一种基于SDN的工业控制系统动态防御方法及装置制造方法及图纸

本发明专利技术涉及一种基于SDN的工业控制系统动态防御方法及装置，主要步骤包括：软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议，软件定义服务端口模块对工控协议高危端口进行混淆欺骗，软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御。本发明专利技术能够适应工业控制系统环境协议庞杂、端口固定、物理链路更改困难的特点，改变工业控制系统单一防护、静态防护的缺陷，最大限度地提高防护的弹性和效率，无需改变物理拓扑，提高对零日漏洞和未知攻击的抵御能力。

A Dynamic Defense Method and Device for Industrial Control System Based on SDN

The invention relates to a dynamic defense method and device for industrial control system based on SDN. The main steps include: software definition whitelist protocol module automatically identifies industrial control private protocol by using offset machine learning classification method; software definition service port module confuses and deceives high-risk ports of industrial control protocol; software definition defense module adopts virtualized security engine service. Arrangement technology dynamically dispatches the traffic of industrial control system communication network to achieve multi-layer defense. The invention can adapt to the characteristics of complex industrial control system environment protocol, fixed port and difficult physical link change, change the defects of single protection and static protection of industrial control system, maximize the elasticity and efficiency of protection, and improve the resistance to zero-day vulnerabilities and unknown attacks without changing physical topology.

【技术实现步骤摘要】
一种基于SDN的工业控制系统动态防御方法及装置
本专利技术涉及一种工业控制系统动态防御方法及装置，具体涉及一种基于SDN的工业控制系统动态防御方法及装置，属于计算机网络安全领域。
技术介绍
工业控制系统（ICS）是工业生产中所使用的多种类型控制软硬件系统，包括但不限于监控与数据采集系统（SCADA）、集散控制系统（DCS）以及可编程逻辑控制器（PLC）等等。工业控制系统是关键基础设施的重要组成部分，广泛应用在关系国计民生的电力、石油、化工、交通、运输、水利等等。针对工业控制系统的攻击将大大威胁到社会的正常运转，保护工业控制系统安全具有极为重要的意义。工业控制系统在设计之初，缺乏安全防护机制，导致长期运行的大量工业控制系统“带病”运行，高危漏洞层出不穷。近年来，随着TCP/IP协议和0PC协议等通用协议越来越广泛地应用在工业控制网络中，工业控制系统从封闭走向了开发，安全问题日益突出，安全风险急剧上升。甚至APT攻击（高级可持续性威胁，AdvancedPersistentThreat，APT）等国家级对抗的新型攻击手段也集中在工业控制系统领域中。这种APT攻击核心技术是利用0-day漏洞本文档来自技高网...

【技术保护点】
1.一种基于SDN的工业控制系统动态防御方法，其步骤包括：1）软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议；2）软件定义服务端口模块对工控协议高危漏洞进行混淆欺骗；3）软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御；4）SDN控制器定期对安全策略进行动态调整，增加差异性。

【技术特征摘要】
1.一种基于SDN的工业控制系统动态防御方法，其步骤包括：1）软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议；2）软件定义服务端口模块对工控协议高危漏洞进行混淆欺骗；3）软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御；4）SDN控制器定期对安全策略进行动态调整，增加差异性。2.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义白名单协议模块在SDN控制器中，SDN交换机未识别私有协议时将给控制器发送该数据包Packet(PrP)，控制器调用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树构建协议树进行分类识别出私有协议。3.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义服务端口模块采用如下方式对对工控协议高危漏洞进行混淆欺骗：1)对于认证的通信请求，SDN控制进行端口转换，将默认端口转换成其它端口；2)对于非认证的通信请求和恶意扫描请求，SDN控制器将对高危端口的扫描请求诱导迁移到蜜罐服务主机上；3）服务转换端口的对应转换关系，由SDN控制器进行定期更换。4.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义纵深防御模块采用如下方式进行弹性防护：1)将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池；2)SDN控制器下发根据纵深防御策略，从防护资源池中实例化一组防护功能模块组成虚拟网络，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统;3）对于可以流量，SDN控制器直接下发流量调度策略，将流量牵引到蜜罐虚拟网络进行监控；4)在完成防护后，SDN控制器下发链路直通流表规则，将通信网络流量从虚拟网络中旁路出来，虚拟资源进行回收。5....

【专利技术属性】
技术研发人员：邓高见，马多耀，董宝刚，赵生群，陈德勇，
申请(专利权)人：中科天御苏州科技有限公司，
类型：发明
国别省市：江苏,32