CN114221780A - 工控系统网络安全保障方法、装置和计算机存储介质 - Google Patents
工控系统网络安全保障方法、装置和计算机存储介质 Download PDFInfo
- Publication number
- CN114221780A CN114221780A CN202111259408.7A CN202111259408A CN114221780A CN 114221780 A CN114221780 A CN 114221780A CN 202111259408 A CN202111259408 A CN 202111259408A CN 114221780 A CN114221780 A CN 114221780A
- Authority
- CN
- China
- Prior art keywords
- layer
- network
- control system
- industrial control
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 230000006399 behavior Effects 0.000 claims abstract description 163
- 230000008569 process Effects 0.000 claims abstract description 21
- 230000000903 blocking effect Effects 0.000 claims description 13
- 238000013075 data extraction Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 230000014759 maintenance of location Effects 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 8
- 238000004364 calculation method Methods 0.000 abstract description 7
- 230000005540 biological transmission Effects 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 11
- 230000009471 action Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012512 characterization method Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- QZJWUZMNCFEIMD-UHFFFAOYSA-N [4-[benzyl(2-phenylethyl)amino]-2-(2,5-dimethoxyphenyl)-1h-imidazo[4,5-c]pyridin-6-yl]carbamic acid Chemical compound COC1=CC=C(OC)C(C=2NC3=CC(NC(O)=O)=NC(=C3N=2)N(CCC=2C=CC=CC=2)CC=2C=CC=CC=2)=C1 QZJWUZMNCFEIMD-UHFFFAOYSA-N 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- QGWYLXFVPIMLDO-UHFFFAOYSA-N ethyl n-[4-[benzyl(2-phenylethyl)amino]-2-(2,4,5-trimethoxyphenyl)-1h-imidazo[4,5-c]pyridin-6-yl]carbamate Chemical compound N=1C(NC(=O)OCC)=CC=2NC(C=3C(=CC(OC)=C(OC)C=3)OC)=NC=2C=1N(CC=1C=CC=CC=1)CCC1=CC=CC=C1 QGWYLXFVPIMLDO-UHFFFAOYSA-N 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种工控系统网络安全保障方法、装置和计算机可读存储介质。所述方法包括将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库;对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按五要素进行特征表达并采用所述总正常标识库进行逐层识别;对可识别的网络行为判定为合规网络行为正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为进行阻断。本发明能够在网络通信层面实施强制访问控制,从而可以在底层检测出非法访问行为,避免后续操作从而节省计算和内存资源。
Description
技术领域
本发明涉及强制访问控制技术领域,更具体地说,涉及一种工控系统网络安全保障方法、装置和计算机存储介质。
背景技术
随着第四次工业革命的不断发展,有关工控系统的信息安全保障问题逐渐受到国内外重视,如何保障工控系统的信息安全成为当前国家和社会的重要任务。如今工业控制系统正广泛覆盖我国水利、电力、石油、化工、航空航天、核能、交通运输等行业,涉及国家众多关基设施,关乎国家安全和国民安全。传统的工控系统,需要采用专用的硬件、软件和通信协议,设计上以武力安全为主,没有充分考虑通信安全问题。随着互联网技术的出现,TCP/IP技术被引入工业控制系统,工控网络络内部网络环境)与业务网络(外部网络环境)之间的信息交互日益频繁,理论上绝对的物理隔离网络在实际中可能性越发渺茫,由此产生的安全风险也越发到人们的关注。由于工控系统自身安全、实时性要求较高,兼容性较差系统升级需要使用专用工具,因此在工控网络上直接实施安全措施有众多困难,无法进行切实操作。访问控制技术是保障信息安全的有效方法,研究将访问控制技术应用于工控网络和业务网络的信息交互中,有利于解决工控系统的安全问题。
强制访问控制技术是指在系统中根据安全策略(依据主体和客体的安全属性制定的访问规则)对主体发出的访问请求进行放行/阻拦的技术,主体和客体的安全属性由管理员事先设定,主体和客体的安全属性符合访问规则时才能够进行访问响应操作。在应用研究方面,目前强制访问控制技术主要往两个方向发展,一是应用于主机操作系统上,二是应用于数据库管理系统上。
现有强制访问的安全保障方法通常存在以下缺陷:
(1)在物理层面的主机、数据库上做强制访问控制,需要占用很多的计算、内存等资源;
(2)现有网络安全识别与检测体系多采用单一的检测和识别手段,缺少全面覆盖TCP/IP五层模型的技术体系。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能够在网络通信层面实施强制访问控制,从而可以在底层检测出非法访问行为,避免后续操作从而节省计算和内存资源的工控系统网络安全保障方法、装置和计算机存储介质。
本发明解决其技术问题采用的技术方案是,构造一种工控系统网络安全保障方法,包括以下步骤:
S1,将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库;
S2,对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按主体、客体、空间、行为、时间五要素进行特征表达并采用所述总正常标识库进行逐层识别;
S3,对可识别的网络行为判定为合规网络行为,正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为,进行阻断。
在本发明所述的工控系统网络安全保障方法中,所述步骤S1进一步包括:
S11、针对每一个正常业务的网络行为,对其在TCP/IP五层协议里每一层的流量分别按主体、客体、空间、行为、时间五要素进行数据提取并编码,采用第1-N层的五要素编码作为第N层的正常标识数据,1≦N≦5;
S12、采用所有正常业务的网络行为的同一层的正常标识数据构成同层标识库;
S13、采用五个同层标识库构成所述总正常标识库。
在本发明所述的工控系统网络安全保障方法中,所述步骤S2进一步包括:
S21、对工控系统运行过程中产生的待识别网络行为,对其在TCP/IP五层协议里每一层的流量分别按主体、客体、空间、行为、时间五要素进行数据提取并编码,采用第1-N层的五要素编码作为第N层的特征表达数据,1≦N≦5;
S22、将所述待识别网络行为的每一层的特征表达数据逐层与所述总正常标识库中的对应的同层标识库中的正常标识数据进行遍历比较识别。
在本发明所述的工控系统网络安全保障方法中,在所述步骤S21中,基于零信任策略,将工控系统运行过程中产生的每一次网络行为均作为待识别网络行为。
在本发明所述的工控系统网络安全保障方法中,在所述步骤S22中,基于白名单策略,将所述总正常标识库中存储的所述正常标识数据作为唯一的可信根对所述待识别网络行为的所述特征表达数据进行识别。
在本发明所述的工控系统网络安全保障方法中,在所述步骤S22中,所述遍历比较识别由类脑计算系统和算法提供算力。
在本发明所述的工控系统网络安全保障方法中,所述步骤S3进一步包括:对判定为不合规的网络行为进行阻断的同时进行审计取证和分类留存。
本发明解决其技术问题采用的另一技术方案是,构造一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的工控系统网络安全保障方法。
本发明解决其技术问题采用的另一技术方案是,构造一种工控系统网络安全保障装置,包括:
赋码编码模块,用于将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库;
仲裁模块,用于对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按主体、客体、空间、行为、时间五要素进行特征表达并采用所述总正常标识库进行逐层识别;
安全防护模块,用于对可识别的网络行为判定为合规网络行为,正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为,进行阻断。
在本发明所述的工控系统网络安全保障装置中,进一步包括:
取证留存模块,用于对判定为不合规的网络行为进行阻断的同时进行审计取证和分类留存。
实施本发明的工控系统网络安全保障方法、装置和计算机存储介质,基于5要素*5层流量界定的访问控制技术体系,能够在网络通信层面实施强制访问控制,从而可以在底层检测出非法访问行为,避免后续操作从而节省计算和内存资源。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的工控系统网络安全保障方法的优选实施例的流程图;
图2是图1所示的工控系统网络安全保障方法的访问控制过程示意图;
图3是本发明的工控系统网络安全保障装置的优选实施例的原理框图;
图4是本发明的工控系统网络安全保障装置的又一优选实施例的原理框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明涉及一种工控系统网络安全保障方法,包括以下步骤:将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库;对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按主体、客体、空间、行为、时间五要素进行特征表达并采用所述总正常标识库进行逐层识别;对可识别的网络行为判定为合规网络行为,正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为,进行阻断。实施本发明的工控系统网络安全保障方法,基于5要素*5层流量界定的访问控制技术体系,能够在网络通信层面实施强制访问控制,从而可以在底层检测出非法访问行为,避免后续操作从而节省计算和内存资源。
需要说明的是,术语“包括”以及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本发明后续实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述,其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
图1是本发明的工控系统网络安全保障方法的优选实施例的流程图。图2是图1所示的工控系统网络安全保障方法的访问控制过程示意图。如图1所示,在步骤S1中,将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库。
在此,主体是指网络行为的动作发出者,客体是指网络行为的动作响应者,空间是指主体和客体在网络行为中所形成的访问链路,行为是指主体和客体在空间中形成的访问行为,时间是指主客体在空间中所进行访问行为的时间。
在本发明的进一步的优选实施中,所述步骤S1可以包括针对每一个正常业务的网络行为,对其在TCP/IP五层协议里每一层的流量分别按主体、客体、空间、行为、时间五要素进行数据提取并编码,采用第1-N层的五要素编码作为第N层的正常标识数据,1≦N≦5;采用所有正常业务的网络行为的同一层的正常标识数据构成同层标识库;采用五个同层标识库构成所述总正常标识库。
具体说明如下。
我们用Pi表示主体,Oi表示客体,Si表示空间,Ai表示行为,Ti表示时间。Pi的取值有P1、P2、P3...分别代表不同的主体,Oi的取值有O1、O2、O3...分别代表不同的客体,Si的取值有S1、S2、S3...分别代表不同的空间,Ai的取值有A1、A2、A3...分别代表不同的访问行为,Ti的取值有T1、T2、T3...分别代表不同的时间。对于不同的正常业务的网络行为χj,其对应的Pi,Oi,Si,Ai和Ti可以相同,也可以不同。因此,以下的示例仅仅为举例说明,而非对其取值进行限定。
针对每一个正常业务的网络行为,对其在TCP/IP五层协议里每一层的流量分别按主体、客体、空间、行为、时间五要素进行数据提取并编码,采用第1-N层的五要素编码作为第N层的正常标识数据,1≦N≦5。
例如,一个正常业务的网络行为χj,对其应用层的流量中分别按主体、客体、空间、行为、时间五要素进行数据提取并编码为APi、AOi、ASi、AAi、ATi,对其传输层的流量中分别按主体、客体、空间、行为、时间五要素进行数据提取并编码为TPi、TOi、TSi、TAi、TTi,对其网络层的流量中分别按主体、客体、空间、行为、时间五要素进行数据提取并编码为NPi、NOi、NSi、NAi、NTi,对其链路层的流量中分别按主体、客体、空间、行为、时间五要素进行数据提取并编码为DPi、DOi、DSi、DAi、DTi,对其物理层的流量中分别按主体、客体、空间、行为、时间五要素进行数据提取并编码为PPi、POi、PSi、PAi、PTi。
那么,对于正常业务的网络行为χj在应用层中的正常标识数据为A(χj)=(APi AOiASi AAi ATi),在传输层中的正常标识数据为在网络层中的正常标识数据为在链路层中的正常标识数据为在物理层中的正常标识数据为
采用所有正常业务的网络行为的同一层的正常标识数据构成同层标识库。
即,例如,所有正常业务的网络行为χj(j=1,2,3…)的应用层的正常标识数据构成的同层标识库可包括特征表达数据A(χ1)=(AP1 AO1 AS1 AA1 AT1)、A(χ2)=(AP3 AO1 AS2AA1 AT1)、A(χ3)=(AP1 AO2 AS2 AA1 AT1)……。
在步骤S2中,对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按主体、客体、空间、行为、时间五要素进行特征表达并采用所述总正常标识库进行逐层识别。
在本发明的优选实施例中,所述步骤S2进一步包括对工控系统运行过程中产生的待识别网络行为,对其在TCP/IP五层协议里每一层的流量分别按主体、客体、空间、行为、时间五要素进行数据提取并编码,采用第1-N层的五要素编码作为第N层的特征表达数据,1≦N≦5;将所述待识别网络行为的每一层的特征表达数据逐层与所述总正常标识库中的对应的同层标识库中的正常标识数据进行遍历比较识别。
在本发明中,前述数据提取和编码步骤与步骤S1中正常业务的网络行为的编码规则相同,如存在不能匹配现有编码的五要素数据,则使用未知代码E表示。在本发明的优选实施例中,基于零信任策略,将工控系统运行过程中产生的每一次网络行为均作为待识别网络行为。在本发明的进一步的优选实施例中,基于白名单策略,将所述总正常标识库中存储的所述正常标识数据作为唯一的可信根对所述待识别网络行为的所述特征表达数据进行识别。
具体说明如下。
假设现有三个待识别网络行为:χ′1,χ′2,χ′3。
待识别网络行为χ′1的应用层的流量按主体、客体、空间、行为、时间五要素进行数据提取并编码为AP1,AO1,AS1,AA1,AT1,应用层特征表达数据A(χ′1)=(AP1 AO1 AS1 AA1AT1)。如果在所述总正常标识库中的对应的应用层标识库中存在正常标识数据A(χ1)=(AP1AO1 AS1 AA1 AT1)与之匹配,待识别网络行为χ′1在应用层识别为合规,正常放行进入传输层。待识别网络行为χ′1的传输层的流量按主体、客体、空间、行为、时间五要素进行数据提取并编码为TP1,TO1,TS1,TA1,TT1,传输层特征表达数据为如果在所述总正常标识库中的对应的传输层标识库中存在正常标识数据与之匹配,待识别网络行为χ′1在传输层识别为合规,正常放行进入网络层。后续网络层、链路层、物理层的操作相同,如果均合规,则认定待识别网络行为χ′1合规。
类似的,如果待识别网络行为χ′2的应用层的流量按主体、客体、空间、行为、时间五要素进行数据提取并编码为AP1,AO2,AS2,AA1,AT1,应用层特征表达数据A(χ′2)=(AP1 AO2AS2 AA1 AT1);如果在所述总正常标识库中的对应的应用层标识库中存在正常标识数据A(χ3)=(AP1 AO2 AS2 AA1 AT1)与之匹配,待识别网络行为χ′2在应用层识别为合规,正常放行进入传输层。待识别网络行为χ′2的传输层的流量按主体、客体、空间、行为、时间五要素进行数据提取并编码为TP2,TO1,TS2,TA1,TT1,传输层特征表达数据为如果在所述总正常标识库中的对应的传输层标识库中的不存在正常标识数据与传输层特征表达数据向匹配,则待识别网络行为χ′2在传输层识别为不合规。
类似的,如果待识别网络行为χ′3的应用层的流量按主体、客体、空间、行为、时间五要素进行数据提取并编码为AP3,AO1,AS2,AA1,AT1,应用层特征表达数据为A(χ′3)=(AP3AO1 AS2 AA1 AT1);如果在所述总正常标识库中的对应的应用层标识库中存在正常标识数据A(χ2)=(AP3 AO1 AS2 AA1 AT1)与之匹配,待识别网络行为χ′3在应用层识别为合规,正常放行进入传输层。待识别网络行为χ′3的的传输层的流量按主体、客体、空间、行为、时间五要素进行数据提取并编码为TP2,TO1,TS2,TA1,TT1,传输层特征表达数据为如果在所述总正常标识库中的对应的传输层标识库中存在正常标识数据与之匹配,待识别网络行为χ′3在传输层识别为合规,正常放行进入网络层。如果待识别网络行为χ′3的网络层的流量按主体、客体、空间、行为、时间五要素进行数据提取并编码为NP5,NO1,NS2,E,NT2,网络层特征表达数据为如果在所述总正常标识库中的对应的网络层标识库中不存在正常标识数据与之匹配,则所述待识别网络行为χ′3在网络层识别为不合规。
在步骤S3中,对可识别的网络行为判定为合规网络行为,正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为,进行阻断。
在本发明中,对于应用层、传输层、网络层、链路层、物理层均识别合规的网络行为才能将其认定为合规网络行为,将其正常放行并执行相应操作。当任何一层将其识别为不合规时,立刻将其判定为不合规网络行为,进行阻断。因此,对于每一个待识别网络行为,在TCP/IP五层协议中每一层均要对其进行识别,只有每一层中都识别通过,该待识别网络行为才能正常执行。在其中任意一层识别不通过便对其进行阻断。
在本发明的优选实施例中,所述遍历比较识别由类脑计算系统和算法提供算力。进一步结合图2可知,对判定为不合规的网络行为进行阻断的同时进行审计取证和分类留存,以便后续出现问题时能够按类别快速查出相关不合规网络行为,移交至公安、国安或保密等相关部门。
实施本发明的工控系统网络安全保障方法,基于5要素*5层流量界定的访问控制技术体系,规避在主机内对用户、进程、文件和数据库表进行标记并识别的困难,无需侵入主机内截获系统数据,屏蔽对操作系统的依赖;能够在网络通信层面实施强制访问控制,在特定的网络服务点进行访问控制,节省计算、内存资源。覆盖TCP/IP五层协议,对不同的层次可以执行强度不同的访问控制,某些非法的访问行为可以在底层被检测出,避免后续操作,提升网络性能。可以动态适应工控系统变化,执行不同域的不同强制访问控制策略,抵御未知威胁。对不同的安全防护、算力需求,可按需调配其它空闲的计算和安全防护资源,形成智能控制的安全和算力动态防护,由此保障工控系统中威胁可溯性、数据机密性以及程序完整性。
本发明还涉及一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的工控系统网络安全保障方法,本文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。所述计算机可读存储介质可以是只读存储器,磁盘或光盘等。
图3是本发明的工控系统网络安全保障装置的优选实施例的原理框图。如图3所示,所述工控系统网络安全保障装置包括赋码编码模块100、仲裁模块200和安全防护模块300。所述赋码编码模块100,用于将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库。所述仲裁模块200,用于对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按主体、客体、空间、行为、时间五要素进行特征表达并采用所述总正常标识库进行逐层识别。所述安全防护模块300,用于对可识别的网络行为判定为合规网络行为,正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为,进行阻断。
本领域技术人员知悉,所述赋码编码模块100、仲裁模块200和安全防护模块300可以参照图1-2所示的方法实施例构造,在此就不再累述了。
本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按本发明方法运行。
图4是本发明的工控系统网络安全保障装置的又一优选实施例的原理框图。如图4所示,所述工控系统网络安全保障装置包括赋码编码模块100、仲裁模块200、安全防护模块300、情景学习模块400、动态管控模块500、集散控制模块600和取证留存模块700。
本领域技术人员知悉,所述赋码编码模块100、仲裁模块200和安全防护模块300可以参照图1-2所示的方法实施例构造,在此就不再累述了。
所述情景学习模块400,用于根据不同工控系统的业务规律及其属性开展数据建模,确定网络行为的强制访问控制策略,例如零信任策略或白名单策略。所述零信任策略是指将工控系统运行过程中产生的每一次网络行为均作为待识别网络行为,所述白名单策略是指将所述总正常标识库中存储的所述正常标识数据作为唯一的可信根对所述待识别网络行为的所述特征表达数据进行识别。
所述动态管控模块500用于对不同的安全防护、算力需求,按需调配其它空闲的计算和安全防护资源,形成智能控制的安全和算力动态防护。
所述集散控制模块600,用于按照工控系统设定的不同安全保护等级,动态适应工控系统变化,执行不同域的不同强制访问控制策略。
所述取证留存模块700用于对判定为不合规的网络行为进行阻断的同时进行审计取证和分类留存。
实施本发明的工控系统网络安全保障装置,基于5要素*5层流量界定的访问控制技术体系,规避在主机内对用户、进程、文件和数据库表进行标记并识别的困难,无需侵入主机内截获系统数据,屏蔽对操作系统的依赖;能够在网络通信层面实施强制访问控制,在特定的网络服务点进行访问控制,节省计算、内存资源。覆盖TCP/IP五层协议,对不同的层次可以执行强度不同的访问控制,某些非法的访问行为可以在底层被检测出,避免后续操作,提升网络性能。可以动态适应工控系统变化,执行不同域的不同强制访问控制策略,抵御未知威胁。对不同的安全防护、算力需求,可按需调配其它空闲的计算和安全防护资源,形成智能控制的安全和算力动态防护,由此保障工控系统中威胁可溯性、数据机密性以及程序完整性。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种工控系统网络安全保障方法,其特征在于,包括以下步骤:
S1,将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库;
S2,对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按主体、客体、空间、行为、时间五要素进行特征表达并采用所述总正常标识库进行逐层识别;
S3,对可识别的网络行为判定为合规网络行为,正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为,进行阻断。
2.根据权利要求1所述的工控系统网络安全保障方法,其特征在于,所述步骤S1进一步包括:
S11、针对每一个正常业务的网络行为,对其在TCP/IP五层协议里每一层的流量分别按主体、客体、空间、行为、时间五要素进行数据提取并编码,采用第1-N层的五要素编码作为第N层的正常标识数据,1≦N≦5;
S12、采用所有正常业务的网络行为的同一层的正常标识数据构成同层标识库;
S13、采用五个同层标识库构成所述总正常标识库。
3.如权利要求2所述的工控系统网络安全保障方法,其特征在于,所述步骤S2进一步包括:
S21、对工控系统运行过程中产生的待识别网络行为,对其在TCP/IP五层协议里每一层的流量分别按主体、客体、空间、行为、时间五要素进行数据提取并编码,采用第1-N层的五要素编码作为第N层的特征表达数据,1≦N≦5;
S22、将所述待识别网络行为的每一层的特征表达数据逐层与所述总正常标识库中的对应的同层标识库中的正常标识数据进行遍历比较识别。
4.如权利要求3所述的工控系统网络安全保障方法,其特征在于,在所述步骤S21中,基于零信任策略,将工控系统运行过程中产生的每一次网络行为均作为待识别网络行为。
5.如权利要求3所述的工控系统网络安全保障方法,其特征在于,在所述步骤S22中,基于白名单策略,将所述总正常标识库中存储的所述正常标识数据作为唯一的可信根对所述待识别网络行为的所述特征表达数据进行识别。
6.如权利要求3所述的工控系统网络安全保障方法,其特征在于,在所述步骤S22中,所述遍历比较识别由类脑计算系统和算法提供算力。
7.如权利要求1所述的工控系统网络安全保障方法,其特征在于,所述步骤S3进一步包括:对判定为不合规的网络行为进行阻断的同时进行审计取证和分类留存。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现根据权利要求1-7中任意一项权利要求所述的工控系统网络安全保障方法。
9.一种工控系统网络安全保障装置,其特征在于,包括:
赋码编码模块,用于将工控系统预设的所有正常业务的网络行为在TCP/IP五层协议里每一层中的流量分别按主体、客体、空间、行为、时间五要素进行细分和标识,形成总正常标识库;
仲裁模块,用于对工控系统运行过程中产生的待识别网络行为在TCP/IP五层协议在每一层中的流量分别按主体、客体、空间、行为、时间五要素进行特征表达并采用所述总正常标识库进行逐层识别;
安全防护模块,用于对可识别的网络行为判定为合规网络行为,正常放行并执行相应操作,对未知的网络行为判定为不合规网络行为,进行阻断。
10.根据权利要求9所述的工控系统网络安全保障装置,其特征在于,进一步包括:
取证留存模块,用于对判定为不合规的网络行为进行阻断的同时进行审计取证和分类留存。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111259408.7A CN114221780B (zh) | 2021-10-26 | 工控系统网络安全保障方法、装置和计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111259408.7A CN114221780B (zh) | 2021-10-26 | 工控系统网络安全保障方法、装置和计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114221780A true CN114221780A (zh) | 2022-03-22 |
CN114221780B CN114221780B (zh) | 2024-05-10 |
Family
ID=
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114745139A (zh) * | 2022-06-08 | 2022-07-12 | 深圳市永达电子信息股份有限公司 | 一种基于类脑存算的网络行为检测方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694817A (zh) * | 2012-06-08 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694817A (zh) * | 2012-06-08 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种识别程序的网络行为是否异常的方法、装置及系统 |
CN103051617A (zh) * | 2012-12-18 | 2013-04-17 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
CN111885059A (zh) * | 2020-07-23 | 2020-11-03 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114745139A (zh) * | 2022-06-08 | 2022-07-12 | 深圳市永达电子信息股份有限公司 | 一种基于类脑存算的网络行为检测方法及装置 |
CN114745139B (zh) * | 2022-06-08 | 2022-10-28 | 深圳市永达电子信息股份有限公司 | 一种基于类脑存算的网络行为检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9811674B2 (en) | Data leakage prevention system, method, and computer program product for preventing a predefined type of operation on predetermined data | |
US20090100498A1 (en) | Method and system for analyzing policies for compliance with a specified policy using a policy template | |
WO2014041761A1 (ja) | リスク分析装置、リスク分析方法およびプログラム | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
CN111917769A (zh) | 一种安全事件的自动处置方法、装置和电子设备 | |
CN109753819B (zh) | 一种访问控制策略的处理方法和装置 | |
CN111787001B (zh) | 网络安全信息的处理方法、装置、电子设备和存储介质 | |
JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
RU2587429C2 (ru) | Система и способ оценки надежности правила категоризации | |
JP4363214B2 (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム | |
KR101503827B1 (ko) | 절대 경로 관리를 통한 악성 프로그램 검사 시스템 | |
CN114221780B (zh) | 工控系统网络安全保障方法、装置和计算机存储介质 | |
CN113127862B (zh) | 一种xxe攻击检测方法、装置、电子设备及存储介质 | |
CN114221780A (zh) | 工控系统网络安全保障方法、装置和计算机存储介质 | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
CN114978782B (zh) | 工控威胁检测方法、装置、工控设备以及存储介质 | |
Zhao et al. | Gan-enabled code embedding for reentrant vulnerabilities detection | |
Liu et al. | Working mechanism of eternalblue and its application in ransomworm | |
US9998495B2 (en) | Apparatus and method for verifying detection rule | |
CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
Lachmund | Auto-generating access control policies for applications by static analysis with user input recognition | |
Chen et al. | Attack intent analysis method based on attack path graph | |
CN113079148A (zh) | 一种工业互联网安全监测方法、装置、设备及储存介质 | |
CN112929365A (zh) | 一种远程命令检测方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |