CN105208018B - 一种基于漏斗式白名单的工控网络信息安全监控方法 - Google Patents
一种基于漏斗式白名单的工控网络信息安全监控方法 Download PDFInfo
- Publication number
- CN105208018B CN105208018B CN201510569030.9A CN201510569030A CN105208018B CN 105208018 B CN105208018 B CN 105208018B CN 201510569030 A CN201510569030 A CN 201510569030A CN 105208018 B CN105208018 B CN 105208018B
- Authority
- CN
- China
- Prior art keywords
- industry control
- white list
- control network
- credible
- funneling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于漏斗式白名单的工控网络信息安全监控方法,由以下步骤组成:⑴深度解析工业通信数据;⑵针对工控网络中合法操作建立可信架构;⑶基于可信架构建立白名单漏斗。本发明有益效果为:对多种工业通信协议进行还原分析,有利于实现对生产控制行为的异常监测;结合工控网络环境建立可信架构,生成具有工业特色的白名单漏斗,高过滤精度实时监控工控网中通信行为,提高对未知威胁感知的预警时间,以稳固工控信息系统环境为核心指导思想,构建监控体系。
Description
技术领域
本发明涉及工业控制网络信息安全领域,尤其涉及一种基于漏斗式白名单的工控网络信息安全监控方法。
背景技术
随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,使得工业控制系统与传统企业网络高度一体化,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。
根据工业安全事件信息库RISI的统计,截止2011年,全球已经发生200余起针对工业控制系统的重大攻击事件,尤其在2000年之后,随着通用协议、通用硬件、通用软件在工业控制系统中的应用,对过程控制和数据采集监控系统的攻击增长了近10倍。因此,加深企业工控安全意识,打造一个高安全性的工控网络环境是我国信息化建设中一个亟需解决的问题。虽然现在的网络监控产品很多,但由于这些产品的局限性,他们面向的多是传统信息网络,还不能彻底解决广泛存在的以太网监听和管理问题,特别是工控领域中大部分的工业协议尚未开始进行解析,同时很多系统供应商大量采用私有协议,因此,针对工控领域的具有工控特色的网络信息安全技术正在逐步深化。
本发明针对现有网络监控产品的不足,进一步结合工控网络特色,拓展工业通信协议的相关研究,形成漏斗式白名单的工控网络信息安全监控方法,建立基于白名单漏斗的完整工控网络监控体系,为工控领域信息流和指令流分析提供数据分析方法,为工控信息安全策略的制定提供基础和验证工具,是非常符合传统信息安全发展和工控领域对信息安全需要的解决思路,从而进行进一步的创新。
发明内容
针对以上缺陷,本发明针对工控网络提供一种基于漏斗式白名单的信息安全监控方法。
为实现上述目的,本发明采用以下技术方案:
一种基于漏斗式白名单的工控网络信息安全监控方法,其原理如下:
⑴深度解析工业通信数据:掌握工业通信协议还原能力,在此能力的基础上,建立数据解析列表,包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用协议类型、工控协议类型等元素,通过某个时间段的学习,将获得的样本信息贮存在列表中,在网络流的基础上构造指令流、信息流时序模型。
⑵针对工控网络中合法操作建立可信架构:工控网络中用户资产需可信,体现在接入网络中的设备可信;工控网络中通信行为需可信,体现在运行在控制网中的应用程序可信;工控网络中通信信令需可信,体现在上位机下发的操作指令可信、下位机上传的阈值参数可信。
⑶基于可信架构建立漏斗式白名单:将可信行为贮存在数据解析列表中,通过匹配IP、MAC,监控控制网中设备;通过匹配通用协议类型及端口,监控控制网中通信行为;通过匹配工控协议类型及端口,监控控制网中协议指令。基于此生成一个漏斗式的白名单库,所有工控网络中的数据必须经过白名单漏斗的过滤,无法通过的数据为可疑数据,产生报警,通知管理人员干预。
本发明所述的基于漏斗式白名单的工控网络信息安全监控方法的有益效果为:
⑴基于工业通信协议的深度解析实现对生产控制行为异常监测:解决了传统信息安全领域无法实现的对工业通信协议的识别与解析。实现了对Modbus协议、S7协议、OPC协议、IEC104协议、DNP3.0协议、61850协议等主流工业通信协议的功能码及相关指令的解析,让工控设备之间的通信语言透明化,打破传统控制系统的黑匣子。
⑵将实际工业生产流程与信息系统审计行为结合,建立具有工业特色的漏斗式白名单,漏斗式白名单从多种维度监控控制网络。
过滤精度高:白名单漏斗层层递进,接入工控网络中的设备是合法资产通过第一层、在合法资产上运行的应用程序是合法应用通过第二层、通过合法应用发送的操作指令是合法操作通过第三层;
预警时间早:不同攻击行为出现在白名单漏斗的不同过滤深度,若威胁无法通过第一层过滤,即时报警,那么若该威胁具有第二、三层的危险便可即时发现,提早报警,可对未知威胁进行提前预警。
附图说明
下面根据附图对本发明作进一步详细说明。
图1是本发明实施例所述基于漏斗式白名单的工控网络信息安全监控方法的实现方式示意图。
具体实施方式
如图1所示,本发明实施例所述的基于漏斗式白名单的工控网络信息安全监控方法,由以下步骤组成:
⑴深度解析工业通信数据:掌握工业通信协议还原能力,在此能力的基础上,建立数据解析列表,包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用协议类型、工控协议类型等元素,通过某个时间段的学习,将获得的样本信息贮存在列表中,在网络流的基础上构造指令流、信息流时序模型。
⑵针对工控网络中合法操作建立可信架构:工控网络中用户资产需可信,体现在接入网络中的设备可信;工控网络中通信行为需可信,体现在运行在控制网中的应用程序可信;工控网络中通信信令需可信,体现在上位机下发的操作指令可信、下位机上传的阈值参数可信。
⑶基于可信架构建立漏斗式白名单:将可信行为贮存在数据解析列表中,通过匹配IP、MAC,监控控制网中设备;通过匹配通用协议类型及端口,监控控制网中通信行为;通过匹配工控协议类型及端口,监控控制网中协议指令。基于此生成一个漏斗式的白名单库,所有工控网络中的数据必须经过白名单漏斗的过滤,无法通过的数据为可疑数据,产生报警,通知管理人员干预。
以上本发明实施例所述的基于漏斗式白名单的工控网络信息安全监控方法,①对工业通信数据的深度解析需要具体协议具体分析,基本解析方法为协议还原,针对不同工业通信协议定制开发,对协议地址、协议功能码、协议数据内容及其有效性等进行解析,得到工控网络中资产信息、资产应用通信信息、应用操作指令信息,贴合工业特色,解决实际问题。
② 对工控网络安全隐患分析,针对工控网与互联网连接风险、非法设备接入风险以及移动介质进入工控网风险进行分析,建立工控网络可信架构,实现全面监控控制网中设备,帮助客户对资产了如指掌,防范未授权软件或程序在控制网内运行,增强控制网络安全性,深度解析上下位机之间通信信令,对指令下发、参数上行、组态变更、负载变更等进行实时监控。
基于①与②实现原理,生成白名单漏斗,过滤精度高,提早预警时间,贴合工控领域信息安全需求,可以很大程度上提高工业控制网络的安全。
上述对实施例的描述是为了便于该技术领域的普通技术人员能够理解和应用本案技术,熟悉本领域技术的人员显然可轻易对这些实例做出各种修改,并把在此说明的一般原理应用到其它实施例中而不必经过创造性的劳动。因此,本案不限于以上实施例,本领域的技术人员根据本案的揭示,对于本案做出的改进和修改都应该在本案的保护范围内。
Claims (3)
1.一种基于漏斗式白名单的工控网络信息安全监控方法,其特征在于,由以下步骤组成:
(1)深度解析工业通信数据:掌握工业通信协议还原能力,在此能力的基础上,建立数据解析列表,包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用协议类型、工控协议类型,通过某个时间段的学习,将获得的样本信息贮存在列表中,在网络流的基础上构造指令流、信息流时序模型;
(2)针对工控网络中合法操作建立可信架构:工控网络中用户资产需可信,体现在接入网络中的设备可信;工控网络中通信行为需可信,体现在运行在控制网中的应用程序可信;工控网络中通信信令需可信,体现在上位机下发的操作指令可信、下位机上传的阀值参数
可信;
(3)基于可信架构建立漏斗式白名单:将可信行为贮存在数据解析列表中,通过匹配IP, MAC,监控控制网中设备;通过匹配通用协议类型及端口,监控控制网中通信行为;通过匹配工控协议类型及端口,监控控制网中协议指令,基于此生成一个漏斗式的白名单库,所有工控网络中的数据必须经过白名单漏斗的过滤,无法通过的数据为可疑数据,产生报警,通知管理人员干预。
2.根据权利要求1所述的基于漏斗式白名单的工控网络信息安全监控方法,其特征在于:所述工业通信协议深度解析方法基于协议还原能力实现,将网络通信数据信息贮存在数据解析列表中,与白名单数据解析列表模型进行匹配,从而进行报警分析。
3.根据权利要求1所述的基于漏斗式自名单的工控网络信息安全监控方法,其特征在于:所述白名单漏斗是指接入网络中的设备均属合法资产、在合法资产上运行的应用程序均属合法应用,通过合法应用发送的操作指令均属合法操作,其过滤方式层层递进,逐渐深入。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510569030.9A CN105208018B (zh) | 2015-09-09 | 2015-09-09 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510569030.9A CN105208018B (zh) | 2015-09-09 | 2015-09-09 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105208018A CN105208018A (zh) | 2015-12-30 |
| CN105208018B true CN105208018B (zh) | 2018-08-17 |
Family
ID=54955452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510569030.9A Active CN105208018B (zh) | 2015-09-09 | 2015-09-09 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105208018B (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959195B (zh) * | 2016-06-23 | 2020-02-21 | 北京东土科技股份有限公司 | 工业互联网现场层宽带总线技术实现方法 |
| CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
| CN106506541A (zh) * | 2016-12-16 | 2017-03-15 | 北京匡恩网络科技有限责任公司 | 生成网络白名单的方法和装置 |
| CN106657163B (zh) * | 2017-03-02 | 2019-12-17 | 北京网藤科技有限公司 | 工业控制动态防御方法和系统 |
| CN106998326A (zh) * | 2017-03-22 | 2017-08-01 | 北京匡恩网络科技有限责任公司 | 工业控制网络行为监测方法、装置、以及系统 |
| CN107294966A (zh) * | 2017-06-21 | 2017-10-24 | 四川大学 | 一种基于内网流量的ip白名单构建方法 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN107544470B (zh) * | 2017-09-29 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种基于白名单的控制器防护方法 |
| CN108173843A (zh) * | 2017-12-26 | 2018-06-15 | 成都鼎信致远科技有限公司 | 一种工控信息展示以及数据包挖掘的方法 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| CN109327442A (zh) * | 2018-10-10 | 2019-02-12 | 杭州安恒信息技术股份有限公司 | 基于行为白名单的异常检测方法、装置以及电子设备 |
| CN109766694B (zh) * | 2018-12-29 | 2021-09-03 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
| CN110221581B (zh) * | 2019-04-26 | 2022-03-15 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110891055B (zh) * | 2019-11-20 | 2020-12-25 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110855711A (zh) * | 2019-11-27 | 2020-02-28 | 上海三零卫士信息安全有限公司 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN111031062B (zh) * | 2019-12-24 | 2020-12-15 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| CN111898116B (zh) * | 2019-12-26 | 2021-09-24 | 长扬科技(北京)有限公司 | 一种基于高速缓存的工业白名单学习方法和系统 |
| CN111652299A (zh) * | 2020-05-26 | 2020-09-11 | 泰康保险集团股份有限公司 | 一种业务数据自动匹配的方法及设备 |
| CN113328984B (zh) * | 2020-08-08 | 2022-08-23 | 北京圆心科技集团股份有限公司 | 基于大数据和物联网通信的数据处理方法及数据处理系统 |
| CN112468488B (zh) * | 2020-11-25 | 2023-05-23 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112995192B (zh) * | 2021-03-16 | 2022-11-15 | 深圳融安网络科技有限公司 | 白名单生成方法、系统、设备及存储介质 |
| CN114019946B (zh) * | 2021-11-11 | 2023-08-29 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
| CN114553537A (zh) * | 2022-02-22 | 2022-05-27 | 上海帝焚思信息科技有限公司 | 一种面向工业互联网的异常流量监测方法和系统 |
| CN114745154A (zh) * | 2022-03-14 | 2022-07-12 | 中国海洋石油集团有限公司 | 一种缆控分注井安全控制方法 |
| CN114745197B (zh) * | 2022-04-28 | 2023-01-31 | 东方电气中能工控网络安全技术(成都)有限责任公司 | 一种实时监视工控网络入侵的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN104615096A (zh) * | 2014-12-04 | 2015-05-13 | 深圳市永达电子股份有限公司 | 一种保障工业控制系统信息安全的方法及系统 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| EP2908195A1 (de) * | 2014-02-13 | 2015-08-19 | Siemens Aktiengesellschaft | Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk |
-
2015
- 2015-09-09 CN CN201510569030.9A patent/CN105208018B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| EP2908195A1 (de) * | 2014-02-13 | 2015-08-19 | Siemens Aktiengesellschaft | Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk |
| CN104615096A (zh) * | 2014-12-04 | 2015-05-13 | 深圳市永达电子股份有限公司 | 一种保障工业控制系统信息安全的方法及系统 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105208018A (zh) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105208018B (zh) | 一种基于漏斗式白名单的工控网络信息安全监控方法 | |
| US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
| Lin et al. | Adapting bro into scada: building a specification-based intrusion detection system for the dnp3 protocol | |
| US9591007B2 (en) | Detection of beaconing behavior in network traffic | |
| US10855705B2 (en) | Enhanced flow-based computer network threat detection | |
| Lan et al. | A framework for network security situation awareness based on knowledge discovery | |
| US20170295070A1 (en) | Network data processing driver for a cognitive artifical intelligence system | |
| WO2015024315A1 (zh) | 核电站网络入侵报警方法和系统 | |
| US20190230109A1 (en) | Methods and systems for improving beaconing detection algorithms | |
| CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| US20130318609A1 (en) | Method and apparatus for quantifying threat situations to recognize network threat in advance | |
| CN109600386A (zh) | 一种工控态势感知主动探测系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| Cruz et al. | Improving cyber-security awareness on industrial control systems: The cockpitci approach | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| CN108959659B (zh) | 一种大数据平台的日志接入解析方法和系统 | |
| CN112910842B (zh) | 一种基于流量还原的网络攻击事件取证方法与装置 | |
| CN109981594A (zh) | 基于大数据的网络安全态势感知方法 | |
| CN103944775A (zh) | 一种网络流量采集分析及展示输出的方法 | |
| CN101547127A (zh) | 一种内、外网络报文的识别方法 | |
| KR20200045400A (ko) | 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역 | |
| CN103546443A (zh) | 结合网络流量分析和消息聚类的网络协议逆向分析方法 | |
| US11777832B2 (en) | Iterative development of protocol parsers | |
| Jianping et al. | A novel network attack audit system based on multi-agent technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |