本發(fā)明涉及一種基于SDN的工業(yè)控制系統(tǒng)動態(tài)防御方法及裝置，主要步驟包括：軟件定義白名單協(xié)議模塊采用偏移量機器學習分類方法自動識別工控私有協(xié)議，軟件定義服務(wù)端口模塊對工控協(xié)議高危端口進行混淆欺騙，軟件定義縱深防御模塊采用虛擬化安全引擎服務(wù)編排技術(shù)動態(tài)調(diào)度工業(yè)控制系統(tǒng)通信網(wǎng)絡(luò)流量實現(xiàn)多層防御。本發(fā)明能夠適應(yīng)工業(yè)控制系統(tǒng)環(huán)境協(xié)議龐雜、端口固定、物理鏈路更改困難的特點，改變工業(yè)控制系統(tǒng)單一防護、靜態(tài)防護的缺陷，最大限度地提高防護的彈性和效率，無需改變物理拓撲，提高對零日漏洞和未知攻擊的抵御能力。

技術(shù)領(lǐng)域

本發(fā)明涉及一種工業(yè)控制系統(tǒng)動態(tài)防御方法及裝置，具體涉及一種基于SDN的工業(yè)控制系統(tǒng)動態(tài)防御方法及裝置，屬于計算機網(wǎng)絡(luò)安全領(lǐng)域。

背景技術(shù)

工業(yè)控制系統(tǒng)（ICS）是工業(yè)生產(chǎn)中所使用的多種類型控制軟硬件系統(tǒng)，包括但不限于監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SCADA）、集散控制系統(tǒng)（DCS）以及可編程邏輯控制器（PLC）等等。工業(yè)控制系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，廣泛應(yīng)用在關(guān)系國計民生的電力、石油、化工、交通、運輸、水利等等。針對工業(yè)控制系統(tǒng)的攻擊將大大威脅到社會的正常運轉(zhuǎn)，保護工業(yè)控制系統(tǒng)安全具有極為重要的意義。工業(yè)控制系統(tǒng)在設(shè)計之初，缺乏安全防護機制，導(dǎo)致長期運行的大量工業(yè)控制系統(tǒng)“帶病”運行，高危漏洞層出不窮。近年來，隨著TCP/IP協(xié)議和0PC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，工業(yè)控制系統(tǒng)從封閉走向了開發(fā)，安全問題日益突出，安全風險急劇上升。甚至APT攻擊（高級可持續(xù)性威脅，AdvancedPersistent Threat，APT）等國家級對抗的新型攻擊手段也集中在工業(yè)控制系統(tǒng)領(lǐng)域中。這種APT攻擊核心技術(shù)是利用0-day 漏洞（也稱為零日漏洞）或未公開的漏洞，它是多種攻擊手段的組合，其攻擊過程緩慢，具有針對性、持續(xù)性、隱蔽性。一旦進入目標系統(tǒng)后，為了達到有效的攻擊，會持續(xù)尋找攻擊的宿主目標。

工業(yè)控制系統(tǒng)的首要原則是保障業(yè)務(wù)連續(xù)性，生產(chǎn)過程中任何的中斷都不能被允許。因此，最初的工業(yè)控制系統(tǒng)安全方案和專利大都集中在安全審計、安全監(jiān)控和安全態(tài)勢感知領(lǐng)域，這種旁路檢測的安全方法避免了安全防護在運行過程中對工業(yè)控制系統(tǒng)造成中斷或重啟等影響業(yè)務(wù)的事故。但是這種監(jiān)測安全方案無法在形成有效的縱深防御方法，無法做到阻斷攻擊、實施攔截。

與傳統(tǒng)網(wǎng)絡(luò)中的標準協(xié)議不同，工業(yè)控制系統(tǒng)有大量專用和私有協(xié)議如Modbus、DNP3、Profibus、ICCP等，適用于多種應(yīng)用需求。這些私有協(xié)議或為特定工業(yè)控制系統(tǒng)產(chǎn)品專用協(xié)議，或為封裝在 TCP/IP 協(xié)議負載內(nèi)的工業(yè)協(xié)議。大量的私有協(xié)議為進行工業(yè)控制系統(tǒng)實時防御提出了巨大的挑戰(zhàn)，當前一些工業(yè)控制防火墻、工業(yè)控制系統(tǒng)入侵防御只能事前設(shè)定部分私有協(xié)議后對私有協(xié)議包進行深度檢測，擴展性和通用性比較差。

更為重要的，當前以邊界防護為特點的工業(yè)控制系統(tǒng)安全方法，由于缺乏動態(tài)防護的安全策略使得工業(yè)控制系統(tǒng)的脆弱性長期暴漏在攻擊者面前。如控制中心同站控系統(tǒng)之間主要采用 IEC60870-5-101/104 規(guī)約進行通信，但104規(guī)約一直采用固定的 2404 端口，存在被竊聽、掃描和長期滲透的安全風險。

對比分析可知，工業(yè)控制系統(tǒng)安全迫切需求動態(tài)安全防護方法和裝置，對私有協(xié)議進行自動識別，動態(tài)部署安全防護能力和動態(tài)改變高危服務(wù)端口。隨著軟件定義網(wǎng)絡(luò)（Software Defined Networking: SDN）思想和技術(shù)的出現(xiàn)，為實現(xiàn)工業(yè)控制系統(tǒng)彈性安全提出了新的思路。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明公開了一種基于SDN的工業(yè)控制系統(tǒng)動態(tài)防御方法及裝置，主要步驟包括：軟件定義白名單協(xié)議模塊采用偏移量機器學習分類方法自動識別工控私有協(xié)議，軟件定義服務(wù)端口模塊對工控協(xié)議高危漏洞進行混淆欺騙，軟件定義縱深防御模塊采用虛擬化安全引擎服務(wù)編排技術(shù)動態(tài)調(diào)度工業(yè)控制系統(tǒng)通信網(wǎng)絡(luò)流量實現(xiàn)多層防御。本發(fā)明能夠適應(yīng)工業(yè)控制系統(tǒng)環(huán)境協(xié)議龐雜、端口固定、物理鏈路更改困難的特點，改變工業(yè)控制系統(tǒng)單一防護、靜態(tài)防護的缺陷，最大限度地提高防護的彈性和效率，無需改變物理拓撲，提高對零日漏洞和未知攻擊的抵御能力。