工控环境流量白名单基线的生成方法技术

本发明专利技术涉及互联网和多媒体技术领域。为了解决工控环境中随着数据量和协议种类增多而越发复杂的白名单基线生成问题，本发明专利技术提出了一种适用于工控环境的灵活的快速的高度可控的白名单基线自动识别的方法和系统。所述包括根据接收的新建基线生成器指令，新建基线生成器；根据接收的通信协议选择指令，所述基线生成器与所选择的通信协议进行关联；根据接收的协议字段选择指令，所述基线生成器将所述通信协议与所述通信协议的一个或多个字段名进行关联；根据筛选参数，对报文进行所述协议字段的筛选；基于所述一个或多个字段和会话中所述报文的五元组信息进行聚合；根据所述聚合得到的取值，生成与所述一个或多个字段关联的取值范围；根据所述字段与其所述取值范围生成白名单策略。

A Method for Generating Baseline of White List of Industrial Control Environmental Flow

【技术实现步骤摘要】
工控环境流量白名单基线的生成方法
本专利技术涉及互联网和多媒体
，具体而言，涉及网络安全处理领域中一种对事件规则进行并行分析处理的基于流量白名单基线的自动生成方法、系统和计算机可读存储介质。
技术介绍
本专利技术对
技术介绍
的描述属于与本专利技术的相关技术，仅仅是用于说明和便于理解本专利技术的
技术实现思路
，不应理解为申请人明确认为或推定申请人认为是本专利技术在首次提出申请的申请日的现有技术。随着网络技术的日益发展，通过网络来传递信息正在成为一种趋势。然而，由于网络黑客经常利用木马程序非法侵入网络空间来窃取信息，因此，如何保证网络上的信息安全越来越受到重视。为了保证网络上的信息安全，通常需要对威胁网络安全的任何一个行为进行报警，即产生安全事件。安全事件通常由安全系统生成，安全系统指的是对用户系统进行安全监测和保护的应用系统，比如入侵检测系统、漏洞扫描系统、审计系统、防火墙、UTM等。工控环境通讯协议通讯链路等较为固定，尤其适用于白名单为主的策略规则安全监测审计机制。但是，由于工控环境中接入的设备众多，设备采用的通讯协议也是种类繁多，工控系统越大则其通讯的链路以及协议也就越复杂，如果本文档来自技高网...

【技术保护点】
1.一种自动生成流量白名单的方法，其特征在于，包括以下步骤：S1:根据接收的新建基线生成器指令，新建基线生成器；S2:根据接收的通信协议选择指令，所述基线生成器与所选择的通信协议进行关联；S3:根据接收的协议字段选择指令，所述基线生成器将所述通信协议与所述通信协议的一个或多个字段名进行关联；S4:根据筛选参数，对报文进行所述协议字段的筛选；S5:基于所述一个或多个字段和会话中所述报文的五元组信息进行聚合；S6：根据所述聚合得到的取值，生成与所述一个或多个字段关联的取值范围；S7:根据所述字段与其所述取值范围生成白名单策略。

【技术特征摘要】
1.一种自动生成流量白名单的方法，其特征在于，包括以下步骤：S1:根据接收的新建基线生成器指令，新建基线生成器；S2:根据接收的通信协议选择指令，所述基线生成器与所选择的通信协议进行关联；S3:根据接收的协议字段选择指令，所述基线生成器将所述通信协议与所述通信协议的一个或多个字段名进行关联；S4:根据筛选参数，对报文进行所述协议字段的筛选；S5:基于所述一个或多个字段和会话中所述报文的五元组信息进行聚合；S6：根据所述聚合得到的取值，生成与所述一个或多个字段关联的取值范围；S7:根据所述字段与其所述取值范围生成白名单策略。2.如权利要求1所述的自动生成流量白名单的方法，其特征在于，所述筛选参数是协议解析引擎标识，时间范围，协议名称。3.如权利要求1所述的自动生成流量白名单的方法，其特征在于，与该通信协议相关的一个或多个协议字段是由协议解析引擎确定的。4.如权利要求1所述的自动生成流量白名单的方法，其特征在于,在所述步骤S7中，所述基线生成器根据相应指令被激活或禁止。5.如权利要求1所述的自动生成流量白名单的方法，其特征在于，步骤S1～S3中，所述接收的指令，来自输入设备。6.一种自动生成流量白名单的系统，其特征在于，包括：新建模块，根据接收的...

【专利技术属性】
技术研发人员：贺本彪，苗维杰，
申请(专利权)人：北京立思辰安科技术有限公司，
类型：发明
国别省市：北京,11