【技术实现步骤摘要】
一种基于主动防御机制的内容审计系统及其内容审计方法
本专利技术涉及网络安全
,尤其是一种基于主动防御机制的内容审计系统及其内容审计方法。
技术介绍
工业控制系统网络内容审计设备是对工业控制网络中的协议、数据和行为等进行记录、分析,并做出一定的响应措施的信息安全专用产品。现有审计设备一般采取旁路接入方式,应用白名单机制来对工业控制网络中各工控主机包括如工程师站、操作员站的组态变更、指令变更等进行记录、分析,组态变更包括组态上装、下装,指令变更包括写指令及相关参数等操作,这些操作对响应的实时性要求通常在几百毫秒,可留出一定时间来做安全方面的处理。旁路接入是指只有一根RJ45网线接在核心交换机上,交换机将数据镜像后发给审计设备进行分析处理。旁路接入模式是所有部署模式中最简单的一种,也是功能实现较弱的一种部署方式。现有审计设备的缺点:1、针对工业控制网络中的各工控主机如来自工程师站、操作员站的内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、人为破坏操作,只能事后监控和被动防御,不能阻断在损害发生前;2、针对工业控制网络中的各工控主机如来自工程师站、操作员站的恶意代码软件、病毒对工业控制网络的攻击,只能事后监控和被动防御,不能阻断在损害发生前;总之,现有工控网络审计设备对来自各工控主机的不合理人为操作、病毒、恶意软件代码不能采取一种主动防御的策略,让这些危害被阻断在工控主机内,不扩散到工业网络上,特别是像发生在伊朗布什尔核电站工业网络设备上的“震网”病毒,可使其对工业网路设备造成的破坏程度降低到最低。
技术实现思路
本专利技术要解决的技术问题是提供一种基于主 ...
【技术保护点】
一种基于主动防御机制的内容审计系统,其特征在于包括:主动防御模块(1)和验证模块(2),主动防御模块(1)和验证模块(2)之间通过以太网通讯连接;主动防御模块(1)包括,网络发送数据帧截取模块(3),用于截取数据帧;数据帧白名单匹配模块(4),用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据,与白名单基线库(5)中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配;数据帧黑名单匹配模块(6),用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据,与黑名单基线库(7)中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配;数据帧重组及重定向模块(8),用于将数据帧做数据重组,并将重组的数据帧发送至数据帧发送模块(9);数据帧发送模块(9),用于通过以太网向验证模块(2)发送数据;数据帧接受和还原模块(10),用于通过以太网接收验证模块(2)发送来的数据;验证模块(2)包括,通讯处理模块(11),用于通过以太网与主动防御模块(1)进行数据交换;判定模块(12), ...
【技术特征摘要】
1.一种基于主动防御机制的内容审计系统,其特征在于包括:主动防御模块(1)和验证模块(2),主动防御模块(1)和验证模块(2)之间通过以太网通讯连接;主动防御模块(1)包括,网络发送数据帧截取模块(3),用于截取数据帧;数据帧白名单匹配模块(4),用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据,与白名单基线库(5)中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配;数据帧黑名单匹配模块(6),用于将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据,与黑名单基线库(7)中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配;数据帧重组及重定向模块(8),用于将数据帧做数据重组,并将重组的数据帧发送至数据帧发送模块(9);数据帧发送模块(9),用于通过以太网向验证模块(2)发送数据;数据帧接受和还原模块(10),用于通过以太网接收验证模块(2)发送来的数据;验证模块(2)包括,通讯处理模块(11),用于通过以太网与主动防御模块(1)进行数据交换;判定模块(12),用于对以太网数据进行判别和匹配。2.一种权利要求1所述的基于主动防御机制的内容审计系统的内容审计方法,其特征在于包括以下步骤:A、网络发送数据帧截取模块(3)截取网络发送数据帧;B、数据帧白名单匹配模块(4)将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据,与白名单基线库(5)中的各白名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配,通过对比匹配是一致的,说明对比匹配成功;如果白名单对比成功,通过数据帧发送模块(9)将网络发送数据帧直接发送到以太网上,审计流程结束;如果白名单对比不成功则转向步骤C;C、数据帧黑名单匹配模块(6)将截取的网络发送数据帧的源目的MAC、源目的IP、传输层协议、源目的端口等数据,与黑名单基线库(7)中的各黑名单数据进行源目的MAC、源目的IP、传输层协议、源目的端口等数据进行比对匹配,通过对比匹配是一致的,说明对比匹配成功,将网络发送数据帧直接丢弃掉,不发送到以太网上,审计流程结束;如果黑名单对比不成功,则将数据发送至数据帧重组及重定向模块(8);D、数据帧重组及重定向模块(8)将组装后的数据帧发送到验证模块(2);E、通讯处理模块(11)接受以太网上各设备发来的数据信息;F、判定模块(12)首先将收到的以太网数据进行解帧,包括源目的IP、源目的端口号等,对于以太网数据部分,先取出以太网数据的前16字节数据,依据组装标识数据格式进行判别,判别是否是一个组装数据帧,如果判断是一个组装数据帧,再将初始数据帧中的数据...
【专利技术属性】
技术研发人员:王小东,李佐民,王蔚庭,
申请(专利权)人:北京天地和兴科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。