一种基于主动防御机制的内容审计系统及其内容审计方法技术方案

本发明专利技术公开了一种基于主动防御机制的内容审计系统，包括主动防御模块和验证模块，主动防御模块包括，网络发送数据帧截取模块、数据帧白名单匹配模块、数据帧黑名单匹配模块、数据帧重组及重定向模块、数据帧发送模块、数据帧接受和还原模块；验证模块包括，通讯处理模块、判定模块。本发明专利技术还公开了一种上述基于主动防御机制的内容审计系统的内容审计方法。本发明专利技术能够改进现有技术的不足，通过主动安全策略提高系统安全性。

【技术实现步骤摘要】
一种基于主动防御机制的内容审计系统及其内容审计方法
本专利技术涉及网络安全
，尤其是一种基于主动防御机制的内容审计系统及其内容审计方法。
技术介绍
工业控制系统网络内容审计设备是对工业控制网络中的协议、数据和行为等进行记录、分析，并做出一定的响应措施的信息安全专用产品。现有审计设备一般采取旁路接入方式，应用白名单机制来对工业控制网络中各工控主机包括如工程师站、操作员站的组态变更、指令变更等进行记录、分析，组态变更包括组态上装、下装，指令变更包括写指令及相关参数等操作，这些操作对响应的实时性要求通常在几百毫秒，可留出一定时间来做安全方面的处理。旁路接入是指只有一根RJ45网线接在核心交换机上，交换机将数据镜像后发给审计设备进行分析处理。旁路接入模式是所有部署模式中最简单的一种，也是功能实现较弱的一种部署方式。现有审计设备的缺点：1、针对工业控制网络中的各工控主机如来自工程师站、操作员站的内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、人为破坏操作，只能事后监控和被动防御，不能阻断在损害发生前；2、针对工业控制网络中的各工控主机如来自工程师站、操作员站的恶意代码软件、病毒对工业控制网络的攻击，只能事后监控和被动防御，不能阻断在损害发生前；总之，现有工控网络审计设备对来自各工控主机的不合理人为操作、病毒、恶意软件代码不能采取一种主动防御的策略，让这些危害被阻断在工控主机内，不扩散到工业网络上，特别是像发生在伊朗布什尔核电站工业网络设备上的“震网”病毒，可使其对工业网路设备造成的破坏程度降低到最低。
技术实现思路
本专利技术要解决的技术问题是提供一种基于主动防御机制的内容审计系统及其内容审计方法，能够解决现有技术的不足，通过主动安全策略提高系统安全性。为解决上述技术问题，本专利技术所采取的技术方案如下。一种基于主动防御机制的内容审计系统，包括：主动防御模块和验证模块，主动防御模块和验证模块之间通过以太网通讯连接；主动防御模块包括，网络发送数据帧截取模块，用于截取数据帧；数据帧白名单匹配模块，用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与白名单基线库中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配；数据帧黑名单匹配模块，用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与黑名单基线库中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配；数据帧重组及重定向模块，用于将数据帧做数据重组，并将重组的数据帧发送至数据帧发送模块；数据帧发送模块，用于通过以太网向验证模块发送数据；数据帧接受和还原模块，用于通过以太网接收验证模块发送来的数据；验证模块包括，通讯处理模块，用于通过以太网与主动防御模块进行数据交换；判定模块，用于对以太网数据进行判别和匹配。一种上述的基于主动防御机制的内容审计系统的内容审计方法，包括以下步骤：A、网络发送数据帧截取模块截取网络发送数据帧；B、数据帧白名单匹配模块将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与白名单基线库中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配，通过对比匹配是一致的，说明对比匹配成功；如果白名单对比成功，通过数据帧发送模块将网络发送数据帧直接发送到以太网上，审计流程结束；如果白名单对比不成功则转向步骤C；C、数据帧黑名单匹配模块将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与黑名单基线库中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配，通过对比匹配是一致的，说明对比匹配成功，将网络发送数据帧直接丢弃掉，不发送到以太网上，审计流程结束；如果黑名单对比不成功，则将数据发送至数据帧重组及重定向模块；D、数据帧重组及重定向模块将组装后的数据帧发送到验证模块；E、通讯处理模块接受以太网上各设备发来的数据信息；F、判定模块首先将收到的以太网数据进行解帧，包括源目的IP、源目的端口号等，对于以太网数据部分，先取出以太网数据的前16字节数据，依据组装标识数据格式进行判别，判别是否是一个组装数据帧，如果判断是一个组装数据帧，再将初始数据帧中的数据取出，基于自己的白名单基线库通过数据帧白名单匹配模块对初始数据帧进行比对匹配，无论比对匹配是否成功，判定模块均会返回一个验证数据帧，由通讯处理模块发送出去；G、数据帧接受和还原模块首先将收到的以太网数据进行解帧，包括源目的IP、源目的端口号等，对于以太网数据部分，先取出以太网数据的前16字节数据，依据验证标识数据格式进行判别，判别是否是一个验证数据帧，如果判断是一个验证数据帧，取出匹配是否成功的标识的第十个字节数据，再将初始数据帧中的数据取出，并与临时存储区中存储的网络发送数据帧进行对比和分析，确认一致；如果验证模块返回的是匹配成功数据，数据帧接受和还原模块将基于临时存储区中的网络发送数据帧形成一个白名单，并将该白名单加入到白名单基线库中，同时，将初始数据帧数据通过数据帧发送模块发送到以太网上，并删除掉临时存储区中的发送数据帧数据信息；如果验证模块返回的是匹配不成功数据，数据帧接受和还原模块将基于临时存储区中的网络发送数据帧形成一个黑名单，并将该黑名单加入到黑名单基线库中，并删除掉临时存储区中的发送数据帧数据信息。作为优选，步骤A中，网络发送数据帧截取采用Winpcap系统来实现；Winpcap系统是由伯克利分组捕获库派生而来的分组捕获库，是在Windows操作平台上实现对底层报的截取过滤，包括一个内核级别的packetfilter，一个底层的packet.dll和一个高级的独立于系统的libpcap.dll组成；通过与驱动挂钩并下载相应的头文件和库文件，调用winpcap系统；Winpcap系统用C或C++编程语言编写实现。作为优选，步骤D中，先将本网络发送数据帧保存在临时存储区中，定义发送数据帧为初始数据帧；再将初始数据帧做数据重组，定义为组装数据帧，组装数据帧是一个标准的以太网数据帧格式，目的IP地址为验证模块，源IP地址为主动防御模块，传输数据由两部分组成，一个由16个字节组成的组装标识数据，以及初始数据帧，数据帧尾是CRC效验码；组装标识数据格式包括6个字节的标识头数据，是固定的六个字节16进制数或字符，第七个字节为16进制数0x55，表示是发送数据，第八个字节数据为验证模块的编号，是针对网络上有多个验证模块时进行区分，第九个字节数据为初始数据帧的顺序号，区分有多个初始数据帧的情况，第10-14字节数据作保留用，第15、16字节数据是标识数据1-14个数据的CRC效验值，组装数据帧生成后，通过数据帧发送模块发送到以太网上。采用上述技术方案所带来的有益效果在于：本专利技术是一种主动防御的机制，是对现有技术的被动防御策略的一个安全措施的提升。本专利技术既可对各工控主机的不合理人为操作造成的可能破坏进行主动防御，也可各工控主机的病毒、恶意软件代码造成的可能破坏进行主动防御。附图说明图1是本专利技术一个具体实施方式的系统原理图。图2是本专利技术一个具体实施方式中初始数本文档来自技高网...

【技术保护点】
一种基于主动防御机制的内容审计系统，其特征在于包括：主动防御模块(1)和验证模块(2)，主动防御模块(1)和验证模块(2)之间通过以太网通讯连接；主动防御模块(1)包括，网络发送数据帧截取模块(3)，用于截取数据帧；数据帧白名单匹配模块(4)，用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与白名单基线库(5)中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配；数据帧黑名单匹配模块(6)，用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与黑名单基线库(7)中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配；数据帧重组及重定向模块(8)，用于将数据帧做数据重组，并将重组的数据帧发送至数据帧发送模块(9)；数据帧发送模块(9)，用于通过以太网向验证模块(2)发送数据；数据帧接受和还原模块(10)，用于通过以太网接收验证模块(2)发送来的数据；验证模块(2)包括，通讯处理模块(11)，用于通过以太网与主动防御模块(1)进行数据交换；判定模块(12)，用于对以太网数据进行判别和匹配。...

【技术特征摘要】
1.一种基于主动防御机制的内容审计系统，其特征在于包括：主动防御模块(1)和验证模块(2)，主动防御模块(1)和验证模块(2)之间通过以太网通讯连接；主动防御模块(1)包括，网络发送数据帧截取模块(3)，用于截取数据帧；数据帧白名单匹配模块(4)，用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与白名单基线库(5)中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配；数据帧黑名单匹配模块(6)，用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与黑名单基线库(7)中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配；数据帧重组及重定向模块(8)，用于将数据帧做数据重组，并将重组的数据帧发送至数据帧发送模块(9)；数据帧发送模块(9)，用于通过以太网向验证模块(2)发送数据；数据帧接受和还原模块(10)，用于通过以太网接收验证模块(2)发送来的数据；验证模块(2)包括，通讯处理模块(11)，用于通过以太网与主动防御模块(1)进行数据交换；判定模块(12)，用于对以太网数据进行判别和匹配。2.一种权利要求1所述的基于主动防御机制的内容审计系统的内容审计方法，其特征在于包括以下步骤：A、网络发送数据帧截取模块(3)截取网络发送数据帧；B、数据帧白名单匹配模块(4)将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与白名单基线库(5)中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配，通过对比匹配是一致的，说明对比匹配成功；如果白名单对比成功，通过数据帧发送模块(9)将网络发送数据帧直接发送到以太网上，审计流程结束；如果白名单对比不成功则转向步骤C；C、数据帧黑名单匹配模块(6)将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据，与黑名单基线库(7)中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配，通过对比匹配是一致的，说明对比匹配成功，将网络发送数据帧直接丢弃掉，不发送到以太网上，审计流程结束；如果黑名单对比不成功，则将数据发送至数据帧重组及重定向模块(8)；D、数据帧重组及重定向模块(8)将组装后的数据帧发送到验证模块(2)；E、通讯处理模块(11)接受以太网上各设备发来的数据信息；F、判定模块(12)首先将收到的以太网数据进行解帧，包括源目的IP、源目的端口号等，对于以太网数据部分，先取出以太网数据的前16字节数据，依据组装标识数据格式进行判别，判别是否是一个组装数据帧，如果判断是一个组装数据帧，再将初始数据帧中的数据...

【专利技术属性】
技术研发人员：王小东，李佐民，王蔚庭，
申请(专利权)人：北京天地和兴科技有限公司，
类型：发明
国别省市：北京,11