工业控制网络访问规则构建方法及训练系统技术方案

本发明专利技术提供了一种工业控制网络访问规则构建方法及训练系统，通过分析工业控制网络内的协议报文数据，构建网络拓扑结构、提取报文数据中的协议特征，确定通讯的设备类型、通过协议报文的传输方向来确定设备间的访问清单，通过协议报文内容深度解析确定访问指令，与工控协议指令库关联构建工控设备间的访问指令清单，最后通过访问清单和指令清单构建出完整的安全访问规则。

Construction Method and Training System of Access Rules for Industrial Control Network

【技术实现步骤摘要】
工业控制网络访问规则构建方法及训练系统
本专利技术涉及一种工业控制网络访问规则构建方法及训练系统.
技术介绍
工业防火墙、审计系统、入侵检测系统已经成为工业控制网络内必备的保护网络安全的重要基础设施。但由于工控网络内，不同厂家、不同型号的工控设备共存于同一个网络内，不同工控设备的指令不同，面对复杂的工控网络环境，为工业防火墙、审计系统配置安全访问规则成了一项艰巨的任务，管理员不仅需要了解每个设备的配置信息(如MAC地址、IP地址、端口)、网络拓扑结构，还需要了解不同厂家的工控设备的协议格式和指令格式，配置安全访问规则耗时耗力，且容易出错。工控网络环境复杂，无法全局掌握网络的所有配置信息，而且在工控网络生产环境下不能对网络进行断网更改或配置，因此在不影响工控网络的情况下能快速、准确的配置工控网络安全访问规则成为了工业防火墙、审计系统、入侵检测系统等各类网络安全系统的当务之急。
技术实现思路
本专利技术的目的在于提供一种工业控制网络访问规则构建方法及训练系统。为解决上述问题，本专利技术提供一种工业控制网络访问规则构建方法，包括：捕获工业控制网络中传输的协议报文；提取所述协议报文的特征值；依据所述特征值，生成网络设备清单；依据所述网络设备清单，构建设备访问规则；将所述协议报文的特征值与预设的协议特征库进行比对，得到比对结果；依据所述比对结果，确定协议报文的报文类型；依据所述报文类型和特征值，确定所述协议报文对应的指令格式；依据确定的指令格式，构建设备指令访问规则；依据所述设备访问规则与指令访问规则，构建安全访问规则。进一步的，在上述方法中，所述捕获工业控制网络中传输的协议报文中：依据协议报文的来源，捕获的方式包括在线实时捕获和其他抓包工具捕获的报文包文件。进一步的，在上述方法中，提取所述协议报文的特征值中，所述特征值的提取方式分在线实时协议报文解析和离线报文包文件解析；所述协议报文的特征值分为：标准协议的特征值，其通过提取协议报文首部特征字段获得，包括：源MAC地址、目的MAC地址、源IP地址、目的IP地址和目的端口。工控协议的特征值，其通过提取协议报文内容的特征字段获得，包括读指令、写指令和指令参数。进一步的，在上述方法中，依据所述特征值，生成网络设备清单，包括：通过标准协议获取五元组信息，生成网络内的设备清单。进一步的，在上述方法中，依据所述网络设备清单，构建设备访问规则中：通过协议报文提取的特征值，不仅包括了网络设备清单，还包括了设备间的访问目的和访问来源，以此可构建出设备访问规则。进一步的，在上述方法中，将所述协议报文的特征值与预设的协议特征库进行比对，得到比对结果，包括：依据协议报文的特征值在协议报文中的排列顺序，将相应排列位置上的特征值与预设的协议特征库的特征值进行比对，得到特征值比对结果，其中，所述协议报文的特征值至少包括字段类型、字段偏移、字段长度以及字段取值。进一步的，在上述方法中，依据所述比对结果，确定协议报文的报文类型，包括：按层级的方式逐层比对协议报文特征值，首先比对外层的协议报文特征值，确定外层报文类型；然后比对上一层的协议报文特征值，确定上一层的报文类型，依次逐层的确定所有层级的报文类型，其中，所述报文类型包括标准协议报文类型和工控协议报文类型。进一步的，在上述方法中，依据协议报文特征值对比结果，确定协议报文的报文类型中，所述报文类型包括：数据链路层报文协议，包括EthernetII以太帧、Netware以太帧、802.3SAP以太帧、802.3LLCSNAP以太帧、VLAN帧、QinQ帧、PPP帧、PPPoE帧或HDLC帧；网络层报文协议，包括ARP/RARP协议、GRE协议、ICMP协议、ICMPv6协议、IGMP协议、IP协议或IPv6协议；传输层报文协议，包括TCP协议、UDP协议或SCTP协议；应用层报文协议，包括DHCP协议、DHCPv6协议、DNS协议、IPSec协议、L2TP协议、NetStream协议或SNMP协议；工控协议，包括S7协议、Modbus协议、OPC协议、ASI协议、CANOpen协议、ControlNet协议、EthemetCAT协议、Ethernet/IP协议、Profibus协议或Profinet协议。进一步的，在上述方法中，依据所述报文类型和特征值，确定所述协议报文对应的指令格式，包括：在确定所述报文类型和特征值后，得到协议报文中的指令信息，包括指令代码、访问地址、访问值的各种指令数据。进一步的，在上述方法中，依据确定的指令格式，构建设备指令访问规则，包括：在确定协议报文的指令格式后，确定各设备间传输的指令访问，哪些指令可访问，哪些指令不可访问，构建出设备间的指令访问规则。根据本专利技术的另一面，提供一种工业控制网络访问规则训练系统，包括：协议报文捕获模块，用于捕获工业控制网络中传输的协议报文；协议报文解析模块，用于解析报文协议；特征值提取模块，用于提取所述协议报文的特征值；设备清单生成模块，用于依据所述特征值，生成网络设备清单；设备访问规则构建模块，用于依据所述网络设备清单，构建设备访问规则；特征库比对模块，用于将所述协议报文的特征值与预设的协议特征库进行比对，得到比对结果；报文类型识别模块，用于依据所述比对结果，确定协议报文的报文类型；指令识别模块，用于依据所述报文类型和特征值，确定所述协议报文对应的指令格式；设备指令访问规则构建模块，用于依据确定的指令格式，构建设备指令访问规则；安全访问规则构建模块，用于依据所述设备访问规则与指令访问规则，构建安全访问规则；规则训练模块，用于依据已配置的安全访问规则，检测安全访问规则是否满足工业控制网络的协议报文，得出检测结果，并调整安全访问规则。进一步的，在上述系统中，所述协议报文解析模块除了实时解析捕获的网络协议报文外，也对其他抓包工具捕获的报文包文件进行解析。进一步的，在上述系统中，所述特征库比对模块包括协议特征比对模块和协议内容特征比对模块，其中，所述协议特征比对模块，用于对标准协议的首部的特征值按排列顺序进行比对，相应排列位置上的特征值与预先设置的协议报文特征库中的特征值进行比对，得到特征值比对结果；所述协议内容特征比对模块，用于对工控协议的内容进行深度解析，提取到的工控指令特征值，与预先设置的工控协议指令特征库中的特征值进行比对，得到特征值比对结果；所述特征值的信息至少包括：字段类型、字段偏移、字段长度、字段取值。进一步的，在上述系统中，报文类型识别模块包括：标准协议识别模块，用于依据报文协议特征比对结果，识别协议报文中的网络标准协议类型；工控协议识别模块，用于依据报文协议特征比对结果，识别协议报文中的工控协议类型。进一步的，在上述系统中，所述协议识别模块包括：链路层协议识别模块，用于识别协议报文的网络帧，识别的帧格式包括EthernetII以太帧、Netware以太帧、802.3SAP以太帧、802.3LLCSNAP以太帧、VLAN帧、QinQ帧、PPP帧、PPPoE帧或HDLC帧；网络层协议识别模块，用于识别协议报文的网络层协议，识别的报文协议包括ARP/RARP协议、GRE协议、ICMP协议、ICMPv6协议、IGMP协议、IP协议或IPv6协议；传输层协议识别模块，用于识别协议报文的传输本文档来自技高网...

【技术保护点】
1.一种工业控制网络访问规则构建方法，其特征在于，包括：捕获工业控制网络中传输的协议报文；提取所述协议报文的特征值；依据所述特征值，生成网络设备清单；依据所述网络设备清单，构建设备访问规则；将所述协议报文的特征值与预设的协议特征库进行比对，得到比对结果；依据所述比对结果，确定协议报文的报文类型；依据所述报文类型和特征值，确定所述协议报文对应的指令格式；依据确定的指令格式，构建设备指令访问规则；依据所述设备访问规则与指令访问规则，构建安全访问规则。

【技术特征摘要】
1.一种工业控制网络访问规则构建方法，其特征在于，包括：捕获工业控制网络中传输的协议报文；提取所述协议报文的特征值；依据所述特征值，生成网络设备清单；依据所述网络设备清单，构建设备访问规则；将所述协议报文的特征值与预设的协议特征库进行比对，得到比对结果；依据所述比对结果，确定协议报文的报文类型；依据所述报文类型和特征值，确定所述协议报文对应的指令格式；依据确定的指令格式，构建设备指令访问规则；依据所述设备访问规则与指令访问规则，构建安全访问规则。2.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，所述捕获工业控制网络中传输的协议报文中：依据协议报文的来源，捕获的方式包括在线实时捕获和其他抓包工具捕获的报文包文件。3.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，提取所述协议报文的特征值中，所述特征值的提取方式分在线实时协议报文解析和离线报文包文件解析；所述协议报文的特征值分为：标准协议的特征值，其通过提取协议报文首部特征字段获得，包括：源MAC地址、目的MAC地址、源IP地址、目的IP地址和目的端口。工控协议的特征值，其通过提取协议报文内容的特征字段获得，包括读指令、写指令和指令参数。4.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，依据所述特征值，生成网络设备清单，包括：通过标准协议获取五元组信息，生成网络内的设备清单。5.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，依据所述网络设备清单，构建设备访问规则中：通过协议报文提取的特征值，不仅包括了网络设备清单，还包括了设备间的访问目的和访问来源，以此可构建出设备访问规则。6.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，将所述协议报文的特征值与预设的协议特征库进行比对，得到比对结果，包括：依据协议报文的特征值在协议报文中的排列顺序，将相应排列位置上的特征值与预设的协议特征库的特征值进行比对，得到特征值比对结果，其中，所述协议报文的特征值至少包括字段类型、字段偏移、字段长度以及字段取值。7.如权利要求6所述的工业控制网络访问规则构建方法，其特征在于，依据所述比对结果，确定协议报文的报文类型，包括：按层级的方式逐层比对协议报文特征值，首先比对外层的协议报文特征值，确定外层报文类型；然后比对上一层的协议报文特征值，确定上一层的报文类型，依次逐层的确定所有层级的报文类型，其中，所述报文类型包括标准协议报文类型和工控协议报文类型。8.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，依据协议报文特征值对比结果，确定协议报文的报文类型中，所述报文类型包括：数据链路层报文协议，包括EthernetII以太帧、Netware以太帧、802.3SAP以太帧、802.3LLCSNAP以太帧、VLAN帧、QinQ帧、PPP帧、PPPoE帧或HDLC帧；网络层报文协议，包括ARP/RARP协议、GRE协议、ICMP协议、ICMPv6协议、IGMP协议、IP协议或IPv6协议；传输层报文协议，包括TCP协议、UDP协议或SCTP协议；应用层报文协议，包括DHCP协议、DHCPv6协议、DNS协议、IPSec协议、L2TP协议、NetStream协议或SNMP协议；工控协议，包括S7协议、Modbus协议、OPC协议、ASI协议、CANOpen协议、ControlNet协议、EthernetCAT协议、Ethernet/IP协议、Profibus协议或Profinet协议。9.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，依据所述报文类型和特征值，确定所述协议报文对应的指令格式，包括：在确定所述报文类型和特征值后，得到协议报文中的指令信息，包括指令代码、访问地址、访问值的各种指令数据。10.如权利要求1所述的工业控制网络访问规则构建方法，其特征在于，依据确定的指令格式，构建设备指令访问规则，包括：在确定协议报文的指令格式后，确定各设备间传输的指令访问，哪些指令可访问，哪些指令不可访问，构建出设备间的指令访问规则。11.一种工业控制网络访问规则训练系统，其特征在于，包括：协议报文捕获模块，用于捕获工业控制网络中传输的协议报文；协议报文解析模块，用于...

【专利技术属性】
技术研发人员：杨晓磊，王迎，许剑新，薛金良，陈建飞，
申请(专利权)人：浙江国利网安科技有限公司，
类型：发明
国别省市：浙江,33