工业控制动态防御方法和系统与流程

本发明涉及工业控制领域，并且更具体地涉及一种工业控制动态防御方法和系统。

背景技术：

工业控制技术是一种运用计算机、控制理论、仪器仪表和其它信息技术，对工业生产过程实现检测、控制、优化、调度、管理和决策，达到增加产量、提高质量、降低消耗、确保安全等目的的综合性技术。

通常，工业控制领域中的应用要满足如下要求：可用性、完整性、保密性，而且工业设备的设计通常是按照可用性优先的原则进行设计，这种情况制约了工业环境中的数据保密性，存在重大的安全隐患。在国家基础设施发生重大事件的时候，均有传统网络防护设备的介入，但是无法针对我国工业环境进行防御，通过对两者技术要点的研究发现存在如下几个问题：(1)在工业环境中，传统的网络防护设备不能识别工业协议；(2)在工业环境中，传统的防护手段是以保密性优先的，这样极大的阻碍了工业生产的正常运行，例如正在运转的发电机可能因为防火墙的异常阻止而突然失速，造成严重的破坏；(3)在工业环境中，通常需要与互联网隔离，而传统的防火墙等设备策略大多需要联网更新固件，这样就给黑客带来了便利的入侵条件。

现有的工业控制技术大多针对黑名单(漏洞库)的方式进行记录判断，而同于收集和积累黑名单的方法各有不同，无法做到精准防御，误报漏报的情况经常发生。少数技术通过工业白名单的手段进行技术架构设计，但多数工业环境使用的是私有协议，无法进行协议开源共享，而且工业中所 使用的设备大多使用私有协议进行传输，工业协议的私有性大大增加了白名单的防护精度，兼容性也将大大减少。因此，急需解决的是增加对私有协议的兼容性，加大工业白名单的防护精度，减少误报漏报的情况。进一步，工业现场不止会出现网络安全威胁，同样存在来自于内网的合规操作发生在违规时间的情况，这样就会造成严重的破坏，而破坏后通过查看防火墙以及常规防护设备的记录无法发现这些正常的操作。

技术实现要素：

本发明主要解决的技术问题是提供一种工业控制动态防御方法和系统，以实现工业环境中精准识别工业私有协议、根据工业环境的特殊性进行软件的创新设计以实现符合工业可用性优先特性的软件体系、以及采用内网或专网管理方式以接触式本地化升级的方式解决工业现场无法联网更新的问题。

为了实现上述技术问题，本发明提供了一种工业控制动态防御方法，包括以下步骤：

清洗工业网络流量数据以得到干净的工业控制协议流量数据；

对工业控制协议流量数据进行判断以获知工业控制协议是已知的或者未知的；

记录未知的工业控制协议的协议数据格式，通过长时间的大数据量的记录获取工业控制协议的数据区间范围；

根据区间范围进行协议内容智能填充，并整合协议格式和填充后的数据以形成学习结果；

根据学习结果，生成动态变化的白名单；

根据白名单，进行工业控制动态防御。

根据本发明的一个实施例，工业控制动态防御方法进一步包括在生成动态变化的白名单的步骤之后在应用节点部署缓存数据库以缓存节点数据。

根据本发明的一个实施例，工业控制动态防御方法进一步包括备份并永久性存储节点数据。

根据本发明的一个实施例，白名单包含行为人、行为时间、操作内容中的一种或多种。

根据本发明的一个实施例，在工业控制协议是已知的情况下，忽略已知的工业控制协议。

根据本发明，提供一种工业控制动态防御方法，该方法包括以下步骤：

根据缓存数据库中的动态白名单，对经过清洗的工业控制协议流量数据进行交互匹配；

根据匹配的结果，对工业控制协议流量数据进行判定操作。

根据本发明的一个实施例，判定操作包括允许或者阻止工业控制协议流量数据通过。

根据本发明，提供一种工业控制动态防御系统，该系统包含流量分析模块、与流量分析模块通信连接的工控协议判定模块、与工控协议判定模块通信连接的智能学习模块、与智能学习模块通信连接的动态白名单生成模块、与动态白名单生成模块通信连接的分布式缓存数据库、与分布式缓存数据库通信连接并相互传递数据的集群存储数据库、与分布式缓冲数据库通信连接的动态协议匹配模块、以及与动态协议匹配模块通信连接的行为判定模块，其中，

流量分析模块用于对工业网络流量进行详细分析，清洗工业网络流量以得到干净的工业控制协议流量数据；

工控协议判定模块用于对清洗后的工业控制协议流量进行已知的或未知的判定，忽略已知的工业控制协议流量数据；

智能学习模块用于记录工控协议判定模块中得到的未知的工业控制协议流量数据数据格式，通过长时间的大数据量的记录获取协议数据区间范围，并根据区间范围进行协议内容智能填充，整合协议数据格式和填充后的数据以形成学习结果；

动态白名单生成模块用于根据智能学习模块的学习结果，生成最终的动态变化的白名单；

分布式缓存数据库用于在应用节点部署缓存数据库以缓存节点数据并实施写入/读取的操作；

动态协议匹配模块用于将网络流量数据进行分解，并通过查询分布式缓存数据库中的白名单进行交互匹配；和

行为判定模块用于根据动态协议匹配模块的结果进行内核级的判定操作。

根据本发明的一个实施例，工业控制动态防御系统进一步包括集群存储数据库，用于对分布式缓存数据库中的内容进行备份并永久性存储记录。

根据本发明的一个实施例，判定操作包括允许或者阻止工业控制协议流量数据通过。

根据本发明，保留了所有的工业数据，详细记录了行为的时间、行为人、操作内容等，为系统事件进行行为回溯、事件关联提供了一系列的过程依据。具备对所存储的海量数据的快速回溯能力，具备对任一时段内的海量数据进行快速检索和挖掘的能力，原因在于工业数据为了达到高可用性和高实时性，所以数据结构简单，经过一段时间分析可以不用逆向分析私有协议，生成动态适应工业协议的白名单结构，而且该白名单属于动态自适应类型，随着数据的积累以及时间的增加会生成一套完整的可用于进行动态防御的定制化白名单。完整解决了需要逆向私有协议、适应不同工业现场的环境而进行定制化开发费时费力、兼容性弱、防护精度达不到要求等弱点。

附图说明

图1为根据本发明的一个实施例的工业控制动态防御方法的流程图；

图2为根据本发明的另一个实施例的工业控制动态防御方法的流程图；

图3为本发明的工业控制动态防御系统的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

图1示出了根据本发明的第一实施例的一种工业控制动态防御方法，其中所示的方法开始于步骤S101。在步骤S101，对工业网络流量数据进行详细分析，并且对工业网络流量数据进行清洗以得到干净的工业控制协议流量数据。在步骤S102，判断所获得的工业控制协议流量数据是否是已知的工业控制协议，如果所获得的工业控制协议流量数据是已知的，则忽略该工业控制协议流量数据，方法结束，否则，方法前进到步骤S103。在步骤S103，通过智能学习引擎深度学习所获得的未知的工业控制协议流量数据，并记录学习到的协议数据格式，其中，在经过长时间的大数据量的记录后，可以获取协议数据区间范围，然后方法前进到步骤S104。在步骤S104，根据步骤S103中获得的区间范围可以进行协议内容的智能填充，上述智能填充的方式可以为现有技术中的任何一种智能填充方法。随后对协议格式和填充后的数据进行整合以形成学习结果，然后方法前进到步骤S105。在步骤S105，根据智能学习引擎的学习结果，生成最终的动态变化的白名单，然后方法前进到步骤S106。在步骤S106，将所生成的白名单缓存在缓存数据库中，同时，将所生成的白名单备份并永久存储在集群存储数据库中，为用户提供网络问题的追踪和取证，并提供相关原始数据的下载分析，进一步，对任意时间段内的海量数据，可以进行快速检索和挖掘，采用数据关联、筛选过滤、挖掘分析等手段进行大数据分析，然后方法前进到步骤S107。在步骤S107，根据所保存的白名单，进行工业控制动态防御处理，方法结束。

图2示出了根据本发明的第二实施例的一种工业控制动态防御方法，其中所述方法开始于步骤S201。在步骤S201，对接入的流量数据进行分解以获得工业控制协议流量数据，然后根据事先存储的动态变化的白名单，对所获得的工业控制协议流量数据进行交互匹配，然后方法前进到步骤S202。在步骤S202，根据步骤S201中匹配的结果，对工业控制协议流量 数据进行内核级的判断操作，以允许或阻止工业控制协议流量数据通过而进入工业内网，方法结束。

图3示出了根据本发明的一种工业控制动态防御系统，所述系统包含以下模块：流量分析模块，用于对工业网络流量数据进行详细分析，清洗工业网络流量数据以得到干净的工业控制协议流量数据；工控协议判定模块，其与流量分析模块通信连接，用于判定经过清洗的工业控制协议流量数据是已知的工业控制协议流量数据或者是未知的工业控制协议流量数据，如果是已知的工业控制协议流量数据，则忽略该流量数据，如果是未知的工业控制协议流量数据，则将该未知的工业控制协议流量数据输入到智能学习模块以进行深度学习；智能学习模块，其与工控协议判定模块通信连接，用于记录工控协议判定模块中得到的未知的工业控制协议流量数据数据格式，通过长时间的大数据量的记录可以获得工业控制协议数据区间范围，然后根据该区间范围可以进行协议内容智能填充，并整合协议数据格式和填充后的数据以形成学习结果；动态白名单生成模块，其与智能学习模块通信连接，用于根据智能学习模块的学习结果，生成最终的动态变化的白名单；分布式缓存数据库，其与动态白名单生成模块通信连接，用于在应用节点部署缓存数据库以缓存节点数据并实施写入/读取的操作；集群存储数据库，其与分布式缓存数据库通信连接并可以相互传递数据，用于对分布式缓存数据库中的内容进行备份并永久性存储记录；动态协议匹配模块，其与分布式缓存数据库通信连接，用于将工业网络流量数据进行分解，并通过查询分布式缓存数据库中的白名单进行交互匹配；以及行为判定模块，其与动态协议匹配模块通信连接，，用于根据动态协议匹配模块的结果进行内核级的判定操作，该判定操作具体为允许工业控制协议流量数据通过而进入工业内网或者阻止工业控制协议流量数据通过而进入工业内网，从而实现工业控制的动态防御。应当理解的是，流量分析模块和动态协议匹配模块是同时进行的。

以上所述实施例仅表达了本公开的实施方式，其描述较为具体和详细，但并不能因此而理解为对本公开专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本公开构思的前提下，还可以做出若 干变形和改进，这些都属于本公开的保护范围。因此，本公开专利的保护范围应以所附权利要求为准。

应当理解的是，任何所述的过程或所述过程中的步骤可以与其它公开的过程或步骤组合以形成本公开范围内的结构。本文公开的示例性结构、和过程是为了说明的目的，而不应被解释为限制。

还应当理解的是，在不脱离本公开的概念的情况下，可以对上述结构和方法进行变化和修改，并且进一步地，应当理解的是，这些概念旨在由所附权利要求覆盖，除非这些权利要求通过它们的语言另有明确说明。此外，如下所述的权利要求被并入并构成该具体实施方式的一部分。