CN115529162A - 工控流量异常行为防护方法及系统 - Google Patents
工控流量异常行为防护方法及系统 Download PDFInfo
- Publication number
- CN115529162A CN115529162A CN202211035802.7A CN202211035802A CN115529162A CN 115529162 A CN115529162 A CN 115529162A CN 202211035802 A CN202211035802 A CN 202211035802A CN 115529162 A CN115529162 A CN 115529162A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- protocol
- flow
- traffic
- grained
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 145
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012544 monitoring process Methods 0.000 claims abstract description 86
- 238000011217 control strategy Methods 0.000 claims abstract description 36
- 230000002159 abnormal effect Effects 0.000 claims abstract description 30
- 230000006870 function Effects 0.000 claims description 31
- 238000004590 computer program Methods 0.000 claims description 19
- 238000012550 audit Methods 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 12
- 230000001012 protector Effects 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 12
- 230000007547 defect Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000006854 communication Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种工控流量异常行为防护方法及系统,包括:将工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定工控流量中的异常行为;其中,粗粒度五元组白名单访问控制策略层,用于确定未知来源地址流量以及已知地址未知端口流量的异常行为;细粒度协议白名单流量监测策略层,用于确定已知协议未知功能码以及已知协议未知参数的异常行为;协议黑名单流量审计策略层,用于确定已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。本发明用以解决现有的防护技术防护效果不够高效的缺陷,实现一种由浅入深的多层级防护功能,提升了防护效果。
Description
技术领域
本发明涉及工控设备安全防护技术领域,尤其涉及一种工控流量异常行为防护方法及系统。
背景技术
随着信息技术的不断发展,工控环境也由之前的工控设备独立运行逐渐转变为工控设备联网运行,由之前单一的业务域转成多个域联网共同运行。联网模式在提高业务效率的同时,也必将产生很多风险,例如异常流量攻击、恶意代码传播、信息泄露等风险。而纵观全球工控网络环境来看,通过异常流量带来的攻击已经威胁到了一些国家的生产。针对工控异常流量攻击风险,如何有效的分析与防护是至关重要的。
在工控场景中,被视为异常流量主要分为以下几种情况:未知来源地址流量、已知地址未知端口流量、已知协议未知功能码、已知协议未知参数、异常时序等等。未知来源地址流量主要指工控流量数据来源不明确;已知地址未知端口流量主要指工控流量数据来源是已知服务器,但数据流通过的端口是未知的,大多数属于自定义端口;已知协议未知功能码主要指工控环境中存在大量的私有协议,工控设备在通信过程中,工控协议是合法存在的,但对工控协议中的功能码并未完全了解,有些功能码可以产生异常行为;已知协议未知参数主要指在正常工控协议交互过程中,有些参数超出了正常值的范围,产生异常;异常时序主要指在工控通信流量中,有些操作若时序发生变化也会产生异常效果。以上几种情况涵盖了工控异常流程的大部分情况,存在其中情况变化存在异常隐患,对这些风险进行防护尤为重要。
针对工控流量异常行为所带来的风险,现在一些企业和研究机构也做了很多相关研究,也推出了很多防护型产品,最典型产品就是工控防火墙。综合各种防火墙来看,大多是通过配置细粒度访问控制策略进行流量拦截的方法来达到防护的目的。这种防护方式在传统防火墙中也有应用,但是这种配置过于繁琐,虽然能起到很好的防护效果,但也需要操作人员对业务相当熟悉,在工控领域中,对人员的业务能力需要过硬,一旦配置上出现问题,就会影响业务,因此工控流量防护方式由于配置过于繁琐,存在导致防护效果不够高效的问题。
发明内容
本发明提供一种工控流量异常行为防护方法及系统,用以解决现有技术中工控流量防护方式由于配置过于繁琐,存在导致防护效果不够高效的缺陷,实现一种由浅入深的多层级防护功能,提升了防护效果。
本发明提供一种工控流量异常行为防护方法,包括:
获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;
若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;
其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;
所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;
所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
根据本发明提供的一种工控流量异常行为防护方法,将所述工控流量通过粗粒度五元组白名单访问控制策略层,确定所述工控流量中的异常行为,包括:
获取所述工控流量中的五元组信息;
将所述五元组信息与所述粗粒度五元组白名单访问控制策略层的五元组访问控制列表进行比对;
若所述五元组访问控制列表不包含有所述五元组信息,则确定所述工控流量包含异常行为。
根据本发明提供的一种工控流量异常行为防护方法,所述五元组信息包括源IP地址、源端口、目的IP地址、目的端口和传输协议。
根据本发明提供的一种工控流量异常行为防护方法,将所述工控流量通过细粒度协议白名单流量监测策略层,确定所述工控流量中的异常行为,包括:
获取所述工控流量中的工控协议信息;
将所述工控协议信息与所述细粒度协议白名单流量监测策略层的协议流量监测策略列表进行对比;
若所述协议流量监测策略列表中不包含所述工控协议信息,则确定所述工控流量存在异常行为。
根据本发明提供的一种工控流量异常行为防护方法,将所述工控流量通过协议黑名单流量审计策略层,确定所述工控流量中的异常行为,包括:
获取所述工控流量中的工控协议信息;
将所述工控协议信息与所述协议黑名单流量审计策略层的协议流量审计策略列表进行比对;
若所述协议流量审计策略列表中包含所述工控协议信息,则确定所述工控流量包含异常行为。
本发明还提供一种工控流量异常行为防护系统,所述工控流量异常行为防护系统用于执行上述任一项所述的工控流量异常行为防护方法,所述工控流量异常行为防护系统包括五元组访问控制引擎、工控协议监测引擎和工控协议审计引擎;
其中,所述五元组访问控制引擎部署有所述粗粒度五元组白名单访问控制策略层,所述工控协议监测引擎部署有所述细粒度协议白名单流量监测策略层,所述工控协议审计引擎部署有所述协议黑名单流量审计策略层。
本发明还提供一种工控流量异常行为防护装置,包括:
异常行为监测模块,用于获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;
报警模块,用于若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;
其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;
所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;
所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述工控流量异常行为防护方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述工控流量异常行为防护方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述工控流量异常行为防护方法。
本发明提供的工控流量异常行为防护方法及系统,通过针对现有存在的技术问题,这种防护方法将传统单一使用访问控制策略的方法做了改进,将防护力度进行分层,即“粗粒度五元组白名单访问控制 +细粒度协议白名单流量监测+协议黑名单流量审计”,将工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,进行判断工控流量是否存在异常行为,实现了一种由浅入深的多层级防护功能,提升了防护效果。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的工控流量异常行为防护方法的流程示意图之一;
图2是本发明提供的工控流量异常行为防护方法的流程示意图之二;
图3是本发明提供的工控流量异常行为防护方法的流程示意图之三;
图4是本发明提供的工控流量异常行为防护方法的流程示意图之四;
图5是本发明提供的工控流量异常行为防护方法的流程示意图之五;
图6是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图5描述本发明的工控流量异常行为防护方法。
请参照图1,本发明提出的一种工控流量异常行为防护方法,包括:
步骤10,获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;
步骤20,若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;
其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;
所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;
所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
请参照图2,在粗粒度五元组白名单访问控制策略层中:在工控环境中,由于业务人员对流量内容并不一定完全掌握,可以通过五元组白名单过滤工控流量中的一些未知流量。需要说明的是,在正常的工控设备使用过程中,设备的地址是明确的,若存在一些不明确的设备地址,当工控流量经过粗粒度五元组白名单访问控制策略层时,将被粗粒度五元组白名单访问控制策略层检测出是存在异常行为的,则将存在一些不明确的设备地址的工控流量进行阻断,并进行报警处理,从而将存在一些不明确的设备地址的工控流量过滤掉。该粗粒度五元组白名单访问控制策略层可以检测出未知来源地址流量、已知地址未知端口流量的异常行为。
在细粒度协议白名单流量监测策略层中:粗粒度五元组白名单虽然可以起到一定地防护效果,但在合规地址的工控流量中,依然存在异常流量,但若想对这部分流量做到有效地检测,需要对业务比较熟悉,若配置错误,将影响正常业务。针对这个情况,对这部分流量没法进行过滤,因此,再将工控流量输入至细粒度协议白名单流量监测策略层,通过细粒度协议白名单流量监测策略层对合规地址的工控流量进行监测,若发现不明流量将进行报警,这样可以有效地弥补单一五元组过滤的不足。该细粒度协议白名单流量监测策略层可以检测出已知协议未知功能码、已知协议未知参数的异常行为。
在协议黑名单流量审计策略层中:五元组白名单过滤和协议白名单监测,在很大一定程度上对异常流量做了处理,但仍然存在一些情况,处理不到位存在隐患,例如有些协议功能码时序的变化产生一些异常流量,仍能造成破坏。但这种流量在每次识别时候被识别成正常流量。因此,针对这些流量,采取协议黑名单流量审计方法,再将工控流量通过协议黑名单流量审计策略层,对协议信息进行记录留痕,在事后可以对流量信息进行审计分析,可以检测出工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为,虽然在时效性,不如前两种策略,但通过事后分析,可以有效地做到一些弥补。该协议黑名单流量审计策略层可以检测出工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
若通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层以及协议黑名单流量审计策略层工控流量存在异常行为,则将存在异常行为的工控流量进行阻断,并产生报警信息。其中,报警信息可以通过报表、邮件、短信、实时视频播报、实时语音播报等方式进行输出,用以提示相关技术人员进行关注。
本发明提供的工控流量异常行为防护方法,通过针对现有存在的技术问题,这种防护方法将传统单一使用访问控制策略的方法做了改进,将防护力度进行分层,即“粗粒度五元组白名单访问控制+细粒度协议白名单流量监测+协议黑名单流量审计”,将工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,进行判断工控流量是否存在异常行为,实现了一种由浅入深的多层级防护功能,提升了防护效果。
在一种可能的实施例中,请参照图3,步骤10、将所述工控流量通过粗粒度五元组白名单访问控制策略层,确定所述工控流量中的异常行为,包括:
步骤101,获取所述工控流量中的五元组信息;
步骤102,将所述五元组信息与所述粗粒度五元组白名单访问控制策略层的五元组访问控制列表进行比对;
步骤103,若所述五元组访问控制列表不包含有所述五元组信息,则确定所述工控流量包含异常行为。
其中,五元组信息包括源IP地址、源端口、目的IP地址、目的端口和传输协议。
需要说明的是,在粗粒度五元组白名单访问控制策略层中预先配置五元组访问控制策略列表,将该策略加载在内存空间中。
本实施例中将具体说明在粗粒度五元组白名单访问控制策略层中是如何进行识别工控流量包含异常行为的。具体地,首先获取工控流量中的五元组信息,并将五元组信息与粗粒度五元组白名单访问控制策略层中预先配置的五元组访问控制列表进行比对,以确定五元组访问控制列表是否存在该五元组信息。若五元组访问控制列表不包含有该五元组信息,则确定该五元组信息对应的工控流量包含异常行为,需要对该五元组信息对应的工控流量进行阻断;若五元组访问控制列表包含有五元组信息,则确定工控流量不包含异常行为,可以放行该工控流量。
本实施例中,通过在粗粒度五元组白名单访问控制策略层中预先配置的五元组访问控制列表,识别包含异常行为的工控流量,提升了在五元组白名单访问控制策略层中异常流量的检测能力,提升了对工控异常流量攻击风险防护的效果。
在一种可能的实施例中,请参照图4,步骤10、将所述工控流量通过细粒度协议白名单流量监测策略层,确定所述工控流量中的异常行为,包括:
步骤111,获取所述工控流量中的工控协议信息;
步骤112,将所述工控协议信息与所述细粒度协议白名单流量监测策略层的协议流量监测策略列表进行对比;
步骤113,若所述协议流量监测策略列表中不包含所述工控协议信息,则确定所述工控流量存在异常行为。
需要说明的是,配置协议流量监测策略列表,该策略依赖五元组信息,协议信息中包含五元组信息,例如Modbus协议,协议信息包括功能码、子功能码、参数等,对协议信息进行配置,将该策略加载在内存空间中。若对一些工控协议不明确,可以不配置该协议,便不进行报警。
本实施例中将具体说明在细粒度协议白名单流量监测策略层中是如何进行识别工控流量包含异常行为的。具体地,首先获取工控流量中的工控协议信息,并将工控协议信息与粗细粒度协议白名单流量监测策略层中预先配置的协议流量监测策略列表进行比对,以确定协议流量监测策略列表是否存在该工控协议信息。若协议流量监测策略列表不包含有该工控协议信息,则确定该工控协议信息对应的工控流量包含异常行为,需要对该工控协议信息对应的工控流量进行阻断;若协议流量监测策略列表包含有该工控协议信息,则确定该工控协议等信息对应的工控流量不包含异常行为,可以放行该工控流量。
本实施例中,通过在细粒度协议白名单流量监测策略层中预先配置的协议流量监测策略列表,识别包含异常行为的工控流量,提升了在细粒度协议白名单流量监测策略层中异常流量的检测能力,提升了对工控异常流量攻击风险防护的效果。
在一种可能的实施例中,请参照图5,将所述工控流量通过协议黑名单流量审计策略层,确定所述工控流量中的异常行为,包括:
步骤121,获取所述工控流量中的工控协议信息;
步骤122,将所述工控协议信息与所述协议黑名单流量审计策略层的协议流量审计策略列表进行比对;
步骤123,若所述协议流量审计策略列表中包含所述工控协议信息,则确定所述工控流量包含异常行为。
需要说明的是,在协议黑名单流量审计策略中预先配置协议流量审计策略列表,该策略针对协议进行记录,配置信息可以直接选择要审计地协议,便可以将流量中符合该协议地流量进行留存。配置后,将策略加载在内存中。一般情况下,审计策略配置可以范围大一些,较多的记录审计信息,给日后分析提供数据。
本实施例中将具体说明在协议黑名单流量审计策略层中是如何进行识别工控流量包含异常行为的。具体地,首先获取工控流量中的工控协议信息,并将工控协议信息与协议黑名单流量审计策略层中预先配置的协议流量审计策略列表进行比对,以确定协议流量审计策略列表是否存在该工控协议信息。若协议流量监测策略列表中包含有该工控协议信息,则记录并进一步审计该工控协议信息是否包含异常行为,并根据审计结果确定该工控协议信息对应的工控流量是否包含异常行为,需要对包含异常行为对应的工控流量进行阻断;若协议流量监测策略列表不包含有该工控协议信息,则确定该工控协议等信息对应的工控流量不包含异常行为,可以放行该工控流量。
其中,审计的手段可以包括通过深度学习模型、流量监测算法、人工核验判断等进行审计检测。
本实施例中,通过在协议黑名单流量审计策略层中预先配置的协议流量审计策略列表,识别包含异常行为的工控流量,提升了异常流量的检测能力,提升了对工控异常流量攻击风险防护的效果。
本发明还提供一种工控流量异常行为防护系统,所述工控流量异常行为防护系统用于执行上述任一项所述的工控流量异常行为防护方法,所述工控流量异常行为防护系统包括五元组访问控制引擎、工控协议监测引擎和工控协议审计引擎;
其中,所述五元组访问控制引擎部署有所述粗粒度五元组白名单访问控制策略层,所述工控协议监测引擎部署有所述细粒度协议白名单流量监测策略层,所述工控协议审计引擎部署有所述协议黑名单流量审计策略层。
为了便于理解,基于上述实施例,提出一种具体示例,具体步骤包括:
Step 1:配置五元组访问控制策略列表,将该策略加载在内存空间中;
Step 2:配置工控协议监测策略列表,该策略依赖五元组信息,协议信息中包含五元组信息,例如Modbus协议,协议信息包括功能码、子功能码、参数等,对协议信息进行配置,将该策略加载在内存空间中。若对一些工控协议不明确,也可以不配置该协议,便不进行报警;
Step 3:配置工控协议审计策略列表,该策略针对协议进行记录,配置信息可以直接选择要审计地协议,便可以将流量中符合该协议地流量进行留存。配置后,将策略加载在内存中。一般情况下,审计策略配置可以范围大一些,较多的记录审计信息,给日后分析提供数据;
Step 4:这三种策略地匹配引擎,独立运行在内存中,在工控流量通过时,流量通过五元组访问控制引擎,而工控协议监测引擎和工控协议审计引擎将抓取流量共用旁路流量;
Step 5:五元组访问控制使用白名单方式,在该引擎中,将串行分析工控流量,获取流量地五元组信息,并将该五元组信息与五元组访问控制列表进行比对,若列表中有该五元组将放行流量,若列表中没有,将该流量阻断,并且产生报警信息;
Step 6:协议流量监测使用白名单方式,在该引擎中,对旁路抓取的流量信息进行分析,主要对工控协议信息与协议流量监测策略列表进行对比,若列表中有该协议信息将不处理该流量,若列表中没有,将进行报警;
Step 7:协议流量审计使用黑名单方式,在该引擎中,对旁路抓取的流量信息进行分析,对工控协议信息与协议流量审计策略列表进行比对,若列表中有该协议信息,将记录该流量信息,若列表中没有,将不做处理;
Step 8:最终,结合三个引擎返回的日志进行分析,做到有效的防护目的。
下面对本发明提供的工控流量异常行为防护装置进行描述,下文描述的工控流量异常行为防护装置与上文描述的工控流量异常行为防护方法可相互对应参照。
本发明提供的工控流量异常行为防护装置,包括:
异常行为监测模块,用于获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;
报警模块,用于若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;
其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;
所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;
所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
进一步地,所述异常行为监测模块,还用于:
获取所述工控流量中的五元组信息;
将所述五元组信息与所述粗粒度五元组白名单访问控制策略层的五元组访问控制列表进行比对;
若所述五元组访问控制列表不包含有所述五元组信息,则确定所述工控流量包含异常行为。
进一步地,所述五元组信息包括源IP地址、源端口、目的IP地址、目的端口和传输协议。
进一步地,所述异常行为监测模块,还用于:
获取所述工控流量中的工控协议信息;
将所述工控协议信息与所述细粒度协议白名单流量监测策略层的协议流量监测策略列表进行对比;
若所述协议流量监测策略列表中不包含所述工控协议信息,则确定所述工控流量存在异常行为。
进一步地,所述异常行为监测模块,还用于:
获取所述工控流量中的工控协议信息;
将所述工控协议信息与所述协议黑名单流量审计策略层的协议流量审计策略列表进行比对;
若所述协议流量审计策略列表中包含所述工控协议信息,则确定所述工控流量包含异常行为。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行工控流量异常行为防护方法,该方法包括:获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的工控流量异常行为防护方法,该方法包括:获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的工控流量异常行为防护方法,该方法包括:获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种工控流量异常行为防护方法,其特征在于,包括:
获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;
若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;
其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;
所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;
所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
2.根据权利要求1所述的工控流量异常行为防护方法,其特征在于,将所述工控流量通过粗粒度五元组白名单访问控制策略层,确定所述工控流量中的异常行为,包括:
获取所述工控流量中的五元组信息;
将所述五元组信息与所述粗粒度五元组白名单访问控制策略层的五元组访问控制列表进行比对;
若所述五元组访问控制列表不包含有所述五元组信息,则确定所述工控流量包含异常行为。
3.根据权利要求2所述的工控流量异常行为防护方法,其特征在于,所述五元组信息包括源IP地址、源端口、目的IP地址、目的端口和传输协议。
4.根据权利要求1所述的工控流量异常行为防护方法,其特征在于,将所述工控流量通过细粒度协议白名单流量监测策略层,确定所述工控流量中的异常行为,包括:
获取所述工控流量中的工控协议信息;
将所述工控协议信息与所述细粒度协议白名单流量监测策略层的协议流量监测策略列表进行对比;
若所述协议流量监测策略列表中不包含所述工控协议信息,则确定所述工控流量存在异常行为。
5.根据权利要求1所述的工控流量异常行为防护方法,其特征在于,将所述工控流量通过协议黑名单流量审计策略层,确定所述工控流量中的异常行为,包括:
获取所述工控流量中的工控协议信息;
将所述工控协议信息与所述协议黑名单流量审计策略层的协议流量审计策略列表进行比对;
若所述协议流量审计策略列表中包含所述工控协议信息,则确定所述工控流量包含异常行为。
6.一种工控流量异常行为防护系统,其特征在于,所述工控流量异常行为防护系统用于执行权利要求1-5任一项所述的工控流量异常行为防护方法,所述工控流量异常行为防护系统包括五元组访问控制引擎、工控协议监测引擎和工控协议审计引擎;
其中,所述五元组访问控制引擎部署有所述粗粒度五元组白名单访问控制策略层,所述工控协议监测引擎部署有所述细粒度协议白名单流量监测策略层,所述工控协议审计引擎部署有所述协议黑名单流量审计策略层。
7.一种工控流量异常行为防护装置,其特征在于,包括:
异常行为监测模块,用于获取工控流量,将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层,确定所述工控流量中的异常行为;
报警模块,用于若所述工控流量存在异常行为,则将所述工控流量进行阻断,并产生报警信息;
其中,所述粗粒度五元组白名单访问控制策略层,用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为;
所述细粒度协议白名单流量监测策略层,用于进行监测所述工控流量,确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为;
所述协议黑名单流量审计策略层,用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述工控流量异常行为防护方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述工控流量异常行为防护方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述工控流量异常行为防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211035802.7A CN115529162A (zh) | 2022-08-26 | 2022-08-26 | 工控流量异常行为防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211035802.7A CN115529162A (zh) | 2022-08-26 | 2022-08-26 | 工控流量异常行为防护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115529162A true CN115529162A (zh) | 2022-12-27 |
Family
ID=84697575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211035802.7A Pending CN115529162A (zh) | 2022-08-26 | 2022-08-26 | 工控流量异常行为防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115529162A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
| CN110049004A (zh) * | 2019-03-03 | 2019-07-23 | 北京立思辰安科技术有限公司 | 工控环境流量白名单基线的生成方法 |
| US20200021560A1 (en) * | 2018-07-13 | 2020-01-16 | Raytheon Company | Policy engine for cyber anomaly detection |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
| WO2021107259A1 (ko) * | 2019-11-29 | 2021-06-03 | (주) 앤앤에스피 | 네트워크 패킷 화이트리스트 연계 iacs 패킷 플로우 보안 감시 방법 및 시스템 |
| WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和系统、及计算机存储介质 |
-
2022
- 2022-08-26 CN CN202211035802.7A patent/CN115529162A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
| US20200021560A1 (en) * | 2018-07-13 | 2020-01-16 | Raytheon Company | Policy engine for cyber anomaly detection |
| CN110049004A (zh) * | 2019-03-03 | 2019-07-23 | 北京立思辰安科技术有限公司 | 工控环境流量白名单基线的生成方法 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| WO2021107259A1 (ko) * | 2019-11-29 | 2021-06-03 | (주) 앤앤에스피 | 네트워크 패킷 화이트리스트 연계 iacs 패킷 플로우 보안 감시 방법 및 시스템 |
| WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和系统、及计算机存储介质 |
| CN112468488A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | 工业异常监测方法、装置、计算机设备及可读存储介质 |
| CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN110495138B (zh) | 工业控制系统及其网络安全的监视方法 | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| US10616258B2 (en) | Security information and event management | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| US20160381049A1 (en) | Identifying network intrusions and analytical insight into the same | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| CN112671807B (zh) | 威胁处理方法、装置、电子设备及计算机可读存储介质 | |
| CN109286511A (zh) | 数据处理的方法及装置 | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| EP3534232A1 (en) | A safety monitoring method and apparatus for an industrial control system | |
| CN113992386A (zh) | 一种防御能力的评估方法、装置、存储介质及电子设备 | |
| CN108418697B (zh) | 一种智能化的安全运维服务云平台的实现架构 | |
| CN113904829B (zh) | 一种基于机器学习的应用防火墙系统 | |
| Aljurayban et al. | Framework for cloud intrusion detection system service | |
| CN115529162A (zh) | 工控流量异常行为防护方法及系统 | |
| US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
| CN114697052B (zh) | 网络防护方法及装置 | |
| CN114338233A (zh) | 基于流量解析的网络攻击检测方法和系统 | |
| McEvatt | Advanced threat centre and future of security monitoring | |
| CN113923021A (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| CN112487419A (zh) | 一种计算机网络信息安全事件处理方法 | |
| Ivanova | Modelling the impact of cyber attacks on the traffic control centre of an urban automobile transport system by means of enhanced cybersecurity | |
| Singh et al. | Intrusion detection using network monitoring tools | |
| CN115314252B (zh) | 应用于工业防火墙的防护方法、系统、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |