CN114584392B - 一种基于源端流量染色的工业互联网平台接入侧防护方法 - Google Patents

一种基于源端流量染色的工业互联网平台接入侧防护方法 Download PDF

Info

Publication number
CN114584392B
CN114584392B CN202210318608.3A CN202210318608A CN114584392B CN 114584392 B CN114584392 B CN 114584392B CN 202210318608 A CN202210318608 A CN 202210318608A CN 114584392 B CN114584392 B CN 114584392B
Authority
CN
China
Prior art keywords
dyeing
flow
industrial internet
access
internet platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210318608.3A
Other languages
English (en)
Other versions
CN114584392A (zh
Inventor
魏亮
檀朝红
陈俊霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Future Networks Innovation Institute
Original Assignee
Jiangsu Future Networks Innovation Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Future Networks Innovation Institute filed Critical Jiangsu Future Networks Innovation Institute
Priority to CN202210318608.3A priority Critical patent/CN114584392B/zh
Publication of CN114584392A publication Critical patent/CN114584392A/zh
Application granted granted Critical
Publication of CN114584392B publication Critical patent/CN114584392B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,包括以下具体步骤:S1:平台接入流量异常判断过程;S2:贴源端流量染色过程;S3:平台端流量过滤过程;本发明能够将平台接入的过载流量降低一个数量级,确保正常接入流量在有限周期内必定被送达平台,非法注入的流量,不会被染色,会被完全过滤掉;如果非法注入的流量自行填充染色值,按照过滤规则,其流量必定会被降低。

Description

一种基于源端流量染色的工业互联网平台接入侧防护方法
技术领域
本发明涉及工业互联网平台安全控制领域,具体地说一种基于源端流量染色的工业互联网平台接入侧防护方法。
背景技术
工业互联网是新一代信息技术与制造业深度融合所形成的新兴业态和应用模式,是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体,也是全球新一轮产业竞争的制高点。数字化、网络化、智能化等关键要素使工业互联网平台成为新的基础建设项目,标识体系,边缘计算,数字孪生等新技术不断涌现,同时工业互联网平台也带来终端安全、控制安全、业务安全等新的安全威胁。
工业数据采集作为工业互联网平台核心部分,安全防护面临着严峻的挑战。一方面,工业领域信息基础设施成为黑客重点关注和攻击目标,防护压力空前增大;另一方面,相较传统网络安全,工业互联网安全呈现新的特点,进一步增加了安全防护难度。
发明内容
本本发明针对工业互联网平台数据采集面临的安全问题,本发明采用SDN(Software Defined Network,软件定义网络)的网络架构部署模式,提供了一种基于源端流量染色的工业互联网平台接入侧防护方法。
为实现上述目的,本发明提供以下技术方案:
一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,所述的方法包括:
S1:平台接入流量异常判断过程,全局控制器根据数据采集业务的流量特性以及平台当前实际的流量统计数据进行接入流量异常判断;
S2:贴源端流量染色过程,全局控制器根据接入流量异常判断结果,在接入终端侧最近的交换机上对接入终端的报文进行染色处理;
S3:平台端流量过滤过程,全局控制器在靠近平台侧的交换机(可以有多个)处,根据流量染色值对接入流量进行过滤处理。
所述过程S1还包括周期内接入流量上限计算过程和流量过载倍数计算过程;
所述周期内接入流量上限计算过程,根据接入认证的终端数量n、单个周期内终端信息采集频度f、单次采集的报文量m,以及系统裕量系数a,终端活跃度b=(0-1.0),计算出正常情况下统计周期内平台应当接收的流量上限L=n*f*m*a*b;
所述流量过载倍数计算过程,如果平台当前实际的流量P大于流量上限L,那么认为流量过载,并计算过载倍数x=P/L,取值范围为(1-15),过载倍数(0~1],取1;过载倍数(1~2],取2;(2~3]取3;....过载倍数>14,取15。
所述过程S2还包括染色区间计算过程和数据报文染色过程;
所述染色区间计算过程,根据过载倍数设定染色值取值范围,例如过载倍数为2时,染色区间取1-2;过载倍数为3时,染色区间取1-3;...;过载倍数为15时,染色区间取1~15;0表示未染色;
所述数据报文染色过程,在接入终端侧最近的交换机上,利用ipv4、ipv6头部的DS字段高4位(取值范围为1~15),根据当前的过载倍数从对应染色区间中循环取值,并对数据报文DS字段赋值。
所述过程S3由全局控制器在当前对应过载倍数的染色区间内随机取1个染色值,并将该染色值传递给交换机进行过滤,仅允许数据包的染色值等于交换机当前的染色值的数据包通过,其余染色值的数据包丢弃。
全局控制器在(过载倍数+1)个统计周期后,重新进行接入流量异常判断,若流量过载,计算流量染色值,并传递给对应的终端侧交换机及平台侧交换机,进行流量染色及流量过滤。
与现有技术相比,本发明有益效果如下:
(1)平台接入的过载流量会降低至1/(过载倍数+1),最大降低至1/15,即1个数量级;
(2)正常接入流量在有限周期内必定被送达平台;
(3)非法注入的流量,不会被染色,会被完全过滤掉;如果非法注入的流量自行填充染色值,按照过滤规则,其流量必定会被降低。
附图说明
图1为实施例中本发明的系统环境部署示意图;
图2为实施例中本发明的流程示意图。
具体实施方式
为阐明技术问题、技术方案、实施过程及性能展示,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释。本发明,并不用于限定本发明。以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
如图1所示,一种基于源端流量染色的工业互联网平台接入侧防护方法,部署环境中包括终端、终端侧交换机、控制器、平台侧交换机、接入认证服务器、工业互联网平台。终端进行工业互联网数据采集,通过终端侧交换机接入工业互联网;终端侧交换机采用SDN交换机实现,可以有多个,由控制器统一管理,主要实现流量染色;平台侧交换机采用SDN交换机实现,可以有多个,由控制器统一管理,主要实现流量过滤;接入认证服务器主要提供终端注册、认证服务,并提供控制器终端相关信息;控制器作为系统核心部分,主要功能包括进行接入流量异常判断,控制终端侧交换机进行流量染色,控制平台侧交换机进行流量过滤。
如图2所示,一种基于源端流量染色的工业互联网平台接入侧防护方法包括以下过程:
S1:平台接入流量异常判断过程,全局控制器根据数据采集业务的流量特性以及平台当前实际的流量统计数据进行接入流量异常判断;
S2:贴源端流量染色过程,全局控制器根据接入流量异常判断结果,在接入终端侧最近的交换机上对接入终端的报文进行染色处理;
S3:平台端流量过滤过程,全局控制器在靠近平台侧的交换机(可以有多个)处,根据流量染色值对接入流量进行过滤处理。
所述过程S1还包括周期内接入流量上限计算过程和流量过载倍数计算过程;
所述周期内接入流量上限计算过程,根据接入认证的终端数量n、单个周期内终端信息采集频度f、单次采集的报文量m,以及系统裕量系数a,终端活跃度b=(0-1.0),计算出正常情况下统计周期内平台应当接收的流量上限L=n*f*m*a*b;
所述流量过载倍数计算过程,如果平台当前实际的流量P大于流量上限L,那么认为流量过载,并计算过载倍数x=P/L,取值范围为(1-15),过载倍数(0~1],取1;过载倍数(1~2],取2;(2~3]取3;....过载倍数>14,取15。
所述过程S2还包括染色区间计算过程和数据报文染色过程;
所述染色区间计算过程,根据过载倍数设定染色值取值范围,例如过载倍数为2时,染色区间取1-2;过载倍数为3时,染色区间取1-3;...;过载倍数为15时,染色区间取1~15;0表示未染色;
所述数据报文染色过程,在接入终端侧最近的交换机上,利用ipv4、ipv6头部的DS字段高4位(取值范围为1~15),根据当前的过载倍数从对应染色区间中循环取值,并对数据报文DS字段赋值。
所述过程S3由全局控制器在当前对应过载倍数的染色区间内随机取1个染色值,并将该染色值传递给交换机进行过滤,仅允许数据包的染色值等于交换机当前的染色值的数据包通过,其余染色值的数据包丢弃。
全局控制器在(过载倍数+1)个统计周期后,重新进行接入流量异常判断,若流量过载,计算流量染色值,并传递给对应的终端侧交换机及平台侧交换机,进行流量染色及流量过滤。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (2)

1.一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,所述的方法包括:
S1:工业互联网平台接入流量异常判断过程,全局控制器根据数据采集业务的流量特性以及工业互联网平台当前实际的流量统计数据进行接入流量异常判断;
S2:贴源端流量染色过程,全局控制器根据接入流量异常判断结果,在接入终端侧最近的交换机上对接入终端的报文进行染色处理;
S3:工业互联网平台端流量过滤过程,全局控制器在靠近工业互联网平台侧的交换机处,根据流量染色值对接入流量进行过滤处理;
所述步骤S1还包括周期内接入流量上限计算过程和流量过载倍数计算过程;
所述周期内接入流量上限计算过程,根据接入认证的终端数量n、单个周期内终端信息采集频度f、单次采集的报文量m,以及系统裕量系数a,终端活跃度b∈(0,1),计算出正常情况下统计周期内工业互联网平台应当接收的流量上限L = n * f * m * a * b;
所述流量过载倍数计算过程,如果工业互联网平台当前实际的流量P大于流量上限L,那么认为流量过载,并计算过载倍数x = P / L,x取值范围∈(1,15],过载倍数∈(1,2]时,取2;过载倍数∈(2,3]取3;...;过载倍数>14时,取15;
所述步骤S2还包括染色区间计算过程和数据报文染色过程;
所述染色区间计算过程,根据过载倍数设定染色值取值范围,当过载倍数为2时,染色区间取[1,2];过载倍数为3时,染色区间取[1,3];...;过载倍数为15时,染色区间取[1,15];0表示未染色;
所述数据报文染色过程,在接入终端侧最近的交换机上,利用ipv4、ipv6头部的DS字段高4位,取值范围为[1,15],根据当前的过载倍数从对应染色区间中循环取值,并对数据报文DS字段赋值;
所述步骤S3由全局控制器在当前对应过载倍数的染色区间内随机取1个染色值,并将该染色值传递给交换机进行过滤,仅允许数据包的染色值等于交换机当前的染色值的数据包通过,其余染色值的数据包丢弃。
2.根据权利要求1所述的一种基于源端流量染色的工业互联网平台接入侧防护方法,其特征在于,全局控制器在过载倍数+1个统计周期后,重新进行接入流量异常判断,若流量过载,计算流量染色值,并传递给对应的终端侧交换机及工业互联网平台侧交换机,进行流量染色及流量过滤。
CN202210318608.3A 2022-03-29 2022-03-29 一种基于源端流量染色的工业互联网平台接入侧防护方法 Active CN114584392B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210318608.3A CN114584392B (zh) 2022-03-29 2022-03-29 一种基于源端流量染色的工业互联网平台接入侧防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210318608.3A CN114584392B (zh) 2022-03-29 2022-03-29 一种基于源端流量染色的工业互联网平台接入侧防护方法

Publications (2)

Publication Number Publication Date
CN114584392A CN114584392A (zh) 2022-06-03
CN114584392B true CN114584392B (zh) 2023-11-17

Family

ID=81781749

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210318608.3A Active CN114584392B (zh) 2022-03-29 2022-03-29 一种基于源端流量染色的工业互联网平台接入侧防护方法

Country Status (1)

Country Link
CN (1) CN114584392B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027497A (zh) * 2016-05-04 2016-10-12 山东大学 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法
CN106330749A (zh) * 2015-06-30 2017-01-11 思科技术公司 无回路多端部网络拓扑中的类别感知的负载平衡
CN111431939A (zh) * 2020-04-24 2020-07-17 郑州大学体育学院 基于cti的sdn恶意流量防御方法及系统
CN111614627A (zh) * 2020-04-27 2020-09-01 中国舰船研究设计中心 一种面向sdn的跨平面协作ddos检测与防御方法与系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106330749A (zh) * 2015-06-30 2017-01-11 思科技术公司 无回路多端部网络拓扑中的类别感知的负载平衡
CN106027497A (zh) * 2016-05-04 2016-10-12 山东大学 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法
CN111431939A (zh) * 2020-04-24 2020-07-17 郑州大学体育学院 基于cti的sdn恶意流量防御方法及系统
CN111614627A (zh) * 2020-04-27 2020-09-01 中国舰船研究设计中心 一种面向sdn的跨平面协作ddos检测与防御方法与系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Y. Wang, T. Hu, G. Tang, J. Xie and J. Lu."SGS: Safe-Guard Scheme for Protecting Control Plane Against DDoS Attacks in Software-Defined Networking".《IEEE Access》.2019,第第7卷卷第34699-34710页. *

Also Published As

Publication number Publication date
CN114584392A (zh) 2022-06-03

Similar Documents

Publication Publication Date Title
CN1266893C (zh) 保证用户匿名的方法及其无线局域网系统
US7089586B2 (en) Firewall protection for wireless users
CN108848072B (zh) 一种基于相对熵的车载can总线异常检测方法
EP1670274B1 (en) Dummy PCH block detection for power saving in GSM handset
CN112261007B (zh) 基于机器学习的https恶意加密流量检测方法、系统及存储介质
WO1997037450A1 (en) Method and apparatus for maintaining security in a packetized data communications network
CN114205133B (zh) 一种用于车载can网络的信息安全增强方法及电子设备
CN102281540A (zh) 手机恶意软件查杀方法及系统
CN112261021B (zh) 软件定义物联网下DDoS攻击检测方法
CN113873512A (zh) 一种物联网边缘网关安全架构系统
CN114584392B (zh) 一种基于源端流量染色的工业互联网平台接入侧防护方法
Kumar et al. An Anomaly Behavior based Detection and Prevention of DoS Attack in IoT Environment
CN1996960B (zh) 一种即时通信消息的过滤方法及即时通信系统
CN114697081B (zh) 基于iec61850 sv报文运行态势模型的入侵检测方法和系统
Bittl et al. Effective certificate distribution in ETSI ITS VANETs using implicit and explicit requests
CN110138773B (zh) 一种针对goose攻击的防护方法
CN115883169A (zh) 基于蜜罐系统的工控网络攻击报文响应方法及响应系统
CN112217861B (zh) 一种基于标识跳变的5g网络边界网元标识防护方法与装置
CN112040489B (zh) 能对流量整形的物联网安全网关、终端设备和系统
CN109803255B (zh) 用于数字化车间的移动数据信息安全通信系统及方法
CN110677424A (zh) 基于哈希算法的电力防火墙伪造寻址过滤方法
CN117614746B (zh) 一种基于历史统计判定偏差行为的交换机防御攻击方法
CN113573308B (zh) 一种提高空口安全的方法及模块
CN112333146B (zh) 变电智能网关arp安全防御方法及变电智能网关
CN113179247B (zh) 拒绝服务攻击防护方法、电子装置和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant