CN110430187A - 工控系统中的通信报文安全审计方法 - Google Patents
工控系统中的通信报文安全审计方法 Download PDFInfo
- Publication number
- CN110430187A CN110430187A CN201910707749.2A CN201910707749A CN110430187A CN 110430187 A CN110430187 A CN 110430187A CN 201910707749 A CN201910707749 A CN 201910707749A CN 110430187 A CN110430187 A CN 110430187A
- Authority
- CN
- China
- Prior art keywords
- message
- present communications
- matched
- protocol
- communications message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本申请公开一种工控系统中的通信报文安全审计方法,包括:预先通过安全运维管理平台发布配置有组态软件的操作机;当监测到操作人员对所述组态软件的操作时,获取所述操作机的当前通信报文;对所述当前通信报文进行协议解析并生成待匹配数据序列;根据预设规则库匹配所述待匹配数据序列,以确定所述当前通信报文是否安全。通过对监测操作人员对组态软件的操作,并根据所产生的通信报文获得待匹配数据序列,进而将待匹配数据序列与规则库中数据进行匹配的方式,实现了对工控系统的安全性的审计。
Description
技术领域
本申请涉及工业控制技术领域,尤其涉及一种工控系统中的通信报文安全审计方法。
背景技术
随着工业领域信息化进程的不断深入,各企业的工控系统变得日益复杂,不同背景的操作人员违规操作导致的安全问题变得日益突出起来,主要表现在:内部人员操作的安全隐患、第三方维护人员安全隐患、违规行为无法控制的风险等。一旦操作出现安全问题,将为企业带来巨大的损失。因此加强对终端操作人员的操作监管、操作审计、事前严格控制,才能从源头解决问题。传统的安全运维管理不考虑工控系统下的组态软件的操作监管与审计,因此其无法满足工控系统的安全与审计要求。
发明内容
本申请实施例提供一种工控系统中的通信报文安全审计方法,用于至少解决上述技术问题之一。
第一方面,本申请实施例提供一种工控系统中的通信报文安全审计方法,包括:
预先通过安全运维管理平台发布配置有组态软件的操作机;
当监测到操作人员对所述组态软件的操作时,获取所述操作机的当前通信报文;
对所述当前通信报文进行协议解析并生成待匹配数据序列;
根据预设规则库匹配所述待匹配数据序列,以确定所述当前通信报文是否安全。
在一些实施例中,所述对所述当前通信报文进行协议解析并生成待匹配数据序列包括:
查找是否存在对应于所述当前通信报文的session信息;
若否,则新创建对应于所述当前通信报文的session信息;
若是,则查询所述session信息是否已经识别所述当前通信报文的通信协议;
当查询结果为肯定时,采用对应于所识别的通信协议的协议处理插件对所述当前通信报文进行解析并生成待匹配数据序列。
在一些实施例中,当所述查询结果为否定时,所述对所述当前通信报文进行协议解析并生成待匹配数据序列包括:
根据所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议;
采用对应于所确定的通信协议的协议处理插件对所述当前通信报文进行解析并生成待匹配数据序列。
在一些实施例中,在所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议之后还包括:更新对应于所述当前通信报文的session信息,以表明所述当前通信报文的通信协议已被识别。
在一些实施例中,所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议包括:
根据所述目的端口判断所述当前通信报文是否为常规端口报文;
若是,则根据所述常规端口报文确定对应于所述当前通信报文的通信协议;
若否,则将所述预设工业协议特征码与预设工业协议特征库中的信息进行比对,以确定对应于所述当前通信报文的通信协议。
在一些实施例中,所述根据预设规则库匹配所述待匹配数据序列,以确定所述当前通信报文是否安全包括:
A、根据一级规则表对所述待匹配数据序列进行顺序匹配,如果没有匹配任意的一级规则,跳转到步骤E,否则进入步骤B;
B、进入白名单匹配,如果存在白名单且待匹配协议序列完全匹配白名单中的某个二级规则,则放行,跳转到步骤F,否则进入步骤C;
C、如果该一级规则存在黑名单且匹配黑名单中的某个二级规则,则执行session阻断或报文阻断并跳转到步骤F。否则进入步骤D;
D、执行默认规则,并跳转到序号步骤F;
E、所有一级规则未匹配则执行默认规则;
F、记录日志。
第二方面,本申请实施例提供一种存储介质,所述存储介质中存储有一个或多个包括执行指令的程序,所述执行指令能够被电子设备(包括但不限于计算机,服务器,或者网络设备等)读取并执行,以用于执行本申请上述任一项工控系统中的通信报文安全审计方法。
第三方面,提供一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请上述任一项工控系统中的通信报文安全审计方法。
第四方面,本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述任一项工控系统中的通信报文安全审计方法。
本申请实施例的有益效果在于:通过对监测操作人员对组态软件的操作,并根据所产生的通信报文获得待匹配数据序列,进而将待匹配数据序列与规则库中数据进行匹配的方式,实现了对工控系统的安全性的审计。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请的工控系统中的通信报文安全审计方法的一实施例的流程图;
图2为本申请的工控系统中的通信报文安全审计方法的另一实施例的流程图;
图3为本申请中的工控系统中的通信报文安全审计方法中实现报文解析的一实施例的流程图;
图4为本申请的工控系统中的通信报文安全审计方法中实现业务规则控制的一实施例的流程图;
图5为本申请的电子设备的一实施例的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
在本申请中,“模块”、“装置”、“系统”等指应用于计算机的相关实体,如硬件、硬件和软件的组合、软件或执行中的软件等。详细地说,例如,元件可以、但不限于是运行于处理器的过程、处理器、对象、可执行元件、执行线程、程序和/或计算机。还有,运行于服务器上的应用程序或脚本程序、服务器都可以是元件。一个或多个元件可在执行的过程和/或线程中,并且元件可以在一台计算机上本地化和/或分布在两台或多台计算机之间,并可以由各种计算机可读介质运行。元件还可以根据具有一个或多个数据包的信号,例如,来自一个与本地系统、分布式系统中另一元件交互的,和/或在因特网的网络通过信号与其它系统交互的数据的信号通过本地和/或远程过程来进行通信。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”,不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
如图1所示,为本发明的工控系统中的通信报文安全审计方法的一个实施例的流程图,该方法包括:
S10、预先通过安全运维管理平台发布配置有组态软件的操作机;
S20、当监测到操作人员对所述组态软件的操作时,获取所述操作机的当前通信报文;
S30、对所述当前通信报文进行协议解析并生成待匹配数据序列;
示例性地,步骤S30包括:查找是否存在对应于所述当前通信报文的session信息;若否,则新创建对应于所述当前通信报文的session信息;若是,则查询所述session信息是否已经识别所述当前通信报文的通信协议。
当查询结果为肯定时,采用对应于所识别的通信协议的协议处理插件对所述当前通信报文进行解析并生成待匹配数据序列。
当所述查询结果为否定时,所述对所述当前通信报文进行协议解析并生成待匹配数据序列包括:根据所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议;采用对应于所确定的通信协议的协议处理插件对所述当前通信报文进行解析并生成待匹配数据序列。
S40、根据预设规则库匹配所述待匹配数据序列,以确定所述当前通信报文是否安全。
本实施例中通过对监测操作人员对组态软件的操作,并根据所产生的通信报文获得待匹配数据序列,进而将待匹配数据序列与规则库中数据进行匹配的方式,实现了对工控系统的安全性的审计。
本发明实施例公开了一种将传统安全运维管理技术与工业协议转换技术进行融合,实现工业控制系统中对组态软件的安全操作与审计。
一、通过安全运维管理平台管理和发布装有组态软件的操作机,当操作人员登陆到操作机后开启对该机器的屏幕录制,记录操作人员的操作行为,以用于事后进行回放实现审计。
示例性地,组态软件,又称组态监控系统软件,是指数据采集与过程控制的专用软件,也是指在自动控制系统监控层一级的软件平台和开发环境。国内的组态软件有:力控、组态王、通态等。操作机指的是安装组态软件的实体机或虚拟机,是装有操作系统和组态软件的pc机。
二、安全运维管理平台集成工业协议深度解析应用程序,根据工业协议识别出业务行为,对业务行为进行控制和记录。
在一些实施例中,在所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议之后还包括:更新对应于所述当前通信报文的session信息,以表明所述当前通信报文的通信协议已被识别。
在一些实施例中,所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议包括:
根据所述目的端口判断所述当前通信报文是否为常规端口报文;
若是,则根据所述常规端口报文确定对应于所述当前通信报文的通信协议;
若否,则将所述预设工业协议特征码与预设工业协议特征库中的信息进行比对,以确定对应于所述当前通信报文的通信协议。
在一些实施例中,本发明的工控系统中的通信报文安全审计方法还包括:当检测到所述操作机被远程登录之后,对所述操作机进行录屏,以记录操作人员在所述操作机上对所述组态软件所进行的操作。
工业协议识别:集成多种工业协议识别插件,以“端口+特征”的方式识别出特定的工业协议;以session为基础,分析出网络报文的业务行为,组合生成待匹配业务序列并绑定到session中,供后续处理。
示例性地,要分析报文的业务行为,首先是识别特定工控协议,再根据各工控协议规则转换报文数据。
解析得到的数据根据具体协议而定,比如,modbus协议可以解析出功能码、寄存器、读写值。而opc协议可以解析出item、方法名、读写值等。
待匹配业务序列:如果单个报文中解析出多种数据参数,则需要以序列的方式与规则进行逐个比对。也可能根据多个报文解析出多个数据组合与规则进行匹配。
工业协议识别插件负责各工业协议深度解析,包括解析功能码、寄存器、读写权限、工艺参数等。同时对以动态端口方式工作的协议(如opc),将其下层的多个session在逻辑上进行关联,便于还原完整的业务行为。
示例性地,ftp、h323、opc等协议都使用动态端口。所谓动态端口就是在通信双方会话期间通过协商新的端口进行数据传输。将这些协商的新会话与原始会话进行关联,才能更完整的还原通信行为。
目前的计算机网络通信主要使用了tcp/ip分层模型。这里的下层是指工业协议的下一层传输层,一般是tcp协议等。
因为session在tcp层是相互独立的,如果协议使用了动态端口,则需要在程序内部将多个session进行关联,内部数据结构是一个主session下包含N个子session,所有子session解析出的数据归属于主session。
由于下层各session是独立的,而上层协议只是使用了动态端口的技术,在协议解析时,将这些session逻辑关联为一个整体,可以尽可能地还原上层协议的数据。
·DPI:是一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。
·session:网络应用中,称为“会话”。使通信双方处在相同的上下文中。通常指传输层session,某些应用层协议实现了自己的session。
·端口:以通信发起方的目的端口做为特定协议处理插件的入口。
·特征:以一组预定义的工业协议特征码,对非常规端口的报文进行协议识别,识别后再交由特定协议处理插件进行后续处理。
示例性地,rfc1700文档定义了tcp/udp协议各端口的描述,说明了应用层协议所使用的特定端口号,如http协议使用80端口,https使用443端口等。这些预定义的端口为常规端口。但实际应用中,很多应用可以修改这些默认端口,使用非预定义的端口称为非常规端口。对于这些非常规端口则不能在简单的依据端口来识别协议了,需要协议特征码来识别协议。
“非常规端口”无法事先确定,只能通过协议特征码进行来比对出特定的协议。当出现非常规端口报文时,需要逐个与特征库中的特征码进行比对,才能最终确定通信中使用的协议。
对非常规端口的报文进行协议识别的方法可以为:下文提到通过对session报文的前10-20个报文进行协议特征库匹配。
·待匹配业务序列:由协议解析处理插件生成,用于后续业务行为匹配和控制。
业务行为控制:采用分级管理的黑白名单机制。一级规则定义了设备之间的通信行为。二级规则定义了具体的业务行为。同时引入黑白名单机制,可以对业务行为进行分类。使用该机制可以满足不同用户的需求配置,同时使用分级的黑白名单匹配可以将大量正常业务加入白名单可以提高匹配效率,降低系统延时,减少对正常业务的影响。
·五元组:通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议。
·一级规则:一般是五元组。按定义规则的先后顺序进行匹配,若匹配则进行该规则下的黑白名单匹配。
·二级规则:包含了一系列工业协议的业务(包括对读写权限、工艺参数、功能码、寄存器的控制等)控制规则。
·黑名单:每条一级规则都包含一个黑名单表,动作为阻断报文。每个黑名单表中包含N条二级规则用于具体的行为匹配。
·白名单:每条一级规则都包含一个白名单表,动作为放行报文。而每个白名单表中包含N条二级规则用于具体的行为匹配。
·默认规则:可配置为阻断或放行操作。每个一级规则都有一个默认规则,用于黑白名单未匹配时执行的操作。默认规则也作为一个特殊的一级规则,当所有一级规则未匹配时,执行的默认规则。
在一些实施例中,本发明的工控系统中的通信报文安全审计方法流程如下:
1、工业安全运维管理平台发布装有组态软件的操作机,终端操作人员以远程桌面的方式登陆到操作机器,操作组态软件。安全运维管理平台开始对操作机器进行屏幕录制,并记录日志(见图2)。
2、操作员开始操作组态软件,操作机开始接收或发送通信报文。
3、工控协议识别程序以包驱动方式工作,对出入操作机的报文进行深度协议解析。根据端口或特征解析出特定工业协议参数,以session为基础,将解析数据转换为待匹配数据序列,并进入业务行为控制阶段(见图3)。
·3-A:监控程序等待操作机报文到达,报文到达则进入3-B。
·3-B:查找报文session信息。未找到则创建session。查看session是否标记协议已被识别,是则选取协议处理程序并跳转到3-E。否则,进入3-C。
·3-C:判断报文目的端口是否是常规端口报文。是则根据端口选择特定的协议处理插件,跳转到3-E。否则进入3-D。示例性地,报文目的端口是tcp/ip五层模型中传输层所使用的端口,此处协议解析插件工作在传输层协议被解析之后,因此在对报文进行协议解析前已经完成对传输层的数据解析,其中提到的session也是在解析传输层阶段生成的。
·3-D:是否存在工业协议特征库(存储有工业协议特征码),是则对报文进行特征比对(为提高报文处理效率,特征识别仅对每个session的前10-20个有效报文进行特征比对),识别出协议后选择协议处理插件,若不存在特征库或特征未识别则选择未识别协议处理插件。最后跳转到3-E。
示例性地,确定一种协议可能需要根据通信过程中出现的多个特征来确定。对多个报文进行特征比对是为了提高识别率。
而本申请实施例中选择选前10-20个报文进行特征比对的原因在于,在某网络中,出现了大量程序不支持的协议,且值比较大那么程序将非常低效,可能会增加网络的延迟,甚至丢包等异常问题。此时选择前10-20个报文进行特征比对,即满足了对识别率的要求,也在一定程度上保证了识别效率,避免了网络延迟、丢包等问题。
示例性地,未识别协议处理插件也是插件,但是其只处理标记为未识别协议的会话报文。可认为协议未被识别是通用协议处理插件。
所有被程序支持的工业协议均有对应的协议处理插件。当通信报文经过端口+特征处理后,仍未识别出协议,将使用未识别协议处理插件来处理,这样该session的后续报文就不进行协议识别了,直接使用未识别协议来处理。其实,还是为了增加程序的效率。
·3-E:已进入某协议处理插件。根据特定协议解析出数据,并转化为特定的业务行为。准备进入业务行为控制阶段。
4、业务行为控制阶段(见图4)。
·4-A:首先根据一级规则表进行顺序匹配,如果没有匹配任意的一级规则,跳转到序号4-E,否则进入下一步操作。
示例性地,一级规则匹配是根据报文的五元组信息进行匹配。如解析出报文的源目的ip地址、端口号及应用层协议,逐个与一个规则进行比对。
·4-B:进入白名单匹配。如果存在白名单且待匹配协议序列完全匹配白名单中的某个二级规则,则放行,跳转到序号4-F。否则进入下一步操作。
示例性地,当匹配了一级规则后,进入一级规则下的黑白名单匹配。白名单包含了合法二级规则,黑名单包含了非法二级规则。匹配白名单规则则放行,匹配黑名单规则则阻断。比如说:某白名单中定义了二级规则“设备电压需要在110~120V之间”,若待匹配序列参数中电压值符合该范围,则报文放行。
·4-C:进入黑名单匹配。如果该一级规则存在黑名单且匹配黑名单中的某个二级规则,则执行session阻断或报文阻断并跳转到序号4-F。否则进入下一步操作。其中,“该一级规则”指是4-A中匹配的一级规则,4-B、4-C和4-D都是在匹配了某条一级规则后按顺序进行匹配的。
·4-D:执行默认规则(阻断或放行))并跳转到序号4-F。
·4-E:所有一级规则未匹配则执行特殊的一级规则(默认规则),阻断或放行。
·4-F:操作行为记录日志。
·4-G:跳转到流程序号3,继续监视操作机的出入报文。
5、操作员结束操作并退出远程桌面,停止屏幕录制功能。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作合并,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在一些实施例中,本申请实施例提供一种非易失性计算机可读存储介质,所述存储介质中存储有一个或多个包括执行指令的程序,所述执行指令能够被电子设备(包括但不限于计算机,服务器,或者网络设备等)读取并执行,以用于执行本申请上述任一项工控系统中的通信报文安全审计方法。
在一些实施例中,本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述任一项工控系统中的通信报文安全审计方法。
在一些实施例中,本申请实施例还提供一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行工控系统中的通信报文安全审计方法。
在一些实施例中,本申请实施例还提供一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现工控系统中的通信报文安全审计方法。
图5是本申请另一实施例提供的执行工控系统中的通信报文安全审计方法的电子设备的硬件结构示意图,如图5所示,该设备包括:
一个或多个处理器510以及存储器520,图5中以一个处理器510为例。
执行工控系统中的通信报文安全审计方法的设备还可以包括:输入装置530和输出装置540。
处理器510、存储器520、输入装置530和输出装置540可以通过总线或者其他方式连接,图5中以通过总线连接为例。
存储器520作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的工控系统中的通信报文安全审计方法对应的程序指令/模块。处理器510通过运行存储在存储器520中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例工控系统中的通信报文安全审计方法。
存储器520可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据工控系统中的通信报文安全审计装置的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器520可选包括相对于处理器510远程设置的存储器,这些远程存储器可以通过网络连接至工控系统中的通信报文安全审计装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置530可接收输入的数字或字符信息,以及产生与工控系统中的通信报文安全审计装置的用户设置以及功能控制有关的信号。输出装置540可包括显示屏等显示设备。
所述一个或者多个模块存储在所述存储器520中,当被所述一个或者多个处理器510执行时,执行上述任意方法实施例中的工控系统中的通信报文安全审计方法。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
本申请实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (9)
1.一种工控系统中的通信报文安全审计方法,包括:
预先通过安全运维管理平台发布配置有组态软件的操作机;
当监测到操作人员对所述组态软件的操作时,获取所述操作机的当前通信报文;
对所述当前通信报文进行协议解析并生成待匹配数据序列;
根据预设规则库匹配所述待匹配数据序列,以确定所述当前通信报文是否安全。
2.根据权利要求1所述的方法,其中,所述对所述当前通信报文进行协议解析并生成待匹配数据序列包括:
查找是否存在对应于所述当前通信报文的session信息;
若否,则新创建对应于所述当前通信报文的session信息;
若是,则查询所述session信息是否已经识别所述当前通信报文的通信协议;
当查询结果为肯定时,采用对应于所识别的通信协议的协议处理插件对所述当前通信报文进行解析并生成待匹配数据序列。
3.根据权利要求2所述的方法,其中,当所述查询结果为否定时,所述对所述当前通信报文进行协议解析并生成待匹配数据序列包括:
根据所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议;
采用对应于所确定的通信协议的协议处理插件对所述当前通信报文进行解析并生成待匹配数据序列。
4.根据权利要求3所述的方法,其中,在所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议之后还包括:更新对应于所述当前通信报文的session信息,以表明所述当前通信报文的通信协议已被识别。
5.根据权利要求3所述的方法,其中,所述当前通信报文的目的端口和预设工业协议特征码确定对应于所述当前通信报文的通信协议包括:
根据所述目的端口判断所述当前通信报文是否为常规端口报文;
若是,则根据所述常规端口报文确定对应于所述当前通信报文的通信协议;
若否,则将所述预设工业协议特征码与预设工业协议特征库中的信息进行比对,以确定对应于所述当前通信报文的通信协议。
6.根据权利要求1所述的方法,其中,所述根据预设规则库匹配所述待匹配数据序列,以确定所述当前通信报文是否安全包括:
A、根据一级规则表对所述待匹配数据序列进行顺序匹配,如果没有匹配任意的一级规则,跳转到步骤E,否则进入步骤B;
B、进入白名单匹配,如果存在白名单且所述待匹配数据序列完全匹配白名单中的某个二级规则,则放行,跳转到步骤F,否则进入步骤C;
C、如果步骤A中所匹配到的一级规则存在黑名单中,且匹配黑名单中的某个二级规则,则执行session阻断或报文阻断并跳转到步骤F。否则进入步骤D;
D、执行默认规则,并跳转到步骤F;
E、所有一级规则未匹配,则执行默认规则;
F、记录日志。
7.根据权利要求1所述的方法,其中,还包括:
当检测到所述操作机被远程登录之后,对所述操作机进行录屏,以记录操作人员在所述操作机上对所述组态软件所进行的操作。
8.一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任意一项所述方法的步骤。
9.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910707749.2A CN110430187B (zh) | 2019-08-01 | 2019-08-01 | 工控系统中的通信报文安全审计方法、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910707749.2A CN110430187B (zh) | 2019-08-01 | 2019-08-01 | 工控系统中的通信报文安全审计方法、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110430187A true CN110430187A (zh) | 2019-11-08 |
| CN110430187B CN110430187B (zh) | 2021-07-06 |
Family
ID=68412174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910707749.2A Active CN110430187B (zh) | 2019-08-01 | 2019-08-01 | 工控系统中的通信报文安全审计方法、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110430187B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
| CN112165463A (zh) * | 2020-09-14 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 审计数据的生成方法、装置、设备和计算机可读存储介质 |
| CN112272184A (zh) * | 2020-10-29 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN113965414A (zh) * | 2021-11-25 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络监控方法、装置、电子设备和存储介质 |
| CN114006819A (zh) * | 2021-11-03 | 2022-02-01 | 北京天融信网络安全技术有限公司 | 一种检测策略生成及装置、数据传输方法及装置 |
| CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012171166A1 (zh) * | 2011-06-13 | 2012-12-20 | 华为技术有限公司 | 协议解析方法及装置 |
| CN106651183A (zh) * | 2016-12-26 | 2017-05-10 | 英赛克科技(北京)有限公司 | 工控系统的通信数据安全审计方法及装置 |
| CN107332859A (zh) * | 2017-08-07 | 2017-11-07 | 浙江国利信安科技有限公司 | 一种工业控制系统风险识别方法及装置 |
| CN109600258A (zh) * | 2018-12-10 | 2019-04-09 | 英赛克科技(北京)有限公司 | 工业协议报文记录装置及方法 |
-
2019
- 2019-08-01 CN CN201910707749.2A patent/CN110430187B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012171166A1 (zh) * | 2011-06-13 | 2012-12-20 | 华为技术有限公司 | 协议解析方法及装置 |
| CN106651183A (zh) * | 2016-12-26 | 2017-05-10 | 英赛克科技(北京)有限公司 | 工控系统的通信数据安全审计方法及装置 |
| CN107332859A (zh) * | 2017-08-07 | 2017-11-07 | 浙江国利信安科技有限公司 | 一种工业控制系统风险识别方法及装置 |
| CN109600258A (zh) * | 2018-12-10 | 2019-04-09 | 英赛克科技(北京)有限公司 | 工业协议报文记录装置及方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN112039916A (zh) * | 2020-09-07 | 2020-12-04 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
| CN112165463A (zh) * | 2020-09-14 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 审计数据的生成方法、装置、设备和计算机可读存储介质 |
| CN112272184A (zh) * | 2020-10-29 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
| CN112272184B (zh) * | 2020-10-29 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
| CN113691561A (zh) * | 2021-09-07 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN113691561B (zh) * | 2021-09-07 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种通信数据的审计方法和装置 |
| CN114006819A (zh) * | 2021-11-03 | 2022-02-01 | 北京天融信网络安全技术有限公司 | 一种检测策略生成及装置、数据传输方法及装置 |
| CN113965414A (zh) * | 2021-11-25 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络监控方法、装置、电子设备和存储介质 |
| CN113965414B (zh) * | 2021-11-25 | 2023-10-13 | 北京天融信网络安全技术有限公司 | 一种网络监控方法、装置、电子设备和存储介质 |
| CN114745176A (zh) * | 2022-04-11 | 2022-07-12 | 中国南方电网有限责任公司 | 数据传输控制方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110430187B (zh) | 2021-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110430187A (zh) | 工控系统中的通信报文安全审计方法 | |
| US10944820B2 (en) | System and method for secure deployment and information mobility | |
| US11374955B2 (en) | Apparatus having engine using artificial intelligence for detecting anomalies in a computer network | |
| US10205637B2 (en) | Impact analyzer for a computer network | |
| Bossert et al. | Towards automated protocol reverse engineering using semantic information | |
| US20150281163A1 (en) | User recommendations in a social media network | |
| CN109246027B (zh) | 一种网络维护的方法、装置和终端设备 | |
| CN104462113A (zh) | 搜索方法、装置及电子设备 | |
| CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
| CN106375458A (zh) | 服务调用系统、方法及装置 | |
| CN107920094A (zh) | 数据获取方法、装置、服务器及网络设备 | |
| CN101938382A (zh) | 审计特征的检测方法及用户行为审计系统 | |
| CN104219221A (zh) | 一种网络安全流量生成方法和系统 | |
| Bamasag et al. | Real-time DDoS flood attack monitoring and detection (RT-AMD) model for cloud computing | |
| US11415425B1 (en) | Apparatus having engine using artificial intelligence for detecting behavior anomalies in a computer network | |
| CA3137148A1 (en) | Smart capacity for workload routing | |
| CN113645233B (zh) | 流量数据的风控智能决策方法、装置、电子设备和介质 | |
| CN104866174A (zh) | 一种信息显示方法及装置 | |
| CN106651183B (zh) | 工控系统的通信数据安全审计方法及装置 | |
| CN102714652A (zh) | 监测数据网络中包括多个数据流的通讯会话 | |
| CN104205745A (zh) | 报文处理的方法与设备 | |
| CN115941224A (zh) | 一种网络访问信息管理方法、装置和计算机可读存储介质 | |
| CN106549969B (zh) | 数据过滤方法及装置 | |
| CN108512688A (zh) | 网络节点配置方法和终端 | |
| WO2013102545A1 (en) | Method for instant communicating between instant messaging clients |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |