本发明专利技术提供了一种工控网络主动防御方法,其利用SDN技术和状态检测技术,创建基于SDN交换机的访问控制过程,通过对镜像流量进行DPI分析并下发Openflow流量控制规则给SDN交换机,使流量解析过程与工控网络通信过程分离,解决时延和扰动的问题。其将工控网络中的节点交换机平替为由SDN控制器和SDN交换机组成的交换设备,从而实现以网络边界为起点、覆盖横向移动的安全访问控制流程,具体步骤如下:a、创建SDN控制器和SDN交换机;b、将SDN交换机的流量镜像给SDN控制器;c、此时的SDN交换机处于全通模式,SDN控制器开启学习模式,将流量内容转换为流量模型;d、SDN控制器切换至防御模式,通过策略生成,将流量模型自动转换为访问控制策略并下发给SDN交换机;e、工控网络更新时,通过更新防御模式下的流量模型完成访问控制策略的更新。略的更新。略的更新。
【技术实现步骤摘要】
一种工控网络主动防御方法与系统
[0001]本专利技术涉及工控网络主动防御的
,具体为一种工控网络主动防御方法,本专利技术还提供了一种工控网络主动防御系统。
技术介绍
[0002]当前,信息化建设的重点已经由原来的基础建设向深化应用进一步发展;在网络行为控制技术中,传统的防火墙技术难以应对迅速增长的云计算、网络虚拟化等服务产业,异军突起的微隔离技术逐渐取代防火墙技术在云服务中的应用地位,使得基于ip的防护手段逐渐转向以业务id为核心的防护模式。
[0003]在工控网络系统中,传统防火墙无法发挥出应有的作用,以协议为主的防护技术得到广泛应用,而在此基础上,工控网络又要求低延时、低扰动,因此现有的串接模式部署的安全设备均存在自身阻断工控网络的风险。
[0004]现有的工控防火墙设备主要实现原理如下:
[0005]协议集中分析
[0006]在工控防火墙中,任何流量在经过时,都必须要走DPI通道,完成对流量包的深度协议分析,而每次进行DPI分析时都必须载入整个协议分析库,一旦协议分析库随着积累变得过于庞大,会导致分析效率降低,进而拉长传输时延,引起工控网络的扰动,因此在工控现场使用中,工控防火墙只能开启特定协议进行深度分析,起到特化作用,也就要求工控网络不能出现更新。
[0007]深度介入工控网络
[0008]在工控网络中,工控防火墙是以串接形式介入的,这表示工控防火墙会影响甚至是改变工控网络结构,任何流量在经过时,都必须要走防火墙内部分析通道,这个过程在工控网络中是非常致命的,一旦防火墙出现自身应用扰动,都可能会引起本次通信链接中断,继而导致整个网络传输中断,出现生产事故。
[0009]固定的访问控制策略
[0010]工控防火墙的访问控制策略基于协议分析库,一旦设定并开启访问控制策略,整个工控网络就会被固定,工控网络更新时都必须先更新工控防火墙的协议分析库和访问控制策略,否则新的工控网络将无法得到及时的应用。
技术实现思路
[0011]针对上述问题,本专利技术提供了一种工控网络主动防御方法,其利用SDN技术和状态检测技术,创建基于SDN交换机的访问控制过程,通过对镜像流量进行DPI分析并下发Openflow流量控制规则给SDN交换机,使流量解析过程与工控网络通信过程分离,解决时延和扰动的问题。
[0012]一种工控网络主动防御方法,其特征在于:其将工控网络中的节点交换机平替为由SDN控制器和SDN交换机组成的交换设备,从而实现以网络边界为起点、覆盖横向移动的
安全访问控制流程,具体步骤如下:
[0013]a、创建SDN控制器和SDN交换机,两者分列为两台安全设备,SDN控制器主要用于流量分析和策略下发,SDN交换机可以使用支持openflow协议的主机或者交换机;
[0014]b、将SDN交换机的流量镜像给SDN控制器;
[0015]c、此时的SDN交换机处于全通模式,SDN控制器开启学习模式,学习模式下,SDN控制器对镜像流量进行流量建模,工控网络具有明显的时间作业特点,因此将时间作为状态检测技术的第一关键衡量要素,五元组作为白名单基础,协议作为是否开启DPI的依据;
[0016]d、SDN控制器切换至防御模式,通过策略生成,将流量模型自动转换为访问控制策,访问控制策略经由open flow协议下发至SDN交换机,替代SDN交换机上原本的全通模式;
[0017]e、防御模式下通过流量模型完成工控网络更新,SDN控制器依据流量模型中的时间参数,对五元组对应的两端资产进行心跳检测,一旦发现资产断链,则更新访问控制策略;工控网络中新增资产时,SDN控制器可以手动建立五元组流量模型以及时间关键要素,并选择开启DPI协议分析,镜像流量分析时,自动更新流量模型中缺失的流量方向、协议、协议指令,此时,通过手动生成访问控制策略,完成对SDN交换机的控制规则更新,无须关闭防御模式。
[0018]其进一步特征在于:
[0019]流量模型的访问过程控制主要以时间为关键要素,步骤e的防御模式下,SDN控制器分析镜像流量,包括如下步骤:
[0020]A若流量接入时间在流量模型中不存在,则下发策略直接拒绝本次通信,若存在,则进入五元组匹配;
[0021]B五元组不匹配则下发策略直接拒绝本次通信,若匹配,则开启DPI;
[0022]C协议不匹配,则证明该流量模型是手动创建的,更新流量模型中协议和协议指令,并更新下发相应的访问控制策略,若匹配,则进入指令分析;
[0023]D协议指令数据长度与流量模型的不一致,则下发策略直接拒绝本次通信。
[0024]所述SDN控制器和SDN交换机组成的交换设备是基于SDN技术的交换设备,其不仅包括SDN交换机、同时支持能够使用openflow协议的api网关,其使得SDN控制器需要同时具备下发协议规则选择以及控制转发内容的能力,用于更新api网关的转发内容。
[0025]文中,DPI的全称为深度包检测,是对数据包负载进行实时分析的一类技术的总称。
[0026]一种工控网络主动防御系统,其特征在于,其包括:
[0027]流量模型;
[0028]SDN控制器;
[0029]SDN交换机;
[0030]访问控制策略;
[0031]DPI、
[0032]终端A、
[0033]终端B、
[0034]终端C、
[0035]以及状态检测;
[0036]终端A发出纵向流量给SDN交换机,所述SDN交换机的通过流量镜像将纵向流量转向成镜像流量给SDN控制器,之后SDN控制器对镜像流量进行流量建模,所述状态检测依据流量模型中的时间参数、对五元组对应的两端资产终端A和终端B进行心跳检测,五元组匹配则开启DPI,协议匹配后,访问控制策略通过,则终端A通过SDN交换机通过横向流量访问终端B;
[0037]工控网络中新增资产时,SDN控制器可以手动建立五元组流量模型以及时间关键要素,并选择开启DPI协议分析,镜像流量分析时,自动更新流量模型中缺失的流量方向、协议、协议指令,此时,通过手动生成访问控制策略,完成对SDN交换机的控制规则更新,之后终端A通过完成访问控制策略的授权后、通过SDN交换机通过新增流量访问终端C,终端C为新增资产。
[0038]采用本专利技术后,其将流量分析与网络传输过程分离,在保证网络传输稳定性的同时,旁路部署的SDN控制器也能为实现主动防御提供可行性手段;其通过SDN交换机平替旧有网络交换设备,利用SDN控制器单独开辟流量分析平台,SDN控制器生成的流量模型取代工控防火墙的固定协议分析库,流量模型由于状态检测技术,可以实现实时更新。
附图说明
[0039]图1为专利技术的系统框架图;
[0040]图2为本专利技术的流量模型及访问过程控制流程示意图。
具体实施方式
[0041]一种工控网络主动防御方法,见图1和图2,其将工控网络中的节本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控网络主动防御方法,其特征在于:其将工控网络中的节点交换机平替为由SDN控制器和SDN交换机组成的交换设备,从而实现以网络边界为起点、覆盖横向移动的安全访问控制流程,具体步骤如下:a、创建SDN控制器和SDN交换机,两者分列为两台安全设备,SDN控制器主要用于流量分析和策略下发,SDN交换机可以使用支持openflow协议的主机或者交换机;b、将SDN交换机的流量镜像给SDN控制器;c、此时的SDN交换机处于全通模式,SDN控制器开启学习模式,学习模式下,SDN控制器对镜像流量进行流量建模,工控网络具有明显的时间作业特点,因此将时间作为状态检测技术的第一关键衡量要素,五元组作为白名单基础,协议作为是否开启DPI的依据;d、SDN控制器切换至防御模式,通过策略生成,将流量模型自动转换为访问控制策,访问控制策略经由open flow协议下发至SDN交换机,替代SDN交换机上原本的全通模式;e、防御模式下通过流量模型完成工控网络更新,SDN控制器依据流量模型中的时间参数,对五元组对应的两端资产进行心跳检测,一旦发现资产断链,则更新访问控制策略;工控网络中新增资产时,SDN控制器可以手动建立五元组流量模型以及时间关键要素,并选择开启DPI协议分析,镜像流量分析时,自动更新流量模型中缺失的流量方向、协议、协议指令,此时,通过手动生成访问控制策略,完成对SDN交换机的控制规则更新,无须关闭防御模式。2.如权利要求1所述的一种工控网络主动防御方法,其特征在于,流量模型的访问过程控制主要以时间为关键要素,步骤e的防御模式下,SDN控制器分析镜像流量,包括如下步骤:A若流量接入时间在流量模型中不存在,则下发策略直接拒绝本次...
【专利技术属性】
技术研发人员:袁键,吴志华,张锐,蔡艳林,陈夏裕,杨明勋,赵金香,
申请(专利权)人:江苏亨通信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。