本发明专利技术提出一种基于工业控制系统的入侵检测方法、装置以及系统,其中方法包括:接入工业控制总线的仿真设备,获取工业控制总线上的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及传输协议;将参数取值范围以及传输协议上报给监管服务器,判断参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,从而能够在工业控制系统遇到入侵时,及时进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。
Intrusion Detection Method, Device and System Based on Industrial Control System
【技术实现步骤摘要】
基于工业控制系统的入侵检测方法、装置以及系统
本专利技术涉及工业控制系统
,尤其涉及一种基于工业控制系统的入侵检测方法、装置以及系统。
技术介绍
随着科学技术的发展,工业控制系统(IndustrialControlSystems,ICS)已成为电力、水力、石化天然气及交通运输等行业的基石。目前,针对工业控制系统的病毒攻击越来越多,但还没有针对工业控制系统的入侵检测手段,降低了工业控制系统的安全性和稳定性。
技术实现思路
本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本专利技术的第一个目的在于提出一种基于工业控制系统的入侵检测方法,用于解决现有技术中工业控制系统的安全性和稳定性差的问题。本专利技术的第二个目的在于提出另一种基于工业控制系统的入侵检测方法。本专利技术的第三个目的在于提出一种基于工业控制系统的入侵检测装置。本专利技术的第四个目的在于提出另一种基于工业控制系统的入侵检测装置。本专利技术的第五个目的在于提出一种基于工业控制系统的入侵检测系统。为达上述目的,本专利技术第一方面实施例提出了一种基于工业控制系统的入侵检测方法,包括:接入工业控制总线的仿真设备,获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。进一步的,所述将所述参数取值范围以及所述传输协议上报给监管服务器之前,还包括:获取超过预设数量阈值的样本广播数据;将所述样本广播数据上报给监管服务器,以使所述监管服务器对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。进一步的,所述的方法还包括:获取所述监管服务器发送的所述工业控制总线上各个工控设备的基础数据;根据所述工控设备的基础数据,对所述仿真设备的基础数据进行设置,以使所述仿真设备模拟所述工控设备接收广播数据。本专利技术实施例的基于工业控制系统的入侵检测方法中,接入工业控制总线的仿真设备,通过获取工业控制总线上下位机向工控设备广播的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议;将参数取值范围以及传输协议上报给监管服务器,判断与传输协议对应的参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,以便监管服务器进行处理,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。为达上述目的,本专利技术第二方面实施例提出了一种基于工业控制系统的入侵检测方法,包括:获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;所述参数取值范围以及所述传输协议为所述仿真设备对广播数据进行协议解析得到的;所述广播数据为工业控制总线上下位机向工控设备广播的广播数据;将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;在所述参数取值范围存在异常时,向所述仿真设备发送异常指令,以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互,获取源设备的异常行为数据;接收所述仿真设备上报的入侵信息;所述入侵信息中携带:所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。进一步的,所述获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议之前,还包括:接收所述仿真设备上报的超过预设数量阈值的样本广播数据;对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。进一步的,所述的方法还包括:所述获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议之前,还包括:接收所述仿真设备上报的超过预设数量阈值的样本广播数据;对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。进一步的,所述的方法还包括:根据所述入侵信息进行报警提示;提示方式包括:声光提示、短信提示或者显示提示。本专利技术实施例的基于工业控制系统的入侵检测方法,通过获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;将参数取值范围以及传输协议输入预设的安全模型,判断与传输协议对应的参数取值范围是否存在异常;在参数取值范围存在异常时,向仿真设备发送异常指令,以使仿真设备模拟广播数据中的目的工控设备与下位机进行交互,获取源设备的异常行为数据,并上报携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。为达上述目的,本专利技术第三方面实施例提出了一种基于工业控制系统的入侵检测装置,包括:获取模块,用于获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;上报模块,用于将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;模拟模块,用于在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。本专利技术实施例的基于工业控制系统的入侵检测装置中,接入工业控制总线的仿真设备,通过获取工业控制总线上下位机向工控设备广播的广播数据,对广播数据进行协议解析,获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及广播数据的传输协议;将参数取值范围以及传输协议上报给监管服务器,判断与传输协议对应的参数取值范围是否存在异常;在接收到监管服务器发送的异常指令时,模拟目的工控设备与下位机进行交互,获取源设备的异常行为数据,将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器,以便监管服务器进行处理,从而能够在工业控制系统遇到入侵时,及时对工业控制系统进行入侵排查等处理,提高了工业控制系统的安全性和稳定性。为达上述目的,本专利技术第四方面实施例提出本文档来自技高网...
【技术保护点】
1.一种基于工业控制系统的入侵检测方法,其特征在于,包括:接入工业控制总线的仿真设备,获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。
【技术特征摘要】
1.一种基于工业控制系统的入侵检测方法,其特征在于,包括:接入工业控制总线的仿真设备,获取工业控制总线上下位机向工控设备广播的广播数据,对所述广播数据进行协议解析,获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议;将所述参数取值范围以及所述传输协议上报给监管服务器,以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;在接收到所述监管服务器发送的异常指令时,模拟所述目的工控设备与所述下位机进行交互,获取源设备的异常行为数据,将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。2.根据权利要求1所述的方法,其特征在于,所述将所述参数取值范围以及所述传输协议上报给监管服务器之前,还包括:获取超过预设数量阈值的样本广播数据;将所述样本广播数据上报给监管服务器,以使所述监管服务器对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采用所述训练数据对初始的安全模型进行训练,得到所述预设的安全模型;所述状态包括:正常状态和异常状态。3.根据权利要求2所述的方法,其特征在于,还包括:获取所述监管服务器发送的所述工业控制总线上各个工控设备的基础数据;根据所述工控设备的基础数据,对所述仿真设备的基础数据进行设置,以使所述仿真设备模拟所述工控设备接收广播数据。4.一种基于工业控制系统的入侵检测方法,其特征在于,包括:获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议;所述参数取值范围以及所述传输协议为所述仿真设备对广播数据进行协议解析得到的;所述广播数据为工业控制总线上下位机向工控设备广播的广播数据;将所述参数取值范围以及所述传输协议输入预设的安全模型,判断与所述传输协议对应的所述参数取值范围是否存在异常;在所述参数取值范围存在异常时,向所述仿真设备发送异常指令,以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互,获取源设备的异常行为数据;接收所述仿真设备上报的入侵信息;所述入侵信息中携带:所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。5.根据权利要求4所述的方法,其特征在于,所述获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议之前,还包括:接收所述仿真设备上报的超过预设数量阈值的样本广播数据;对所述样本广播数据进行协议解析以及状态标注,得到训练数据,采...
【专利技术属性】
技术研发人员:庞齐,徐翰隆,王小丰,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。