CN111343139A

CN111343139A - 一种工控拟态安全网关的多模判决方法

Info

Publication number: CN111343139A
Application number: CN202010038228.5A
Authority: CN
Inventors: 吴春明; 陈双喜; 姜鑫悦; 邓伟; 赵若琰
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2020-01-14
Filing date: 2020-01-14
Publication date: 2020-06-26
Anticipated expiration: 2040-01-14
Also published as: CN111343139B

Abstract

本发明公开了一种工控拟态安全网关的多模判决方法。该方法采用基于流处理的判决方法，针对日志数据库中的两类数据进行双重判决，增强判决的准确度，将每个访问控制模块的状态处理的结果存放到临时缓冲区中，形成缓冲队列，最后利用哈希表映射的方法完成表决输出安全可信的数据包，比较找出产生错误输出的模块并且将其替换，本发明解决了原有模型中高时间复杂度的问题，通过计算每个异构执行体的威胁度Di进行高效替换，能够在正常处理工控数据包的同时，快速判决流量数据包是否具有威胁性并且选择出合适的流量数据包类型，保障了系统的高可用性。

Description

一种工控拟态安全网关的多模判决方法

技术领域

本发明属于工业信息安全技术领域，具体地涉及一种工控拟态安全网关的多模判决方法。

背景技术

针对工业控制系统的攻击正日趋于自动化、智能化、协同化、集团化，并呈有组织、大规模、高隐蔽、强持续的趋势，我国如今在安全防御方面存在核心软硬件对国外形成单向“透明”；内外工业控制系统均运行在封闭、隔绝的“安全”环境中，难以遭到外界攻击，其内生安全方面的理论研究、技术创新严重滞后；简单的将传统信息安全网关应用于工业环境所取得的安全防护效果极其有限，甚至根本达不到防护作用；目前国内已经少量部署的工控安全网关无法满足实际需求，还面临着传统信息安全网关无法解决的难题等问题。

近年来，美国提出移动目标防御，致力于构建动态、异构和不确定性来增加攻击者的攻击难度。移动目标防御可以在网络、平台运行环境、软件、数据等多个层面实施，包括IP地址可变、端口可变、执行代码的随机性、地址空间的随机性等。2012年，雷声公司启动了限制敌方侦察的变形网络技术研究，美国空军研究实验室资助了基于多样性代码的多态技术，但在工控领域的移动目标防御的相关技术研究较少。

邬江兴院士等提出以“拟态防御”、“自重构可信赖”、“使命确保”等创新性主动防御技术，在理论推演、技术攻关和原理验证等方面取得重要进展，实现代码运行态随机化，提升了嵌入式环境的主动防御能力。特别对我国工控系统大量“被后门”、“被漏洞”的“有毒带菌”的现实情况，“拟态防御”思想具有很好的防御能力。与传统的网络防御防御手段不同，拟态防御通过动态化、随机化、主动化的手段改变网络信息系统的运行或执行环境，突破传统网络信息安全被动防御的窘境，将“亡羊补牢”式的被动防御转变为难以被侦测的主动防御，改变目前易攻难守”现状。拟态防御技术的核心是动态异构冗余构造模型，但是由于工业控制系统始终把可用性放在首位，任何在工业控制系统中应用的设备和部件必须在实时性、可靠性和性能满足可用性限制条件，因此不能简单采用目前拟态机制所提出的DHR模型，需要深入分析工业网关其功能和工控网络特殊性，构建一种新型工控拟态安全网关系统架构，使其不仅能满足工控网关的功能、性能要求，而且具备拟态防御所要求异构性、多样性、动态随机性、主动性特征。

工控拟态安全网关可部署在数据管理层、监控操作层、现场总线层各层交界边界处，依据各层工程数据流特点，实施更有针对性的访问控制策略。本发明针对工控系统的主要特征，设计了多模判决模块以及异构执行体替换模块，针对日志数据库中两类数据进行双重判决，增强判决的准确度，首先用统计分析方法对每个异构执行体的处理状态进行预处理，产生第一次判决，然后根据第一次判决结果对处理结果进行第二次判决，此次判决采用基于流处理的判决模型，每个异构执行体的处理结果存放到临时缓冲区中，形成缓冲队列，再利用Hash表映射的方法完成表决输出安全可信的数据包，最后比较找出产生错误输出的模块，Hash算法解决了原有模型中高时间复杂度的问题，异构执行体替换模块通过计算每个异构执行体的威胁度Di进行高效替换，保证系统的高可用性。

发明内容

本发明的目的为克服现有技术的不足，基于主动防御技术中的拟态防御技术原理，提出了一种工控拟态安全网关的多模判决方法，以解决目前工控安全网关面临的防御过程中易守难攻，反应不及时，随机替换执行体没有根据的问题。该方法可以在防止利用系统设计和实现缺陷导致的攻击行为的同时，缩短系统反应时间提高系统反应力，并且根据威胁度对异构执行体进行替换。

本发明的目的是通过如下技术方案实现的：一种工控拟态安全网关的多模判决方法，包括以下步骤：

(1)统计网关访问控制模块中有n个访问控制模块；

(2)对流量数据包进行多模判决后的结果为Xi(1<＝i<＝n)，Xi的取值为False或True，其中，False代表“阻断”，True代表“放行”：

(2.1)对于日志数据库中最新的T个流量数据访问序列，用Ei(1<＝i<＝n)表示每个网关访问控制模块的出错次数，Ei初始值为0，对于每个流量数据访问序列都要进行步骤(2.2)的操作；

(2.2)引入两个变量SUMA和SUMB，SUMA用于统计Xi取值为True的流量数据包的个数，SUMB用于统计Xi取值为False的流量数据包的个数；若SUMA值为n，则放行流量数据包，进入步骤(2.3)；若SUMB值为n，则阻断流量数据包，并对下一个流量数据访问序列进行多模判决，直至完成对T个流量数据访问序列的多模判决；若SUMA>SUMB，表示放行流量数据包为正确处理，阻断流量数据包为错误处理，且错误处理的访问控制模块存在被攻击的风险，对其Ei值进行更新，即Ei＝Ei+1，进入步骤(2.3)；若SUMA<SUMB，则认为阻断流量数据包为正确处理，放行流量数据包为错误处理，对错误处理的访问控制模块的Ei值进行更新，即Ei＝Ei+1，随后对下一个流量数据访问序列进行多模判决，直至完成对T个流量数据访问序列的多模判决。

(2.3)对所有放行的流量数据包进行分类，即选择出该网关最终所需要的流量数据包类型，并对判断错误的访问控制模块的Ei值进行更新；采用哈希算法遍历流量数据包的种类数，哈希表中每一个哈希值即为每类中包含流量数据包的个数；找出哈希值最大的流量数据包类型，确定该类型的流量数据包为正确输出，其他类型为错误输出；随后，对其他类型流量数据包对应的访问控制模块的Ei值进行更新，即Ei＝Ei+1，得到每一访问控制模块的Ei值，进入步骤(3)。

(3)利用多模替换策略替换存在攻击威胁的访问控制模块，多模替换操作包括以下子步骤：

(3.1)对每一访问控制模块存在的被攻击威胁性高低用威胁度值Di(1<＝i<＝n)进行描述，其中，Di＝Ei/T，对访问控制模块按照Di值由大到小进行排序；

(3.2)根据步骤(3.1)的排序结果，用动态调度模块将多个网关控制体进行动态重组，构成新的网关访问控制模块，替换Di值高的前M个访问控制模块。

与现有技术相比，本发明具有如下有益效果：本发明的技术方案采用拟态防御原理，基于工控安全网关的性能以及安全要求，进行改进，提供了一种动态异构冗余的工控安全网关多模判决机制。

(1)网关访问阵列采用拟态防御思想，能够扰乱攻击者对目标对象内部特征的探索和了解，防止工控安全网关系统被攻破，增加内部渗透者以及外部攻击者对本工控系统的认知以及攻击难度。

(2)在有效进行工控安全网关系统安全防御的基础上，多模判决方法采用基于流处理的判决模型，同时采用事后多模判决的方法，确保了工控安全网关系统的实时性要求。

(3)在异构执行体替换模块中引入威胁度概念Di，优先替换威胁度高的异构执行模块，节省系统资源，提高系统可用性。

附图说明

图1为本实施例工控拟态安全网关的多模判决方法流程图；

图2为哈希算法应用结构图；

图3为访问控制模块替换方法流程图；

图4为动态异构冗余的多模判决系统结构图。

具体实施方式

下面结合附图并举实施例对本发明的技术方案进行详细说明。

本发明主要设计了多模判决方法以及访问控制模块替换方法，多模判决方法针对日志数据库中两类数据进行双重判决，增强判决的准确度，首先用统计分析方法对每个访问控制模块的处理状态进行预处理，产生第一次判决，然后根据第一次判决结果对处理结果进行第二次判决，此次判决采用基于流处理的判决方法，每个访问控制模块的处理结果存放到临时缓冲区中，形成缓冲队列，再利用哈希表映射的方法完成表决输出安全可信的数据包，最后比较找出产生错误输出的模块，哈希算法解决了原有模型中高时间复杂度的问题，访问控制模块替换方法通过计算每个访问控制模块的威胁度Di进行高效替换，保证系统的高可用性。

如图1所示，为本实例工控拟态安全网关的多模判决方法流程图，具体包括如下步骤：

(1)统计网关访问控制模块中有n个访问控制模块，代表多个异构冗余体，增加了防御系统的异构性；

(2)对流量数据包进行多模判决后的结果为Xi(1<＝i<＝n)，Xi的取值为False或True，其中，False代表“阻断”，True代表“放行”，以此来具体化流量数据包的行为，找到该系统需要的，不具威胁的流量数据包类型，同时采用基于流处理的多模判决方法来缩短判决时间：

(2.1)对于日志数据库中最新的T个流量数据访问序列，用Ei(1<＝i<＝n)表示每个网关访问控制模块的出错次数，Ei初始值为0，对于每个流量数据访问序列都要进行如下的操作；

(2.2)引入两个变量SUMA和SUMB，SUMA用于统计Xi取值为True的流量数据包的个数，SUMB用于统计Xi取值为False的流量数据包的个数；若SUMA值为n，代表判决机制没有问题，则放行流量数据包，进入步骤(2.3)；若SUMB值为n，则阻断流量数据包，并对下一个流量数据访问序列进行多模判决，直至完成对T个流量数据访问序列的多模判决；若SUMA>SUMB，表示放行流量数据包为正确处理，阻断流量数据包为错误处理，且错误处理的访问控制模块存在被攻击的风险，对其Ei值进行更新，即Ei＝Ei+1，进入步骤(2.3)；若SUMA<SUMB，则认为阻断流量数据包为正确处理，放行流量数据包为错误处理，对错误处理的访问控制模块的Ei值进行更新，即Ei＝Ei+1，随后对下一个流量数据访问序列进行多模判决，直至完成对T个流量数据访问序列的多模判决。

(2.3)对所有放行的流量数据包进行分类，即选择出该网关最终所需要的流量数据包类型，并对判断错误的访问控制模块的Ei值进行更新；采用哈希算法遍历流量数据包的种类数，哈希表中每一个哈希值即为每类中包含流量数据包的个数；使用哈希算法后时间复杂度将为O(n*m)，其中O表示时间复杂度，n表示访问控制模块个数，m代表数据包的长度；找出哈希值最大的流量数据包类型，确定该类型的流量数据包为正确输出，其他类型为错误输出，如图2为哈希算法应用结构图。随后，对其他类型流量数据包对应的访问控制模块的Ei值进行更新，即Ei＝Ei+1，得到Ei值，进入步骤(3)。

(3)如图3，利用多模替换策略替换存在攻击威胁的访问控制模块，保障系统的高可用性，多模替换操作包括以下子步骤：

(3.1)对每一访问控制模块存在的被攻击威胁性高低用威胁度值Di(1<＝i<＝n)进行描述，其中Di＝Ei/T，对访问控制模块按照Di值由大到小进行排序；

实施例

本实例工作在工控拟态安全网关中，如图4所示，该网关访问控制模块阵列中一共运行A1-A3三个访问控制模块，访问序列长度T设为2，已经有两个访问序列的数据存储在日志数据库中，两个访问序列id，id取值为1或2，数据X11代表第一个访问序列的A1模块的处理状态，数据X12代表第一个访问序列的A2模块的处理状态，数据X13代表第一个访问序列的A3的处理状态，其他处理状态按照此规则定义；数据Y11代表第一个访问序列的A1模块的处理结果，数据Y12代表第一个访问序列的A2模块的处理结果，数据Y13代表第一个访问序列的A3模块的处理结果，其他处理结果按照此规则定义。

第一个访问序列进行操作，三个模块处理状态均为放行，输出的流量数据包用哈希算法判定Y11＝Y12，Y11！＝Y13，所以Y11被认为是正确的输出的数据包，对应的E3的值进行更新，即E3＝E3+1；

随后对每一访问控制模块设一危险度值对其存在的被攻击威胁性高低进行描述，危险度值记为Di(1<＝i<＝3)，Di＝Ei/2。去掉Ei为0的访问控制模块，对其余访问控制模块按照Di值由大到小进行排序。

用动态调度模块将多个网关控制体按照一定的策略进行动态重组，构成新的网关控制模块，替换E3模块。

Claims

1.一种工控拟态安全网关的多模判决方法，其特征在于，包括以下步骤：

(1)统计网关访问控制模块中有n个访问控制模块；