[发明专利]入侵侦测装置以及入侵侦测方法

权利要求书

1.一种入侵侦测装置，其特征在于，适用于一工业级串行序列协定，其中该入侵侦测装置包含：

一连接接口；

一处理器，透过该连接接口接收多个第一封包，其中该处理器用以：

获得各该第一封包的一网络协定数据以及一工业操控数据；

分别标记该网络协定数据中的一第一网际网络协定地址的一第一运作角色以及一第二网际网络协定地址的一第二运作角色；

获得该第一网际网络协定地址的一关联群组，其中该关联群组包含一第一工业设备信息及一第二工业设备信息；

建立一规则清单，其中该规则清单包含该第一运作角色、该第一网际网络协定地址、该第二网际网络协定地址及该关联群组的内容，其中该规则清单中的该第一运作角色对应于该第一工业设备信息及该第二工业设备信息，其中该第一运作角色与该第二运作角色的每一者皆包含一控制器、一控制中心、一数据库、一办公室电脑以及一服务器的其中至少一者；

透过该连接接口接收一第二封包；

读取该第二封包的该网络协定数据以及该工业操控数据，以判断该第二封包是否符合该规则清单的内容；以及

当判断该第二封包不符合该规则清单的内容，产生一警示信号。

2.根据权利要求1所述的入侵侦测装置，其特征在于，该处理器还用以：

于一查找表中查询该网络协定数据中的一通讯端口，以分别标记该第一网际网络协定地址的该第一运作角色及该第二网际网络协定地址的该第二运作角色。

3.根据权利要求2所述的入侵侦测装置，其特征在于，该处理器还用以：

根据该第一网际网络协定地址的该第一运作角色及一普度模型Purdue model，标记该第二网际网络协定地址的该第二运作角色。

4.根据权利要求1所述的入侵侦测装置，其特征在于，该处理器还用以：

读取该第二封包的该网络协定数据的一第三网际网络协定地址；

根据该第二封包的该网络协定数据的通讯端口，以获得该第三网际网络协定地址的一第三运作角色；

读取该第二封包的该工业操控数据的至少一操控参数；以及

于判断第三网际网络协定地址、关联于该第三网际网络协定地址的该第三运作角色以及该至少一操控参数不符合该规则清单的该第一运作角色、该第一网际网络协定地址、该第二网际网络协定地址及该关联群组的内容时，产生该警示信号。

5.一种入侵侦测方法，其特征在于，适用于一工业级串行序列协定的网络架构，其中该入侵侦测方法包含：

接收多个第一封包，并获得各该第一封包的一网络协定数据以及一工业操控数据；

分别标记该网络协定数据中的一第一网际网络协定地址的一第一运作角色以及一第二网际网络协定地址的一第二运作角色；

获得该第一网际网络协定地址的一关联群组，其中该关联群组包含一第一工业设备信息及一第二工业设备信息；

建立一规则清单，其中该规则清单包含该第一运作角色、该第一网际网络协定地址、该第二网际网络协定地址及该关联群组的内容，其中该规则清单中的该第一运作角色对应于该第一工业设备信息及该第二工业设备信息，其中该第一运作角色与该第二运作角色的每一者皆包含一控制器、一控制中心、一数据库、一办公室电脑以及一服务器的其中至少一者；

接收经一交换设备撷取的一第二封包；

读取该第二封包的该网络协定数据以及该工业操控数据，以判断该第二封包是否符合该规则清单的内容；以及

当判断该第二封包不符合该规则清单的内容，产生一警示信号。

6.根据权利要求5所述的入侵侦测方法，其特征在于，还包含：

于一查找表中查询该网络协定数据中的一通讯端口，以分别标记该第一网际网络协定地址的该第一运作角色及该第二网际网络协定地址的该第二运作角色。

7.根据权利要求6所述的入侵侦测方法，其特征在于，还包含：

根据该第一网际网络协定地址的该第一运作角色及一普度模型，标记该第二网际网络协定地址的该第二运作角色。

8.根据权利要求5所述的入侵侦测方法，其特征在于，还包含：

读取该第二封包的该网络协定数据的一第三网际网络协定地址；

根据该第二封包的该网络协定数据的通讯端口，以获得该第三网际网络协定地址的一第三运作角色；

读取该第二封包的该工业操控数据的至少一操控参数；以及

于判断第三网际网络协定地址、关联于该第三网际网络协定地址的该第三运作角色以及该至少一操控参数不符合该规则清单的该第一运作角色、该第一网际网络协定地址、该第二网际网络协定地址及该关联群组的内容时，产生该警示信号。