CN111935061B - 一种工控主机的网络安全防护实现方法及工控主机 - Google Patents
一种工控主机的网络安全防护实现方法及工控主机 Download PDFInfo
- Publication number
- CN111935061B CN111935061B CN201911364311.5A CN201911364311A CN111935061B CN 111935061 B CN111935061 B CN 111935061B CN 201911364311 A CN201911364311 A CN 201911364311A CN 111935061 B CN111935061 B CN 111935061B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control protocol
- white list
- program
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000001914 filtration Methods 0.000 claims abstract description 30
- 238000004458 analytical method Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims description 47
- 238000012545 processing Methods 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 abstract description 9
- 238000004891 communication Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种工控主机的网络安全防护实现方法和工控主机,包括创建程序白名单库;创建工控协议白名单库:根据程序白名单库中的程序白名单过滤可执行程序,对所有网络工控协议报文进行解析分析,并与工控协议白名单库进行匹配,过滤网络工控协议;同时通过自学习,将自定义的工控协议选择性的添加至工控协议白名单库中;在工控网络中把工控安全和信息安全相结合,把工控白名单技术和指定工控协议分析相结合,特别是信息安全中的协议过滤技术,解决工控领域的安全问题。
Description
技术领域
本发明涉及工控技术和信息安全技术领域,具体地涉及一种工控主机的网络安全防护实现方法
背景技术
与传统的信息安全相比,工控系统安全有其独特之处。工控系统初始采用的一般都是专用系统,其操作系统、通信协议也与一般的系统有很大差别,相较于开放的互联网环境,工控系统则比较独立,工业控制系统设计之初也是为了完成各种实时控制功能,并没有考虑到安全防护的问题。但随着计算机和网络技术的发展,随着“工业4.0”、“两化融”、“互联网+”的趋势到来,传统的工业控制系统网络安全(简称工控安全)问题已成为企业及国家安全面临的严峻挑战,受到越来越多的企业及政府关注,工业控制系统在经历很长一段时间的封闭状态之后已经开始发展起来,工控系统通过网络互联使自己暴露在互联网上,从而导致系统本身很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击,并且将会导致工控系统所控制的关键基础设施、重要系统等存在巨大的安全风险和隐患。
工控系统终端安全防护现有的方法大多数只是获取操作系统的程序清单,形成操作系统白名单子库,只对程序和进程进行过滤,在通信方面则是对所有的协议和网络访问都全部放过,无法满足工控系统终端的安全防护。普通防火墙等信息安全技术,只是对网络通信进行过滤,对本地文件没有任何防护,因此,只有把工控安全的程序白名单技术和信息安全的工控协议过滤技术相结合,才能更好的解决工控系统安全领域的问题。
信息安全领域传统的“老三样”为防火墙,入侵检测系统(IDS)和杀毒软件,其中防火墙主要基于源地址和目标地址、应用、协议以及每个IP包的端口来判断,做到了协议分析和拦截的功能。
工控终端领域常用的程序白名单模式是指规则中设置允许运行的名单列表,其意义是“安全的”、“被允许的”,“应用程序进程白名单”是一组应用程序名单列表,只有在此列表中的应用程序是被允许在系统中运行,之外的任何程序都不被允许运行。
公开号为CN201810288807的专利申请公开了一种基于操作系统类型的程序白名单服务方法及系统,该方法主要是创建不同操作系统版本对应的不同程序白名单库,把主机所有的现有文件都笼统的汇总在一起,这种做法无法区分系统进程,应用类进程等,对所有程序一概而论,而且对操作系统版本的依赖性很大;同时该专利也未涉及程序启动后的联网行为,因此相对比较片面。
公开号为CN107491697A的专利申请基于动态白名单的服务器安全维护方法,该方法同样提出程序白名单的概念,做到了内存保护功能,防止内存溢出,但只是针对已经运行了的程序进行了溢出保护,一旦某些注入进程躲过白名单的检测运行起来,则很难达到防护效果;同时该专利也未涉及程序启动后的联网行为,同样会有安全隐患。
公开号为CN105141596A的专利申请一种支持可扩展协议检测的工控防火墙实现方法,该方法讲述了工控防火墙协议扩展方法,但是协议过滤只是边界防护,功能主要体现在网络层的转发上,而对于需要强大计算能力的应用层数据的处理则毫无办法,对于频繁变异的应用安全问题也无法满足要求。
发明内容
(一)发明目的
本发明的目的是提供一种工控主机的网络安全防护实现方法和工控主机,在工控网络中把工控安全和信息安全相结合,把工控白名单技术和指定工控协议分析相结合,特别是信息安全中的协议过滤技术,旨在解决工控领域的安全问题,同时提供一种程序白名单和可扩展协议白名单工控主机。
(二)技术方案
为解决上述问题,本发明工控主机的网络安全防护实现方法,包括如下步骤:
创建程序白名单库:对工控主机操作系统的所有文件进行扫描并记录;对操作系统所启动的服务和进程信息搜集并记录;对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库;
创建工控协议白名单库:对所有的工控协议进行分类,得到基础工控协议;对基础工控协议进行自定义,得到自定义的工控协议;将基础工控协议和自定义工控协议存储至工控协议白名单库;对基础工控协议和自定义的工控协议进行配置生成规则,存储至工控协议白名单规则库;
根据程序白名单库中的程序白名单过滤可执行程序,对所有网络工控协议报文进行解析分析,并与工控协议白名单库进行匹配,过滤网络工控协议;同时通过自学习,将自定义的工控协议选择性的添加至工控协议白名单库中。
进一步的,对工控主机操作系统的所有文件进行扫描并记录具体包括:
对工控主机操作系统的Portable Executable格式文件、ELF格式的文件、系统主要进程,应用程序和服务信息进行全盘或者选择性扫描,记录下文件名、进程名和路径信息。
进一步的,对工控协议进行自定义,得到自定义的工控协议具体包括:
基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议。
进一步的,根据程序白名单库中的程序白名单过滤可执行程序,具体包括:如果可执行程序在程序白名单库中,则视为此程序安全,允许执行;如果可执行程序不在程序白名单库中,则通过配置生成的规则判定,选择放过执行程序、放过执行程序并报警或者拦截执行程序并报警;
进一步的,对网络工控协议报文进行分析,并与工控协议白名单库进行匹配,过滤网络工控协议具体包括:
对所有的网络工控协议报文进行协议解析和分析,得到网络工控协议报文的协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征,并将解析和分析的结果与工控协议白名单进行匹配,拦截非工控协议白名单的网络工控协议报文,对拦截的网络工控协议报文进行防火墙处理或程序联动。
一种工控主机,包括处理器,适用于实现各指令;以及存储设备,适于存储多条指令,所述指令适于由处理器加载并执行:创建程序白名单库:对工控主机操作系统的所有文件进行扫描并记录;对操作系统所启动的服务和进程信息搜集并记录;对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库;
创建工控协议白名单库:对所有的工控协议进行分类,得到基础工控协议;对基础工控协议进行自定义,得到自定义的工控协议;将基础工控协议和自定义工控协议存储至工控协议白名单库;对基础工控协议和自定义的工控协议进行配置生成规则,存储至工控协议白名单规则库;
根据程序白名单库中的程序白名单过滤可执行程序,对所有网络工控协议报文进行解析分析,并与工控协议白名单库进行匹配,过滤网络工控协议;同时通过自学习,将自定义的工控协议选择性的添加至工控协议白名单库中。
进一步的,对工控主机操作系统的所有文件进行扫描并记录具体包括:
对工控主机操作系统的Portable Executable格式文件、ELF格式的文件、系统主要进程,应用程序和服务信息进行全盘或者选择性扫描,记录下文件名、进程名和路径信息。
进一步的,对工控协议进行自定义,得到自定义的工控协议具体包括:
基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议。
(三)有益效果
本发明的上述技术方案具有如下有益的技术效果:
可以对操作系统的重要文件进行强保护。程序白名单机制可以抵御0day恶意软件、病毒软件和有针对性的攻击,因为任何未经批准的软件、工具和进程都不能在主机上安装或运行。
协议白名单机制可以更好的减轻主机的网络负载,防止潮水等网络攻击,保护工控信息安全主机的安全。协议的指定还可以只指定IP和端口,更进一步使网络访问趋于更好的针对性,保护通信信息和通信通道的安全,保护工控终端的安全性。白名单机制可以提高用户工作效率,在第一时间将工作置于保护系统中、省下处理不良程序所需的资源和黑名单方法无法防止的有效性问题,并且使系统可以保持最佳性能运作。
附图说明
图1是工控主机的网络安全防护实现方法原理图;
图2是程序白名单的生成过程图;
图3是工控协议白名单生成过程图;
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
工控终端:指工控环境下运行各类工控软件的主机,包括工程师站、操作员站等
工控程序白名单:指工控主机或者实验室主机上,识别为安全的、允许运行的程序;
工控协议白名单:指工控主机或者实验室主机上,识别为主机防火墙允许通过的工控协议报文
协议扩展:指基于一套能够给用户使用的工控规则库为基础,可以根据用户实际情况自行添加协议的规则库。
工控主机的网络安全防护实现方法,包括如下步骤:
创建程序白名单库:对工控主机操作系统的所有文件进行扫描并记录;对操作系统所启动的服务和进程信息搜集并记录;对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库;
创建工控协议白名单库:对所有的工控协议进行分类,得到基础工控协议;对基础工控协议进行自定义,得到自定义的工控协议;将基础工控协议和自定义工控协议存储至工控协议白名单库;对基础工控协议和自定义的工控协议进行配置生成规则,存储至工控协议白名单规则库;
根据程序白名单库中的程序白名单过滤可执行程序,对所有网络工控协议报文进行解析分析,并与工控协议白名单库进行匹配,过滤网络工控协议;同时通过自学习,将自定义的工控协议选择性的添加至工控协议白名单库中。
对工控主机操作系统的所有文件进行扫描并记录具体包括:
对工控主机操作系统的Portable Executable格式文件、ELF格式的文件、系统主要进程,应用程序和服务信息进行全盘或者选择性扫描,记录下文件名、进程名和路径信息。
对工控协议进行自定义,得到自定义的工控协议具体包括:
基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议。
根据程序白名单库中的程序白名单过滤可执行程序,具体包括:如果可执行程序在程序白名单库中,则视为此程序安全,允许执行;如果可执行程序不在程序白名单库中,则通过配置生成的规则判定,选择放过执行程序、放过执行程序并报警或者拦截执行程序并报警;
对网络工控协议报文进行分析,并与工控协议白名单库进行匹配,过滤网络工控协议具体包括:
对所有的网络工控协议报文进行协议解析和分析,得到网络工控协议报文的协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征,并将解析和分析的结果与工控协议白名单进行匹配,拦截非工控协议白名单的网络工控协议报文,对拦截的网络工控协议报文进行防火墙处理或程序联动。
一种工控主机,包括处理器,适用于实现各指令;以及存储设备,适于存储多条指令,所述指令适于由处理器加载并执行:创建程序白名单库:对工控主机操作系统的所有文件进行扫描并记录;对操作系统所启动的服务和进程信息搜集并记录;对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库;
创建工控协议白名单库:对所有的工控协议进行分类,得到基础工控协议;对基础工控协议进行自定义,得到自定义的工控协议;将基础工控协议和自定义工控协议存储至工控协议白名单库;对基础工控协议和自定义的工控协议进行配置生成规则,存储至工控协议白名单规则库;
根据程序白名单库中的程序白名单过滤可执行程序,对所有网络工控协议报文进行解析分析,并与工控协议白名单库进行匹配,过滤网络工控协议;同时通过自学习,将自定义的工控协议选择性的添加至工控协议白名单库中。
对工控主机操作系统的所有文件进行扫描并记录具体包括:
对工控主机操作系统的Portable Executable格式文件、ELF格式的文件、系统主要进程,应用程序和服务信息进行全盘或者选择性扫描,记录下文件名、进程名和路径信息。
对工控协议进行自定义,得到自定义的工控协议具体包括:
基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议。
如图1所示,此案例在部署中主要分为三个过程:程序白名单扫描,工控协议模板生成及配置,协议分析过滤。每个过程对应相应的处理模块。
生成程序白名单库文件和自启动服务库文件:
工控信息安全主机会把程序白名单分为3类:操作系统类程序,服务自启动类程序和传统应用类程序。同时,还会把系统启动的服务进程与其他服务进程也进行分类,计算形成白名单子库,所述的白名单子库中的信息包括进程路径,进程名称,父进程名称和文件的hash值(或散列算法,又称哈希函数),此hash值通过对可执行文件的计算获得。
此生成库文件过程分为几个模块:
文件扫描模块,用于对主机中所有文件(可执行文件,库文件,驱动等PE文件)进行全盘或者选择性扫描,记录下文件名、进程名、路径等信息。
操作系统自启动探测模块,用于搜集并记录操作系统启动时所启动的服务和进程信息。
计算模块,用于对主机中扫描出来的所有文件进行hash值的计算。
存储模块,用于把以上所有的信息存储为库文件且插入数据库。
此过程详细方案如下:
全盘扫描或选择性扫描主机操作系统,对系统PE(Portable Executable格式,是微软Win32环境可移植可执行文件,如exe、dll、vxd、sys和vdm等的标准文件格式)/ELF(Executable and LinkableFormat,可执行与可链接格式)格式的文件,系统主要进程,应用程序,服务等进行信息收集,hash值计算,并生成特定格式的白名单库文件。对于系统自启动服务程序进行嗅探和挖掘,生成另一类别的白名单库文件,用于保护系统重要文件和数据。扫描操作可以重复进行,即可以生成不同的白名单库文件,针对不同的需求保护不同的文件类型或路径。
工控协议模板生成:
目前,已有的许多工业控制专用协议,大多是为了提高效率和可靠性而设计的,以满足大规模分布式工控系统的运行需要。因为工控信息安全主机主要是运行在工控网络当中,因此对工控协议更为注重,在此把互联网通信协议进行过滤,设计为协议白名单机制,对非法指令阻断,非工控协议拦截,解析到工控协议的指令层。
此过程分为几个模块:
基础工控协议模块,用于对所有的协议进行分类,导入或出厂自带基础工控协议模块。
协议模板生成模块,用于对协议、IP和端口进行自定义,写入自定义协议模板。
协议配置模块,用于对某个或某类协议进行封装或者配置,生成某种规则或者行为。
此过程详细方案如下:
选择性配置或手动配置协议头格式,比如DNP3协议,数据链路层规约文件规定了DNP3.0版的数据链路层,链路规约数据单元(LPDU)以及数据链路服务和传输规程。数据链路层采用一种可变帧长格式:FT3。FT3帧长格式:一个FT3帧被定义为一个固定长度的报头,随后是可以选用的数据块,每个数据块附有一个l6位的CRC校验码。固定的报头含有2个字节的起始字,一个字节的长度(LENGH),一个字节的链路层控制字(CONTROL),一个l6位的目的地址,一个16位的源地址和一个l6位的CRC校验码。分析好此种协议,根据传输层协议、IP地址、TCP/UDP端口号、报文的指纹特征等信息,根据用户的需要,判断是否需要加入到自定义白名单协议库中,是否需要检测、过滤或者通过,进一步定义规则。
程序白名单过滤和工控通信协议自学习、过滤:
判断可执行程序对应的行为是否符合策略,是否安全,如果可执行程序在程序白名单库中,则视为此程序安全,允许执行;如果可执行程序不在程序白名单库中,则可以通过所配置的规则判定,可以放过,可以放过并报警或者可以拦截并报警。
判断网络协议中的工控协议报文是否符合策略,是否安全,如果从报文的指纹特征中提取内容,与用户的配置的合法值进行比较,如果特征、位置和内容都与协议白名单匹配,即为合法报文;如果某项配置,比如IP地址、端口、传输层协议、报文指纹特征等值,某项不符合协议白名单规则,则根据用户所配置的规则,进行丢弃或者报警,或者采取相应的操作或者联动。对于某些规则,比如特定的端口规则,启动自学习模块,把类似报文选择性的添加到协议白名单库中,提供给用户进行自定义协议参考。
此过程分为几个模块:
程序匹配模块,用于程序白名单库,对某个程序的的执行进行匹配。报文分析模块,用于对所有的网络数据包进行协议解析和分析。
协议匹配模块,用于对报文、IP和端口等信息进行协议白名单匹配。
过滤模块,用于拦截或处理非协议白名单的通信报文。
联动模块,用于对拦截报文进行防火墙或相应程序联动功能。
自学习模块,用于对白名单+自定义的协议进行自学习,并加入程序协议库。
如图2所示,在建立工控安全终端模型过程中,首先进行系统扫描,通过某些文件属性计算出哈希值,逐步创建和完善程序白名单。
如图3所示,在建立工控安全终端模型过程中,生成工控协议白名单,类似生成程序白名单过程,对报文进行分析,逐步创建和完善工控协议白名单。
当一个程序运行时,首先检查程序白名单库文件,如果存在,则允许运行,否则根据规则进行对应操作。当某些程序需要联网时,则查看对应的应用协议是否在协议白名单库中,如果存在则允许运行,如果不在则禁止联网、报警或联动。通过本地和网络同时监控终端,最终达到保护工控终端安全的作用。
有益效果:
1)可以对操作系统的重要文件进行强保护。
2)程序白名单机制可以抵御0day恶意软件、病毒软件和有针对性的攻击,因为任何未经批准的软件、工具和进程都不能在主机上安装或运行。
3)协议白名单机制可以更好的减轻主机的网络负载,防止潮水等网络攻击,保护工控信息安全主机的安全。协议的指定还可以只指定IP和端口,更进一步使网络访问趋于更好的针对性,保护通信信息和通信通道的安全,保护工控终端的安全性。
4)白名单机制可以提高用户工作效率,在第一时间将工作置于保护系统中、省下处理不良程序所需的资源和黑名单方法无法防止的有效性问题,并且使系统可以保持最佳性能运作。
显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
尽管已经详细描述了本发明的实施方式,但是应该理解的是,在不偏离本发明的精神和范围的情况下,可以对本发明的实施方式做出各种改变、替换和变更。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (6)
1.一种工控主机的网络安全防护实现方法,其特征在于,包括如下步骤:
创建程序白名单库:对工控主机操作系统的所有文件进行扫描并记录,具体包括:
对工控主机操作系统的Portable Executable格式文件、ELF格式的文件、系统主要进程,应用程序和服务信息进行全盘或者选择性扫描,记录下文件名、进程名和路径信息;对操作系统所启动的服务和进程信息搜集并记录;对记录下的文件名、进程名和路径信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库;
创建工控协议白名单库:对所有的工控协议进行分类,得到基础工控协议;对基础工控协议进行自定义,得到自定义的工控协议,具体包括:
基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议;将基础工控协议和自定义工控协议存储至工控协议白名单库;对基础工控协议和自定义的工控协议进行配置生成规则,存储至工控协议白名单规则库;
根据程序白名单库中的程序白名单过滤可执行程序,对所有网络工控协议报文进行解析分析,并与工控协议白名单库进行匹配,过滤网络工控协议;同时通过自学习,将自定义的工控协议选择性的添加至工控协议白名单库中。
2.根据权利要求1所述的一种工控主机的网络安全防护实现方法,其特征在于,根据程序白名单库中的程序白名单过滤可执行程序,具体包括:如果可执行程序在程序白名单库中,则视为此程序安全,允许执行;如果可执行程序不在程序白名单库中,则通过配置生成的规则判定,选择放过执行程序、放过执行程序并报警或者拦截执行程序并报警。
3.根据权利要求2所述的一种工控主机的网络安全防护实现方法,其特征在于,
对网络工控协议报文进行分析,并与工控协议白名单库进行匹配,过滤网络工控协议具体包括:
对所有的网络工控协议报文进行协议解析和分析,得到网络工控协议报文的协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征,并将解析和分析的结果与工控协议白名单进行匹配,拦截非工控协议白名单的网络工控协议报文,对拦截的网络工控协议报文进行防火墙处理或程序联动。
4.一种工控主机,其特征在于,包括处理器,适用于实现各指令;以及存储设备,适于存储多条指令,所述指令适于由处理器加载并执行:创建程序白名单库:对工控主机操作系统的所有文件进行扫描并记录,具体包括:
对工控主机操作系统的Portable Executable格式文件、ELF格式的文件、系统主要进程,应用程序和服务信息进行全盘或者选择性扫描,记录下文件名、进程名和路径信息;对操作系统所启动的服务和进程信息搜集并记录;对记录下的文件名、进程名和路径信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库;
创建工控协议白名单库:对所有的工控协议进行分类,得到基础工控协议;对基础工控协议进行自定义,得到自定义的工控协议,具体包括:
基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议;将基础工控协议和自定义工控协议存储至工控协议白名单库;对基础工控协议和自定义的工控协议进行配置生成规则,存储至工控协议白名单规则库;
根据程序白名单库中的程序白名单过滤可执行程序,对所有网络工控协议报文进行解析分析,并与工控协议白名单库进行匹配,过滤网络工控协议;同时通过自学习,将自定义的工控协议选择性的添加至工控协议白名单库中。
5.根据权利要求4所述的一种工控主机,其特征在于,根据程序白名单库中的程序白名单过滤可执行程序,具体包括:如果可执行程序在程序白名单库中,则视为此程序安全,允许执行;如果可执行程序不在程序白名单库中,则通过配置生成的规则判定,选择放过执行程序、放过执行程序并报警或者拦截执行程序并报警。
6.根据权利要求5所述的一种工控主机,其特征在于,对网络工控协议报文进行分析,并与工控协议白名单库进行匹配,过滤网络工控协议具体包括:
对所有的网络工控协议报文进行协议解析和分析,得到网络工控协议报文的协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征,并将解析和分析的结果与工控协议白名单进行匹配,拦截非工控协议白名单的网络工控协议报文,对拦截的网络工控协议报文进行防火墙处理或程序联动。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911364311.5A CN111935061B (zh) | 2019-12-26 | 2019-12-26 | 一种工控主机的网络安全防护实现方法及工控主机 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911364311.5A CN111935061B (zh) | 2019-12-26 | 2019-12-26 | 一种工控主机的网络安全防护实现方法及工控主机 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111935061A CN111935061A (zh) | 2020-11-13 |
CN111935061B true CN111935061B (zh) | 2021-06-11 |
Family
ID=73282829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911364311.5A Active CN111935061B (zh) | 2019-12-26 | 2019-12-26 | 一种工控主机的网络安全防护实现方法及工控主机 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111935061B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112491915A (zh) * | 2020-12-03 | 2021-03-12 | 杭州迪普科技股份有限公司 | 一种协议白名单配置方法及装置 |
CN112583843A (zh) * | 2020-12-23 | 2021-03-30 | 北京珞安科技有限责任公司 | 一种联合防护系统、方法及计算机设备 |
CN112671797B (zh) * | 2020-12-31 | 2022-07-15 | 长扬科技(北京)有限公司 | 一种针对dnp3协议的安全防护方法和系统 |
CN113114663B (zh) * | 2021-04-08 | 2022-10-11 | 北京威努特技术有限公司 | 一种基于扫描报文行为的判定方法及装置 |
CN113079186A (zh) * | 2021-06-07 | 2021-07-06 | 北京网藤科技有限公司 | 基于工控终端特征识别的工业网络边界防护方法和系统 |
CN113505351A (zh) * | 2021-06-23 | 2021-10-15 | 湖南惠而特科技有限公司 | 一种基于身份认证的进程工业白名单访问方法及系统 |
CN114363026B (zh) * | 2021-12-27 | 2024-05-24 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
CN115242691B (zh) * | 2022-07-04 | 2023-05-19 | 中国电子科技集团公司第三十研究所 | 一种基于协议特征库的协议识别方法 |
CN117610047B (zh) * | 2023-11-29 | 2024-05-31 | 长扬科技(北京)股份有限公司 | 一种工控终端的安全防护方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103744713A (zh) * | 2014-02-11 | 2014-04-23 | 哈尔滨工业大学 | 基于fpga的嵌入式双核系统的自主配置方法 |
CN106100955A (zh) * | 2016-06-23 | 2016-11-09 | 北京东土科技股份有限公司 | 一种工业互联网现场层宽带总线数据深度检测实现方法 |
WO2018199366A1 (ko) * | 2017-04-28 | 2018-11-01 | 라인 가부시키가이샤 | 덱스 파일의 난독화 적용 여부의 탐지 및 보안성 평가를 위한 방법 및 시스템 |
CN109766694A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
CN109976239A (zh) * | 2019-04-29 | 2019-07-05 | 北京京航计算通讯研究所 | 工控系统终端安全防护系统 |
CN109995796A (zh) * | 2019-04-29 | 2019-07-09 | 北京京航计算通讯研究所 | 工控系统终端安全防护方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103488466B (zh) * | 2012-06-11 | 2017-02-08 | 联想(北京)有限公司 | 用于执行应用程序的方法和装置 |
CN104378388B (zh) * | 2014-12-09 | 2018-02-27 | 北京奇虎科技有限公司 | 可执行文件运行控制方法及装置 |
-
2019
- 2019-12-26 CN CN201911364311.5A patent/CN111935061B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103744713A (zh) * | 2014-02-11 | 2014-04-23 | 哈尔滨工业大学 | 基于fpga的嵌入式双核系统的自主配置方法 |
CN106100955A (zh) * | 2016-06-23 | 2016-11-09 | 北京东土科技股份有限公司 | 一种工业互联网现场层宽带总线数据深度检测实现方法 |
WO2018199366A1 (ko) * | 2017-04-28 | 2018-11-01 | 라인 가부시키가이샤 | 덱스 파일의 난독화 적용 여부의 탐지 및 보안성 평가를 위한 방법 및 시스템 |
CN109766694A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种工控主机的程序协议白名单联动方法及装置 |
CN109976239A (zh) * | 2019-04-29 | 2019-07-05 | 北京京航计算通讯研究所 | 工控系统终端安全防护系统 |
CN109995796A (zh) * | 2019-04-29 | 2019-07-09 | 北京京航计算通讯研究所 | 工控系统终端安全防护方法 |
Non-Patent Citations (1)
Title |
---|
《工业控制环境计算节点安全防护技术研究》;吴欢;《中国优秀硕士论文全文库 信息科技辑》;20170331;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111935061A (zh) | 2020-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935061B (zh) | 一种工控主机的网络安全防护实现方法及工控主机 | |
US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
US7950059B2 (en) | Universal worm catcher | |
US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
CN109766694B (zh) | 一种工控主机的程序协议白名单联动方法及装置 | |
CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
CN110958257B (zh) | 一种内网渗透过程还原方法和系统 | |
EP3509001B1 (en) | Method and apparatus for detecting zombie feature | |
US11924235B2 (en) | Leveraging user-behavior analytics for improved security event classification | |
JP2006119754A (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
US11546295B2 (en) | Industrial control system firewall module | |
KR20080047261A (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
WO2013117148A1 (zh) | 检测远程入侵计算机行为的方法及系统 | |
CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
CN112398829A (zh) | 一种电力系统的网络攻击模拟方法及系统 | |
Ma et al. | Determining risks from advanced multi-step attacks to critical information infrastructures | |
CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 | |
CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 | |
Hu et al. | Perception Mining of Network Protocol’s Stealth Attack Behaviors | |
CN116170186A (zh) | 基于网络流量分析的攻击代码在线检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: Room 01, floor 1, building 104, No. 3 minzhuang Road, Haidian District, Beijing 100195 Patentee after: Changyang Technology (Beijing) Co.,Ltd. Address before: 100195 2nd floor, building 3, yuquanhuigu phase II, No.3 minzhuang Road, Haidian District, Beijing Patentee before: CHANGYANG TECH (BEIJING) Co.,Ltd. |
|
CP03 | Change of name, title or address |