CN111083149A - Modbus协议的变量数据检测分析方法及装置 - Google Patents

Modbus协议的变量数据检测分析方法及装置 Download PDF

Info

Publication number
CN111083149A
CN111083149A CN201911333599.XA CN201911333599A CN111083149A CN 111083149 A CN111083149 A CN 111083149A CN 201911333599 A CN201911333599 A CN 201911333599A CN 111083149 A CN111083149 A CN 111083149A
Authority
CN
China
Prior art keywords
modbus
data
variable data
server
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911333599.XA
Other languages
English (en)
Inventor
许金鹏
金戈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jianwang Technology Co Ltd
Original Assignee
Beijing Jianwang Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jianwang Technology Co Ltd filed Critical Beijing Jianwang Technology Co Ltd
Priority to CN201911333599.XA priority Critical patent/CN111083149A/zh
Publication of CN111083149A publication Critical patent/CN111083149A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40228Modbus

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种Modbus协议的变量数据检测分析方法及装置,其中,该方法包括以下步骤:获取当前Modbus协议的数据包;对当前Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;将Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息与预设匹配规则进行匹配,若匹配不成功,则生成报警事件进行展示。该方案使用自学习生成的预设匹配规则,实时对Modbus协议的变量数据进行检测匹配,发现异常数据并生成报警事件,从而实现了对变量数值的检测。

Description

Modbus协议的变量数据检测分析方法及装置
技术领域
本发明涉及工控防火墙技术领域,特别涉及一种Modbus协议的变量数据检测分析方法及装置。
背景技术
随着工控领域信息安全需求的不断增长,普通防火墙已不能完全适应工控领域的特殊性。对一些常用的工业控制协议如Modbus TCP协议,进行基于变量数值的监测,是工控防火墙重要的功能。
Modbus是一种常用的工控协议,在TCP基础上实现。目前的防火墙,都是重点在数据包的报文头信息进行检测,如IP源地址、IP目的地址、TCP源端口号,或者进一步的Modbus协议的报文类型、报文长度、报文流量,但很少对Modbus协议中的变量数据进行检测,这导致无法检测针对工控***的一些基于变量数据的特定攻击。
发明内容
本发明实施例提供了一种Modbus协议的变量数据检测分析方法及装置,解决了现有技术中无法检测针对工控***的一些基于变量数据的特定攻击的技术问题。
本发明实施例提供了一种Modbus协议的变量数据检测分析方法,该方法包括:
获取当前Modbus协议的数据包;
对当前Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
将Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息与预设匹配规则进行匹配,若匹配不成功,则生成报警事件进行展示。
本发明实施例还提供了一种Modbus协议的变量数据检测分析装置,该装置包括:
Modbus数据获取模块,用于获取当前Modbus协议的数据包;
Modbus数据分析模块,用于对当前Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
Modbus数据匹配模块,用于将Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息与预设匹配规则进行匹配;
报警事件展示模块,用于若匹配不成功,则生成报警事件进行展示。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述所述方法的计算机程序。
在本发明实施例中,使用自学习生成的预设匹配规则,实时对Modbus协议的变量数据进行检测匹配,发现异常数据并生成报警事件,从而实现了对变量数值的检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种Modbus协议的变量数据检测分析方法流程图(一);
图2是本发明实施例提供的一种Modbus协议的变量数据检测分析方法流程图(二);
图3是本发明实施例提供的一种Modbus协议的变量数据检测分析装置结构框图(一);
图4是本发明实施例提供的一种Modbus协议的变量数据检测分析装置结构框图(二)。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
常规防火墙的功能,无法满足工控***的需求。例如:在某次网络攻击中,由于攻击了用户的控制台,导致实际上***中的各类变量参数已经超过极限数值、但控制台的各类变量数据却显示正常,无法观测到实际数值,最终导致***设备频繁故障、严重影响了生产进度,最终导致项目的失败。
基于此,本发明提供了一种Modbus协议的变量数据检测分析方法,如图1所示,该方法包括:
步骤102:获取当前Modbus协议的数据包;
步骤104:对当前Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
步骤106:将Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息与预设匹配规则进行匹配,若匹配不成功,则生成报警事件进行展示。
在本发明实施例中,如图2所示,该方法还包括:
步骤202:获得前一时刻的Modbus协议的数据包;
步骤204:对前一时刻的Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
步骤206:根据Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息,生成预设匹配规则。
上述步骤202-206的过程属于自学习过程,通过自学习过程得到匹配规则。
其中,变量数据的特征信息包括变量数据的类型、地址和数值;预设匹配规则中包括变量数据的类型、变量数据的地址范围和变量数据的数值范围、Modbus服务器IP地址、Modbus服务器设备号的匹配规则。
其中,当前与前一时刻由人为设定,比如前一时刻可以是10分钟之前,也可以是其他的时间。
在本发明实施例中,如图2所示,该方法还包括:
步骤208:对所述预设匹配规则进行修改确认,获得修改后的预设匹配规则。
在本发明实施例中,如图2所示,该方法还包括:
步骤108:查看所述报警事件,并对所述报警事件进行分析处理。
基于同一发明构思,本发明实施例中还提供了一种Modbus协议的变量数据检测分析装置,如下面的实施例所述。由于Modbus协议的变量数据检测分析装置解决问题的原理与Modbus协议的变量数据检测分析方法相似,因此Modbus协议的变量数据检测分析装置的实施可以参见Modbus协议的变量数据检测分析方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是本发明实施例的Modbus协议的变量数据检测分析装置的一种结构框图,如图3所示,包括:
Modbus数据获取模块02,用于获取当前Modbus协议的数据包;
Modbus数据分析模块04,用于对当前Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
Modbus数据匹配模块06,用于将Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息与预设匹配规则进行匹配;
报警事件展示模块08,用于若匹配不成功,则生成报警事件进行展示。
在本发明实施例中,所述Modbus数据获取模块02还用于:获得前一时刻的Modbus协议的数据包;
所述Modbus数据分析模块04还用于:对前一时刻的Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
如图4所示,还包括:
预设匹配规则生成模块10,用于根据Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息,生成预设匹配规则。
在本发明实施例中,如图4所示,还包括:
预设匹配规则修改模块12,用于对所述预设匹配规则进行修改确认,获得修改后的预设匹配规则。
在本发明实施例中,所述报警事件展示模块08还用于:查看所述报警事件,并对所述报警事件进行分析处理。
在本发明实施例中,该Modbus协议的变量数据检测分析装置就是指的工控防火墙,是指包含基于Modbus变量数值检测功能的防火墙***。Modbus客户端、Modbus服务器分别设置于工控防火墙的2个网络接口上,Modbus客户端通过工控防火墙与Modbus服务器建立连接,然后在工控防火墙上设置防火墙策略,使Modbus服务器和Modbus客户端可以进行通讯:Modbus客户端向Modbus服务器申请数据,包括变量数据的类型和地址、个数,Modbus服务器向midbus客户端返回申请的各类变量数据,包括变量数据的数值。
该工控防火墙包括通用的防火墙功能,用于基本的数据检测。
工控防火墙包括的Modbus数据获取模块接收基于TCP协议的502端口数据,即接收到Modbus协议的所有数据包。
工控防火墙包括的Modbus数据分析模块依次解析每个数据包的所有层次的报文数据:以太层、IP层、TCP层、Modbus报文头、Modbus报文体,以及Modbus服务器IP地址、Modbus服务器设备号、Modbus变量数据的类型、地址和数值。
在自学习阶段,工控防火墙包括的Modbus数据获取模块获取历史的Modbus协议的所有数据包,Modbus数据分析模块解析数据包后建立缓存,记录每个Modbus服务器的信息(服务器IP地址、Modbus服务器设备号),以及所有变量数据的类型、地址、数值的最大值、数值的最小值,将这些数据存入Modbus数据表中。
变量数据的类型、地址,指Modbus每个变量数据类型的所有地址,包括:
Coil-status数据类型,bool类型,地址范围:0000-0xffff;
input-status数据类型,bool类型,地址范围:0000-0xffff;
holding-register数据类型,2字节无符号整数,地址范围:0000-0xffff;
input-register数据类型,2字节无符号整数,地址范围:0000-0xffff。
Modbus协议变量数值的最大最小值,指实际检测到的bool和2字节无符号整数的实际数值,其数值范围为:
bool变量:最小值:0,最大值:1;
2字节无符号整数:最小值:0,最大值:65535。
在自学习完成后,工控防火墙包括的预设匹配规则生成模块基于Modbus数据表中的数据生成如下检测规则:
[rule_1]
Host=192.168.1.2
Dev=1
Modbus_coil_status=0:0,1;
Modbus_coil_status=10:1,1;
Modbus_input_status=0:0,0;
Modbus_holding_register=100:123,4567;
Modbus_input_register=100:432,2312;
…….
其中:[ruler_1]表示规则名称。
Host表示Modbus服务器的IP地址为192.168.1.2。
Dev表示Modbus服务器的设备号为1。
第四行Modbus_coil_status定义一个coil_status类型的变量数据规则,其中变量地址为0,变量最小值为0,最大值为1。这是一个bool类型数据。
第五行Modbus_coil_status定义一个coil_status类型的变量数据规则,其中变量地址为10,变量最小值和变量最大值都为1。这是一个bool类型数据。
第六行Modbus_input_status定义一个input_status类型的变量数据规则,其中变量地址为0,变量最小值和变量最大值都为0。这是一个bool类型数据。
第七行Modbus_holding_register定义一个holding_register类型的变量数据规则,其中变量地址为100,变量最小值为123,变量最大值都为4567。这是一个2字节无符号整数。
第八行Modbus_input_register定义一个input_register类型的变量数据规则,其中变量地址为100,变量最小值为432变量,最大值都为2312。这是一个2字节无符号整数。
依次类推。
然后将匹配规则存入本地相应的Modbus规则文件中。
然后通过工控防火墙的预设匹配规则修改模块(可以是web界面),对Modbus规则文件中存储的匹配规则进行编辑处理(可以采用人工编辑处理),可以添加、删除、修改各个数据项,使之更加可靠。完成确认后的匹配规则,可以通过工控防火墙的下发机制,下发给Modbus数据匹配模块。
Modbus数据匹配模块读取到Modbus规则文件,并在内存中生成Modbus规则表,该Modbus规则表保存Modbus规则文件的所有数据信息,用于实时监测。
在检测运行阶段,Modbus数据匹配模块将解析后的Modbus的各类数据直接与在内存中的匹配规则数据进行匹配,生成各类检测报警事件,并通过报警事件展示模块(即web界面)显示,匹配如下:
首先匹配Modbus服务器IP地址,如果当前的Modbus服务器地址,不在当前内存中匹配规则的范围内,则生成报警事件:Modbus服务器IP地址错误。
再匹配Modbus服务器设备号,如果当前的Modbus服务器设备号,不在当前内存中的匹配规则的范围内,则生成报警事件:Modbus服务器设备号错误。
再匹配变量数据的类型和地址,如是coil_status类型数据,则当前变量地址与内存中的匹配规则中的coil-status的地址进行匹配,如果当前变量地址不在匹配规则中的地址范围内,则生成报警事件:Modbus服务器coil_status类型数据地址错误。可以是四种数据类型的地址错误:coil-status、input-status、holding-register、input-register。
最后匹配变量数据的变量数值,如果当前地址的数值,在内存中的匹配规则的相应变量地址的变量数值的最小值和最大值之间,则是正确数据,否则,生成报警事件:Modbus服务器xx类型地址yy数值错误。其中,xx是变量类型,范围是:coil-status、input-status、holding_register、input_register;yy是数据地址,范围是:0-0xffff。
报警事件生成后,可以在web界面上,实时显示该事件信息,包括事件名称、Modbus服务器ip地址、Modbus客户端地址、设备号、变量数据类型、变量地址、变量数值、匹配规则的变量最小值、匹配规则的变量最大值。
最后,可以通过报警事件展示模块(即web界面)分析所有生成的报警数据:按数据项排序、合并等等。该报警事件展示模块用于***与界面的人机交互,控制***自学习的开始、结束、规则生成、规则编辑、策略下发,以及实时事件查看、历史事件分析等功能。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述所述方法的计算机程序。
综上所述,与现有技术相比,本发明使用自学习生成的预设匹配规则,实时对Modbus协议的变量数据进行检测匹配,发现异常数据并生成报警事件,从而实现了对变量数值的检测。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种Modbus协议的变量数据检测分析方法,其特征在于,包括:
获取当前Modbus协议的数据包;
对当前Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
将Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息与预设匹配规则进行匹配,若匹配不成功,则生成报警事件进行展示。
2.如权利要求1所述的Modbus协议的变量数据检测分析方法,其特征在于,还包括:
获得前一时刻的Modbus协议的数据包;
对前一时刻的Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
根据所述Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息,生成预设匹配规则。
3.如权利要求2所述的Modbus协议的变量数据检测分析方法,其特征在于,还包括:
对所述预设匹配规则进行修改确认,获得修改后的预设匹配规则。
4.如权利要求1所述的Modbus协议的变量数据检测分析方法,其特征在于,还包括:
查看所述报警事件,并对所述报警事件进行分析处理。
5.一种Modbus协议的变量数据检测分析装置,其特征在于,包括:
Modbus数据获取模块,用于获取当前Modbus协议的数据包;
Modbus数据分析模块,用于对当前Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
Modbus数据匹配模块,用于将Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息与预设匹配规则进行匹配;
报警事件展示模块,用于若匹配不成功,则生成报警事件进行展示。
6.如权利要求5所述的Modbus协议的变量数据检测分析装置,其特征在于,所述Modbus数据获取模块还用于:获得前一时刻的Modbus协议的历史数据包;
所述Modbus数据分析模块还用于:对前一时刻的Modbus协议的数据包进行解析,获得Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息;
还包括:
预设匹配规则生成模块,用于根据Modbus服务器IP地址、Modbus服务器设备号、变量数据的特征信息,生成预设匹配规则。
7.如权利要求6所述的Modbus协议的变量数据检测分析装置,其特征在于,还包括:
预设匹配规则修改模块,用于对所述预设匹配规则进行修改确认,获得修改后的预设匹配规则。
8.如权利要求5所述的Modbus协议的变量数据检测分析装置,其特征在于,报警事件展示模块还用于:
查看所述报警事件,并对所述报警事件进行分析处理。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4任一项所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至4任一项所述方法的计算机程序。
CN201911333599.XA 2019-12-23 2019-12-23 Modbus协议的变量数据检测分析方法及装置 Pending CN111083149A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911333599.XA CN111083149A (zh) 2019-12-23 2019-12-23 Modbus协议的变量数据检测分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911333599.XA CN111083149A (zh) 2019-12-23 2019-12-23 Modbus协议的变量数据检测分析方法及装置

Publications (1)

Publication Number Publication Date
CN111083149A true CN111083149A (zh) 2020-04-28

Family

ID=70316639

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911333599.XA Pending CN111083149A (zh) 2019-12-23 2019-12-23 Modbus协议的变量数据检测分析方法及装置

Country Status (1)

Country Link
CN (1) CN111083149A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112511524A (zh) * 2020-11-24 2021-03-16 北京天融信网络安全技术有限公司 一种访问控制策略配置方法及装置
CN114979828A (zh) * 2022-05-18 2022-08-30 成都安讯智服科技有限公司 基于Modbus的物联网通信模块流量控制方法及***
CN114978782A (zh) * 2022-08-02 2022-08-30 北京六方云信息技术有限公司 工控威胁检测方法、装置、工控设备以及存储介质
CN115550472A (zh) * 2022-11-22 2022-12-30 浙江大华技术股份有限公司 异构数据处理方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040054829A1 (en) * 2001-06-25 2004-03-18 White William A. Method, system and program for the transmission of modbus messages between networks
CN105429963A (zh) * 2015-11-04 2016-03-23 北京工业大学 基于Modbus/Tcp的入侵检测分析方法
CN107979567A (zh) * 2016-10-25 2018-05-01 北京计算机技术及应用研究所 一种基于协议分析的异常检测***及方法
CN108021096A (zh) * 2016-11-03 2018-05-11 沈阳高精数控智能技术股份有限公司 一种基于Modbus的数控***的远程监控方法
CN109379375A (zh) * 2018-11-28 2019-02-22 杭州迪普科技股份有限公司 访问控制规则的获取方法、装置及网络设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040054829A1 (en) * 2001-06-25 2004-03-18 White William A. Method, system and program for the transmission of modbus messages between networks
CN105429963A (zh) * 2015-11-04 2016-03-23 北京工业大学 基于Modbus/Tcp的入侵检测分析方法
CN107979567A (zh) * 2016-10-25 2018-05-01 北京计算机技术及应用研究所 一种基于协议分析的异常检测***及方法
CN108021096A (zh) * 2016-11-03 2018-05-11 沈阳高精数控智能技术股份有限公司 一种基于Modbus的数控***的远程监控方法
CN109379375A (zh) * 2018-11-28 2019-02-22 杭州迪普科技股份有限公司 访问控制规则的获取方法、装置及网络设备

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112511524A (zh) * 2020-11-24 2021-03-16 北京天融信网络安全技术有限公司 一种访问控制策略配置方法及装置
CN114979828A (zh) * 2022-05-18 2022-08-30 成都安讯智服科技有限公司 基于Modbus的物联网通信模块流量控制方法及***
CN114979828B (zh) * 2022-05-18 2023-03-10 成都安讯智服科技有限公司 基于Modbus的物联网通信模块流量控制方法及***
CN114978782A (zh) * 2022-08-02 2022-08-30 北京六方云信息技术有限公司 工控威胁检测方法、装置、工控设备以及存储介质
CN114978782B (zh) * 2022-08-02 2022-11-01 北京六方云信息技术有限公司 工控威胁检测方法、装置、工控设备以及存储介质
CN115550472A (zh) * 2022-11-22 2022-12-30 浙江大华技术股份有限公司 异构数据处理方法及装置

Similar Documents

Publication Publication Date Title
CN111083149A (zh) Modbus协议的变量数据检测分析方法及装置
CN109802953B (zh) 一种工控资产的识别方法及装置
CN107656520B (zh) Can总线数据解析方法及计算机可读存储介质
CN109040073B (zh) 一种万维网异常行为访问的检测方法、装置、介质和设备
CN110808962B (zh) 一种畸形数据包检测方法及装置
CN106326119A (zh) 测试用例生成方法及装置
CN112187583B (zh) 动作信息在私有工控协议中识别的方法、装置及存储介质
CN111177729B (zh) 一种程序漏洞的测试方法以及相关装置
CN107819808A (zh) 通信连接建立方法和装置
US20180270082A1 (en) Method and device for monitoring control systems
CN114363212B (zh) 一种设备检测方法、装置、设备和存储介质
EP3702951A1 (de) Computerimplementiertes verfahren und blockchain-system zur erkennung eines angriffs auf ein computersystem bzw. computernetzwerk
CN111130848B (zh) 身份验证授权统计aaa的故障检测方法及装置
CN105959289A (zh) 一种基于自学习的OPC Classic协议的安全检测方法
CN113709129A (zh) 一种基于流量学习的白名单生成方法、装置和***
CN106506553B (zh) 一种网际协议ip过滤方法及***
CN113812116A (zh) 网络行为模型构建方法、装置和计算机可读介质
CN112422515B (zh) 一种协议漏洞的测试方法、装置及存储介质
CN108780486B (zh) 情境感知的安全自评估
CN113079186A (zh) 基于工控终端特征识别的工业网络边界防护方法和***
CN113157790A (zh) 一种核聚变曲线编辑方法、***、终端及介质
CN112448919B (zh) 网络异常检测方法、装置和***、计算机可读存储介质
US9542250B2 (en) Distributed maintenance mode control
CN111917660B (zh) 网关设备策略的优化方法及装置
KR102435456B1 (ko) 비정상 제어데이터 탐지 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200428