【技术实现步骤摘要】
工业控制网络异常网络行为的检测防护方法和系统
本专利技术涉及工业控制安全领域
,特别涉及一种工业控制系统异常行为防护方法和系统。
技术介绍
由于工业控制系统设计之初是一个与外界物理隔离的系统,因此传统的工业控制协议没有考虑信息安全和网络安全的问题。随着标准网络和互联网技术在工业控制系统的广泛应用,工业控制系统面临的安全威胁正日益加剧,比如:为了造成工业控制系统的损坏,病毒可以伪装成可编程逻辑控制器发送流量;通过识别重要基础设施通信的对人机界面(HMI)实施代码注入;利用MODBUS、DNP3等工业控制系统协议;源自外部的主机的恶意活动;利用运营环境中使用的通用的通信协议,比如HTTP(HyperTextTransferProtocol)、FTP(FileTransferProtocol)、SMB(ServerMessageBlock)等;运营网络中的授权用户进行授权范围之外的非授权操作。为了解决这些问题,需要有具有针对性的检测和防护方法来缓解工业控制系统面临的风险。
技术实现思路
本专利技术提供了一...
【技术保护点】
1.一种工业控制网络异常网络行为的检测防护方法,该检测防护方法包括:/n从工业控制网络多个工业控制设备传输数据包中获取特定字段;/n基于数据包的特定字段获取特定协议矢量;/n基于一个网络行为状态的特定协议矢量指示产生一个数值;/n维护网络行为状态机,包括网络行为状态列表和转移计数器,其中,所述的转移计数器基于所述网络行为状态矢量产生的数值进行计数,根据转移计数器确定转移概率,所述转移概率是指在正常的网络运行中从第一个网络状态到随后第二个网络状态的估计概率;/n为网络行为基准建立估计概率门限,确定从特定的网络数据包流获得的一系列的网络行为状态发生的转移概率;/n当一系列的网络...
【技术特征摘要】
1.一种工业控制网络异常网络行为的检测防护方法,该检测防护方法包括:
从工业控制网络多个工业控制设备传输数据包中获取特定字段;
基于数据包的特定字段获取特定协议矢量;
基于一个网络行为状态的特定协议矢量指示产生一个数值;
维护网络行为状态机,包括网络行为状态列表和转移计数器,其中,所述的转移计数器基于所述网络行为状态矢量产生的数值进行计数,根据转移计数器确定转移概率,所述转移概率是指在正常的网络运行中从第一个网络状态到随后第二个网络状态的估计概率;
为网络行为基准建立估计概率门限,确定从特定的网络数据包流获得的一系列的网络行为状态发生的转移概率;
当一系列的网络行为状态发生的转移概率低于该估计概率门限时表示异常情况;
如果确定的一系列的网络行为状态发生的转移概率低于估计概率门限,则执行保护措施。
2.根据权利要求1所述的检测防护方法,其特征在于:数据包中特定字段是从被监控的工业控制网络中获得。
3.根据权利要求2所述的检测防护方法,其特征在于:从特定的网...
【专利技术属性】
技术研发人员:李冀,
申请(专利权)人:物耀安全科技杭州有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。