工业网络内生安全边界防护方法、设备及架构

本发明属于工业网络边界防护技术领域，特别涉及一种工业网络内生安全边界防护方法、设备及系统。

背景技术：

工业控制系统普遍采用了边界防护手段来对自身进行防护，在数字化、智能化、网络化的发展趋势下，网关、防火墙等边界防护设备直接暴露于连接边界。工业网络边界防护是保护工业控制系统的一道重要防线，为工业控制网络内部各区域的连接提供访问控制和流量过滤，实现不同安全级别网络的隔离与信息交换。然而，由于其开发过程中产生的漏洞无法避免，而出于战略目的预留的后门通常也难以检测，再加上边界防护设备在工业控制系统大规模长期静态部署的特性，使得工业控制系统的安全时刻面临威胁。目前常规的工业网络边界防护设备的自身安全依赖于精确的威胁特征，只能用来应对“已知的风险”，无法应对“未知的威胁”。而部署的静态性、防护逻辑的相似性、设备的单一性造成其在网络攻防中始终处于被动的局面。一些关键基础设施的防护设备可能存在未知的漏洞或被植入了后门。工业场景下大规模长期部署且极少变动的特性也使得一些简单变换的方法产生的防御效果增益只能随时间逐渐降低，且无法快速收敛。工业网络边界防护技术主要实现端到端访问控制、协议/命令/控制参数审查、网络异常行为检测、主机恶意扫描防护、dos攻击防御、中间人欺骗防御等，并通过防护日志及管理日志，来审计各种安全事件。一般工作流程可以简化为“输入-处理-输出”模型(inputs-process-outputs,ipo模型)，其中过滤审查处理环节被定义为功能执行体。功能执行体的漏洞/后门可能会被攻击者扫描识别并加以利用，按照上述的攻击链路发动网络攻击。工业网络边界防护设备在工作时处于网络边界，它的多个网卡分别监听两个不同的网络。子网上的任何数据包都可以到达边界防护设备，并通过操作系统的协议栈传递给过滤审查程序。所以工业网络边界防护设备对于两侧网络上的任意机器(包括上位机和控制器等)来说都是攻击可达的，而且攻击面主要集中在操作系统对数据包的接收、传递和转发的通道，以及过滤审查程序对数据包的处理过程。

由于常规架构和配置方法固有的静态性，目前边界防护技术主要集中于加强静态对抗能力，工业网络边界防护设备主要的不足是防御攻击时依赖于精确的先验知识，部署后的长期处于确定性状态，攻击者可以反复的尝试攻击，一旦找到缺陷(例如过滤审查逻辑缺陷使得伪合法的恶意载荷数据包逃脱检查)，后续可以一直有效利用；面临的主要威胁是可能被植入基于特定载荷触发的漏洞/后门，例如向外部传送工业控制信息或者向内部网络传递非法的控制指令等。而工业网络边界防护设备的静态性造成此类漏洞/后门可以长期有效触发，部署的单一性造成缺乏对比，难以及时察觉，相似性造成一道防线被突破等同于全线被突破。

技术实现要素：

为此，本发明提供一种工业网络内生安全边界防护方法及系统，针对工业网络边界防护设备面临的安全威胁，结合拟态防御技术，将过滤审查功能剥离出来，通过异构和冗余过滤审查执行体，缓解工业网络边界防护设备自身未知漏洞或后门所带来的不确定性威胁。

按照本发明所提供的设计方案，提供一种工业网络内生安全边界防护方法，包含如下内容：

通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；

利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；

对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。

作为本发明工业网络内生安全边界防护方法，进一步地，若干异构过滤审查执行体相互隔离，独立执行对接收到的数据流量的过滤审查。

作为本发明工业网络内生安全边界防护方法，进一步地，过滤审查执行体对数据流量进行过滤审查中，首先采用哈希算法对数据流量进行预处理，然后对数据流量中源目的ip、端口号、mac地址、通用协议解析、工业控制协议识别及控制参数进行检查。

作为本发明工业网络内生安全边界防护方法，进一步地，过滤审查还包含：针对检查通过的数据流量，根据当前网络情况选择是否进行数据包重构，以实现与现场控制网络之间的数据传输。

作为本发明工业网络内生安全边界防护，进一步地，数据包重构包含：修改数据流量中tcp协议握手包的协商mtu，重新计算校验和并填充数据。

作为本发明工业网络内生安全边界防护，进一步地，对过滤审查执行体输出的审查结果，首先进行归一化处理，获取格式一致的审查结果数据；然后，采用大数则多判决或动态权重方式对一致审查结果数据进行拟态裁决，确定是否向现场控制网络转发数据的最终表决结果并甄别异常执行体。

作为本发明工业网络内生安全边界防护，进一步地，利用不同版本物理机及不同操作系统构成多个功能等价的异构过滤审查执行体，将该多个功能等价的异构过滤审查执行体放置于异构执行体池中；从异构执行体池中动态选取若干用于在线对数据流量进行过滤审查的异构过滤审查执行体，并将下线的异常执行体清洗后重新防御异构执行体池中。

进一步地，本发明还提供一种工业网络内生安全边界防护系统，包含：数据收集模块、过滤审查模块和拟态裁决模块，其中，

数据收集模块，用于通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；

过滤审查模块，用于利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；

拟态裁决模块，用于对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。

进一步地，本发明还提供一种工业网络内生安全边界防护架构，其特征在于，包含：设置于操作系统和上层应用之间的拟态插件层，该拟态插件层包括：代理插件单元、拟态表决单元、动态调度单元及感知决策单元，其中，

代理插件单元，作为数据流量出入的第一关口，将接收到的外部数据包分发给若干异构过滤审查执行体，将若干异构过滤审查执行体输出反馈给拟态表决单元；并将拟态表决单元判定的数据流量对外输出；

拟态表决单元，通过对比若干异构过滤审查执行体输出结果进行拟态裁决，并将裁决结果反馈给代理插件单元和感知决策单元；

动态调度单元，通过预先设置的执行体调度策略来动态管理异构执行池中在线过滤审查的执行体；

感知决策单元，通过收集运行过程中异常状态信息进行环境感知并依据裁决结果甄别异常执行体，通过负反馈机制将异常执行体数据反馈给动态调度单元。

作为本发明工业网络内生安全边界防护架构，进一步地，所述动态调度单元包含与代理插件单元和拟态表决单元连接的控制器，及与控制器连接的调度器；所述控制器依据反馈数据选取相应执行体调度策略并通过调度器对在线过滤审查执行体进行动态调度操作，其中，执行体调度策略至少包含：依据生命周期对执行体重新初始化策略及异常执行体离线清洗策略。

本发明的有益效果：

本发明解决工业场景下大规模长期部署的网络边界防护设备自身安全性的问题，改变传统边界防护技术的静态、相似和单一的特点，变被动为主动，在不改变原本功能的基础上，通过调度提供动态性，通过异构和冗余过滤审查执行体提高数据包过滤审查正确性，缓解工业网络边界防护设备自身未知漏洞或后门所带来的不确定性威胁，具有较好的应用前景。

附图说明：

图1为实施例中工业网络内生安全边界防护方法流程示意；

图2为实施例中基于dhr架构的数据处理流程示意；

图3为实施例中工业网络内生安全边界防护架构示意；

图4为实施例中工业网络内生安全边界防护架构工作流程示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

本发明实施例，提供一种工业网络内生安全边界防护方法，参见图1所示，包含如下内容：

s101、通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；

s102、利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；

s103、对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。

针对工业网络边界防护设备面临的安全威胁，结合拟态防御技术，将过滤审查功能剥离出来，将工业网络边界防护设备功能结构模型和拟态防御的dhr(动态异构冗余)架构相结合，解决工业场景下大规模长期部署的网络边界防护设备自身安全性的问题，为工业控制网络内部各区域的连接提供访问控制和流量过滤，实现不同安全级别网络的隔离与信息交换。

作为本发明实施例中工业网络内生安全边界防护方法，进一步地，若干异构过滤审查执行体相互隔离，独立执行对接收到的数据流量的过滤审查。进一步地，过滤审查执行体对数据流量进行过滤审查中，首先采用哈希算法对数据流量进行预处理，然后对数据流量中源目的ip、端口号、mac地址、通用协议解析、工业控制协议识别及控制参数进行检查。进一步地，过滤审查还包含：针对检查通过的数据流量，根据当前网络情况选择是否进行数据包重构，以实现与现场控制网络之间的数据传输。进一步地，数据包重构包含：修改数据流量中tcp协议握手包的协商mtu，重新计算校验和并填充数据。进一步地，对过滤审查执行体输出的审查结果，首先进行归一化处理，获取格式一致的审查结果数据；然后，采用大数则多判决或动态权重方式对一致审查结果数据进行拟态裁决，确定是否向现场控制网络转发数据的最终表决结果并甄别异常执行体。进一步地，利用不同版本物理机及不同操作系统构成多个功能等价的异构过滤审查执行体，将该多个功能等价的异构过滤审查执行体放置于异构执行体池中；从异构执行体池中动态选取若干用于在线对数据流量进行过滤审查的异构过滤审查执行体，并将下线的异常执行体清洗后重新防御异构执行体池中。

参见图2所示，从生产管理网络接收到的数据流量，首先通过拟态插件的输入输出模块，在经过基本的预处理后通过复制分发单元向运行执行体池中的执行体分发。这些过滤审查执行体根据自身的安全规则对数据包内容进行解析，然后将结果返回给拟态插件的表决单元，表决单元对比各个执行体的返回值。采用大数择多判决或者动态权重的方式得出最终结果，输出代理单元根据最终表决结果选择是否向现场控制网络f转发数据包。

进一步地，基于上述的方法，本发明实施例还提供一种工业网络内生安全边界防护系统，包含：数据收集模块、过滤审查模块和拟态裁决模块，其中，

数据收集模块，用于通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；

过滤审查模块，用于利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；

拟态裁决模块，用于对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。

进一步地，基于上述的方法，本发明实施例还提供一种工业网络内生安全边界防护架构，其特征在于，包含：设置于操作系统和上层应用之间的拟态插件层，该拟态插件层包括：代理插件单元、拟态表决单元、动态调度单元及感知决策单元，其中，

代理插件单元，作为数据流量出入的第一关口，将接收到的外部数据包分发给若干异构过滤审查执行体，将若干异构过滤审查执行体输出反馈给拟态表决单元；并将拟态表决单元判定的数据流量对外输出；

拟态表决单元，通过对比若干异构过滤审查执行体输出结果进行拟态裁决，并将裁决结果反馈给代理插件单元和感知决策单元；

动态调度单元，通过预先设置的执行体调度策略来动态管理异构执行池中在线过滤审查的执行体；

感知决策单元，通过收集运行过程中异常状态信息进行环境感知并依据裁决结果甄别异常执行体，通过负反馈机制将异常执行体数据反馈给动态调度单元。

参见图3所示，在操作系统和工业网络边界防护设备上层应用两个层次进行构建。物理机操作系统为ubuntu20.04，虚拟化软件为vmwareworkstationpro，由于本文采用的在x86物理机上虚拟化的执行体操作系统采用了ubuntu16.04、ubuntu20.04、centos7和manjaro18.04。上层不同的工业网络边界防护设备的应用程序由c、c++、python等语言编写，在过滤审查逻辑上也有所区别。输入输出模块和拟态裁决模块等拟态插件集也是结合虚拟化技术实现，运行在ubuntu20.04操作系统上。这样就构建了拥有4个功能等价异构执行体的工业网络内生安全边界防护设备。以dhr架构为基础，在过滤审查环节引入异构冗余过滤审查执行体，同时引入输入代理进行数据包分发，引入拟态裁决进行输出结果裁决，拟态裁决结果通过负反馈控制器反馈给动态调度模块，实现各个执行体的动态调度和执行体的清洗恢复，引入输出代理完成最终输出。

拟态插件包括输入分发和输出单元、拟态表决单元、动态调度单元和感知决策单元。输入输出单元负责与两端的网络直接通信，通过网卡接收和转发那些需要摆渡到对面的数据包，同时开辟缓冲队列来缓解dos攻击。拟态表决单元只接收来自各个执行体的输出，由于各个执行体独立运行且处理速度有差异，表决单元需要与每个执行体建立相互隔离的通信信道并为每个信道开辟缓存，同时向决策控制单元报告每一次的表决结果。感知决策单元对拟态表决器的表决结果进行记录并进行分析，根据设定的策略触发相应的决策动作。动态调度器通过改变数据分发的流向和上下线指令来调度执行体池的变化、清洗和恢复。

拟态插件包括输入分发和输出单元、拟态表决单元、动态调度单元和感知决策单元。输入输出单元负责与两端的网络直接通信，通过网卡接收和转发那些需要摆渡到对面的数据包，同时开辟缓冲队列来缓解dos攻击。拟态表决单元只接收来自各个执行体的输出，由于各个执行体独立运行且处理速度有差异，表决单元需要与每个执行体建立相互隔离的通信信道并为每个信道开辟缓存，同时向决策控制单元报告每一次的表决结果。感知决策单元对拟态表决器的表决结果进行记录并进行分析，根据设定的策略触发相应的决策动作。动态调度器通过改变数据分发的流向和上下线指令来调度执行体池的变化、清洗和恢复。

异构过滤审查执行体可连接两个不同子网的工业网络边界防护设备通常在处理逻辑上需要分为两个模块s1和s2。s1模块连接生产管理网络m，s2模块连接现场控制网络f。对于从生产管理网络m接收到的数据包，首先经过s1的过滤审查，检查包括但不限于对源目的ip、端口号、mac地址、通用协议解析、工业控制协议识别、控制参数检查等。如果检查通过，数据包在经过清洗之后会送到s2模块进行处理，s2会根据当前网络的情况选择是否对数据包进行重构，例如修改tcp协议握手包的协商mtu，重新计算校验和并填充之后，向现场控制网络f转发。

为了匹配拟态表决的机制，需要对常规的工业网络边界防护设备的处理逻辑进行适当的改造，使得过滤审查的结果以归一化的方式传递给拟态表决器，而不是仅仅选择转发或者丢弃。这里改造的重点是对不符合安全规则的数据包的处理，因为默认的情况是选择丢弃，而这会导致拟态表决器没有输入，无法进行表决。改造过后的过滤审查执行体在处理不符合安全规则的数据包时，也会向表决器报告必要的信息，提供判决的依据。而对于使用虚拟机搭建的过滤审查执行体，可以相对灵活地实现对数据的检查，检查的架构逻辑顺序等都可以进行调整，只需要与其他执行体对外保持统一的输入输出接口和一致的报告信息格式即可。

作为本发明实施例中工业网络内生安全边界防护架构，进一步地，所述动态调度单元包含与代理插件单元和拟态表决单元连接的控制器，及与控制器连接的调度器；所述控制器依据反馈数据选取相应执行体调度策略并通过调度器对在线过滤审查执行体进行动态调度操作，其中，执行体调度策略至少包含：依据生命周期对执行体重新初始化策略及异常执行体离线清洗策略。

本案实施例中，参见图4所示，输入代理将基础dos防护提前并对网卡监听到的数据包进行缓存分发给选中的异构执行体；各个执行体对收到的数据包进行过滤审查，输出审查结果；多份输出经拟态裁决处理后选择丢弃或者通过输出代理单元发送出去；拟态裁决结果通过负反馈机制通知调度控制部件，实现执行体运行状态感知，以便按照给定的调度策略对各个执行体进行调度操作。输入输出代理单元是数据包进入系统的出入口，其功能主要体现在以下几个方面：1)将执行体的抗dos攻击面前移，输入代理插件作为数据包进入系统的第一关口，可将执行体的抗dos攻击面前移。一方面，可以将恶意dos流量阻挡在外，减少了内部功能执行体遭受的威胁和性能开销；另一方面，又可以通过统计分析，提前预警。2)输入数据包的复制分发，输入代理单元负责将收到的外部数据包处理分发给多个异构功能执行体进行处理。输入输出代理与每一个功能执行体通信均相互隔离，使得执行体相互之间不存在通信信道，保证每个执行体处理行为的独立性。3)归一化输出数据包，经拟态裁决单元判定通过的数据包，在输出代理对其进行必要的处理后，对外进行输出。拟态裁决单元以多个异构执行体的输出矢量为输入，通过对比输出内容进行拟态裁决，感知系统内部功能执行体异常，必要时通过负反馈机制触发相应的处理流程。工业网络边界防护设备接收到的数据包可能很长，并且在过滤审查过程中原则上不应该修改其中的任何内容，因此采用哈希算法对数据包信息进行预处理(例如计算md5码)，这样裁决比对各执行体输出时可以减少性能开销。动态调度单元的主要功能是管理异构执行体池，按照决策单元指定的调度策略，调度执行体上下线、离线清洗以及重新初始化等操作。通过控制过滤审查执行体的启动终止和它们与输入输出单元之间的通信信道可以实现执行体的动态调度。异构执行体池是功能等价的异构执行体单元集合，在专利中指的是工业网络边界防护设备的过滤审查执行体集合。异构执行体的多样性使工业网络边界防护设备具有强大的入侵容忍能力。异构执行体彼此之间相互隔离，不能通信，增强其工作过程的独立性。感知决策控制单元可定义输入输出代理的预处理机制、数据包分发方法、裁决算法、策略调度方法等。负责从多方面收集系统运行过程中的各类异常和状态信息，进行系统环境感知，并在此基础上，基于拟态裁决结果，甄别异常执行体，通过负反馈机制，实现主动防御。基于以上方案，能够解决工业场景下大规模长期部署的网络边界防护设备自身安全性的问题，改变传统边界防护技术的静态、相似和单一的特点，变被动为主动，在不改变原本功能的基础上，通过调度提供动态性，通过异构和冗余过滤审查执行体提高正确性，缓解工业网络边界防护设备自身未知漏洞或后门所带来的不确定性威胁，提升工业控制系统安全。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的系统，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。

基于上述的系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述系统实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述系统实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和系统，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。