一种基于动态防御的工业互联网安全防护方法及系统技术方案

本发明专利技术涉及一种基于动态防御的工业互联网安全防护方法及系统，主要步骤包括：动态地址模块对工业互联网应用地址进行随机化，动态转换模块对应用攻击面进行切换，动态混淆模块对工业互联网应用地址进行混淆。本发明专利技术能够改变工业互联网应用静态、单一、同质化的弱点，动态转换攻击面，提高攻击者的攻击代价，抵御未知攻击和零日漏洞利用等高级持续攻击。

A method and system of industrial Internet Security Based on Dynamic Defense

The invention relates to an industrial Internet security protection method and system based on dynamic defense. The main steps include: the dynamic address module randomizes the industrial Internet application address, the dynamic conversion module switches the application attack surface, and the dynamic confusion module confuses the industrial Internet application address. The invention can change the static, single and homogeneous weakness of industrial Internet application, dynamically change attack surface, increase attack cost of attacker, resist unknown attack, zero day vulnerability utilization and other advanced continuous attacks.

【技术实现步骤摘要】
一种基于动态防御的工业互联网安全防护方法及系统
本专利技术涉及一种工业互联网安全防护方法及系统，具体涉及一种基于动态防御的工业互联网安全防护方法及系统，属于计算机网络安全领域。
技术介绍
“工业互联网”（IndustrialInternet）是开放、全球化的网络，将人、数据和机器连接起来，属于泛互联网的目录分类。它是全球工业系统与高级计算、分析、传感技术及互联网的高度融合。工业互联网的本质和核心是通过工业互联网平台把设备、生产线、工厂、供应商、产品和客户紧密地连接融合起来。可以帮助制造业拉长产业链，形成跨设备、跨系统、跨厂区、跨地区的互联互通，从而提高效率，推动整个制造服务体系智能化。还有利于推动制造业融通发展，实现制造业和服务业之间的跨越发展，使工业经济各种要素资源能够高效共享。工业互联网中大量的工业控制系统存在安全隐含，特别是电力等关键基础设置不断遭受网络攻击，安全事件层出不穷。2019年3月7日-9日，委内瑞拉电力系统遭受网络攻击，发生全国范围的大规模停电，全国交通瘫痪，地铁系统关闭，医院手术中断，所有通讯线路中断，航班无法正常起降。7月13日，伊朗信息作战部队攻击纽约市三十多个变电站的控制中心，导致纽约停电4个小时，全城漆黑。因此，保护工业互联网及其工业控制系统安全具有极为重要的意义。然而，针对工业互联网的APT攻击（高级可持续性威胁，AdvancedPersistentThreat，APT）、零日漏洞利用攻击、未知攻击等等，其攻击过程缓慢，具有针对性、持续性、隐蔽性的特点，是传统的安全审计、入侵检测以及防火墙等静态防御方法无法抵御的。综合分析可知，采用动态防御技术，将工业互联网应用的静态、固定、单一的地址进行随机化，从而动态转换应用的攻击面，使得防御由被动变为主动，将大大提高攻击者对工业互联网应用攻击的成本和代价，迫使攻击者放弃对工业互联网应用的进一步渗透，达到提高应用系统强健免疫、入侵容忍和高可生存性的能力。主动防御的技术和安全策略，是实现工业互联网和工业控制系统高安全性的重要技术路线。
技术实现思路
有鉴于此，本专利技术公开了一种基于动态防御的工业互联网安全防护方法及系统，主要步骤包括：动态地址模块对工业互联网应用地址进行随机化，动态转换模块对应用攻击面进行切换，动态混淆模块对工业互联网应用地址进行混淆。本专利技术能够改变工业互联网应用静态、单一、同质化的弱点，动态转换攻击面，提高攻击者的攻击代价，抵御未知攻击和零日漏洞利用等高级持续攻击。本专利技术的技术方案如下：一种基于动态防御的工业互联网安全防护方法，其步骤包括：1）动态地址模块对工业互联网应用地址进行随机化；2）动态转换模块对应用攻击面进行切换；3）动态混淆模块对工业互联网应用地址进行混淆。更进一步，所述动态地址模块对工业互联网应用原始地址Addr进行随机化变换，一个原始地址可以对应生成多个临时地址DAddr。更进一步，所述动态地址模块采用如下方式对原始地址进行随机化：1)对应用地址的非URI部分进行提取得到待随机化序列串preAdd；2)对preAdd采用不可逆密码算法进行动态编码，得到随机化序列串aftAdd；3）将URI和aftAdd合并，得到访问的动态地址DAddr。更进一步，所述动态地址模块在进行地址随机化时，可以采用时间盐值加单向散列函数编码、密码编码、混沌编码等方式，增加动态地址的不可逆性。更进一步，所述动态转换模块对首次接收到的原始地址Addr设置强制跳转码，请求地址被强制跳转到动态应用地址DAddr，从而实现应用攻击面的切换。更进一步，所述动态混淆模块在工业互联网应用中加入迷惑攻击者的虚假地址，虚假地址不提供任何应用服务，能够达到隐藏真实地址的目的。本专利技术还提出一种基于动态防御的工业互联网安全防护系统，包括动态地址模块、动态转换模块、动态混淆模块，所述动态地址模块对工业互联网应用原始地址Addr进行随机化变换，可对应用地址的非URI部分序列串preAdd进行不可逆编码得到随机化串aftAdd，将URI和aftAdd合并，得到访问的动态地址DAddr；所述动态转换模块对首次接收到的原始地址Addr设置强制跳转码，请求地址被强制跳转到动态应用地址DAddr，从而实现应用攻击面的切换;所述动态混淆模块在工业互联网应用中加入迷惑攻击者的虚假地址，虚假地址不提供任何应用服务，能够达到隐藏真实地址的目的;基于动态防御的工业互联网安全防护装置接收管理者的动态防御控制指令和动态安全策略，对上述模块进行非周期性安全调度和更新，以提高防御系统的不可预测性，从而提高安全性。本专利技术的有益效果为：本专利技术提供了一种基于动态防御的工业互联网安全防护方法和系统，通过动态地址模块对工业互联网应用地址进行随机化，通过动态转换模块对应用攻击面进行切换，通过动态混淆模块对工业互联网应用地址进行混淆。本专利技术能够改变工业互联网应用静态、单一、同质化的弱点，动态转换攻击面，提高攻击者的攻击代价，抵御未知攻击和零日漏洞利用等高级持续攻击。附图说明附图1是本专利技术基于动态防御的工业互联网安全防护系统的架构示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步描述。本专利技术的一实施例中公开的基于动态防御的工业互联网安全防护系统，其步骤为：1）动态地址模块对工业互联网应用原始地址Addr进行随机化变换，一个原始地址可以对应生成多个临时地址DAddr；2）动态地址模块对应用地址的非URI部分进行提取得到待随机化序列串preAdd，对preAdd采用不可逆密码算法进行动态编码，得到随机化序列串aftAdd，将URI和aftAdd合并，得到访问的动态地址DAddr；在进行地址随机化时，可以采用时间盐值加单向散列函数编码、密码编码、混沌编码等方式，增加动态地址的不可逆性；3）动态转换模块对首次接收到的原始地址Addr设置强制跳转码，请求地址被强制跳转到动态应用地址DAddr，从而实现应用攻击面的切换；4）动态混淆模块在工业互联网应用中加入迷惑攻击者的虚假地址，虚假地址不提供任何应用服务，能够达到隐藏真实地址的目的。以下通过具体的例子对附图中基于动态防御的工业互联网安全防护方法及系统进行进一步的说明。如附图1所示，一种基于动态防御的工业互联网安全防护系统，包括：包括动态地址模块、动态转换模块、动态混淆模块，其主要步骤包括：1）动态地址模块对工业互联网应用原始地址Addr进行随机化变换，可对应用地址的非URI部分序列串preAdd进行不可逆编码得到随机化串aftAdd，将URI和aftAdd合并，得到访问的动态地址DAddr；2）动态转换模块对首次接收到的原始地址Addr设置强制跳转码，请求地址被强制跳转到动态应用地址DAddr，从而实现应用攻击面的切换;3）动态混淆模块在工业互联网应用中加入迷惑攻击者的虚假地址，虚假地址不提供任何应用服务，能够达到隐藏真实地址的目的;4）基于动态防御的工业互联网安全防护装置接收管理者的动态防御控制指令和动态安全策略，对上述模块进行非周期性安全调度和更新，以提高防御系统的不可预测性，从而提高安全性。以上所述本专利技术的具体实施方式目的是为了更好地理解本专利技术的使用，并不构成对本专利技术保护范围的限定。任何在本专利技术的精神和原则实质之内所做的修改、变形和等同替换等，本文档来自技高网...

【技术保护点】
1.一种基于动态防御的工业互联网安全防护方法，其步骤包括：1）动态地址模块对工业互联网应用地址进行随机化；2）动态转换模块对应用攻击面进行切换；3）动态混淆模块对工业互联网应用地址进行混淆。

【技术特征摘要】
1.一种基于动态防御的工业互联网安全防护方法，其步骤包括：1）动态地址模块对工业互联网应用地址进行随机化；2）动态转换模块对应用攻击面进行切换；3）动态混淆模块对工业互联网应用地址进行混淆。2.如权利要求1所述的基于动态防御的工业互联网安全防护方法，其特征在于，所述动态地址模块对工业互联网应用原始地址Addr进行随机化变换，一个原始地址可以对应生成多个临时地址DAddr。3.如权利要求1所述的基于动态防御的工业互联网安全防护方法，其特征在于，所述动态地址模块采用如下方式对原始地址进行随机化：1)对应用地址的非URI部分进行提取得到待随机化序列串preAdd；2)对preAdd采用不可逆密码算法进行动态编码，得到随机化序列串aftAdd；3）将URI和aftAdd合并，得到访问的动态地址DAddr。4.如权利要求1或2或3所述的基于动态防御的工业互联网安全防护方法，其特征在于，所述动态地址模块在进行地址随机化时，可以采用时间盐值加单向散列函数编码、密码编码、混沌编码等方式，增加动态地址的不可逆性。5.如权利要求1所述的基于动态防御的工业互联网安全防护方法，其特征在于，所述动态转换模块对首次接...

【专利技术属性】
技术研发人员：马多耀，邓高见，陈德勇，李萌，
申请(专利权)人：中科天御苏州科技有限公司，
类型：发明
国别省市：江苏,32