[发明专利]基于工业控制系统的入侵检测方法、装置以及系统

说明书

本发明提出一种基于工业控制系统的入侵检测方法、装置以及系统，其中方法包括：接入工业控制总线的仿真设备，获取工业控制总线上的广播数据，对广播数据进行协议解析，获取广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及传输协议；将参数取值范围以及传输协议上报给监管服务器，判断参数取值范围是否存在异常；在接收到监管服务器发送的异常指令时，模拟目的工控设备与下位机进行交互，获取源设备的异常行为数据，将携带异常行为数据、参数取值范围、传输协议以及源设备地址信息的入侵信息上报给监管服务器，从而能够在工业控制系统遇到入侵时，及时进行入侵排查等处理，提高了工业控制系统的安全性和稳定性。

技术领域

本发明涉及工业控制系统技术领域，尤其涉及一种基于工业控制系统的入侵检测方法、装置以及系统。

背景技术

随着科学技术的发展，工业控制系统(Industrial Control Systems，ICS)已成为电力、水力、石化天然气及交通运输等行业的基石。目前，针对工业控制系统的病毒攻击越来越多，但还没有针对工业控制系统的入侵检测手段，降低了工业控制系统的安全性和稳定性。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的第一个目的在于提出一种基于工业控制系统的入侵检测方法，用于解决现有技术中工业控制系统的安全性和稳定性差的问题。

本发明的第二个目的在于提出另一种基于工业控制系统的入侵检测方法。

本发明的第三个目的在于提出一种基于工业控制系统的入侵检测装置。

本发明的第四个目的在于提出另一种基于工业控制系统的入侵检测装置。

本发明的第五个目的在于提出一种基于工业控制系统的入侵检测系统。

为达上述目的，本发明第一方面实施例提出了一种基于工业控制系统的入侵检测方法，包括：

接入工业控制总线的仿真设备，获取工业控制总线上下位机向工控设备广播的广播数据，对所述广播数据进行协议解析，获取所述广播数据中的源设备地址信息、目的工控设备地址信息、参数取值范围以及所述广播数据的传输协议；

将所述参数取值范围以及所述传输协议上报给监管服务器，以使所述监管服务器将所述参数取值范围以及所述传输协议输入预设的安全模型，判断与所述传输协议对应的所述参数取值范围是否存在异常；

在接收到所述监管服务器发送的异常指令时，模拟所述目的工控设备与所述下位机进行交互，获取源设备的异常行为数据，将携带所述异常行为数据、所述参数取值范围、所述传输协议以及所述源设备地址信息的入侵信息上报给所述监管服务器。

进一步的，所述将所述参数取值范围以及所述传输协议上报给监管服务器之前，还包括：

获取超过预设数量阈值的样本广播数据；

将所述样本广播数据上报给监管服务器，以使所述监管服务器对所述样本广播数据进行协议解析以及状态标注，得到训练数据，采用所述训练数据对初始的安全模型进行训练，得到所述预设的安全模型；所述状态包括：正常状态和异常状态。

进一步的，所述的方法还包括：

获取所述监管服务器发送的所述工业控制总线上各个工控设备的基础数据；

根据所述工控设备的基础数据，对所述仿真设备的基础数据进行设置，以使所述仿真设备模拟所述工控设备接收广播数据。