[發明專利]工業網絡內生安全邊界防護方法、設備及架構在審
| 申請號: | 202110373816.9 | 申請日: | 2021-04-07 |
| 公開(公告)號: | CN113285917A | 公開(公告)日: | 2021-08-20 |
| 發明(設計)人: | 余飛;魏強;耿洋洋;王允超 | 申請(專利權)人: | 中國人民解放軍戰略支援部隊信息工程大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 鄭州大通專利商標代理有限公司 41111 | 代理人: | 周艷巧 |
| 地址: | 450000 河*** | 國省代碼: | 河南;41 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 工業 網絡 安全 邊界 防護 方法 設備 架構 | ||
1.一種工業網絡內生安全邊界防護方法,其特征在于,包含如下內容:
通過網卡監聽收集生產管理網絡數據流量,將數據流量進行緩存并分發至若干異構過濾審查執行體;
利用過濾審查執行體對數據流量中地址、協議、工業控制協議及控制參數進行過濾審查,并輸出審查結果;
對若干異構過濾審查執行體輸出的審查結果進行擬態裁決,基于擬態裁決結果確定是否向現場控制網絡轉發數據流量并甄別異常執行體來動態調度對數據流量進行過濾審查的執行體上下線。
2.根據權利要求1所述的工業網絡內生安全邊界防護方法,其特征在于,若干異構過濾審查執行體相互隔離,獨立執行對接收到的數據流量的過濾審查。
3.根據權利要求1所述的工業網絡內生安全邊界防護方法,其特征在于,過濾審查執行體對數據流量進行過濾審查中,首先采用哈希算法對數據流量進行預處理,然后對數據流量中源目的IP、端口號、MAC地址、通用協議解析、工業控制協議識別及控制參數進行檢查。
4.根據權利要求1或3所述的工業網絡內生安全邊界防護方法,其特征在于,過濾審查還包含:針對檢查通過的數據流量,根據當前網絡情況選擇是否進行數據包重構,以實現與現場控制網絡之間的數據傳輸。
5.根據權利要求4所述的工業網絡內生安全邊界防護方法,其特征在于,數據包重構包含:修改數據流量中TCP協議握手包的協商MTU,重新計算校驗和并填充數據。
6.根據權利要求4所述的工業網絡內生安全邊界防護方法,其特征在于,對過濾審查執行體輸出的審查結果,首先進行歸一化處理,獲取格式一致的審查結果數據;然后,采用大數則多判決或動態權重方式對一致審查結果數據進行擬態裁決,確定是否向現場控制網絡轉發數據的最終表決結果并甄別異常執行體。
7.根據權利要求1所述的工業網絡內生安全邊界防護方法,其特征在于,利用不同版本物理機及不同操作系統構成多個功能等價的異構過濾審查執行體,將該多個功能等價的異構過濾審查執行體放置于異構執行體池中;從異構執行體池中動態選取若干用于在線對數據流量進行過濾審查的異構過濾審查執行體,并將下線的異常執行體清洗后重新防御異構執行體池中。
8.一種工業網絡內生安全邊界防護設備,其特征在于,包含:數據收集模塊、過濾審查模塊和擬態裁決模塊,其中,
數據收集模塊,用于通過網卡監聽收集生產管理網絡數據流量,將數據流量進行緩存并分發至若干異構過濾審查執行體;
過濾審查模塊,用于利用過濾審查執行體對數據流量中地址、協議、工業控制協議及控制參數進行過濾審查,并輸出審查結果;
擬態裁決模塊,用于對若干異構過濾審查執行體輸出的審查結果進行擬態裁決,基于擬態裁決結果確定是否向現場控制網絡轉發數據流量并甄別異常執行體來動態調度對數據流量進行過濾審查的執行體上下線。
9.一種工業網絡內生安全邊界防護架構,其特征在于,包含:設置于操作系統和上層應用之間的擬態插件層,該擬態插件層包括:代理插件單元、擬態表決單元、動態調度單元及感知決策單元,其中,
代理插件單元,作為數據流量出入的第一關口,將接收到的外部數據包分發給若干異構過濾審查執行體,將若干異構過濾審查執行體輸出反饋給擬態表決單元;并將擬態表決單元判定的數據流量對外輸出;
擬態表決單元,通過對比若干異構過濾審查執行體輸出結果進行擬態裁決,并將裁決結果反饋給代理插件單元和感知決策單元;
動態調度單元,通過預先設置的執行體調度策略來動態管理異構執行池中在線過濾審查的執行體;
感知決策單元,通過收集運行過程中異常狀態信息進行環境感知并依據裁決結果甄別異常執行體,通過負反饋機制將異常執行體數據反饋給動態調度單元。
10.根據權利要求9所述的工業網絡內生安全邊界防護架構,其特征在于,所述動態調度單元包含與代理插件單元和擬態表決單元連接的控制器,及與控制器連接的調度器;所述控制器依據反饋數據選取相應執行體調度策略并通過調度器對在線過濾審查執行體進行動態調度操作,其中,執行體調度策略至少包含:依據生命周期對執行體重新初始化策略及異常執行體離線清洗策略。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國人民解放軍戰略支援部隊信息工程大學,未經中國人民解放軍戰略支援部隊信息工程大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110373816.9/1.html,轉載請聲明來源鉆瓜專利網。
