【技术实现步骤摘要】
工业控制网络访问规则构建方法及训练系统
本专利技术涉及一种工业控制网络访问规则构建方法及训练系统.
技术介绍
工业防火墙、审计系统、入侵检测系统已经成为工业控制网络内必备的保护网络安全的重要基础设施。但由于工控网络内,不同厂家、不同型号的工控设备共存于同一个网络内,不同工控设备的指令不同,面对复杂的工控网络环境,为工业防火墙、审计系统配置安全访问规则成了一项艰巨的任务,管理员不仅需要了解每个设备的配置信息(如MAC地址、IP地址、端口)、网络拓扑结构,还需要了解不同厂家的工控设备的协议格式和指令格式,配置安全访问规则耗时耗力,且容易出错。工控网络环境复杂,无法全局掌握网络的所有配置信息,而且在工控网络生产环境下不能对网络进行断网更改或配置,因此在不影响工控网络的情况下能快速、准确的配置工控网络安全访问规则成为了工业防火墙、审计系统、入侵检测系统等各类网络安全系统的当务之急。
技术实现思路
本专利技术的目的在于提供一种工业控制网络访问规则构建方法及训练系统。为解决上述问题,本专利技术提供一种工业控制网络访问规则构建方法,包括:捕获工业控制网络中传输的协议报文;提取所述协议报文的特征值;依据所述特征值,生成网络设备清单;依据所述网络设备清单,构建设备访问规则;将所述协议报文的特征值与预设的协议特征库进行比对,得到比对结果;依据所述比对结果,确定协议报文的报文类型;依据所述报文类型和特征值,确定所述协议报文对应的指令格式;依据确定的指令格式,构建设备指令访问规则;依据所述设备访问规则与指令访问规则,构建安全访问规则。进一步的,在上述方法中,所述捕获工业控制网络中传输 ...
【技术保护点】
1.一种工业控制网络访问规则构建方法,其特征在于,包括:捕获工业控制网络中传输的协议报文;提取所述协议报文的特征值;依据所述特征值,生成网络设备清单;依据所述网络设备清单,构建设备访问规则;将所述协议报文的特征值与预设的协议特征库进行比对,得到比对结果;依据所述比对结果,确定协议报文的报文类型;依据所述报文类型和特征值,确定所述协议报文对应的指令格式;依据确定的指令格式,构建设备指令访问规则;依据所述设备访问规则与指令访问规则,构建安全访问规则。
【技术特征摘要】
1.一种工业控制网络访问规则构建方法,其特征在于,包括:捕获工业控制网络中传输的协议报文;提取所述协议报文的特征值;依据所述特征值,生成网络设备清单;依据所述网络设备清单,构建设备访问规则;将所述协议报文的特征值与预设的协议特征库进行比对,得到比对结果;依据所述比对结果,确定协议报文的报文类型;依据所述报文类型和特征值,确定所述协议报文对应的指令格式;依据确定的指令格式,构建设备指令访问规则;依据所述设备访问规则与指令访问规则,构建安全访问规则。2.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,所述捕获工业控制网络中传输的协议报文中:依据协议报文的来源,捕获的方式包括在线实时捕获和其他抓包工具捕获的报文包文件。3.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,提取所述协议报文的特征值中,所述特征值的提取方式分在线实时协议报文解析和离线报文包文件解析;所述协议报文的特征值分为:标准协议的特征值,其通过提取协议报文首部特征字段获得,包括:源MAC地址、目的MAC地址、源IP地址、目的IP地址和目的端口。工控协议的特征值,其通过提取协议报文内容的特征字段获得,包括读指令、写指令和指令参数。4.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,依据所述特征值,生成网络设备清单,包括:通过标准协议获取五元组信息,生成网络内的设备清单。5.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,依据所述网络设备清单,构建设备访问规则中:通过协议报文提取的特征值,不仅包括了网络设备清单,还包括了设备间的访问目的和访问来源,以此可构建出设备访问规则。6.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,将所述协议报文的特征值与预设的协议特征库进行比对,得到比对结果,包括:依据协议报文的特征值在协议报文中的排列顺序,将相应排列位置上的特征值与预设的协议特征库的特征值进行比对,得到特征值比对结果,其中,所述协议报文的特征值至少包括字段类型、字段偏移、字段长度以及字段取值。7.如权利要求6所述的工业控制网络访问规则构建方法,其特征在于,依据所述比对结果,确定协议报文的报文类型,包括:按层级的方式逐层比对协议报文特征值,首先比对外层的协议报文特征值,确定外层报文类型;然后比对上一层的协议报文特征值,确定上一层的报文类型,依次逐层的确定所有层级的报文类型,其中,所述报文类型包括标准协议报文类型和工控协议报文类型。8.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,依据协议报文特征值对比结果,确定协议报文的报文类型中,所述报文类型包括:数据链路层报文协议,包括EthernetII以太帧、Netware以太帧、802.3SAP以太帧、802.3LLCSNAP以太帧、VLAN帧、QinQ帧、PPP帧、PPPoE帧或HDLC帧;网络层报文协议,包括ARP/RARP协议、GRE协议、ICMP协议、ICMPv6协议、IGMP协议、IP协议或IPv6协议;传输层报文协议,包括TCP协议、UDP协议或SCTP协议;应用层报文协议,包括DHCP协议、DHCPv6协议、DNS协议、IPSec协议、L2TP协议、NetStream协议或SNMP协议;工控协议,包括S7协议、Modbus协议、OPC协议、ASI协议、CANOpen协议、ControlNet协议、EthernetCAT协议、Ethernet/IP协议、Profibus协议或Profinet协议。9.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,依据所述报文类型和特征值,确定所述协议报文对应的指令格式,包括:在确定所述报文类型和特征值后,得到协议报文中的指令信息,包括指令代码、访问地址、访问值的各种指令数据。10.如权利要求1所述的工业控制网络访问规则构建方法,其特征在于,依据确定的指令格式,构建设备指令访问规则,包括:在确定协议报文的指令格式后,确定各设备间传输的指令访问,哪些指令可访问,哪些指令不可访问,构建出设备间的指令访问规则。11.一种工业控制网络访问规则训练系统,其特征在于,包括:协议报文捕获模块,用于捕获工业控制网络中传输的协议报文;协议报文解析模块,用于...
【专利技术属性】
技术研发人员:杨晓磊,王迎,许剑新,薛金良,陈建飞,
申请(专利权)人:浙江国利网安科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。