【技术实现步骤摘要】
本专利技术涉及工控网络,尤其涉及一种基于虚拟化技术的工业控制网络安全互联系统。
技术介绍
1、工控网络是实现工业控制系统内工业设备间互连互通的网络,它能够将大量的工业设备接入互联网,从而进行生产状态的实时呈现和相关任务的下发,进而使得工业设备、工业生产线、员工、工厂、仓库、供应商、产品和客户紧密连接,共享工业生产全流程的各种要素资源。
2、工控网络需要各种网络协议,以实现各种工业设备的互连互通。由于工控网络受到严重的环境威胁,为保障工控网络环境的安全性,出现了网闸类安全产品以及入侵检测类安全产品。如中国专利cn201911079311.0中公开了一种基于工业协议解析的工控设备安全检测方法和系统,其中,工控设备安全检测方法包括:根据预设的多个工业协议分析类,将监听到的工控网络数据的第一特征信息写入对应的协议i d配置文件,其中,协议id配置文件与工业协议分析类相对应;根据写入第一特征信息的协议i d配置文件,确定后续监听到的各个工控网络数据所属的工业协议分析类;根据工业协议分析类,判断工控网络数据是否包括安全威胁特征信息;若判定工控网络数据包括安全威胁特征信息,则对工控网络数据进行安全预警。该技术方案用于解决现有技术中工控设备安全检测反应速度慢,识别不够准确的问题。
3、单纯的依靠入侵检测类安全产品,不能使得工控网络处于安全的环境中,无法有效的消除环境威胁。
技术实现思路
1、本专利技术的目的在于:提供一种基于虚拟化技术的工业控制网络安全互联系统,在外部网络和
2、为了实现上述目的,本专利技术采用了如下技术方案:一种基于虚拟化技术的工业控制网络安全互联系统,包括设置于宿主机上的虚拟化平台,虚拟化平台包括:
3、若干个虚拟机,其内部设置有数据解析与处理模块,数据解析与处理模块包括协议清洗子模块、特征识别子模块、安全隔离子模块和私有协议数据包子模块,协议清洗子模块用于对数据包进行协议解析并剥离应用协议,得到应用层数据,特征识别子模块用于识别应用层数据中是否存在安全威胁特征信息,安全隔离子模块用于将识别到安全威胁特征信息的应用层数据隔离至设定的虚拟机安全空间内,私有协议数据包子模块用于将未识别到安全威胁特征信息的应用层数据根据构建的私有协议进行封装,得到私有协议数据包;
4、数据引导模块,其用于实现宿主机物理网口和虚拟机虚拟网口的映射,并根据流表中的流表项进行数据包的匹配;
5、数据摆渡模块,其用于利用虚拟化平台的共享内存实现虚拟机之间的数据摆渡。
6、作为上述技术方案的进一步描述:
7、数据引导模块包括数据匹配子模块,数据匹配子模块用于将数据包与流表中的流表项进行匹配,匹配成功则执行对应流表项的动作集,匹配不成功则丢弃数据包。
8、作为上述技术方案的进一步描述:
9、数据摆渡模块还包括监听子模块,监听子模块用于检测一个虚拟机建立共享内存信息、传输私有协议数据包的过程是否结束,过程结束后发送通知信息至另外的虚拟机。
10、综上所述,由于采用了上述技术方案,本专利技术的有益效果是:
11、1、本专利技术中,一个a设备通过网络发送连接请求时,物理数据包通过数据引导模块导入对应的第一虚拟机中,第一虚拟机对物理数据包进行解析和处理,将存在安全威胁特征信息的数据隔离在安全空间内,不存在安全威胁特征信息的数据封装得到私有协议数据包,并利用虚拟化平台的共享内存将私有协议数据包摆渡至第二虚拟机,第二虚拟机对私有协议数据包进行行解析和处理,将私有协议数据包重新封装成标准的tcp/i p协议数据包,最后重新封装的数据包通过数据引导模块根据流表中的流表项匹配结果,发送至第二虚拟机对应的b设备,进入内部工控网络,在外部网络和工控网络边界处进行数据的过滤,基于虚拟化技术实现网络互联时的安全性。
12、2、本专利技术中,数据摆渡模块还包括调用设定子模块,调用设定子模块在私有协议数据包共享建立后,解密并删除标识符,发送调用指令至监听子模块,控制监听子模块发送通知信息至标识符对应的虚拟机。使得只有特定的虚拟机才会进行私有协议数据包的解析与处理,避免其他虚拟机的运行,避免造成的处理器和内存的占用,提高数据传输效率。
本文档来自技高网...【技术保护点】
1.一种基于虚拟化技术的工业控制网络安全互联系统,包括设置于宿主机上的虚拟化平台,其特征在于,所述虚拟化平台包括:
2.根据权利要求1所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于,所述数据引导模块包括数据匹配子模块,所述数据匹配子模块用于将数据包与流表中的流表项进行匹配,匹配成功则执行对应流表项的动作集,匹配不成功则丢弃数据包。
3.根据权利要求2所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于,所述数据摆渡模块还包括监听子模块,所述监听子模块用于检测一个虚拟机建立共享内存信息、传输私有协议数据包的过程是否结束,过程结束后发送通知信息至另外的虚拟机。
4.根据权利要求3所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于,所述数据解析与处理模块还包括标识子模块,所述标识子模块用于根据应用层数据使用标识符标识对应的私有协议数据包,所述标识符用于匹配特定的虚拟机。
5.根据权利要求4所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于,所述标识符为加密的字符串。
6.根据权
7.根据权利要求1所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于,所述虚拟机安全空间为预先在虚拟机的内核空间中隔离出来的可信执行环境。
...【技术特征摘要】
1.一种基于虚拟化技术的工业控制网络安全互联系统,包括设置于宿主机上的虚拟化平台,其特征在于,所述虚拟化平台包括:
2.根据权利要求1所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于,所述数据引导模块包括数据匹配子模块,所述数据匹配子模块用于将数据包与流表中的流表项进行匹配,匹配成功则执行对应流表项的动作集,匹配不成功则丢弃数据包。
3.根据权利要求2所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于,所述数据摆渡模块还包括监听子模块,所述监听子模块用于检测一个虚拟机建立共享内存信息、传输私有协议数据包的过程是否结束,过程结束后发送通知信息至另外的虚拟机。
4.根据权利要求3所述的一种基于虚拟化技术的工业控制网络安全互联系统,其特征在于...
【专利技术属性】
技术研发人员:翁志勇,刘亚峰,王秀祥,陶伟豪,李帅,王诗淇,
申请(专利权)人:苏州朗捷通智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。