CN110430209B - 一种基于动态多样化的工控系统安全防御方法及装置 - Google Patents
一种基于动态多样化的工控系统安全防御方法及装置 Download PDFInfo
- Publication number
- CN110430209B CN110430209B CN201910746347.3A CN201910746347A CN110430209B CN 110430209 B CN110430209 B CN 110430209B CN 201910746347 A CN201910746347 A CN 201910746347A CN 110430209 B CN110430209 B CN 110430209B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control system
- module
- diversification
- version
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于动态多样化的工控系统安全防御方法及装置,主要步骤包括:动包括等价多样化模块、嵌入多样化模块、欺骗多样化模块、动态代理模块;动态代理模块根据随机因子非周期性将对工控系统的探测请求调度多样性的系统实例中的一个,攻击者无法通过扫描探测识别工业系统的版本,从而抵御对工控系统的探测漏洞和利用漏洞。本发明能够有效地增加工控系统的系统多样性,大大增加工控系统的攻击面转换空间,对抵御未知攻击和0day漏洞具有重要作用。
Description
技术领域
本发明涉及一种工控系统安全防御方法及装置,具体涉及基于动态多样化的工控系统安全防御方法及装置,属于计算机网络安全领域。
背景技术
工业控制系统(ICS)是工业生产中所使用的多种类型控制软硬件系统,包括但不限于监控与数据采集系统(SCADA)、集散控制系统(DCS)以及可编程逻辑控制器(PLC)等等。工业控制系统是关键基础设施的重要组成部分,广泛应用在关系国计民生的电力、石油、化工、交通、运输、水利等等。针对工业控制系统的攻击将大大威胁到社会的正常运转,保护工业控制系统安全具有极为重要的意义。工业控制系统在设计之初,缺乏安全防护机制,导致长期运行的大量工业控制系统“带病”运行,高危漏洞层出不穷。近年来,随着TCP/IP协议和0PC协议等通用协议越来越广泛地应用在工业控制网络中,工业控制系统从封闭走向了开发,安全问题日益突出,安全风险急剧上升。甚至APT攻击(高级可持续性威胁,AdvancedPersistent Threat,APT)等国家级对抗的新型攻击手段也集中在工业控制系统领域中。这种APT攻击核心技术是利用0-day 漏洞(也称为零日漏洞)或未公开的漏洞,它是多种攻击手段的组合,其攻击过程缓慢,具有针对性、持续性、隐蔽性。一旦进入目标系统后,为了达到有效的攻击,会持续寻找攻击的宿主目标。
为了保障保障业务连续性和稳定性,工业控制系统版本一般都单一、陈旧、不升级补丁、漏洞长期暴漏。这种静态、同质、不变的系统弱点,存在被攻击者长期窃听、扫描和渗透的安全风险。 而传统以边界防护为特点的工业控制系统安全方法,由于缺乏动态防护的安全策略使得工业控制系统的脆弱性长期暴漏在攻击者面前。
由此可见,工业控制系统的多样化和动态化,是构建主动防御的重要技术方向,它能够改变当前工控系统安全攻防不对称的格局,变静态防御为动态防御、变被动防御为主动防御,是提高工控系统安全能力的关键技术。
发明内容
有鉴于此,本发明公开了一种基于动态多样化的工控系统安全防御方法及装置,主要步骤包括:动包括等价多样化模块、嵌入多样化模块、欺骗多样化模块、动态代理模块;动态代理模块根据随机因子非周期性将对工控系统的探测请求调度多样性的系统实例中的一个,攻击者无法通过扫描探测识别工业系统的版本,从而抵御对工控系统的探测漏洞和利用漏洞。本发明能够有效地增加工控系统的系统多样性,大大增加工控系统的攻击面转换空间,对抵御未知攻击和0day漏洞具有重要作用。
本发明的技术方案如下:基于动态多样化的工控系统安全防御方法,其步骤包括:
1)等价多样化模块生成工控应用和功能等价的多种系统实例;
2)嵌入多样化模块对原生工控系统的版本信息进行内置随机化;
3)欺骗多样化模块轻量级虚拟化来伪造生成多种工控系统的实例;
4)动态代理模块非周期性对工控系统探测请求进行调度。
更进一步,所述等价多样化模块对工业控制系统的应用(ICApp)和功能(ICFun)进行多平台复制,进而制作多平台的镜像,根据多样化参数生成多种系统实例,实例可以是虚拟机也可以是物理机。
更进一步,所述嵌入多样化模块采用如下方式对工控系统的版本信息进行随机化:
1) 不同操作系统版本指纹的替换,也即OS(α)和OS(β)的交换;
2) 同一个操作系统高低版本号之间的替换,也即OS(β)_Vab.cd与OS(β)_Vwx.yz的交换;
3)模糊化版本指纹信息,无法通过读取配置文件、接口信息获取任何有意义的版本字符串。
更进一步,所述欺骗多样化模块通过容器等轻量级虚拟化来构造与原始工控系统版本信息指纹相同的系统,但不提供任何功能和服务,只根据网络访问的请求做模拟应答,从而伪造生成多种工控系统的实例,动态代理模块根据随机因子Rad(γ)非周期性将对工控系统的探测请求调度多样性的系统实例中的一个。
更进一步,所述的动态代理模块动态调度的请求,在非攻击状态下被调度到等价多样化模块或嵌入式多样化模块生成的工控系统实例中,在攻击状态和异常请求状态下被调度到嵌入式多样化模块或欺骗多样性模块生成的工控系统实例中。
本发明还提出一种基于动态多样化的工控系统安全防御装置,包括等价多样化模块、嵌入多样化模块、欺骗多样化模块、动态代理模块,
所述等价多样化模块对工业控制系统的应用(ICApp)和功能(ICFun)进行多平台复制,进而制作多平台的镜像,根据多样化参数生成多种系统实例,实例可以是虚拟机也可以是物理机;
所述嵌入多样化模块通过不同操作系统版本指纹的替换、同一个操作系统高低版本号之间的替换、模糊化版本指纹信息三种策略对工控系统的版本信息进行随机化;
所述动态代理模块根据随机因子Rad(γ)非周期性将对工控系统的探测请求调度多样性的系统实例中的一个,在非攻击状态下被调度到等价多样化模块或嵌入式多样化模块生成的工控系统实例中,在攻击状态和异常请求状态下被调度到嵌入式多样化模块或欺骗多样性模块生成的工控系统实例中;
动态代理模块位于工控系统实例的网络边界,多元化系统镜像非周期性更新工控系统实例资源池。
本发明的有益效果为:
本发明涉及一种基于动态多样化的工控系统安全防御方法及装置,主要步骤包括:动包括等价多样化模块、嵌入多样化模块、欺骗多样化模块、动态代理模块;动态代理模块根据随机因子非周期性将对工控系统的探测请求调度多样性的系统实例中的一个,攻击者无法通过扫描探测识别工业系统的版本,从而抵御对工控系统的探测漏洞和利用漏洞。本发明能够有效地增加工控系统的系统多样性,大大增加工控系统的攻击面转换空间,对抵御未知攻击和0day漏洞具有重要作用。
附图说明
附图1是本发明基于动态多样化的工控系统安全防御装置的架构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。
本发明的一实施例中公开的基于动态多样化的工控系统安全防御装置,其步骤为:
1)多样化模块对工业控制系统的应用(ICApp)和功能(ICFun)进行多平台复制,进而制作多平台的镜像,根据多样化参数生成多种系统实例,实例可以是虚拟机也可以是物理机。
2)嵌入多样化模块采用如下方式对工控系统的版本信息进行随机化:
(a)不同操作系统版本指纹的替换,也即OS(α)和OS(β)的交换;
(b)同一个操作系统高低版本号之间的替换,也即OS(β)_Vab.cd与OS(β)_Vwx.yz的交换;
(c)模糊化版本指纹信息,无法通过读取配置文件、接口信息获取任何有意义的版本字符串。
3)欺骗多样化模块通过容器等轻量级虚拟化来构造与原始工控系统版本信息指纹相同的系统,但不提供任何功能和服务,只根据网络访问的请求做模拟应答,从而伪造生成多种工控系统的实例。
4) 动态代理模块根据随机因子Rad(γ)非周期性将对工控系统的探测请求调度多样性的系统实例中的一个:在非攻击状态下被调度到等价多样化模块或嵌入式多样化模块生成的工控系统实例中,在攻击状态和异常请求状态下被调度到嵌入式多样化模块或欺骗多样性模块生成的工控系统实例中。
以下通过具体的例子对附图中基于动态多样化的工控系统安全防御装置进行进一步的说明。
如附图1所示,基于动态多样化的工控系统安全防御装置,包括:等价多样化模块、嵌入多样化模块、欺骗多样化模块、动态代理模块。其主要步骤包括:
1、动态代理模块位于工控系统实例的网络边界,多元化系统镜像非周期性更新工控系统实例资源池。
2、等价多样化模块对工业控制系统的应用(ICApp)和功能(ICFun)进行多平台复制,进而制作多平台的镜像,根据多样化参数生成多种系统实例,实例可以是虚拟机也可以是物理机。
3、嵌入多样化模块通过不同操作系统版本指纹的替换、同一个操作系统高低版本号之间的替换、模糊化版本指纹信息三种策略对工控系统的版本信息进行随机化。
4、动态代理模块根据随机因子Rad(γ)非周期性将对工控系统的探测请求调度多样性的系统实例中的一个,在非攻击状态下被调度到等价多样化模块或嵌入式多样化模块生成的工控系统实例中,在攻击状态和异常请求状态下被调度到嵌入式多样化模块或欺骗多样性模块生成的工控系统实例中。
以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用,并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等,都应属于本发明的权利要求的保护范围之内。
Claims (7)
1.一种基于动态多样化的工控系统安全防御方法,其步骤包括:
1)使用等价多样化模块对工业控制系统的应用(ICApp)和功能(ICFun)进行多平台复制,生成工控应用和功能等价的多种系统实例;
2)使用嵌入多样化模块通过不同操作系统版本指纹的替换、同一个操作系统高低版本号之间的替换、模糊化版本指纹信息三种策略对原生工控系统的版本信息进行内置随机化;
3)使用欺骗多样化模块通过容器轻量级虚拟化技术来构造与原始工控系统版本信息指纹相同的系统,伪造生成的多种工控系统实例不提供真实服务;
4)使用动态代理模块非周期性对工控系统探测请求进行调度,在非攻击状态下以及攻击状态和异常请求状态下被调度到不同的工控系统实例中。
2.如权利要求1所述的基于动态多样化的工控系统安全防御方法,其特征在于,所述等价多样化模块对工业控制系统的应用(ICApp)和功能(ICFun)进行多平台复制,进而制作多平台的镜像,根据多样化参数生成多种系统实例,实例可以是虚拟机也可以是物理机。
3.如权利要求1所述的基于动态多样化的工控系统安全防御方法,其特征在于,所述嵌入多样化模块采用如下方式对工控系统的版本信息进行随机化:
1)对不同操作系统版本指纹的替换,也即OS(α)和OS(β)的交换,其中OS(α)为操作系统α的版本指纹信息,OS(β)为操作系统β的版本指纹信息;
2) 同一个操作系统高低版本号之间的版本指纹替换,也即OS(β)_Vab.cd与OS(β)_Vwx.yz的交换,其中Vab.cd、Vwx.yz分别代表操作系统β的两个不同版本号,OS(β)_Vab.cd表示版本Vab.cd对应的版本指纹信息,OS(β)_Vwx.yz表示版本Vwx.yz对应的版本指纹信息;
3)模糊化版本指纹信息,无法通过读取配置文件、接口信息获取任何有意义的版本字符串。
4.如权利要求1所述的基于动态多样化的工控系统安全防御方法,其特征在于,所述欺骗多样化模块通过容器轻量级虚拟化来构造与原始工控系统版本信息指纹相同的系统,但不提供任何功能和服务,只根据网络访问的请求做模拟应答,从而伪造生成多种工控系统的实例。
5.如权利要求1或2或3或4所述的基于动态多样化的工控系统安全防御方法,其特征在于,所述动态代理模块根据随机因子Rad(γ)非周期性将对工控系统的探测请求调度多样性的系统实例中的一个。
6.如权利要求1所述的基于动态多样化的工控系统安全防御方法,其特征在于,所述的动态代理模块动态调度的请求,在非攻击状态下被调度到等价多样化模块或嵌入式多样化模块生成的工控系统实例中,在攻击状态和异常请求状态下被调度到嵌入式多样化模块或欺骗多样性模块生成的工控系统实例中。
7.一种基于动态多样化的工控系统安全防御装置,包括等价多样化模块、嵌入多样化模块、欺骗多样化模块、动态代理模块,
所述等价多样化模块对工业控制系统的应用(ICApp)和功能(ICFun)进行多平台复制,进而制作多平台的镜像,根据多样化参数生成多种系统实例,实例可以是虚拟机也可以是物理机;
所述嵌入多样化模块通过不同操作系统版本指纹的替换、同一个操作系统高低版本号之间的替换、模糊化版本指纹信息三种策略对工控系统的版本信息进行随机化;
所述欺骗多样化模块通过容器轻量级虚拟化来构造与原始工控系统版本信息指纹相同的系统,但不提供任何功能和服务,只根据网络访问的请求做模拟应答,从而伪造生成多种工控系统的实例;
所述动态代理模块根据随机因子Rad(γ)非周期性将对工控系统的探测请求调度多样性的系统实例中的一个,在非攻击状态下被调度到等价多样化模块或嵌入式多样化模块生成的工控系统实例中,在攻击状态和异常请求状态下被调度到嵌入式多样化模块或欺骗多样性模块生成的工控系统实例中;
动态代理模块位于工控系统实例的网络边界,多元化系统镜像非周期性更新工控系统实例资源池。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910746347.3A CN110430209B (zh) | 2019-08-13 | 2019-08-13 | 一种基于动态多样化的工控系统安全防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910746347.3A CN110430209B (zh) | 2019-08-13 | 2019-08-13 | 一种基于动态多样化的工控系统安全防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110430209A CN110430209A (zh) | 2019-11-08 |
| CN110430209B true CN110430209B (zh) | 2021-12-14 |
Family
ID=68416059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910746347.3A Active CN110430209B (zh) | 2019-08-13 | 2019-08-13 | 一种基于动态多样化的工控系统安全防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110430209B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110941863A (zh) * | 2019-11-13 | 2020-03-31 | 中信百信银行股份有限公司 | 设备指纹生成方法、装置及终端 |
| CN113364791B (zh) * | 2021-06-11 | 2022-12-20 | 北京天融信网络安全技术有限公司 | 一种干扰版本探测的系统和方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101529436A (zh) * | 2006-10-27 | 2009-09-09 | 微软公司 | 用于多样化的防篡改的虚拟化 |
| CN103907098A (zh) * | 2011-10-11 | 2014-07-02 | 迈可菲公司 | 用于管理程序环境中的关键地址空间保护的系统和方法 |
| CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
| CN105612525A (zh) * | 2013-08-12 | 2016-05-25 | 思科技术公司 | 针对应用安全性的二进制转换和随机化系统 |
| CN107408072A (zh) * | 2014-12-16 | 2017-11-28 | 凯恩迪股份有限公司 | 用于随机化计算机指令集、存储器寄存器和指针的方法和装置 |
| CN109862045A (zh) * | 2019-04-01 | 2019-06-07 | 中科天御(苏州)科技有限公司 | 一种基于sdn的工业控制系统动态防御方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008008401A2 (en) * | 2006-07-12 | 2008-01-17 | Global Info Tek, Inc. | A diversity-based security system and method |
| US10303861B2 (en) * | 2017-01-26 | 2019-05-28 | Immunant, Inc. | Software diversification in external contexts |
-
2019
- 2019-08-13 CN CN201910746347.3A patent/CN110430209B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101529436A (zh) * | 2006-10-27 | 2009-09-09 | 微软公司 | 用于多样化的防篡改的虚拟化 |
| CN103907098A (zh) * | 2011-10-11 | 2014-07-02 | 迈可菲公司 | 用于管理程序环境中的关键地址空间保护的系统和方法 |
| CN105612525A (zh) * | 2013-08-12 | 2016-05-25 | 思科技术公司 | 针对应用安全性的二进制转换和随机化系统 |
| CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
| CN107408072A (zh) * | 2014-12-16 | 2017-11-28 | 凯恩迪股份有限公司 | 用于随机化计算机指令集、存储器寄存器和指针的方法和装置 |
| CN109862045A (zh) * | 2019-04-01 | 2019-06-07 | 中科天御(苏州)科技有限公司 | 一种基于sdn的工业控制系统动态防御方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| "云计算环境下基于随机化的安全防御研究";傅建明;《计算机学报》;20180630;第987-1004页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110430209A (zh) | 2019-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lv | Security of internet of things edge devices | |
| US20120284790A1 (en) | Live service anomaly detection system for providing cyber protection for the electric grid | |
| Yee et al. | Review on confidentiality, integrity and availability in information security | |
| CN110430209B (zh) | 一种基于动态多样化的工控系统安全防御方法及装置 | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| Kitagawa et al. | AspFuzz: A state-aware protocol fuzzer based on application-layer protocols | |
| EP4236231A1 (en) | Security defense method and system for industrial control system network | |
| Gu et al. | Secure data sequence query framework based on multiple fogs | |
| Kirupakar et al. | Situation aware intrusion detection system design for industrial IoT gateways | |
| Banik et al. | Implementing man-in-the-middle attack to investigate network vulnerabilities in smart grid test-bed | |
| Wang et al. | Protecting scientific workflows in clouds with an intrusion tolerant system | |
| Ruan et al. | Applying Large Language Models to Power Systems: Potential Security Threats | |
| Pourrahmani et al. | A review of the security vulnerabilities and countermeasures in the Internet of Things solutions: A bright future for the Blockchain | |
| Molle et al. | Security of cloud services with low-performance devices in critical infrastructures | |
| Chobanov et al. | Cyber Security impact on energy systems | |
| Szabó | Cybersecurity issues in industrial control systems | |
| Hariri et al. | Biorac: biologically inspired resilient autonomic cloud | |
| Liu et al. | SEAG: A novel dynamic security risk assessment method for industrial control systems with consideration of social engineering | |
| Dai et al. | Blockchain-enabled cyber-resilience enhancement framework of microgrid distributed secondary control against false data injection attacks | |
| CN102622621B (zh) | 提高射频识别系统安全性的通信方法 | |
| Deng et al. | A Data Intrusion Tolerance Model Based on an Improved Evolutionary Game Theory for the Energy Internet. | |
| Amro et al. | A Comprehensive Architectural Framework of Moving Target Defenses Against DDoS Attacks | |
| Sauber et al. | A novel hadoop security model for addressing malicious collusive workers | |
| Musliner et al. | Meta-control for adaptive cybersecurity in FUZZBUSTER | |
| Fargo et al. | Autonomic resource management for power, performance, and security in cloud environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |