一种基于端口镜像和区块链的产线安全防护方法技术

一种基于端口镜像和区块链的产线安全防护方法，其特征在于，包括：基于端口镜像的产线安全日志生成技术，采用三种端口镜像方法获取产线数据通信内容，可进行实时查看和历史安全数据回放；基于区块链和智能合约的产线安全日志分布式存储及管理，采用开源超级账本框架Fabric搭建可信产线区块链平台环境，利用区块链和智能合约，实现产线安全日志分布式存储及管理。本发明专利技术基于端口镜像技术把流经产线设备一个或多个端口的网络流量数据复制到另外一个或者多个端口进行观察，从中分析和提取出相关产线设备协议报文的核心内容存储在安全日志中；并采用先进的分布式账本（区块链）和智能合约技术来防止攻击者对产线安全日志的恶意篡改、删除和覆盖等破坏，提高产线日志数据的安全性。安全性。安全性。

【技术实现步骤摘要】
一种基于端口镜像和区块链的产线安全防护方法


[0001]本专利技术涉及一种产线网络安全防护技术，尤其是一种产线安全日志生成方法和一种保证日志安全存储的安全日志分布式存储及管理，具体地说是一种基于端口镜像和区块链的产线安全防护方法。

技术介绍

[0002]产线是指以自动机械来完成生产制造流程的一个制造组合方式，广泛应用于大批量生产的制造、冶金、化工、食品加工等行业，其网络是工业互联网在生产自动化过程中的应用。由于工业互联网在设计之初没有给予安全性足够的重视，随着网络的规模不断扩大、功能复杂度不断提升、其开放程度也不断增加，其安全隐患造成严重损失的可能性也随之升高。对于产线安全管理而言，缺少安全审计使得记录数据不能长时间保存，一旦出现安全事件，很难根据记录进行追溯。基于此，产线安全防护具有相当的必要性。
[0003]在本专利技术中端口镜像是实现产线日志安全防护的关键技术之一，具体过程是将处于网络中的产线设备的一个或若干个端口的通信数据报文镜像到一个或若干个端口，通过对需要监听或防护的设备的端口进行配置，以实现将某个端口上的数据报拷贝到另外一个端口。
[0004]端口镜像技术可细分为三种：（1）本地镜像。本地镜像的目的端口就在源端口的同一台设备上，是一种受到大面积支持和应用的镜像方法。（2）远程镜像。远程镜像的目的端口不和源端口在同一台设备上，所以需要将源端口或者是源虚拟局域网上的报文通过数据链路层或者网络层的网络复制到在另一台设备上的目的端口。（3）流镜像。流镜像具备过滤的功能，它的过滤功能基于访问控制列表实现。其优越性来自于通过支持流分类技术，使得用户能够灵便地设置过滤条件，这样就可以细致地对报文实行区分，然后就可以将区分过的报文复制传送给目的端口进行分析，做到精准控制镜像报文。本专利技术综合应用三种端口镜像方法获取产线数据通信内容，可进行实时查看和历史产线安全数据回放。

技术实现思路

[0005]本专利技术的目的是针对现有产线网络所存在的安全问题，提出了一种基于端口镜像和区块链的安全防护方法。
[0006]本专利技术的技术方案是：一种基于端口镜像和区块链的产线安全防护方法，其特征在于，包括基于端口镜像的安全日志生成技术和基于区块链和智能合约的产线安全日志分布式存储及管理技术。
[0007]其中，基于端口镜像的产线安全日志生成技术，包含以下步骤：（1）日志采集，采用端口镜像技术，将一个端口的网络流量数据复制到另外的端口上观察；（2）日志分析，捕获报文后从数据报文中分析和提取出相关设备协议报文。（3）日志存储，采用开源超级账本框架Fabric搭建可信产线区块链平台环境，利用区块链和智能合约，实现产线安全日志分布式存储及管理。
[0008]进一步，所述步骤（1）中，在产线安全边缘计算单元上，采用端口镜像的技术，把流经产线设备一个或多个端口的网络流量数据复制到另外一个或者多个端口进行观察，并从中分析和提取出相关设备协议报文（如PROFINET、FINS和CAN）的核心内容（包括对PLC设备的控制指令等）存储在安全日志中。本专利技术采用三种技术实现产线设备端口镜像技术：（1）利用Linux系统中的tcpdump工具对指定端口进行抓包转存，具备过滤数据包的功能、保存数据包于文件的功能，用于将安全日志直接保存于本地。（2）利用OpenWRT的一个port
‑
mirroring开源软件，使用pcap实现设备端口镜像，并发到指定IP地址上，用于将日志保存在远程服务器上。（3）利用UNIX内核包过滤防火墙netfilter的用户层iptables程序，配置各种数据包处理规则，包括包过滤、网络地址转换等。利用iptables的一个扩展TEE克隆数据包并发给指定目标，用于将日志集中保存于特定设备进一步，所述步骤（2）中，基于Winpcap报文捕获函数库来进行抓包和报文解析。通过端口镜像(SPAN)，交换机将交换端口的数据包映射到指定的端口上，提供给接在这一端口上的产线监控设备。产线监控设备上的抓包模块完成抓取某些数据包。在Winpcap包中，通过获取网卡列表，设置网卡工作模式，通过嗅探器的方法捕获网络中的数据。这一模块是实现产线网络监控的根本模块，有了网络中的数据包，才可以对数据进行分析解析，才可以存储管理，实现监控。抓包模块，主要通过调用WinPcap包函数pcap_findalldevs获取设备网卡信息，再通过pcap_loop函数执行循环捕获数据操作，并调用packet_handler回调函数，最后使用pcap_close结束捕获。解析模块就是对获取的数据包进行解析，通过协议的分析检测出每个数据包的类型和特征。通过这一模块，可以从封装好的数据包中获取数据包的源IP地址、目的IP地址、源端口、目的端口、数据包长度等报文信息。解析模块主要通过对从抓包模块中获取的pkt_data的数据包文件进行解析来获取需要的数据信息。根本思想是通过对数据包结构与协议标准的研究，通过指针偏移来寻找和解析相关需要数据。
[0009]进一步，所述步骤（3）中，采用开源超级账本框架Fabric搭建可信产线区块链平台环境。利用区块链和智能合约，实现产线安全日志分布式存储及管理。在外部与智能合约交互上可以分为发送交易和消息调用，其中发送交易会修改区块链数据，修改时会产生一笔交易记录，主要用于日志上链；消息调用主要是用于查询区块链上的数据，主要用于日志的获取上。
[0010]本专利技术的有益效果是：1.基于深度数据包解析引擎，对产线设备协议指令级控制做到实时和精准的识别，用于对被监控流量进行故障定位、流量分析、日志备份以及基于访问数据分析的操作行为审计。
[0011]2.基于区块链实现产线安全防护。支持分布式安全防护功能。采用先进的分布式账本（区块链）和智能合约技术来防止攻击者对产线安全日志的恶意篡改、删除和覆盖等破坏。
附图说明
[0012]图1为本专利技术的产线安全防护方法流程图。
[0013]图2为本专利技术的产线安全日志区块链存储技术路线。
具体实施方式
[0014]下面结合附图和实施例对本专利技术做进一步详细描述。
[0015]如图1
‑
2所示。
[0016]一种基于端口镜像和区块链的产线安全防护方法，包括基于端口镜像的产线安全日志生成技术和基于区块链和智能合约的产线安全日志分布式存储及管理技术。
[0017]图1为本专利技术的产线安全防护方法流程图，它包含以下步骤：（1）产线安全日志采集，采用端口镜像技术，将产线设备一个端口的网络流量数据复制到另外的端口上观察；（2）产线安全日志分析，捕获报文后从数据报文中分析和提取出相关设备协议报文。（3）产线安全日志存储，采用开源超级账本框架Fabric搭建可信产线区块链平台环境，利用区块链和智能合约，实现产线安全日志分布式存储及管理。
[0018]进一步，所述步骤（1）中，在产线安全边缘计算单元上，采用端口镜像的技术，把流经产线设备一个或多个端口的网络流量数据复制到另外一个或者多个端口进行观察，并从中分析和本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于端口镜像和区块链的产线安全防护方法，其特征是，包括基于端口镜像的产线安全日志生成和基于区块链和智能合约的安全日志分布式存储及管理；所述基于端口镜像的产线安全日志生成采用三种端口镜像方法获取产线数据通信内容，把流经产线设备一个或多个端口的网络流量数据复制到另外一个或者多个端口进行观察，并从中分析和提炼取出相关产品设备协议报文的核心内容存储在日志中；所述基于区块链和智能合约的产线安全日志分布式存储及管理，采用开源超级账本框架Fabric搭建可信产线区块链平台环境，利用区块链和智能合约，实现产线安全日志分布式存储及管理。2.根据权利要求1所述的产线安全防护方法，其特征是，在产线安全边缘计算单元上，采用端口镜像的技术，把流经产线设备一个或多个端口的网络流量数据复制到另外一个或者多个端口进行观察，采用三种技术实现端口镜像技术，分别适用于将产线安全日志直接保存于本地、将安全日志保存在远程服务器上和将安全日志集中保存于特定设备的情况。3.根据权利要求1所述的产线安全防护方法，其特征是，基于区块链和智能合约的产线安全日志分布式存储及管理，采用开源超级账本框架Fabric搭建可信产线区块链平台环；利用区块链和智能合约，实现产线安全日志分布式存储及管理；在外部与智能合约交互上分为发送交易和消息调用，其中发送交易会修改区块链数据，修改时会产生一笔交易记录，主要用于安全日志上链；消息调用主要是用于查询区块链上的数据，主要用于安全日志的获取上。4.根据权利要求1所述的产线安全防护方法，其特征是，实现产线设备端口镜像技术包括：（1）利用Linux系统中的tcpdump工具对指定端口进行抓包转存，具备过滤数据包的功能、保存数据包于文件的功能，用于将安全日志直接保存于本地；（2）利用OpenWRT的一个port
‑
mirroring开源软件，使用pcap实现设备端口镜像，并发到指定IP地址上，用于将日志保存在远程服务器上；（3）利用UNIX内核包过滤防火墙netfilter的用户层iptables程序，配置各...

【专利技术属性】
技术研发人员：黄健，韩皓，薛善良，方丹枫，王彩亦，闫长阳，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：