CN112995192A - 白名单生成方法、系统、设备及存储介质 - Google Patents
白名单生成方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN112995192A CN112995192A CN202110283293.9A CN202110283293A CN112995192A CN 112995192 A CN112995192 A CN 112995192A CN 202110283293 A CN202110283293 A CN 202110283293A CN 112995192 A CN112995192 A CN 112995192A
- Authority
- CN
- China
- Prior art keywords
- white list
- protocol
- industrial
- data message
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了白名单生成方法、系统、设备及存储介质,该方法包括:获取数据报文;获取所述数据报文携带的网络信息,所述网络信息至少包括网络协议地址、物理地址以及协议特征;根据所述网络信息创建白名单。本发明实现了对工业协议的白名单规则的全面配置。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种白名单生成方法、系统、设备及存储介质。
背景技术
目前在使用工业审计系统时,往往需要通过手动方式对工业审计系统中工业协议的白名单进行配置,然而手动为工业审计系统配置工业协议的白名单,容易出现白名单规则漏配,从而导致白名单规则配置不够全面,影响工业审计系统审计工作的准确度。
发明内容
本申请实施例通过提供一种白名单生成方法、系统、设备及存储介质,旨在解决手动为工业审计系统配置工业协议的白名单,导致白名单规则配置不够全面的问题。
本申请实施例提供了一种白名单生成方法,所述白名单生成方法,包括:
获取数据报文;
获取所述数据报文携带的网络信息,所述网络信息至少包括网络协议地址、物理地址以及协议特征;
根据所述网络信息创建白名单。
在一实施例中,所述获取数据报文的步骤,包括:
采集数据报文;
对所述数据报文进行合法性验证,获取验证通过的所述数据报文。
在一实施例中,所述对所述数据报文进行合法性验证,获取验证通过的所述数据报文的步骤,包括:
获取前一次接收的所述数据报文的第一报文参数;
获取当前接收的所述数据报文的第二报文参数;
在所述第二报文参数与所述第一报文参数满足预设条件时,确定当前接收的所述数据报文的合法性验证通过;
获取验证通过的当前接收的所述数据报文。
在一实施例中,所述获取所述数据报文携带的网络信息的步骤,包括:
对所述数据报文进行解析,得到所述网络协议地址、所述物理地址和工业协议;
获取所述工业协议的协议标识;
根据所述协议标识提取所述工业协议的协议特征。
在一实施例中,所述根据所述协议标识提取所述工业协议的协议特征的步骤,包括:
根据所述协议标识确定所述工业协议的协议类型;
根据所述协议类型提取所述工业协议的协议特征。
在一实施例中,所述根据所述网络信息创建白名单的步骤,包括:
将所述网络协议地址、所述物理地址和所述协议特征添加至所述白名单中。
在一实施例中,所述将所述网络协议地址、所述物理地址和所述协议特征添加至所述白名单中的步骤,包括:
根据预设组合方式对所述网络协议地址、所述物理地址和所述工业协议进行组合;
对组合结果进行加密,添加加密后的所述组合结果至所述白名单中。
此外,为实现上述目的,本发明还提供了一种白名单生成系统,包括:
报文获取模块,用于获取数据报文;
信息提取模块,用于获取所述数据报文携带的网络信息;
白名单创建模块,用于根据所述网络信息创建白名单。
此外,为实现上述目的,本发明还提供了一种终端设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的白名单生成程序,所述白名单生成程序被所述处理器执行时实现上述的白名单生成方法的步骤。
此外,为实现上述目的,本发明还提供了一种存储介质,其上存储有白名单生成程序,所述白名单生成程序被处理器执行时实现上述的白名单生成方法的步骤。
本申请实施例中提供的一种白名单生成方法、系统、设备及存储介质的技术方案,至少具有如下技术效果或优点:
由于采用了获取数据报文,以及根据所获取的数据报文携带的网络信息创建白名单的技术方案,解决了手动为工业审计系统配置工业协议的白名单,导致白名单规则配置不够全面的问题,实现了对工业协议的白名单规则的全面配置,提高了工业审计系统审计工作的准确度。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的结构示意图;
图2为本发明白名单生成方法第一实施例的流程示意图;
图3为本发明白名单生成方法第二实施例的流程示意图;
图4为本发明白名单生成方法第三实施例的流程示意图;
图5为本发明白名单生成系统的功能模块图。
具体实施方式
为了更好的理解上述技术方案,下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1所示,图1为本发明实施例方案涉及的硬件运行环境的结构示意图。
需要说明的是,图1即可为终端设备的硬件运行环境的结构示意图。
如图1所示,该终端设备可以包括:处理器1001,例如CPU,存储器1004,网络接口1003,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。网络接口1003可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1004可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1004可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端设备结构并不构成对终端设备限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1004中可以包括操作系统、网络通信模块以及白名单生成程序。其中,操作系统是管理和控制终端设备硬件和软件资源的程序,白名单生成程序以及其它软件或程序的运行。
在图1所示的终端设备中,网络接口1003主要用于后台服务器,与后台服务器进行数据通信;处理器1001可以用于调用存储器1004中存储的白名单生成程序。
在本实施例中,终端设备包括:存储器1004、处理器1001及存储在所述存储器上并可在所述处理器上运行的白名单生成程序,其中:
处理器1001调用存储器1005中存储的白名单生成程序时,执行以下操作:
获取数据报文;
获取所述数据报文携带的网络信息,所述网络信息至少包括网络协议地址、物理地址以及协议特征;
根据所述网络信息创建白名单。
处理器1001调用存储器1005中存储的白名单生成程序时,还执行以下操作:
采集数据报文;
对所述数据报文进行合法性验证,获取验证通过的所述数据报文。
处理器1001调用存储器1005中存储的白名单生成程序时,还执行以下操作:
获取前一次接收的所述数据报文的第一报文参数;
获取当前接收的所述数据报文的第二报文参数;
在所述第二报文参数与所述第一报文参数满足预设条件时,确定当前接收的所述数据报文的合法性验证通过;
获取验证通过的当前接收的所述数据报文。
处理器1001调用存储器1005中存储的白名单生成程序时,还执行以下操作:
对所述数据报文进行解析,得到所述网络协议地址、所述物理地址和工业协议;
获取所述工业协议的协议标识;
根据所述协议标识提取所述工业协议的协议特征。
处理器1001调用存储器1005中存储的白名单生成程序时,还执行以下操作:
根据所述协议标识确定所述工业协议的协议类型;
根据所述协议类型提取所述工业协议的协议特征。
处理器1001调用存储器1005中存储的白名单生成程序时,还执行以下操作:
将所述网络协议地址、所述物理地址和所述协议特征添加至所述白名单中。
处理器1001调用存储器1005中存储的白名单生成程序时,还执行以下操作:
根据预设组合方式对所述网络协议地址、所述物理地址和所述工业协议进行组合;
对组合结果进行加密,添加加密后的所述组合结果至所述白名单中。
本发明实施例提供了白名单生成方法的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,该白名单生成方法应用于白名单的自动创建,下述各个实施例以创建工业审计系统中工业协议的白名单为例进行说明。
如图2所示,在本申请的第一实施例中,本申请的白名单生成方法,包括以下步骤:
步骤210:获取数据报文。
在本实施例中,工业审计系统中工业协议的白名单可以包括一个或者多个,白名单一般记录有一条或多条白名单规则。工业审计系统具有审计功能,用于对用户通过工业控制系统发出的控制工业设备工作的数据报文进行合法性审计,数据报文可以理解为控制工业设备工作的操作事件;白名单规则用于对每个数据报文进行匹配,判断工业控制系统发出的数据报文的合法性,即判断数据报文是合法的还是非法的。
在创建白名单之前,首先需要设置创建白名单的开始学习时间和学习时长,开始学习时间表示具体哪个时间开始进行白名单创建,学习时长表示白名单从开始创建到完成创建所需要的时间。由工业设备在每一个工作周期中通常会接收到多个相同或者不同的数据报文,并根据接收到的数据报文进行工作,当当前工作周期结束后,下一个工作周期一般会重新发送上一个工作周期内的数据报文进行工业设备控制。所以,学习时长一般根据工业设备的工作周期确定,学习时长可以优选为工业设备的一个周期,如此可以使得创建得到的白名单中记录的白名单规则更为全面。
进一步的,根据开始学习时间开始创建白名单时,首先需要获取数据报文。具体的,数据报文由用户通过工业控制系统发出,经过业务交换机发送至工业设备以及工业审计系统,工业审计系统在学习时长内连续获取经过业务交换机的所有数据报文。其中,工业审计系统将不同时间所获取的数据报文进行去重处理,即保留当前获取的数据报文中重复数据报文中的一个,过滤其它重复的数据报文,或者过滤当前获取的数据报文中与前一时间获取的数据报文重复的数据报文,从而使得在学习时长内获取到的数据报文均不相同。
步骤220:获取所述数据报文携带的网络信息。
在本实施例中,所述网络信息至少包括网络协议地址、物理地址以及协议特征;网络协议地址至少包括源网络协议地址(源IP)、目的网络协议地址(目的IP),物理地址至少包括源物理地址(源MAC)、目的物理地址(目的MAC),协议特征包括功能码、操作指令、操作地址等。具体的,经过业务交换机的数据报文可以是明文或者是预先加密的密文,当数据报文是明文时,工业审计系统可以直接对数据报文进行解析得到网络信息。当数据报文是密文时,工业审计系统可以采用预置的密钥对数据报文进行解密,然后解析获取网络信息。
步骤230:根据所述网络信息创建白名单。
在本实施例中,根据网络信息创建白名单的步骤具体包括,将网络协议地址、物理地址和协议特征添加至白名单中。将网络协议地址、物理地址和协议特征添加至白名单中之后,网络协议地址、物理地址和协议特征就会记录在白名单中,即实现了白名单的创建。其中,白名单中记录的网络协议地址、物理地址和协议特征就是白名单规则。
具体的,将网络协议地址、物理地址和协议特征添加至白名单中的步骤可以包括:根据预设组合方式对网络协议地址、物理地址和工业协议进行组合,对组合结果进行加密,添加加密后的组合结果至白名单中。其中,预设组合方式是指将网络协议地址、物理地址和协议特征添加到白名单之前的排列顺序规则,例如,根据预设组合方式对网络协议地址、物理地址和工业协议进行组合之后,组合结果为“物理地址+网络协议地址+协议特征”,等等。对网络协议地址、物理地址和工业协议进行组合之后,再对组合结果进行加密,将加密后的组合结果添加至白名单中,加密后的组合结果就是白名单规则,此时白名单规则以加密的形式记录在白名单中。
创建的白名单可以是一个,也可以是多个。如果创建的白名单是一个,得到所有网络信息均会被添加至同一白名单中,该白名单中记录有多条白名单规则。如果创建的白名单是多个,得到所有网络信息会被分开添加至多个白名单中,每个白名单中至少记录有一条白名单规则。
进一步的,当学习时长到达后,一个或多个白名单创建完成。用户通过工业审计系统可以调出白名单,查看白名单中的白名单规则。具体的,用户还可以通过工业审计系统对创建完成的白名单进行更新,即在工业审计系统中输入白名单更新请求,该白名单更新请求包括删除操作请求、增加操作请求、替换操作请求等,不同的操作请求携带相应的内容,如删除操作请求携带待删除的白名单规则,增加操作请求携带待增加的白名单规则,替换操作请求携带待替换的白名单规则,工业审计系统根据白名单更新请求,对白名单中的白名单规则进行删除、增加或替换。
白名单创建完成或更新完成后,启用白名单,工业审计系统获取工业控制系统发出的数据报文,并根据白名单中的白名单规则对工业控制系统发出的数据报文进行审计,即对工业控制系统发出的数据报文进行匹配,如果任何一个或多个数据报文与白名单中白名单规则匹配,则与白名单规则匹配的数据报文就会被工业审计系统视为合法数据报文,如果任何一个或多个数据报文与白名单中白名单规则不匹配,则与白名单规则不匹配的数据报文就会被工业审计系统标记为非法数据报文或告警事件。之后,工业审计系统根据预设的间隔时间,在间隔时间到达后,生成数据报文合法性判断的报表,用户通过报表可以明了的看到数据报文是合法的还是非法的。
本实施例根据上述技术方案,由于采用了获取数据报文,获取所述数据报文携带的网络信息,根据所述网络信息创建白名单的技术手段,实现了对工业协议的白名单规则的全面配置,提高了工业审计系统审计工作的准确度。
如图3所示,在本申请的第二实施例中,基于第一实施例,步骤S210包括以下步骤:
步骤S211:采集数据报文。
在本实施例中,在白名单创建的学习时间开启后,工业审计系统在学习时长内连续获取经过业务交换机的所有数据报文。其中,经过业务交换机的所有数据报文中的每个数据报文都具有设备标识,通过设备标识可以确定出每个数据报文具体是控制哪台工业设备工作的,进而根据设备标识对每次获取到的数据报文进行分类,例如将控制工业设备A的数据报文分为A类,工业设备B的数据报文分为B类,等等。
步骤S212:对所述数据报文进行合法性验证,获取验证通过的所述数据报文。
在本实施例中,根据设备标识对每次获取到的数据报文进行分类之后,为了使得创建得到的白名单中白名单规则的准确性,需要对每次获取到的数据报文进行合法性验证,然后将验证通过的数据报文作为创建白名单的数据报文。
具体的,对数据报文进行合法性验证,获取验证通过的数据报文的步骤包括:获取前一次接收的数据报文的第一报文参数;获取当前接收的数据报文的第二报文参数;在第二报文参数与第一报文参数满足预设条件时,确定当前接收的数据报文的合法性验证通过;获取验证通过的当前接收的数据报文。
其中,第一报文参数包括第一报文序号、第一报文确认号和第一报文长度,第二报文参数包括第二报文序号、第二报文确认号和第二报文长度,即第一报文参数和第二报文参数均包括有报文序号、报文确认号和报文长度。对每次获取到的数据报文进行合法性验证具体是指对同一类数据报文的合法性验证,验证方式为:工业审计系统当前接收到业务交换机发送的数据报文后,获取当前接收的数据报文的第一报文序号、第一报文确认号和第一报文长度,同时还获取前一次接收的数据报文的第二报文序号、第二报文确认号和第二报文长度,然后根据预先设定的预设条件对当前接收的数据报文进行合法性验证。其中,预设条件为:当前接收的数据报文的报文序号与前一次接收的数据报文的第二报文确认号相等,且当前接收的第一报文确认号等于前一次接收的数据报文的第二报文序号与第二报文长度的和。如果第一报文序号与第二报文确认号相等,且第一报文确认号等于第二报文序号与第二报文长度的和,则判定前接收的数据报文的合法性验证通过,然后获取验证通过的当前接收的数据报文,并将其作为创建白名单的数据报文。
本实施例根据上述技术方案,由于采用了采集数据报文,对数据报文进行合法性验证,获取验证通过的数据报文的技术手段,实现对非法数据报文的过滤,有利于提高创建的白名单中白名单规则的准确性。
如图4所示,在本申请的第三实施例中,基于第一实施例,步骤S220包括以下步骤:
步骤S221:对所述数据报文进行解析,得到所述网络协议地址、所述物理地址和工业协议。
在本实施例中,获取到作为创建白名单的数据报文之后,对数据报文进行解析,解析数据报文的网络层得到源网络协议地址(源IP)、目的网络协议地址(目的IP),解析数据报文的网络接口层得到源物理地址(源MAC)、目的物理地址(目的MAC),解析数据报文的应用层得到数据报文使用的工业协议。
步骤S222:获取所述工业协议的协议标识。
步骤S223:根据所述协议标识提取所述工业协议的协议特征。
在本实施例中,得到数据报文使用的工业协议之后,获取工业协议的协议标识,根据协议标识提取工业协议的协议特征。其中,根据协议标识可以确定工业协议的协议格式,基于协议格式从工业协议中提取功能码、操作指令、操作地址等协议特征。
进一步地,步骤S223,根据协议标识提取工业协议的协议特征的步骤具体包括:根据协议标识确定工业协议的协议类型,根据协议类型提取工业协议的协议特征。其中,协议标识是指工业协议的协议号,根据协议标识可以确定出工业协议的协议类型,例如协议标识为6,工业协议就是TCP类型的工业协议。不同类型的工业协议具有对应的协议特征,根据协议标识确定工业协议的类型后,可提取到该工业协议的协议特征。
如图5所示,本申请提供的一种白名单生成系统,包括:
报文获取模块310,用于获取数据报文;
信息提取模块320,用于获取所述数据报文携带的网络信息;
白名单创建模块330,用于根据所述网络信息创建白名单。
进一步的,所述报文获取模块310,包括;
报文采集单元,用于采集数据报文;
报文验证单元,用于对所述数据报文进行合法性验证,获取验证通过的所述数据报文。
进一步的,所述报文验证单元,包括;
参数获取子单元,用于获取前一次接收的所述数据报文的第一报文参数,以及获取当前接收的所述数据报文的第二报文参数;
参数判断子单元,用于在所述第二报文参数与所述第一报文参数满足预设条件时,确定当前接收的所述数据报文的合法性验证通过;
报文获取子单元,用于获取验证通过的当前接收的所述数据报文。
进一步的,所述信息提取模块320,包括:
报文解析单元,用于对所述数据报文进行解析,得到所述网络协议地址、所述物理地址和工业协议;
标识获取单元,用于获取所述工业协议的协议标识;
特征提取单元,用于根据所述协议标识提取所述工业协议的协议特征。
进一步的,所述协议特征提取单元在根据所述协议标识提取所述工业协议的协议特征方面,具体用于根据所述协议标识确定所述工业协议的协议类型,并根据所述协议类型提取所述工业协议的协议特征。
进一步的,所述白名单创建模块330在根据所述网络信息创建白名单方面,具体用于将所述网络协议地址、所述物理地址和所述协议特征添加至所述白名单中。
进一步的,所述白名单创建模块330在将所述网络协议地址、所述物理地址和所述协议特征添加至所述白名单中方面,具体包括:
信息组合单元,用于根据预设组合方式对所述网络协议地址、所述物理地址和所述工业协议进行组合;
信息添加单元,用于对组合结果进行加密,添加加密后的所述组合结果至所述白名单中。
本发明白名单生成系统具体实施方式与上述白名单生成方法各实施例基本相同,在此不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种白名单生成方法,其特征在于,所述白名单生成方法,包括:
获取数据报文;
获取所述数据报文携带的网络信息,所述网络信息至少包括网络协议地址、物理地址以及协议特征;
根据所述网络信息创建白名单。
2.如权利要求1所述的白名单生成方法,其特征在于,所述获取数据报文的步骤,包括:
采集数据报文;
对所述数据报文进行合法性验证,获取验证通过的所述数据报文。
3.如权利要求2所述的白名单生成方法,其特征在于,所述对所述数据报文进行合法性验证,获取验证通过的所述数据报文的步骤,包括:
获取前一次接收的所述数据报文的第一报文参数;
获取当前接收的所述数据报文的第二报文参数;
在所述第二报文参数与所述第一报文参数满足预设条件时,确定当前接收的所述数据报文的合法性验证通过;
获取验证通过的当前接收的所述数据报文。
4.如权利要求1所述的白名单生成方法,其特征在于,所述获取所述数据报文携带的网络信息的步骤,包括:
对所述数据报文进行解析,得到所述网络协议地址、所述物理地址和工业协议;
获取所述工业协议的协议标识;
根据所述协议标识提取所述工业协议的协议特征。
5.如权利要求4所述的白名单生成方法,其特征在于,所述根据所述协议标识提取所述工业协议的协议特征的步骤,包括:
根据所述协议标识确定所述工业协议的协议类型;
根据所述协议类型提取所述工业协议的协议特征。
6.如权利要求5所述的白名单生成方法,其特征在于,所述根据所述网络信息创建白名单的步骤,包括:
将所述网络协议地址、所述物理地址和所述协议特征添加至所述白名单中。
7.如权利要求6所述的白名单生成方法,其特征在于,所述将所述网络协议地址、所述物理地址和所述协议特征添加至所述白名单中的步骤,包括:
根据预设组合方式对所述网络协议地址、所述物理地址和所述工业协议进行组合;
对组合结果进行加密,添加加密后的所述组合结果至所述白名单中。
8.一种白名单生成系统,其特征在于,包括:
报文获取模块,用于获取数据报文;
信息提取模块,用于获取所述数据报文携带的网络信息;
白名单创建模块,用于根据所述网络信息创建白名单。
9.一种终端设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的白名单生成程序,所述白名单生成程序被所述处理器执行时实现如权利要求1-7中任一项所述的白名单生成方法的步骤。
10.一种存储介质,其特征在于,其上存储有白名单生成程序,所述白名单生成程序被处理器执行时实现权利要求1-7中任一项所述的白名单生成方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110283293.9A CN112995192B (zh) | 2021-03-16 | 2021-03-16 | 白名单生成方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110283293.9A CN112995192B (zh) | 2021-03-16 | 2021-03-16 | 白名单生成方法、系统、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112995192A true CN112995192A (zh) | 2021-06-18 |
CN112995192B CN112995192B (zh) | 2022-11-15 |
Family
ID=76332644
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110283293.9A Active CN112995192B (zh) | 2021-03-16 | 2021-03-16 | 白名单生成方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112995192B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
CN114363026A (zh) * | 2021-12-27 | 2022-04-15 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
CN107104981A (zh) * | 2017-05-26 | 2017-08-29 | 北京天地和兴科技有限公司 | 一种基于主动防御机制的内容审计系统及其内容审计方法 |
CN109714135A (zh) * | 2018-12-24 | 2019-05-03 | 北京威努特技术有限公司 | 一种数据包传输方法及装置 |
WO2019137554A1 (zh) * | 2018-01-15 | 2019-07-18 | 中兴通讯股份有限公司 | 一种保证环网协议运行安全的方法及装置 |
CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
-
2021
- 2021-03-16 CN CN202110283293.9A patent/CN112995192B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
CN107104981A (zh) * | 2017-05-26 | 2017-08-29 | 北京天地和兴科技有限公司 | 一种基于主动防御机制的内容审计系统及其内容审计方法 |
WO2019137554A1 (zh) * | 2018-01-15 | 2019-07-18 | 中兴通讯股份有限公司 | 一种保证环网协议运行安全的方法及装置 |
CN109714135A (zh) * | 2018-12-24 | 2019-05-03 | 北京威努特技术有限公司 | 一种数据包传输方法及装置 |
CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
CN114257404B (zh) * | 2021-11-16 | 2024-04-30 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
CN114363026A (zh) * | 2021-12-27 | 2022-04-15 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
CN114363026B (zh) * | 2021-12-27 | 2024-05-24 | 北京安博通科技股份有限公司 | 一种基于白名单的工控网络智能控制管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112995192B (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112995192B (zh) | 白名单生成方法、系统、设备及存储介质 | |
CN111045952B (zh) | 软件测试方法、流量回放装置、终端设备及可读存储介质 | |
CN109471865B (zh) | 一种离线数据管理方法、系统、服务器及存储介质 | |
CN108876689B (zh) | 订单处理方法、装置、设备及计算机可读存储介质 | |
CN111488088B (zh) | 设备状态标识方法、装置及智能终端 | |
CN110445719B (zh) | 一种路由表管理方法、装置、设备和存储介质 | |
CN107908632B (zh) | 网站文件处理方法、装置、网站文件处理平台及存储介质 | |
CN109949054B (zh) | Key码确定方法、装置、设备及存储介质 | |
CN106571942B (zh) | 配置数据更新方法、客户端和服务器 | |
JP2018537921A (ja) | Skypeの異なる機能の通信フローに基づく識別方法及び装置 | |
CN103744711A (zh) | 基于3g及加密短信的电力应用程序远程重启方法及系统 | |
CN102833247A (zh) | 一种用户登陆系统中的反扫号方法及其装置 | |
CN111756716A (zh) | 流量检测方法、装置及计算机可读存储介质 | |
KR100959836B1 (ko) | 링크를 통한 클라이언트 프로비저닝 | |
CN113709740A (zh) | 一种在授权登录页面显示账号信息的方法及系统 | |
CN111008209B (zh) | 数据的对账方法、装置及系统、存储介质、电子装置 | |
CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
EP2051494A1 (en) | Setting information registering apparatus, wireless communication system, setting information registering method and setting information registering program | |
CN109587121B (zh) | 安全策略的管控方法及装置 | |
CN105743939B (zh) | 一种消息推送的方法和装置 | |
EP3718284A1 (en) | Extending encrypted traffic analytics with traffic flow data | |
CN110768811A (zh) | 更新yang模型文件库的方法、装置和系统 | |
CN111786938B (zh) | 防止恶意获取资源的方法、系统和电子设备 | |
CN114546760A (zh) | 一种基于主动标识载体的设备监控方法及设备 | |
CN113497827A (zh) | 信息共享方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |