本發明提出一種基于工業控制系統的入侵檢測方法、裝置以及系統，其中方法包括：接入工業控制總線的仿真設備，獲取工業控制總線上的廣播數據，對廣播數據進行協議解析，獲取廣播數據中的源設備地址信息、目的工控設備地址信息、參數取值范圍以及傳輸協議；將參數取值范圍以及傳輸協議上報給監管服務器，判斷參數取值范圍是否存在異常；在接收到監管服務器發送的異常指令時，模擬目的工控設備與下位機進行交互，獲取源設備的異常行為數據，將攜帶異常行為數據、參數取值范圍、傳輸協議以及源設備地址信息的入侵信息上報給監管服務器，從而能夠在工業控制系統遇到入侵時，及時進行入侵排查等處理，提高了工業控制系統的安全性和穩定性。

技術領域

本發明涉及工業控制系統技術領域，尤其涉及一種基于工業控制系統的入侵檢測方法、裝置以及系統。

背景技術

隨著科學技術的發展，工業控制系統(Industrial Control Systems，ICS)已成為電力、水力、石化天然氣及交通運輸等行業的基石。目前，針對工業控制系統的病毒攻擊越來越多，但還沒有針對工業控制系統的入侵檢測手段，降低了工業控制系統的安全性和穩定性。

發明內容

本發明旨在至少在一定程度上解決相關技術中的技術問題之一。

為此，本發明的第一個目的在于提出一種基于工業控制系統的入侵檢測方法，用于解決現有技術中工業控制系統的安全性和穩定性差的問題。

本發明的第二個目的在于提出另一種基于工業控制系統的入侵檢測方法。

本發明的第三個目的在于提出一種基于工業控制系統的入侵檢測裝置。

本發明的第四個目的在于提出另一種基于工業控制系統的入侵檢測裝置。

本發明的第五個目的在于提出一種基于工業控制系統的入侵檢測系統。

為達上述目的，本發明第一方面實施例提出了一種基于工業控制系統的入侵檢測方法，包括：

接入工業控制總線的仿真設備，獲取工業控制總線上下位機向工控設備廣播的廣播數據，對所述廣播數據進行協議解析，獲取所述廣播數據中的源設備地址信息、目的工控設備地址信息、參數取值范圍以及所述廣播數據的傳輸協議；

將所述參數取值范圍以及所述傳輸協議上報給監管服務器，以使所述監管服務器將所述參數取值范圍以及所述傳輸協議輸入預設的安全模型，判斷與所述傳輸協議對應的所述參數取值范圍是否存在異常；

在接收到所述監管服務器發送的異常指令時，模擬所述目的工控設備與所述下位機進行交互，獲取源設備的異常行為數據，將攜帶所述異常行為數據、所述參數取值范圍、所述傳輸協議以及所述源設備地址信息的入侵信息上報給所述監管服務器。

進一步的，所述將所述參數取值范圍以及所述傳輸協議上報給監管服務器之前，還包括：

獲取超過預設數量閾值的樣本廣播數據；

將所述樣本廣播數據上報給監管服務器，以使所述監管服務器對所述樣本廣播數據進行協議解析以及狀態標注，得到訓練數據，采用所述訓練數據對初始的安全模型進行訓練，得到所述預設的安全模型；所述狀態包括：正常狀態和異常狀態。

進一步的，所述的方法還包括：

獲取所述監管服務器發送的所述工業控制總線上各個工控設備的基礎數據；

根據所述工控設備的基礎數據，對所述仿真設備的基礎數據進行設置，以使所述仿真設備模擬所述工控設備接收廣播數據。