[发明专利]一种工业控制系统的安全防御方法及系统

权利要求书

1.一种工业控制系统的安全防御方法，其特征在于，所述安全防御方法包括：

向工业控制系统中数据采集与监控层的各设备分配同一张切换策略表单，并向工业控制系统中控制层的各设备分配各自的切换策略表单；具体包括：配置拟态切换策略集合；所述拟态切换策略集合中的切换策略为通信端口Port、IP地址IP_address、MAC地址M_address和通信协议C_Protocol中的一种或几种；其中，Port＝{P_sou，P_des}，P_sou表示原端口，P_des表示目的端口，IP_address＝{IP_sou，IP_des}，IP_sou表示源IP地址，IP_des表示目的IP地址，M_address＝{M_sou，M_des}，M_sou表示源MAC地址，M_des表示目的MAC地址，C_Protocol＝{P_r，P_u}，P_r表示公有协议，P_u表示私有协议；向数据采集与监控层的各设备以及控制层的各设备配置用于拟态切换的IP地址范围、通信端口范围、MAC地址种类和通信协议种类，分别构成数据采集与监控层的拟态切换策略集Sa＝{Sa₁，Sa₂，…，Sa_i，…Sa_m}和控制层的拟态切换策略集Sc＝{Sc₁，Sc₂，…Sc_j…，Sc_n}；其中，Sa_i表示数据采集与监控层第i个设备的拟态切换策略表，i＝1，2，…，m；Sc_j表示控制层第j个设备的拟态切换策略表，j＝1，2，…，n；根据数据采集与监控层的拟态切换策略集和控制层的拟态切换策略集Sa和Sc，构造数据采集与监控层和控制层各设备拟态切换表单，将拟态切换表单S＝{Sa₁，Sa₂，…，Sa_m，Sc₁，Sc₂，…，Sc_n}分配给数据采集与监控层各设备，同时向控制层的各设备分配各自的切换策略表单SC_j＝{Sa₁，Sa₂，…，Sa_m，Sc_j}；其中，SC_j表示控制层第j个设备的切换策略表单；

配置初始切换策略，并选择主动防御模式和被动防御模式中的一种作为当前工控拟态切换防御模式；

执行初始切换策略；

若选择的当前工控拟态切换防御模式为主动防御模式，则每到达一次切换时间间隔时，从数据采集与监控层的切换策略表单或控制层的切换策略表单中随机形成一个切换策略，并执行随机形成的切换策略，完成一次拟态切换；所述切换策略为通信端口、IP地址、MAC地址和通信协议中的一种或几种；其中，所述从数据采集与监控层的切换策略表单或控制层的切换策略表单中随机形成一个切换策略，并执行随机形成的切换策略，完成一次拟态切换，具体包括：在数据采集与监控层各设备的切换策略表单或控制层各设备的切换策略表单中，随机提取需要切换的通信端口Port、IP地址IP_address、MAC地址M_address和/或通信协议C_Protocol，组合成主动防御模式下的拟态切换指令表；从主动防御模式下的拟态切换指令表中随机提取其中一条切换指令下发给数据采集与监控层或控制层的各设备；将切换指令与接收到切换指令的设备所分配的切换策略表单进行匹配；若匹配成功，则设备按照切换指令执行一次拟态切换；若匹配不成功，则设备不进行响应；

若选择的当前工控拟态切换防御模式为被动防御模式，则实时获取数据采集与监控层、控制层中各设备的通信数据流量；

当从通信数据流量中提取到恶意流量时，则从数据采集与监控层的切换策略表单或控制层的切换策略表单中随机形成一个切换策略，并在恶意流量所对应设备中执行随机形成的切换策略，完成一次拟态切换，同时将恶意流量和恶意流量数据特征存入恶意流量特征库。