工业网络内生安全边界防护方法、设备及架构技术

本发明专利技术涉及一种工业网络内生安全边界防护方法、设备及系统，通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。本发明专利技术针对工业网络边界防护设备面临的安全威胁，结合拟态防御技术，将过滤审查功能剥离出来，通过异构和冗余过滤审查执行体，缓解工业网络边界防护设备自身未知漏洞或后门所带来的不确定性威胁。

【技术实现步骤摘要】
工业网络内生安全边界防护方法、设备及架构
本专利技术属于工业网络边界防护
，特别涉及一种工业网络内生安全边界防护方法、设备及系统。
技术介绍
工业控制系统普遍采用了边界防护手段来对自身进行防护，在数字化、智能化、网络化的发展趋势下，网关、防火墙等边界防护设备直接暴露于连接边界。工业网络边界防护是保护工业控制系统的一道重要防线，为工业控制网络内部各区域的连接提供访问控制和流量过滤，实现不同安全级别网络的隔离与信息交换。然而，由于其开发过程中产生的漏洞无法避免，而出于战略目的预留的后门通常也难以检测，再加上边界防护设备在工业控制系统大规模长期静态部署的特性，使得工业控制系统的安全时刻面临威胁。目前常规的工业网络边界防护设备的自身安全依赖于精确的威胁特征，只能用来应对“已知的风险”，无法应对“未知的威胁”。而部署的静态性、防护逻辑的相似性、设备的单一性造成其在网络攻防中始终处于被动的局面。一些关键基础设施的防护设备可能存在未知的漏洞或被植入了后门。工业场景下大规模长期部署且极少变动的特性也使得一些简单变换的方法产生的防御效果增益只能随时间逐渐降低，且无法快速收敛。工业网络边界防护技术主要实现端到端访问控制、协议/命令/控制参数审查、网络异常行为检测、主机恶意扫描防护、DoS攻击防御、中间人欺骗防御等，并通过防护日志及管理日志，来审计各种安全事件。一般工作流程可以简化为“输入-处理-输出”模型(Inputs-Process-Outputs,IPO模型)，其中过滤审查处理环节被定义为功能执行体。功能执行体的漏洞/后门可能会被攻击者扫描识别并加以利用，按照上述的攻击链路发动网络攻击。工业网络边界防护设备在工作时处于网络边界，它的多个网卡分别监听两个不同的网络。子网上的任何数据包都可以到达边界防护设备，并通过操作系统的协议栈传递给过滤审查程序。所以工业网络边界防护设备对于两侧网络上的任意机器(包括上位机和控制器等)来说都是攻击可达的，而且攻击面主要集中在操作系统对数据包的接收、传递和转发的通道，以及过滤审查程序对数据包的处理过程。由于常规架构和配置方法固有的静态性，目前边界防护技术主要集中于加强静态对抗能力，工业网络边界防护设备主要的不足是防御攻击时依赖于精确的先验知识，部署后的长期处于确定性状态，攻击者可以反复的尝试攻击，一旦找到缺陷(例如过滤审查逻辑缺陷使得伪合法的恶意载荷数据包逃脱检查)，后续可以一直有效利用；面临的主要威胁是可能被植入基于特定载荷触发的漏洞/后门，例如向外部传送工业控制信息或者向内部网络传递非法的控制指令等。而工业网络边界防护设备的静态性造成此类漏洞/后门可以长期有效触发，部署的单一性造成缺乏对比，难以及时察觉，相似性造成一道防线被突破等同于全线被突破。
技术实现思路
为此，本专利技术提供一种工业网络内生安全边界防护方法及系统，针对工业网络边界防护设备面临的安全威胁，结合拟态防御技术，将过滤审查功能剥离出来，通过异构和冗余过滤审查执行体，缓解工业网络边界防护设备自身未知漏洞或后门所带来的不确定性威胁。按照本专利技术所提供的设计方案，提供一种工业网络内生安全边界防护方法，包含如下内容：通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。作为本专利技术工业网络内生安全边界防护方法，进一步地，若干异构过滤审查执行体相互隔离，独立执行对接收到的数据流量的过滤审查。作为本专利技术工业网络内生安全边界防护方法，进一步地，过滤审查执行体对数据流量进行过滤审查中，首先采用哈希算法对数据流量进行预处理，然后对数据流量中源目的IP、端口号、MAC地址、通用协议解析、工业控制协议识别及控制参数进行检查。作为本专利技术工业网络内生安全边界防护方法，进一步地，过滤审查还包含：针对检查通过的数据流量，根据当前网络情况选择是否进行数据包重构，以实现与现场控制网络之间的数据传输。作为本专利技术工业网络内生安全边界防护，进一步地，数据包重构包含：修改数据流量中TCP协议握手包的协商MTU，重新计算校验和并填充数据。作为本专利技术工业网络内生安全边界防护，进一步地，对过滤审查执行体输出的审查结果，首先进行归一化处理，获取格式一致的审查结果数据；然后，采用大数则多判决或动态权重方式对一致审查结果数据进行拟态裁决，确定是否向现场控制网络转发数据的最终表决结果并甄别异常执行体。作为本专利技术工业网络内生安全边界防护，进一步地，利用不同版本物理机及不同操作系统构成多个功能等价的异构过滤审查执行体，将该多个功能等价的异构过滤审查执行体放置于异构执行体池中；从异构执行体池中动态选取若干用于在线对数据流量进行过滤审查的异构过滤审查执行体，并将下线的异常执行体清洗后重新防御异构执行体池中。进一步地，本专利技术还提供一种工业网络内生安全边界防护系统，包含：数据收集模块、过滤审查模块和拟态裁决模块，其中，数据收集模块，用于通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；过滤审查模块，用于利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；拟态裁决模块，用于对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。进一步地，本专利技术还提供一种工业网络内生安全边界防护架构，其特征在于，包含：设置于操作系统和上层应用之间的拟态插件层，该拟态插件层包括：代理插件单元、拟态表决单元、动态调度单元及感知决策单元，其中，代理插件单元，作为数据流量出入的第一关口，将接收到的外部数据包分发给若干异构过滤审查执行体，将若干异构过滤审查执行体输出反馈给拟态表决单元；并将拟态表决单元判定的数据流量对外输出；拟态表决单元，通过对比若干异构过滤审查执行体输出结果进行拟态裁决，并将裁决结果反馈给代理插件单元和感知决策单元；动态调度单元，通过预先设置的执行体调度策略来动态管理异构执行池中在线过滤审查的执行体；感知决策单元，通过收集运行过程中异常状态信息进行环境感知并依据裁决结果甄别异常执行体，通过负反馈机制将异常执行体数据反馈给动态调度单元。作为本专利技术工业网络内生安全边界防护架构，进一步地，所述动态调度单元包含与代理插件单元和拟态表决单元连接的控制器，及与控制器连接的调度器；所述控制器依据反馈数据选取相应执行体调度策略并通过调度器对在线过滤审查执行体进行动态调度操作，其中，执行体调度策略至少包含：依据生命周期对执行体重新初始化策略及异常执行体离线清洗策略。本专利技术的有益效果：本专利技术解决本文档来自技高网...

【技术保护点】
1.一种工业网络内生安全边界防护方法，其特征在于，包含如下内容：/n通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；/n利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；/n对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。/n

【技术特征摘要】
1.一种工业网络内生安全边界防护方法，其特征在于，包含如下内容：
通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；
利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；
对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。


2.根据权利要求1所述的工业网络内生安全边界防护方法，其特征在于，若干异构过滤审查执行体相互隔离，独立执行对接收到的数据流量的过滤审查。


3.根据权利要求1所述的工业网络内生安全边界防护方法，其特征在于，过滤审查执行体对数据流量进行过滤审查中，首先采用哈希算法对数据流量进行预处理，然后对数据流量中源目的IP、端口号、MAC地址、通用协议解析、工业控制协议识别及控制参数进行检查。


4.根据权利要求1或3所述的工业网络内生安全边界防护方法，其特征在于，过滤审查还包含：针对检查通过的数据流量，根据当前网络情况选择是否进行数据包重构，以实现与现场控制网络之间的数据传输。


5.根据权利要求4所述的工业网络内生安全边界防护方法，其特征在于，数据包重构包含：修改数据流量中TCP协议握手包的协商MTU，重新计算校验和并填充数据。


6.根据权利要求4所述的工业网络内生安全边界防护方法，其特征在于，对过滤审查执行体输出的审查结果，首先进行归一化处理，获取格式一致的审查结果数据；然后，采用大数则多判决或动态权重方式对一致审查结果数据进行拟态裁决，确定是否向现场控制网络转发数据的最终表决结果并甄别异常执行体。


7.根据权利要求1所述的工业网络内生安全边界防护方法，其特征在于，利用不同版本物理机及不同操作系统构成多个功能等价的异构过滤审查执行体，将该多个功能等价的异构过滤审查执行体放置于异构执行体池中；从异构执行体池...

【专利技术属性】
技术研发人员：余飞，魏强，耿洋洋，王允超，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南;41