CN114139133A - 一种工控安全防护方法及装置 - Google Patents
一种工控安全防护方法及装置 Download PDFInfo
- Publication number
- CN114139133A CN114139133A CN202111487799.8A CN202111487799A CN114139133A CN 114139133 A CN114139133 A CN 114139133A CN 202111487799 A CN202111487799 A CN 202111487799A CN 114139133 A CN114139133 A CN 114139133A
- Authority
- CN
- China
- Prior art keywords
- identified
- host
- message
- industrial control
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明提供了一种工控安全防护方法及装置,获取待识别主机发送的至少携带主机标识的待识别报文;根据主机标识和可信主机列表,确定待识别主机是否为可信主机;在待识别主机不是可信主机时,解析待识别报文并根据解析结果确定待识别操作;若待识别操作为任一预设关键操作,拦截待识别报文;在待识别主机为可信主机时,若待识别主机的信任值大于等于信任值阈值,将待识别报文发送给目标工控设备;若待识别主机的信任值小于信任值阈值,根据控制权限,确定将待识别报文发送给目标工控设备或拦截待识别报文。在进行安全防护时,对待识别主机、待识别主机的信任值和待识别报文对应的操作进行检测,丰富检测对象范围,提高工控设备的安全性。
Description
技术领域
本发明涉及网络安全防护技术领域,具体涉及一种工控安全防护方法及装置。
背景技术
在《中华人民共和国公共安全行业标准》中,对工业控制设备有具体的安全防护要求。
目前对工业控制设备进行安全防护的方式为:采用常规的防火墙(或者说安全防护产品)对访问和控制工业控制设备的操作指令进行识别和阻断。但是,常规的防火墙仅基于IP或MAC进行数据包的检测和阻断,且检测对象仅局限于传输层五元组,检测的对象范围较为局限,导致工业控制设备的安全性较差。
发明内容
有鉴于此,本发明实施例提供一种工控安全防护方法及装置,以解决现有利用防火墙进行安全防护的方式导致工业控制设备的安全性较差的问题。
为实现上述目的,本发明实施例提供如下技术方案:
本发明实施例第一方面公开一种工控安全防护方法,所述方法适用于设置在工业网络环境最终端的工控安全防护装置,所述方法包括:
获取待识别主机发送的至少携带主机标识的待识别报文,所述待识别报文用于控制目标工控设备;
根据所述主机标识和预设的可信主机列表,确定所述待识别主机是否为可信主机,所述可信主机列表中包含了:在预设时间段内进行自学习所确定的可信主机对应的主机标识和信任值;预先与所述可信主机完成身份认证;
在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作;
若所述待识别操作为任一预设关键操作,拦截所述待识别报文;
在所述待识别主机为可信主机的情况下,若所述待识别主机的信任值大于等于信任值阈值,将所述待识别报文发送给所述目标工控设备;
若所述待识别主机的信任值小于所述信任值阈值,根据所述待识别主机的控制权限,确定将所述待识别报文发送给所述目标工控设备或拦截所述待识别报文。
优选的,在预设时间段内进行自学习确定可信主机的信任值的过程,包括:
对于可信主机在预设时间段内所发送的每一待学习报文,解析所述待学习报文并根据解析结果确定相应的操作;
若所述待学习报文对应的操作为预设关键操作,且当所述可信主机具有与所述待学习报文对应的控制权限时,将所述可信主机当前的信任值增加预设值,所述待学习报文用于控制所述可信主机对应的工控设备。
优选的,所述在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作,包括:
在所述待识别主机不是可信主机的情况下,利用所述目标工控设备对应的工控协议,解析所述待识别报文得到相应的待识别功能码;
利用预设的功能码目录,确定所述待识别功能码对应的待识别操作,所述功能码目录包含各个功能码对应的操作。
优选的,若所述待识别主机的信任值小于所述信任值阈值,根据所述待识别主机的控制权限,确定将所述待识别报文发送给所述目标工控设备或拦截所述待识别报文,包括:
若所述待识别主机的信任值小于所述信任值阈值,确定所述待识别主机是否具备与所述待识别报文对应的控制权限;
若具备,将所述待识别报文发送给所述目标工控设备;
若不具备,拦截所述待识别报文。
优选的,在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作之后,还包括:
若所述待识别操作不是任一所述预设关键操作,将所述待识别报文发送给所述目标工控设备。
优选的,与所述可信主机完成身份认证的过程,包括:
向所述可信主机发送加密认证信息;
若能接收到所述可信主机反馈的认证成功信息,完成与所述可信主机之间的身份认证,所述认证成功信息由所述可信主机利用预先导入自身的电子证书成功解密所述加密认证信息后发送,所述电子证书根据所述工控安全防护装置生成。
优选的,还包括:
在所述待识别主机为可信主机的情况下,且当将所述待识别报文发送给所述目标工控设备时,解析所述待识别报文并根据解析结果确定待识别操作;
若所述待识别操作为任一所述预设关键操作,将所述待识别主机当前的信任值增加预设值。
优选的,在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作之后,还包括:
若所述待识别操作为任一预设关键操作,对所述待识别主机进行特征记录,并根据特征记录结果输出告警信息。
本发明实施例第二方面公开一种工控安全防护装置,所述工控安全防护装置设置在工业网络环境最终端,所述工控安全防护装置包括:
获取单元,用于获取待识别主机发送的至少携带主机标识的待识别报文,所述待识别报文用于控制目标工控设备;
第一处理单元,用于根据所述主机标识和预设的可信主机列表,确定所述待识别主机是否为可信主机,所述可信主机列表中包含了:在预设时间段内进行自学习所确定的可信主机对应的主机标识和信任值;预先与所述可信主机完成身份认证;
解析单元,用于在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作;
拦截单元,用于若所述待识别操作为任一预设关键操作,拦截所述待识别报文;
第二处理单元,用于在所述待识别主机为可信主机的情况下,若所述待识别主机的信任值大于等于信任值阈值,将所述待识别报文发送给所述目标工控设备;
确定单元,用于若所述待识别主机的信任值小于所述信任值阈值,根据所述待识别主机的控制权限,确定将所述待识别报文发送给所述目标工控设备或拦截所述待识别报文。
优选的,所述第一处理单元具体用于:对于可信主机在预设时间段内所发送的每一待学习报文,解析所述待学习报文并根据解析结果确定相应的操作;若所述待学习报文对应的操作为预设关键操作,且当所述可信主机具有与所述待学习报文对应的控制权限时,将所述可信主机当前的信任值增加预设值,所述待学习报文用于控制所述可信主机对应的工控设备。
基于上述本发明实施例提供的一种工控安全防护方法及装置,该方法为:获取待识别主机发送的至少携带主机标识的待识别报文;根据主机标识和预设的可信主机列表,确定待识别主机是否为可信主机;在待识别主机不是可信主机的情况下,解析待识别报文并根据解析结果确定待识别操作;若待识别操作为任一预设关键操作,拦截待识别报文;在待识别主机为可信主机的情况下,若待识别主机的信任值大于等于信任值阈值,将待识别报文发送给目标工控设备;若待识别主机的信任值小于信任值阈值,根据待识别主机的控制权限,确定将待识别报文发送给目标工控设备或拦截待识别报文。本方案中,在接收到待识别主机发送的用于控制目标工控设备的待识别报文时,确定待识别主机是否为可信主机。若待识别主机不是可信主机且待识别报文对应的操作为预设关键操作,拦截待识别报文;若待识别主机为可信主机且自身的信任值大于等于信任阈值,将待识别报文发送给目标工控设备;若待识别主机为可信主机且自身的信任值小于信任阈值,则根据待识别主机的控制权限确定是否将待识别报文发送给目标工控设备。在进行安全防护时,将待识别主机、待识别主机的信任值和待识别报文对应的操作作为检测对象,丰富检测的对象范围,提高工控设备的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种工控安全防护方法的流程图;
图2为本发明实施例提供的与可信主机完成身份认证的流程图;
图3为本发明实施例提供的一种工控安全防护装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
由背景技术可知,目前常规的安全防护产品仅基于IP或MAC进行数据包的检测和阻断,且检测对象仅局限于传输层五元组,检测的对象范围较为局限,导致工业控制设备的安全性较差。
因此,本发明实施例提供一种工控安全防护方法及装置,在接收到待识别主机发送的用于控制目标工控设备的待识别报文时,确定待识别主机是否为可信主机。若待识别主机不是可信主机且待识别报文对应的操作为预设关键操作,拦截待识别报文;若待识别主机为可信主机且自身的信任值大于等于信任阈值,将待识别报文发送给目标工控设备;若待识别主机为可信主机且自身的信任值小于信任阈值,则根据待识别主机的控制权限确定是否将待识别报文发送给目标工控设备。在进行安全防护时,将待识别主机、待识别主机的信任值和待识别报文对应的操作作为检测对象,丰富检测的对象范围,以提高工控设备的安全性。
需要说明的是,本发明实施例中所公开的一种工控安全防护方法,适用于工控安全防护装置,该工控安全防护装置采用实时操作系统(RTOS),在接收到主机发送的报文时能快速响应和处理该报文;该工控安全防护装置采用LWIP协议栈,能够支持ICMP等多种基础协议,可以对针对性的协议进行处理,将无关协议的报文进行丢弃;并且,该工控安全防护装置采用代理模式,通过业务接口对与主机进行身份认证,只有完成身份认证的主机才能对工控设备(如工业控制器)进行控制,以保证IP/MAC伪造的主机无法与该工控安全防护装置进行通信,从而保证IP/MAC伪造的主机无法与工控设备通信。
具体而言,本发明实施例中的工控安全防护装置中,选择两个固定的设备网口,分别将所选择的两个设备网口配置为上游端口和下游端口,上游端口与需要控制工控设备的主机连接,下游端口连接工控设备;工控安全防护装置采用代理模式运行,即相对于主机而言,该工控安全防护装置可充当工控设备的角色;相对于工控设备而言,该工控安全防护装置可充当主机的角色。
可以理解的是,本发明实施例中所提及的主机,即为用于与工控设备的控制器进行通信的设备。工控安全防护装置可设置于工控环境的最终端。
参见图1,示出了本发明实施例提供的一种工控安全防护方法的流程图,该工控安全防护方法适用于设置在工业网络环境最终端的工控安全防护装置,该工控安全防护方法包括:
步骤S101:获取待识别主机发送的至少携带主机标识的待识别报文。
需要说明的是,待识别报文用于控制目标工控设备。
优选的,在执行步骤S101之前,需将工业网络环境的最新工控协议库导入工控安全防护装置中,该最新工控协议库为针对工控设备所需要解析的协议对应的解析方法库;例如:假设工控设备为西门子品牌的控制器,则将s7comm协议对应的协议库导入工控安全防护装置。具体而言,工控安全防护装置通过所导入的最新工控协议库解析主机传送的报文(也就是应用层数据)。主机所传送的报文,通常用于对工控设备(例如DTU/RTU之类的设备)进行相应操作,如对工控设备进行实时数据读取、设备状态控制、请求设备上报信息和校准等操作。
在具体实现步骤S101的过程中,工控安全防护装置在运行中,接收由待识别主机发送的携带主机标识的待识别报文,该主机标识用于指示待识别主机的IP,即主机标识可以是主机IP,通过该主机标识可确定待识别主机的具体身份。
可以理解的是,由上述内容可知,主机以发送报文的方式对工控设备进行相关操作,同理,待识别主机所发送的待识别报文也用于控制工控设备(此时该工控设备也称之为目标工控设备),待识别报文所对应的操作也称之为待识别操作。
步骤S102:根据主机标识和预设的可信主机列表,确定待识别主机是否为可信主机。在待识别主机不是可信主机的情况下,执行步骤S103和步骤S104;在待识别主机为可信主机的情况下,执行步骤S105和步骤S106。
需要说明的是,可信主机列表中包含了:工控安全防护装置在预设时间段内进行自学习所确定的可信主机对应的主机标识和信任值;工控安全防护装置预先与可信主机完成身份认证。
进一步需要说明的是,工控安全防护装置在正式运行前或者说在接入工业网络环境之前,工控安全防护装置需要与各个可信主机(也就是工业网络环境中用于控制工控设备的主机)完成身份认证,只有与各个可信主机完成身份认证,工控安全防护装置才被允许接入工业网络环境中,从而保证工业网络环境的安全;工控安全防护装置如何与可信设备完成身份认证,详见以下本发明实施例图2中的内容。
在一些具体实施例中,工控安全防护装置接入工业网络环境之后,需要在预设时间段内开启智能学习功能进行自学习,在自学习过程中,对各个可信主机的报文(此时称之为待学习报文)进行记录、分类和统计,从而产生各个可信主机对应的信任值,具体实现方式为:对于可信主机在预设时间段内所发送的每一待学习报文,解析待学习报文并根据解析结果确定相应的操作;若该待学习报文对应的操作为预设关键操作,且当可信主机具有与待学习报文对应的控制权限时,将可信主机当前的信任值增加预设值(如加1),待学习报文用于控制可信主机对应的工控设备。
可以理解的是,各个可信主机可设置一个初始的信任值,在自学习过程中,通过上述方式,对可信主机在预设时间段内所发送的每一待学习报文进行处理,从可信主机初始的信任值开始不断更新该可信主机的信任值。
在一些具体实施例中,解析待学习报文并根据解析结果确定相应的操作的具体方式为:根据相应的工控协议解析待学习报文,提取得到待学习报文中的功能码;利用预设的功能码目录,确定得到待学习报文中的功能码对应的操作。
需要说明的是,功能码目录中定义了各个功能码和与其对应的操作,各个功能码根据真实有效的工控协议报文分析归纳得到,每个功能码对应一个操作(或者说操作行为);功能码目录中的某些功能码对应的操作会被定义为预设关键操作(如修改工控设备的状态等关键操作)。
因此,可通过功能码目录确定待学习报文对应的操作以及判定该操作是否为预设关键操作,再根据判定结果来更新可信设备的信任值。
例如:在自学习过程中,对于某一可信设备的待学习报文,解析该待学习报文,提取得到相应的功能码;根据功能码目录,确定相应的操作以及判断该操作是否为预设关键操作;若该操作为预设关键操作,且该可信主机具有与该待学习报文对应的控制权限(也就是该可信主机的权限允许该预设关键操作),将该待学习报文发送至对应的工控设备来执行该预设关键操作,并且该可信主机当前的信任值增加1;同理,如果该可信主机不具有与该待学习报文对应的控制权限,则拦截该待学习报文(也就是不允许该待学习报文通过)。
通过以上方式,在预设时间段内进行自学习,确定各个可信主机的信任值,再利用各个可信主机的信任值和主机标识构建可信主机列表。
在具体实现步骤S102的过程中,根据待识别主机的主机标识和上述所构建的可信主机列表,确定该待识别主机是否为可信主机;也就是说,确定待识别主机的主机标识(如IP地址)是否为可信主机列表中包含的主机标识。
在待识别主机不是可信主机的情况下,执行步骤S103和步骤S104;在待识别主机为可信主机的情况下,执行步骤S105和步骤S106。
步骤S103:在待识别主机不是可信主机的情况下,解析待识别报文并根据解析结果确定待识别操作。
在具体实现步骤S103的过程中,在待识别主机不是可信主机的情况下,利用目标工控设备对应的工控协议,解析待识别报文得到相应的待识别功能码;利用预设的功能码目录,确定待识别功能码对应的待识别操作,功能码目录包含各个功能码对应的操作。
利用功能码目录确定该待识别操作是否为任一预设关键操作,若该待识别操作不是任一预设关键操作,也就是即使待识别主机不是可信主机,但由于待识别操作不是预设关键操作,可将待识别报文发送给目标工控设备,使该目标工控设备响应该待识别操作。若该待识别操作为任一预设关键操作,执行步骤S104。
步骤S104:若待识别操作为任一预设关键操作,拦截待识别报文。
在具体实现步骤S104的过程中,在待识别主机不是可信主机的情况下,且待识别操作为任一预设关键操作,此时拦截待识别报文,也就是不允许该待识别报文通过;可以理解的是,对于不是可信主机的主机,如果该主机所发送的报文对应的操作为预设关键操作,为保证安全,一律不允许对应预设关键操作的报文(由不是可信主机的主机发送的报文)通过。
优选的,在待识别主机不是可信主机的情况下,且待识别操作为任一预设关键操作,对待识别主机进行特征记录,并根据特征记录结果输出告警信息。也就是说,对于不是可信主机的主机,如果该主机依旧发送对应预设关键操作的报文,则需要对该主机进行特征记录(相当于重点关注该主机),并根据特征记录结果输出告警信息。
步骤S105:在待识别主机为可信主机的情况下,若待识别主机的信任值大于等于信任值阈值,将待识别报文发送给目标工控设备。
由上述内容可知,可信主机列表中包含了:在预设时间段内进行自学习所确定的可信主机对应的主机标识和信任值;可以理解的是,对于某一可信主机,如果该可信主机的信任值越高,则表示该可信主机的可信任度越高;当该可信主机的信任值等于或高于信任值阈值时(例如信任值阈值可设置为80),该可信主机所发送的报文都可被允许通过。
在具体实现步骤S105的过程中,在待识别主机为可信主机的情况下,利用可信主机列表,判断该待识别主机的信任值是否大于等于信任值阈值;若待识别主机的信任值大于等于信任值阈值,直接将待识别报文发送给目标工控设备。若待识别主机的信任值小于信任值阈值,执行步骤S106。
例如:在待识别主机为可信主机的情况下,若该待识别主机的信任值大于80,则直接将待识别报文发送给目标工控设备。
步骤S106:若待识别主机的信任值小于信任值阈值,根据待识别主机的控制权限,确定将待识别报文发送给目标工控设备或拦截待识别报文。
在具体实现步骤S106的过程中,在待识别主机为可信主机的情况下,若待识别主机的信任值小于信任值阈值,确定待识别主机是否具备与待识别报文对应的控制权限;若具备,将待识别报文发送给目标工控设备;若不具备,拦截待识别报文(也就是不允许该待识别报文通过)。
结合步骤S105和步骤S106可知,在待识别主机为可信主机的情况下,如果待识别主机的信任值大于等于信任值阈值,可直接将待识别报文发送给目标工控设备;若待识别主机的信任值小于信任值阈值,但待识别主机具备与待识别报文对应的控制权限,也可将待识别报文发送给目标工控设备。
由上述步骤S102中关于“自学习”的内容可知,在自学习过程中不断更新可信主机的信任值,在完成自学习以后,也可更新可信主机列表中可信主机的信任值。
优选的,在待识别主机为可信主机的情况下,且当将待识别报文发送给目标工控设备时(信任值大于等于信任值阈值时发送,或者,信任值小于信任值阈值但具备相应的控制权限时发送),解析待识别报文并根据解析结果确定待识别操作;若该待识别操作为任一预设关键操作,将待识别主机当前的信任值增加预设值。
也就是说,工控安全防护装置在实际的风险鉴断过程中,对于任意待识别主机所发送的待识别报文,在该待识别主机为可信主机的情况下,通过上述各个步骤对该待识别报文进行处理后,根据实际的处理结果更新待识别主机(也就是某一可信主机)的信任值;不断更新可信主机列表中可信主机的信任值;对于信任值大于等于信任值阈值的可信主机,可直接将该可信主机发送的报文发送至相应的工控设备,以提升高频操作的效率。
在本发明实施例中,在接收到待识别主机发送的用于控制目标工控设备的待识别报文时,确定待识别主机是否为可信主机。若待识别主机不是可信主机且待识别报文对应的操作为预设关键操作,拦截待识别报文;若待识别主机为可信主机且自身的信任值大于等于信任阈值,将待识别报文发送给目标工控设备;若待识别主机为可信主机且自身的信任值小于信任阈值,则根据待识别主机的控制权限确定是否将待识别报文发送给目标工控设备。在进行安全防护时,将待识别主机、待识别主机的信任值和待识别报文对应的操作作为检测对象,丰富检测的对象范围,提高工控设备的安全性,以及提高处理报文数据的效率。
上述本发明实施例图1步骤S102中提及的与可信设备完成身份认证内容,参见图2,示出了本发明实施例提供的与可信主机完成身份认证的流程图,包括以下步骤:
步骤S201:向可信主机发送加密认证信息。
在具体实现步骤S201的过程中,工控安全防护装置利用电子证书对认证信息进行加密,得到相应的加密认证信息;工控安全防护装置将该加密认证信息发送给可信主机进行身份认证。
需要说明的是,电子证书根据工控安全防护装置的信息生成。
步骤S202:确定是否接收到可信主机反馈的认证成功信息;若能接收到可信主机反馈的认证成功信息,执行步骤S203;若未能接收到可信主机反馈的认证成功信息,执行步骤S204。
可以理解的是,工控安全防护装置在将加密认证信息发送给可信主机之后,如果预先将工控安全防护装置的电子证书导入该可信主机,该可信主机可根据电子证书对加密认证信息进行解密,解密成功后该可信主机会向工控安全防护装置反馈认证成功信息;如果未预先将工控安全防护装置的电子证书导入该可信主机,则可信主机无法对该加密认证信息进行解密。
也就是说,如果可信主机能成功解密工控安全防护装置发送的加密认证信息,则该可信主机会向工控安全防护装置反馈认证成功信息,可信主机与工控安全防护装置建立安全的链接(也就是建立信任机制),工控安全防护装置完成与可信主机之间的身份认证;如果可信主机不能成功解密工控安全防护装置发送的加密认证信息,则可信主机和工控安全防护装置之间的身份认证不通过,工控安全防护装置未完成与可信主机之间的身份认证。
步骤S203:完成与可信主机之间的身份认证。
步骤S204:未完成与可信主机之间的身份认证。
通过上述步骤S201至步骤S204的方式,工控安全防护装置与各个可信主机进行身份认证。
在本发明实施例中,工控安全防护装置在接入工业网络环境之前,需要与各个可信主机进行身份认证,工控安全防护装置只有通过身份认证才被允许接入工业网络环境,从而进一步保障工控设备的安全性。
结合上述本发明实施例图1和图2中各步骤中的内容,工控安全防护装置的执行内容主要划分为以下5个过程,分别为:
代理模式部署过程:工控安全防护装置采用代理模式运行。
双向身份认证过程:工控安全防护装置与各个可信主机进行身份认证。
协议库导入过程:工控安全防护装置接入工业网络环境后,将工业网络环境的最新工控协议库导入工控安全防护装置中。
智能学习过程:工控安全防护装置在预设时间段内进行自学习,对各个可信主机的报文进行记录、分类和统计,从而产生各个可信主机对应的信任值。
风险鉴断过程:工控安全防护装置对待识别主机发送的待识别报文进行风险鉴断。
与上述本发明实施例提供的一种工控安全防护方法相对应,参见图3,本发明实施例还提供了一种工控安全防护装置的结构框图,该工控安全防护装置设置在工业网络环境最终端,该工控安全防护装置包括:获取单元301、第一处理单元302、解析单元303、拦截单元304、第二处理单元305和确定单元306;
获取单元301,用于获取待识别主机发送的至少携带主机标识的待识别报文,待识别报文用于控制目标工控设备。
第一处理单元302,用于根据主机标识和预设的可信主机列表,确定待识别主机是否为可信主机,可信主机列表中包含了:在预设时间段内进行自学习所确定的可信主机对应的主机标识和信任值;预先与可信主机完成身份认证。
在具体实现中,第一处理单元302具体用于:对于可信主机在预设时间段内所发送的每一待学习报文,解析待学习报文并根据解析结果确定相应的操作;若待学习报文对应的操作为预设关键操作,且当可信主机具有与待学习报文对应的控制权限时,将可信主机当前的信任值增加预设值,待学习报文用于控制可信主机对应的工控设备。
在具体实现中,第一处理单元302具体用于:向可信主机发送加密认证信息;若能接收到可信主机反馈的认证成功信息,完成与可信主机之间的身份认证,认证成功信息由可信主机利用预先导入自身的电子证书成功解密加密认证信息后发送,电子证书根据工控安全防护装置生成。
解析单元303,用于在待识别主机不是可信主机的情况下,解析待识别报文并根据解析结果确定待识别操作。
在具体实现中,解析单元303具体用于:在待识别主机不是可信主机的情况下,利用目标工控设备对应的工控协议,解析待识别报文得到相应的待识别功能码;利用预设的功能码目录,确定待识别功能码对应的待识别操作,功能码目录包含各个功能码对应的操作。
拦截单元304,用于若待识别操作为任一预设关键操作,拦截待识别报文。
优选的,拦截单元304还用于:若待识别操作不是任一预设关键操作,将待识别报文发送给目标工控设备。
优选的,拦截单元304还用于:若待识别操作为任一预设关键操作,对待识别主机进行特征记录,并根据特征记录结果输出告警信息。
第二处理单元305,用于在待识别主机为可信主机的情况下,若待识别主机的信任值大于等于信任值阈值,将待识别报文发送给目标工控设备。
确定单元306,用于若待识别主机的信任值小于信任值阈值,根据待识别主机的控制权限,确定将待识别报文发送给目标工控设备或拦截待识别报文。
在具体实现中,确定单元306具体用于:若待识别主机的信任值小于信任值阈值,确定待识别主机是否具备与待识别报文对应的控制权限;若具备,将待识别报文发送给目标工控设备;若不具备,拦截待识别报文。
在本发明实施例中,在接收到待识别主机发送的用于控制目标工控设备的待识别报文时,确定待识别主机是否为可信主机。若待识别主机不是可信主机且待识别报文对应的操作为预设关键操作,拦截待识别报文;若待识别主机为可信主机且自身的信任值大于等于信任阈值,将待识别报文发送给目标工控设备;若待识别主机为可信主机且自身的信任值小于信任阈值,则根据待识别主机的控制权限确定是否将待识别报文发送给目标工控设备。在进行安全防护时,将待识别主机、待识别主机的信任值和待识别报文对应的操作作为检测对象,丰富检测的对象范围,提高工控设备的安全性,以及提高处理报文数据的效率。
优选的,结合图3示出的内容,该工控安全防护装置还包括:
更新单元,用于在待识别主机为可信主机的情况下,且当将待识别报文发送给目标工控设备时,解析待识别报文并根据解析结果确定待识别操作;若待识别操作为任一预设关键操作,将待识别主机当前的信任值增加预设值。
综上所述,本发明实施例提供一种工控安全防护方法及装置,在接收到待识别主机发送的用于控制目标工控设备的待识别报文时,确定待识别主机是否为可信主机。若待识别主机不是可信主机且待识别报文对应的操作为预设关键操作,拦截待识别报文;若待识别主机为可信主机且自身的信任值大于等于信任阈值,将待识别报文发送给目标工控设备;若待识别主机为可信主机且自身的信任值小于信任阈值,则根据待识别主机的控制权限确定是否将待识别报文发送给目标工控设备。在进行安全防护时,将待识别主机、待识别主机的信任值和待识别报文对应的操作作为检测对象,丰富检测的对象范围,提高工控设备的安全性。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种工控安全防护方法,其特征在于,所述方法适用于设置在工业网络环境最终端的工控安全防护装置,所述方法包括:
获取待识别主机发送的至少携带主机标识的待识别报文,所述待识别报文用于控制目标工控设备;
根据所述主机标识和预设的可信主机列表,确定所述待识别主机是否为可信主机,所述可信主机列表中包含了:在预设时间段内进行自学习所确定的可信主机对应的主机标识和信任值;预先与所述可信主机完成身份认证;
在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作;
若所述待识别操作为任一预设关键操作,拦截所述待识别报文;
在所述待识别主机为可信主机的情况下,若所述待识别主机的信任值大于等于信任值阈值,将所述待识别报文发送给所述目标工控设备;
若所述待识别主机的信任值小于所述信任值阈值,根据所述待识别主机的控制权限,确定将所述待识别报文发送给所述目标工控设备或拦截所述待识别报文。
2.根据权利要求1所述的方法,其特征在于,在预设时间段内进行自学习确定可信主机的信任值的过程,包括:
对于可信主机在预设时间段内所发送的每一待学习报文,解析所述待学习报文并根据解析结果确定相应的操作;
若所述待学习报文对应的操作为预设关键操作,且当所述可信主机具有与所述待学习报文对应的控制权限时,将所述可信主机当前的信任值增加预设值,所述待学习报文用于控制所述可信主机对应的工控设备。
3.根据权利要求1所述的方法,其特征在于,所述在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作,包括:
在所述待识别主机不是可信主机的情况下,利用所述目标工控设备对应的工控协议,解析所述待识别报文得到相应的待识别功能码;
利用预设的功能码目录,确定所述待识别功能码对应的待识别操作,所述功能码目录包含各个功能码对应的操作。
4.根据权利要求1所述的方法,其特征在于,若所述待识别主机的信任值小于所述信任值阈值,根据所述待识别主机的控制权限,确定将所述待识别报文发送给所述目标工控设备或拦截所述待识别报文,包括:
若所述待识别主机的信任值小于所述信任值阈值,确定所述待识别主机是否具备与所述待识别报文对应的控制权限;
若具备,将所述待识别报文发送给所述目标工控设备;
若不具备,拦截所述待识别报文。
5.根据权利要求1所述的方法,其特征在于,在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作之后,还包括:
若所述待识别操作不是任一所述预设关键操作,将所述待识别报文发送给所述目标工控设备。
6.根据权利要求1所述的方法,其特征在于,与所述可信主机完成身份认证的过程,包括:
向所述可信主机发送加密认证信息;
若能接收到所述可信主机反馈的认证成功信息,完成与所述可信主机之间的身份认证,所述认证成功信息由所述可信主机利用预先导入自身的电子证书成功解密所述加密认证信息后发送,所述电子证书根据所述工控安全防护装置生成。
7.根据权利要求1所述的方法,其特征在于,还包括:
在所述待识别主机为可信主机的情况下,且当将所述待识别报文发送给所述目标工控设备时,解析所述待识别报文并根据解析结果确定待识别操作;
若所述待识别操作为任一所述预设关键操作,将所述待识别主机当前的信任值增加预设值。
8.根据权利要求1所述的方法,其特征在于,在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作之后,还包括:
若所述待识别操作为任一预设关键操作,对所述待识别主机进行特征记录,并根据特征记录结果输出告警信息。
9.一种工控安全防护装置,其特征在于,所述工控安全防护装置设置在工业网络环境最终端,所述工控安全防护装置包括:
获取单元,用于获取待识别主机发送的至少携带主机标识的待识别报文,所述待识别报文用于控制目标工控设备;
第一处理单元,用于根据所述主机标识和预设的可信主机列表,确定所述待识别主机是否为可信主机,所述可信主机列表中包含了:在预设时间段内进行自学习所确定的可信主机对应的主机标识和信任值;预先与所述可信主机完成身份认证;
解析单元,用于在所述待识别主机不是可信主机的情况下,解析所述待识别报文并根据解析结果确定待识别操作;
拦截单元,用于若所述待识别操作为任一预设关键操作,拦截所述待识别报文;
第二处理单元,用于在所述待识别主机为可信主机的情况下,若所述待识别主机的信任值大于等于信任值阈值,将所述待识别报文发送给所述目标工控设备;
确定单元,用于若所述待识别主机的信任值小于所述信任值阈值,根据所述待识别主机的控制权限,确定将所述待识别报文发送给所述目标工控设备或拦截所述待识别报文。
10.根据权利要求9所述的工控安全防护装置,其特征在于,所述第一处理单元具体用于:对于可信主机在预设时间段内所发送的每一待学习报文,解析所述待学习报文并根据解析结果确定相应的操作;若所述待学习报文对应的操作为预设关键操作,且当所述可信主机具有与所述待学习报文对应的控制权限时,将所述可信主机当前的信任值增加预设值,所述待学习报文用于控制所述可信主机对应的工控设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111487799.8A CN114139133A (zh) | 2021-12-07 | 2021-12-07 | 一种工控安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111487799.8A CN114139133A (zh) | 2021-12-07 | 2021-12-07 | 一种工控安全防护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114139133A true CN114139133A (zh) | 2022-03-04 |
Family
ID=80384573
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111487799.8A Pending CN114139133A (zh) | 2021-12-07 | 2021-12-07 | 一种工控安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114139133A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150209A (zh) * | 2022-09-06 | 2022-10-04 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
| CN116684188A (zh) * | 2023-06-30 | 2023-09-01 | 珠海天融信网络安全技术有限公司 | 一种报文拦截方法、装置、设备及介质 |
-
2021
- 2021-12-07 CN CN202111487799.8A patent/CN114139133A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150209A (zh) * | 2022-09-06 | 2022-10-04 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
| CN115150209B (zh) * | 2022-09-06 | 2023-01-06 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
| CN116684188A (zh) * | 2023-06-30 | 2023-09-01 | 珠海天融信网络安全技术有限公司 | 一种报文拦截方法、装置、设备及介质 |
| CN116684188B (zh) * | 2023-06-30 | 2024-03-15 | 珠海天融信网络安全技术有限公司 | 一种报文拦截方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965215B (zh) | 一种多融合联动响应的动态安全方法与系统 | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
| CN114139133A (zh) | 一种工控安全防护方法及装置 | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN110830330A (zh) | 一种防火墙测试方法、装置及系统 | |
| CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
| WO2024002160A1 (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN111756716A (zh) | 流量检测方法、装置及计算机可读存储介质 | |
| WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
| CN108712388B (zh) | 一种基于http的数据安全传输方法与装置 | |
| CN114050917B (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 | |
| CN104348816B (zh) | 保护Cookie信息的方法及Web服务器前置网关 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
| CN113965418A (zh) | 一种攻击成功判定方法及装置 | |
| CN110933028B (zh) | 报文传输方法、装置、网络设备及存储介质 | |
| CN113923021A (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| CN110046500B (zh) | 一种用于网络防护的动态cookie验证方法及装置 | |
| CN111193690B (zh) | 一种请求消息的处理方法、装置及计算机可读存储介质 | |
| CN113596060A (zh) | 一种网络安全应急响应方法及系统 | |
| CN113141362A (zh) | 一种智能终端和服务器安全交互控制方法 | |
| EP3979583B1 (en) | Smart device identity recognition method and system, electronic device, and storage medium | |
| CN114050918B (zh) | 音频数据的处理方法、装置、检测服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |