双模异构冗余的工控安全网关系统及其入侵感知方法与流程

本发明属于工业信息安全技术领域，涉及一种双模异构冗余的工控安全网关系统及其入侵感知方法。

背景技术：

随着信息技术和网络技术在工业系统中应用的普及，工业信息系统的安全问题是当前工业信息系统的面临的直接威胁。传统的工控安全网关作为安全保障体系的重要防线，通过访问控制，防御黑客攻击。但随着越来越多的操作系统本身漏洞以及应用系统的漏洞被发现，工控安全网关面临了两个问题：

(1)自身被攻破。很明显，当安全网关一旦被攻破，工业控制网络就失去了一道有力的防护墙。

(2)由于系统设计或系统平台的缺陷，而被攻击绕过。如何防止由于系统设计或实现存在缺陷而被攻击者利用一直是安全界研究的一个热点。

近些年，拟态防御作为一种新型主动防御技术迅速兴起，并得到学术界和相关行业的广泛关注，并已研制出数款不同类型的原理样机，测试实验证明了其技术的优越性。

技术实现要素：

本发明的一个目的是为克服现有技术中的不足，利用拟态防御原理，提出一种双模异构冗余的工控安全网关系统，解决目前工控安全网关面临的上述两个问题。该系统通过检测工控业务数据包，及时检测感知针对工控网关的入侵和防止利用系统设计或实现缺陷导致的攻击行为。

本发明双模异构冗余的工控入侵感知系统，包括数据包外部io分发模块、两个异构的工控安全网关执行模块、数据包内部io模块、入侵感知模块、故障响应处理模块和系统配置模块；其中：

数据包外部io分发模块，将收到的工业控制业务数据包分发到异构冗余的工控安全网关的主、辅执行模块，同时接收工控安全网关的主执行模块的输出，将其转发到外部网络，并丢弃工控安全网关的辅助执行模块的输出；

两个异构冗余的工控安全网关执行模块是功能一致的主执行体和辅助执行体，上述两执行体的主辅设定由系统配置模块设置；主、辅助执行体均接收数据包外部io分发模块输入的数据包，并对其进行深度解析和入侵检测，若工控安全网关执行模块感知到异常后立即触发入侵响应模块，同时将检测结果详细记录检测日志文件，否则在数据包发检测安全后将其送到数据包内部io模块；同时均接收数据包内部io模块的输出，并发送到数据包外部io分发模块。工控安全网关的异构冗余可在多层实现，包括系统硬件不同、操作系统不同、软件实现不同、配置文件格式不同和软件安装位置不同等。

数据包内部io模块，将工控安全网关主执行体的输入发送至内部工控网络，丢弃工控安全网关辅助执行体的输入；

系统配置模块，通过数据包内部io模块动态设置工控安全网关两个执行体的主辅；

入侵响应模块，采取入侵响应措施：执行体的清洗，及其通知系统配置模块进行主辅模块设置。

故障监测及响应模块，监测工控安全网关主、辅执行体的运行，当检测到工控安全网关执行体发生故障时，进行故障响应：人工调换出故障的执行体，通知系统配置模块进行执行体的主辅重新设置；

本发明的另一个目的是提供一种双模异构冗余的工控安全网关入侵感知方法，包括数据包过滤处理流程、入侵感知及响应流程、故障监测及响应处理三个部分；

数据包过滤处理流程包含如下步骤：

步骤1：数据包外部io分发模块接收外部网络的输入请求，将数据包分别发送到异构冗余的工控安全网关的主、辅执行体；

步骤2：工控安全网关的主、辅执行体均接收到数据包外部io分发模块发送的数据包，分别按照设定的检测规则对数据包进行解析、分析和检测，将检测结果记录到检测日志文件，并将检测为安全的数据包发送到数据包内部io模块，若检测为不安全，则触发入侵感知及响应流程；

步骤3：数据包内部io模块接收工控安全网关的主、辅执行体发送的数据包，将主执行体发送的数据包转发到内部工控网络，将辅助执行体的数据包丢弃；

步骤4：数据包内部io模块接收内部工控网络的数据包，发送到工控安全网关的主、辅执行体；

步骤5：工控安全网关的主、辅执行体接收数据包内部io模块返回的数据包，发送到数据包外部io分发模块；

步骤6：数据包外部io分发模块接收工控安全网关的主执行体的数据包，将数据包发送到外部目标，并丢弃工控安全网关的辅助执行模块输出的数据包。

入侵感知及响应流程包含如下步骤：

步骤1：入侵响应模块接收到入侵告警后，判断工控安全网关的主、辅执行体是否同时发出告警；

步骤2：若同时发出告警，则入侵响应模块阻断该数据包，断开该数据包对应连接，并将数据包详细记录到检测日志文件；

步骤3：若只有工控安全网关的主执行体发出告警，则入侵响应模块通知人工专家进行数据包分析，查明辅助执行体不能检测入侵的原因，然后进行辅助执行体的清洗；

步骤4：若只有工控完全网关的辅助执行体发出告警，则入侵响应模块通过系统配置模块将原辅助执行体切换为主执行体，原主执行体切换为辅助执行体，并通知人工专家进行数据包分析，查明原主执行体不能检测入侵的原因，然后进行原主执行体的清洗。

故障监测及响应处理流程包含如下步骤：

步骤1：故障监测及响应模块定时轮询工控安全网关的主、辅执行体的运行状态，判断工控安全网关的主、辅执行体是否发生故障；

步骤2：当检测到工控安全网关的主执行体发生故障时，通过系统配置模块将原辅助执行体切换为主执行体，原主执行体下线，并发出告警通知人工专家进行更换；

步骤3：当检测到工控安全网关的辅助执行体发生故障时，将辅助执行体下线，并发出告警通知人工专家进行更换。

本发明的有益效果是：

本发明系统通过检测工控业务数据包，能够及时检测感知针对工控网关的入侵和防止利用系统设计或实现缺陷导致的攻击行为。

与现有工控安全网关技术相比，本发明解决了目前工控安全网关面临的两个问题：(1)自身容易被攻破；(2)由于系统设计或系统平台的缺陷容易被攻击绕过。

本发明系统采用异构冗余设计，提高了系统的可靠性。

附图说明

图1为双模异构冗余的工控入侵感知系统的结构图。

图2为入侵感知和响应处理流程图。

图3为故障监测和响应处理流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明双模异构冗余的工控安全网关系统，包括数据包外部io分发模块、两个异构的工控安全网关执行模块、数据包内部io模块、入侵感知模块、故障响应处理模块和系统配置模块；其中：

数据包外部io分发模块，将收到的工业控制业务数据包分发到异构冗余的工控安全网关的主、辅执行模块，同时接收工控安全网关的主执行模块的输出，将其转发到外部网络，并丢弃工控安全网关的辅助执行模块的输出；

两个异构冗余的工控安全网关执行模块是功能一致的主执行体和辅助执行体，上述两执行体的主辅设定由配置模块设置；主、辅助执行体均接收数据包外部io分发模块输入的数据包，并对其进行深度解析和入侵检测，若执行模块感知到异常后立即触发入侵响应模块，将检测结果详细记录检测日志文件，否则在数据包发检测安全后将其送到数据包内部io模块；同时均接收数据包内部io模块的输出，并发送到数据包外部io分发模块。工控安全网关的异构冗余可在多层实现，包括系统硬件不同(如intelx86架构、arm架构、龙芯、mips架构等)、操作系统不同(如windows不同版本、linux不同版本、vxworks、凝思、中标麒麟等)、软件实现不同(如不同厂家不同版本的防火墙)、配置文件格式不同(如防火墙不同的防御策略)和软件安装位置不同(如c盘或d盘)等。

数据包内部io模块，将工控安全网关主执行体的输入发送至内部工控网络，丢弃工控安全网关辅助执行体的输入；

系统配置模块，动态设置工控安全网关两个执行体的主辅；

入侵响应模块，采取入侵响应措施：执行体的清洗，及其通知系统配置模块进行主辅模块设置。

故障监测及响应模块，监测工控安全网关主、辅执行体的运行，当检测到工控安全网关执行体发生故障时，进行故障响应：人工调换出故障的执行体，通知系统配置模块进行执行体的主辅重新设置；

上述系统的工控入侵感知方法，包括数据包过滤处理流程、入侵感知及响应流程、故障监测及响应处理三个部分；

数据包过滤处理流程包含如下步骤：

步骤1：数据包外部io分发模块接收外部网络的输入请求，将数据包分别发送到异构冗余的工控安全网关的主、辅执行体；

步骤2：工控安全网关的主、辅执行体均接收到数据包外部io分发模块发送的数据包，分别按照设定的检测规则(如常用工控协议modbustcp、modbusrtu、siemenss7、profinetio、dnp3、iec101、iec103、iec104、opcua、cdt、eip、iec61850等主流工控协议数据包解析检测规则)对数据包进行解析、分析和检测，将检测结果记录到检测日志文件，并将检测为安全的数据包发送到数据包内部io模块，若检测为不安全，则触发入侵感知及响应流程；

步骤3：数据包内部io模块接收工控安全网关的主、辅执行体发送的数据包，将主执行体发送的数据包转发到内部工控网络，将辅助执行体的数据包丢弃；

步骤4：数据包内部io模块接收内部工控网络的数据包，发送到工控安全网关的主、辅执行体；

步骤5：工控安全网关的主、辅执行体接收数据包内部io模块返回的数据包，发送到数据包外部io分发模块；

步骤6：数据包外部io分发模块接收工控安全网关的主执行体的数据包，将数据包发送到外部目标，并丢弃工控安全网关的辅助执行模块输出的数据包。

如图2所示，入侵感知及响应流程包含如下步骤：

步骤1：入侵响应模块接收到入侵告警后，判断工控安全网关的主、辅执行体是否同时发出告警；

步骤2：若同时发出告警，则入侵响应模块阻断该数据包，断开该数据包对应连接，并将数据包详细记录到检测日志文件；

步骤3：若只有工控安全网关的主执行体发出告警，则入侵响应模块通知人工专家进行数据包分析，查明辅助执行体不能检测入侵的原因，然后进行辅助执行体的清洗；

步骤4：若只有工控完全网关的辅助执行体发出告警，则入侵响应模块通过系统配置模块将原辅助执行体切换为主执行体，原主执行体切换为辅助执行体，并通知人工专家进行数据包分析，查明原主执行体不能检测入侵的原因，然后进行原主执行体的清洗。

如图3所示，故障监测及响应处理流程包含如下步骤：

步骤1：故障监测及响应模块定时轮询工控安全网关的主、辅执行体的运行状态，判断工控安全网关的主、辅执行体是否发生故障；

步骤2：当检测到工控安全网关的主执行体发生故障时，通过系统配置模块将原辅助执行体切换为主执行体，原主执行体下线，并发出告警通知人工专家进行更换；

步骤3：当检测到工控安全网关的辅助执行体发生故障时，将辅助执行体下线，并发出告警通知人工专家进行更换。本发明不局限于上述具体实施方式，本领域技术人员还可据此做出多种变化，但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。