基于时序的工业通讯协议白名单访问控制的制作方法

本发明涉及白名单访问技术领域，具体领域为基于时序的工业通讯协议白名单访问控制。

背景技术：

白名单技术在工业控制网络安全中已经广泛的使用，相对于传统的网络安全黑名单技术更适合于工业控制网络环境，通过智能学习来完成对工业控制通讯协议的白名单建模。通过对工业控制网络中的工业协议解析与识别，深度的解析出工业控制协议的控制字段与控制值域字段，从而学习所有通讯过程中的协议控制指令，建模工业控制协议的白名单模型，进而利用白名单来进行深度、细粒度的控制工控协议的访问，达到非正常访问业务的控制指令无法访问工业控制设备的目的，防止恶意控制攻击行为，从而保护工业控制设备的安全、工业控制网络的安全。

技术实现要素：

本发明的目的在于提供基于时序的工业通讯协议白名单访问控制，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：基于时序的工业通讯协议白名单访问控制，包括以下步骤：

步骤1：通过长时间学习，获得工业控制网络中的工业控制协议交换数据。

步骤2：解析工业控制协议交互中的各个报文中所有控制命令。

步骤3：通过人工智能和大数据的技术找出工业控制协议控制命令交互的控制关系，形成工业控制协议交互上下文控制关系链，并利用大数据处理技术分析工业控制协议控制指令的逻辑时序关系，记录控制协议控制指令与时序值。

步骤4：把工业控制协议交互上下文控制关系链加入到访问控制策略链中，指引访问控制匹配的控制策略匹配条件，利用大数据处理技术分析工业控制协议控制指令的逻辑时序关系，并计算本次访问控制指令的上下文，并记录。

步骤5：计算本次访问控制指令的逻辑时序值。

步骤6：通过匹配上下文策略对上述数值进行匹配，匹配失败则将报文丢弃，匹配成功进行下一步工作。

步骤7：当上述数值匹配成功时，需要对其进行匹配时序策略，匹配失败则将报文丢弃，匹配成功进行下一步工作。

步骤8：当上述数值匹配成功时，需要对其进行匹配工业协议白名单，匹配失败则将报文丢弃，匹配成功则报文通过。

优选的，所述工业控制设备的控制环境有一定的关联性。

优选的，所述工业控制设备的控制环境有一定的时序性。

与现有技术相比，本发明的有益效果是：基于时序的工业通讯协议白名单访问控制，解决了目前白名单技术中访问控制技术只是单维度的细粒度访问控制，缺少时间维度的控制，并不能达到可信的程度的重大缺陷，更符合工业控制网络可行访问的理论，让黑客无法针对工业控制协议进行攻击。

附图说明

图1为本发明的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1本发明提供技术方案：基于时序的工业通讯协议白名单访问控制，包括以下步骤：

步骤1：通过长时间学习，获得工业控制网络中的工业控制协议交换数据。

步骤2：解析工业控制协议交互中的各个报文中所有控制命令。

步骤3：通过人工智能和大数据的技术找出工业控制协议控制命令交互的控制关系，形成工业控制协议交互上下文控制关系链，并利用大数据处理技术分析工业控制协议控制指令的逻辑时序关系，记录控制协议控制指令与时序值。

步骤4：把工业控制协议交互上下文控制关系链加入到访问控制策略链中，指引访问控制匹配的控制策略匹配条件，利用大数据处理技术分析工业控制协议控制指令的逻辑时序关系，并计算本次访问控制指令的上下文，并记录。

步骤5：计算本次访问控制指令的逻辑时序值。

步骤6：通过匹配上下文策略对上述数值进行匹配，匹配失败则将报文丢弃，匹配成功进行下一步工作。

步骤7：当上述数值匹配成功时，需要对其进行匹配时序策略，匹配失败则将报文丢弃，匹配成功进行下一步工作。

步骤8：当上述数值匹配成功时，需要对其进行匹配工业协议白名单，匹配失败则将报文丢弃，匹配成功则报文通过。

目前的工业控制协议白名单访问控制技术只是单维度的细粒度访问控制，缺少时间维度的控制，并不能达到可信的程度，例如modbus-TCP协议，在施耐德昆腾系列PLC中利用modbus协议规约中的90号功能码来启停PLC，目前有很多攻击行为利用了90号功能码来破坏生产，但在工业控制网络中对PLC进行启停并不代表就是攻击，因为在工业生产环境中会定期重启PLC。再有例如modbus的写寄存器指令，虽然目前市面的产品都可以学习到这个指令，并生成白名单，但缺陷在于全生命周期此指令都是可信的，但攻击者往往也可以利用这个指令对PLC等工业控制设备进行控制，进而达到其商业、勒索、危害国家基础设施的目的，所以目前的工业协议白名单技术无法做到对这些风险的控制，工业控制设备的控制环境有一定的关联性，有一定的时序性，所以对工业控制协议的白名单控制需要两个维度的控制，从而可以进一步达到完整可信访问控制的目的。

具体而言，所述工业控制设备的控制环境有一定的关联性。

对工业控制设备的控制命令访问关联关系建模，对工业控制设备控制命令的上下文关联，也就是控制命令序列的控制关联关系建模。

具体而言，所述工业控制设备的控制环境有一定的时序性。

对工业控设备的控制访问环境中的时序性进行建模，对于控制命令的执行进行的相对时间进行分析与计算，从而创建对应不同命令白名单的时间控制模型。

工作原理：本发明首先通过长时间学习，获得工业控制网络中的工业控制协议交换数据，解析工业控制协议交互中的各个报文中所有控制命令，通过人工智能和大数据的技术找出工业控制协议控制命令交互的控制关系，形成工业控制协议交互上下文控制关系链，并利用大数据处理技术分析工业控制协议控制指令的逻辑时序关系，记录控制协议控制指令与时序值，把工业控制协议交互上下文控制关系链加入到访问控制策略链中，指引访问控制匹配的控制策略匹配条件，利用大数据处理技术分析工业控制协议控制指令的逻辑时序关系，并计算本次访问控制指令的上下文，并记录，计算本次访问控制指令的逻辑时序值，通过匹配上下文策略对上述数值进行匹配，匹配失败则将报文丢弃，匹配成功进行下一步工作，当上述数值匹配成功时，需要对其进行匹配时序策略，匹配失败则将报文丢弃，匹配成功进行下一步工作，当上述数值匹配成功时，需要对其进行匹配工业协议白名单，匹配失败则将报文丢弃，匹配成功则报文通过。

在本发明的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

本发明使用到的标准零件均可以从市场上购买，异形件根据说明书的和附图的记载均可以进行订制，各个零件的具体连接方式均采用现有技术中成熟的螺栓、铆钉、焊接等常规手段，机械、零件和设备均采用现有技术中，常规的型号，加上电路连接采用现有技术中常规的连接方式，在此不再详述。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。