CN113079186A - 基于工控终端特征识别的工业网络边界防护方法和系统 - Google Patents

基于工控终端特征识别的工业网络边界防护方法和系统 Download PDF

Info

Publication number
CN113079186A
CN113079186A CN202110629072.2A CN202110629072A CN113079186A CN 113079186 A CN113079186 A CN 113079186A CN 202110629072 A CN202110629072 A CN 202110629072A CN 113079186 A CN113079186 A CN 113079186A
Authority
CN
China
Prior art keywords
industrial control
control terminal
industrial
terminals
service behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110629072.2A
Other languages
English (en)
Inventor
赵越峰
赵西玉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangteng Technology Co ltd
Original Assignee
Beijing Wangteng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangteng Technology Co ltd filed Critical Beijing Wangteng Technology Co ltd
Priority to CN202110629072.2A priority Critical patent/CN113079186A/zh
Publication of CN113079186A publication Critical patent/CN113079186A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及基于工控终端特征识别的工业网络边界防护方法和系统,该方法包括:获取工业网络中的工控终端的类型、工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;基于工控终端的业务行为确定工控终端的业务行为类型;基于工控终端的类型和工控终端的业务行为类型确定每个工控终端的风险等级;以及,基于多个工控终端、交换机之间的拓扑关系确定和工控终端连接的工控终端、交换机的风险等级;基于风险等级自适应匹配网络边界防护规则。本申请实施例中以对工控终端的类型、业务行为类型及其工控终端和交换机之间的拓扑关系基础,确定工业网络中工控终端以及和工控终端连接的工控终端、交换机的风险等级,从而自适应网络边界防护规则配置。

Description

基于工控终端特征识别的工业网络边界防护方法和系统
技术领域
本发明涉及网络边界防护技术领域,具体涉及基于工控终端特征识别的工业网络边界防护方法和系统。
背景技术
目前,传统网络边界防护设备主要是针对通用网络协议进行访问控制和安全过滤,完全不支持工业通讯协议。工业网络边界防护设备与传统网络边界防护设备最大的区别是针对工业通讯协议进行深度包检测。之所以称之为深度过滤,是因为工业网络边界防护设备不但可以针对工业网络协议进行基本的访问控制,而且可以针对工业网络协议的内容和数据进行细致的合规性检查。例如:工业网络边界防护设备的Modbus协议规则可以针对Modbus协议的设备地址、寄存器类型、寄存器范围和读写属性等进行检查,能有效的防范各种非法的操作和数据进入现场控制网络,最大限度地保护控制系统的安全。
但是,工业网络中设备众多、网络通信复杂,用户很难全面的掌握网络中所必须的业务通信需求,这会给网络边界防护设备的规则配置带来很大的困难,进而影响深度过滤中细致的合规性检查。
发明内容
本发明提供的基于工控终端特征识别的工业网络边界防护方法和系统,能够解决工业网络中设备众多、网络通信复杂,用户很难全面的掌握网络中所必须的业务通信需求的技术问题。
本发明解决上述技术问题的技术方案如下:
第一方面,本发明实施例提供的基于工控终端特征识别的工业网络边界防护方法,包括:
获取工业网络中的每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;
基于每个工控终端的业务行为确定每个工控终端的业务行为类型;
基于每个工控终端的类型和每个工控终端的业务行为类型确定每个工控终端的风险等级;以及,
基于多个工控终端、交换机之间的拓扑关系确定和工控终端连接的工控终端、交换机的风险等级;
基于风险等级自适应匹配网络边界防护规则;
其中,工控终端的类型至少包括:泛终端设备和智能工控终端设备;
工控终端业务行为类型至少包括:持续活跃终端、间歇活跃终端、非活跃终端、高优先级终端、低优先级终端、在线终端、非在线终端。
在一个实施例中,根据每个工控终端的业务行为确定每个工控终端的业务行为类型,包括:
解析每个工控终端的业务行为确定每个工控终端的业务行为表示参量;
对比每个工控终端的业务行为表示参量和工控终端业务行为模型确定每个工控终端的业务行为类型;
其中,业务行为表示参量至少包括:数据包协议类型、单位时间数据包收发量、数据包收发时段分布、工控终端通信优先级、工控终端联网密级、工控终端网络连接状态、工控终端带宽资源占用。
在一个实施例中,工控终端业务行为模型是通过以下方法得到的:
大数据分析工控终端的业务场景及数据流构建工控终端业务行为模型。
在一个实施例中,上述方法还包括:
显示每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;
多个工控终端、交换机之间的拓扑关系,包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系;
显示可编辑的表单,可编辑的表单用于查询、维护、更新和删除工控终端与工控终端、交换机的连接关系。
在一个实施例中,上述方法中基于风险等级自适应匹配网络边界防护规则,包括:
在直通和管控模式下,智能协议识别匹配网络边界防护规则;
在测试模式下,辅助配置生成辅助规则。
第二方面,本发明实施例提供了一种基于工控终端特征识别的工业网络边界防护系统,应用于包括工业网络边界防护设备、交换机和工控终端的系统中,包括:
获取模块:用于识别工业网络中的每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;
第一确定模块:用于基于每个工控终端的业务行为确定每个工控终端的业务行为类型;
第一确定模块:用于基于每个工控终端的类型和每个工控终端的业务行为类型确定每个工控终端的风险等级;以及,
基于多个工控终端、交换机之间的拓扑关系确定和工控终端连接的工控终端、交换机的风险等级;
自适应匹配模块:用于基于风险等级自适应匹配网络边界防护规则;
其中,工控终端的类型至少包括:泛终端设备和智能工控终端设备;
工控终端业务行为类型至少包括:持续活跃终端、间歇活跃终端、非活跃终端、高优先级终端、低优先级终端、在线终端、非在线终端。
在一个实施例中,上述系统中的第一确定模块包括:解析单元和对比单元,
解析单元:用于解析每个工控终端的业务行为确定每个工控终端的业务行为表示参量;
对比单元:用于对比每个工控终端的业务行为表示参量和工控终端业务行为模型确定每个工控终端的业务行为类型;
其中,业务行为表示参量至少包括:数据包协议类型、单位时间数据包收发量、数据包收发时段分布、工控终端通信优先级、工控终端联网密级、工控终端网络连接状态、工控终端带宽资源占用。
在一个实施例中,上述系统还包括:
大数据分析模块:用于大数据分析工控终端的业务场景及数据流构建工控终端业务行为模型。
在一个实施例中,上述系统还包括:显示模块,
显示模块:用于显示每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;
多个工控终端、交换机之间的拓扑关系,包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系;
显示可编辑的表单,可编辑的表单用于查询、维护、更新和删除工控终端与工控终端、交换机的连接关系。
在一个实施例中,上述系统还包括:智能协议识别模块和辅助规则生成模块,
智能协议识别模块,用于在直通和管控模式下,智能协议识别匹配网络边界防护规则;
辅助规则生成模块,用于在测试模式下,辅助配置生成辅助规则。
本发明的有益效果是:通过获取工业网络中的每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;基于每个工控终端的业务行为确定每个工控终端的业务行为类型;基于每个工控终端的类型和每个工控终端的业务行为类型确定每个工控终端的风险等级;以及,基于所述多个工控终端、交换机之间的拓扑关系确定和所述工控终端连接的工控终端、交换机的风险等级;基于风险等级自适应匹配网络边界防护规则。本申请实施例中以对工控终端的类型、业务行为类型及其工控终端和交换机之间的拓扑关系基础,确定工业网络中工控终端以及和工控终端连接的工控终端、交换机的风险等级,实现自适应网络边界防护规则配置。
附图说明
图1为本发明实施例提供的基于工控终端特征识别的工业网络边界防护方法图;
图2为本发明实施例提供的确定每个工控终端的业务行为类型方法图;
图3为本发明实施例提供的基于工控终端特征识别的工业网络边界防护系统图一;
图4为本发明实施例提供的基于工控终端特征识别的工业网络边界防护系统图二;
图5为本发明实施例提供的基于工控终端特征识别的工业网络边界防护系统图三。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
为了能够更清楚地理解本申请的上述目的、特征和优点,下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。此处所描述的具体实施例仅仅用于解释本公开,而非对本申请的限定。基于所描述的本申请的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
在介绍本发明实施例之前首先介绍本发明涉及到的专业名词。
工控终端的类型至少包括:泛终端设备,如:如视频监控、打卡机、ETC等和智能工控终端设备,如:如售电终端、ATM机。
工控终端业务行为类型至少包括:持续活跃终端、间歇活跃终端、非活跃终端、高优先级终端、低优先级终端、在线终端、非在线终端。
本发明的工业网络边界防护设备采用全透明接入的方式,提供直通、测试、管控三种工作模式。
直通模式:开启直通模式,工业网络边界防护设备可允许所有数据包直接传输,所设定的规则不生效,且不产生日志。
测试模式:开启测试模式,工业网络边界防护设备可允许所有数据包直接传输,但会对每个数据包进行分析,验证所设置的安全规则,并生成日志,方便用户验证自己的规则是否有误或遗漏。
管控模式:开启管控模式,工业网络边界防护设备会按照所设定的规则进行运行,不符合规则的将被禁止通过,符合规则的则通过,并生成日志。产品在部署、配置和使用过程中可以根据需要实时切换到适当的工作模式下,保证在整个部署过程中都不会阻断正常的业务数据传输,无需中断生产系统的运行,同时在启动深度过滤时可选择仅警告,等确认后在进行处理,保障生产系统不间断运行。
本发明中工控终端、交换机、边界防护设备和网络的应用场景如下:工控终端就是工业网络的终端,工控终端连接到交换机,当工控终端数量多的时候,交换机也可以有多级,例如,一级交换机分别连接一定数量的工控终端,多个一级交换机连接二级交换机,多个二级交换机连接三级交换机;三级交换机接入互联网;边界防护设备位于三级交换机和互联网之间。
图1为本发明实施例提供的基于工控终端特征识别的工业网络边界防护方法图;
第一方面,结合图1,本发明实施例提供的基于工控终端特征识别的工业网络边界防护方法,包括S101、S102、S103和S104四个步骤:
S101:获取工业网络中的每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系。
具体的,本申请实施例中,工业网络中的边界防护设备获取每个工控终端是泛终端设备或者是智能工控终端设备;工业网络边界防护设备也可以获取每个工控终端的业务行为;工业网络边界防护设备也可以获取多个工控终端、交换机之间的拓扑关系,其中,多个工控终端、交换机之间的拓扑关系包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系。
工业网络边界防护设备通过分析网络流量、与交换机联动、SNMP协议等方式确定多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系,工控终端和交换机的逻辑连接关系指的是工控终端通过数据包的转发、交互所形成的逻辑连接关系。
S102:基于每个工控终端的业务行为确定每个工控终端的业务行为类型。
具体的,本申请实施例中,基于每个工控终端的业务行为,如ETC的业务行为,取款机的业务行为,确定工控终端的业务行为类型,如确定ETC是持续活跃终端,取款机是在线终端等。
S103:基于每个工控终端的类型和每个工控终端的业务行为类型确定每个工控终端的风险等级;以及基于多个工控终端、交换机之间的拓扑关系确定和工控终端连接的工控终端、交换机的风险等级。
应理解,基于工控终端的类型及其工控终端的业务行为类型判断单一工控终端的网络安全风险等级,进而基于多个工控终端、交换机之间的拓扑关系确定该工控终端在整个工业网络中的风险等级;也就是说根据工控终端的业务行为类型,例如持续活跃终端、间歇活跃终端、非活跃终端、高优先级终端、低优先级终端、在线终端、非在线终端等,判断工控终端自身的安全风险;再通过工控终端与其它工控终端、交换机的连接关系,确定与工控终端连接的其它工控终端、交换机的风险等级。
S104:基于风险等级自适应匹配网络边界防护规则。
具体的,本申请通过确定工业网络中工控终端以及和工控终端连接的工控终端、交换机的风险等级,实现自适应网络边界防护规则的配置。
图2为本发明实施例提供的确定每个工控终端的业务行为类型方法图。
在一个实施例中,结合图2,根据每个工控终端的业务行为确定每个工控终端的业务行为类型,包括S201和S202两个步骤:
S201:解析每个工控终端的业务行为确定每个工控终端的业务行为表示参量。
具体的,本申请实施例中,获取每个工控终端的业务行为,解析业务行为得到数据包协议类型、单位时间数据包收发量、数据包收发时段分布、工控终端通信优先级、工控终端联网密级、工控终端网络连接状态、工控终端带宽资源占用等业务行为表示参量。
S202:对比每个工控终端的业务行为表示参量和工控终端业务行为模型确定每个工控终端的业务行为类型。
具体的,本申请实施例中,将工控终端的业务行为表示参量与工控终端业务行为模型进行对比,从而确定工控终端的业务行为类型,例如持续活跃终端、间歇活跃终端、非活跃终端、高优先级终端、低优先级终端、在线终端、非在线终端等。
在一个实施例中,工控终端业务行为模型是通过以下方法得到的:
大数据分析工控终端的业务场景及数据流构建工控终端业务行为模型。
具体的,工业网络边界防护设备通过对业务场景及数据流进行大数据分析,构建工控终端的业务行为模型。
在一个实施例中,上述方法还包括:
显示每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;其中,多个工控终端、交换机之间的拓扑关系,包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系。
具体的,本申请实施例中,工业网络边界防护设备通过分析每个工控终端的网络流量从而实现工控终端和工控终端的连接关系绘制,通过与交换机联动,实现工控终端与交换机的连接关系绘制,从而实现工控终端连接关系的可视化,即显示工控终端与交换机的连接关系,工控终端和工控终端的连接关系;交换机面板通过SNMP协议,获取已配置交换机的状态表信息,实现以交换机为中心的物理连接关系绘制,从而实现交换机连接关系的可视化,即显示交换机和交换机的连接关系,交换机和工控终端的连接关系。
显示可编辑的表单,可编辑的表单用于查询、维护、更新和删除工控终端与工控终端、交换机的连接关系。
工业网络边界防护设备,对网络流量进行分析,生成可编辑的表单,表单内容包括:工控终端和工控终端的连接关系表,工控终端与交换机的连接关系表,交换机和交换机的连接关系表,交换机和工控终端的连接关系表,工控终端通过数据包的转发、交互所形成的逻辑连接关系表,从而能够查询每个交换机、每个工控终端的连接关系,对工控终端和交换机进行维护,此外表单内还为每个工控终端建立索引,可以更新、删除工控终端与其它工控终端、其它交换机的连接关系。
在一个实施例中,上述方法中基于风险等级自适应匹配网络边界防护规则,包括两种方式:
第一种方式:在直通和管控模式下,智能协议识别匹配网络边界防护规则;
具体的,本申请实施例中,在直通和管控模式下,智能协议识别采用被动检测的方式从工业网络中采集数据包,并进行数据包的解析,智能的与工业网络通信协议、交换机、工控终端进行匹配,生成可供参考的网络交互信息列表,从而用户以最快捷的方式了解和掌握工业网络中的业务通信。
第二种方式:在测试模式下,辅助配置生成辅助规则。
具体的,本申请实施例中,在测试模式下,使用策略管理的辅助配置功能生成辅助规则,将网络交互信息与实际业务进行比对,给每一个网络交互过程配置适当的网络边界防护设备规则,从而准确、快捷的完成网络边界防护设备规则的部署。
图3为本发明实施例提供的基于工控终端特征识别的工业网络边界防护系统图一。
第二方面,结合图3,本发明实施例提供了一种基于工控终端特征识别的工业网络边界防护系统30,应用于包括工业网络边界防护设备、交换机和工控终端的系统中,包括:
获取模块301:用于识别工业网络中的每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;
具体的,本申请实施例中,获取模块301获取每个工控终端是泛终端设备或者是智能工控终端设备;获取模块也可以获取每个工控终端的业务行为;获取模块获取也可以获取多个工控终端、交换机之间的拓扑关系,其中,多个工控终端、交换机之间的拓扑关系包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系。
获取模块通过分析网络流量、与交换机联动、SNMP协议等方式获取多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系。
第一确定模块302:用于基于每个工控终端的业务行为确定每个工控终端的业务行为类型。
具体的,本申请实施例中,基于每个工控终端的业务行为,如ETC的业务行为,取款机的业务行为,第一确定模块确定工控终端的业务行为类型,如确定ETC是持续活跃终端,取款机是在线终端等。
第二确定模块303:用于基于每个工控终端的类型和每个工控终端的业务行为类型确定每个工控终端的风险等级;以及,
基于多个工控终端、交换机之间的拓扑关系确定和工控终端连接的工控终端、交换机的风险等级。
应理解,第二确定模块基于工控终端的类型及其工控终端的业务行为类型确定单一工控终端的网络安全风险等级,进而第二确定模块基于多个工控终端、交换机之间的拓扑关系确定该工控终端在整个工业网络中的风险等级;也就是说根据工控终端的业务行为类型,例如持续活跃终端、间歇活跃终端、非活跃终端、高优先级终端、低优先级终端、在线终端、非在线终端等,判断工控终端自身的安全风险;再通过工控终端与其它工控终端、交换机的连接关系,确定与工控终端连接的其它工控终端、交换机的风险等级。
自适应匹配模块304:用于基于风险等级自适应匹配网络边界防护规则。
具体的,本申请通过确定工业网络中工控终端以及和工控终端连接的工控终端、交换机的风险等级,通过自适应匹配模块自适应网络边界防护规则的配置。
图4为本发明实施例提供的基于工控终端特征识别的工业网络边界防护系统图二;
在一个实施例中,结合图4,上述系统中的第一确定模块302包括:解析单元401和对比单元402。
解析单元401:用于解析每个工控终端的业务行为确定每个工控终端的业务行为表示参量。
具体的,本申请实施例中,获取每个工控终端的业务行为,通过解析单元解析业务行为得到数据包协议类型、单位时间数据包收发量、数据包收发时段分布、工控终端通信优先级、工控终端联网密级、工控终端网络连接状态、工控终端带宽资源占用等业务行为表示参量。
对比单元402:用于对比每个工控终端的业务行为表示参量和工控终端业务行为模型确定每个工控终端的业务行为类型。
具体的,本申请实施例中,将工控终端的业务行为表示参量与工控终端业务行为模型通过对比单元进行对比,从而确定工控终端的业务行为类型,例如持续活跃终端、间歇活跃终端、非活跃终端、高优先级终端、低优先级终端、在线终端、非在线终端等。
图5为本发明实施例提供的基于工控终端特征识别的工业网络边界防护系统图三。
在一个实施例中,结合图5,上述系统30还包括:
大数据分析模块501:用于大数据分析工控终端的业务场景及数据流构建工控终端业务行为模型。
具体的,工业网络边界防护设备通过大数据分析模块501对业务场景及数据流进行大数据分析,构建工控终端的业务行为模型。
在一个实施例中,上述系统30还包括:显示模块502,
显示模块502:用于显示每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系。
多个工控终端、交换机之间的拓扑关系,包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系;
具体的,本申请实施例中,工业网络边界防护设备通过分析每个工控终端的网络流量从而实现工控终端和工控终端的连接关系绘制,通过与交换机联动,实现工控终端与交换机的连接关系绘制,从而实现工控终端连接关系的可视化,即显示模块502显示工控终端与交换机的连接关系,工控终端和工控终端的连接关系;交换机面板通过SNMP协议,获取已配置交换机的状态表信息,实现以交换机为中心的物理连接关系绘制,从而实现交换机连接关系的可视化,即显示模块502显示交换机和交换机的连接关系,交换机和工控终端的连接关系。
显示可编辑的表单,可编辑的表单用于查询、维护、更新和删除工控终端与工控终端、交换机的连接关系。
工业网络边界防护设备,对网络流量进行分析,生成可编辑的表单,显示模块502显示可编辑的表单,表单内容包括:工控终端和工控终端的连接关系表,工控终端与交换机的连接关系表,交换机和交换机的连接关系表,交换机和工控终端的连接关系表,工控终端通过数据包的转发、交互所形成的逻辑连接关系表,从而能够查询每个交换机、每个工控终端的连接关系,对工控终端和交换机进行维护,此外表单内还为每个工控终端建立索引,可以更新、删除工控终端与其它工控终端、其它交换机的连接关系。
在一个实施例中,上述系统30还包括:智能协议识别模块503和辅助规则生成模块504,
智能协议识别模块503,用于在直通和管控模式下,智能协议识别匹配网络边界防护规则。
具体的,本申请实施例中,在直通和管控模式下,智能协议识别模块503采用被动检测的方式从工业网络中采集数据包,并进行数据包的解析,智能的与工业网络通信协议、交换机、工控终端进行匹配,生成可供参考的网络交互信息列表,从而用户以最快捷的方式了解和掌握工业网络中的业务通信。
辅助规则生成模块504,用于在测试模式下,辅助配置生成辅助规则。
具体的,本申请实施例中,在测试模式下,辅助规则生成模块504,将网络交互信息与实际业务进行比对,给每一个网络交互过程配置适当的网络边界防护设备规则,从而准确、快捷的完成网络边界防护设备规则的部署。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。
本领域的技术人员能够理解,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
虽然结合附图描述了本申请的实施方式,但是本领域技术人员可以在不脱离本申请的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.基于工控终端特征识别的工业网络边界防护方法,其特征在于,包括:
获取工业网络中的每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;
基于所述每个工控终端的业务行为确定每个工控终端的业务行为类型;
基于所述每个工控终端的类型和所述每个工控终端的业务行为类型确定每个工控终端的风险等级;以及,
基于所述多个工控终端、交换机之间的拓扑关系确定和所述工控终端连接的工控终端、交换机的风险等级;
基于所述风险等级自适应匹配网络边界防护规则;
其中,所述工控终端的类型至少包括:泛终端设备和智能工控终端设备;
所述工控终端业务行为类型至少包括:持续活跃终端和/或,间歇活跃终端和/或,非活跃终端和/或,高优先级终端和/或,低优先级终端和/或,在线终端和/或非,在线终端。
2.根据权利要求1所述的基于工控终端特征识别的工业网络边界防护方法,其特征在于,所述根据每个工控终端的业务行为确定每个工控终端的业务行为类型,包括:
解析所述每个工控终端的业务行为确定每个工控终端的业务行为表示参量;
对比所述每个工控终端的业务行为表示参量和工控终端业务行为模型确定每个工控终端的业务行为类型;
其中,所述业务行为表示参量至少包括:数据包协议类型和/或,单位时间数据包收发量和/或,数据包收发时段分布和/或,工控终端通信优先级和/或,工控终端联网密级和/或,工控终端网络连接状态和/或,工控终端带宽资源占用。
3.根据权利要求2所述的基于工控终端特征识别的工业网络边界防护方法,其特征在于,工控终端业务行为模型是通过以下方法得到的:
大数据分析工控终端的业务场景及数据流构建工控终端业务行为模型。
4.根据权利要求1所述的基于工控终端特征识别的工业网络边界防护方法,其特征在于,所述方法还包括:
显示所述每个工控终端的类型、所述每个工控终端的业务行为和所述多个工控终端、交换机之间的拓扑关系;
所述多个工控终端、交换机之间的拓扑关系,包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系;
显示可编辑的表单,所述可编辑的表单用于查询、维护、更新和删除工控终端与工控终端、交换机的连接关系。
5.根据权利要求1所述的基于工控终端特征识别的工业网络边界防护方法,其特征在于,所述基于所述风险等级自适应匹配网络边界防护规则,包括:
在直通和管控模式下,智能协议识别匹配网络边界防护规则;
在测试模式下,辅助配置生成辅助规则。
6.基于工控终端特征识别的工业网络边界防护系统,应用于包括工业网络边界防护设备、交换机和工控终端的系统中,其特征在于,包括:
获取模块:用于获取工业网络中的每个工控终端的类型、每个工控终端的业务行为和多个工控终端、交换机之间的拓扑关系;
第一确定模块:用于基于所述每个工控终端的业务行为确定每个工控终端的业务行为类型;
第二确定模块:用于基于所述每个工控终端的类型和所述每个工控终端的业务行为类型确定每个工控终端的风险等级;以及,
基于所述多个工控终端、交换机之间的拓扑关系确定和所述工控终端连接的工控终端、交换机的风险等级;
自适应匹配模块:用于基于所述风险等级自适应匹配网络边界防护规则;
其中,所述工控终端的类型至少包括:泛终端设备和智能工控终端设备;
所述工控终端业务行为类型至少包括:持续活跃终端和/或,间歇活跃终端和/或,非活跃终端和/或,高优先级终端和/或,低优先级终端和/或,在线终端和/或非在线终端。
7.根据权利要求6所述的基于工控终端特征识别的工业网络边界防护系统,其特征在于,第一确定模块包括:解析单元和对比单元,
所述解析单元:用于解析所述每个工控终端的业务行为确定每个工控终端的业务行为表示参量;
所述对比单元:用于对比所述每个工控终端的业务行为表示参量和工控终端业务行为模型确定每个工控终端的业务行为类型;
其中,所述业务行为表示参量至少包括:数据包协议类型和/或,单位时间数据包收发量和/或,数据包收发时段分布和/或,工控终端通信优先级和/或工控终端联网密级和/或,工控终端网络连接状态和/或,工控终端带宽资源占用。
8.根据权利要求7所述的基于工控终端特征识别的工业网络边界防护系统,其特征在于,所述系统还包括:
大数据分析模块:用于大数据分析工控终端的业务场景及数据流构建工控终端业务行为模型。
9.根据权利要求6所述的基于工控终端特征识别的工业网络边界防护系统,其特征在于,还包括:显示模块,
所述显示模块:用于显示所述每个工控终端的类型、所述每个工控终端的业务行为和所述多个工控终端、交换机之间的拓扑关系;
所述多个工控终端、交换机之间的拓扑关系,包括:多个工控终端之间的连接关系、交换机和交换机的连接关系、工控终端和交换机的连接关系以及工控终端和交换机的逻辑连接关系;
显示可编辑的表单,所述可编辑的表单用于查询、维护、更新和删除工控终端与工控终端、交换机的连接关系。
10.根据权利要求6所述的基于工控终端特征识别的工业网络边界防护系统,其特征在于,还包括:智能协议识别模块和辅助规则生成模块,
所述智能协议识别模块,用于在直通和管控模式下,智能协议识别匹配网络边界防护规则;
所述辅助规则生成模块,用于在测试模式下,辅助配置生成辅助规则。
CN202110629072.2A 2021-06-07 2021-06-07 基于工控终端特征识别的工业网络边界防护方法和系统 Pending CN113079186A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110629072.2A CN113079186A (zh) 2021-06-07 2021-06-07 基于工控终端特征识别的工业网络边界防护方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110629072.2A CN113079186A (zh) 2021-06-07 2021-06-07 基于工控终端特征识别的工业网络边界防护方法和系统

Publications (1)

Publication Number Publication Date
CN113079186A true CN113079186A (zh) 2021-07-06

Family

ID=76617121

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110629072.2A Pending CN113079186A (zh) 2021-06-07 2021-06-07 基于工控终端特征识别的工业网络边界防护方法和系统

Country Status (1)

Country Link
CN (1) CN113079186A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114019946A (zh) * 2021-11-11 2022-02-08 辽宁石油化工大学 工控终端的监控数据处理方法及装置
CN114745163A (zh) * 2022-03-24 2022-07-12 烽台科技(北京)有限公司 零信任工控网络设备的风险评估方法、装置、设备及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070008884A1 (en) * 2003-10-08 2007-01-11 Bob Tang Immediate ready implementation of virtually congestion free guarantedd service capable network
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN110113335A (zh) * 2019-05-06 2019-08-09 杭州齐安科技有限公司 一种工控设备指纹归一化方法
CN110808865A (zh) * 2019-11-13 2020-02-18 北京理工大学 一种被动工控网络拓扑发现方法及工控网络安全管理系统
CN110958262A (zh) * 2019-12-15 2020-04-03 国网山东省电力公司电力科学研究院 电力行业泛在物联网安全防护网关系统、方法及部署架构
CN111935061A (zh) * 2019-12-26 2020-11-13 长扬科技(北京)有限公司 一种工控主机的网络安全防护实现方法及工控主机

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070008884A1 (en) * 2003-10-08 2007-01-11 Bob Tang Immediate ready implementation of virtually congestion free guarantedd service capable network
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN110113335A (zh) * 2019-05-06 2019-08-09 杭州齐安科技有限公司 一种工控设备指纹归一化方法
CN110808865A (zh) * 2019-11-13 2020-02-18 北京理工大学 一种被动工控网络拓扑发现方法及工控网络安全管理系统
CN110958262A (zh) * 2019-12-15 2020-04-03 国网山东省电力公司电力科学研究院 电力行业泛在物联网安全防护网关系统、方法及部署架构
CN111935061A (zh) * 2019-12-26 2020-11-13 长扬科技(北京)有限公司 一种工控主机的网络安全防护实现方法及工控主机

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114019946A (zh) * 2021-11-11 2022-02-08 辽宁石油化工大学 工控终端的监控数据处理方法及装置
CN114019946B (zh) * 2021-11-11 2023-08-29 辽宁石油化工大学 工控终端的监控数据处理方法及装置
CN114745163A (zh) * 2022-03-24 2022-07-12 烽台科技(北京)有限公司 零信任工控网络设备的风险评估方法、装置、设备及介质
CN114745163B (zh) * 2022-03-24 2023-07-25 烽台科技(北京)有限公司 零信任工控网络设备的风险评估方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
CN111565390B (zh) 一种基于设备画像的物联网设备风险控制方法及系统
CN108737182A (zh) 系统异常的处理方法及系统
US11641370B2 (en) Attribute-based policies for integrity monitoring and network intrusion detection
CN113079186A (zh) 基于工控终端特征识别的工业网络边界防护方法和系统
CN109889512B (zh) 一种充电桩can报文的异常检测方法及装置
CN108683681A (zh) 一种基于流量策略的智能家居入侵检测方法及装置
CN109600336A (zh) 存储设备、验证码应用方法和装置
CN108989136A (zh) 业务端到端性能监控方法及装置
CN109213857A (zh) 一种欺诈行为识别方法和装置
CN106571942B (zh) 配置数据更新方法、客户端和服务器
CN109274692A (zh) 一种识别区块链网络作恶节点的方法及装置
CN108459944A (zh) 系统运行监控方法、装置及服务器
CN106709057A (zh) 一种分布式集群可视化数据库
CN109743286A (zh) 一种基于图卷积神经网络的ip类型标记方法及设备
CN111884832A (zh) 一种获取无源网络拓扑信息的方法及相关设备
CN115883187A (zh) 网络流量数据中的异常信息识别方法、装置、设备和介质
Solmaz et al. ALACA: A platform for dynamic alarm collection and alert notification in network management systems
CN108933658A (zh) 基于工控设备指纹的白名单库创建方法及装置
CN113452576B (zh) 网络环境的监控方法及装置、存储介质、电子装置
CN112448919B (zh) 网络异常检测方法、装置和系统、计算机可读存储介质
CN114205816B (zh) 一种电力移动物联网信息安全架构及其使用方法
CN115484326A (zh) 处理数据的方法、系统及存储介质
CN111818022B (zh) 一种基于新一代信息技术的用户管理系统与方法
Lange et al. Event Prioritization and Correlation based on Pattern Mining Techniques
EP2911362B1 (en) Method and system for detecting intrusion in networks and systems based on business-process specification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210706

RJ01 Rejection of invention patent application after publication