CN114584392A - 一种基于源端流量染色的工业互联网平台接入侧防护方法 - Google Patents
一种基于源端流量染色的工业互联网平台接入侧防护方法 Download PDFInfo
- Publication number
- CN114584392A CN114584392A CN202210318608.3A CN202210318608A CN114584392A CN 114584392 A CN114584392 A CN 114584392A CN 202210318608 A CN202210318608 A CN 202210318608A CN 114584392 A CN114584392 A CN 114584392A
- Authority
- CN
- China
- Prior art keywords
- flow
- dyeing
- access
- platform
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000004043 dyeing Methods 0.000 title claims abstract description 56
- 230000008569 process Effects 0.000 claims abstract description 45
- 238000010186 staining Methods 0.000 claims abstract description 20
- 238000001914 filtration Methods 0.000 claims abstract description 13
- 238000004364 calculation method Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 6
- 239000000975 dye Substances 0.000 claims description 4
- 238000004040 coloring Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,包括以下具体步骤:S1:平台接入流量异常判断过程;S2:贴源端流量染色过程;S3:平台端流量过滤过程;本发明能够将平台接入的过载流量降低一个数量级,确保正常接入流量在有限周期内必定被送达平台,非法注入的流量,不会被染色,会被完全过滤掉;如果非法注入的流量自行填充染色值,按照过滤规则,其流量必定会被降低。
Description
技术领域
本发明涉及工业互联网平台安全控制领域,具体地说一种基于源端流量染色的工业互联网平台接入侧防护方法。
背景技术
工业互联网是新一代信息技术与制造业深度融合所形成的新兴业态和应用模式,是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体,也是全球新一轮产业竞争的制高点。数字化、网络化、智能化等关键要素使工业互联网平台成为新的基础建设项目,标识体系,边缘计算,数字孪生等新技术不断涌现,同时工业互联网平台也带来终端安全、控制安全、业务安全等新的安全威胁。
工业数据采集作为工业互联网平台核心部分,安全防护面临着严峻的挑战。一方面,工业领域信息基础设施成为黑客重点关注和攻击目标,防护压力空前增大;另一方面,相较传统网络安全,工业互联网安全呈现新的特点,进一步增加了安全防护难度。
发明内容
本本发明针对工业互联网平台数据采集面临的安全问题,本发明采用SDN(Software Defined Network,软件定义网络)的网络架构部署模式,提供了一种基于源端流量染色的工业互联网平台接入侧防护方法。
为实现上述目的,本发明提供以下技术方案:
一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,所述的方法包括:
S1:平台接入流量异常判断过程,全局控制器根据数据采集业务的流量特性以及平台当前实际的流量统计数据进行接入流量异常判断;
S2:贴源端流量染色过程,全局控制器根据接入流量异常判断结果,在接入终端侧最近的交换机上对接入终端的报文进行染色处理;
S3:平台端流量过滤过程,全局控制器在靠近平台侧的交换机(可以有多个)处,根据流量染色值对接入流量进行过滤处理。
所述过程S1还包括周期内接入流量上限计算过程和流量过载倍数计算过程;
所述周期内接入流量上限计算过程,根据接入认证的终端数量n、单个周期内终端信息采集频度f、单次采集的报文量m,以及系统裕量系数a,终端活跃度b=(0-1.0),计算出正常情况下统计周期内平台应当接收的流量上限L=n*f*m*a*b;
所述流量过载倍数计算过程,如果平台当前实际的流量P大于流量上限L,那么认为流量过载,并计算过载倍数x=P/L,取值范围为(1-15),过载倍数(0~1],取1;过载倍数(1~2],取2;(2~3]取3;....过载倍数>14,取15。
所述过程S2还包括染色区间计算过程和数据报文染色过程;
所述染色区间计算过程,根据过载倍数设定染色值取值范围,例如过载倍数为2时,染色区间取1-2;过载倍数为3时,染色区间取1-3;...;过载倍数为15时,染色区间取1~15;0表示未染色;
所述数据报文染色过程,在接入终端侧最近的交换机上,利用ipv4、ipv6头部的DS字段高4位(取值范围为1~15),根据当前的过载倍数从对应染色区间中循环取值,并对数据报文DS字段赋值。
所述过程S3由全局控制器在当前对应过载倍数的染色区间内随机取1个染色值,并将该染色值传递给交换机进行过滤,仅允许数据包的染色值等于交换机当前的染色值的数据包通过,其余染色值的数据包丢弃。
全局控制器在(过载倍数+1)个统计周期后,重新进行接入流量异常判断,若流量过载,计算流量染色值,并传递给对应的终端侧交换机及平台侧交换机,进行流量染色及流量过滤。
与现有技术相比,本发明有益效果如下:
(1)平台接入的过载流量会降低至1/(过载倍数+1),最大降低至1/15,即1个数量级;
(2)正常接入流量在有限周期内必定被送达平台;
(3)非法注入的流量,不会被染色,会被完全过滤掉;如果非法注入的流量自行填充染色值,按照过滤规则,其流量必定会被降低。
附图说明
图1为实施例中本发明的系统环境部署示意图;
图2为实施例中本发明的流程示意图。
具体实施方式
为阐明技术问题、技术方案、实施过程及性能展示,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释。本发明,并不用于限定本发明。以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
如图1所示,一种基于源端流量染色的工业互联网平台接入侧防护方法,部署环境中包括终端、终端侧交换机、控制器、平台侧交换机、接入认证服务器、工业互联网平台。终端进行工业互联网数据采集,通过终端侧交换机接入工业互联网;终端侧交换机采用SDN交换机实现,可以有多个,由控制器统一管理,主要实现流量染色;平台侧交换机采用SDN交换机实现,可以有多个,由控制器统一管理,主要实现流量过滤;接入认证服务器主要提供终端注册、认证服务,并提供控制器终端相关信息;控制器作为系统核心部分,主要功能包括进行接入流量异常判断,控制终端侧交换机进行流量染色,控制平台侧交换机进行流量过滤。
如图2所示,一种基于源端流量染色的工业互联网平台接入侧防护方法包括以下过程:
S1:平台接入流量异常判断过程,全局控制器根据数据采集业务的流量特性以及平台当前实际的流量统计数据进行接入流量异常判断;
S2:贴源端流量染色过程,全局控制器根据接入流量异常判断结果,在接入终端侧最近的交换机上对接入终端的报文进行染色处理;
S3:平台端流量过滤过程,全局控制器在靠近平台侧的交换机(可以有多个)处,根据流量染色值对接入流量进行过滤处理。
所述过程S1还包括周期内接入流量上限计算过程和流量过载倍数计算过程;
所述周期内接入流量上限计算过程,根据接入认证的终端数量n、单个周期内终端信息采集频度f、单次采集的报文量m,以及系统裕量系数a,终端活跃度b=(0-1.0),计算出正常情况下统计周期内平台应当接收的流量上限L=n*f*m*a*b;
所述流量过载倍数计算过程,如果平台当前实际的流量P大于流量上限L,那么认为流量过载,并计算过载倍数x=P/L,取值范围为(1-15),过载倍数(0~1],取1;过载倍数(1~2],取2;(2~3]取3;....过载倍数>14,取15。
所述过程S2还包括染色区间计算过程和数据报文染色过程;
所述染色区间计算过程,根据过载倍数设定染色值取值范围,例如过载倍数为2时,染色区间取1-2;过载倍数为3时,染色区间取1-3;...;过载倍数为15时,染色区间取1~15;0表示未染色;
所述数据报文染色过程,在接入终端侧最近的交换机上,利用ipv4、ipv6头部的DS字段高4位(取值范围为1~15),根据当前的过载倍数从对应染色区间中循环取值,并对数据报文DS字段赋值。
所述过程S3由全局控制器在当前对应过载倍数的染色区间内随机取1个染色值,并将该染色值传递给交换机进行过滤,仅允许数据包的染色值等于交换机当前的染色值的数据包通过,其余染色值的数据包丢弃。
全局控制器在(过载倍数+1)个统计周期后,重新进行接入流量异常判断,若流量过载,计算流量染色值,并传递给对应的终端侧交换机及平台侧交换机,进行流量染色及流量过滤。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (5)
1.一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,所述的方法包括:
S1:平台接入流量异常判断过程,全局控制器根据数据采集业务的流量特性以及平台当前实际的流量统计数据进行接入流量异常判断;
S2:贴源端流量染色过程,全局控制器根据接入流量异常判断结果,在接入终端侧最近的交换机上对接入终端的报文进行染色处理;
S3:平台端流量过滤过程,全局控制器在靠近平台侧的交换机(可以有多个)处,根据流量染色值对接入流量进行过滤处理。
2.根据权利要求1所述的一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,所述过程S1还包括周期内接入流量上限计算过程和流量过载倍数计算过程;
所述周期内接入流量上限计算过程,根据接入认证的终端数量n、单个周期内终端信息采集频度f、单次采集的报文量m,以及系统裕量系数a,终端活跃度b=(0-1.0),计算出正常情况下统计周期内平台应当接收的流量上限L=n*f*m*a*b;
所述流量过载倍数计算过程,如果平台当前实际的流量P大于流量上限L,那么认为流量过载,并计算过载倍数x=P/L,取值范围为(1-15),过载倍数(0~1],取1;过载倍数(1~2],取2;(2~3]取3;....过载倍数>14,取15。
3.根据权利要求1所述的一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,所述过程S2还包括染色区间计算过程和数据报文染色过程;
所述染色区间计算过程,根据过载倍数设定染色值取值范围,例如过载倍数为2时,染色区间取1-2;过载倍数为3时,染色区间取1-3;...;过载倍数为15时,染色区间取1~15;0表示未染色;
所述数据报文染色过程,在接入终端侧最近的交换机上,利用ipv4、ipv6头部的DS字段高4位(取值范围为1~15),根据当前的过载倍数从对应染色区间中循环取值,并对数据报文DS字段赋值。
4.根据权利要求1所述的一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,所述过程S3由全局控制器在当前对应过载倍数的染色区间内随机取1个染色值,并将该染色值传递给交换机进行过滤,仅允许数据包的染色值等于交换机当前的染色值的数据包通过,其余染色值的数据包丢弃。
5.根据权利要求1所述的一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,全局控制器在(过载倍数+1)个统计周期后,重新进行接入流量异常判断,若流量过载,计算流量染色值,并传递给对应的终端侧交换机及平台侧交换机,进行流量染色及流量过滤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210318608.3A CN114584392B (zh) | 2022-03-29 | 2022-03-29 | 一种基于源端流量染色的工业互联网平台接入侧防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210318608.3A CN114584392B (zh) | 2022-03-29 | 2022-03-29 | 一种基于源端流量染色的工业互联网平台接入侧防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584392A true CN114584392A (zh) | 2022-06-03 |
| CN114584392B CN114584392B (zh) | 2023-11-17 |
Family
ID=81781749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210318608.3A Active CN114584392B (zh) | 2022-03-29 | 2022-03-29 | 一种基于源端流量染色的工业互联网平台接入侧防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584392B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027497A (zh) * | 2016-05-04 | 2016-10-12 | 山东大学 | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 |
| CN106330749A (zh) * | 2015-06-30 | 2017-01-11 | 思科技术公司 | 无回路多端部网络拓扑中的类别感知的负载平衡 |
| CN111431939A (zh) * | 2020-04-24 | 2020-07-17 | 郑州大学体育学院 | 基于cti的sdn恶意流量防御方法及系统 |
| CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 |
-
2022
- 2022-03-29 CN CN202210318608.3A patent/CN114584392B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330749A (zh) * | 2015-06-30 | 2017-01-11 | 思科技术公司 | 无回路多端部网络拓扑中的类别感知的负载平衡 |
| CN106027497A (zh) * | 2016-05-04 | 2016-10-12 | 山东大学 | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 |
| CN111431939A (zh) * | 2020-04-24 | 2020-07-17 | 郑州大学体育学院 | 基于cti的sdn恶意流量防御方法及系统 |
| CN111614627A (zh) * | 2020-04-27 | 2020-09-01 | 中国舰船研究设计中心 | 一种面向sdn的跨平面协作ddos检测与防御方法与系统 |
Non-Patent Citations (1)
| Title |
|---|
| Y. WANG, T. HU, G. TANG, J. XIE AND J. LU: "\"SGS: Safe-Guard Scheme for Protecting Control Plane Against DDoS Attacks in Software-Defined Networking\"", vol. 7, pages 34699 - 34710, XP011716314, DOI: 10.1109/ACCESS.2019.2895092 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584392B (zh) | 2023-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1670274B1 (en) | Dummy PCH block detection for power saving in GSM handset | |
| CN108848072B (zh) | 一种基于相对熵的车载can总线异常检测方法 | |
| CN112261007B (zh) | 基于机器学习的https恶意加密流量检测方法、系统及存储介质 | |
| CN111200605B (zh) | 一种基于Handle系统的恶意标识防御方法及系统 | |
| WO1997037450A1 (en) | Method and apparatus for maintaining security in a packetized data communications network | |
| CN111683097A (zh) | 一种基于两级架构的云网络流量监控系统 | |
| CN112261021B (zh) | 软件定义物联网下DDoS攻击检测方法 | |
| CN114500092B (zh) | 一种基于sdn的工业互联网标识异常流量识别方法 | |
| Shitharth et al. | A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network | |
| CN114584392A (zh) | 一种基于源端流量染色的工业互联网平台接入侧防护方法 | |
| US20100138893A1 (en) | Processing method for accelerating packet filtering | |
| CN110048905B (zh) | 物联网设备通信模式识别方法及装置 | |
| CN109756520B (zh) | 动态访问控制方法、设备及计算机可读存储介质 | |
| CN110138773B (zh) | 一种针对goose攻击的防护方法 | |
| CN114172831B (zh) | 暴力破解方法、系统、计算机及存储介质 | |
| CN115883169A (zh) | 基于蜜罐系统的工控网络攻击报文响应方法及响应系统 | |
| CN109474593A (zh) | 一种识别c&c周期性回连行为的方法 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN112217861B (zh) | 一种基于标识跳变的5g网络边界网元标识防护方法与装置 | |
| CN115567243A (zh) | 一种基于关键字的交换机监控方法 | |
| CN114285769A (zh) | 共享上网检测方法、装置、设备及存储介质 | |
| CN117614746B (zh) | 一种基于历史统计判定偏差行为的交换机防御攻击方法 | |
| CN111162914A (zh) | 一种基于PUF的物联网IPv4身份认证方法及系统 | |
| CN111510443A (zh) | 基于设备画像的终端监测方法和终端监测装置 | |
| CN109257261A (zh) | 基于can总线信号物理特征的抗假冒节点攻击方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |