专利名称:一种工业互联网入侵检测和防御方法及其装置的制作方法
技术领域:
本发明涉及一种工业互联网入侵检测和防御技术。
背景技术:
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网 络将其生产过程专用设备或工业智能设备(Intelligent Electric Device,简称“ IED”) 互联在一起,形成生产控制系统网络。这种工业企业用内部(或专用)网络称之为工业互 联网。一般来说,工业互联网要具有一些满足工业自动化控制的特殊结构和功能。随着工业互联网的发展,利用已有公众网络(万维互联网)的硬件和软件设施,远 程连接某个工业互联网,对该工业互联网中的生产过程专用网络或智能设备进行远程集中 监控和远程维护,是当前万维互联网络技术在工业企业自动化系统中的一个需求热点。另 一个需求热点是利用已有公众网络(万维互联网)的硬件和软件设施,将两个或更多个工 业互联网进行通讯连接。从而使得一个中心控制系统能对所有子生产控制系统进行监督和 控制,也使得多个子生产控制系统之间能相互通讯,形成一个更大的生产控制系统,对其资 源进行更优化控制和使用。众所周知,用互联网连接本地计算机网络或计算机终端的一个普遍问题是安全问 题。因为互联网广泛性应用的特性,互联网设施“鼓励”广泛地从各种来源传送各种性质的 数据和信息。这样一些黑客就会利用数据和信息的广泛传送,可以刻意攻击某一个局域网 络或终端;或者一些不法者在数据和信息中加上各种病毒,攻击所有接收到带有病毒的数 据和信息的局域网络或终端。在现有的互联网技术中,防止黑客和病毒的方法之一是建立一个分析数据库,记 录并更新病毒的格式特征和行为特征。该分析数据库就像一个“黑名单”,如果收到的数据 和信息符合“黑名单”的特征,就将收到的数据和信息拒绝。这种方法的典型例子是入侵防 御系统(Intrusion Prevention System,简称“ IPS”)。IPS的缺点是需要强大的后台和硬 件支持,而且需要一定的时间才能将含有病毒的数据和信息找出来。因而这种方法对工业 互联网中的一些专用设备不适用,因为在一些使用场合下,由于使用环境的限制,一些专用 设备或工业智能设备不允许有强大的硬件和软件平台。而且工业互联网中许多专用设备的 实时性很强,不允许有较长时间的响应时间。作为万维网(Internet)的安全性保护工具,防火墙(FireWall)已经得到广泛的 应用。通常企业为了维护内部的信息系统安全,在企业网和万维网间设立防火墙。但是防 火墙有以下几个缺点1.防火墙不能抵抗最新的未设置策略的攻击病毒。2.防火墙对服务器合法开放 的端口的攻击大多无法阻止。3.防火墙对待内部主动发起连接的攻击一般无法阻止。4.防 火墙本身也会出现问题和受到攻击其本身也可能受到攻击和出现软/硬件方面的故障。 5.防火墙的并发连接数限制容易导致拥塞或者溢出由于要判断、处理流经防火墙的每一 个包,因此防火墙在某些流量大、并发请求多的情况下,很可能成为整个网络的瓶颈,影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。另一种方法是利用IP地址来建立虚拟通道(VPN)。VPN即虚拟专用网,是通过一 个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的 安全、稳定的隧道。但是VPN有以下几个缺点1. VPN主要应用在链路层,在链路层中,目前 还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特 别的加密硬件,对硬件要求很高。2. VPN是将所有的数据封包都加密,我们无法使用任何方 式来监控这类的行为。3. VPN只能保护主机端对端的访问。而且如果一旦该虚拟通道中也 有带病毒的数据和信息,这些带有病毒的数据和信息也全部被接受。
发明内容
本发明主要解决的技术问题是提供一种工业互联网入侵检测和防御方法及其装 置,防止工业互联网内部受到外部不良程序的攻击,使得工业互联网的安全性得到保障。为了解决上述技术问题,本发明提供了一种工业互联网入侵检测和防御方法,包 含以下步骤预先设置允许访问所述工业互联网的白名单,该白名单至少包括允许通过的客户 端的信息,以及允许的服务;收到来自客户端服务请求后,根据所述白名单对所请求的服务进行验证,如果所 请求的服务包含在所述白名单中,则允许所述服务请求通过,否则,拒绝所述服务请求;在所述服务请求通过服务验证后,对该服务请求进行身份验证,如果请求所述服 务的客户端包含在所述白名单中,则允许所述服务请求通过,否则,拒绝所述服务请求。作为进一步改进,所述白名单中包含的允许通过的客户端的信息为客户端的公 钥;所述客户端发送的服务请求中包含使用该客户端私钥加密的信息,所述进行身份 验证的步骤中,使用所述白名单中的客户端公钥对所述服务请求中包含的信息进行解密, 如果正确解密,则允许所述服务请求通过,否则,拒绝所述服务请求。作为进一步改进,所述白名单中包含的允许通过的客户端信息为客户端IP地址;所述进行身份验证的步骤中,如果请求所述服务的客户端的IP地址包含在所述 白名单内,则允许所述服务请求通过,否则,拒绝所述服务请求。作为进一步改进,在对所述服务请求进行验证的步骤之前,还可以包含以下步 骤对所述服务请求进行路由检测,如果未通过路由检测,则拒绝所述服务请求。作为进一步改进,该方法中,在网络层对所述请求的服务进行验证;在应用层对请 求所述服务的客户端进行身份验证。本发明还提供了一种工业互联网入侵检测和防御装置,包含存储模块,用于存储预先设置的允许访问所述工业互联网的白名单,该白名单至 少包括允许通过的客户端的信息,以及允许的服务;服务验证模块,用于在收到来自客户端服务请求后,根据所述白名单对所请求的 服务进行验证,如果所请求的服务包含在所述白名单中,则允许所述服务请求通过,否则, 拒绝所述服务请求;
身份验证模块,用于在所述服务请求通过服务验证后,对该服务请求进行身份验 证,如果请求所述服务的客户端包含在所述白名单中,则允许所述服务请求通过,否则,拒 绝所述服务请求。作为进一步改进,所述白名单中包含的允许通过的客户端的信息为客户端的公 钥;所述客户端发送的服务请求中包含使用该客户端私钥加密的信息,所述身份验证 模块使用所述白名单中的客户端公钥对所述服务请求中包含的信息进行解密,如果正确解 密,则允许所述服务请求通过,否则,拒绝所述服务请求。作为进一步改进,所述白名单中包含的允许通过的客户端信息为客户端IP地址;所述身份验证模块对请求所述服务的客户端的IP地址进行判断,如果所述客户 端的IP地址包含在所述白名单内,则允许所述服务请求通过,否则,拒绝所述服务请求。作为进一步改进,该装置还可以包含路由检测模块,用于在所述服务验证模块对 所述服务请求进行验证之前,对所述服务请求进行路由检测,如果未通过路由检测,则拒绝 所述服务请求。作为进一步改进,所述服务验证模块在网络层对所述请求的服务进行验证;所述 身份验证模块在应用层对请求所述服务的客户端进行身份验证。本发明实施方式与现有技术相比,主要区别及其效果在于本发明采取了 “白名 单”的检查方法,即仅当服务请求中请求的服务及发送请求的客户端与白名单中一致时,才 放行;如果不一致,则拒绝。相对于采取1对N检查的“黑名单”方式,这种检测方式不需要 包含大量有害信息特征码的数据库,也就不需要不断升级数据库,检测时间大大缩短,对于 软硬件要求也很低,降低了用户的成本。并且,由于工业互联网和万维互联网不同,工业互 联网所面对的客户群是有限且固定的,所提供的服务也是有限且固定的,需要使用的是有 具体应用的数据和信息,对于不相关的数据和信息请求都可以拒绝,十分适用该“白名单” 检查方式,通过该白名单方式能够有效防止工业互联网内部受到外部不良程序的攻击,使 得工业互联网的安全性得到保障。
下面结合附图和具体实施方式
对本发明作进一步详细说明。图1是本发明第一实施方式的工业互联网入侵检测和防御方法流程图;图2是本发明第二实施方式的工业互联网入侵检测和防御方法流程图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施 方式作进一步地详细描述。本发明第一实施方式涉及一种工业互联网入侵检测和防御方法,在工业互联网的 安全网关中预先设置一个白名单,在白名单中包括允许访问本工业互联网的客户端公钥, 以及允许的服务。根据该白名单实现入侵检测和防御。这里的工业互联网可以包括企业内 部网络,如供电系统、石油系统的内部网络等等。具体方法如图1所示在步骤101中,客户端向工业互联网安全网关发送一个服务请求,该服务请求中包含使用该客户端私钥加密的信息。可以通过万维互联网anternet),或者通过工业互联 网内部向该安全网关发送服务请求。在步骤102中,安全网关中网络层的路由模块对该服务请求进行路由检测,如果 通过,则进入步骤103,否则,进入步骤106,拒绝该服务请求。在步骤103中,安全网关中网络层的防火墙模块根据该白名单对客户端请求的服 务进行验证,如果所请求的服务包含在白名单中,则允许该服务请求通过,进入步骤104,否 则,进入步骤106,拒绝该服务请求。在步骤104中,安全网关中应用层的入侵检测和防御模块对该服务请求进行身份 验证,使用该白名单中的客户端公钥对该服务请求中包含的信息进行解密,如果正确解密, 则进入步骤105,允所该服务请求通过,否则,进入步骤106,拒绝该服务请求。本实施方式采取了“白名单”的检查方法,即仅当服务请求中请求的服务及发送请 求的客户端与白名单中一致时,才放行;如果不一致,则拒绝。相对于采取1对N检查的“黑 名单”方式,这种检测方式不需要包含有大量有害信息特征码的数据库,也就不需要不断升 级数据库,检测时间大大缩短,对于软硬件要求也很低,降低了用户的成本。并且,由于工业 互联网和万维互联网不同,工业互联网所面对的客户群是有限且固定的,所提供的服务也 是有限且固定的,需要使用的是有具体应用的数据和信息,对于不相关的数据和信息请求 都可以拒绝,十分适用该“白名单”检查方式,通过该白名单方式能够有效防止工业互联网 内部受到外部不良程序的攻击,使得工业互联网内部的安全性得到保障。本发明第二实施方式同样涉及一种工业互联网入侵检测和防御方法,与第一实施 方式的区别在于,第一实施方式中设置的白名单包括允许访问本工业互联网的客户端的公 钥,以及允许访问的服务;客户端发送服务请求时,需要包含使用该客户端私钥加密的信 息,在对客户端进行身份验证时,使用该白名单中的客户端公钥对该服务请求中包含的信 息进行解密,如果正确解密,则允许该服务请求通过,否则,拒绝该服务请求。而在本实施方 式中,预先设置的白名单包括允许访问本工业互联网的客户端的IP地址,以及允许访问的 服务,通过该IP地址对客户端的身份进行验证。具体如图2所示在步骤201中,客户端向工业互联网安全网关发送一个服务请求。在步骤202中,安全网关中网络层的路由模块对该服务请求进行路由检测,如果 通过,则进入步骤203,否则,进入步骤206,拒绝该服务请求。在步骤203中,安全网关中网络层的防火墙根据该白名单对客户端请求的服务进 行验证,如果所请求的服务包含在白名单中,则允许该服务请求通过,进入步骤204,否则, 进入步骤206,拒绝该服务请求。在步骤204中,安全网关中应用层的入侵检测和防御模块对该服务请求进行身份 验证,如果请求该服务的客户端的IP地址包含在该白名单内,则进入步骤205,允许该服务 请求通过,否则,进入步骤206,拒绝该服务请求。本实施方式的重点在于采取了“白名单”的检查方法,相对于采取1对N检查的“黑 名单”方式,这种检测方式不需要包含有大量有害信息特征码的数据库,也就不需要不断升 级数据库,检测时间大大缩短,对于软硬件要求也很低,降低了用户的成本。并且,由于工业 互联网和万维互联网不同,工业互联网所面对的客户群是有限且固定的,所提供的服务也 是有限且固定的,需要使用的是有具体应用的数据和信息,对于不相关的数据和信息请求都可以拒绝,十分适用该“白名单”检查方式,通过该白名单方式能够有效防止工业互联网 内部受到外部不良程序的攻击,使得工业互联网内部的安全性得到保障。本发明第三实施方式涉及一种工业互联网入侵检测和防御装置,包含存储模块,用于存储预先设置的允许访问所述工业互联网的白名单,该白名单至 少包括允许通过的客户端的信息,以及允许的服务;服务验证模块,用于在收到来自客户端 服务请求后,根据所述白名单对所请求的服务进行验证,如果所请求的服务包含在所述白 名单中,则允许所述服务请求通过,否则,拒绝所述服务请求;身份验证模块,用于在所述服 务请求通过服务验证后,对该服务请求进行身份验证,如果请求所述服务的客户端包含在 所述白名单中,则允许所述服务请求通过,否则,拒绝所述服务请求。服务验证模块和身份验证模块可以通过很多方式进行服务及客户端身份的验证。如所述白名单中包含的允许通过的客户端的信息可以为客户端的公钥;所述客户 端发送的服务请求中包含使用该客户端私钥加密的信息,所述身份验证模块使用所述白名 单中的客户端公钥对所述服务请求中包含的信息进行解密,如果正确解密,则允许所述服 务请求通过,否则,拒绝所述服务请求。或者,所述白名单中包含的允许通过的客户端信息为客户端IP地址;所述身份验 证模块对请求所述服务的客户端的IP地址进行判断,如果所述客户端的IP地址包含在所 述白名单内,则允许所述服务请求通过,否则,拒绝所述服务请求。作为进一步改进,该装置还可以包含路由检测模块,用于在所述服务验证模块对 所述服务请求进行验证之前,对所述服务请求进行路由检测,如果未通过路由检测,则拒绝 所述服务请求。在本实施方式中,所述服务验证模块可以在网络层对所述请求的服务进行验证; 所述身份验证模块可以在应用层对请求所述服务的客户端进行身份验证。虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但 本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发 明的精神和范围。如在该“白名单”检查方式中,可以使用不同的服务验证方法及身份验证 方法。
权利要求
1.一种工业互联网入侵检测和防御方法,其特征在于,包含以下步骤预先设置允许访问所述工业互联网的白名单,该白名单至少包括允许通过的客户端的 信息,以及允许的服务;收到来自客户端服务请求后,根据所述白名单对所请求的服务进行验证,如果所请求 的服务包含在所述白名单中,则允许所述服务请求通过,否则,拒绝所述服务请求;在所述服务请求通过服务验证后,对该服务请求进行身份验证,如果请求所述服务的 客户端包含在所述白名单中,则允许所述服务请求通过,否则,拒绝所述服务请求。
2.根据权利要求1所述的工业互联网入侵检测和防御方法,其特征在于,所述白名单 中包含的允许通过的客户端的信息为客户端的公钥;所述客户端发送的服务请求中包含使用该客户端私钥加密的信息,所述对进行身份验 证的步骤中,使用所述白名单中的客户端公钥对所述服务请求中包含的信息进行解密,如 果正确解密,则允许所述服务请求通过,否则,拒绝所述服务请求。
3.根据权利要求1所述的工业互联网入侵检测和防御方法,其特征在于,所述白名单 中包含的允许通过的客户端信息为客户端IP地址;所述进行身份验证的步骤中,如果请求所述服务的客户端的IP地址包含在所述白名 单内,则允许所述服务请求通过,否则,拒绝所述服务请求。
4.根据权利要求2或3所述的工业互联网入侵检测和防御方法,其特征在于,在对所述 服务请求进行验证的步骤之前,还包含以下步骤对所述服务请求进行路由检测,如果未通过路由检测,则拒绝所述服务请求。
5.根据权利要求2或3所述的工业互联网入侵检测和防御方法,其特征在于,在网络层对所述请求的服务进行验证;在应用层对请求所述服务的客户端进行身份验证。
6.一种工业互联网入侵检测和防御装置,其特征在于,包含存储模块,用于存储预先设置的允许访问所述工业互联网的白名单,该白名单至少包 括允许通过的客户端的信息,以及允许的服务;服务验证模块,用于在收到来自客户端服务请求后,根据所述白名单对所请求的服务 进行验证,如果所请求的服务包含在所述白名单中,则允许所述服务请求通过,否则,拒绝 所述服务请求;身份验证模块,用于在所述服务请求通过服务验证后,对该服务请求进行身份验证,如 果请求所述服务的客户端包含在所述白名单中,则允许所述服务请求通过,否则,拒绝所述 服务请求。
7.根据权利要求6所述的工业互联网入侵检测和防御装置,其特征在于,所述白名单 中包含的允许通过的客户端的信息为客户端的公钥;所述客户端发送的服务请求中包含使用该客户端私钥加密的信息,所述身份验证模块 使用所述白名单中的客户端公钥对所述服务请求中包含的信息进行解密,如果正确解密, 则允所述服务请求通过,否则,拒绝所述服务请求。
8.根据权利要求6所述的工业互联网入侵检测和防御装置,其特征在于,所述白名单 中包含的允许通过的客户端信息为客户端IP地址;所述身份验证模块对请求所述服务的客户端的IP地址进行判断,如果所述客户端的IP地址包含在所述白名单内,则允许所述服务请求通过,否则,拒绝所述服务请求。
9.根据权利要求7或8所述的工业互联网入侵检测和防御装置,其特征在于,该装置还 包含路由检测模块,用于在所述服务验证模块对所述服务请求进行验证之前,对所述服务 请求进行路由检测,如果未通过路由检测,则拒绝所述服务请求。
10.根据权利要求7或8所述的工业互联网入侵检测和防御装置,其特征在于, 所述服务验证模块在网络层对所述请求的服务进行验证;所述身份验证模块在应用层对请求所述服务的客户端进行身份验证。
全文摘要
本发明公开了一种工业互联网入侵检测和防御方法及其装置,本发明采取了“白名单”的检查方法,即仅当服务请求中请求的服务及发送请求的客户端与白名单中一致时,才放行;如果不一致,则拒绝。相对于采取1对N检查的“黑名单”方式,这种检测方式不需要包含有大量有害信息特征码的数据库,也就不需要不断升级数据库,检测时间大大缩短,对于软硬件要求也很低,降低了用户的成本。并且,由于工业互联网和万维互联网不同,工业互联网所面对的客户群是有限且固定的,所提供的服务也是有限且固定的,需要使用的是有具体应用的数据和信息,对于不相关的数据和信息请求都可以拒绝,十分适用该“白名单”检查方式,通过该白名单方式能够有效防止工业互联网内部受到外部不良程序的攻击,使得工业互联网内部的安全性得到保障。
文档编号H04L29/06GK102045310SQ20091020167
公开日2011年5月4日 申请日期2009年10月14日 优先权日2009年10月14日
发明者梁俊, 王磊 申请人:上海可鲁系统软件有限公司