CN115314252B - 应用于工业防火墙的防护方法、系统、终端及存储介质 - Google Patents

应用于工业防火墙的防护方法、系统、终端及存储介质 Download PDF

Info

Publication number
CN115314252B
CN115314252B CN202210790090.3A CN202210790090A CN115314252B CN 115314252 B CN115314252 B CN 115314252B CN 202210790090 A CN202210790090 A CN 202210790090A CN 115314252 B CN115314252 B CN 115314252B
Authority
CN
China
Prior art keywords
information
data
abnormal
transmission information
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210790090.3A
Other languages
English (en)
Other versions
CN115314252A (zh
Inventor
陆东华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shenzhou Huian Technology Co ltd
Original Assignee
Beijing Shenzhou Huian Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shenzhou Huian Technology Co ltd filed Critical Beijing Shenzhou Huian Technology Co ltd
Priority to CN202210790090.3A priority Critical patent/CN115314252B/zh
Publication of CN115314252A publication Critical patent/CN115314252A/zh
Application granted granted Critical
Publication of CN115314252B publication Critical patent/CN115314252B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及应用于工业防火墙的防护方法、系统、终端及存储介质,其属于工业安全防御领域;其中应用于工业防火墙的防护方法包括获取经过工业防火墙的待分析数据;对待分析数据进行拆分得到传输信息及应用信息;将传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配;若传输信息与任一异常传输信息匹配成功和/或应用信息与任一异常应用信息匹配成功,基于预设的安全策略对传输信息和/或应用信息进行处理。本申请具有提高了对工业控制系统的防护安全性的效果。

Description

应用于工业防火墙的防护方法、系统、终端及存储介质
技术领域
本申请涉及工业安全防御领域,尤其是涉及应用于工业防火墙的防护方法、系统、终端及存储介质。
背景技术
目前,信息技术和工业技术深度融合,工业控制系统逐渐从封闭走向开放;工业控制系统的系统边界越来越模糊,对外开放的接口也越来越多,面临的风险也越来越大;同时,由于工业控制系统对应的工业防火墙需要处理的信息量较大,容易出现漏检的情况,导致传统的工业防火墙的防护方式无法解决工业控制系统的边界安全防护问题。
发明内容
本申请提供一种应用于工业防火墙的防护方法、系统、终端及存储介质,具有提高了对工业控制系统的防护安全性的特点。
本申请目的一是提供一种应用于工业防火墙的防护方法。
本申请的上述申请目的一是通过以下技术方案得以实现的:
应用于工业防火墙的防护方法,包括:
获取经过工业防火墙的待分析数据;
对所述待分析数据进行拆分得到传输信息及应用信息;
将所述传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配;
若所述传输信息与任一异常传输信息匹配成功和/或所述应用信息与任一异常应用信息匹配成功,基于预设的安全策略对传输信息和/或应用信息进行处理。
通过采用上述技术方案,将经过防火墙的数据包进行拆分成传输信息和应用信息,然后分别对这两个信息进行异常检测,如果检测出异常,则分别采用相应的安全策略对其进行处理;通过这种方式,将数据包内的数据分开处理,降低了数据包内的数据数量级,从而提高了对数据的检测及处理的效率,提高了对工业控制系统的防护安全性。
本申请在一较佳示例中可以进一步配置为:所述传输信息包括待分析数据的源IP地址、目的IP地址、协议类型、源端口和目的端口;所述应用信息包括待分析数据内除传输信息外其他信息。
本申请在一较佳示例中可以进一步配置为:在使用异常信息库前,需要构建异常信息库;所述构建异常信息库的步骤包括,获取异常信息大数据;对异常信息大数据进行拆分后得到异常传输信息和异常应用信息;根据异常传输信息和异常应用信息构建异常信息库。
本申请在一较佳示例中可以进一步配置为,所述对待分析数据进行拆分得到传输信息及应用信息的步骤包括:
获取待分析数据对应的数据包;
对数据包进行解析后得到传输信息,并将数据包内的传输信息删除;
将删除后的数据包内的解析数据标记为应用信息。
本申请在一较佳示例中可以进一步配置为,所述将传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配的步骤包括:
调取异常信息库中的异常传输信息子库;
将传输信息与异常传输信息子库内的异常传输信息进行相似度匹配,若相似度值高于阈值,则说明二者匹配成功;
调取异常信息库中的异常应用信息子库;
将应用信息与异常应用信息子库内的异常应用信息进行相似度匹配,若相似度值高于阈值,则说明二者匹配成功。
本申请在一较佳示例中可以进一步配置为:所述安全策略包括攻击检测策略、攻击拦截策略、访问控制策略、协议识别策略、协议过滤策略、入侵监测策略、透明加密策略和其他检测策略。
本申请在一较佳示例中可以进一步配置为:获取工业防火墙的日志信息;基于日志审计规则对日志信息进行处理。
本申请目的二是提供一种应用于工业防火墙的防护系统。
本申请的上述申请目的二是通过以下技术方案得以实现的:
应用于工业防火墙的防护系统,包括:
获取模块,用于获取经过工业防火墙的待分析数据;
拆分模块,用于对所述待分析数据进行拆分得到传输信息及应用信息;
匹配模块,用于将所述传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配;
处理模块,用于在所述传输信息与任一异常传输信息匹配成功和/或所述应用信息与任一异常应用信息匹配成功时,基于预设的安全策略对传输信息和/或应用信息进行处理。
本申请目的三是提供一种智能终端。
本申请的上述申请目的三是通过以下技术方案得以实现的:
一种智能终端,包括存储器和处理器,所述存储器上存储有能够被处理器加载并执行的上述应用于工业防火墙的防护方法的计算机程序指令。
本申请目的四是提供一种计算机介质,能够存储相应的程序。
本申请的上述申请目的四是通过以下技术方案得以实现的:
一种计算机可读存储介质,存储有能够被处理器加载并执行上述任一种应用于工业防火墙的防护方法的计算机程序。
综上所述,本申请包括以下至少一种有益技术效果:
通过采用优先降低数据包数量级的方式,减少了防火墙对异常信息漏检的情况,从而提高了对数据的检测和处理效率,提高了对工业控制系统的防护安全性。
附图说明
图1是本申请实施例中应用于工业防火墙的防护方法的流程示意图。
图2是本申请实施例中应用于工业防火墙的防护系统的结构示意图。
附图标记说明:1、获取模块;2、拆分模块;3、匹配模块;4、处理模块。
具体实施方式
本具体实施例仅仅是对本申请的解释,其并不是对本申请的限制,本领域人员在阅读完本说明书后可以根据需要对本实施例作出没有创造性贡献的修改,但只要在本申请的权利要求范围内都受到专利法的保护。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例,都属于本申请保护的范围。
下面结合说明书附图对本申请实施例做进一步详细描述。
本申请提供一种应用于工业防火墙的防护系统,如图1所示,应用于工业防火墙的防护系统包括获取模块1,用于获取经过工业防火墙的待分析数据;拆分模块2,用于对所述待分析数据进行拆分得到传输信息及应用信息;匹配模块3,用于将所述传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配;处理模块4,用于在所述传输信息与任一异常传输信息匹配成功和/或所述应用信息与任一异常应用信息匹配成功时,基于预设的安全策略对传输信息和/或应用信息进行处理。
可以理解的是,本申请中的防护方法和防护系统均是基于工业防火墙,本申请实施例中的工业防火墙为硬件防火墙;工业防火墙部署在关键网络区域边界,隔离不同等级的安全域,防护关键控制设备,系统采用黑、白名单的安全策略,可过滤一切未授权访问,协议深度过滤、高危指令防护、畸形报文检测等功能可为生产工艺和关键控制系统提供安全保障。
工业防火墙提供工控协议的深度解析、工控指令级的访问控制、统一管理、日志审计等综合安全功能。系统采用了高性能、高可靠性、宽温、宽压得工业专用硬件平台,可确保系统稳定运行,为用户提供高效、可靠的安全防护环境。
本申请中的硬件平台采用多核处理器,将不同的网络接口绑定到不同的CPU内核上,充分利用多核处理器的性能优势来处理不同逻辑的数据,对IP、TCP、UDP等协议进行重构,快速剥离应用层数据,大幅度提高了工业防火墙的处理能力,在提升系统稳定性、抗攻击性的同时,降低了延时,使之更适用于工业网络环境。
其中,系统具有多种功能;系统具有防火墙模式、监测模式和路由模式三种工作方式;能够根据不同需求自由划分WAN分区、LAN分区和配置监测网卡,WAN分区支持主备模式,具备高可用性;系统还支持桥接模式,不改变原有网络结构,透明接入;系统支持静态路由功能,可适应复杂网络环境。
本申请还提供一种应用于工业防火墙的防护方法,所述方法的主要流程描述如下。
如图2所示:
步骤S101:获取经过工业防火墙的待分析数据。
本申请中的系统与防火墙相连,可以直接获取到经过工业防火墙的待分析数据;这里的待分析数据即为经过工业防火墙的数据包。
步骤S102:对所述待分析数据进行拆分得到传输信息及应用信息。
可以理解的是,传输信息包括待分析数据的源IP地址、目的IP地址、协议类型、源端口和目的端口;应用信息包括待分析数据内除传输信息外其他信息;先获取待分析数据对应的数据包,然后对数据包进行解析后得到传输信息,并将数据包内的传输信息删除;最后将删除后的数据包内的解析数据标记为应用信息;通过上述方式可以对数据包进行拆分,降低了数据包的数量级,减少了出现防火墙漏检的情况。
步骤S103:将所述传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配。
在该步骤中需要使用到异常信息库;而在使用异常信息库之前,需要先构建异常信息库;构建异常信息库的具体步骤为,先获取异常信息大数据;然后对异常信息大数据进行拆分后得到异常传输信息和异常应用信息;再根据异常传输信息和异常应用信息构建异常信息库;可以理解的是,多个异常传输信息组成异常信息库内的异常传输信息子库;多个异常应用信息组成异常信息库内的异常应用信息子库;通过上述方式就可以得到异常信息库。
在得到异常信息库之后,可以根据异常信息库对待分析数据进行匹配检测;调取异常信息库中的异常传输信息子库,将传输信息与异常传输信息子库内的异常传输信息进行相似度匹配,若相似度值高于阈值,则说明二者匹配成功;调取异常信息库中的异常应用信息子库;将应用信息与异常应用信息子库内的异常应用信息进行相似度匹配,若相似度值高于阈值,则说明二者匹配成功。
步骤S104:若所述传输信息与任一异常传输信息匹配成功和/或所述应用信息与任一异常应用信息匹配成功,基于预设的安全策略对传输信息和/或应用信息进行处理。
这里的安全策略包括攻击检测策略、攻击拦截策略、访问控制策略、协议识别策略、协议过滤策略、入侵监测策略、透明加密策略和其他检测策略;可以理解的是,这里的攻击检测策略对应系统的攻击拦截功能;攻击拦截功能包括根据网卡设置不同的参数,能够灵活地适用各种场景;具体地,系统支持对ICMP Flood、Ping of death攻击的检测、拦截,支持对UDP Flood的攻击检测、拦截,支持对Land 攻击检测、拦截,支持对Tear Drop的攻击检测、拦截,使用了SYN Cookie RST技术,支持对SYN攻击的检测、拦截,支持IP分片检测;上述仅为对系统的攻击拦截功能的示例性说明,并不代表系统仅能做到上述攻击检测和拦截;访问控制策略对应系统的网络访问控制功能,系统支持通过会话状态检测、包过滤、工控协议深度过滤等技术,实现访问控制功能,阻止各类非授权操作。
协议识别策略对应系统的协议识别功能,系统内置多种指纹特征,能够正确识别出常见协议和工控协议;协议过滤策略对应系统的深度协议过滤功能,系统支持二层、三层工控协议的转发和过滤,支持几十种工业协议上百种属性的深度分析和过滤,如OPC、Modbus TCP、IEC104、MMS、IEC 61850 GOOSE、DNP3、Ethernet/IP(CIP)、Profinet、SiemensS7Comm、OMRON FIN等,支持对工控协议地址、数值、操作行为等条件进行限制,支持对工业协议高危指令(逻辑下装、设备启停等)的检测和过滤,支持对工控协议畸形报文的检测。
入侵监测策略对应系统的入侵监测功能;系统集成入侵检测功能,通过上万条规则匹配可对入侵行为进行告警和阻断;系统支持对渗透攻击、文件攻击、混淆攻击、操作系统攻击、浏览器攻击、恶意软件(木马蠕虫等)、端口扫描、SQL注入、Netbios攻击等常见攻击行为的检测、告警和阻断;支持对常见协议、常见服务(MySQL、IIS等)攻击行为的检测、告警和阻断;支持对工业控制协议的分析和对工业控制系统攻击行为的检测、告警和阻断;支持对入侵检测策略的自定义;支持按条件(时间、IP地址)生成入侵监测报告。
透明加密策略对应系统的透明加密功能;系统支持对二层传输协议和三层传输协议进行透明加密;其他检测策略对应系统的ARP检测功能和地址冒用检测功能。
在本申请实施例中,获取工业防火墙的日志信息;基于日志审计规则对日志信息进行处理;这里的日志审计规则对应系统的日志审计功能,系统支持告警信息的实时显示;系统日志可详细记录用户的登录、注销和操作行为,对连接行为、动态端口开启、识别非法报文、命中应用层规则等网络行为进行详细的日志记录;可按照时间、类型、用户、IP地址等条件进行筛选;支持记录原始报文功能,支持日志信息的本地导出,支持私有协议远程日志的加密输出,支持标准syslog日志输出;同样可以理解,上述介绍同样为系统功能的示例性说明,系统功能不仅限于上述功能。
本申请实施例中设置的多个安全策略对应系统中的多个功能,安全策略是在相应的功能模块中执行的。
早期的防火墙可以利用设置的条件,对通过的数据包的特征进行监测,从而决定对数据包进行放行或者阻止;工业防火墙和防火墙一样,也需要对很多数据包进行筛选过滤,来选择对其放行或者拦截;每天通过工业防火墙的数据不计其数,通过工业防火墙的日志可以看到数据的相关记录,根据这些历史记录可以找到某些访问数据的访问规律,这些访问数据可能是被放行的数据,也可能是被拦截的数据,通过掌握这些访问数据的规律,进行提前拦截和预警,可以有效减轻防火墙的数据拦截压力。
通过防火墙日志获取历史访问数据;对历史访问数据进行解析得到源地址、目的地址及访问时间;分析从历史访问数据中挑选出源地址相同、目的地址相同或源地址和目的地址均相同的访问数据,并将这些访问数据标记为可疑数据;对这些可疑数据进行判断,若上述可疑数据的访问时间均属于同一时间段,表示在特定时间段内出现大量相同或相似的数据集中访问,则需要根据这些数据的历史记录分析出数据的访问规律,然后依据访问规律实现对数据访问的预测及提前预警,从而有效减轻防火墙的数据拦截压力和数据防护压力。
对可疑数据的访问时间进行切分得到多个访问时间段;获取每个访问时间段的可疑数据的数据访问量;计算可疑数据的数据访问量与访问时间段的间隔时间之间的比值得到该访问时间段的访问频次;比较各个访问时间段的可疑数据的访问频次,得到可疑数据的最小访问频次及最大访问频次;根据可疑数据和访问时间段和相应的访问频次分析可疑数据的访问规律;将访问时间相邻,且访问频次大于最小访问频次的可疑数据对应的访问时间段合并为攻击时间段;计算每个攻击时间段的平均访问频次,并选取其中最小的平均访问频次设置为访问频次阈值。
其中,平均访问频次的计算方式如下,先计算攻击时间段内每个访问时间段的访问频次之和得到攻击时间段的访问总频次;然后计算访问总频次与攻击时间段内访问时间段的数量得到攻击时间段的平均访问频次;通过上述方式计算出各个攻击时间段的平均访问频次,再挑选出其中最小的平均访问频次,将最小的平均访问频次除以2得到访问频次阈值。
计算预设时间段内新通过防火墙的访问数据的访问频次,这里的预设时间段与上述计算历史记录中提到的访问时间段的时间间隔值相同;将访问频次值与访问频次阈值进行比较,若访问频次值大于访问频次阈值,则说明相同的可疑数据即将大量涌入防火墙,对其进行拦截,并输出告警信息,以提醒即将有大量可疑数据进行访问;在上述计算访问频次阈值的过程中,挑选出最小的平均访问频次,但是尽管是最小的平均访问频次,在实际的访问频次中,仍会存在小于该最小的平均访问频次的访问频次,所以对该最小的平均访问频次除以2之后作为访问频次阈值,那么此时的访问频次阈值就可以很好地做到对可疑数据大量访问的提前预测。
为详细说明上述过程,下面进行举例说明;例如,对日志中的历史记录进行分析后得到,在特定日期下,四个小时的总时间内,访问数据A在大量访问;那么将四个小时切分为8个时间段,每个时间段的间隔时间为半个小时;其中,第一时间段的访问量为60,第二时间段的访问量为330,第三时间段的访问量为450,第四时间段为360,第五时间段为30,第六时间段为600,第七时间段为900,第八时间段为180;本示例中以分钟为基础时间单位,经计算可以得到第一时间段的访问频次为2,第二时间段的访问频次为11,第三时间段的访问频次为15,第四时间段的访问频次为12,第五时间段的访问频次为1,第六时间段的访问频次为20,第七时间段的访问频次为30,第八时间段的访问频次为6;通过比较分析每个时间段的访问频次,将第二时间段和第三时间段合并为第一攻击时间段,将第六时间段和第七时间段合并为第二攻击时间段;计算第一攻击时间段的平均访问频次为12.6,计算第二攻击时间段的平均访问频次为25,那么12.6就是最小的平均访问频次,然后再将12.6除以2得到访问频次阈值6.3;再以这个访问频次阈值作为标准筛选可疑数据。
为了更好地执行上述方法的程序,本申请还提供一种智能终端,智能终端包括存储器和处理器。
其中,存储器可用于存储指令、程序、代码、代码集或指令集。存储器可以包括存储程序区和存储数据区,其中存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令以及用于实现上述应用于工业防火墙的防护方法的指令等;存储数据区可存储上述应用于工业防火墙的防护方法中涉及到的数据等。
处理器可以包括一个或者多个处理核心。处理器通过运行或执行存储在存储器内的指令、程序、代码集或指令集,调用存储在存储器内的数据,执行本申请的各种功能和处理数据。处理器可以为特定用途集成电路、数字信号处理器、数字信号处理装置、可编程逻辑装置、现场可编程门阵列、中央处理器、控制器、微控制器和微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
本申请还提供一种计算机可读存储介质,例如包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。该计算机可读存储介质存储有能够被处理器加载并执行上述应用于工业防火墙的防护方法的计算机程序。
以上描述仅为本申请得较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其他技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (7)

1.应用于工业防火墙的防护方法,其特征在于,包括:
获取工业防火墙日志的历史访问数据;
基于所述历史访问数据,筛选出可疑数据;所述可疑数据表示源地址相同、目的地址相同或源地址和目的地址均相同的历史访问数据;
根据所述可疑数据的访问时间段以及所述可疑数据的访问量,生成可疑数据的访问频次;
根据所述访问频次以及所述访问时间段,生成访问频次阈值;
获取预设时间段内新通过工业防火墙的访问数据;
根据所述访问频次阈值以及所述访问数据,对访问数据进行筛选;
获取经过工业防火墙的待分析数据,所述待分析数据为经过工业防火墙筛选后的访问数据;
对所述待分析数据进行拆分得到传输信息及应用信息;所述传输信息包括待分析数据的源IP地址、目的IP地址、协议类型、源端口和目的端口;所述应用信息包括待分析数据内除传输信息外其他信息;
对待分析数据进行拆分得到传输信息及应用信息的步骤包括:
获取待分析数据对应的数据包;
对数据包进行解析后得到传输信息,并将数据包内的传输信息删除;
将删除后的数据包内的解析数据标记为应用信息;
将所述传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配;
若所述传输信息与任一异常传输信息匹配成功和/或所述应用信息与任一异常应用信息匹配成功;基于预设的安全策略对传输信息和/或应用信息进行处理;所述安全策略包括攻击检测策略、攻击拦截策略、访问控制策略、协议识别策略、协议过滤策略、入侵监测策略、透明加密策略和其他检测策略;所述协议识别策略用于识别常见协议和工控协议;所述协议过滤策略用于对工控协议进行转发和过滤,还用于对工业协议的分析和过滤以及对工业协议高危指令的检测和过滤。
2.根据权利要求1所述的应用于工业防火墙的防护方法,其特征在于,在使用异常信息库前,需要构建异常信息库;所述构建异常信息库的步骤包括,获取异常信息大数据;对异常信息大数据进行拆分后得到异常传输信息和异常应用信息;根据异常传输信息和异常应用信息构建异常信息库。
3.根据权利要求1所述的应用于工业防火墙的防护方法,其特征在于,所述将传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配的步骤包括:
调取异常信息库中的异常传输信息子库;
将传输信息与异常传输信息子库内的异常传输信息进行相似度匹配,若相似度值高于阈值,则说明二者匹配成功;
调取异常信息库中的异常应用信息子库;
将应用信息与异常应用信息子库内的异常应用信息进行相似度匹配,若相似度值高于阈值,则说明二者匹配成功。
4.根据权利要求1所述的应用于工业防火墙的防护方法,其特征在于,还包括,获取工业防火墙的日志信息;基于日志审计规则对日志信息进行处理。
5.一种应用于工业防火墙的防护系统,其特征在于,包括:
获取模块(1),用于获取工业防火墙日志的历史访问数据;
处理模块(4),用于基于所述历史访问数据,筛选出可疑数据;
处理模块(4),还用于根据所述可疑数据的访问时间段以及所述可疑数据的访问量,生成可疑数据的访问频次;
处理模块(4),还用于根据所述访问频次以及所述访问时间段,生成访问频次阈值;
获取模块(1),还用于获取预设时间段内新通过工业防火墙的访问数据;
处理模块(4),还用于根据所述访问频次阈值以及所述访问数据,对访问数据进行筛选;
获取模块(1),还用于获取经过工业防火墙的待分析数据;
拆分模块(2),用于对所述待分析数据进行拆分得到传输信息及应用信息;
获取模块(1),还用于获取待分析数据对应的数据包;
处理模块(4),还用于对数据包进行解析后得到传输信息,并将数据包内的传输信息删除;
处理模块(4),还用于将删除后的数据包内的解析数据标记为应用信息;
匹配模块(3),用于将所述传输信息及应用信息与预设的异常信息库中的异常传输信息及异常应用信息进行匹配;
处理模块(4),还用于在所述传输信息与任一异常传输信息匹配成功和/或所述应用信息与任一异常应用信息匹配成功时,基于预设的安全策略对传输信息和/或应用信息进行处理。
6.一种智能终端,其特征在于,包括存储器和处理器,所述存储器上存储有能够被处理器加载并执行如权利要求1-4中任一种方法的计算机程序指令。
7.一种计算机可读存储介质,其特征在于,存储有能够被处理器加载并执行如权利要求1-4中任一种方法的计算机程序。
CN202210790090.3A 2022-07-06 2022-07-06 应用于工业防火墙的防护方法、系统、终端及存储介质 Active CN115314252B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210790090.3A CN115314252B (zh) 2022-07-06 2022-07-06 应用于工业防火墙的防护方法、系统、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210790090.3A CN115314252B (zh) 2022-07-06 2022-07-06 应用于工业防火墙的防护方法、系统、终端及存储介质

Publications (2)

Publication Number Publication Date
CN115314252A CN115314252A (zh) 2022-11-08
CN115314252B true CN115314252B (zh) 2023-06-13

Family

ID=83857413

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210790090.3A Active CN115314252B (zh) 2022-07-06 2022-07-06 应用于工业防火墙的防护方法、系统、终端及存储介质

Country Status (1)

Country Link
CN (1) CN115314252B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688097A (zh) * 2018-09-07 2019-04-26 平安科技(深圳)有限公司 网站防护方法、网站防护装置、网站防护设备及存储介质
CN113014598A (zh) * 2021-03-20 2021-06-22 北京长亭未来科技有限公司 对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106027577B (zh) * 2016-08-04 2019-04-30 四川无声信息技术有限公司 一种异常访问行为检测方法及装置
CN107872456A (zh) * 2017-11-09 2018-04-03 深圳市利谱信息技术有限公司 网络入侵防御方法、装置、系统及计算机可读存储介质
CN109660518B (zh) * 2018-11-22 2020-12-18 北京六方云信息技术有限公司 网络的通信数据检测方法、装置以及机器可读存储介质
CN110191094B (zh) * 2019-04-26 2022-04-08 奇安信科技集团股份有限公司 异常数据的监控方法及装置、存储介质、终端
CN112748987B (zh) * 2021-01-19 2021-08-06 北京智仁智信安全技术有限公司 一种基于虚拟主机的行为安全处理方法及设备
CN112887159B (zh) * 2021-03-26 2023-04-28 北京安天网络安全技术有限公司 一种统计告警方法和装置
CN113079185B (zh) * 2021-06-07 2021-09-24 北京网藤科技有限公司 实现深度数据包检测控制的工业防火墙控制方法及设备
CN113596028B (zh) * 2021-07-29 2023-06-30 南京南瑞信息通信科技有限公司 一种网络异常行为的处置方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688097A (zh) * 2018-09-07 2019-04-26 平安科技(深圳)有限公司 网站防护方法、网站防护装置、网站防护设备及存储介质
CN113014598A (zh) * 2021-03-20 2021-06-22 北京长亭未来科技有限公司 对机器人恶意攻击的防护方法、防火墙、电子设备和存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Global detection of DDoS attack based on time and frequency analysis;Luo Hua,Hu Guang-min, Yao Xing-miao;《IEEE》;全文 *
工业防火墙软件框架设计及规则自学习方法研究;王世伟;《中国优秀硕士学位论文全文数据库》;全文 *

Also Published As

Publication number Publication date
CN115314252A (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
Panjwani et al. An experimental evaluation to determine if port scans are precursors to an attack
US8245300B2 (en) System and method for ARP anti-spoofing security
US7603709B2 (en) Method and apparatus for predicting and preventing attacks in communications networks
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
CN113079185B (zh) 实现深度数据包检测控制的工业防火墙控制方法及设备
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN111970300A (zh) 一种基于行为检查的网络入侵防御系统
CN110581850A (zh) 一种基于网络流量基因检测方法
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和系统
Qureshi et al. Network Forensics: A Comprehensive Review of Tools and Techniques
Kazienko et al. Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture)
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
CN112217777A (zh) 攻击回溯方法及设备
CN112738077A (zh) 一种工控网络安全检测系统
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
CN115314252B (zh) 应用于工业防火墙的防护方法、系统、终端及存储介质
Naidu et al. An effective approach to network intrusion detection system using genetic algorithm
Johnson et al. Soar4Der: security orchestration, automation, and response for distributed energy resources
CN111683063B (zh) 消息处理方法、系统、装置、存储介质及处理器
Sharma Honeypots in Network Security
Mudgal et al. Spark-Based Network Security Honeypot System: Detailed Performance Analysis
CN116827698B (zh) 一种网络关口流量安全态势感知系统及方法
Gheorghe et al. Attack evaluation and mitigation framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant