和所述目标控制器间的通信连接;
所述发送单元,用于若所述当前实际控制报文为正常控制报文,则向所述目标控制器输出所述正常控制报文。
第三方面,提供了一种电子设备,该电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面中任一所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。
本发明上述实施例提供的检测方法在获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数后,根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成至少一个控制指令参数对应的报文规则,并存储在报文规则库;接收目标监控主机在当前业务要求下发送的当前实际控制报文;采用预设报文推演规则,对至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文;根据至少一个待匹配报文与当前实际控制报文的匹配检测结果,确定当前实际控制报文是否为正常控制报文。与现有技术相比,该检测方法从控制报文的外部特征和报文内容两方面对控制报文进行检测,避免了恶意代码对工控协议内容的修改,即报文字段值的修改形成的异常控制报文,提高了工业控制***对控制报文的检测准确率。
附图说明
图1为传统的工业控制***的结构示意图;
图2为本发明实施例提供的工业控制***中控制报文的检测方法应用的检测设备的结构示意图;
图3为本发明实施例提供的一种工业控制***中控制报文的检测方法的流程示意图;
图4为本发明实施例提供的一种工业控制***中控制报文的检测装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
传统的信息***可以采用多种应用协议,执行多种操作功能,交互大量的数据报文;而工业控制***与传统的信息***不同,工业控制***采用专属应用协议,执行可预测的操作功能,交互可预测的控制报文。
其中,工业控制***中的过程监控层包括至少一个终端。该终端可以是个人计算机(Personal Computer,PC)、笔记本电脑、个人数字助理(PDA)、平板电脑(PAD)等用户设备(User Equipment,UE)。工业控制***中的现场控制层包括控制至少一种设备的控制器,如控制仪表设备的控制器,控制开关设备的控制器。
本发明实施例提供的工业控制***中控制报文的检测方法可以应用在图2所示的检测设备中,该检测设备位于过程监控层和现场控制层之间,该检测设备可以包括:指令输入装置、报文推演装置和访问控制装置。
指令输入装置,用于满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数;
报文推演装置,用于根据预先配置的通信协议参数(或称“已知报文信息”)、通信环境参数与最大存在时长(或称“生存期标签”),以及获取的至少一个控制指令参数,生成至少一个控制指令参数对应的报文规则;以及,采用预设报文推演规则,对至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息(或称“上下报文信息”)进行推演,获取至少一个待匹配报文。
其中,通信环境信息是根据具体的***环境确定的,由技术人员预先录入的通信地址信息,如IP地址、物理地址信息,如MAC地址、端口号信息等。
报文可变信息可以包括报文标识、报文序列号,即上一次发送的实际控制报文的报文顺序等,或者在报文分片的情况下,其可以是报文计数帧、报文偏移等信息。
在一个例子中,以过程监控层与现场控制层间采用MODBUS/TCP协议进行通信,过程监控层的IP地址为10.84.20.166,现场控制层的IP地址为10.84.20.163,操作控制指令为:在00 01寄存器中写入数值100为例。
控制参数为:在00 01寄存器中写入数值100。
一个MODBUS/TCP报文可以包括MAC报文、IP报文、TCP报文和MODBUS报文4个部分。
(1)MAC报文:
通信协议参数可以是通信协议类型信息等;
通信环境信息可以是源MAC地址和目的MAC地址等。
(2)IP报文:
通信协议参数可以是通信协议类型信息等;
通信环境信息可以是源IP地址和目的IP地址等;
报文可变信息可以是在报文分片的情况下的报文标识、标记或偏移等。
(3)TCP报文:
通信协议参数可以是通信协议类型信息等;
通信环境信息可以是源端口号和目的端口号等;
报文可变信息可以是在报文分片的情况下的报文序号、确认序号、窗口指针或紧急指针等。
(4)MODBUS报文:
通信协议参数可以是协议类型等;
通信环境信息可以是物理地址、功能码和寄存器地址等;
报文可变信息可以是在报文分片的情况下的报文计数帧等。
访问控制装置,用于接收目标监控主机在当前业务要求下发送的当前实际控制报文;以及,根据至少一个待匹配报文与当前实际控制报文的匹配检测结果,确定当前实际控制报文是否为正常控制报文。
若确定当前实际控制报文为正常控制报文,则向现场控制层输出该正常控制报文;若确定当前实际控制报文为异常控制报文,则将该异常控制报文传输至异常报文库中。
可选地,报文推演装置,还可以用于对访问控制装置确定的异常控制报文进行异常分析,以得到异常控制报文的异常类型、形成的原因等信息,并向安全管理中心发送异常分析结果,便于管理人员进行维修。
可选地,该检测设备还可以包括:
显示装置,用于对检测设备实时的检测结果作全面的展示,也即是对工业控制***的实时网络安全状态作全面的展示。
数据库,用于存储支持工业控制***正常运行的***数据,如上述各装置正常运行的运行参数,以及预设的模拟工控操作指令集、异常控制报文的特征信息。数据库可以包括报文规则库、异常报文库。
信息维护装置,用于对支持工业控制***正常运行的***数据进行维护。
本发明上述实施例提供的检测***在同一业务要求下,通过在模拟环境生成的待匹配报文对实际工控环境中传输的当前实际控制报文进行过滤,实现在过程监控层访问现场控制层前对当前实际控制报文进行控制报文的字段、字段内容的检测,从根本上解决了过程监控层与现场控制层间传输的报文不可信的问题,从而解决了传统工业控制***防护方案中对控制报文检测的漏报和误报问题,提高了工业控制***对控制报文的检测准确率。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图3为本发明实施例提供的一种工业控制***中控制报文的检测方法的流程示意图。如图3所示,该方法可以包括:
步骤310、获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数。
在执行该步骤之前,检测设备还可以获取初始工控通信信息,该初始工控通信信息可以包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息等信息;并根据通信配置信息、目标监控主机的标识和目标控制器的标识,建立目标监控主机和目标控制器间的通信连接。
同时,检测设备可以获取模拟工控操作指令集,该模拟工控操作指令集包括与至少一种业务要求一一对应的工控操作指令。
需要说明的是,检测设备可以通过接收技术人员输入的方式来获取模拟工控操作指令集,也可以通过自动收集曾出现的业务要求与相应输入的工控操作指令的方式来获取模拟工控操作指令集,本发明实施例在此不做限定。
其中,控制报文是工业控制***的专属应用协议规定的报文。
检测设备可以自动根据当前业务要求,查找预设的模拟工控操作指令集,得到该当前业务要求对应的模拟工控操作指令。或者,技术人员可以根据当前业务要求,查找预设的模拟工控操作指令集,得到该当前业务要求对应的模拟工控操作指令后,获取该模拟工控操作指令对应的控制指令参数。
例如,以检测设备自动获取,且当前业务要求为将1号开关关闭为例,检测设备根据将1号开关关闭的业务要求,从预设的模拟工控操作指令集中得到将1号开关关闭的业务要求对应的模拟工控操作指令,并获取该模拟工控操作指令对应的控制指令参数“0”,即“0”表示将1号开关关闭的模拟工控操作。
步骤320、根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成至少一个控制指令参数对应的报文规则,并存储在报文规则库。
检测设备对至少一个控制指令参数中的控制指令参数分配相应的通信协议参数、通信环境参数与最大存在时长,如1min,由此得到至少一个控制指令参数对应的至少一条报文规则,并将得到的至少一条报文规则存储在报文规则库中。
需要说明的是,针对配置的通信协议参数、通信环境参数与最大存在时长,可以对不同的控制指令参数进行单独配置,也可以对每个控制指令参数配置相同的通信协议参数、通信环境参数与最大存在时长,本发明实施例在此不做限定。
步骤330、接收目标监控主机在当前业务要求下发送的当前实际控制报文。
检测设备接收过程监控层中目标监控主机在正常的工控环境中发送的满足当前业务要求的实际工控操作指令,并根据工业控制***的专属应用协议和满足当前业务要求的工控操作指令,生成当前实际控制报文。
可选地,检测设备接收到当前实际控制报文后,对当前实际控制报文进行解析,得到当前实际控制报文的报文字段,即得到当前实际控制报文的源IP地址、目的IP地址、源端口、目的端口、协议类型、设备地址、功能码、寄存器区、读写属性、寄存器地址等字段和相应字段内容。
可选地,检测设备将存储当前实际控制报文的报文信息,以便下次报文检测。
步骤340、采用预设报文推演规则,对至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文。
具体的,检测设备接收到当前实际控制报文后,获取通信协议参数的报文结构,以及获取存储的上一次目标监控主机发送的实际控制报文的报文可变信息,如报文序列号,由此推演出当前接收的当前实际控制报文的当前报文可变信息;
之后,根据预设报文推演规则,对报文结构、当前报文可变信息以及通信环境参数进行报文推演,获取至少一个待匹配报文,即根据预设报文推演规则,对报文结构、当前报文可变信息以及通信环境参数进行组合,得到至少一个待匹配报文。
步骤350、根据至少一个待匹配报文与当前实际控制报文的匹配检测结果,确定当前实际控制报文是否为正常控制报文。
检测设备将至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。其中,报文字段可以包括源IP地址、目的IP地址、源端口、目的端口、协议类型、设备地址、功能码、寄存器区、读写属性、寄存器地址等。
若至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功,则确定当前实际控制报文为正常控制报文;
若至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容,则确定当前实际控制报文为异常控制报文。
进一步的,若确定当前实际控制报文为正常控制报文,则通过目标监控主机和目标控制器间的通信连接,向目标控制器输出该当前实际控制报文。
同时,为了提高检测准确性,避免下次匹配到当前业务要求下的访问匹配信息,检测设备可以在确定当前实际控制报文为正常控制报文后,删除报文规则库中与当前实际控制报文匹配成功的待匹配报文对应的报文规则。
或者,在若检测到报文规则库中的至少一个控制指令参数对应的报文规则的存在时间大于最大存在时长,则将相应报文规则确定为异常报文规则,并在报文规则库中删除报文规则。
可见,本发明上述实施例对于一种业务要求依据待匹配报文对实时的控制报文进行过滤,即将与待匹配报文不匹配的实际控制报文实时阻断,对与待匹配报文完全匹配的实际控制报文放行,并按照“一次一匹配”的动态检测方式,采用一次匹配时效的原则,对一次匹配上待匹配报文后,待匹配报文失效,或未匹配上待匹配报文后,在规定时间内也失效的方式,显著的提高了检测的准确性。
可选地,对于上述各个步骤的实施过程可以生成审计记录,便于后续运维人员对检测***提供的异常控制报文进行运维处理。
进一步的,为了提高工业控制***的安全预警能力,以及安全响应效率,检测设备可以通过预设的异常控制报文的特征分析方法分析出异常控制报文存在的异常类型,该异常类型可以包括错误操作类型、已知攻击类型和未知攻击类型等。
检测设备对于异常报文库中存储的异常控制报文的异常分析为:
将存储的异常控制报文与预设的异常特征信息进行匹配;
若异常控制报文与预设的异常特征信息匹配成功,则根据预设的异常特征信息对应的异常类型,确定异常控制报文的异常类型;
若异常控制报文与预设的异常特征信息匹配失败,则确定异常控制报文的异常类型为未知异常类型;
同时,生成第一告警信息,第一告警信息包括异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。其中,该第一告警信息可以通过语音形式和/或文本形式进行展示。现有技术的基于沙箱或大量安全审计数据,以及经验特征的异常类型分析方法,成本较高且存在漏报误报的现象,而通过本发明实施例的上述异常分析方法,可精准分析出已知攻击报文类型、错误操作类型以及未知威胁的异常类型,提高了安全响应的效率。同时为运维人员的维护提供保障。
可选地,将相应报文规则确定为异常报文规则后,检测设备还可以生成第二告警信息,第二告警信息包括报文规则为异常报文规则的信息,以向技术人员展示该信息。其中,该第二告警信息可以通过语音形式和/或文本形式进行展示。
本发明上述实施例提供的检测方法在获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数后,根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成至少一个控制指令参数对应的报文规则,并存储在报文规则库;接收目标监控主机在当前业务要求下发送的当前实际控制报文;采用预设报文推演规则,对至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文;根据至少一个待匹配报文与当前实际控制报文的匹配检测结果,确定当前实际控制报文是否为正常控制报文。与现有技术相比,该检测方法从控制报文的外部特征和报文内容两方面对控制报文进行检测,避免了恶意代码对工控协议内容的修改,即报文字段值的修改形成的异常控制报文,提高了工业控制***对控制报文的检测准确率。
与上述方法对应的,本发明实施例还提供一种工业控制***中控制报文的检测装置,如图4所示,该装置包括:获取单元410、生成单元420、接收单元430和确定单元440;
获取单元410,用于获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数;
生成单元420,用于根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成所述至少一个控制指令参数对应的报文规则,并存储在报文规则库;
接收单元430,用于接收所述目标监控主机在所述当前业务要求下发送的当前实际控制报文;
获取单元410,还用于采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文;
确定单元440,用于根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果,确定所述当前实际控制报文是否为正常控制报文。
在一个可选的实现中,获取单元410,具体用于获取所述通信协议参数对应的报文结构,以及存储的报文可变信息对应的当前报文可变信息;
根据所述预设报文推演规则,对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演,获取至少一个待匹配报文。
在一个可选的实现中,确定单元440,还用于将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。
在一个可选的实现中,确定单元440,还具体用于若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功,则确定所述当前实际控制报文为正常控制报文;
若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容,则确定所述当前实际控制报文为异常控制报文。
在一个可选的实现中,所述装置还包括删除单元450;
删除单元450,用于删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。
在一个可选的实现中,确定单元440,还用于若所述异常控制报文与预设的异常特征信息匹配成功,则根据所述预设的异常特征信息对应的异常类型,确定所述异常控制报文的异常类型;
若所述异常控制报文与预设的异常特征信息匹配失败,则确定所述异常控制报文的异常类型为未知异常类型;
生成单元420,还用于生成第一告警信息,所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。
在一个可选的实现中,确定单元440,还用于若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长,则将所述报文规则确定为异常报文规则,并在所述报文规则库中删除所述报文规则。
在一个可选的实现中,生成单元420,还用于生成第二告警信息,所述第二告警信息包括所述报文规则为异常报文规则的信息。
在一个可选的实现中,所述装置还包括建立单元460和发送单元470;
获取单元410,还用于获取工业控制***的初始通信信息,所述初始通信信息包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息;
建立单元460,用于根据所述通信配置信息、所述目标监控主机的标识和所述目标控制器的标识,建立所述目标监控主机和所述目标控制器间的通信连接;
发送单元470,用于若所述当前实际控制报文为正常控制报文,则向所述目标控制器输出所述正常控制报文。
本发明上述实施例提供的工业控制***中控制报文的检测装置的各功能单元的功能,可以通过上述各方法步骤来实现,因此,本发明实施例提供的该装置中的各个单元的具体工作过程和有益效果,在此不复赘述。
本发明实施例还提供了一种电子设备,如图5所示,包括处理器510、通信接口520、存储器530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。
存储器530,用于存放计算机程序;
处理器510,用于执行存储器530上所存放的程序时,实现如下步骤:
获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数;
根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成所述至少一个控制指令参数对应的报文规则,并存储在报文规则库;
接收所述目标监控主机在所述当前业务要求下发送的当前实际控制报文;
采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文;
根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果,确定所述当前实际控制报文是否为正常控制报文。
在一个可选的实现中,采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文,包括:
获取所述通信协议参数对应的报文结构,以及存储的报文可变信息对应的当前报文可变信息;
根据所述预设报文推演规则,对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演,获取至少一个待匹配报文。
在一个可选的实现中,确定所述当前实际控制报文是否为正常控制报文之前,所述方法还包括:
将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。
在一个可选的实现中,将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测,包括:
若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功,则确定所述当前实际控制报文为正常控制报文;
若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容,则确定所述当前实际控制报文为异常控制报文。
在一个可选的实现中,确定所述当前实际控制报文为正常控制报文之后,所述方法还包括:
删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。
在一个可选的实现中,所述方法还包括:
若所述异常控制报文与预设的异常特征信息匹配成功,则根据所述预设的异常特征信息对应的异常类型,确定所述异常控制报文的异常类型;
若所述异常控制报文与预设的异常特征信息匹配失败,则确定所述异常控制报文的异常类型为未知异常类型;
生成第一告警信息,所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。
在一个可选的实现中,所述方法还包括:
若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长,则将所述报文规则确定为异常报文规则,并在所述报文规则库中删除所述报文规则。
在一个可选的实现中,所述方法还包括:
生成第二告警信息,所述第二告警信息包括所述报文规则为异常报文规则的信息。
在一个可选的实现中,获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数之前,所述方法还包括:
获取工业控制***的初始通信信息,所述初始通信信息包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息;
根据所述通信配置信息、所述目标监控主机的标识和所述目标控制器的标识,建立所述目标监控主机和所述目标控制器间的通信连接;
确定所述当前实际控制报文是否为正常控制报文之后,所述方法还包括:
若所述当前实际控制报文为正常控制报文,则向所述目标控制器输出所述正常控制报文。
上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由于上述实施例中电子设备的各器件解决问题的实施方式以及有益效果可以参见图3所示的实施例中的各步骤来实现,因此,本发明实施例提供的电子设备的具体工作过程和有益效果,在此不复赘述。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的工业控制***中控制报文的检测方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的工业控制***中控制报文的检测方法。
本领域内的技术人员应明白,本申请实施例中的实施例可提供为方法、***、或计算机程序产品。因此,本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例中是参照根据本申请实施例中实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样,倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内,则本申请实施例中也意图包含这些改动和变型在内。

Claims (20)

1.一种工业控制***中控制报文的检测方法,其特征在于,所述方法包括:
获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数;
根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成所述至少一个控制指令参数对应的报文规则,并存储在报文规则库,具体包括:对所述至少一个控制指令参数中的控制指令参数分配相应的通信协议参数、通信环境参数与最大存在时长,得到所述至少一个控制指令参数对应的至少一条报文规则;
接收目标监控主机在所述当前业务要求下发送的当前实际控制报文,所述控制报文是所述工业控制***的专属应用协议规定的报文;
采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文,其中,所述报文可变信息包括报文标识和报文序列号;
根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果,确定所述当前实际控制报文是否为正常控制报文。
2.如权利要求1所述的方法,其特征在于,采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文,包括:
获取所述通信协议参数对应的报文结构,以及存储的报文可变信息对应的当前报文可变信息;
根据所述预设报文推演规则,对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演,获取至少一个待匹配报文。
3.如权利要求1所述的方法,其特征在于,确定所述当前实际控制报文是否为正常控制报文之前,所述方法还包括:
将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。
4.如权利要求3所述的方法,其特征在于,将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测,包括:
若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功,则确定所述当前实际控制报文为正常控制报文;
若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容,则确定所述当前实际控制报文为异常控制报文。
5.如权利要求4所述的方法,其特征在于,确定所述当前实际控制报文为正常控制报文之后,所述方法还包括:
删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。
6.如权利要求4所述的方法,其特征在于,所述方法还包括:
若所述异常控制报文与预设的异常特征信息匹配成功,则根据所述预设的异常特征信息对应的异常类型,确定所述异常控制报文的异常类型;
若所述异常控制报文与预设的异常特征信息匹配失败,则确定所述异常控制报文的异常类型为未知异常类型;
生成第一告警信息,所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长,则将所述报文规则确定为异常报文规则,并在所述报文规则库中删除所述报文规则。
8.如权利要求7所述的方法,其特征在于,所述方法还包括:
生成第二告警信息,所述第二告警信息包括所述报文规则为异常报文规则的信息。
9.如权利要求1所述的方法,其特征在于,获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数之前,所述方法还包括:
获取工业控制***的初始通信信息,所述初始通信信息包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息;
根据所述通信配置信息、所述目标监控主机的标识和所述目标控制器的标识,建立所述目标监控主机和所述目标控制器间的通信连接;
确定所述当前实际控制报文是否为正常控制报文之后,所述方法还包括:
若所述当前实际控制报文为正常控制报文,则向所述目标控制器输出所述正常控制报文。
10.一种工业控制***中控制报文的检测装置,其特征在于,所述装置包括:获取单元、生成单元、接收单元和确定单元;
所述获取单元,用于获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数;
所述生成单元,用于根据配置的通信协议参数、通信环境参数与最大存在时长,以及获取的至少一个控制指令参数,生成所述至少一个控制指令参数对应的报文规则,并存储在报文规则库;
所述生成单元,具体用于对所述至少一个控制指令参数中的控制指令参数分配相应的通信协议参数、通信环境参数与最大存在时长,得到所述至少一个控制指令参数对应的至少一条报文规则;
所述接收单元,用于接收目标监控主机在所述当前业务要求下发送的当前实际控制报文,所述控制报文是所述工业控制***的专属应用协议规定的报文;
所述获取单元,还用于采用预设报文推演规则,对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演,获取至少一个待匹配报文,其中,所述报文可变信息包括报文标识和报文序列号;
所述确定单元,用于根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果,确定所述当前实际控制报文是否为正常控制报文。
11.如权利要求10所述的装置,其特征在于,
所述获取单元,具体用于获取所述通信协议参数对应的报文结构,以及存储的报文可变信息对应的当前报文可变信息;
根据所述预设报文推演规则,对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演,获取至少一个待匹配报文。
12.如权利要求10所述的装置,其特征在于,所述确定单元,还用于将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。
13.如权利要求12所述的装置,其特征在于,
所述确定单元,还具体用于若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功,则确定所述当前实际控制报文为正常控制报文;
若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容,则确定所述当前实际控制报文为异常控制报文。
14.如权利要求13所述的装置,其特征在于,所述装置还包括删除单元;
所述删除单元,用于删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。
15.如权利要求13所述的装置,其特征在于,
所述确定单元,还用于若所述异常控制报文与预设的异常特征信息匹配成功,则根据所述预设的异常特征信息对应的异常类型,确定所述异常控制报文的异常类型;
若所述异常控制报文与预设的异常特征信息匹配失败,则确定所述异常控制报文的异常类型为未知异常类型;
所述生成单元,还用于生成第一告警信息,所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。
16.如权利要求10所述的装置,其特征在于,所述确定单元,还用于若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长,则将所述报文规则确定为异常报文规则,并在所述报文规则库中删除所述报文规则。
17.如权利要求16所述的装置,其特征在于,所述生成单元,还用于生成第二告警信息,所述第二告警信息包括所述报文规则为异常报文规则的信息。
18.如权利要求10所述的装置,其特征在于,所述装置还包括建立单元和发送单元;
所述获取单元,还用于获取工业控制***的初始通信信息,所述初始通信信息包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息;
所述建立单元,用于根据所述通信配置信息、所述目标监控主机的标识和所述目标控制器的标识,建立所述目标监控主机和所述目标控制器间的通信连接;
所述发送单元,用于若所述当前实际控制报文为正常控制报文,则向所述目标控制器输出所述正常控制报文。
19.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-9任一所述的方法步骤。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-9任一所述的方法步骤。
CN201911252258.XA 2019-12-09 2019-12-09 工业控制***中控制报文的检测方法及装置 Active CN110912927B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911252258.XA CN110912927B (zh) 2019-12-09 2019-12-09 工业控制***中控制报文的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911252258.XA CN110912927B (zh) 2019-12-09 2019-12-09 工业控制***中控制报文的检测方法及装置

Publications (2)

Publication Number Publication Date
CN110912927A CN110912927A (zh) 2020-03-24
CN110912927B true CN110912927B (zh) 2022-04-12

Family

ID=69823505

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911252258.XA Active CN110912927B (zh) 2019-12-09 2019-12-09 工业控制***中控制报文的检测方法及装置

Country Status (1)

Country Link
CN (1) CN110912927B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111885180B (zh) * 2020-07-28 2023-06-20 海尔优家智能科技(北京)有限公司 消息下发方法及装置
CN111835793A (zh) * 2020-08-05 2020-10-27 天津美腾科技股份有限公司 用于物联网接入的通信方法、装置、电子设备及存储介质
CN112486139A (zh) * 2020-11-12 2021-03-12 顶象科技有限公司 基于虚拟补丁的工业控制***保护方法、装置、设备及介质
CN112822291A (zh) * 2021-02-07 2021-05-18 国网福建省电力有限公司电力科学研究院 一种工控设备的监测方法与装置
CN113467345B (zh) * 2021-08-11 2022-06-14 中电积至(海南)信息技术有限公司 一种具有模拟模块的智能家居安全网关***
CN115622963A (zh) * 2022-12-01 2023-01-17 北京安帝科技有限公司 基于工业交换机的报文检测方法、装置、设备与介质
CN116142296B (zh) * 2023-04-21 2023-06-23 中国第一汽车股份有限公司 后轮转向***的故障检测方法、装置、设备及存储介质
CN116893663B (zh) * 2023-09-07 2024-01-09 之江实验室 一种主控异常检测方法、装置、存储介质及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109922072A (zh) * 2019-03-18 2019-06-21 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102523223B (zh) * 2011-12-20 2014-08-27 北京神州绿盟信息安全科技股份有限公司 一种木马检测的方法及装置
JP2017123522A (ja) * 2016-01-05 2017-07-13 富士通株式会社 通信装置、制御装置、通信システム、および、通信方法
CN107404487B (zh) * 2017-08-07 2020-07-21 浙江国利网安科技有限公司 一种工业控制***安全检测方法及装置
CN109660518B (zh) * 2018-11-22 2020-12-18 北京六方云信息技术有限公司 网络的通信数据检测方法、装置以及机器可读存储介质
CN110011973B (zh) * 2019-03-06 2021-08-03 浙江国利网安科技有限公司 工业控制网络访问规则构建方法及训练***
CN110113332A (zh) * 2019-04-30 2019-08-09 北京奇安信科技有限公司 一种检测工控协议是否存在异常的方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109922072A (zh) * 2019-03-18 2019-06-21 腾讯科技(深圳)有限公司 一种分布式拒绝服务攻击检测方法及装置

Also Published As

Publication number Publication date
CN110912927A (zh) 2020-03-24

Similar Documents

Publication Publication Date Title
CN110912927B (zh) 工业控制***中控制报文的检测方法及装置
CN111901327B (zh) 云网络漏洞挖掘方法、装置、电子设备及介质
WO2019095719A1 (zh) 网络流量异常检测方法、装置、计算机设备和存储介质
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN112702383A (zh) 收集误差分组信息以进行网络策略实施
CN109164786A (zh) 一种基于时间相关基线的异常行为检测方法、装置及设备
CN110417778B (zh) 访问请求的处理方法和装置
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN110830330B (zh) 一种防火墙测试方法、装置及***
CN112565266A (zh) 一种信息泄露攻击检测方法、装置、电子设备及存储介质
CN114374566B (zh) 一种攻击检测方法及装置
CN112615858B (zh) 物联网设备监控方法、装置与***
CN111083157B (zh) 报文过滤规则的处理方法和装置
WO2019136954A1 (zh) 网络合规检测方法、装置、设备及介质
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
EP3343421A1 (en) System to detect machine-initiated events in time series data
CN111464513A (zh) 数据检测方法、装置、服务器及存储介质
CN112822291A (zh) 一种工控设备的监测方法与装置
CN112653693A (zh) 一种工控协议分析方法、装置、终端设备及可读存储介质
CN111316272A (zh) 使用行为和深度分析的先进网络安全威胁减缓
CN115147956A (zh) 数据处理方法、装置、电子设备及存储介质
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
CN113098852B (zh) 一种日志处理方法及装置
KR20040072365A (ko) 네트워크 상태 표시 장치 및 그 방법
CN117009963A (zh) 用于基于机器学习的恶意软件检测的***和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Applicant after: NSFOCUS Technologies Group Co.,Ltd.

Applicant after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Applicant before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Applicant before: NSFOCUS TECHNOLOGIES Inc.

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240424

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai 5 storey building

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Country or region after: China

Patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: Guangzhou Lvmeng Network Security Technology Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Patentee before: NSFOCUS Technologies Group Co.,Ltd.

Country or region before: China

Patentee before: NSFOCUS TECHNOLOGIES Inc.