一种工控网络主动防御方法与系统与流程

1.本发明涉及工控网络主动防御的技术领域，具体为一种工控网络主动防御方法，本发明还提供了一种工控网络主动防御系统。


背景技术：

2.当前，信息化建设的重点已经由原来的基础建设向深化应用进一步发展；在网络行为控制技术中，传统的防火墙技术难以应对迅速增长的云计算、网络虚拟化等服务产业，异军突起的微隔离技术逐渐取代防火墙技术在云服务中的应用地位，使得基于ip的防护手段逐渐转向以业务id为核心的防护模式。
3.在工控网络系统中，传统防火墙无法发挥出应有的作用，以协议为主的防护技术得到广泛应用，而在此基础上，工控网络又要求低延时、低扰动，因此现有的串接模式部署的安全设备均存在自身阻断工控网络的风险。
4.现有的工控防火墙设备主要实现原理如下：
5.协议集中分析
6.在工控防火墙中，任何流量在经过时，都必须要走dpi通道，完成对流量包的深度协议分析，而每次进行dpi分析时都必须载入整个协议分析库，一旦协议分析库随着积累变得过于庞大，会导致分析效率降低，进而拉长传输时延，引起工控网络的扰动，因此在工控现场使用中，工控防火墙只能开启特定协议进行深度分析，起到特化作用，也就要求工控网络不能出现更新。
7.深度介入工控网络
8.在工控网络中，工控防火墙是以串接形式介入的，这表示工控防火墙会影响甚至是改变工控网络结构，任何流量在经过时，都必须要走防火墙内部分析通道，这个过程在工控网络中是非常致命的，一旦防火墙出现自身应用扰动，都可能会引起本次通信链接中断，继而导致整个网络传输中断，出现生产事故。
9.固定的访问控制策略
10.工控防火墙的访问控制策略基于协议分析库，一旦设定并开启访问控制策略，整个工控网络就会被固定，工控网络更新时都必须先更新工控防火墙的协议分析库和访问控制策略，否则新的工控网络将无法得到及时的应用。


技术实现要素：

11.针对上述问题，本发明提供了一种工控网络主动防御方法，其利用sdn技术和状态检测技术，创建基于sdn交换机的访问控制过程，通过对镜像流量进行dpi分析并下发openflow流量控制规则给sdn交换机，使流量解析过程与工控网络通信过程分离，解决时延和扰动的问题。
12.一种工控网络主动防御方法，其特征在于：其将工控网络中的节点交换机平替为由sdn控制器和sdn交换机组成的交换设备，从而实现以网络边界为起点、覆盖横向移动的
安全访问控制流程，具体步骤如下：
13.a、创建sdn控制器和sdn交换机，两者分列为两台安全设备，sdn控制器主要用于流量分析和策略下发，sdn交换机可以使用支持openflow协议的主机或者交换机；
14.b、将sdn交换机的流量镜像给sdn控制器；
15.c、此时的sdn交换机处于全通模式，sdn控制器开启学习模式，学习模式下，sdn控制器对镜像流量进行流量建模，工控网络具有明显的时间作业特点，因此将时间作为状态检测技术的第一关键衡量要素，五元组作为白名单基础，协议作为是否开启dpi的依据；
16.d、sdn控制器切换至防御模式，通过策略生成，将流量模型自动转换为访问控制策，访问控制策略经由open flow协议下发至sdn交换机，替代sdn交换机上原本的全通模式；
17.e、防御模式下通过流量模型完成工控网络更新，sdn控制器依据流量模型中的时间参数，对五元组对应的两端资产进行心跳检测，一旦发现资产断链，则更新访问控制策略；工控网络中新增资产时，sdn控制器可以手动建立五元组流量模型以及时间关键要素，并选择开启dpi协议分析，镜像流量分析时，自动更新流量模型中缺失的流量方向、协议、协议指令，此时，通过手动生成访问控制策略，完成对sdn交换机的控制规则更新，无须关闭防御模式。
18.其进一步特征在于：
19.流量模型的访问过程控制主要以时间为关键要素，步骤e的防御模式下，sdn控制器分析镜像流量，包括如下步骤：
20.a若流量接入时间在流量模型中不存在，则下发策略直接拒绝本次通信，若存在，则进入五元组匹配；
21.b五元组不匹配则下发策略直接拒绝本次通信，若匹配，则开启dpi；
22.c协议不匹配，则证明该流量模型是手动创建的，更新流量模型中协议和协议指令，并更新下发相应的访问控制策略，若匹配，则进入指令分析；
23.d协议指令数据长度与流量模型的不一致，则下发策略直接拒绝本次通信。
24.所述sdn控制器和sdn交换机组成的交换设备是基于sdn技术的交换设备，其不仅包括sdn交换机、同时支持能够使用openflow协议的api网关，其使得sdn控制器需要同时具备下发协议规则选择以及控制转发内容的能力，用于更新api网关的转发内容。
25.文中，dpi的全称为深度包检测，是对数据包负载进行实时分析的一类技术的总称。
26.一种工控网络主动防御系统,其特征在于，其包括：
27.流量模型；
28.sdn控制器；
29.sdn交换机；
30.访问控制策略；
31.dpi、
32.终端a、
33.终端b、
34.终端c、
35.以及状态检测；
36.终端a发出纵向流量给sdn交换机，所述sdn交换机的通过流量镜像将纵向流量转向成镜像流量给sdn控制器，之后sdn控制器对镜像流量进行流量建模，所述状态检测依据流量模型中的时间参数、对五元组对应的两端资产终端a和终端b进行心跳检测，五元组匹配则开启dpi，协议匹配后，访问控制策略通过，则终端a通过sdn交换机通过横向流量访问终端b；
37.工控网络中新增资产时，sdn控制器可以手动建立五元组流量模型以及时间关键要素，并选择开启dpi协议分析，镜像流量分析时，自动更新流量模型中缺失的流量方向、协议、协议指令，此时，通过手动生成访问控制策略，完成对sdn交换机的控制规则更新，之后终端a通过完成访问控制策略的授权后、通过sdn交换机通过新增流量访问终端c，终端c为新增资产。
38.采用本发明后，其将流量分析与网络传输过程分离，在保证网络传输稳定性的同时，旁路部署的sdn控制器也能为实现主动防御提供可行性手段；其通过sdn交换机平替旧有网络交换设备，利用sdn控制器单独开辟流量分析平台，sdn控制器生成的流量模型取代工控防火墙的固定协议分析库，流量模型由于状态检测技术，可以实现实时更新。
附图说明
39.图1为发明的系统框架图；
40.图2为本发明的流量模型及访问过程控制流程示意图。
具体实施方式
41.一种工控网络主动防御方法，见图1和图2，其将工控网络中的节点交换机平替为由sdn控制器和sdn交换机组成的交换设备，从而实现以网络边界为起点、覆盖横向移动的安全访问控制流程，具体步骤如下：
42.a、创建sdn控制器和sdn交换机，两者分列为两台安全设备，sdn控制器主要用于流量分析和策略下发，sdn交换机可以使用支持openflow协议的主机或者交换机；
43.b、将sdn交换机的流量镜像给sdn控制器；
44.c、此时的sdn交换机处于全通模式，sdn控制器开启学习模式，学习模式下，sdn控制器对镜像流量进行流量建模，工控网络具有明显的时间作业特点，因此将时间作为状态检测技术的第一关键衡量要素，五元组作为白名单基础，协议作为是否开启dpi的依据；
45.d、sdn控制器切换至防御模式，通过策略生成，将流量模型自动转换为访问控制策，访问控制策略经由open flow协议下发至sdn交换机，替代sdn交换机上原本的全通模式；
46.e、防御模式下通过流量模型完成工控网络更新，sdn控制器依据流量模型中的时间参数，对五元组对应的两端资产进行心跳检测，一旦发现资产断链，则更新访问控制策略；工控网络中新增资产时，sdn控制器可以手动建立五元组流量模型以及时间关键要素，并选择开启dpi协议分析，镜像流量分析时，自动更新流量模型中缺失的流量方向、协议、协议指令，此时，通过手动生成访问控制策略，完成对sdn交换机的控制规则更新，无须关闭防御模式。
47.具体实施时，流量模型的访问过程控制主要以时间为关键要素，步骤e的防御模式下，sdn控制器分析镜像流量，包括如下步骤：
48.a若流量接入时间在流量模型中不存在，则下发策略直接拒绝本次通信，若存在，则进入五元组匹配；
49.b五元组不匹配则下发策略直接拒绝本次通信，若匹配，则开启dpi；
50.c协议不匹配，则证明该流量模型是手动创建的，更新流量模型中协议和协议指令，并更新下发相应的访问控制策略，若匹配，则进入指令分析；
51.d协议指令数据长度与流量模型的不一致，则下发策略直接拒绝本次通信。
52.具体实施时，sdn控制器和sdn交换机组成的交换设备是基于sdn技术的交换设备，其不仅包括sdn交换机、同时也支持能够使用openflow协议的api网关，其使得sdn控制器需要同时具备下发协议规则以及控制转发内容的能力，用于更新api网关的转发内容。
53.文中，dpi的全称为深度包检测，是对数据包负载进行实时分析的一类技术的总称。
54.一种工控网络主动防御系统,见图1，其包括：
55.流量模型、sdn控制器、sdn交换机、访问控制策略、dpi、终端a、终端b、终端c、以及状态检测；
56.终端a发出纵向流量给sdn交换机，sdn交换机的通过流量镜像将纵向流量转向成镜像流量给sdn控制器，之后sdn控制器对镜像流量进行流量建模，状态检测依据流量模型中的时间参数、对五元组对应的两端资产终端a和终端b进行心跳检测，五元组匹配则开启dpi，协议匹配后，访问控制策略通过，则终端a通过sdn交换机通过横向流量访问终端b；
57.工控网络中新增资产时，sdn控制器可以手动建立五元组流量模型以及时间关键要素，并选择开启dpi协议分析，镜像流量分析时，自动更新流量模型中缺失的流量方向、协议、协议指令，此时，通过手动生成访问控制策略，完成对sdn交换机的控制规则更新，之后终端a通过完成访问控制策略的授权后、通过sdn交换机通过新增流量访问终端c，终端c为新增资产。
58.其利用sdn技术和状态检测技术，创建基于sdn交换机的访问控制过程，通过对镜像流量进行dpi分析并下发openflow流量控制规则给sdn交换机，使流量解析过程与工控网络通信过程分离，解决时延和扰动的问题，其有益效果如下：
59.1其以sdn交换机作为介入点，使用二层网络替换原有网络交换机，可以做到不断网、不改变拓扑结构完成网络转换；
60.2利用镜像流量将原有流量复制到sdn控制器中，分离解析和通信过程；
61.3镜像流量主要有两个作用，分别为模型分析和协议分析；
62.4通过流量学习或者机器学习执行流量建模分析，生成现场流量模型，这可以解决访问控制过程无法及时更新的缺点，实际表现为状态检测技术，流量模型主要包括五元组、时间、流量方向、协议、协议指令九个维度，通过流量模型可以实时监控工控网络拓扑结构和工控网络业务内容，其中，时间和流量方向随工控网络状态更新而更新自身的访问控制策略，协议内容用于实时适配承载现场业务交换的协议；
63.5基于第4点，由协议分析为基础的访问控制策略转向由流量模型为主导，流量模型解决了现场网络特化的问题，同时也解决了dpi分析时必须要载入整个协议库的问题，提
高了协议解析效率和安全规则响应速度。
64.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
65.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。