本發(fā)明提供一種工業(yè)控制動(dòng)態(tài)防御方法，該方法包括：清洗工業(yè)網(wǎng)絡(luò)流量數(shù)據(jù)以得到工業(yè)控制協(xié)議流量數(shù)據(jù)；對(duì)工業(yè)控制協(xié)議流量數(shù)據(jù)進(jìn)行判斷；記錄未知的工業(yè)控制協(xié)議的協(xié)議數(shù)據(jù)格式，并獲取工業(yè)控制協(xié)議的數(shù)據(jù)區(qū)間范圍；根據(jù)區(qū)間范圍進(jìn)行協(xié)議內(nèi)容智能填充，并整合協(xié)議格式和填充后的數(shù)據(jù)以形成學(xué)習(xí)結(jié)果；根據(jù)學(xué)習(xí)結(jié)果，生成動(dòng)態(tài)變化的白名單；根據(jù)白名單，進(jìn)行工業(yè)控制動(dòng)態(tài)防御。本發(fā)明還提供了一種工業(yè)控制動(dòng)態(tài)防御系統(tǒng)。本發(fā)明具有精準(zhǔn)識(shí)別工業(yè)私有協(xié)議、兼容性強(qiáng)、防護(hù)精度高等優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及工業(yè)控制領(lǐng)域，并且更具體地涉及一種工業(yè)控制動(dòng)態(tài)防御方法和系統(tǒng)。

背景技術(shù)

工業(yè)控制技術(shù)是一種運(yùn)用計(jì)算機(jī)、控制理論、儀器儀表和其它信息技術(shù)，對(duì)工業(yè)生產(chǎn)過程實(shí)現(xiàn)檢測(cè)、控制、優(yōu)化、調(diào)度、管理和決策，達(dá)到增加產(chǎn)量、提高質(zhì)量、降低消耗、確保安全等目的的綜合性技術(shù)。

通常，工業(yè)控制領(lǐng)域中的應(yīng)用要滿足如下要求：可用性、完整性、保密性，而且工業(yè)設(shè)備的設(shè)計(jì)通常是按照可用性優(yōu)先的原則進(jìn)行設(shè)計(jì)，這種情況制約了工業(yè)環(huán)境中的數(shù)據(jù)保密性，存在重大的安全隱患。在工業(yè)環(huán)境中發(fā)生的攻擊事件層出不窮，我國(guó)的國(guó)家基礎(chǔ)設(shè)施也發(fā)生過多起被攻擊的事件。在這些國(guó)家基礎(chǔ)設(shè)施發(fā)生重大事件的時(shí)候，均有傳統(tǒng)網(wǎng)絡(luò)防護(hù)設(shè)備的介入，但是無(wú)法針對(duì)我國(guó)工業(yè)環(huán)境進(jìn)行防御，通過對(duì)兩者技術(shù)要點(diǎn)的研究發(fā)現(xiàn)存在如下幾個(gè)問題：(1)在工業(yè)環(huán)境中，傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備不能識(shí)別工業(yè)協(xié)議；(2)在工業(yè)環(huán)境中，傳統(tǒng)的防護(hù)手段是以保密性優(yōu)先的，這樣極大的阻礙了工業(yè)生產(chǎn)的正常運(yùn)行，例如正在運(yùn)轉(zhuǎn)的發(fā)電機(jī)可能因?yàn)榉阑饓Φ漠惓Ｗ柚苟蝗皇伲斐蓢?yán)重的破壞；(3)在工業(yè)環(huán)境中，通常需要與互聯(lián)網(wǎng)隔離，而傳統(tǒng)的防火墻等設(shè)備策略大多需要聯(lián)網(wǎng)更新固件，這樣就給黑客帶來(lái)了便利的入侵條件。

現(xiàn)有的工業(yè)控制技術(shù)大多針對(duì)黑名單(漏洞庫(kù))的方式進(jìn)行記錄判斷，而同于收集和積累黑名單的方法各有不同，無(wú)法做到精準(zhǔn)防御，誤報(bào)漏報(bào)的情況經(jīng)常發(fā)生。少數(shù)技術(shù)通過工業(yè)白名單的手段進(jìn)行技術(shù)架構(gòu)設(shè)計(jì)，但多數(shù)工業(yè)環(huán)境使用的是私有協(xié)議，無(wú)法進(jìn)行協(xié)議開源共享，而且工業(yè)中所使用的設(shè)備大多使用私有協(xié)議進(jìn)行傳輸，工業(yè)協(xié)議的私有性大大增加了白名單的防護(hù)精度，兼容性也將大大減少。因此，急需解決的是增加對(duì)私有協(xié)議的兼容性，加大工業(yè)白名單的防護(hù)精度，減少誤報(bào)漏報(bào)的情況。進(jìn)一步，工業(yè)現(xiàn)場(chǎng)不止會(huì)出現(xiàn)網(wǎng)絡(luò)安全威脅，同樣存在來(lái)自于內(nèi)網(wǎng)的合規(guī)操作發(fā)生在違規(guī)時(shí)間的情況，這樣就會(huì)造成嚴(yán)重的破壞，而破壞后通過查看防火墻以及常規(guī)防護(hù)設(shè)備的記錄無(wú)法發(fā)現(xiàn)這些正常的操作。

發(fā)明內(nèi)容

本發(fā)明主要解決的技術(shù)問題是提供一種工業(yè)控制動(dòng)態(tài)防御方法和系統(tǒng)，以實(shí)現(xiàn)工業(yè)環(huán)境中精準(zhǔn)識(shí)別工業(yè)私有協(xié)議、根據(jù)工業(yè)環(huán)境的特殊性進(jìn)行軟件的創(chuàng)新設(shè)計(jì)以實(shí)現(xiàn)符合工業(yè)可用性優(yōu)先特性的軟件體系、以及采用內(nèi)網(wǎng)或?qū)＞W(wǎng)管理方式以接觸式本地化升級(jí)的方式解決工業(yè)現(xiàn)場(chǎng)無(wú)法聯(lián)網(wǎng)更新的問題。

為了實(shí)現(xiàn)上述技術(shù)問題，本發(fā)明提供了一種工業(yè)控制動(dòng)態(tài)防御方法，包括以下步驟：

清洗工業(yè)網(wǎng)絡(luò)流量數(shù)據(jù)以得到干凈的工業(yè)控制協(xié)議流量數(shù)據(jù)；

對(duì)工業(yè)控制協(xié)議流量數(shù)據(jù)進(jìn)行判斷以獲知工業(yè)控制協(xié)議是已知的或者未知的；

記錄未知的工業(yè)控制協(xié)議的協(xié)議數(shù)據(jù)格式，通過長(zhǎng)時(shí)間的大數(shù)據(jù)量的記錄獲取工業(yè)控制協(xié)議的數(shù)據(jù)區(qū)間范圍；

根據(jù)區(qū)間范圍進(jìn)行協(xié)議內(nèi)容智能填充，并整合協(xié)議格式和填充后的數(shù)據(jù)以形成學(xué)習(xí)結(jié)果；

根據(jù)學(xué)習(xí)結(jié)果，生成動(dòng)態(tài)變化的白名單；

根據(jù)白名單，進(jìn)行工業(yè)控制動(dòng)態(tài)防御。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，工業(yè)控制動(dòng)態(tài)防御方法進(jìn)一步包括在生成動(dòng)態(tài)變化的白名單的步驟之后在應(yīng)用節(jié)點(diǎn)部署緩存數(shù)據(jù)庫(kù)以緩存節(jié)點(diǎn)數(shù)據(jù)。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，工業(yè)控制動(dòng)態(tài)防御方法進(jìn)一步包括備份并永久性存儲(chǔ)節(jié)點(diǎn)數(shù)據(jù)。