[发明专利]基于工业控制系统的入侵检测方法、装置以及系统

权利要求书

1.一种基于工业控制系统的入侵检测方法，其特征在于，包括：

接入工业控制总线的仿真设备，获取工业控制总线上下位机向工控设备广播的广播数据，对所述广播数据进行协议解析，获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议；

将所述参数取值范围以及所述传输协议上报给监管服务器，以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型，判断与所述传输协议对应的所述参数取值范围是否存在异常；

在接收到所述监管服务器发送的异常指令时，模拟所述目的工控设备与所述下位机进行交互，获取源设备的异常行为数据，将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。

2.根据权利要求1所述的方法，其特征在于，所述将所述参数取值范围以及所述传输协议上报给监管服务器之前，还包括：

获取超过预设数量阈值的样本广播数据；

将所述样本广播数据上报给监管服务器，以使所述监管服务器对所述样本广播数据进行协议解析以及状态标注，得到训练数据，采用所述训练数据对初始的安全模型进行训练，得到所述预设的安全模型；所述状态包括：正常状态和异常状态。

3.根据权利要求2所述的方法，其特征在于，还包括：

获取所述监管服务器发送的所述工业控制总线上各个工控设备的基础数据；

根据所述工控设备的基础数据，对所述仿真设备的基础数据进行设置，以使所述仿真设备模拟所述工控设备接收广播数据。

4.一种基于工业控制系统的入侵检测方法，其特征在于，包括：

获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议；所述参数取值范围以及所述传输协议为所述仿真设备对广播数据进行协议解析得到的；所述广播数据为工业控制总线上下位机向工控设备广播的广播数据；

将所述参数取值范围以及所述传输协议输入预设的安全模型，判断与所述传输协议对应的所述参数取值范围是否存在异常；

在所述参数取值范围存在异常时，向所述仿真设备发送异常指令，以使所述仿真设备模拟所述广播数据中的目的工控设备与所述下位机进行交互，获取源设备的异常行为数据；

接收所述仿真设备上报的入侵信息；所述入侵信息中携带：所述异常行为数据、所述参数取值范围、所述传输协议以及源设备地址信息。

5.根据权利要求4所述的方法，其特征在于，所述获取接入工业控制总线的仿真设备上报的参数取值范围以及传输协议之前，还包括：

接收所述仿真设备上报的超过预设数量阈值的样本广播数据；

对所述样本广播数据进行协议解析以及状态标注，得到训练数据，采用所述训练数据对初始的安全模型进行训练，得到所述预设的安全模型；所述状态包括：正常状态和异常状态。

6.根据权利要求4所述的方法，其特征在于，还包括：

根据标注为正常状态的训练数据，确定所述工业控制总线上各个工控设备的基础数据；

将所述工业控制总线上各个工控设备的基础数据发送给所述仿真设备。

7.根据权利要求4所述的方法，其特征在于，还包括：

根据所述入侵信息进行报警提示；提示方式包括：声光提示、短信提示或者显示提示。