CN113079185B - 实现深度数据包检测控制的工业防火墙控制方法及设备 - Google Patents
实现深度数据包检测控制的工业防火墙控制方法及设备 Download PDFInfo
- Publication number
- CN113079185B CN113079185B CN202110629071.8A CN202110629071A CN113079185B CN 113079185 B CN113079185 B CN 113079185B CN 202110629071 A CN202110629071 A CN 202110629071A CN 113079185 B CN113079185 B CN 113079185B
- Authority
- CN
- China
- Prior art keywords
- industrial
- data packet
- industrial network
- network protocol
- visitor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种实现深度数据包检测控制的工业防火墙控制方法及设备,可包括:识别工业网络协议,并根据工业网络协议匹配对应的安全策略,其中安全策略包括:设定对数据包的过滤条件、以及配置对数据包进行深度检测深度检测模块。由深度检测模块对工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的工业网络协议。由检测装置对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入。通过部署工业防火墙可以有效地划分安全区域,提供边界、区域到终端的完整防护,有利于降低工业网络被入侵的风险。另外,有效地解决了工业系统间因缺少隔离引起安全威胁迁移扩散的问题,例如配置错误、硬件故障、病毒等引发的安全威胁。
Description
技术领域
本申请涉及工业控制系统安全防御技术领域,尤其涉及一种实现深度数据包检测控制的工业防火墙控制方法及设备。
背景技术
工业网络是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的一种结果。工业网络满足了工业智能化的发展需求,具有低延时、深层次、革命性的影响的同时,也存在着不可忽视的安全性问题。传统工业设备更注重业务连续性需求,日常运行维护主要也是针对安全生产内容开展相关工作,各个环节对网络完全内容涉及较少,基本不具备防护各种网络攻击的能力。但是,工业网络将越来越多的智能化设备引入到工业控制系统中,直接参与生产,使得工业控制系统面临严重的设备安全风险,例如数据盗取、接入认证、无线连接、安全追溯等。另外,由于各个厂商及协会公布了大量工业网络控制协议的标准和实现细节,更便于攻击者通过深入挖掘工业标准的漏洞,借此展开针对特定工业协议发起专用的攻击。
由此可见,当前的工业网络正存在着极大的安全隐患,急需提供全面、纵深的安全防御策略对其进行有效保护,而边界安全防护则是最重要的环节。
发明内容
本申请提供了一种实现深度数据包检测控制的工业防火墙控制方法及设备,以期解决或部分解决背景技术中涉及的上述问题或现有技术中的其它至少一个不足。
本申请提供了这样一种实现深度数据包检测控制的工业防火墙控制方法,可包括:识别工业网络协议,并根据工业网络协议匹配对应的安全策略,其中安全策略包括:设定对数据包的过滤条件、以及配置对数据包进行深度检测的深度检测模块;由深度检测模块对工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的工业网络协议;以及由深度检测模块对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入。
在一些实施方式中,识别工业网络协议,并根据工业网络协议匹配对应的安全策略,可包括:获取工业网络协议的流量,并将工业网络协议的流量以会话为单位进行分类,其中每个会话中包含多个数据包。分别将多个数据包划分为多个字符串。分别统计多个字符串的出现频率,筛选出符合预设阈值的具有最大出现频率的字符串作为频繁字符串,确定频繁字符串为工业网络协议对应的工业网络协议特征。根据工业网络协议特征,为工业网络匹配对应的安全策略。
在一些实施方式中,安全策略还可包括:对分布式拒绝服务攻击进行防护、对异常数据包攻击进行防护、以及扫描防护。
在一些实施方式中,安全策略还可包括:对访问者进行访问控制,可包括:获取并识别访问者的访问信息,其中访问信息包括访问者的安全域、访问者与工业网络之间的互连协议、访问者的局域网地址、访问者的访问时间段、访问者的动作和工控协议的功能码。根据访问者的访问信息,筛选出符合预设的访问控制政策的访问者。将访问者与具有访问权限的角色建立联系,以将访问者分配给对应的角色,其中角色是具有相同的访问权限的访问者的集合。获得角色的访问者得到角色对应的访问权限。
在一些实施方式中,在识别工业网络协议,并根据工业网络协议匹配对应的安全策略之前,可包括:开启工业防火墙的管控工作模式,其中工作模式包括:直通工作模式、测试工作模式以及管控工作模式。
在一些实施方式中,在由深度检测模块对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入之后,还可包括:针对不符合预设要求的工业网络协议或符合过滤条件的数据包,生成警告。
在一些实施方式中,在由深度检测模块对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入之后,还可包括:生成包括不符合预设要求的工业网络协议或符合过滤条件的数据包的信息的日志。
本申请还提供了这样一种实现深度数据包检测控制的工业防火墙控制设备,可包括:安全策略设定模块以及深度检测模块。安全策略设定模块用于识别工业网络协议,并根据工业网络协议匹配对应的安全策略,其中安全策略包括:设定对数据包的过滤条件、以及配置对数据包进行深度检测的深度检测模块。深度检测模块用于对工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的工业网络协议。深度检测模块还用于对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入。
在一些实施方式中,安全策略设定模块的执行步骤可包括:获取工业网络协议的流量,并将工业网络协议的流量以会话为单位进行分类,其中每个会话中包含多个数据包。分别将多个数据包划分为多个字符串。分别统计多个字符串的出现频率,筛选出符合预设阈值的具有最大出现频率的字符串作为频繁字符串,确定频繁字符串为工业网络协议对应的工业网络协议特征。根据工业网络协议特征,为工业网络匹配对应的安全策略。
在一些实施方式中,安全策略还可包括:对分布式拒绝服务攻击进行防护、对异常数据包攻击进行防护、以及扫描防护。
根据上述的实施方式的技术方案可至少获得以下至少一个有益效果。
根据本申请一实施方式的实现深度数据包检测控制的工业防火墙控制方法及设备,通过部署工业防火墙可以有效地划分安全区域,提供边界、区域到终端的完整防护,有利于降低工业网络被入侵的风险。另外,有效地解决了工业系统间因缺少隔离引起安全威胁迁移扩散的问题,例如配置错误、硬件故障、病毒等引发的安全威胁。
附图说明
通过阅读参照以下附图所作的对非限制性实施例的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是根据本申请的示例性实施方式的实现深度数据包检测控制的工业防火墙控制方法流程图;以及
图2是根据本申请的示例性实施方式的实现深度数据包检测控制的工业防火墙控制设备结构示意图。
具体实施方式
为了更好地理解本申请,将参考附图对本申请的各个方面做出更详细的说明。应理解,这些详细说明只是对本申请的示例性实施方式的描述,而非以任何方式限制本申请的范围。在说明书全文中,相同的附图标号指代相同的元件。表述“和/或”包括相关联的所列项目中的一个或多个的任何和全部组合。
在附图中,为了便于说明,已稍微调整了元素的大小、尺寸和形状。附图仅为示例而并非严格按比例绘制。如在本文中使用的,用语“大致”、“大约”以及类似的用语用作表近似的用语,而不用作表程度的用语,并且旨在说明将由本领域普通技术人员认识到的、测量值或计算值中的固有偏差。另外,在本申请中,各步骤处理描述的先后顺序并不必然表示这些处理在实际操作中出现的顺序,除非有明确其它限定或者能够从上下文推导出的除外。
还应理解的是,诸如“包括”、“包括有”、“具有”、“包含”和/或“包含有”等表述在本说明书中是开放性而非封闭性的表述,其表示存在所陈述的特征、元件和/或部件,但不排除一个或多个其它特征、元件、部件和/或它们的组合的存在。此外,当诸如“...中的至少一个”的表述出现在所列特征的列表之后时,其修饰整列特征,而非仅仅修饰列表中的单独元件。此外,当描述本申请的实施方式时,使用“可”表示“本申请的一个或多个实施方式”。并且,用语“示例性的”旨在指代示例或举例说明。
除非另外限定,否则本文中使用的所有措辞(包括工程术语和科技术语)均具有与本申请所属领域普通技术人员的通常理解相同的含义。还应理解的是,除非本申请中有明确的说明,否则在常用词典中定义的词语应被解释为具有与它们在相关技术的上下文中的含义一致的含义,而不应以理想化或过于形式化的意义解释。
需要说明的是,在不冲突的情况下,本申请中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明本申请。
工业网络将越来越多的智能化设备引入到工业控制系统中,直接参与生产,使得工业控制系统面临严重的设备安全风险,例如数据盗取、接入认证、无线连接、安全追溯等。另外,由于各个厂商及协会公布了大量工业网络控制协议的标准和实现细节,更便于攻击者通过深入挖掘工业标准的漏洞,借此展开针对特定工业协议发起专用的攻击。由此可见,当前的工业网络正存在着极大的安全隐患,急需提供全面、纵深的安全防御策略对其进行有效保护,而边界安全防护则是最重要的环节。
基于此,本申请提供了一种实现深度数据包检测控制的工业防火墙控制方法,可包括:识别工业网络协议,并根据工业网络协议匹配对应的安全策略,其中安全策略包括:设定对数据包的过滤条件、以及配置对数据包进行深度检测的深度检测模块。由深度检测模块对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入。
图1是根据本申请的示例性实施方式的实现深度数据包检测控制的工业防火墙控制方法流程图。如图1所示,本身包括六个具体步骤,用于解决上述问题。
步骤S1,开启工业防火墙的管控工作模式。
在一些实施方式中,考虑到工业网络对于可用性、持续性的要求,工业网络的防火墙设备采用全透明接入的方式,提供了直通、测试、管控三种工作模式。在部署、配置和使用过程中,可根据需要实时切换到适当的工作模式下,保证在整个部署过程中都不会阻断正常的业务数据传输,无需中断生产系统的运行。
具体地,在开启直通模式时,工业防火墙可允许所有访问者进行数据包的直接传输,无需识别工业网络协议,并为其匹配对应的安全策略,当然,也不会产生日志记录。在开启测试模式时,工业防火墙可允许所有访问者进行数据包的直接传输。但在测试模式下,需要识别工业网络协议,并为其匹配对应的安全策略。进一步地,通过对数据包进行深层检测,验证其是否符合安全策略中对应的过滤条件,并生成对应的日志记录。最后根据日志记录,查看符合过滤条件的数据包和不符合过滤条件的数据包是否存在筛选错误,以便用户验证自己的安全策略是否存在错误或者规则的遗漏。进一步地,当安全策略准确无误后,即可开启管控工作模式。
在一些实施方式中,在启动管控工作模式后,工业防火墙将基于预设的安全策略,进行数据包的深度检测等操作。当然,在管控工作模式下,将自动启动日志记录功能,以便用户查验过滤结果及安全威胁,进而进行对应的处理。需要说明的是,本实施方式的后续步骤均是在工业防火墙的管控工作模式下实现的,通过执行对数据包进行深度检测等步骤,确保工业网络的安全。
步骤S2,识别工业网络协议,并根据工业网络协议匹配对应的安全策略。
具体地,面向工业网络适用协议具有种类较多、异构性较强的特点。本申请的工业防火墙能够支持对工业网络通信采用的常见工业网络协议的自主解析和识别,以提取工业网络通信过程中使用的各个工业网络协议的特征。工业防火墙能够解析识别的工业网络协议可包括:TCP(Transmission Control Protocol,传输控制协议),UDP(User DatagramProtocol,用户数据报协议),HTTP(Hypertext Transfer Protocol,超文本传输协议),HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议),ICMP(Internet Control Message Protocol,控制报文协议),FTP(File TransferProtocol,文件传输协议),TELNET(远程终端协议),视频协议以及数据库。进一步地,在获取了每种工业网络协议的特征之后为其匹配对应的安全策略。
更具体地,首先获取工业网络协议的流量,并将工业网络协议的流量以会话为单位进行分类,其中每个会话中包含多个数据包。进一步地,分别将多个数据包划分为多个字符串。进一步地,分别统计多个字符串的出现频率,筛选出符合预设阈值的具有最大出现频率的字符串作为频繁字符串,确定频繁字符串为工业网络协议对应的工业网络协议特征。最后,根据工业网络协议特征,为工业网络匹配对应的安全策略。
在一些实施方式中,安全策略可包括:设定对数据包的过滤条件、以及配置对数据包进行深度检测的深度检测模块。
在一些实施方式中,安全策略还可包括:对分布式拒绝服务攻击进行防护、对异常数据包攻击进行防护、以及扫描防护。具体地,异常数据宝攻击防护可包括对Ping ofDeath攻击进行防护、对TCP碎片攻击进行防护、对IP碎片攻击进行防护、对局域网拒绝服务攻击进行防护等。扫描防护可包括对名为SCANPORT的端口扫描攻击进行防护。
具体地,包括DOS(Denial Of Service,拒绝服务)攻击防护,或DDOS(Distribution Denial Of Service,分布式拒绝服务)攻击防护。DOS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。但大多数的DOS攻击还是需要相当大的带宽的,而以个人为单位的黑客们很难使用高带宽的资源。为了克服这个缺点,DDOS攻击可简单利用工具集合许多的网络带宽来同时对同一个目标发动大量的攻击请求。更具体地,DOS攻击或DDOS攻击包括:TCP Flood攻击、UDP Flood攻击、SYN Flood攻击、ICMP Flood攻击、IP Flood攻击、TCP最大连接数等。SYN Flood攻击是最经典的DDOS攻击方式,利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。以SYN Flood攻击为例,本申请的防护措施可为:首先由工业防火墙来响应syn_ack的报文,并带上特定的顺序号。真实的客户端会返回一个确认字符ack,并且将特定的顺序号进行加1处理。而伪造的客户端将不会作出响应。这样我们就可以知道那些IP对应的客户端是真实的,将真实客户端IP加入白名单。下次访问直接通过,而其他伪造的syn报文就被拦截。
在一些实施方式中,安全策略还包括:对访问者进行访问控制。具体地,首先获取并识别访问者的访问信息,其中访问信息包括访问者的安全域、访问者与工业网络之间的互连协议、访问者的局域网地址、访问者的访问时间段、访问者的动作和工控协议的功能码。进一步地,根据访问者的访问信息,筛选出符合预设的访问控制政策的访问者。进一步地,将访问者与具有访问权限的角色建立联系,以将访问者分配给对应的角色,其中角色是具有相同的访问权限的访问者的集合。最终,获得角色的访问者得到角色对应的访问权限。在该过程中,本申请的防火墙可对工控协议的功能码进行超过一千种的功能码的识别,可做到指令级或者值域级的更精细的控制粒度。当然,访问者与工业网络之间的互连协议可包括工业标准OPC、Modbus通信协议等多种主流工控协议。
步骤S3,由深度检测模块对工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的工业网络协议。
在一些实施方式中,本申请的深度检测模块具有四至七层数据包的过滤单元,能够支持以五元组形式对通用协议数据包进行安全过滤。五元组即数据包对应的源IP地址,源端口,目的IP地址,目的端口和传输层协议。由安全策略配置的深度检测模块对应用层的工业网络协议的内部指令、以及内部寄存器的数据进行扫描,防止应用层协议被纂改或破坏,保证工业协议通讯的可控性和准确性,为工业网络通讯提供最安全的协议方案。例如:Modbus协议规则可以针对Modbus协议的设备地址、寄存器类型、寄存器范围和读写属性等进行检查,能有效的防范各种非法的操作和数据进入现场控制网络,最大限度地保护控制系统的安全。能够对工业标准OPC、Modbus通信协议、通信协议IEC 60870-5-104通信协议、IEC 61850 MMS通信协议、控制器Siemens S7、应用层的协定Ethernet/IP(CIP)等主流工控协议做深度报文解析,识别报文中的有效内容特征、负载和可用匹配信息,如恶意软件、具体指令和应用程序类型,对工控协议特征做到实时解析和精准的识别。
步骤S4,由深度检测模块对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入。
在一些实施方式中,本申请的深度检测模块具有四至七层数据包的过滤单元,能够支持以五元组形式对数据包进行安全过滤。五元组即数据包对应的源IP地址,源端口,目的IP地址,目的端口和传输层协议。在对数据包的全部数据内容进行扫描后,制止符合过滤条件的数据包的输入。同时,生成对应的日志记录。该日志记录包括符合过滤条件的数据包的具体信息,以便用户核验处理。
步骤S5,针对不符合预设要求的工业网络协议以及符合过滤条件的数据包,生成警告。
在一些实施方式中,当检测到异常情况时,例如发现不符合预设要求的工业网络协议或者符合过滤条件的数据包等,可仅发送警告,以便用户确认及处理。但是,在该过程中不阻断正常的数据包的传输,无需中断应用本设备的系统的生产系统的运行,保证了生产系统的不间断运行。
步骤S6,生成包括不符合预设要求的工业网络协议信息和符合过滤条件的数据包的信息的日志。
在一些实施方式中,本申请提供了完整的日志管理平台,在上述操作步骤后,日志管理平台将记录包括不符合预设要求的工业网络协议以及符合过滤条件的数据包的信息,以便用户检查处理。另外,日志管理平台还可用于审计访问操作记录,为界定不同区域间的交叉访问和问题追踪提供可靠的依据;还可为用户提供防火墙状态监控、日志存储、检索、查询及智能报警等功能,以实现与用户的信息交互。
根据本申请一实施方式的实现深度数据包检测控制的工业防火墙控制方法,通过部署工业防火墙可以有效地划分安全区域,提供边界、区域到终端的完整防护,有利于降低工业网络被入侵的风险。另外,有效地解决了工业系统间因缺少隔离引起安全威胁迁移扩散的问题,例如配置错误、硬件故障、病毒等引发的安全威胁。
为了实现上述方法的各个步骤,本申请还提供了一种实现深度数据包检测控制的工业防火墙控制设备,可包括:安全策略设定模块2和深度检测模块3。安全策略设定模块用于识别工业网络协议,并根据工业网络协议匹配对应的安全策略,其中安全策略包括:设定对数据包的过滤条件、以及配置对数据包进行深度检测的深度检测模块3。深度检测模块用于工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的工业网络协议。深度检测模块3还用于对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入。
图2是根据本申请的示例性实施方式的实现工业防火墙的深度数据包检测控制的设备的结构示意图。如图2所示,本申请还提供了模式选择模块1、警告模块4、日志管理平台5。
具体地,模式选择模块1用于开启工业防火墙的管控工作模式。
在一些实施方式中,考虑到工业网络对于可用性、持续性的要求,工业网络的防火墙设备采用全透明接入的方式,提供了直通、测试、管控三种工作模式。在部署、配置和使用过程中,可根据需要实时切换到适当的工作模式下,保证在整个部署过程中都不会阻断正常的业务数据传输,无需中断生产系统的运行。
具体地,安全策略设定模块2用于识别工业网络协议,并根据工业网络协议匹配对应的安全策略。具体地,面向工业网络适用协议具有种类较多、异构性较强的特点。安全策略设定模块2能够支持对工业网络通信采用的常见工业网络协议的自主解析和识别,以提取工业网络通信过程中使用的各个工业网络协议的特征。进一步地,安全策略设定模块2在获取了每种工业网络协议的特征之后为其匹配对应的安全策略。更具体地,安全策略设定模块2的执行步骤包括:首先获取工业网络协议的流量,并将工业网络协议的流量以会话为单位进行分类,其中每个会话中包含多个数据包。进一步地,分别将多个数据包划分为多个字符串。进一步地,分别统计多个字符串的出现频率,筛选出符合预设阈值的具有最大出现频率的字符串作为频繁字符串,确定频繁字符串为工业网络协议对应的工业网络协议特征。最后,根据工业网络协议特征,为工业网络匹配对应的安全策略。
具体地,深度检测模块3用于对工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的工业网络协议。
在一些实施方式中,深度检测模块3具有四至七层数据包的过滤单元,能够支持以五元组形式对通用协议数据包进行安全过滤。五元组即数据包对应的源IP地址,源端口,目的IP地址,目的端口和传输层协议。深度检测模块3对应用层的工业网络协议的内部指令、以及内部寄存器的数据进行扫描,防止应用层协议被纂改或破坏,保证工业协议通讯的可控性和准确性,为工业网络通讯提供最安全的协议方案。
具体地,深度检测模块3还用于对数据包的全部数据内容进行扫描,制止符合过滤条件的数据包的输入。
在一些实施方式中,深度检测模块3具有四至七层数据包的过滤单元,能够支持以五元组形式对数据包进行安全过滤。五元组即数据包对应的源IP地址,源端口,目的IP地址,目的端口和传输层协议。深度检测模块3在对数据包的全部数据内容进行扫描后,制止符合过滤条件的数据包的输入。
具体地,警告模块4用于针对不符合预设要求的工业网络协议以及符合过滤条件的数据包,生成警告。
在一些实施方式中,当检测到异常情况时,例如发现不符合预设要求的工业网络协议或者符合过滤条件的数据包等,警告模块4可仅发送警告,以便用户确认及处理。但是,在该过程中不阻断正常的数据包的传输,无需中断应用本设备的系统的生产系统的运行,保证了生产系统的不间断运行。
日志管理平台5用于生成包括不符合预设要求的工业网络协议信息和符合过滤条件的数据包的信息的日志。
在一些实施方式中,本申请提供了完整的日志管理平台5,在上述操作步骤后,日志管理平台5将记录包括不符合预设要求的工业网络协议以及符合过滤条件的数据包的信息,以便用户检查处理。另外,日志管理平台还可用于审计访问操作记录,为界定不同区域间的交叉访问和问题追踪提供可靠的依据;还可为用户提供防火墙状态监控、日志存储、检索、查询及智能报警等功能,以实现与用户的信息交互。
本申请的实现深度数据包检测控制的工业防火墙控制设备的各个模块是用于实现上述方法的各个步骤而提出的,因此各个模块的具体实现步骤和实现方式可参考上述方法中的内容,在此不再赘述。
根据本申请一实施方式的实现深度数据包检测控制的工业防火墙控制设备,通过部署工业防火墙可以有效地划分安全区域,提供边界、区域到终端的完整防护,有利于降低工业网络被入侵的风险。另外,有效地解决了工业系统间因缺少隔离引起安全威胁迁移扩散的问题,例如配置错误、硬件故障、病毒等引发的安全威胁。
如上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明。应理解的是,以上所述仅为本发明的具体实施方式,并不用于限制本发明。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等均应包含在本发明的保护范围之内。
Claims (6)
1.一种实现深度数据包检测控制的工业防火墙控制方法,其特征在于,包括:
开启工业防火墙的管控工作模式,其中,所述工业防火墙采用全透明接入的方式,所述工作模式包括:直通工作模式、测试工作模式以及所述管控工作模式;其中,在所述直通工作模式中,所述工业防火墙允许访问者进行数据包的直接传输;在所述测试工作模式中,所述工业防火墙的执行步骤包括:识别工业网络协议,为所述工业网络协议匹配对应的安全策略,对数据包进行深层检测,以验证所述数据包是否符合所述安全策略中对应的过滤条件并生成日志记录,查看所述日志记录中符合所述过滤条件的数据包和不符合所述过滤条件的数据包是否存在筛选错误,以验证所述安全策略的准确性;
识别工业网络协议,并根据所述工业网络协议匹配对应的安全策略,包括:获取所述工业网络协议的流量,并将所述工业网络协议的流量以会话为单位进行分类,其中每个所述会话中包含多个所述数据包;分别将多个所述数据包划分为多个字符串;分别统计多个所述字符串的出现频率,筛选出符合预设阈值的具有最大出现频率的所述字符串作为频繁字符串,确定所述频繁字符串为所述工业网络协议对应的工业网络协议特征;以及根据所述工业网络协议特征,为所述工业网络匹配对应的所述安全策略;其中所述安全策略包括:设定对数据包的过滤条件、以及配置对所述数据包进行深度检测的深度检测模块;
由所述深度检测模块对所述工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的所述工业网络协议;以及
由所述深度检测模块对所述数据包的全部数据内容进行扫描,制止符合所述过滤条件的所述数据包的输入;
其中,所述安全策略还包括:对所述访问者进行访问控制,包括:
获取并识别所述访问者的访问信息,其中所述访问信息包括所述访问者的安全域、所述访问者与工业网络之间的互连协议、所述访问者的局域网地址、所述访问者的访问时间段、所述访问者的动作和工控协议的功能码;
根据所述访问者的访问信息,筛选出符合预设的访问控制政策的所述访问者;
将所述访问者与具有访问权限的角色建立联系,以将所述访问者分配给对应的所述角色,其中所述角色是具有相同的所述访问权限的访问者的集合;以及
获得所述角色的所述访问者得到所述角色对应的所述访问权限。
2.根据权利要求1所述的方法,其特征在于,所述安全策略还包括:对分布式拒绝服务攻击进行防护、对异常数据包攻击进行防护、以及扫描防护。
3.根据权利要求1所述的方法,在所述由所述深度检测模块对所述数据包的全部数据内容进行扫描,制止符合所述过滤条件的所述数据包的输入之后,其特征在于,还包括:
针对不符合预设要求的所述工业网络协议或符合所述过滤条件的所述数据包,生成警告。
4.根据权利要求1所述的方法,在所述由所述深度检测模块对所述数据包的全部数据内容进行扫描,制止符合所述过滤条件的所述数据包的输入之后,其特征在于,还包括:
生成包括不符合预设要求的所述工业网络协议或符合所述过滤条件的所述数据包的信息的日志。
5.一种实现深度数据包检测控制的工业防火墙控制设备,其特征在于,包括:
模式选择模块,用于开启工业防火墙的管控工作模式,其中,所述工业防火墙采用全透明接入的方式,所述工作模式包括:直通工作模式、测试工作模式以及所述管控工作模式;其中,在所述直通工作模式中,所述工业防火墙允许访问者进行数据包的直接传输;在所述测试工作模式中,所述工业防火墙的执行步骤包括:识别工业网络协议,为所述工业网络协议匹配对应的安全策略,对数据包进行深层检测,以验证所述数据包是否符合所述安全策略中对应的过滤条件并生成日志记录,查看所述日志记录中符合所述过滤条件的数据包和不符合所述过滤条件的数据包是否存在筛选错误,以验证所述安全策略的准确性;
安全策略设定模块,用于识别工业网络协议,并根据所述工业网络协议匹配对应的安全策略,其中所述安全策略设定模块的执行步骤包括:获取所述工业网络协议的流量,并将所述工业网络协议的流量以会话为单位进行分类,其中每个所述会话中包含多个所述数据包;分别将多个所述数据包划分为多个字符串;分别统计多个所述字符串的出现频率,筛选出符合预设阈值的具有最大出现频率的所述字符串作为频繁字符串,确定所述频繁字符串为所述工业网络协议对应的工业网络协议特征;以及根据所述工业网络协议特征,为所述工业网络匹配对应的所述安全策略;其中所述安全策略包括:设定对数据包的过滤条件、以及配置对所述数据包进行深度检测的深度检测模块;
所述深度检测模块,用于所述工业网络协议的内部指令、以及内部寄存器的数据进行扫描,清除不符合预设要求的所述工业网络协议;以及
所述深度检测模块,还用于对所述数据包的全部数据内容进行扫描,制止符合所述过滤条件的所述数据包的输入;
其中,所述安全策略还包括:对访问者进行访问控制,包括:
获取并识别所述访问者的访问信息,其中所述访问信息包括所述访问者的安全域、所述访问者与工业网络之间的互连协议、所述访问者的局域网地址、所述访问者的访问时间段、所述访问者的动作和工控协议的功能码;
根据所述访问者的访问信息,筛选出符合预设的访问控制政策的所述访问者;
将所述访问者与具有访问权限的角色建立联系,以将所述访问者分配给对应的所述角色,其中所述角色是具有相同的所述访问权限的访问者的集合;以及
获得所述角色的所述访问者得到所述角色对应的所述访问权限。
6.根据权利要求5所述的设备,其特征在于,所述安全策略还包括:对分布式拒绝服务攻击进行防护、对异常数据包攻击进行防护、以及扫描防护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110629071.8A CN113079185B (zh) | 2021-06-07 | 2021-06-07 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110629071.8A CN113079185B (zh) | 2021-06-07 | 2021-06-07 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113079185A CN113079185A (zh) | 2021-07-06 |
CN113079185B true CN113079185B (zh) | 2021-09-24 |
Family
ID=76617061
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110629071.8A Active CN113079185B (zh) | 2021-06-07 | 2021-06-07 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113079185B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826781A (zh) * | 2022-06-24 | 2022-07-29 | 国家管网集团北方管道有限责任公司 | 一种串口防火墙系统及其实现方法 |
CN115314252B (zh) * | 2022-07-06 | 2023-06-13 | 北京神州慧安科技有限公司 | 应用于工业防火墙的防护方法、系统、终端及存储介质 |
CN116566747B (zh) * | 2023-07-11 | 2023-10-31 | 华能信息技术有限公司 | 基于工业互联网的安全防护方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN105429824A (zh) * | 2015-12-18 | 2016-03-23 | 中国电子信息产业集团有限公司第六研究所 | 一种工控协议自适应深度检测装置与方法 |
CN109995740A (zh) * | 2018-01-02 | 2019-07-09 | 国家电网公司 | 基于深度协议分析的威胁检测方法 |
CN111669354A (zh) * | 2019-03-08 | 2020-09-15 | 天津大学 | 基于机器学习的威胁情报工业防火墙 |
CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7966654B2 (en) * | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
CN106230771A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 基于多核处理器的工业控制系统工业防火墙 |
CN109698831B (zh) * | 2018-12-28 | 2021-07-02 | 中电智能科技有限公司 | 数据防护方法和装置 |
-
2021
- 2021-06-07 CN CN202110629071.8A patent/CN113079185B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN105429824A (zh) * | 2015-12-18 | 2016-03-23 | 中国电子信息产业集团有限公司第六研究所 | 一种工控协议自适应深度检测装置与方法 |
CN109995740A (zh) * | 2018-01-02 | 2019-07-09 | 国家电网公司 | 基于深度协议分析的威胁检测方法 |
CN111669354A (zh) * | 2019-03-08 | 2020-09-15 | 天津大学 | 基于机器学习的威胁情报工业防火墙 |
CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113079185A (zh) | 2021-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
Stiawan et al. | Investigating brute force attack patterns in IoT network | |
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
US9667589B2 (en) | Logical / physical address state lifecycle management | |
CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN111641620A (zh) | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 | |
Zitta et al. | Penetration testing of intrusion detection and prevention system in low-performance embedded IoT device | |
Kang et al. | Cyber threats and defence approaches in SCADA systems | |
CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
KR20200109875A (ko) | 유해 ip 판단 방법 | |
Asha et al. | Analysis on botnet detection techniques | |
Ivanova et al. | Method of fuzzing testing of firewalls using the gray box method | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
CN113411296B (zh) | 态势感知虚拟链路防御方法、装置及系统 | |
Abhijith et al. | First Level Security System for Intrusion Detection and Prevention in LAN | |
Singh et al. | Intrusion detection using network monitoring tools | |
Mabsali et al. | Effectiveness of Wireshark Tool for Detecting Attacks and Vulnerabilities in Network Traffic | |
Kang et al. | Whitelist generation technique for industrial firewall in SCADA networks | |
Ivanova | Modelling the impact of cyber attacks on the traffic control centre of an urban automobile transport system by means of enhanced cybersecurity | |
Singh et al. | A review on intrusion detection system | |
Farooqi et al. | Intrusion detection system for IP multimedia subsystem using K-nearest neighbor classifier |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |