一种基于漏斗式白名单的工控网络信息安全监控方法
【技术领域】
[0001]本发明涉及工业控制网络信息安全领域,尤其涉及一种基于漏斗式白名单的工控网络信息安全监控方法。
【背景技术】
[0002]随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,使得工业控制系统与传统企业网络高度一体化,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。
[0003]根据工业安全事件信息库RISI的统计,截止2011年,全球已经发生200余起针对工业控制系统的重大攻击事件,尤其在2000年之后,随着通用协议、通用硬件、通用软件在工业控制系统中的应用,对过程控制和数据采集监控系统的攻击增长了近10倍。因此,加深企业工控安全意识,打造一个高安全性的工控网络环境是我国信息化建设中一个亟需解决的问题。虽然现在的网络监控产品很多,但由于这些产品的局限性,他们面向的多是传统信息网络,还不能彻底解决广泛存在的以太网监听和管理问题,特别是工控领域中大部分的工业协议尚未开始进行解析,同时很多系统供应商大量采用私有协议,因此,针对工控领域的具有工控特色的网络信息安全技术正在逐步深化。
[0004]本发明针对现有网络监控产品的不足,进一步结合工控网络特色,拓展工业通信协议的相关研究,形成漏斗式白名单的工控网络信息安全监控方法,建立基于白名单漏斗的完整工控网络监控体系,为工控领域信息流和指令流分析提供数据分析方法,为工控信息安全策略的制定提供基础和验证工具,是非常符合传统信息安全发展和工控领域对信息安全需要的解决思路,从而进行进一步的创新。
【发明内容】
[0005]针对以上缺陷,本发明针对工控网络提供一种基于漏斗式白名单的信息安全监控方法。
[0006]为实现上述目的,本发明采用以下技术方案:
一种基于漏斗式白名单的工控网络信息安全监控方法,其原理如下:
⑴深度解析工业通信数据:掌握工业通信协议还原能力,在此能力的基础上,建立数据解析列表,包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用协议类型、工控协议类型等元素,通过某个时间段的学习,将获得的样本信息贮存在列表中,在网络流的基础上构造指令流、信息流时序模型。
[0007]⑵针对工控网络中合法操作建立可信架构:工控网络中用户资产需可信,体现在接入网络中的设备可信;工控网络中通信行为需可信,体现在运行在控制网中的应用程序可信;工控网络中通信信令需可信,体现在上位机下发的操作指令可信、下位机上传的阈值参数可信。
[0008]⑶基于可信架构建立漏斗式白名单:将可信行为贮存在数据解析列表中,通过匹配IP、MAC,监控控制网中设备;通过匹配通用协议类型及端口,监控控制网中通信行为;通过匹配工控协议类型及端口,监控控制网中协议指令。基于此生成一个漏斗式的白名单库,所有工控网络中的数据必须经过白名单漏斗的过滤,无法通过的数据为可疑数据,产生报警,通知管理人员干预。
[0009]本发明所述的基于漏斗式白名单的工控网络信息安全监控方法的有益效果为: ⑴基于工业通信协议的深度解析实现对生产控制行为异常监测:解决了传统信息安全领域无法实现的对工业通信协议的识别与解析。实现了对Modbus协议、S7协议、OPC协议、IEC104协议、DNP3.0协议、61850协议等主流工业通信协议的功能码及相关指令的解析,让工控设备之间的通信语言透明化,打破传统控制系统的黑匣子。
[0010]⑵将实际工业生产流程与信息系统审计行为结合,建立具有工业特色的漏斗式白名单,漏斗式白名单从多种维度监控控制网络。
[0011]过滤精度高:白名单漏斗层层递进,接入工控网络中的设备是合法资产通过第一层、在合法资产上运行的应用程序是合法应用通过第二层、通过合法应用发送的操作指令是合法操作通过第三层;
预警时间早:不同攻击行为出现在白名单漏斗的不同过滤深度,若威胁无法通过第一层过滤,即时报警,那么若该威胁具有第二、三层的危险便可即时发现,提早报警,可对未知威胁进行提前预警。
【附图说明】
[0012]下面根据附图对本发明作进一步详细说明。
[0013]图1是本发明实施例所述基于漏斗式白名单的工控网络信息安全监控方法的实现方式示意图。
【具体实施方式】
[0014]如图1所示,本发明实施例所述的基于漏斗式白名单的工控网络信息安全监控方法,由以下步骤组成:
⑴深度解析工业通信数据:掌握工业通信协议还原能力,在此能力的基础上,建立数据解析列表,包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用协议类型、工控协议类型等元素,通过某个时间段的学习,将获得的样本信息贮存在列表中,在网络流的基础上构造指令流、信息流时序模型。
[0015]⑵针对工控网络中合法操作建立可信架构:工控网络中用户资产需可信,体现在接入网络中的设备可信;工控网络中通信行为需可信,体现在运行在控制网中的应用程序可信;工控网络中通信信令需可信,体现在上位机下发的操作指令可信、下位机上传的阈值参数可信。
[0016]⑶基于可信架构建立漏斗式白名单:将可信行为贮存在数据解析列表中,通过匹配IP、MAC,监控控制网中设备;通过匹配通用协议类型及端口,监控控制网中通信行为;通过匹配工控协议类型及端口,监控控制网中协议指令。基于此生成一个漏斗式的白名单库,所有工控网络中的数据必须经过白名单漏斗的过滤,无法通过的数据为可疑数据,产生报警,通知管理人员干预。
[0017]以上本发明实施例所述的基于漏斗式白名单的工控网络信息安全监控方法,①对工业通信数据的深度解析需要具体协议具体分析,基本解析方法为协议还原,针对不同工业通信协议定制开发,对协议地址、协议功能码、协议数据内容及其有效性等进行解析,得到工控网络中资产信息、资产应用通信信息、应用操作指令信息,贴合工业特色,解决实际问题。
[0018]②对工控网络安全隐患分析,针对工控网与互联网连接风险、非法设备接入风险以及移动介质进入工控网风险进行分析,建立工控网络可信架构,实现全面监控控制网中设备,帮助客户对资产了如指掌,防范未授权软件或程序在控制网内运行,增强控制网络安全性,深度解析上下位机之间通信信令,对指令下发、参数上行、组态变更、负载变更等进行实时监控。
[0019]基于①与②实现原理,生成白名单漏斗,过滤精度高,提早预警时间,贴合工控领域信息安全需求,可以很大程度上提高工业控制网络的安全。
[0020]上述对实施例的描述是为了便于该技术领域的普通技术人员能够理解和应用本案技术,熟悉本领域技术的人员显然可轻易对这些实例做出各种修改,并把在此说明的一般原理应用到其它实施例中而不必经过创造性的劳动。因此,本案不限于以上实施例,本领域的技术人员根据本案的揭示,对于本案做出的改进和修改都应该在本案的保护范围内。
【主权项】
1.一种基于漏斗式白名单的工控网络信息安全监控方法,其特征在于,由以下步骤组成: ⑴深度解析工业通信数据:掌握工业通信协议还原能力,在此能力的基础上,建立数据解析列表,包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用协议类型、工控协议类型等元素,通过某个时间段的学习,将获得的样本信息贮存在列表中,在网络流的基础上构造指令流、信息流时序模型; (2)针对工控网络中合法操作建立可信架构:工控网络中用户资产需可信,体现在接入网络中的设备可信;工控网络中通信行为需可信,体现在运行在控制网中的应用程序可信;工控网络中通信信令需可信,体现在上位机下发的操作指令可信、下位机上传的阈值参数可信; ⑶基于可信架构建立漏斗式白名单:将可信行为贮存在数据解析列表中,通过匹配IP、MAC,监控控制网中设备;通过匹配通用协议类型及端口,监控控制网中通信行为;通过匹配工控协议类型及端口,监控控制网中协议指令,基于此生成一个漏斗式的白名单库,所有工控网络中的数据必须经过白名单漏斗的过滤,无法通过的数据为可疑数据,产生报警,通知管理人员干预。2.根据权利要求1所述的基于漏斗式白名单的工控网络信息安全监控方法,其特征在于:所述工业通信协议深度解析方法基于协议还原能力实现,将网络通信数据信息贮存在数据解析列表中,与白名单数据解析列表模型进行匹配,从而进行报警分析。3.根据权利要求1所述的基于漏斗式白名单的工控网络信息安全监控方法,其特征在于:所述白名单漏斗是指接入网络中的设备均属合法资产、在合法资产上运行的应用程序均属合法应用,通过合法应用发送的操作指令均属合法操作,其过滤方式层层递进,逐渐深入,具有高过滤精度及提早预警时间的优势。
【专利摘要】本发明涉及一种基于漏斗式白名单的工控网络信息安全监控方法,由以下步骤组成:⑴深度解析工业通信数据;⑵针对工控网络中合法操作建立可信架构;⑶基于可信架构建立白名单漏斗。本发明有益效果为:对多种工业通信协议进行还原分析,有利于实现对生产控制行为的异常监测;结合工控网络环境建立可信架构,生成具有工业特色的白名单漏斗,高过滤精度实时监控工控网中通信行为,提高对未知威胁感知的预警时间,以稳固工控信息系统环境为核心指导思想,构建监控体系。
【IPC分类】H04L29/06
【公开号】CN105208018
【申请号】CN201510569030
【发明人】李成斌, 张建军, 王朝栋, 栾少群, 倪华
【申请人】上海三零卫士信息安全有限公司
【公开日】2015年12月30日
【申请日】2015年9月9日