[发明专利]入侵侦测装置以及入侵侦测方法

说明书

本案提供一种入侵侦测装置以及入侵侦测方法。入侵侦测装置适用于工业级串行序列协定。入侵侦测装置包含连接接口以及处理器。处理器透过连接接口接收多个第一封包。处理器用以获得各该第一封包的网络协定数据以及工业操控数据；分别标记网络协定数据中的第一网际网络协定地址的第一运作角色以及第二网际网络协定地址的第二运作角色；获得第一网际网络协定地址的关联群组；以及建立规则清单，其中规则清单包含第一运作角色、第一网际网络协定地址、第二网际网络协定地址及关联群组的内容。如此一来，本案可同时防止外部骇客入侵以及内部的内鬼的内部蓄意破坏，达成更全面地信息安全保护的功效。

技术领域

本案是有关于一种侦测装置及侦测方法，且特别是有关于一种网络封包的入侵侦测装置及入侵侦测方法。

背景技术

一般工业控制系统常采用主从式架构(例如工业级串行序列协定(Modbus))，主从式架构的特性导致系统的信息安全问题出现漏洞。举例来说，骇客只要伪装成主要设备(master device)，即可成功将伪装封包(masquerading packet)传送至从属设备(slavedevice)，导致从属设备及其连接的多个工业设备受到入侵。

然而，现行的企业型入侵侦测系统(intrusion detection system，IDS)只针对开放式系统互联参考模型(Open System Interconnection Reference Model，OSI)的第三层及第四层的协定内容定义侦测规则，导致应用Modbus协定的工业控制系统完全无法受到信息安全保护。据此，如何避免工业控制系统受到外部及内部的攻击是亟需解决的技术问题。

发明内容

发明内容旨在提供本揭示内容的简化摘要，以使阅读者对本揭示内容具备基本的理解。此发明内容并非本揭示内容的完整概述，且其用意并非在指出本案实施例的重要/关键元件或界定本案的范围。

根据本案的一实施例，揭示一种入侵侦测装置，适用于工业级串行序列协定。入侵侦测装置包含连接接口以及处理器。处理器透过连接接口接收多个第一封包。处理器用以获得各该第一封包的网络协定数据以及工业操控数据；分别标记网络协定数据中的第一网际网络协定地址的第一运作角色以及第二网际网络协定地址的第二运作角色；获得第一网际网络协定地址的关联群组，其中关联群组包含第一工业设备信息及第二工业设备信息；以及建立规则清单，其中规则清单包含运作角色、第一网际网络协定地址、第二网际网络协定地址及关联群组的内容，其中规则清单中的第一运作角色对应于第一工业设备信息以及第二工业设备信息。

根据一实施例，其中该处理器还用以：于一查找表中查询该网络协定数据中的一通讯端口，以分别标记该第一网际网络协定地址的该第一运作角色及该第二网际网络协定地址的该第二运作角色。

根据一实施例，其中该处理器还用以：根据该第一网际网络协定地址的该第一运作角色及一普度模型(Purdue model)，标记该第二网际网络协定地址的该第二运作角色。

根据一实施例，其中该处理器还用以：透过该连接接口接收一第二封包；读取该第二封包的该网络协定数据以及该工业操控数据，以判断该第二封包是否符合该规则清单的内容；以及当判断该第二封包不符合该规则清单的内容，产生一警示信号。

根据一实施例，其中该处理器还用以：读取该第二封包的该网络协定数据的一第三网际网络协定地址；根据该第二封包的该网络协定数据的该通讯端口，以获得该第三网际网络协定地址的一第三运作角色；读取该第二封包的该工业操控数据的至少一操控参数；以及于判断第三网际网络协定地址、关联于该第三网际网络协定地址的该第三运作角色以及该至少一操控参数不符合该规则清单的该第一运作角色、该第一网际网络协定地址、该第二网际网络协定地址及该关联群组的内容时，产生该警示信号。