CN115065552B - 工业通讯防护方法、装置、终端设备及存储介质 - Google Patents

工业通讯防护方法、装置、终端设备及存储介质 Download PDF

Info

Publication number
CN115065552B
CN115065552B CN202210888657.0A CN202210888657A CN115065552B CN 115065552 B CN115065552 B CN 115065552B CN 202210888657 A CN202210888657 A CN 202210888657A CN 115065552 B CN115065552 B CN 115065552B
Authority
CN
China
Prior art keywords
feature
protocol
threat
features
matching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210888657.0A
Other languages
English (en)
Other versions
CN115065552A (zh
Inventor
贾建利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing 6Cloud Technology Co Ltd
Beijing 6Cloud Information Technology Co Ltd
Original Assignee
Beijing 6Cloud Technology Co Ltd
Beijing 6Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing 6Cloud Technology Co Ltd, Beijing 6Cloud Information Technology Co Ltd filed Critical Beijing 6Cloud Technology Co Ltd
Priority to CN202210888657.0A priority Critical patent/CN115065552B/zh
Publication of CN115065552A publication Critical patent/CN115065552A/zh
Application granted granted Critical
Publication of CN115065552B publication Critical patent/CN115065552B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24564Applying rules; Deductive queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)

Abstract

本发明公开一种工业通讯防护方法、装置、终端设备及存储介质,属于工业通讯安全领域,该工业通讯防护方法包括:获取工业流量数据,从所述工业流量数据中提取协议特征;对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。本发明通过对工业通讯中的协议特征进行配置、学习和检测,并通过人工干预威胁判定,确保能够有效、快速地检测出工业通讯流量中的安全性威胁,保障了工业控制***在通讯时的安全性。

Description

工业通讯防护方法、装置、终端设备及存储介质
技术领域
本发明涉及工业通讯安全领域,尤其涉及一种工业通讯防护方法、装置、终端设备及存储介质。
背景技术
随着工业自动化的推进,工业控制***的应用也越来越广泛。ICS(Industrialcontrol system,工业控制***)是包括监控和SCADA(Supervisory Control And DataAcquisition,数据采集***)、DCS(Dorsal Column Stimulator,分布控制***)等多种类型控制***的总称,***中的组件,包括可程序化逻辑控制器、传感器、转换器、发射器、控制器与执行器等,它们的控制***上位机、操作员站和工程师站往往使用工控协议(S7)进行数据的传输与通信,然而,工业控制***的安全问题日益剧增,尤其是工业控制***在生产过程中受到的网络安全威胁。
现有的工业控制***对通讯场景内/外网进行隔离,隔离了外网攻击,但对于内网通讯防护相对薄弱,当操作员或控制***上机位进行不当操作,无法有效的防护,有可能造成不估量的损失。部分厂商采用机器学习/建模/检测方式进行防护,然而,工业通讯流量相对比较小且内容相同,部分流量仅在某个时刻才会出现,造成资源浪费,而且机器学习检测依赖学习到的模型,但并不清楚具体操作内容或威胁程度,那么对于小概率出现的正常操作流量产生误报的可能性较高。
因此,如何有效的检测出工业流量数据中的安全性威胁,从而对工业流量数据进行处理,确保工业通讯流量的安全性是当前亟待解决的问题。
发明内容
本申请的主要目的在于提供一种工业通讯防护方法、装置、终端设备及存储介质,旨在解决如何有效的检测出工业流量数据中的安全性威胁,从而对工业流量数据进行处理,确保工业通讯流量的安全性的技术问题。
为实现上述目的,本申请实施例提供一种工业通讯防护方法,应用于工业通讯安全技术领域,所述工业通讯防护方法包括以下步骤:
获取工业流量数据,从所述工业流量数据中提取协议特征;
对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;
根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。
可选的,所述对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果的步骤包括:
将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;
将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存。
可选的,所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤包括:
若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;
判断所述特征权值是否达到预设的异常阈值;
若是,则确定检测到安全性威胁。
可选的,所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤还包括:
若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;
若所述第二匹配结果为失败,则将所述协议特征上报告警,将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习,并根据预先配置的特征规则动作进行处理;
若所述第二匹配结果为成功,则确定检测到安全性威胁。
可选的,所述工业通讯防护方法还包括:
在检测到安全性威胁时,对所述工业流量数据进行处理,具体包括:
在检测到安全性威胁时,将所述协议特征及相关数据添加到临时特征缓存中,进行所述增量特征的学习,并根据预先配置的特征规则动作进行处理;和/或
在检测到安全性威胁时,将所述协议特征上报,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种。
可选的,所述在检测到安全性威胁时,将所述协议特征上报,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种的步骤之后还包括:
根据所述人工干预对所述协议特征进行威胁等级划分,得到第一划分结果;
若所述人工干预为告警或通过,则将所述协议特征及相关数据存入所述已知特征存缓存;
若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态。
可选的,所述增量特征的学习的步骤包括:
获取所述临时特征缓存中所述协议特征的特征权值;
根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁阈值范围包括最高威胁、可疑威胁、无威胁;
根据所述第二划分结果,对所述特征缓存进行处理;
根据所述第二划分结果,更新所述协议特征对应的特征规则动作为告警、通过和丢弃中任一种。
可选的,所述根据预设威胁范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁范围包括最高威胁范围、可疑威胁范围、无威胁范围的步骤包括:
计算所述协议特征在单位时间的特征权值,若所述特征权值满足所述最高威胁范围,则将所述协议特征的威胁等级判定为高威胁;
计算所述协议特征在预设时间段内的特征权值,若所述特征权值满足所述可疑威胁范围,则将所述协议特征的威胁等级判定为可疑威胁;
计算所述协议特征在预设时间周期内的特征权值,若所述特征权值满足所述无威胁范围,则将所述协议特征的威胁等级判定为无威胁。
可选的,所述获取工业流量数据,从所述工业流量数据中提取协议特征的步骤之前还包括:
根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果;
将所述学习结果与所述已知特征缓存中的数据做对比,计算差异比例;
将所述差异比例与预先设定的差异阈值做对比;
若所述差异比例大于预先设定的差异阈值,则将所述学习结果同步到所述已知特征缓存。
可选的,所述根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果的步骤之前还包括:
从数据库中获取原始特征数据;
根据所述原始特征数据中的精准特征标识,判断所述原始特征数据中的特征是否为已知特征;
若所述原始特征数据中的协议特征为已知特征,则将所述原始特征数据存入所述所述已知特征缓存;
若所述原始特征数据中的协议特征非已知特征,则将所述原始特征数据存入所述临时特征缓存或对所述临时特征缓存进行更新。
本申请实施案例还提出一种工业通讯防护装置,所述工业通讯防护装置包括:
提取模块,用于获取工业流量数据,从所述工业流量数据中提取协议特征;
匹配模块,用于对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;
学习操作模块,用于根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。
本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业通讯防护程序,所述工业通讯防护程序被所述处理器执行时实现所述工业通讯防护方法的步骤。
本申请实施例还提出一种存储介质,所述存储介质上存储有工业通讯防护程序,所述工业通讯防护程序被所述处理器执行时实现所述工业通讯防护方法的步骤。
本实施例通过上述方案,具体通过获取工业流量数据,从所述工业流量数据中提取协议特征;对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。本方案通过对工业通讯中的协议特征进行配置、学习和检测,确保能够有效、快速地检测出工业通讯流量中的安全性威胁,从而对工业流量数据进行处理,保障了工业控制***在通讯时的安全性。
附图说明
图1为本申请工业通讯防护方法所属终端的功能模块示意图;
图2为本申请工业通讯防护方法第一示例性实施例的流程示意图;
图3为本申请工业通讯防护方法第二示例性实施例的流程示意图;
图4为本申请工业通讯防护方法第三示例性实施例的流程示意图;
图5为本申请工业通讯防护方法第四示例性实施例的流程示意图;
图6为本申请工业通讯防护方法第五示例性实施例的流程示意图;
图7为本申请工业通讯防护方法第六示例性实施例的流程示意图。
图8为本申请工业通讯防护方法第七示例性实施例的流程示意图。
图9为本申请工业通讯防护方法第八示例性实施例的流程示意图。
图10为本申请工业通讯防护方法的整体流程示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施案例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例的主要解决方案是:获取工业流量数据,从所述工业流量数据中提取协议特征;对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。基于本方案,通过对工业通讯中的协议特征进行配置、学习和检测,对有威胁的工业流量数据进行丢弃处理,并不断地通过自主学习和人为干预进行增量学习,确保能够低成本、有效、快速地检测出工业通讯流量中的安全性威胁,保障了工业控制***在通讯时的安全性。
具体地,参照图1,图1为本申请工业通讯防护装置所属终端设备的功能模块示意图。该工业通讯防护装置为基于终端设备的、能够检测出工业通讯流量数据的威胁进行对工业通讯流量数据进行处理,从而达到工业通讯安全性的装置,其可以通过硬件或软件的形式承载于终端设备上。
在本实施例中,该工业通讯防护装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作***以及工业通讯防护程序;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的工业通讯防护程序,所述工业通讯防护程序被处理器执行时实现以下步骤:
获取工业流量数据,从所述工业流量数据中提取协议特征;
对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;
根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;
将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;
判断所述特征权值是否达到预设的异常阈值;
若所述特征权值达到异常阈值,则将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习,并根据预先配置的特征规则动作进行处理。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;
若所述第二匹配结果为失败,则将所述协议特征上报告警,将所述协议特征及相关数据添加到临时特征缓存中,进行所述增量特征的学习,并根据预先配置的特征规则动作进行处理;
若所述第二匹配结果为成功,则将所述协议特征上报威胁,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
根据所述人工干预对所述协议特征进行威胁等级划分,得到第一划分结果;
若所述人工干预为告警或通过,则将所述协议特征及相关数据存入所述已知特征存缓存;
若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
获取所述临时特征缓存中所述协议特征的特征权值;
根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁阈值范围包括最高威胁、可疑威胁、无威胁;
根据所述第二划分结果,对所述特征缓存进行处理;
根据所述第二划分结果,更新所述协议特征对应的特征规则动作为告警、通过和丢弃中任一种。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
计算所述协议特征在单位时间的特征权值,若所述特征权值满足所述最高威胁范围,则将所述协议特征的威胁等级判定为高威胁;
计算所述协议特征在预设时间段内的特征权值,若所述特征权值满足所述可疑威胁范围,则将所述协议特征的威胁等级判定为可疑威胁;
计算所述协议特征在预设时间周期内的特征权值,若所述特征权值满足所述无威胁范围,则将所述协议特征的威胁等级判定为无威胁。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果;
将所述学习结果与所述已知特征缓存中的数据做对比,计算差异比例;
将所述差异比例与预先设定的差异阈值做对比;
若所述差异比例大于预先设定的差异阈值,则将所述学习结果同步到所述已知特征缓存。
进一步地,存储器130中的工业通讯防护程序被处理器执行时还实现以下步骤:
从数据库中获取原始特征数据;
根据所述原始特征数据中的精准特征标识,判断所述原始特征数据中的特征是否为已知特征;
若所述原始特征数据中的协议特征为已知特征,则将所述原始特征数据存入所述已知特征缓存;
若所述原始特征数据中的协议特征非已知特征,则将所述原始特征数据存入所述临时特征缓存或对所述临时特征缓存进行更新。
基于上述终端设备架构但不限于上述架构,提出本申请方法实施例。
参照图2,图2为本申请工业通讯防护方法第一示例性实施例的流程示意图。所述工业通讯防护方法包括:
步骤S110,获取工业流量数据,从所述工业流量数据中提取协议特征;
具体地,通过接收上位机或操作员通过网络发送的控制操作相关的报文,根据不同的报文类型,获取到如发送端ip地址、端口及接收端ip地址、端口,以及功能码,操作目的地址等协议特征。
步骤S130,对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;
具体地,将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存,所述已知特征缓存和所述临时特征缓存包括特征、特征权值、特征唯一值、威胁等级、特征规则动作等字段。
步骤S150,根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。
具体地,若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值,判断所述特征权值是否达到预设的异常阈值;若所述特征权值达到异常阈值,则将所述协议特征添加到临时特征缓存中,并根据预先配置的特征规则动作进行处理。若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;若所述第二匹配结果为失败,则将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习;若所述第二匹配结果为成功,则将所述协议特征上报威胁,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种。
本实施例通过上述方案,具体通过获取工业流量数据,从所述工业流量数据中提取协议特征;对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。基于本方案,通过对工业通讯中的协议特征进行配置、学习和检测,对有威胁的工业流量数据进行丢弃处理,并不断地通过自主学习和人为干预进行增量学习,确保能够低成本、有效、快速地检测出工业通讯流量中的安全性威胁,保障了工业控制***在通讯时的安全性。
进一步地,参照图3,图3为工业通讯防护方法第二示例性实施例的流程示意图,所述对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果的步骤包括:
步骤S1301,将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;
具体地,将提取出的所述协议特征如ip地址,端口,功能码,操作目的地址等协议特征,按照一定的顺序进行排列,再通过特征唯一值运算的算法,所述特征唯一值运算算法包括MD5算法或其他唯一值的生成算法,生成所述协义特征的第一特征唯一值,提高了与已知特征的匹配效率。
步骤S1302,将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存。
具体地,所述特征缓存中的数据是从所述已知特征缓存中查找并取出来的,根据特征数据进行特征唯一值算法计算出来的第二特征唯一值,所述第二特征唯一值与所述第一特征唯一值进行对比,由于所述特征唯一值都是通过同一种算法计算并且计算时特征排列顺序相同,因此将对比结果作为是否为同一特征的判断标准,提高匹配效率。
本实施例通过上述方案,具体通过将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存。基于本方案,通过对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果,达到了快速匹配的目的,提高了匹配的效率。
进一步地,参照图4,图4为工业通讯防护方法第三示例性实施例的流程示意图,所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤包括:
步骤S1501,若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;
具体地,若当从工业流量数据中提取出的协议特征,通过特征唯一值的运算,并与已知特征缓存中的特征唯一值进行匹配,匹配结果为成功时,则通过获取所述协议特征在所述已知特征缓存中的第一特征权值,将所述第一特征权值进行累加。
步骤S1502,判断所述特征权值是否达到预设的异常阈值;
具体地,将步骤S1501获取到的特征权值累加结果与预先设定的异常阈值进行比较,所述异常阈值为预先设定的值。
步骤S1503,若所述特征权值达到异常阈值,则将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习,并根据预先配置的特征规则动作进行处理。
具体地,当特征权值达到了异常阈值,将所述协议特征添加到临时特征缓存,那就会触发增量特征学习,将所述协议特征的特征权值进行计算,从而得到协议特征的威胁等级判定,根据威胁等级的判定,从而确定特征规则动作,并将所述协议特征及相关数据添加到临时特征缓存中,将所述协议特征对应的工业流量数据进行通过,告警,丢弃处理中任一种。
本实施例通过上述方案,具体通过若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;若所述特征权值达到异常阈值,则将所述协议特征及相关数据添加到临时特征缓存中,进行所述增量特征的学习,并根据预先配置的特征规则动作进行处理。基于本方案,根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁,当第一匹配结果为成功时,通过计算所述协议特征的权值,从而将特征权值是异常的协议特征存储到临时特征缓存,进而触发增量学习机制,更新特征规则动作,将此协议特征对应的工业流量数据进行通过,告警,丢弃处理中任一种。达到了对已知特征缓存中的协议特征及时检测的目的,根据实际情况更新协议特征的威胁等级,从而确保能够实时的对工业流量数据进行检测,达到了有效检测工业流量数据威胁性,保障了工业控制***在通讯时的安全性的目的。
进一步地,参照图5,图5为本申请车辆的制动方法第四示例性实施例的流程示意图,所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤还包括:
步骤S1504,若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;
具体地,当从工业流量数据中提取出的协议特征,通过特征唯一值的运算,并与已知特征缓存中的特征唯一值进行匹配,匹配结果为失败时,将所述协议特征与预先配置的敏感动作特征的特征唯一值进行匹配,确认所述协议特征是否为敏感动作特征。
步骤S1505,若所述第二匹配结果为失败,则将所述协议特征上报告警,将所述协议特征及相关数据添加到临时特征缓存中,进行所述增量特征的学习,并根据预先配置的特征规则动作进行处理;
具体地,若所述协议特征不是敏感动作特征,则发送告警信息给工业控制***的上位机或者发送告警信息给相关人员,并将协议特征或特征权值更新到临时特征缓存中,所述特征权值根据预先设定的特征权值表进行获取,将所述协议特征的权值一并更新到临时特征缓存中,后续增量学习会对临时特征缓存中的特征数据做进一步的威胁等级的判定。
步骤S1506,若所述第二匹配结果为成功,则将所述协议特征上报威胁,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种。
具体地,若所述协议特征是敏感动作特征,那么发送威胁信息给工业控制***操作控制的相关人员,相关人员会判断当前工业流量数据是否具有威胁,从而通过人工干预,将无法识别的协议特征进行威胁性的判定,从而确定对工业流量数据的处理动作,确保工业控制***的安全。
本实施例通过上述方案,具体通过若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;若所述第二匹配结果为失败,则将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习;若所述第二匹配结果为成功,则将所述协议特征上报威胁,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种。基于本方案,通过与已知特征、敏感操作特征进行匹配,从而判定协议特征是否具有威胁性,遇到未知的协议特征时,通过人工干预或增量特征学习的方式对所述协议特征进行威胁等级的判定,从而确保工业控制***在通讯时的安全性。
进一步地,参照图6,图6为本申请车辆的制动方法第五示例性实施例的流程示意图,所述若所述第二匹配结果为成功,则将所述协议特征上报威胁,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种的步骤之后还包括:
步骤S1507,根据所述人工干预对所述协议特征进行威胁等级划分,得到第一划分结果;
具体地,所述协议特征从工业流量数据中提取获得,所述协议特征的威胁等级根据所述人工干预的处理方式进行确定,当人工干预为告警时,则将所述协议特征的威胁等级判定为可疑威胁,当人工干预为通过时,则将所述协议特征的威胁等级判定为无威胁。
步骤S1508,若所述人工干预为告警或通过,则将所述协议特征及相关数据存入所述已知特征存缓存;
具体地,当人工干预为告警或通过时,则通过步骤S1507得到的威胁等级,根据威胁等级和预设的威胁等级-权值映射关系和所述协议特征一起存入所述已知特征缓存中,执行请求的工业流量数据。
步骤S1509,若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态。
具体地,若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态,不再执行当前所述工业流量数据。
本实施例通过上述方案,具体通过根据所述人工干预对所述协议特征进行威胁等级划分,得到第一划分结果;若所述人工干预为告警或通过,则将所述协议特征及相关数据存入所述已知特征存缓存;若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态。基于本方案,通过人工干预的方式对所述协议特征进行特征规则动作的设置,进而直接确定了所述协议特征的威胁性,并将所述协议特征、协议特征唯一值和协议特征划分结果存入已知特征缓存,为协议特征的匹配提供了更多可供参考的数据,将人工处理作为程序处理的补充方式,综合解决协议特征划分威胁等级的问题,使得威胁等级的判定更加灵活、有效。
进一步地,参照图7,图7为本申请车辆的制动方法第六示例性实施例的流程示意图,步骤S1505,增量特征的学习包括:
步骤S15051,获取所述临时特征缓存中所述协议特征的特征权值;
具体地,所述临时特征缓存中的协议特征对应有特征权值,将获取到的特征权值作为威胁等级的判定依据之一。
步骤S15052,根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁阈值范围包括最高威胁、可疑威胁、无威胁;
具体地,通过计算所述协议特征在单位时间的特征权值,若所述特征权值满足所述最高威胁范围,则将所述协议特征的威胁等级判定为高威胁;计算所述协议特征在预设时间段内的特征权值,若所述特征权值满足所述可疑威胁范围,则将所述协议特征的威胁等级判定为可疑威胁;计算所述协议特征在预设时间周期内的特征权值,若所述特征权值满足所述无威胁范围,则将所述协议特征的威胁等级判定为无威胁。
步骤S15053,根据所述第二划分结果,对所述特征缓存进行处理;
具体地,所述划分结果高威胁、可疑威胁和无威胁中任一种,当判定为高威胁时,将所述协议特征、特征权值从临时特征同步到已知特征缓存中,将所述协议特征对应的威胁等级的值在限定时间段设定为高威胁,当判定为可疑威胁时,将所述协议特征、特征权值从临时特征同步到已知特征缓存中,并将所述特征存入已知特征缓存,将所述协议特征对应的威胁等级设定为可疑威胁,当判定为无威胁时,将所述协议特征、特征权值从临时特征同步到已知特征缓存中,删除临时特征缓存中的协议特征及相关数据,将所述协议特征对应的威胁等级设定为无威胁,对应的协议特征的所述威胁等级也一并存入已知特征缓存中。
步骤S15054,根据所述第二划分结果,更新所述协议特征对应的特征规则动作为告警、通过和丢弃中任一种。
具体地,若所述协议特征在所述已知特征缓存中的威胁等级设定为有威胁,则将所述协议特征对应的特征规则动作设定为丢弃;若所述协议特征在所述已知特征缓存中的威胁等级设定为可疑威胁,则将所述协议特征对应的特征规则动作设定为上报告警;若所述协议特征在所述已知特征缓存中的威胁等级设定为无威胁,则将所述协议特征对应的特征规则动作设定为通过。
本实施例通过上述方案,具体通过获取所述临时特征缓存中所述协议特征的特征权值;根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁阈值范围包括最高威胁、可疑威胁、无威胁;根据所述第二划分结果,对所述特征缓存进行处理;根据所述第二划分结果,更新所述协议特征对应的特征规则动作为告警、通过和丢弃中任一种。基于本方案,通过计算所述协议特征在限定时间的特征权值,并将所述特征权值进行威胁等级的划分,最终根据威胁等级确定特征规则动作并对特征缓存进行处理,达到了当检测到威胁时,能够在一定时间内阻止威胁攻击,将接收到的工业流量数据做丢弃处理的目的,确保了工业控制***的安全性。
进一步地,参照图8,图8为本申请车辆的制动方法第七示例性实施例的流程示意图,所述获取工业流量数据,从所述工业流量数据中提取协议特征的步骤之前还包括:
步骤S105,根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果;
具体地,在配置信息加载完成后,根据配置策略会在限定时间内进行协议特征的学习,将接收到的工业流量数据进行特征提取,并将获取到的协议特征添加到临时特征缓存中。
步骤S106,将所述学习结果与所述已知特征缓存中的数据做对比,计算差异比例;
具体地,将所述学习到的临时特征缓存中的协议特征进行特征唯一值计算,得到第一特征唯一值,并将所述第一特征唯一值与已知特征缓存中的第二特征唯一值做对比,通过比较得到差异特征和差异特征比例。
步骤S107,将所述差异比例与预先设定的差异阈值做对比;
步骤S108,若所述差异比例大于预先设定的差异阈值,则将所述学习结果同步到所述已知特征缓存。
具体地,学习结果与已知特征缓存中的特征数据差异大于预设阈值时,将有差异的学习结果同步到已知特征缓存。
进一步地,参照图9,图9为本申请车辆的制动方法第八示例性实施例的流程示意图,所述根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果的步骤之前还包括:
步骤S101,从数据库中获取原始特征数据;
具体地,通过从数据库中获取原始的特征数据,作为已知特征缓存和临时特征缓存中的初始特征数据。
步骤S102,根据所述原始特征数据中的精准特征标识,判断所述原始特征数据中的特征是否为已知特征;
具体地,根据原始特征数据中精准特征字段,判断是否是已知特征。
步骤S103,若所述原始特征数据中的协议特征为已知特征,则将所述原始特征数据存入所述已知特征缓存;
步骤S104,若所述原始特征数据中的协议特征非已知特征,则将所述原始特征数据存入所述临时特征缓存或对所述临时特征缓存进行更新。
具体地,当所述原始特征数据的特征唯一值与所述精准特征数据中的唯一值不同时,则所述第三匹配结果为失败,将原始特征数据与所述临时特征缓存中的数据做匹配,若匹配成功,则进行特征权值累加计算,从而获得最新的特征权值,将临时特征缓存中的特征权值进行更新,并将更新后的特征权值与威胁阈值范围进行对比,从而确定特征数据的威胁等级,并根据威胁等级将所述临时特征缓存中的特征数据存入已知特征缓存,如果威胁等级为无威胁,则将临时特征缓存中的特征数据删除。
本实施例通过上述方案,具体通过从数据库中获取原始特征数据;根据所述原始特征数据中的精准特征标识,判断所述原始特征数据中的特征是否为已知特征;若所述原始特征数据中的协议特征为已知特征,则将所述原始特征数据存入所述已知特征缓存;若所述原始特征数据中的协议特征非已知特征,则将所述原始特征数据存入所述临时特征缓存或对所述临时特征缓存进行更新。基于本方案,通过对数据库中的原始特征数据与预先设定的精准特征数据做匹配,从而确定原始特征数据的威胁等级,并同步到对应的缓存中,为后续的特征缓存的威胁等级的识别和协议特征的学习提供了数据依据。
进一步的,参照图10,图10为所述工业通讯防护方法的整体流程图。所述工业通讯防护方法整体流程为:
当工业通讯防护程序启动后,首先加载相关配置信息,所述配置信息包括但不限于学习策略,人工干预策略,特征检测规则等,并加载数据库中的原始特征数据,通过对数据库中的精确特征标识的判断,划分出已知特征数据,将已知特征数据同步到已知特征缓存,将未知特征数据同步到未知特征缓存中,所述的已知特征数据包括协议特征、特征唯一值、特征权值、威胁等级、特征规则动作;所述的未知特征数据包括协议特征、特征唯一值、特征权值;
在加载完成后,开始接收工业流量数据,并从中获取协议特征,通过读取配置的学习策略相关信息,判断是否需要进行学习,以及学习的时长,如果需要学习,则在限定时间内接收工业通讯流量并提取协议特征,最终将学习到的结果与已知特征缓存中的特征进行匹配,并计算差异比例,如果差异比例超出阈值,则通过同步差异数据更新已知特征缓存;
初始学习完成后,将提取到的协议特征和已知特征缓存中的值进行匹配,具体可以通过特征唯一值进行匹配,得到第一匹配结果;
若第一匹配结果为匹配成功时,更新已知特征缓存中的所述协议特征的特征权值,如果所述协议特征在临时特征缓存中存在,也需更新临时特征缓存中的权值,并判断所述特征权值是否异常,如果所述特征权值异常,则将提取到的协议特征添加到临时特征缓存,并进行增量学习后,按照已知特征缓存中的特征规则动作进行处理;
若第一匹配结果为匹配失败时,则将所述协议特征的特征唯一值和敏感动作特征的特征唯一值做匹配,得到第二匹配结果;
若第二匹配结果为失败,则上报告警,并将所述提取到的协议特征添加到临时特征缓存,如果临时特征缓存中存在此协议特征,则计算特征权值,并更新到临时特征缓存中,如果临时特征缓存中不存在此协议特征,则根据特征权值映射表初始化所述协议特征的特征权值,并将所述特征权值和所述特征唯一值存入临时特征缓存,触发增量学习,进行特征权值运算并和威胁阈值范围进行对比,如果所述特征权值在限定时间达到了对应的威胁阈值范围,则判定出了协议特征的威胁等级,并根据威胁等级确定特征规则动作,将特征规则动作、特征唯一值、威胁等级、特征权值和提取到的协议特征添加到已知特征缓存中;
若第二匹配结果为成功,则上报威胁,并根据人工干预确定威胁等级和特征规则动作,进行对所述协议特征的唯一值的计算后,将特征规则动作、特征唯一值、威胁等级、特征权值和提取到的协议特征添加到已知特征缓存中;
其中,增量学习是为了处理协议特征的威胁等级不确定的情况,通过长时间的学习,将临时特征缓存中的值,根据特征权值计算,从而判断威胁等级和特征规则动。基于本方案,通过对工业通讯中的协议特征进行配置、学习和检测,对有威胁的工业流量数据进行丢弃处理,并通过自主学习和人为干预进行增量学习,确保能够低成本、有效、快速地检测出工业通讯流量中的安全性威胁,保障了工业控制***在通讯时的安全性。
此外,本申请实施例还提出一种工业通讯防护装置,所述工业通讯防护装置包括:
提取模块,用于获取工业流量数据,从所述工业流量数据中提取协议特征;
匹配模块,用于对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;
学习操作模块,用于根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁。
本实施例实现的工业通讯防护原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业通讯防护程序,所述工业通讯防护程序被所述处理器执行时实现所述工业通讯防护方法的步骤。
由于本工业通讯防护程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本申请实施例还提出一种存储介质,所述存储介质上存储有工业通讯防护程序,所述工业通讯防护程序被处理器执行时实现如上所述的工业通讯防护方法的步骤。
由于本工业通讯防护程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (9)

1.一种工业通讯防护方法,其特征在于,所述工业通讯防护方法包括以下步骤:
获取工业流量数据,从所述工业流量数据中提取协议特征;
对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;
根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁;
所述对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果的步骤包括:
将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;
将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存;
所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤包括:
若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;
判断所述特征权值是否达到预设的异常阈值;
若是,则确定检测到安全性威胁;
若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;
若所述第二匹配结果为失败,则将所述协议特征上报告警,将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习,并根据预先配置的特征规则动作进行处理;
若所述第二匹配结果为成功,则确定检测到安全性威胁。
2.根据权利要求1所述的工业通讯防护方法,其特征在于,所述工业通讯防护方法还包括:
在检测到安全性威胁时,对所述工业流量数据进行处理,具体包括:
在检测到安全性威胁时,将所述协议特征及相关数据添加到临时特征缓存中,进行所述增量特征的学习,并根据预先配置的特征规则动作进行处理;和/或
在检测到安全性威胁时,将所述协议特征上报,并由人工干预处理,所述人工干预为告警、通过和丢弃中任一种;
根据所述人工干预对所述协议特征进行威胁等级划分,得到第一划分结果;
若所述人工干预为告警或通过,则将所述协议特征及相关数据存入所述已知特征存缓存;
若所述人工干预为丢弃,则标识所述工业流量数据为丢弃状态。
3.根据权利要求2所述的工业通讯防护方法,其特征在于,所述增量特征的学习的步骤包括:
获取所述临时特征缓存中所述协议特征的特征权值;
根据预设威胁阈值范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁阈值范围包括最高威胁、可疑威胁、无威胁;
根据所述第二划分结果,对所述特征缓存进行处理;
根据所述第二划分结果,更新所述协议特征对应的特征规则动作为告警、通过和丢弃中任一种。
4.根据权利要求3所述的工业通讯防护方法,其特征在于,所述根据预设威胁范围和时间对所述特征权值进行威胁等级划分,得到第二划分结果,所述威胁范围包括最高威胁范围、可疑威胁范围、无威胁范围的步骤包括:
计算所述协议特征在单位时间的特征权值,若所述特征权值满足所述最高威胁范围,则将所述协议特征的威胁等级判定为高威胁;
计算所述协议特征在预设时间段内的特征权值,若所述特征权值满足所述可疑威胁范围,则将所述协议特征的威胁等级判定为可疑威胁;
计算所述协议特征在预设时间周期内的特征权值,若所述特征权值满足所述无威胁范围,则将所述协议特征的威胁等级判定为无威胁。
5.根据权利要求1所述的工业通讯防护方法,其特征在于,所述获取工业流量数据,从所述工业流量数据中提取协议特征的步骤之前还包括:
根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果;
将所述学习结果与所述已知特征缓存中的数据做对比,计算差异比例;
将所述差异比例与预先设定的差异阈值做对比;
若所述差异比例大于预先设定的差异阈值,则将所述学习结果同步到所述已知特征缓存。
6.根据权利要求5所述的工业通讯防护方法,其特征在于,所述根据预先配置的学习策略,进行协议特征的学习,得到协议特征的学习结果的步骤之前还包括:
从数据库中获取原始特征数据;
根据所述原始特征数据中的精准特征标识,判断所述原始特征数据中的特征是否为已知特征;
若所述原始特征数据中的协议特征为已知特征,则将所述原始特征数据存入所述已知特征缓存;
若所述原始特征数据中的协议特征为非已知特征,则将所述原始特征数据存入所述临时特征缓存或对所述临时特征缓存进行更新。
7.一种工业通讯防护装置,其特征在于,所述工业通讯防护装置包括:
提取模块,用于获取工业流量数据,从所述工业流量数据中提取协议特征;
匹配模块,用于对所述协议特征基于预设的协议特征匹配规则进行匹配,得到第一匹配结果;
学习操作模块,用于根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁;
所述匹配模块,还用于将所述协议特征进行特征唯一值的运算,得到所述协议特征的第一特征唯一值;
将所述第一特征唯一值与特征缓存中的数据进行匹配,得到第一匹配结果,所述特征缓存包括已知特征缓存和临时特征缓存;
所述根据所述协议特征的第一匹配结果,并基于威胁检测规则检测所述工业流量数据中的安全性威胁的步骤包括:
若所述第一匹配结果为匹配成功,则根据特征缓存的数据确定所述协议特征的特征权值;
判断所述特征权值是否达到预设的异常阈值;
若是,则确定检测到安全性威胁;
若所述第一匹配结果为匹配失败,则将所述协议特征与预先配置的敏感动作特征进行匹配,得到第二匹配结果;
若所述第二匹配结果为失败,则将所述协议特征上报告警,将所述协议特征及相关数据添加到临时特征缓存中,进行增量特征的学习,并根据预先配置的特征规则动作进行处理;
若所述第二匹配结果为成功,则确定检测到安全性威胁。
8.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业通讯防护程序,所述工业通讯防护程序被所述处理器执行时实现如权利要求1-6中任一项所述工业通讯防护方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有工业通讯防护程序,所述工业通讯防护程序被处理器执行时实现如权利要求1-6中任一项所述工业通讯防护方法的步骤。
CN202210888657.0A 2022-07-27 2022-07-27 工业通讯防护方法、装置、终端设备及存储介质 Active CN115065552B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210888657.0A CN115065552B (zh) 2022-07-27 2022-07-27 工业通讯防护方法、装置、终端设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210888657.0A CN115065552B (zh) 2022-07-27 2022-07-27 工业通讯防护方法、装置、终端设备及存储介质

Publications (2)

Publication Number Publication Date
CN115065552A CN115065552A (zh) 2022-09-16
CN115065552B true CN115065552B (zh) 2023-01-10

Family

ID=83206894

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210888657.0A Active CN115065552B (zh) 2022-07-27 2022-07-27 工业通讯防护方法、装置、终端设备及存储介质

Country Status (1)

Country Link
CN (1) CN115065552B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115379029A (zh) * 2022-10-27 2022-11-22 北京六方云信息技术有限公司 报文识别方法、装置、终端设备以及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857486A (zh) * 2012-04-01 2013-01-02 深信服网络科技(深圳)有限公司 下一代应用防火墙***及防御方法
CN109714371A (zh) * 2019-03-12 2019-05-03 国网新疆电力有限公司电力科学研究院 一种工控网络安全检测***
US11115799B1 (en) * 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification
CN113556354A (zh) * 2021-07-29 2021-10-26 国家工业信息安全发展研究中心 一种基于流量分析的工业互联网安全威胁检测方法与***
CN114374528A (zh) * 2021-11-24 2022-04-19 河南中裕广恒科技股份有限公司 一种数据安全检测方法、装置、电子设备及介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110868408A (zh) * 2019-11-07 2020-03-06 广州安加互联科技有限公司 一种基于工业协议解析的工控设备安全检测方法和***

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857486A (zh) * 2012-04-01 2013-01-02 深信服网络科技(深圳)有限公司 下一代应用防火墙***及防御方法
CN109714371A (zh) * 2019-03-12 2019-05-03 国网新疆电力有限公司电力科学研究院 一种工控网络安全检测***
US11115799B1 (en) * 2020-06-01 2021-09-07 Palo Alto Networks, Inc. IoT device discovery and identification
CN113556354A (zh) * 2021-07-29 2021-10-26 国家工业信息安全发展研究中心 一种基于流量分析的工业互联网安全威胁检测方法与***
CN114374528A (zh) * 2021-11-24 2022-04-19 河南中裕广恒科技股份有限公司 一种数据安全检测方法、装置、电子设备及介质

Also Published As

Publication number Publication date
CN115065552A (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
US20210385244A1 (en) Electronic control device, fraud detection server, in-vehicle network system, in-vehicle network monitoring system, and in-vehicle network monitoring method
CN107576346B (zh) 传感器的检测方法、装置及计算机可读存储介质
KR101638613B1 (ko) 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법
CN109889550B (zh) 一种DDoS攻击确定方法及装置
CN112685682B (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
CN115065552B (zh) 工业通讯防护方法、装置、终端设备及存储介质
WO2019093098A1 (ja) 情報処理装置、移動装置、および方法、並びにプログラム
CN110221581B (zh) 工业控制网络监测装置和方法
CN105814861B (zh) 用于传输数据的设备和方法
CN103888282A (zh) 基于核电站的网络入侵报警方法和***
CN114079579B (zh) 一种恶意加密流量检测方法及装置
CN105549508A (zh) 一种基于信息合并的报警方法及装置
CN109495424B (zh) 一种检测入侵流量的方法和装置
CN113992430A (zh) 一种失陷处理方法及装置
CN108494858A (zh) 一种车窗天窗监控***及方法
CN111143844B (zh) 一种物联网设备的安全检测方法、***及相关装置
US11330013B2 (en) Method and device for monitoring data communications
CN111935085A (zh) 工业控制网络异常网络行为的检测防护方法和***
EP2911362B1 (en) Method and system for detecting intrusion in networks and systems based on business-process specification
CN113709153B (zh) 一种日志归并的方法、装置及电子设备
CN110574348B (zh) 数据处理装置和方法
CN112866173B (zh) 防范物联网终端异常连接的方法、***和终端
KR20180012548A (ko) 자동제어 시스템에서의 이상 행위 판별 방법
CN110750418B (zh) 一种信息处理方法、电子设备和信息处理***
CN112686644A (zh) 一种项目运行状态监测方法、***、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant