一种工控拟态安全网关的多模判决方法技术

本发明专利技术公开了一种工控拟态安全网关的多模判决方法。该方法采用基于流处理的判决方法，针对日志数据库中的两类数据进行双重判决，增强判决的准确度，将每个访问控制模块的状态处理的结果存放到临时缓冲区中，形成缓冲队列，最后利用哈希表映射的方法完成表决输出安全可信的数据包，比较找出产生错误输出的模块并且将其替换，本发明专利技术解决了原有模型中高时间复杂度的问题，通过计算每个异构执行体的威胁度Di进行高效替换，能够在正常处理工控数据包的同时，快速判决流量数据包是否具有威胁性并且选择出合适的流量数据包类型，保障了系统的高可用性。

A multimode decision method of industrial control pseudo security gateway

【技术实现步骤摘要】
一种工控拟态安全网关的多模判决方法
本专利技术属于工业信息安全
，具体地涉及一种工控拟态安全网关的多模判决方法。
技术介绍
针对工业控制系统的攻击正日趋于自动化、智能化、协同化、集团化，并呈有组织、大规模、高隐蔽、强持续的趋势，我国如今在安全防御方面存在核心软硬件对国外形成单向“透明”；内外工业控制系统均运行在封闭、隔绝的“安全”环境中，难以遭到外界攻击，其内生安全方面的理论研究、技术创新严重滞后；简单的将传统信息安全网关应用于工业环境所取得的安全防护效果极其有限，甚至根本达不到防护作用；目前国内已经少量部署的工控安全网关无法满足实际需求，还面临着传统信息安全网关无法解决的难题等问题。近年来，美国提出移动目标防御，致力于构建动态、异构和不确定性来增加攻击者的攻击难度。移动目标防御可以在网络、平台运行环境、软件、数据等多个层面实施，包括IP地址可变、端口可变、执行代码的随机性、地址空间的随机性等。2012年，雷声公司启动了限制敌方侦察的变形网络技术研究，美国空军研究实验室资助了基于多样性代码的多态技术，但在工控领域的移动目标防御的相本文档来自技高网...

【技术保护点】
1.一种工控拟态安全网关的多模判决方法，其特征在于，包括以下步骤：/n(1)统计网关访问控制模块中有n个访问控制模块；/n(2)对流量数据包进行多模判决后的结果为Xi(1<＝i<＝n)，Xi的取值为False或True，其中，False代表“阻断”，True代表“放行”：/n(2.1)对于日志数据库中最新的T个流量数据访问序列，用Ei(1<＝i<＝n)表示每个网关访问控制模块的出错次数，Ei初始值为0，对于每个流量数据访问序列都要进行步骤(2.2)的操作；/n(2.2)引入两个变量SUMA和SUMB，SUMA用于统计Xi取值为True的流量数据包的个数，SUMB用于统计...

【技术特征摘要】
1.一种工控拟态安全网关的多模判决方法，其特征在于，包括以下步骤：
(1)统计网关访问控制模块中有n个访问控制模块；
(2)对流量数据包进行多模判决后的结果为Xi(1<＝i<＝n)，Xi的取值为False或True，其中，False代表“阻断”，True代表“放行”：
(2.1)对于日志数据库中最新的T个流量数据访问序列，用Ei(1<＝i<＝n)表示每个网关访问控制模块的出错次数，Ei初始值为0，对于每个流量数据访问序列都要进行步骤(2.2)的操作；
(2.2)引入两个变量SUMA和SUMB，SUMA用于统计Xi取值为True的流量数据包的个数，SUMB用于统计Xi取值为False的流量数据包的个数；若SUMA值为n，则放行流量数据包，进入步骤(2.3)；若SUMB值为n，则阻断流量数据包，并对下一个流量数据访问序列进行多模判决，直至完成对T个流量数据访问序列的多模判决；若SUMA>SUMB，表示放行流量数据包为正确处理，阻断流量数据包为错误处理，且错误处理的访问控制模块存在被攻击的风险，对其Ei值进行更新，即Ei＝Ei+1，进入步骤(2.3)；若SUMA<SUMB，则认为...

【专利技术属性】
技术研发人员：吴春明，陈双喜，姜鑫悦，邓伟，赵若琰，
申请(专利权)人：浙江大学，
类型：发明
国别省市：浙江;33