一种工控主机的网络安全防护实现方法及工控主机技术

本发明专利技术提供了一种工控主机的网络安全防护实现方法和工控主机，包括创建程序白名单库；创建工控协议白名单库：根据程序白名单库中的程序白名单过滤可执行程序，对所有网络工控协议报文进行解析分析，并与工控协议白名单库进行匹配，过滤网络工控协议；同时通过自学习，将自定义的工控协议选择性的添加至工控协议白名单库中；在工控网络中把工控安全和信息安全相结合，把工控白名单技术和指定工控协议分析相结合，特别是信息安全中的协议过滤技术，解决工控领域的安全问题。

An implementation method of network security protection of industrial control host and industrial control host

【技术实现步骤摘要】
一种工控主机的网络安全防护实现方法及工控主机
本专利技术涉及工控技术和信息安全
，具体地涉及一种工控主机的网络安全防护实现方法
技术介绍
与传统的信息安全相比，工控系统安全有其独特之处。工控系统初始采用的一般都是专用系统，其操作系统、通信协议也与一般的系统有很大差别，相较于开放的互联网环境，工控系统则比较独立，工业控制系统设计之初也是为了完成各种实时控制功能，并没有考虑到安全防护的问题。但随着计算机和网络技术的发展，随着“工业4.0”、“两化融”、“互联网+”的趋势到来，传统的工业控制系统网络安全(简称工控安全)问题已成为企业及国家安全面临的严峻挑战，受到越来越多的企业及政府关注，工业控制系统在经历很长一段时间的封闭状态之后已经开始发展起来，工控系统通过网络互联使自己暴露在互联网上，从而导致系统本身很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击，并且将会导致工控系统所控制的关键基础设施、重要系统等存在巨大的安全风险和隐患。工控系统终端安全防护现有的方法大多数只是获取操作系统的程序清单，形成操作系统白名单子库，只对程序和进程进行过滤，在通信方面则是对所有的协议和网络访问都全部放过，无法满足工控系统终端的安全防护。普通防火墙等信息安全技术，只是对网络通信进行过滤，对本地文件没有任何防护，因此，只有把工控安全的程序白名单技术和信息安全的工控协议过滤技术相结合，才能更好的解决工控系统安全领域的问题。信息安全领域传统的“老三样”为防火墙，入侵检测系统(IDS)和杀毒软件，其中防火墙主要基于源地址和目标地址、应用、协议以及每个IP包的端口来判断，做到了协议分析和拦截的功能。工控终端领域常用的程序白名单模式是指规则中设置允许运行的名单列表，其意义是“安全的”、“被允许的”，“应用程序进程白名单”是一组应用程序名单列表，只有在此列表中的应用程序是被允许在系统中运行，之外的任何程序都不被允许运行。公开号为CN201810288807的专利申请公开了一种基于操作系统类型的程序白名单服务方法及系统，该方法主要是创建不同操作系统版本对应的不同程序白名单库，把主机所有的现有文件都笼统的汇总在一起，这种做法无法区分系统进程，应用类进程等，对所有程序一概而论，而且对操作系统版本的依赖性很大；同时该专利也未涉及程序启动后的联网行为，因此相对比较片面。公开号为CN107491697A的专利申请基于动态白名单的服务器安全维护方法，该方法同样提出程序白名单的概念，做到了内存保护功能，防止内存溢出，但只是针对已经运行了的程序进行了溢出保护，一旦某些注入进程躲过白名单的检测运行起来，则很难达到防护效果；同时该专利也未涉及程序启动后的联网行为，同样会有安全隐患。公开号为CN105141596A的专利申请一种支持可扩展协议检测的工控防火墙实现方法，该方法讲述了工控防火墙协议扩展方法，但是协议过滤只是边界防护，功能主要体现在网络层的转发上，而对于需要强大计算能力的应用层数据的处理则毫无办法，对于频繁变异的应用安全问题也无法满足要求。
技术实现思路
(一)专利技术目的本专利技术的目的是提供一种工控主机的网络安全防护实现方法和工控主机，在工控网络中把工控安全和信息安全相结合，把工控白名单技术和指定工控协议分析相结合，特别是信息安全中的协议过滤技术，旨在解决工控领域的安全问题，同时提供一种程序白名单和可扩展协议白名单工控主机。(二)技术方案为解决上述问题，本专利技术工控主机的网络安全防护实现方法，包括如下步骤：创建程序白名单库：对工控主机操作系统的所有文件进行扫描并记录；对操作系统所启动的服务和进程信息搜集并记录；对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库；创建工控协议白名单库：对所有的工控协议进行分类，得到基础工控协议；对基础工控协议进行自定义，得到自定义的工控协议；将基础工控协议和自定义工控协议存储至工控协议白名单库；对基础工控协议和自定义的工控协议进行配置生成规则，存储至工控协议白名单规则库；根据程序白名单库中的程序白名单过滤可执行程序，对所有网络工控协议报文进行解析分析，并与工控协议白名单库进行匹配，过滤网络工控协议；同时通过自学习，将自定义的工控协议选择性的添加至工控协议白名单库中。进一步的，对工控主机操作系统的所有文件进行扫描并记录具体包括：对工控主机操作系统的PortableExecutable格式文件、ELF格式的文件、系统主要进程，应用程序和服务信息进行全盘或者选择性扫描，记录下文件名、进程名和路径信息。进一步的，对工控协议进行自定义，得到自定义的工控协议具体包括：基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议。进一步的，根据程序白名单库中的程序白名单过滤可执行程序，具体包括：如果可执行程序在程序白名单库中，则视为此程序安全，允许执行；如果可执行程序不在程序白名单库中，则通过配置生成的规则判定，选择放过执行程序、放过执行程序并报警或者拦截执行程序并报警；进一步的，对网络工控协议报文进行分析，并与工控协议白名单库进行匹配，过滤网络工控协议具体包括：对所有的网络工控协议报文进行协议解析和分析，得到网络工控协议报文的协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征，并将解析和分析的结果与工控协议白名单进行匹配，拦截非工控协议白名单的网络工控协议报文，对拦截的网络工控协议报文进行防火墙处理或程序联动。一种工控主机，包括处理器，适用于实现各指令；以及存储设备，适于存储多条指令，所述指令适于由处理器加载并执行：创建程序白名单库：对工控主机操作系统的所有文件进行扫描并记录；对操作系统所启动的服务和进程信息搜集并记录；对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库；创建工控协议白名单库：对所有的工控协议进行分类，得到基础工控协议；对基础工控协议进行自定义，得到自定义的工控协议；将基础工控协议和自定义工控协议存储至工控协议白名单库；对基础工控协议和自定义的工控协议进行配置生成规则，存储至工控协议白名单规则库；根据程序白名单库中的程序白名单过滤可执行程序，对所有网络工控协议报文进行解析分析，并与工控协议白名单库进行匹配，过滤网络工控协议；同时通过自学习，将自定义的工控协议选择性的添加至工控协议白名单库中。进一步的，对工控主机操作系统的所有文件进行扫描并记录具体包括：对工控主机操作系统的PortableExecutable格式文件、ELF格式的文件、系统主要进程，应用程序和服务信息进行全盘或者选择性扫描，记录下文件名、进程名和路径信息。进一步的，对工控协议进行自定义，得到自定义的工控协议具体包括：基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议。(三)有益效果本本文档来自技高网...

【技术保护点】
1.一种工控主机的网络安全防护实现方法，其特征在于，包括如下步骤：/n创建程序白名单库：对工控主机操作系统的所有文件进行扫描并记录；对操作系统所启动的服务和进程信息搜集并记录；对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库；/n创建工控协议白名单库：对所有的工控协议进行分类，得到基础工控协议；对基础工控协议进行自定义，得到自定义的工控协议；将基础工控协议和自定义工控协议存储至工控协议白名单库；对基础工控协议和自定义的工控协议进行配置生成规则，存储至工控协议白名单规则库；/n根据程序白名单库中的程序白名单过滤可执行程序，对所有网络工控协议报文进行解析分析，并与工控协议白名单库进行匹配，过滤网络工控协议；同时通过自学习，将自定义的工控协议选择性的添加至工控协议白名单库中。/n

【技术特征摘要】
1.一种工控主机的网络安全防护实现方法，其特征在于，包括如下步骤：
创建程序白名单库：对工控主机操作系统的所有文件进行扫描并记录；对操作系统所启动的服务和进程信息搜集并记录；对记录的上述信息进行hash值计算后存储为不同类别的程序白名单库文件并插入至程序白名单库；
创建工控协议白名单库：对所有的工控协议进行分类，得到基础工控协议；对基础工控协议进行自定义，得到自定义的工控协议；将基础工控协议和自定义工控协议存储至工控协议白名单库；对基础工控协议和自定义的工控协议进行配置生成规则，存储至工控协议白名单规则库；
根据程序白名单库中的程序白名单过滤可执行程序，对所有网络工控协议报文进行解析分析，并与工控协议白名单库进行匹配，过滤网络工控协议；同时通过自学习，将自定义的工控协议选择性的添加至工控协议白名单库中。


2.根据权利要求1所述的一种工控主机的网络安全防护实现方法，其特征在于，对工控主机操作系统的所有文件进行扫描并记录具体包括：
对工控主机操作系统的PortableExecutable格式文件、ELF格式的文件、系统主要进程，应用程序和服务信息进行全盘或者选择性扫描，记录下文件名、进程名和路径信息。


3.根据权利要求2所述的一种工控主机的网络安全防护实现方法，其特征在于，对工控协议进行自定义，得到自定义的工控协议具体包括：
基于网络工控协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征自定义工控协议。


4.根据权利要求3所述的一种工控主机的网络安全防护实现方法，其特征在于，根据程序白名单库中的程序白名单过滤可执行程序，具体包括：如果可执行程序在程序白名单库中，则视为此程序安全，允许执行；如果可执行程序不在程序白名单库中，则通过配置生成的规则判定，选择放过执行程序、放过执行程序并报警或者拦截执行程序并报警。


5.根据权利要求4所述的一种工控主机的网络安全防护实现方法，其特征在于，对网络工控协议报文进行分析，并与工控协议白名单库进行匹配，过滤网络工控协议具体包括：
对所有的网络工控协议报文进行协议解析和分析，得到网络工控协议报文的协议类型、网络工控协议IP信息、端口号信息和网络工控协议报文的指纹特征，并将解析和分析的结果与工控协议白名单进行匹配，拦截非工控协议白名单的网络工控协议报文，对拦截的网络工控协议报文进行防火墙处理或程序...

【专利技术属性】
技术研发人员：范雷，
申请(专利权)人：长扬科技北京有限公司，
类型：发明
国别省市：北京;11