CN110381062A - 工业互联网中信息交换安全装置 - Google Patents

工业互联网中信息交换安全装置 Download PDF

Info

Publication number
CN110381062A
CN110381062A CN201910659877.4A CN201910659877A CN110381062A CN 110381062 A CN110381062 A CN 110381062A CN 201910659877 A CN201910659877 A CN 201910659877A CN 110381062 A CN110381062 A CN 110381062A
Authority
CN
China
Prior art keywords
data packet
safety
label
information
industry internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910659877.4A
Other languages
English (en)
Other versions
CN110381062B (zh
Inventor
刘文波
付辉
王照平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yongbo Technology Co ltd
Original Assignee
Huanghe Science and Technology College
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huanghe Science and Technology College filed Critical Huanghe Science and Technology College
Priority to CN201910659877.4A priority Critical patent/CN110381062B/zh
Publication of CN110381062A publication Critical patent/CN110381062A/zh
Application granted granted Critical
Publication of CN110381062B publication Critical patent/CN110381062B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种工业互联网中信息交换安全装置。本发明包括在线安全库,用于存储历史的不安全信息的标记,并支持开源,支持存储任何认证的端口传送的工业互联网不安全信息标记,支持任何认证的端口访问存储信息;网路端检测单元,用于对每一个上传到网路的数据包进行检测,并且在检测时访问在线安全库查看该数据包是否包含在线安全库内不安全信息的标记。

Description

工业互联网中信息交换安全装置
技术领域
本发明属于信息网络领域装置,特别涉及一种工业互联网中信息交换安全装置。
背景技术
随着工业信息化的快速发展,工业化与信息化的融合越来越深入,两者的融合能提高生产效率、提高生产安全性、降低生产成本。工业互联网是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。工业互联网通过智能机器间的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力,让世界更美好、更快速、更安全、更清洁且更经济。传统工业互联网技术中缺少一种安全性高的信息交换安全装置。
发明内容
为了克服现有的技术存在的不足,本发明提供一种可以提高在线安全库自身的安全性,避免被黑客攻击的工业互联网中信息交换安全装置。
本发明解决其技术问题所采用的技术方案是:包括在线安全库,用于存储历史的不安全信息的标记,并支持开源,支持存储任何认证的端口传送的工业互联网不安全信息标记,支持任何认证的端口访问存储信息;
网路端检测单元,用于对每一个上传到网路的数据包进行检测,并且在检测时访问在线安全库查看该数据包是否包含在线安全库内不安全信息的标记;
网路端管理单元,用于当网路端检测单元检测到有数据包包含在线安全库内不安全信息的标记,则删除该数据包,并且向该数据包的路由目的发送一个警告的数据包;用于收集各认证端口上传的工业互联网不安全信息标记,并且将该工业互联网不安全信息标记传送给在线安全库,由在线安全库完成存储;在线安全库与网路检测单元连接,在线安全库也与网路端管理单元连接。
进一步,还还包括模拟单元,模拟单元与网路检测单元连接,模拟单元用于当网路端检测单元检测到有数据包包含在线安全库内不安全信息的标记时,则模拟该数据包的信令格式生成一个无意义的模拟数据包,并且按照原数据包的路由地址转发该模拟数据包,然后获取目的地的应答数据包,记录原数据包发送地址,并拦截原数据包发送地址的上传信息。
进一步,所述的在线安全库按照区块链的框架分布式分布在不同网域,不同物理地区。
进一步,网路端管理单元设置检测进程,用于检测每一个上传到网路的数据包。
进一步,还包括直接通信单元,直接通信单元连接认证端口和网路端管理单元,用于从认证端口获取待检测数据包,对所述待检测数据包进行检测,并将检测后的安全数据包发送至认证端口;还用于在检测出不安全信息标记后,向认证端口发送检测指示;所述直接通信单元在检测出不安全信息标记时,对扫描到的不安全信息标记可能造成的后果进行分析,并将分析结果通知认证端口所述直接通信单元还包括虚拟机,所述直接通信单元还用于从认证端口获取待检测数据包前,进行初始化操作启动所述虚拟机,在虚拟运行环境中对所述待检测数据包进行细化的检测。
进一步,还包括认证端口,网路端管理单元或网路端检测单元均与认证端口连接,认证端口用于接收所述直接通信单元检测后的安全数据包;还用于在收到所述检测指示后,删除全部待检测数据包,并根据分析结果对认证端口进行不安全信息标记感染处理,所述认证端口实时获取外部数据包,所述直接通信单元从所述认证端口实时获取认证端口实时更新的待检测数据包。
进一步,所所述的认证端口包括工业互联网生产终端端口、工业互联网智能运算终端端口。
本发明的有益效果是:
通过设置的在线安全库,用于存储历史的不安全信息的标记,并支持开源,并且主要存储工业互联网不安全信息标记,可以利用其在线的共享性、容量规模大等优势为诸多端口提供安全服务,解决传统的手段中本地化、信息容量小的问题;通过发送模拟数据包让不安全数据发送者误认为信息发送成功,并应答发送者,让发送者进行后续信息的发送,以此来截获后续的不安全信息,并可以通过对不安全信息的检测/研究来规避相关的风险;通过分布式存储在线安全库,实现去中心化提高在线安全库自身的安全性,避免被黑客攻击;通过虚拟机可以直接检测数据包的安全性,并可以得知不安全数据包的目的,更加丰富在线安全库的不安全信息标记;本申请利用上述多种具有创造性、新颖的技术手段明细提高工业互联网中信息交换安全性。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1是本发明实施例的框架图。
图2是本发明实施例中直接通信单元的框架图。
具体实施
具体实施中,工业互联网中信息交换安全装置一种实施例,如图1包括:在线安全库,用于存储历史的不安全信息的标记,并支持开源,支持存储任何认证的端口传送的工业互联网不安全信息标记,支持任何认证的端口访问存储信息;
网路端检测单元,用于对每一个上传到网路的数据包进行检测,并且在检测时访问在线安全库查看该数据包是否包含在线安全库内不安全信息的标记;
网路端管理单元,用于当网路端检测单元检测到有数据包包含在线安全库内不安全信息的标记,则删除该数据包,并且向该数据包的路由目的发送一个警告的数据包;用于收集各认证端口上传的工业互联网不安全信息标记,并且将该工业互联网不安全信息标记传送给在线安全库,由在线安全库完成存储;在线安全库与网路检测单元连接,在线安全库也与网路端管理单元连接;在线安全库,用于存储历史的不安全信息的标记,并支持开源,并且主要存储工业互联网不安全信息标记,可以利用其在线的共享性、容量规模大等优势为诸多端口提供安全服务,解决传统的手段中本地化、信息容量小的问题;具体实施中所述的网路端管理单元和网路端检测单元是设置在路由器或交换机的硬件单元,当然也可以是软件单元。
如图1,工业互联网中信息交换安全装置还包括模拟单元,模拟单元与网路检测单元连接,模拟单元用于当网路端检测单元检测到有数据包包含在线安全库内不安全信息的标记时,则模拟该数据包的信令格式生成一个无意义的模拟数据包,并且按照原数据包的路由地址转发该模拟数据包,然后获取目的地的应答数据包,记录原数据包发送地址,并拦截原数据包发送地址的上传信息;模拟单元,通过发送模拟数据包让不安全数据发送者误认为信息发送成功,并应答发送者,让发送者进行后续信息的发送,以此来截获后续的不安全信息,并可以通过对不安全信息的检测/研究来规避相关的风险;具体实施中所述的括模拟单元是设置在路由器或交换机的硬件单元,当然也可以是软件单元。
所述的在线安全库按照区块链的框架分布式分布在不同网域,不同物理地区;通过分布式存储,实现去中心化提高在线安全库自身的安全性,避免被黑客攻击,具体实施时在线安全库可以布置为在线服务器,可以通过常规通信协议访问;
网路端管理单元设置检测进程,用于检测每一个上传到网路的数据包;当检测到数据包上传到网路上时,对每一个上传到网路的数据包进行检测,并且在检测时访问在线安全库查看该数据包是否包含在线安全库内不安全信息的标记;当网路端检测单元检测到有数据包包含在线安全库内不安全信息的标记,则删除该数据包,并且向该数据包的路由目的发送一个警告的数据包;同时,启动网路的杀毒程序对数据包进行查杀病毒;若有毒则删除上传的数据包,若无毒则执行下一步;
工业互联网中信息交换安全装置还包括:直接通信单元,直接通信单元连接认证端口和网路端管理单元,用于从认证端口获取待检测数据包,对所述待检测数据包进行检测,并将检测后的安全数据包发送至认证端口;还用于在检测出不安全信息标记后,向认证端口发送检测指示;所述直接通信单元在检测出不安全信息标记时,对扫描到的不安全信息标记可能造成的后果进行分析,并将分析结果通知认证端口;
如图2,所述直接通信单元还包括虚拟机,所述直接通信单元还用于从认证端口获取待检测数据包前,进行初始化操作启动所述虚拟机,在虚拟运行环境中对所述待检测数据包进行细化的检测;通过所述的虚拟机可以直接检测数据包的安全性,并可以得知不安全数据包的目的,更加丰富在线安全库的不安全信息标记。
本申请实施例还包括认证端口,网路端管理单元或网路端检测单元均与认证端口连接,认证端口用于接收所述直接通信单元检测后的安全数据包;还用于在收到所述检测指示后,删除全部待检测数据包,并根据分析结果对认证端口进行不安全信息标记感染处理,所述认证端口实时获取外部数据包,所述直接通信单元从所述认证端口实时获取认证端口实时更新的待检测数据包;
所述的认证端口包括工业互联网生产终端端口、工业互联网智能运算终端端口;(实施中,直接通信单元进行初始化操作,启动虚拟机,从认证端口获取待检测数据包,在虚拟运行环境中对所述待检测数据包进行检测,对所述待检测数据包进行检测后,将检测后的安全数据包发送至所述认证端口;所述直接通信单元在检测出不安全信息标记后,向所述认证端口发送检测指示,所述认证端口删除全部待检测数据包;所述直接通信单元在检测出不安全信息标记时,对扫描到的不安全信息标记可能造成的后果进行分析,并将分析结果通知认证端口。
本领域普通技术人员可以理解实现上述实施例各个单元的实施运算是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等等。
由技术常识可知,本发明可以通过其它的不脱离其精神实质或必要特征的实施方案来实现。上述公开的实施方案,就各方面而言,都只是举例说明,并不是仅有的。所有在本发明范围内或在等同于本发明的范围内的改变均被本发明包含。

Claims (7)

1.一种工业互联网中信息交换安全装置,其特征在于,包括在线安全库,用于存储历史的不安全信息的标记,并支持开源,支持存储任何认证的端口传送的工业互联网不安全信息标记,支持任何认证的端口访问存储信息;
网路端检测单元,用于对每一个上传到网路的数据包进行检测,并且在检测时访问在线安全库查看该数据包是否包含在线安全库内不安全信息的标记;
网路端管理单元,用于当网路端检测单元检测到有数据包包含在线安全库内不安全信息的标记,则删除该数据包,并且向该数据包的路由目的发送一个警告的数据包;用于收集各认证端口上传的工业互联网不安全信息标记,并且将该工业互联网不安全信息标记传送给在线安全库,由在线安全库完成存储;在线安全库与网路检测单元连接,在线安全库也与网路端管理单元连接。
2.根据权利要求1所述的工业互联网中信息交换安全装置,其特征在于,还包括模拟单元,模拟单元与网路检测单元连接,模拟单元用于当网路端检测单元检测到有数据包包含在线安全库内不安全信息的标记时,则模拟该数据包的信令格式生成一个无意义的模拟数据包,并且按照原数据包的路由地址转发该模拟数据包,然后获取目的地的应答数据包,记录原数据包发送地址,并拦截原数据包发送地址的上传信息。
3.根据权利要求1所述的工业互联网中信息交换安全装置,其特征在于,所述的在线安全库按照区块链的框架分布式分布在不同网域,不同物理地区。
4.根据权利要求1所述的工业互联网中信息交换安全装置,其特征在于,网路端管理单元设置检测进程,用于检测每一个上传到网路的数据包。
5.根据权利要求1所述的工业互联网中信息交换安全装置,其特征在于,还包括直接通信单元,直接通信单元连接认证端口和网路端管理单元,用于从认证端口获取待检测数据包,对所述待检测数据包进行检测,并将检测后的安全数据包发送至认证端口;还用于在检测出不安全信息标记后,向认证端口发送检测指示;所述直接通信单元在检测出不安全信息标记时,对扫描到的不安全信息标记可能造成的后果进行分析,并将分析结果通知认证端口所述直接通信单元还包括虚拟机,所述直接通信单元还用于从认证端口获取待检测数据包前,进行初始化操作启动所述虚拟机,在虚拟运行环境中对所述待检测数据包进行细化的检测。
6.根据权利要求1所述的工业互联网中信息交换安全装置,其特征在于,还包括认证端口,网路端管理单元或网路端检测单元均与认证端口连接,认证端口用于接收所述直接通信单元检测后的安全数据包;还用于在收到所述检测指示后,删除全部待检测数据包,并根据分析结果对认证端口进行不安全信息标记感染处理,所述认证端口实时获取外部数据包,所述直接通信单元从所述认证端口实时获取认证端口实时更新的待检测数据包。
7.根据权利要求6所述的工业互联网中信息交换安全装置,其特征在于,所述的认证端口包括工业互联网生产终端端口、工业互联网智能运算终端端口。
CN201910659877.4A 2019-07-22 2019-07-22 工业互联网中信息交换安全装置 Active CN110381062B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910659877.4A CN110381062B (zh) 2019-07-22 2019-07-22 工业互联网中信息交换安全装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910659877.4A CN110381062B (zh) 2019-07-22 2019-07-22 工业互联网中信息交换安全装置

Publications (2)

Publication Number Publication Date
CN110381062A true CN110381062A (zh) 2019-10-25
CN110381062B CN110381062B (zh) 2021-12-21

Family

ID=68254637

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910659877.4A Active CN110381062B (zh) 2019-07-22 2019-07-22 工业互联网中信息交换安全装置

Country Status (1)

Country Link
CN (1) CN110381062B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103716313A (zh) * 2013-12-24 2014-04-09 中国科学院信息工程研究所 一种用户隐私信息保护方法及系统
CN103944915A (zh) * 2014-04-29 2014-07-23 浙江大学 一种工业控制系统威胁检测防御装置、系统及方法
US20160285846A1 (en) * 2015-03-27 2016-09-29 Nec Corporation Network authentication system, network authentication method and network authentication server
CN106559395A (zh) * 2015-09-29 2017-04-05 北京东土军悦科技有限公司 一种基于工业网络的数据报文检测方法及装置
CN107040459A (zh) * 2017-03-27 2017-08-11 高岩 一种智能工业安全云网关设备系统和方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103716313A (zh) * 2013-12-24 2014-04-09 中国科学院信息工程研究所 一种用户隐私信息保护方法及系统
CN103944915A (zh) * 2014-04-29 2014-07-23 浙江大学 一种工业控制系统威胁检测防御装置、系统及方法
US20160285846A1 (en) * 2015-03-27 2016-09-29 Nec Corporation Network authentication system, network authentication method and network authentication server
CN106559395A (zh) * 2015-09-29 2017-04-05 北京东土军悦科技有限公司 一种基于工业网络的数据报文检测方法及装置
CN107040459A (zh) * 2017-03-27 2017-08-11 高岩 一种智能工业安全云网关设备系统和方法

Also Published As

Publication number Publication date
CN110381062B (zh) 2021-12-21

Similar Documents

Publication Publication Date Title
Booij et al. ToN_IoT: The role of heterogeneity and the need for standardization of features and attack types in IoT network intrusion data sets
Koroniotis et al. Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset
CN105493060B (zh) 蜜端主动网络安全
US11038906B1 (en) Network threat validation and monitoring
CN101447898B (zh) 一种用于网络安全产品的测试系统及测试方法
CN105681250B (zh) 一种僵尸网络分布式实时检测方法和系统
CN112383538B (zh) 一种混合式高交互工业蜜罐系统及方法
Urias et al. Supervisory Command and Data Acquisition (SCADA) system cyber security analysis using a live, virtual, and constructive (LVC) testbed
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
CN109802924A (zh) 一种识别加密数据流的方法及装置
CN107347047A (zh) 攻击防护方法和装置
CN108900527A (zh) 一种安全配置核查系统
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与系统
CN108737385A (zh) 一种基于dns映射ip的恶意域名匹配方法
CN108600260A (zh) 一种工业物联网安全配置核查方法
CN112822151A (zh) 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统
CN112688932A (zh) 蜜罐生成方法、装置、设备及计算机可读存储介质
CN113111951A (zh) 数据处理方法以及装置
CN113438332B (zh) 一种DoH服务标识方法及装置
Waagsnes et al. Intrusion Detection System Test Framework for SCADA Systems.
Lucchese et al. HoneyICS: A High-interaction Physics-aware Honeynet for Industrial Control Systems
Banik et al. Implementing man-in-the-middle attack to investigate network vulnerabilities in smart grid test-bed
CN117061256A (zh) 基于动态蜜罐的网络安全系统及方法
CN110381062A (zh) 工业互联网中信息交换安全装置
CN113726809B (zh) 基于流量数据的物联网设备识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20221222

Address after: 207-33, 207-34, Floor 2, Building 1, Zhenghang Science Park, No. 7, South University Road, Changjiang Road Street, Erqi District, Zhengzhou City, Henan Province, 450,000

Patentee after: Henan Suqi Information Technology Co.,Ltd.

Address before: 450000 Lian Yun Road, 27 District, Zhengzhou, Henan Province, No. 123

Patentee before: HUANGHE S & T College

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240403

Address after: 101200 room 205-211526, No. 40, Fuqian West Street, Pinggu town, Pinggu District, Beijing (cluster registration)

Patentee after: BEIJING YONGBO TECHNOLOGY CO.,LTD.

Country or region after: China

Address before: 207-33, 207-34, Floor 2, Building 1, Zhenghang Science Park, No. 7, South University Road, Changjiang Road Street, Erqi District, Zhengzhou City, Henan Province, 450,000

Patentee before: Henan Suqi Information Technology Co.,Ltd.

Country or region before: China