CN108848067A

CN108848067A - 智能学习并预置只读白名单规则的opc协议安全防护方法

Info

Publication number: CN108848067A
Application number: CN201810523980.1A
Authority: CN
Inventors: 冯全宝
Original assignee: Beijing Wei Nu Trick Co Ltd
Current assignee: Beijing Wei Nu Trick Co Ltd
Priority date: 2018-05-28
Filing date: 2018-05-28
Publication date: 2018-11-20
Anticipated expiration: 2038-05-28
Also published as: CN108848067B

Abstract

本发明公开了智能学习并预置只读白名单规则的OPC协议安全防护方法,包括以下步骤：步骤1、捕获网络报文；步骤2、基础报文分析处理；步骤3、协议深度解析处理；步骤4、业务处理，步骤5、白名单规则生成：步骤6、只读白名单规则，步骤7、将监测防护设备运行在告警模式下。步骤8、将监测防护设备更改到运行模式，步骤9、传输OPC协议深度解析的数据，步骤10、接收监测防护设备上传的报文记录信息进行学习，本发明的优越效果是：不仅能够识别基于TCP协议上的OPC协议，还能够监测防护传输在基于UDP协议上的OPC协议，对于只有采集动作的工业现场直接使用预置的只读规则并省去复杂的学习过程。

Description

智能学习并预置只读白名单规则的OPC协议安全防护方法

技术领域

本发明涉及智能学习并预置只读白名单规则的OPC协议安全防护方法,属于自动控制技术领域。

背景技术

目前，OPC协议成为国际标准，OPC协议基于Windows的COM(Component ObjectModel,组件对象模型)技术和DCOM(Distribute Component Object Model,分布式组件对象模型)技术，是OLE for Process Control的简称。OPC协议的作用是为自动化软件开发商提供一套标准的接口，即不需要关心服务器如何从不同的硬件厂商的设备中采集到数据和写入数据，仅需要按照OPC提供的接口进行相应的调用，系统将自动完成实际采集和写入动作并得到相应的反馈。

现有技术之一的技术方案是判断OPC客户端和服务器之间的连接是否符合白名单，符合通过，不符合阻断并报警；下一步深度解析传输的报文，找出在白名单中的接口放过，不在白名单中的接口阻断并报警；深度解析报文是否是Bind和Request，当是时解析操作接口和操作方法，以及对应操作方法的操作参数是否在白名单，在则放行，不在将阻断并报警。

现有技术之二的技术方案是通过监听网络中的数据包，以此为基准自动定义网络的行为规范。其核心功能在于安全系统自动学习设备的网络行为，并把学习到的行为定义为安全规则。对于安全规则外的网络行为，则通过定义默认安全规则的方式进行处理，例如报警或阻断。

综上所述，现有技术的缺点如下：

1、只说明在已有白名单规则的情况下如何将OPC协议的具体操作内容与白名单进行匹配，但并未提到在深度解析OPC协议的情况下如何辅助生成白名单规则才能更有效和合理的来进行系统的防护。存在的最大的缺陷就是很少有现场工程师知道什么样的白名单才是合适的正确的，没有一个合适正确的白名单，深度解析OPC协议然后去与白名单进行匹配存在着非常大的安全隐患，无从判定对一个系统是起到防护作用还是会影响系统的业务；另外一个缺陷就是只能识别基于TCP协议类型的OPC协议，但对于基于UDP协议的并不支持，但实际的支持OPC协议的工业系统中也存在着基于UDP协议的OPC协议。

2、在实际的工业控制系统中，管理网络仅仅用来查看系统的运行状态是否正常，而不需要干预正在运转的工业控制生产现场，所以此时使用一个满足监控而不需要复杂的学习过程的白名单安全规则更简单、实用、高效和安全。学习过程会学到一些恶意操作，通过学习生成的规则对工业现场来说并不安全。

发明内容

本发明的目的在于提供一种能够克服上述技术问题的智能学习并预置只读白名单规则的OPC协议安全防护方法。

本发明所述方法包括以下步骤：

步骤1、捕获网络报文：捕获经过监测防护设备的所有报文；所述监测防护设备是指采用通用硬件平台的设备，所述通用硬件平台包括：使用ARM、X86/Atom、MIPS、PowerPC体系结构的硬件平台；所述监测防护设备能够捕获数据包并基于管理员部署过的安全规则和白名单规则来控制数据包；本发明所述白名单或白名单规则是指一种数据定义列表，基于所述数据定义列表进行网络报文检查，报文内容符合所述数据定义列表的通过，不符合所述数据定义列表的将被拦截并产生相应的安全事件；本发明所述安全规则是指控制网络报文能否通行的一种标记集合并基于所述标记集合对网络报文进行检查。

步骤2、基础报文分析处理：基础报文分析处理是将捕获的网络报文进行分析，找出会话的五元组信息，区分出属于OPC协议报文，五元组信息包括：源IP、源端口、目的IP、目的端口、传输层协议。

五元组信息中当目的端口为135并且会话在安全规则中为允许通过，则OPC协议会话建立成功，记录相应日志，并将OPC协议报文进行解析并自动通过后续OPC协议建立起的OPC数据通道，对OPC数据通道上的OPC协议报文进行进一步解析处理；五元组信息对应的会话命中的安全规则当为阻断或者未命中安全规则，则会话建立失败，产生相应的安全事件。

步骤3、协议深度解析处理：

步骤3.1、根据不同的传输层协议来分别处理后续OPC协议协商出来的动态端口，将动态端口的会话与步骤2中的OPC协议会话进行状态绑定；

步骤3.2、解析出包的类型，再根据包的类型使用深度包检测技术DPI(DeepPacket Inspection)解析出传输的具体的OPC协议操作接口、操作方法和操作对象及操作对象的属性参数，即将深度解析出来的OPC协议接口对应的context id(OPC协议依赖的DCOM协议的一个标准数据字段)进行记录，后续传输时，使用context id找出对应的request报文(OPC协议依赖的DCOM协议的一个标准包数据单元类型)中的具体接口，根据Opnum(OPC协议依赖的DCOM协议的一个标准数据字段)找出对应的操作方法再解析出相应的操作参数及相应参数的数值类型和具体的值，并将解析结果传送到后续步骤4。

步骤4、业务处理：根据监测防护设备当前的工作状态判定是将深度解析的OPC协议数据发送到通信过程进行上报，还是将送到规则匹配过程进行后续处理，当监测防护设备处于学习模式下，则监测防护设备将解析出来的数据按照步骤9中的方式组织成相应的记录信息进行上报，记录信息将作为白名单规则学习生成的基础数据。

步骤5、白名单规则生成：监测防护设备在学习结束后，智能学习引擎根据步骤4中上报的记录信息自动生成符合工业现场操作业务的白名单规则，学习数据能够来自多个监测防护设备，也能够多次反复学习。

另外，能够手动编辑白名单规则并也能够在学习得到的白名单规则中直接添加规则。

步骤6、只读白名单规则，除了通过智能学习生成白名单规则外，把具有写特性的OPC协议操作方法定义为写操作并内置一个不包含写操作的白名单规则并将白名单规则定义为预置只读白名单规则，在只有采集数据的工业现场中直接使用白名单规则进行防护，在OPC协议request包中，当包含了写操作将产生相应的安全事件，安全事件包括触发安全事件的时间信息、源设备信息(IP、端口)、目的设备信息(IP、端口)、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据，安全事件将在步骤9中进行上报。

步骤7、配置白名单规则，学习结束后，将监测防护设备运行在告警模式下，在告警模式下，监测防护设备根据已有的白名单规则来决定OPC协议报文是否产生安全事件，产生安全事件的OPC协议在监测防护设备切换到运行模式时将被阻断并产生安全事件，监测防护设备在告警模式下不会拦截任何OPC协议报文，从而通过监测防护设备检验智能学习生成的白名单规则是否完整、正确。

步骤8、经过检验的智能学习到的白名单规则当是正确、完整的，则能够将监测防护设备更改到运行模式，OPC协议在白名单规则中的所有操作将被通过，不在白名单规则中的操作将被监测防护设备拦截并产生相应的安全事件，监测防护设备只产生安全事件不进行拦截，所述正确、完整的白名单规则是指白名单规则未拦截正常的业务指令操作，同时未漏掉所有非法的指令操作。

步骤9、通信处理：传输OPC协议深度解析的数据，步骤4中的记录信息包括时间信息源设备信息(IP、端口)、目的设备信息(IP、端口)、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据，同时也上报安全事件，安全事件包括触发安全事件的时间信息、源设备信息(IP、端口)、目的设备信息(IP、端口)、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据。

步骤10、接收监测防护设备上传的报文记录信息进行学习，接收监测防护设备产生的安全事件进行存储和显示；也能够直接为监测防护设备配置只读白名单规则。

本发明的优越效果是：

1、不仅能够识别基于TCP协议上的OPC协议，还能够监测防护传输在基于UDP协议上的OPC协议。

2、对现场情况无法生成白名单规则的场景进行白名单辅助生成。

3、使用告警模式检验并保证学习到的规则的正确性、完整性。

4、对于只有采集动作的工业现场直接使用预置的只读规则并省去复杂的学习过程。

5、本发明所述方法在不改变现有工业网络系统的前提下，使用智能学习技术来辅助生成OPC协议的安全白名单规则，安全白名单规则即能够包含基于TCP协议的OPC协议操作也包含基于UDP协议的OPC协议操作，并且能够使用内置的只读白名单规则从而省略复杂的学习过程并直接达到防护工业系统业务现场的目的。

附图说明

图1是本发明所述方法的工作流程图；

图2是本发明所述方法的使用只读白名单规则时的工作流程图；

图3是本发明所述方法的学习模式的工作流程图；

图4是本发明所述方法的告警模式下的工作流程图；

图5是本发明所述方法的防护模式的工作流程图。

具体实施方式

下面结合附图对本发明的实施方式进行详细描述。如图1所示，本发明所述方法包括以下步骤：

步骤3、协议深度解析处理：

步骤4、业务处理：根据监测防护设备当前的工作状态判定是将深度解析的OPC协议数据发送到通信过程进行上报，还是将送到规则匹配过程进行后续处理，当监测防护设备处于学习模式下，则监测防护设备将解析出来的数据按照步骤9中的方式组织成相应的记录信息进行上报，记录信息将作为白名单规则学习生成的基础数据，如图3所示。

步骤6、只读白名单规则，除了通过智能学习生成白名单规则外，把具有写特性的OPC协议操作方法定义为写操作并内置一个不包含所述写操作的白名单规则并将白名单规则定义为预置只读白名单规则，在只有采集数据的工业现场中直接使用白名单规则进行防护，在OPC协议request包中，当包含了写操作将产生相应的安全事件，安全事件包括触发安全事件的时间信息、源设备信息(IP、端口)、目的设备信息(IP、端口)、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据，安全事件将在步骤9中进行上报，如图2所示。

步骤7、配置白名单规则，学习结束后，将监测防护设备运行在告警模式下。在告警模式下，监测防护设备根据已有的白名单规则来决定OPC协议报文是否产生安全事件，产生安全事件的OPC协议在监测防护设备切换到运行模式时将被阻断并产生安全事件，监测防护设备在告警模式下不会拦截任何OPC协议报文，从而通过监测防护设备检验智能学习生成的白名单规则是否完整、正确，如图4所示。

步骤8、经过检验的智能学习到的白名单规则当是正确、完整的，则能够将监测防护设备更改到运行模式，OPC协议在白名单规则中的所有操作将被通过，不在白名单规则中的操作将被监测防护设备拦截并产生相应的安全事件，监测防护设备只产生安全事件不进行拦截，所述正确、完整的白名单规则是指白名单规则未拦截正常的业务指令操作，同时未漏掉所有非法的指令操作，如图5所示。

步骤9、通信处理：传输OPC协议深度解析的数据，步骤4中的记录信息包括时间信息源设备信息(IP、端口)、目的设备信息(IP、端口)、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据。同时也上报安全事件，安全事件包括触发安全事件的时间信息、源设备信息(IP、端口)、目的设备信息(IP、端口)、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明公开的范围内，能够轻易想到的变化或替换，都应涵盖在本发明权利要求的保护范围内。

Claims

1.智能学习并预置只读白名单规则的OPC协议安全防护方法，其特征在于，包括以下步骤：

步骤1、捕获网络报文：捕获经过监测防护设备的所有报文；所述监测防护设备是指采用通用硬件平台的设备，所述通用硬件平台包括：使用ARM、X86/Atom、MIPS、PowerPC体系结构的硬件平台；所述监测防护设备能够捕获数据包并基于管理员部署过的安全规则和白名单规则来控制数据包；所述白名单或白名单规则是指一种数据定义列表，基于所述数据定义列表进行网络报文检查，报文内容符合所述数据定义列表的通过，不符合所述数据定义列表的将被拦截并产生相应的安全事件；所述安全规则是指控制网络报文能否通行的一种标记集合并基于所述标记集合对网络报文进行检查；

步骤2、基础报文分析处理：基础报文分析处理是将捕获的网络报文进行分析，找出会话的五元组信息，区分出所有属于OPC协议的报文，五元组信息包括：源IP、源端口、目的IP、目的端口、传输层协议；

步骤3、协议深度解析处理：

步骤3.2、解析出包的类型，再根据包的类型使用深度包检测技术DPI解析出传输的具体的OPC协议操作接口、操作方法和操作对象及操作对象的属性参数，即将深度解析出来的OPC协议接口对应的context id进行记录，后续传输时，使用此context id找出对应的request报文中的具体接口然后根据Opnum找出对应的操作方法再解析出相应的操作参数及相应参数的数值类型和具体的值并将解析结果传送到后续步骤4；

步骤4、业务处理：根据监测防护设备当前的工作状态判定是将深度解析的OPC协议数据发送到通信过程进行上报，还是送到规则匹配过程进行后续处理；

步骤5、白名单规则生成：监测防护设备在学习结束后，智能学习引擎根据步骤4中上报的记录信息自动生成符合工业现场操作业务的白名单规则，学习数据能够来自多个监测防护设备，也能够多次反复学习；

步骤6、只读白名单规则，除了通过智能学习生成白名单规则外，把具有写特性的OPC协议操作方法定义为写操作并内置一个不包含所述写操作的白名单规则并将所述白名单规则定义为预置只读白名单规则，在只有采集数据的工业现场中直接使用所述白名单规则进行防护，在OPC协议request包中当包含了写操作将产生相应的安全事件，所述安全事件将在步骤9中进行上报；

步骤7、合理配置白名单规则，学习结束后，将监测防护设备运行在告警模式下，在告警模式下，监测防护设备根据已有的白名单规则来决定OPC协议报文是否产生安全事件，产生安全事件的OPC协议在监测防护设备切换到运行模式时将被阻断并产生安全事件；监测防护设备在告警模式下不会拦截任何OPC协议报文，从而通过监测防护设备检验智能学习生成的白名单规则是否完整、正确；

步骤8、经过检验的智能学习到的白名单规则当是正确、完整的，则能够将监测防护设备更改到运行模式，OPC协议在白名单规则中的所有操作将被通过，不在白名单规则中的操作将被监测防护设备拦截并产生相应的安全事件，监测防护设备只产生安全事件不进行拦截，所述正确、完整的白名单规则是指白名单规则未拦截正常的业务指令操作，同时未漏掉所有非法的指令操作；

步骤9、通信处理：传输OPC协议深度解析的数据，步骤4中的记录信息包括时间信息源设备信息、目的设备信息、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据；同时也上报安全事件；

2.根据权利要求1所述的智能学习并预置只读白名单规则的OPC协议安全防护方法，其特征在于，步骤2中，五元组信息中当目的端口为135并且会话在安全规则项中为允许通过，则OPC会话建立成功，记录相应日志，并将报文进行解析并自动通过后续OPC协议建立起的OPC数据通道，对OPC数据通道上的报文直接进行进一步解析处理；五元组信息对应的会话命中的安全规则当为阻断或者未命中安全规则，则会话建立失败，产生相应的安全事件。

3.根据权利要求1所述的智能学习并预置只读白名单规则的OPC协议安全防护方法，其特征在于，步骤4中，当监测防护设备处于学习模式下，则监测防护设备将解析出来的数据按照步骤9中的方式组织成相应的记录信息进行上报，记录信息将作为白名单规则学习生成的基础数据。

4.根据权利要求1所述的智能学习并预置只读白名单规则的OPC协议安全防护方法，其特征在于，步骤5中，能够手动编辑白名单规则并也能够在学习得到的白名单规则中直接添加规则。

5.根据权利要求1所述的智能学习并预置只读白名单规则的OPC协议安全防护方法，其特征在于，步骤6中，所述安全事件包括触发安全事件的时间信息、源设备信息、目的设备信息、OPC操作接口、OPC操作方法、OPC操作方法参数、OPC操作方法参数的具体数据。