[发明专利]工业控制动态防御方法和系统

说明书

本发明提供一种工业控制动态防御方法，该方法包括：清洗工业网络流量数据以得到工业控制协议流量数据；对工业控制协议流量数据进行判断；记录未知的工业控制协议的协议数据格式，并获取工业控制协议的数据区间范围；根据区间范围进行协议内容智能填充，并整合协议格式和填充后的数据以形成学习结果；根据学习结果，生成动态变化的白名单；根据白名单，进行工业控制动态防御。本发明还提供了一种工业控制动态防御系统。本发明具有精准识别工业私有协议、兼容性强、防护精度高等优点。

技术领域

本发明涉及工业控制领域，并且更具体地涉及一种工业控制动态防御方法和系统。

背景技术

工业控制技术是一种运用计算机、控制理论、仪器仪表和其它信息技术，对工业生产过程实现检测、控制、优化、调度、管理和决策，达到增加产量、提高质量、降低消耗、确保安全等目的的综合性技术。

通常，工业控制领域中的应用要满足如下要求：可用性、完整性、保密性，而且工业设备的设计通常是按照可用性优先的原则进行设计，这种情况制约了工业环境中的数据保密性，存在重大的安全隐患。在工业环境中发生的攻击事件层出不穷，我国的国家基础设施也发生过多起被攻击的事件。在这些国家基础设施发生重大事件的时候，均有传统网络防护设备的介入，但是无法针对我国工业环境进行防御，通过对两者技术要点的研究发现存在如下几个问题：(1)在工业环境中，传统的网络防护设备不能识别工业协议；(2)在工业环境中，传统的防护手段是以保密性优先的，这样极大的阻碍了工业生产的正常运行，例如正在运转的发电机可能因为防火墙的异常阻止而突然失速，造成严重的破坏；(3)在工业环境中，通常需要与互联网隔离，而传统的防火墙等设备策略大多需要联网更新固件，这样就给黑客带来了便利的入侵条件。

现有的工业控制技术大多针对黑名单(漏洞库)的方式进行记录判断，而同于收集和积累黑名单的方法各有不同，无法做到精准防御，误报漏报的情况经常发生。少数技术通过工业白名单的手段进行技术架构设计，但多数工业环境使用的是私有协议，无法进行协议开源共享，而且工业中所使用的设备大多使用私有协议进行传输，工业协议的私有性大大增加了白名单的防护精度，兼容性也将大大减少。因此，急需解决的是增加对私有协议的兼容性，加大工业白名单的防护精度，减少误报漏报的情况。进一步，工业现场不止会出现网络安全威胁，同样存在来自于内网的合规操作发生在违规时间的情况，这样就会造成严重的破坏，而破坏后通过查看防火墙以及常规防护设备的记录无法发现这些正常的操作。

发明内容

本发明主要解决的技术问题是提供一种工业控制动态防御方法和系统，以实现工业环境中精准识别工业私有协议、根据工业环境的特殊性进行软件的创新设计以实现符合工业可用性优先特性的软件体系、以及采用内网或专网管理方式以接触式本地化升级的方式解决工业现场无法联网更新的问题。

为了实现上述技术问题，本发明提供了一种工业控制动态防御方法，包括以下步骤：

清洗工业网络流量数据以得到干净的工业控制协议流量数据；

对工业控制协议流量数据进行判断以获知工业控制协议是已知的或者未知的；

记录未知的工业控制协议的协议数据格式，通过长时间的大数据量的记录获取工业控制协议的数据区间范围；

根据区间范围进行协议内容智能填充，并整合协议格式和填充后的数据以形成学习结果；

根据学习结果，生成动态变化的白名单；

根据白名单，进行工业控制动态防御。

根据本发明的一个实施例，工业控制动态防御方法进一步包括在生成动态变化的白名单的步骤之后在应用节点部署缓存数据库以缓存节点数据。

根据本发明的一个实施例，工业控制动态防御方法进一步包括备份并永久性存储节点数据。