[發明專利]基于工業控制系統的入侵檢測方法、裝置以及系統在審
| 申請號: | 201711403401.1 | 申請日: | 2017-12-22 |
| 公開(公告)號: | CN109962881A | 公開(公告)日: | 2019-07-02 |
| 發明(設計)人: | 龐齊;徐翰隆;王小豐;肖新光 | 申請(專利權)人: | 北京安天網絡安全技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G05B23/02 |
| 代理公司: | 北京清亦華知識產權代理事務所(普通合伙) 11201 | 代理人: | 張潤 |
| 地址: | 100190 北京市海淀*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 工業控制系統 監管服務器 傳輸協議 地址信息 廣播數據 工業控制總線 異常行為數據 工控設備 入侵檢測 源設備 入侵 仿真設備 判斷參數 協議解析 信息上報 異常指令 獲取源 下位機 排查 發送 上報 攜帶 | ||
1.一種基于工業控制系統的入侵檢測方法,其特征在于,包括:
接入工業控制總線的仿真設備,獲取工業控制總線上下位機向工控設備廣播的廣播數據,對所述廣播數據進行協議解析,獲取所述廣播數據中的源設備地址信息、目的工控設備地址信息、參數取值范圍以及所述廣播數據的傳輸協議;
將所述參數取值范圍以及所述傳輸協議上報給監管服務器,以使所述監管服務器將所述參數取值范圍以及所述傳輸協議輸入預設的安全模型,判斷與所述傳輸協議對應的所述參數取值范圍是否存在異常;
在接收到所述監管服務器發送的異常指令時,模擬所述目的工控設備與所述下位機進行交互,獲取源設備的異常行為數據,將攜帶所述異常行為數據、所述參數取值范圍、所述傳輸協議以及所述源設備地址信息的入侵信息上報給所述監管服務器。
2.根據權利要求1所述的方法,其特征在于,所述將所述參數取值范圍以及所述傳輸協議上報給監管服務器之前,還包括:
獲取超過預設數量閾值的樣本廣播數據;
將所述樣本廣播數據上報給監管服務器,以使所述監管服務器對所述樣本廣播數據進行協議解析以及狀態標注,得到訓練數據,采用所述訓練數據對初始的安全模型進行訓練,得到所述預設的安全模型;所述狀態包括:正常狀態和異常狀態。
3.根據權利要求2所述的方法,其特征在于,還包括:
獲取所述監管服務器發送的所述工業控制總線上各個工控設備的基礎數據;
根據所述工控設備的基礎數據,對所述仿真設備的基礎數據進行設置,以使所述仿真設備模擬所述工控設備接收廣播數據。
4.一種基于工業控制系統的入侵檢測方法,其特征在于,包括:
獲取接入工業控制總線的仿真設備上報的參數取值范圍以及傳輸協議;所述參數取值范圍以及所述傳輸協議為所述仿真設備對廣播數據進行協議解析得到的;所述廣播數據為工業控制總線上下位機向工控設備廣播的廣播數據;
將所述參數取值范圍以及所述傳輸協議輸入預設的安全模型,判斷與所述傳輸協議對應的所述參數取值范圍是否存在異常;
在所述參數取值范圍存在異常時,向所述仿真設備發送異常指令,以使所述仿真設備模擬所述廣播數據中的目的工控設備與所述下位機進行交互,獲取源設備的異常行為數據;
接收所述仿真設備上報的入侵信息;所述入侵信息中攜帶:所述異常行為數據、所述參數取值范圍、所述傳輸協議以及源設備地址信息。
5.根據權利要求4所述的方法,其特征在于,所述獲取接入工業控制總線的仿真設備上報的參數取值范圍以及傳輸協議之前,還包括:
接收所述仿真設備上報的超過預設數量閾值的樣本廣播數據;
對所述樣本廣播數據進行協議解析以及狀態標注,得到訓練數據,采用所述訓練數據對初始的安全模型進行訓練,得到所述預設的安全模型;所述狀態包括:正常狀態和異常狀態。
6.根據權利要求4所述的方法,其特征在于,還包括:
根據標注為正常狀態的訓練數據,確定所述工業控制總線上各個工控設備的基礎數據;
將所述工業控制總線上各個工控設備的基礎數據發送給所述仿真設備。
7.根據權利要求4所述的方法,其特征在于,還包括:
根據所述入侵信息進行報警提示;提示方式包括:聲光提示、短信提示或者顯示提示。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安天網絡安全技術有限公司,未經北京安天網絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711403401.1/1.html,轉載請聲明來源鉆瓜專利網。
