CN106657163B - 工业控制动态防御方法和系统 - Google Patents
工业控制动态防御方法和系统 Download PDFInfo
- Publication number
- CN106657163B CN106657163B CN201710119529.9A CN201710119529A CN106657163B CN 106657163 B CN106657163 B CN 106657163B CN 201710119529 A CN201710119529 A CN 201710119529A CN 106657163 B CN106657163 B CN 106657163B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- data
- protocol
- control protocol
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种工业控制动态防御方法,该方法包括:清洗工业网络流量数据以得到工业控制协议流量数据;对工业控制协议流量数据进行判断;记录未知的工业控制协议的协议数据格式,并获取工业控制协议的数据区间范围;根据区间范围进行协议内容智能填充,并整合协议格式和填充后的数据以形成学习结果;根据学习结果,生成动态变化的白名单;根据白名单,进行工业控制动态防御。本发明还提供了一种工业控制动态防御系统。本发明具有精准识别工业私有协议、兼容性强、防护精度高等优点。
Description
技术领域
本发明涉及工业控制领域,并且更具体地涉及一种工业控制动态防御方法和系统。
背景技术
工业控制技术是一种运用计算机、控制理论、仪器仪表和其它信息技术,对工业生产过程实现检测、控制、优化、调度、管理和决策,达到增加产量、提高质量、降低消耗、确保安全等目的的综合性技术。
通常,工业控制领域中的应用要满足如下要求:可用性、完整性、保密性,而且工业设备的设计通常是按照可用性优先的原则进行设计,这种情况制约了工业环境中的数据保密性,存在重大的安全隐患。在工业环境中发生的攻击事件层出不穷,我国的国家基础设施也发生过多起被攻击的事件。在这些国家基础设施发生重大事件的时候,均有传统网络防护设备的介入,但是无法针对我国工业环境进行防御,通过对两者技术要点的研究发现存在如下几个问题:(1)在工业环境中,传统的网络防护设备不能识别工业协议;(2)在工业环境中,传统的防护手段是以保密性优先的,这样极大的阻碍了工业生产的正常运行,例如正在运转的发电机可能因为防火墙的异常阻止而突然失速,造成严重的破坏;(3)在工业环境中,通常需要与互联网隔离,而传统的防火墙等设备策略大多需要联网更新固件,这样就给黑客带来了便利的入侵条件。
现有的工业控制技术大多针对黑名单(漏洞库)的方式进行记录判断,而同于收集和积累黑名单的方法各有不同,无法做到精准防御,误报漏报的情况经常发生。少数技术通过工业白名单的手段进行技术架构设计,但多数工业环境使用的是私有协议,无法进行协议开源共享,而且工业中所使用的设备大多使用私有协议进行传输,工业协议的私有性大大增加了白名单的防护精度,兼容性也将大大减少。因此,急需解决的是增加对私有协议的兼容性,加大工业白名单的防护精度,减少误报漏报的情况。进一步,工业现场不止会出现网络安全威胁,同样存在来自于内网的合规操作发生在违规时间的情况,这样就会造成严重的破坏,而破坏后通过查看防火墙以及常规防护设备的记录无法发现这些正常的操作。
发明内容
本发明主要解决的技术问题是提供一种工业控制动态防御方法和系统,以实现工业环境中精准识别工业私有协议、根据工业环境的特殊性进行软件的创新设计以实现符合工业可用性优先特性的软件体系、以及采用内网或专网管理方式以接触式本地化升级的方式解决工业现场无法联网更新的问题。
为了实现上述技术问题,本发明提供了一种工业控制动态防御方法,包括以下步骤:
清洗工业网络流量数据以得到干净的工业控制协议流量数据;
对工业控制协议流量数据进行判断以获知工业控制协议是已知的或者未知的;
记录未知的工业控制协议的协议数据格式,通过长时间的大数据量的记录获取工业控制协议的数据区间范围;
根据区间范围进行协议内容智能填充,并整合协议格式和填充后的数据以形成学习结果;
根据学习结果,生成动态变化的白名单;
根据白名单,进行工业控制动态防御。
根据本发明的一个实施例,工业控制动态防御方法进一步包括在生成动态变化的白名单的步骤之后在应用节点部署缓存数据库以缓存节点数据。
根据本发明的一个实施例,工业控制动态防御方法进一步包括备份并永久性存储节点数据。
根据本发明的一个实施例,白名单包含行为人、行为时间、操作内容中的一种或多种。
根据本发明的一个实施例,在工业控制协议是已知的情况下,忽略已知的工业控制协议。
根据本发明,提供一种工业控制动态防御方法,该方法包括以下步骤:
根据缓存数据库中的动态白名单,对经过清洗的工业控制协议流量数据进行交互匹配;
根据匹配的结果,对工业控制协议流量数据进行判定操作。
根据本发明的一个实施例,判定操作包括允许或者阻止工业控制协议流量数据通过。
根据本发明,提供一种工业控制动态防御系统,该系统包含流量分析模块、与流量分析模块通信连接的工控协议判定模块、与工控协议判定模块通信连接的智能学习模块、与智能学习模块通信连接的动态白名单生成模块、与动态白名单生成模块通信连接的分布式缓存数据库、与分布式缓存数据库通信连接并相互传递数据的集群存储数据库、与分布式缓冲数据库通信连接的动态协议匹配模块、以及与动态协议匹配模块通信连接的行为判定模块,其中,
流量分析模块用于对工业网络流量进行详细分析,清洗工业网络流量以得到干净的工业控制协议流量数据;
工控协议判定模块用于对清洗后的工业控制协议流量进行已知的或未知的判定,忽略已知的工业控制协议流量数据;
智能学习模块用于记录工控协议判定模块中得到的未知的工业控制协议流量数据数据格式,通过长时间的大数据量的记录获取协议数据区间范围,并根据区间范围进行协议内容智能填充,整合协议数据格式和填充后的数据以形成学习结果;
动态白名单生成模块用于根据智能学习模块的学习结果,生成最终的动态变化的白名单;
分布式缓存数据库用于在应用节点部署缓存数据库以缓存节点数据并实施写入/读取的操作;
动态协议匹配模块用于将网络流量数据进行分解,并通过查询分布式缓存数据库中的白名单进行交互匹配;和
行为判定模块用于根据动态协议匹配模块的结果进行内核级的判定操作。
根据本发明的一个实施例,工业控制动态防御系统进一步包括集群存储数据库,用于对分布式缓存数据库中的内容进行备份并永久性存储记录。
根据本发明的一个实施例,判定操作包括允许或者阻止工业控制协议流量数据通过。
根据本发明,保留了所有的工业数据,详细记录了行为的时间、行为人、操作内容等,为系统事件进行行为回溯、事件关联提供了一系列的过程依据。具备对所存储的海量数据的快速回溯能力,具备对任一时段内的海量数据进行快速检索和挖掘的能力,原因在于工业数据为了达到高可用性和高实时性,所以数据结构简单,经过一段时间分析可以不用逆向分析私有协议,生成动态适应工业协议的白名单结构,而且该白名单属于动态自适应类型,随着数据的积累以及时间的增加会生成一套完整的可用于进行动态防御的定制化白名单。完整解决了需要逆向私有协议、适应不同工业现场的环境而进行定制化开发费时费力、兼容性弱、防护精度达不到要求等弱点。
附图说明
图1为根据本发明的一个实施例的工业控制动态防御方法的流程图;
图2为根据本发明的另一个实施例的工业控制动态防御方法的流程图;
图3为本发明的工业控制动态防御系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
图1示出了根据本发明的第一实施例的一种工业控制动态防御方法,其中所示的方法开始于步骤S101。在步骤S101,对工业网络流量数据进行详细分析,并且对工业网络流量数据进行清洗以得到干净的工业控制协议流量数据。在步骤S102,判断所获得的工业控制协议流量数据是否是已知的工业控制协议,如果所获得的工业控制协议流量数据是已知的,则忽略该工业控制协议流量数据,方法结束,否则,方法前进到步骤S103。在步骤S103,通过智能学习引擎深度学习所获得的未知的工业控制协议流量数据,并记录学习到的协议数据格式,其中,在经过长时间的大数据量的记录后,可以获取协议数据区间范围,然后方法前进到步骤S104。在步骤S104,根据步骤S103中获得的区间范围可以进行协议内容的智能填充,上述智能填充的方式可以为现有技术中的任何一种智能填充方法。随后对协议格式和填充后的数据进行整合以形成学习结果,然后方法前进到步骤S105。在步骤S105,根据智能学习引擎的学习结果,生成最终的动态变化的白名单,然后方法前进到步骤S106。在步骤S106,将所生成的白名单缓存在缓存数据库中,同时,将所生成的白名单备份并永久存储在集群存储数据库中,为用户提供网络问题的追踪和取证,并提供相关原始数据的下载分析,进一步,对任意时间段内的海量数据,可以进行快速检索和挖掘,采用数据关联、筛选过滤、挖掘分析等手段进行大数据分析,然后方法前进到步骤S107。在步骤S107,根据所保存的白名单,进行工业控制动态防御处理,方法结束。
图2示出了根据本发明的第二实施例的一种工业控制动态防御方法,其中所述方法开始于步骤S201。在步骤S201,对接入的流量数据进行分解以获得工业控制协议流量数据,然后根据事先存储的动态变化的白名单,对所获得的工业控制协议流量数据进行交互匹配,然后方法前进到步骤S202。在步骤S202,根据步骤S201中匹配的结果,对工业控制协议流量数据进行内核级的判断操作,以允许或阻止工业控制协议流量数据通过而进入工业内网,方法结束。
图3示出了根据本发明的一种工业控制动态防御系统,所述系统包含以下模块:流量分析模块,用于对工业网络流量数据进行详细分析,清洗工业网络流量数据以得到干净的工业控制协议流量数据;工控协议判定模块,其与流量分析模块通信连接,用于判定经过清洗的工业控制协议流量数据是已知的工业控制协议流量数据或者是未知的工业控制协议流量数据,如果是已知的工业控制协议流量数据,则忽略该流量数据,如果是未知的工业控制协议流量数据,则将该未知的工业控制协议流量数据输入到智能学习模块以进行深度学习;智能学习模块,其与工控协议判定模块通信连接,用于记录工控协议判定模块中得到的未知的工业控制协议流量数据数据格式,通过长时间的大数据量的记录可以获得工业控制协议数据区间范围,然后根据该区间范围可以进行协议内容智能填充,并整合协议数据格式和填充后的数据以形成学习结果;动态白名单生成模块,其与智能学习模块通信连接,用于根据智能学习模块的学习结果,生成最终的动态变化的白名单;分布式缓存数据库,其与动态白名单生成模块通信连接,用于在应用节点部署缓存数据库以缓存节点数据并实施写入/读取的操作;集群存储数据库,其与分布式缓存数据库通信连接并可以相互传递数据,用于对分布式缓存数据库中的内容进行备份并永久性存储记录;动态协议匹配模块,其与分布式缓存数据库通信连接,用于将工业网络流量数据进行分解,并通过查询分布式缓存数据库中的白名单进行交互匹配;以及行为判定模块,其与动态协议匹配模块通信连接,用于根据动态协议匹配模块的结果进行内核级的判定操作,该判定操作具体为允许工业控制协议流量数据通过而进入工业内网或者阻止工业控制协议流量数据通过而进入工业内网,从而实现工业控制的动态防御。应当理解的是,流量分析模块和动态协议匹配模块是同时进行的。
以上所述实施例仅表达了本公开的实施方式,其描述较为具体和详细,但并不能因此而理解为对本公开专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本公开构思的前提下,还可以做出若干变形和改进,这些都属于本公开的保护范围。因此,本公开专利的保护范围应以所附权利要求为准。
应当理解的是,任何所述的过程或所述过程中的步骤可以与其它公开的过程或步骤组合以形成本公开范围内的结构。本文公开的示例性结构、和过程是为了说明的目的,而不应被解释为限制。
还应当理解的是,在不脱离本公开的概念的情况下,可以对上述结构和方法进行变化和修改,并且进一步地,应当理解的是,这些概念旨在由所附权利要求覆盖,除非这些权利要求通过它们的语言另有明确说明。此外,如下所述的权利要求被并入并构成该具体实施方式的一部分。
Claims (9)
1.一种工业控制动态防御方法,其特征在于,所述方法包括以下步骤:
清洗工业网络流量数据以得到干净的工业控制协议流量数据;
对所述工业控制协议流量数据进行判断以获知所述工业控制协议流量数据是已知的或者未知的;
通过智能学习引擎深度学习所获得的未知的工业控制协议流量数据,并记录学习到的协议数据格式,通过长时间的大数据量的所述记录获取协议数据区间范围;
根据所述区间范围进行协议内容智能填充,并整合协议数据格式和填充后的数据以形成学习结果;
根据所述学习结果,生成动态变化的白名单;
根据所述白名单,进行工业控制动态防御;
其中,清洗工业网络流量数据的同时对所述工业网络流量数据进行分解以获得工业控制协议流量数据,并根据事先存储的动态变化的白名单,对所获得的工业控制协议流量数据进行交互匹配,并根据所述匹配的结果,对所述工业控制协议流量数据进行判定操作。
2.根据权利要求1所述的工业控制动态防御方法,其特征在于,所述方法进一步包括在所述生成动态变化的白名单的步骤之后在应用节点部署缓存数据库以缓存节点数据。
3.根据权利要求2所述的工业控制动态防御方法,其特征在于,所述方法进一步包括对所述节点数据进行备份并永久性存储。
4.根据权利要求1所述的工业控制动态防御方法,其特征在于,所述白名单包含行为人、行为时间、操作内容中的一种或多种。
5.根据权利要求1所述的工业控制动态防御方法,其特征在于,在所述工业控制协议流量数据是已知的情况下,忽略所述已知的工业控制协议流量数据。
6.根据权利要求1所述的工业控制动态防御方法,其特征在于,所述判定操作包括允许或者阻止所述工业控制协议流量数据通过。
7.一种工业控制动态防御系统,其特征在于,所述系统包含流量分析模块、与所述流量分析模块通信连接的工控协议判定模块、与所述工控协议判定模块通信连接的智能学习模块、与所述智能学习模块通信连接的动态白名单生成模块、与所述动态白名单生成模块通信连接的分布式缓存数据库、与所述分布式缓存数据库通信连接并相互传递数据的集群存储数据库、与所述分布式缓存数据库通信连接的动态协议匹配模块、以及与所述动态协议匹配模块通信连接的行为判定模块,其中,
所述流量分析模块用于对工业网络流量数据进行详细分析,清洗所述工业网络流量以得到干净的工业控制协议流量数据;
所述工控协议判定模块用于对所述清洗后的所述工业控制协议流量数据进行已知的或未知的判定,忽略已知的所述工业控制协议流量数据;
所述智能学习模块用于通过智能学习引擎深度学习所获得的未知的工业控制协议流量数据,并记录学习到的协议数据格式,通过大数据量的所述记录获取所述协议数据区间范围,并根据所述区间范围进行协议内容智能填充,整合协议数据格式和填充后的数据以形成学习结果;
所述动态白名单生成模块用于根据所述智能学习模块的所述学习结果,生成最终的动态变化的白名单;
所述分布式缓存数据库用于在应用节点部署缓存数据库以缓存节点数据并实施写入/读取的操作;
所述动态协议匹配模块用于将所述工业网络流量数据进行分解以获得工业控制协议流量数据,并通过查询所述分布式缓存数据库中的事先存储的动态变化的白名单对所获得的工业控制协议流量数据进行交互匹配;和
所述行为判定模块用于根据所述动态协议匹配模块的结果进行内核级的判定操作;
其中,所述流量分析模块和动态协议匹配模块同时进行。
8.根据权利要求7所述的工业控制动态防御系统,其特征在于,所述系统进一步包括集群存储数据库,用于对所述分布式缓存数据库中的内容进行备份并永久性存储记录。
9.根据权利要求8所述的工业控制动态防御系统,其特征在于,所述判定操作包括允许或者阻止所述工业控制协议流量数据通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710119529.9A CN106657163B (zh) | 2017-03-02 | 2017-03-02 | 工业控制动态防御方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710119529.9A CN106657163B (zh) | 2017-03-02 | 2017-03-02 | 工业控制动态防御方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106657163A CN106657163A (zh) | 2017-05-10 |
| CN106657163B true CN106657163B (zh) | 2019-12-17 |
Family
ID=58846770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710119529.9A Active CN106657163B (zh) | 2017-03-02 | 2017-03-02 | 工业控制动态防御方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106657163B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN110049004B (zh) * | 2019-03-03 | 2021-05-14 | 北京立思辰安科技术有限公司 | 工控环境流量白名单基线的生成方法 |
| CN109862045B (zh) * | 2019-04-01 | 2021-06-01 | 中科天御(苏州)科技有限公司 | 一种基于sdn的工业控制系统动态防御方法及装置 |
| CN112491915A (zh) * | 2020-12-03 | 2021-03-12 | 杭州迪普科技股份有限公司 | 一种协议白名单配置方法及装置 |
| CN112666907B (zh) * | 2020-12-23 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 工业控制策略生成方法、装置、电子设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008031871A1 (en) * | 2006-09-13 | 2008-03-20 | Imencro Software Sa | Method for automatically classifying communication between a sender and a recipient |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100318681A1 (en) * | 2009-06-12 | 2010-12-16 | Barracuda Networks, Inc | Protocol-independent, mobile, web filter system provisioning dns triage, uri scanner, and query proxy services |
| CN102075508B (zh) * | 2010-09-02 | 2014-01-29 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络协议的漏洞挖掘系统和方法 |
| CN105208018B (zh) * | 2015-09-09 | 2018-08-17 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN106209830B (zh) * | 2016-07-08 | 2019-12-10 | 中国人民解放军国防科学技术大学 | 一种基于xml网络协议表示的报文构造方法 |
-
2017
- 2017-03-02 CN CN201710119529.9A patent/CN106657163B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008031871A1 (en) * | 2006-09-13 | 2008-03-20 | Imencro Software Sa | Method for automatically classifying communication between a sender and a recipient |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106657163A (zh) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106657163B (zh) | 工业控制动态防御方法和系统 | |
| Studnia et al. | A language-based intrusion detection approach for automotive embedded networks | |
| US12047395B2 (en) | Cybersecurity investigation tools utilizing information graphs | |
| CN113612763B (zh) | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 | |
| US11947614B1 (en) | Method and system for centralized multi-instance deployment consolidation | |
| Grimm et al. | Context-aware security for vehicles and fleets: A survey | |
| US10951645B2 (en) | System and method for prevention of threat | |
| CN112199249B (zh) | 监控数据的处理方法、装置、设备和介质 | |
| CN112671887A (zh) | 一种资产识别方法、装置、电子设备及计算机存储介质 | |
| CN103455546A (zh) | 用于为活动和行为建立简档的方法和系统 | |
| CN106325993A (zh) | 一种应用程序的冻结方法以及终端 | |
| CN1940889B (zh) | 用于管理访问历史的方法和装置以及信息处理装置 | |
| US11411761B2 (en) | Detection device, detection method, and program | |
| CN104052814A (zh) | 基于web浏览器的报警信息地图推送方法及系统 | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| WO2016027173A1 (en) | Method of and a system for monitoring web site consistency | |
| Abdel-Fattah et al. | A Survey of Internet of Things (IoT) Forensics Frameworks and Challenges | |
| CN104123217A (zh) | 一种业务服务器执行命令的捕获方法及系统 | |
| CN112822209A (zh) | 一种单向数据传输的工业网络系统 | |
| CN106658153A (zh) | 一种数据处理方法及设备 | |
| Boytsov et al. | Where have you been? Using location clustering and context awareness to understand places of interest | |
| Eriksson et al. | Investigating the Use of Honeypots in Vehicles | |
| Casola et al. | SeNsiM-SEC: secure sensor networks integration to monitor rail freight transport | |
| CN114268481A (zh) | 内网终端违规外联信息处理方法、装置、设备和介质 | |
| Nappi | A survey of intrusion detection systems for controller area networks and FPGA evaluation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Dynamic defense methods and systems for industrial control Effective date of registration: 20220615 Granted publication date: 20191217 Pledgee: Zhongguancun Beijing technology financing Company limited by guarantee Pledgor: BEIJING WANGTENG TECHNOLOGY CO.,LTD. Registration number: Y2022990000333 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |