CN115296929B - 一种工业防火墙管理系统及方法 - Google Patents

一种工业防火墙管理系统及方法 Download PDF

Info

Publication number
CN115296929B
CN115296929B CN202211187017.3A CN202211187017A CN115296929B CN 115296929 B CN115296929 B CN 115296929B CN 202211187017 A CN202211187017 A CN 202211187017A CN 115296929 B CN115296929 B CN 115296929B
Authority
CN
China
Prior art keywords
module
industrial
data
defense
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211187017.3A
Other languages
English (en)
Other versions
CN115296929A (zh
Inventor
黄建伟
关勇
王孟斯
王永峰
孔令武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Luoan Technology Co Ltd
Original Assignee
Beijing Luoan Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Luoan Technology Co Ltd filed Critical Beijing Luoan Technology Co Ltd
Priority to CN202211187017.3A priority Critical patent/CN115296929B/zh
Publication of CN115296929A publication Critical patent/CN115296929A/zh
Application granted granted Critical
Publication of CN115296929B publication Critical patent/CN115296929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及工业防火墙技术领域,具体涉及一种工业防火墙管理系统及方法;基于网络爬虫抓取已知工业设备和网络漏洞建立防御灰名单和已知漏洞序列,基于所述防御时间集合,对已知漏洞序列进行递增排列,建立危险漏洞序列,根据所需的漏洞分组数量,向后截取选择漏洞等级簇数据包,基于截取数量进行危险漏洞播报。本发明的工业防火墙控制系统在硬件方面具有足够的可靠性和稳定性,能够适应工业特殊环境,其次智能工业防火墙的部署方式和工作方式非常灵活,在实现安全防护的同时不影响正常生产,实现基于工业漏洞库的灰名单被动防御功能,可以确保达到工业级可靠性和稳定性要求。

Description

一种工业防火墙管理系统及方法
技术领域
本发明涉及工业防火墙技术领域,具体涉及一种工业防火墙管理系统及方法。
背景技术
防火墙的标准定义是部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检测等功能,因此防火墙是工业控制系统区域有效隔离的设备,工业防火墙的核心使命是实现工业控制网络与外部其他网络,工业控制网络内部不同业务的边界隔离和访问控制。
现有技术中,如中国专利CN104618143B公开了一种管理工业防火墙的方法和装置,包括:工业防火墙的自定义层生成设备发现消息,对设备发现消息封装自定义头后发送给媒体访问控制MAC层,MAC层广播设备发现消息;管理服务器的MAC层对设备发现消息去掉MAC头后发送给自定义层,自定义层获取工业防火墙的MAC地址和工业防火墙标识之间的第一对应关系,自定义层生成设备发现响应消息,根据第一对应关系对设备发现响应消息封装自定义头后,发送给MAC层,MAC层发送给工业防火墙;工业防火墙的MAC层对设备发现响应消息去掉MAC头后发送给自定义层,自定义层获取管理服务器的MAC地址和管理服务器标识之间的第二对应关系。
传统的防火墙无法识别工业现场协议、无法深度解析工业控制业务数据、无法适应工业现场的恶劣工作环境,从而在工业控制网络中的应用过程中出现各种问题,综上所述,研发一种工业防火墙管理系统及方法。
发明内容
针对现有技术所存在的问题,本发明的目的在于提供一种工业防火墙管理系统及方法。
为实现上述目的,本发明提供了如下技术方案:
一种工业防火墙管理方法,包括以下步骤:
S1:基于网络爬虫抓取已知工业设备和网络漏洞建立防御灰名单和已知漏洞序列
Figure 601876DEST_PATH_IMAGE002
,其中i为已知漏洞在防御灰名单中的编号;
S2:建立基于已有工业防火墙的虚拟机,在所述虚拟机上植入已知的工业设备和网络漏洞,向所述虚拟机喂送虚拟访问指令,采集所述工业防火墙的防御时间集合
Figure 348115DEST_PATH_IMAGE003
,其中,
Figure 968453DEST_PATH_IMAGE004
表示在虚拟机上针对第i个已知漏洞进行虚拟访问时,防火墙的许可响应时间;
S3:基于所述防御时间集合
Figure 825550DEST_PATH_IMAGE005
,对已知漏洞序列
Figure 549530DEST_PATH_IMAGE006
进行递增排列,建立危险漏洞序列
Figure 794567DEST_PATH_IMAGE007
,基于相邻两个漏洞的防御时间的增量建立漏洞等级簇数据包
Figure 839883DEST_PATH_IMAGE008
Figure 500672DEST_PATH_IMAGE010
其中,max1表示相邻两个漏洞的防御时间的最大差值,max2表示次大差值,依次递减;
S4:根据所需的漏洞分组数量,向后截取选择漏洞等级簇数据包
Figure 252727DEST_PATH_IMAGE012
,基于截取数量进行危险漏洞播报。
进一步的,还包括步骤S5:将被截取选择的漏洞等级簇数据包
Figure 606348DEST_PATH_IMAGE013
的剩余部分列入白名单。
本发明还提供了一种工业防火墙管理系统,包括:智能机器学习模块,所述智能机器学习模块可以实现自动收集、分析和学习系统正常运行状态下的数据行为,自动生成容易理解的操作规则和白名单;
深度数据包解析模块,所述深度数据包解析模块用于对各工业控制协议深入解析,识别出协议中的各种要素及协议所承载的业务内容,并对这些数据进行快速解析,以还原其原始通信信息;
特征匹配模块,所述特征匹配模块以深度数据包解析技术为基础,并结合智能机器学习技术,实现数据包特征匹配功能;
防御模块,所述防御模块基于工业漏洞库实现灰白单入侵防御功能,所有的已知工业设备和网络漏洞均列入灰名单;
硬件检测模块,所述硬件检测模块用于支持硬件Bypass能力,保障工业控制系统的可用性;
高效传输模块,所述高效传输模块采用内核转发、中断机制、高效匹配等多种技术手段来减低延迟提升转发性能,满足对实时性要求高的工业场景时延的要求。
本发明进一步设置为:所述智能机器学习模块包括数据行为模块、提取生成模块、自动优化模块和分析调整模块;
所述数据行为模块用于自动收集、分析和学习系统正常运行状态下的数据行为,自动生成容易理解的操作规则和白名单;
所述提取生成模块用于实现自动化特征规则的提取和生成,对规则以外的异常数据和操作行为进行告警或限制;
所述自动优化模块用于分析用户网络数据,发现设备和网络协议之间的逻辑关系和相似程度,自动优化学习到的规则和策略;
所述分析调整模块用于当策略和规则之间存在相互冲突和异常时,综合分析并调整规则和策略之间的匹配程度。
本发明进一步设置为:所述深度数据包解析模块包括信息解析模块、白名单生成模块和安全策略模块;
所述信息解析模块用于根据解析后的原始信息,检测其中是否包含威胁以及敏感内容;
所述白名单生成模块用于检测数据包的有效内容特征、负载和可用匹配信息,进而生成白名单;
所述安全策略模块用于根据系统的重要性制定相应的安全策略。
本发明进一步设置为:所述特征匹配模块包括策略更改模块和比对分析模块;
所述策略更改模块能够自动最小化策略更改和部署过程中的更新延时,并且能够在无需重启的情况下,实时在线完成特征规则的更改与部署;
所述比对分析模块通过高效的比对分析和算法,大幅度避免特征匹配引擎执行过程中对于重复数据包的解析匹配,有效提升特征匹配引擎性能。
本发明进一步设置为:所述硬件检测模块包括异常检测模块、协议识别及控制模块、协议转换模块、入侵检测引擎模块和设备配置参数探测模块;
所述异常检测模块用于当检测到设备掉电、软件宕机等异常情况时触发旁通功能,以保障业务通信的可用性;
所述协议识别及控制模块用于利用工业协议深度过滤技术,为工业自动化安全提供分析、阻断、隔离、报告和控制手段;
所述协议转换模块用于实时数据库技术、事件驱动技术、通讯组态技术和开放系统技术等有机融合在一起,可满足工业互联网需求;
所述入侵检测引擎模块用于实现对工业互联网的安全防护,可以对网络和自动化系统中内部攻击、外部攻击和误操作进行实时监测;
所述设备配置参数探测模块用于采集控制设备配置数据,并对采集到的配置数据进行解析,根据采集策略对配置数据进行过滤。
本发明进一步设置为:所述深度数据包解析模块与高效传输模块信号连接,所述异常检测模块和入侵检测引擎模块均与高效传输模块信号连接。
有益效果
采用本发明提供的技术方案,与已知的公有技术相比,具有如下有益效果:
(1)、本发明中,工业控制系统的实时性和稳定性较高,同时在硬件方面具有足够的可靠性和稳定性,能够适应工业特殊环境,其次智能工业防火墙的部署方式和工作方式非常灵活,在实现安全防护的同时不影响正常生产,该工业防火墙能够满足工业现场实时性、可靠性,实现工业控制网络与外部其他网络,工业控制网络内部不同业务的边界隔离和访问控制。
(2)、本发明中,工业防火墙系统在软件层面上,将智能工业防火墙技术融合智能机器学习技术、深度数据包解析技术、特征匹配技术,实现对多种工控网络协议数据的检查、过滤、报警、阻断,既实现基于工业漏洞库的灰名单被动防御功能,又实现基于智能机器学习引擎的白名单主动防御功能;在硬件层面上,智能工业防火墙技术强调具有全封闭、无风扇、多电源冗余、硬件加密等适用工业环境的特点,确保达到工业级可靠性和稳定性要求。
附图说明
图1为一种工业防火墙管理系统的框图。
图中标号说明:
1、智能机器学习模块;2、深度数据包解析模块;3、特征匹配模块;4、防御模块;5、硬件检测模块;6、高效传输模块;11、数据行为模块;12、提取生成模块;13、自动优化模块;14、分析调整模块;21、信息解析模块;22、白名单生成模块;23、安全策略模块;31、策略更改模块;32、比对分析模块;51、异常检测模块;52、协议识别及控制模块;53、协议转换模块;54、入侵检测引擎模块;55、设备配置参数探测模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合实施例对本发明做进一步的描述。
实施例1
一种工业防火墙管理系统的方法,包括以下步骤:
步骤一、将智能工业防火墙技术融合智能机器学习技术、深度数据包解析技术和特征匹配技术,实现对多种工控网络协议数据的检查、过滤、报警、阻断。
步骤二、利用灰白名单相结合的防御技术,所有已知工业设备和网络漏洞均列入灰名单,防御技术通过分析、匹配、判断工控网络行为,对符合漏洞库的异常数据和行为进行阻断或告警。
灰名单被动防御功能可避免工业控制网络受到已知漏洞的破坏。
步骤三、在硬件层面上,硬件层面主要包括PLC、HMI、服务器、控制器和工业防火墙,工业防火墙硬件技术适应全封闭、多电源冗余、硬件加密的工业环境。
为适应工业环境,工业防火墙采用无风扇设计、导轨式安装,支持低功耗、防尘防辐射。
步骤四、针对特定的工业协议进行访问控制,阻断互联网通用协议进入到生产控制网,阻断针对工业控制系统漏洞进行的渗透攻击,仅允许生产管理区需要的数据从生产控制区外发。
生产管理区接收之后,管理层需要进行相应的数据提取和分析决策。
在本实施例中,该工业防火墙的工业控制系统,其实时性和稳定性较高,同时在硬件方面具有足够的可靠性和稳定性,能够适应工业特殊环境;其次智能工业防火墙支持工业协议的深度解析功能,包括协议的指令级别、寄存器级别、值域级别,实现对协议通信内容的深度解析、过滤、阻断、报警、审计等各类功能,不仅如此,智能工业防火墙的部署方式和工作方式非常灵活,在实现安全防护的同时不影响正常生产,该工业防火墙能够满足工业现场实时性、可靠性,是能够深度识别控制业务的防火墙,实现工业控制网络与外部其他网络,工业控制网络内部不同业务的边界隔离和访问控制。
实施例2
一种工业防火墙管理方法,包括以下步骤:
S1:基于网络爬虫抓取已知工业设备和网络漏洞建立防御灰名单和已知漏洞序列
Figure 873381DEST_PATH_IMAGE014
,其中i为已知漏洞在防御灰名单中的编号;
S2:建立基于已有工业防火墙的虚拟机,在所述虚拟机上植入已知的工业设备和网络漏洞,向所述虚拟机喂送虚拟访问指令,采集所述工业防火墙的防御时间集合
Figure 400177DEST_PATH_IMAGE016
,其中,
Figure 69056DEST_PATH_IMAGE017
表示在虚拟机上针对第i个已知漏洞进行虚拟访问时,防火墙的许可响应时间;
S3:基于所述防御时间集合
Figure 531262DEST_PATH_IMAGE018
,对已知漏洞序列
Figure 285591DEST_PATH_IMAGE019
进行递增排列,建立危险漏洞序列
Figure 288182DEST_PATH_IMAGE020
,基于相邻两个漏洞的防御时间的增量建立漏洞等级簇数据包
Figure DEST_PATH_IMAGE021
Figure 139463DEST_PATH_IMAGE022
其中,max1表示相邻两个漏洞的防御时间的最大差值,max2表示次大差值,依次递减;
S4:根据所需的漏洞分组数量,向后截取选择漏洞等级簇数据包
Figure DEST_PATH_IMAGE023
,基于截取数量进行危险漏洞播报。
进一步的,还包括步骤S5:将被截取选择的漏洞等级簇数据包
Figure 38149DEST_PATH_IMAGE024
的剩余部分列入白名单。
实施例3
请参照图1所示,本发明还提供了一种工业防火墙管理系统,包括:智能机器学习模块1,智能机器学习模块1可以实现自动收集、分析和学习系统正常运行状态下的数据行为,自动生成容易理解的操作规则和白名单;
深度数据包解析模块2,深度数据包解析模块2用于对各工业控制协议深入解析,识别出协议中的各种要素及协议所承载的业务内容,并对这些数据进行快速解析,以还原其原始通信信息;
特征匹配模块3,特征匹配模块3以深度数据包解析技术为基础,并结合智能机器学习技术,实现数据包特征匹配功能;
防御模块4,防御模块4基于工业漏洞库实现灰白单入侵防御功能,所有的已知工业设备和网络漏洞均列入灰名单;
硬件检测模块5,硬件检测模块5用于支持硬件Bypass能力,保障工业控制系统的可用性;
高效传输模块6,高效传输模块6采用内核转发、中断机制、高效匹配等多种技术手段来减低延迟提升转发性能,满足对实时性要求高的工业场景时延的要求。
智能机器学习模块1包括数据行为模块11、提取生成模块12、自动优化模块13和分析调整模块14;
数据行为模块11用于自动收集、分析和学习系统正常运行状态下的数据行为,自动生成容易理解的操作规则和白名单;
提取生成模块12用于实现自动化特征规则的提取和生成,对规则以外的异常数据和操作行为进行告警或限制;
自动优化模块13用于分析用户网络数据,发现设备和网络协议之间的逻辑关系和相似程度,自动优化学习到的规则和策略;
分析调整模块14用于当策略和规则之间存在相互冲突和异常时,综合分析并调整规则和策略之间的匹配程度。
深度数据包解析模块2包括信息解析模块21、白名单生成模块22和安全策略模块23;
信息解析模块21用于根据解析后的原始信息,检测其中是否包含威胁以及敏感内容;
白名单生成模块22用于检测数据包的有效内容特征、负载和可用匹配信息,进而生成白名单;
安全策略模块23用于根据系统的重要性制定相应的安全策略。
特征匹配模块3包括策略更改模块31和比对分析模块32;
策略更改模块31能够自动最小化策略更改和部署过程中的更新延时,并且能够在无需重启的情况下,实时在线完成特征规则的更改与部署;
比对分析模块32通过高效的比对分析和算法,大幅度避免特征匹配引擎执行过程中对于重复数据包的解析匹配,有效提升特征匹配引擎性能。
硬件检测模块5包括异常检测模块51、协议识别及控制模块52、协议转换模块53、入侵检测引擎模块54和设备配置参数探测模块55;
异常检测模块51用于当检测到设备掉电、软件宕机等异常情况时触发旁通功能,以保障业务通信的可用性;
协议识别及控制模块52用于利用工业协议深度过滤技术,为工业自动化安全提供分析、阻断、隔离、报告和控制手段;
协议转换模块53用于实时数据库技术、事件驱动技术、通讯组态技术和开放系统技术等有机融合在一起,可满足工业互联网需求;
入侵检测引擎模块54用于实现对工业互联网的安全防护,可以对网络和自动化系统中内部攻击、外部攻击和误操作进行实时监测;
设备配置参数探测模块55用于采集控制设备配置数据,并对采集到的配置数据进行解析,根据采集策略对配置数据进行过滤。
深度数据包解析模块2与高效传输模块6信号连接,异常检测模块51和入侵检测引擎模块54均与高效传输模块6信号连接。
在本实施例中,该工业防火墙系统在软件层面上,将智能工业防火墙技术融合智能机器学习技术、深度数据包解析技术、特征匹配技术,实现对多种工控网络协议数据的检查、过滤、报警、阻断,既实现基于工业漏洞库的灰名单被动防御功能,又实现基于智能机器学习引擎的白名单主动防御功能;同时在硬件层面上,智能工业防火墙技术强调具有全封闭、无风扇、多电源冗余、硬件加密等适用工业环境的特点,确保达到工业级可靠性和稳定性要求。
本发明通过智能机器学习模块1、深度数据包解析模块2、特征匹配模块3、防御模块4、硬件检测模块5和高效传输模块6结合,将智能工业防火墙技术融合智能机器学习技术、深度数据包解析技术、特征匹配技术,实现对多种工控网络协议数据的检查、过滤、报警、阻断,既实现基于工业漏洞库的灰名单被动防御功能,又实现基于智能机器学习引擎的白名单主动防御功能,同时在硬件方面具有足够的可靠性和稳定性,能够适应工业特殊环境,智能工业防火墙的部署方式和工作方式非常灵活,在实现安全防护的同时不影响正常生产,该工业防火墙能够满足工业现场实时性、可靠性,是能够深度识别控制业务的防火墙,实现工业控制网络与外部其他网络,工业控制网络内部不同业务的边界隔离和访问控制。
本发明的各部分可以用硬件、软件、固件或他们的组合来实现,在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现,例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种工业防火墙管理方法,其特征在于,包括以下步骤:
S1:基于网络爬虫抓取已知工业设备和网络漏洞建立防御灰名单和已知漏洞序列
Figure 419396DEST_PATH_IMAGE001
,其中i为已知漏洞在防御灰名单中的编号;
S2:建立基于已有工业防火墙的虚拟机,在所述虚拟机上植入已知的工业设备和网络漏洞,向所述虚拟机喂送虚拟访问指令,采集所述工业防火墙的防御时间集合
Figure 531709DEST_PATH_IMAGE002
,其中,
Figure 709618DEST_PATH_IMAGE003
表示在虚拟机上针对第i个已知漏洞进行虚拟访问时,防火墙的许可响应时间;
S3:基于所述防御时间集合
Figure 641802DEST_PATH_IMAGE004
,对已知漏洞序列
Figure 986196DEST_PATH_IMAGE005
进行递增排列,建立危险漏洞序列
Figure 812069DEST_PATH_IMAGE006
,基于相邻两个漏洞的防御时间的增量建立漏洞等级簇数据包
Figure 52558DEST_PATH_IMAGE007
Figure 268776DEST_PATH_IMAGE008
其中,max1表示相邻两个漏洞的防御时间的最大差值,max2表示次大差值,依次递减;
S4:根据所需的漏洞分组数量,向后截取选择漏洞等级簇数据包
Figure 495489DEST_PATH_IMAGE009
,基于截取数量进行危险漏洞播报。
2.根据权利要求1所述的一种工业防火墙管理方法,其特征在于,还包括步骤S5:将被截取选择的漏洞等级簇数据包
Figure 51235DEST_PATH_IMAGE010
的剩余部分列入白名单。
3.一种工业防火墙管理系统,用于实施如权利要求1或2所述的方法,其特征在于,包括:
智能机器学习模块(1),所述智能机器学习模块(1)用于安装虚拟机,实现自动收集、分析和学习系统正常运行状态下的数据行为,自动生成灰名单和白名单;
深度数据包解析模块(2),所述深度数据包解析模块(2)用于对各工业控制协议深入解析,识别出协议中的各种要素及协议所承载的业务内容,并对这些数据进行快速解析,以还原其原始通信信息;
特征匹配模块(3),所述特征匹配模块(3)以深度数据包解析技术为基础,并结合智能机器学习技术,实现数据包特征匹配功能;
防御模块(4),所述防御模块(4)基于工业漏洞库实现灰白名单入侵防御功能;
硬件检测模块(5),所述硬件检测模块(5)用于支持硬件Bypass能力,保障工业控制系统的可用性;
高效传输模块(6),所述高效传输模块(6)采用内核转发、中断机制、高效匹配技术手段来减低延迟提升转发性能,满足对实时性要求高的工业场景时延的要求。
4.根据权利要求3所述的一种工业防火墙管理系统,其特征在于,所述智能机器学习模块(1)包括数据行为模块(11)、提取生成模块(12)、自动优化模块(13)和分析调整模块(14);
所述数据行为模块(11)用于自动收集、分析和学习系统正常运行状态下的数据行为,自动生成灰名单和白名单;
所述提取生成模块(12)用于实现自动化特征规则的提取和生成,对规则以外的异常数据和操作行为进行告警或限制;
所述自动优化模块(13)用于分析用户网络数据,发现设备和网络协议之间的逻辑关系和相似程度,自动优化学习到的规则和策略;
所述分析调整模块(14)用于当策略和规则之间存在相互冲突和异常时,综合分析并调整规则和策略之间的匹配程度。
5.根据权利要求4所述的一种工业防火墙管理系统,其特征在于,所述深度数据包解析模块(2)包括信息解析模块(21)、白名单生成模块(22)和安全策略模块(23);
所述信息解析模块(21)用于根据解析后的原始信息,检测其中是否包含威胁以及敏感内容;
所述白名单生成模块(22)用于检测数据包的有效内容特征、负载和可用匹配信息,进而生成白名单;
所述安全策略模块(23)用于根据系统的重要性制定相应的安全策略。
6.根据权利要求5所述的一种工业防火墙管理系统,其特征在于,所述特征匹配模块(3)包括策略更改模块(31)和比对分析模块(32);
所述策略更改模块(31)能够自动最小化策略更改和部署过程中的更新延时,并且能够在无需重启的情况下,实时在线完成特征规则的更改与部署;
所述比对分析模块(32)通过高效的比对分析和算法,大幅度避免特征匹配引擎执行过程中对于重复数据包的解析匹配,有效提升特征匹配引擎性能。
7.根据权利要求5所述的一种工业防火墙管理系统,其特征在于,所述硬件检测模块(5)包括异常检测模块(51)、协议识别及控制模块(52)、协议转换模块(53)、入侵检测引擎模块(54)和设备配置参数探测模块(55);
所述异常检测模块(51)用于当检测到设备掉电、软件宕机时触发旁通功能,以保障业务通信的可用性;
所述协议识别及控制模块(52)用于利用工业协议深度过滤技术,为工业自动化安全提供分析、阻断、隔离、报告和控制手段;
所述协议转换模块(53)用于实时数据库技术、事件驱动技术、通讯组态技术和开放系统技术有机融合在一起,可满足工业互联网需求;
所述入侵检测引擎模块(54)用于实现对工业互联网的安全防护,对网络和自动化系统中内部攻击、外部攻击和误操作进行实时监测;
所述设备配置参数探测模块(55)用于采集控制设备配置数据,并对采集到的配置数据进行解析,根据采集策略对配置数据进行过滤。
8.根据权利要求7所述的一种工业防火墙管理系统,其特征在于,所述深度数据包解析模块(2)与高效传输模块(6)信号连接,所述异常检测模块(51)和入侵检测引擎模块(54)均与高效传输模块(6)信号连接。
CN202211187017.3A 2022-09-28 2022-09-28 一种工业防火墙管理系统及方法 Active CN115296929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211187017.3A CN115296929B (zh) 2022-09-28 2022-09-28 一种工业防火墙管理系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211187017.3A CN115296929B (zh) 2022-09-28 2022-09-28 一种工业防火墙管理系统及方法

Publications (2)

Publication Number Publication Date
CN115296929A CN115296929A (zh) 2022-11-04
CN115296929B true CN115296929B (zh) 2023-01-13

Family

ID=83834757

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211187017.3A Active CN115296929B (zh) 2022-09-28 2022-09-28 一种工业防火墙管理系统及方法

Country Status (1)

Country Link
CN (1) CN115296929B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106685968A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种工控设备自动化漏洞防御系统及方法
CN111444510A (zh) * 2018-12-27 2020-07-24 北京奇虎科技有限公司 基于虚拟机实现的cpu漏洞检测方法及系统
WO2021082966A1 (zh) * 2019-10-31 2021-05-06 中兴通讯股份有限公司 资产脆弱性的计算方法、装置、存储介质及服务器
CN112799358A (zh) * 2020-12-30 2021-05-14 上海磐御网络科技有限公司 一种工业控制安全防御系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220014561A1 (en) * 2015-10-28 2022-01-13 Qomplx, Inc. System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106685968A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种工控设备自动化漏洞防御系统及方法
CN111444510A (zh) * 2018-12-27 2020-07-24 北京奇虎科技有限公司 基于虚拟机实现的cpu漏洞检测方法及系统
WO2021082966A1 (zh) * 2019-10-31 2021-05-06 中兴通讯股份有限公司 资产脆弱性的计算方法、装置、存储介质及服务器
CN112799358A (zh) * 2020-12-30 2021-05-14 上海磐御网络科技有限公司 一种工业控制安全防御系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于支持向量机和自适应权重的网络安全态势评估模型;胡柳 等;《计算机系统应用》;20181231;第27卷(第7期);第188-192页 *

Also Published As

Publication number Publication date
CN115296929A (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
US10015188B2 (en) Method for mitigation of cyber attacks on industrial control systems
US7444679B2 (en) Network, method and computer readable medium for distributing security updates to select nodes on a network
US6301668B1 (en) Method and system for adaptive network security using network vulnerability assessment
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US6816973B1 (en) Method and system for adaptive network security using intelligent packet analysis
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
CN114978770B (zh) 基于大数据的物联网安全风险预警管控方法及系统
AU2016333461B2 (en) Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
US20040117658A1 (en) Security monitoring and intrusion detection system
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
KR20150037285A (ko) 침입 탐지 장치 및 방법
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
CN114124516B (zh) 态势感知预测方法、装置及系统
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
CN111224973A (zh) 一种基于工业云的网络攻击快速检测系统
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN115296929B (zh) 一种工业防火墙管理系统及方法
Hong et al. Security monitoring and network management for the power control network
KR20140078329A (ko) 내부망 타겟 공격 대응 장치 및 방법
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
KR102295348B1 (ko) 운영 기술 데이터의 보안 위협 분석 및 탐지 방법
RU2737229C1 (ru) Способ защиты систем управления транспортных средств от вторжений
CN112565246A (zh) 一种基于人工智能的网络防攻击系统及其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant