一种基于最优通信路径的工业网络防御方法和系统技术方案

本发明专利技术公开了一种基于最优通信路径的工业网络防御方法，其首先获取当前工业控制网络所处局域网的网络拓扑图和开机状态的设备信息；从网络拓扑图提取终端设备节点，使用PIEU法评估终端设备的关键程度，并按照统一的标准给节点的关键程度配上对应的指标值，将终端节点两两组合，按两节点的指标值之和降序排列；按排列顺序，使用SPFA算法对关键程度高的两个终端节点先寻找最优通信路径，找到后将最优通信路径存入网络，最终得到整个工业网络的最优通信路径；终端节点只接收网络数据包源IP从最优通信路径发来的包，其他路径发来的包均视为异常网络数据包。本发明专利技术能够充分利用工控系统自身较好的稳定性，结合网络的最优通信路径，保证网络良好的通信链路。

【技术实现步骤摘要】
一种基于最优通信路径的工业网络防御方法和系统
本专利技术属于工业网络安全
，更具体地，涉及一种基于最优通信路径的工业网络防御方法和系统。
技术介绍
近年来，工控系统逐渐向信息化发展，其不断引入互联网中多样化方法，然而许多工控系统在设计之初并未充分考虑可能面临的信息安全问题，导致其存在许多潜在的信息安全漏洞，在满足各种工控系统更丰富的应用需求的同时，伴随着多方面的运作风险。随着黑客攻击工控系统的事件频繁发生，许多厂家都开始重视工业网络安全性问题，促使市面上许多技术人员针对工控环境进行多样的工控通信安全保护产品的投入和研发。当前针对工业网络的安全维护方式，除了使用网络防火墙系统和入侵检测系统，还会使用应用在接口等处的异常流量检测系统。异常流量检测模型相比网络防火墙系统、入侵检测系统有着更高更准确的识别率，然而，其在实际应用中存在一些不可忽略的缺陷：第一，其模型建立的工作量大、成本高,需要对大量的网络数据包进行特征提取；第二、其模型复杂，检测时运算量大，面对网络中实时大量的网络数据包，检测负担重；第三、其后期的更新需要继续对大量新的网络数据包进行特征提取，更新速度慢，灵活性低；而实际上，许多工业环境(如纺织、物料、服化等工厂)对安全性要求并非十分严格，且可以承受一定程度的异常干扰并最终恢复原来的稳定生产。
技术实现思路
针对现有技术的以上缺陷或改进需求，本专利技术提供了一种基于最优通信路径的工业网络防御方法和系统，其目的在于，使具备较好稳定性的工控系统，在不使用高成本的异常流量检测系统时，通信仍能具有较高的综合防御性，避免为网络安全承担过高的成本、过重的检测负担，并保障工厂生产的高效。为实现上述目的，按照本专利技术的一个方面，提供了一种基于最优通信路径的工业网络防御方法，包括如下步骤：步骤S1：获取当前工控系统的网络拓扑图；步骤S2：从步骤S1获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法PIEU获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；步骤S3：按步骤S2得到的排列顺序，重复使用最短路径查找算法SPFA获取每个节点对通信时的最优通信路径。优选地，步骤S1包括以下子步骤：S101：获取工业网络所处局域网的网段号，并向该网段号内的所有设备节点发送状态确认请求，并根据所有设备节点收到该状态确认请求后返回的响应信息，确定该网段号内所有处于开机状态的设备节点，并获取所有处于开机状态的设备节点的IP地址；S102：获取步骤S101中确定的所有处于开机状态的设备节点的基本信息；S103：根据步骤S101得到的所有处于开机状态的设备节点的IP地址对每个设备节点进行路由追踪操作，以获得到达所有处于开机状态的设备节点的完整路径信息；S104：根据步骤S102获得的所有处于开机状态的设备节点的设备类型，在预先设置的、可缩放的矢量图形格式SVG的设备图标库中获取所有处于开机状态的设备节点的图标，并利用获取的这些图标、步骤S102获得的所有处于开机状态的设备节点的基本信息、以及步骤S103获得的完整路径信息，使用Pythonpyecharts工具库的关系图功能模块生成工控系统的网络拓扑图。优选地，工控系统中的设备节点可以是服务器、客户端、工控设备、路由器、交换机等设备；终端设备节点可以是客户端、服务器、或工控设备等终端设备；设备节点的基本信息包括设备节点的MAC地址、操作系统信息、设备名称、工作组信息、以及设备类型；优选地，步骤S101具体是根据互联网控制报文协议ICMP并利用PythonScapy工具库构造状态确认请求报文并发送给设备节点，并从设备节点返回的响应信息中获取设备节点的IP地址；步骤S102具体是通过地址解析协议ARP获取设备节点的MAC地址；通过简单网络管理协议SNMP获取开通SNMP服务的设备节点的设备类型、操作系统信息等，通过网上基本输入输出系统NETBIOS协议获取设备名称和工作组信息；步骤S103具体是根据网际互连协议IP构造数据报文并将其发送给该设备节点，从该设备节点回应的答复报文中截取出路由信息，所有设备节点对应的路由信息构成完整路径信息。优选地，步骤S3包括以下子步骤：S301：对步骤S1获得的网络拓扑图上的设备节点进行漏洞扫描，根据扫描发现的已知漏洞，采用线性加权的方式确定每个设备节点的已知漏洞指数值；S302：对步骤S1获得的网络拓扑图上的设备节点进行漏洞挖掘，根据挖掘过程发现的未知漏洞的通用漏洞评分系统CVSS值确定每个设备节点的未知漏洞指数值；S303：对步骤S1获得的网络拓扑图上的设备节点进行安全功能测试，并根据测试结果确定每个设备节点的安全功能指数值；S304：根据设备节点在步骤S301确定的已知漏洞指数值、步骤S302确定的未知漏洞指数值和步骤S303确定的安全功能指数值，最终确定每个设备节点的安全性系数；S305：从步骤S1获得的网络拓扑图中提取图数据结构；S306：按步骤S2排列的节点对顺序，重复使用SPFA算法在步骤S305提取的图数据结构上进行节点对间通信路径的搜索，以获取每个节点对的最优通信路径；优选地，已知漏洞指数值mDAY具体等于：mDAY＝min[(α1×Cm+α2×Hm+α3×Mm+α4×Lm)，10]其中α1、α2、α3、α4为预设漏洞加权系数，预设漏洞加权系数的配置需根据实际应用配置，如经验值、专家打分等方式；Cm为紧急漏洞数，Hm为高危漏洞数，Mm为中危漏洞数，Lm为低危漏洞数，漏洞数通过对实际扫描出的已知漏洞进行分类统计而得；未知漏洞指数值0DAY具体等于：其中，A为漏洞挖掘过程的总测试用例数，V为漏洞挖掘过程中导致安全问题的测试用例数，CVSSs为漏洞挖掘过程发现的第s个未知漏洞的CVSS值，CVSS值取值范围是[0，10]，漏洞的危害越严重，CVSS值越高，其中s∈[1，t]，t为漏洞挖掘过程发现的未知漏洞总数；安全功能指数值fVtl具体等于：fVal＝(NF/F)×10其中，NF为不通过功能数，F为支持的安全功能测试项数；在具体测试时，安全功能分为支持的安全功能和不支持的安全功能；针对支持的安全功能在测试时，测试的结果包括通过和不通过。优选地，设备节点的安全性系数Snd具体等于：优选地，在基于图数据结构搜索通信路径的过程中，搜索标尺是使得为当前搜索路径的第一标尺值最小、第二标尺值最小、以及第三标尺值最小；当前搜索路径的第一标尺值是该搜索路径的平均安全性系数，其是指该搜索路径中间经过的所有设备节点通过步骤S304获得的安全性系数之和除以中间经过的所有设备节点的个数，搜索路径中间经过的设备节点不包括通信路径的起始和终止设备节点；当前搜索路本文档来自技高网...

【技术保护点】
1.一种基于最优通信路径的工业网络防御方法，其特征在于，包括如下步骤：/n步骤S1：获取当前工控系统的网络拓扑图；/n步骤S2：从步骤S1获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法PIEU获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；/n步骤S3：按步骤S2得到的排列顺序，重复使用最短路径查找算法SPFA获取每个节点对通信时的最优通信路径。/n

【技术特征摘要】
1.一种基于最优通信路径的工业网络防御方法，其特征在于，包括如下步骤：
步骤S1：获取当前工控系统的网络拓扑图；
步骤S2：从步骤S1获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法PIEU获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；
步骤S3：按步骤S2得到的排列顺序，重复使用最短路径查找算法SPFA获取每个节点对通信时的最优通信路径。


2.根据权利要求1所述的基于最优通信路径的工业网络防御方法，其特征在于，步骤S1包括以下子步骤：
S101：获取工业网络所处局域网的网段号，并向该网段号内的所有设备节点发送状态确认请求，并根据所有设备节点收到该状态确认请求后返回的响应信息，确定该网段号内所有处于开机状态的设备节点，并获取所有处于开机状态的设备节点的IP地址；
S102：获取步骤S101中确定的所有处于开机状态的设备节点的基本信息；
S103：根据步骤S101得到的所有处于开机状态的设备节点的IP地址对每个设备节点进行路由追踪操作，以获得到达所有处于开机状态的设备节点的完整路径信息；
S104：根据步骤S102获得的所有处于开机状态的设备节点的设备类型，在预先设置的、可缩放的矢量图形格式SVG的设备图标库中获取所有处于开机状态的设备节点的图标，并利用获取的这些图标、步骤S102获得的所有处于开机状态的设备节点的基本信息、以及步骤S103获得的完整路径信息，使用Pythonpyecharts工具库的关系图功能模块生成工控系统的网络拓扑图。


3.根据权利要求1或2所述的基于最优通信路径的工业网络防御方法，其特征在于，
工控系统中的设备节点可以是服务器、客户端、工控设备、路由器、交换机等设备；
终端设备节点可以是客户端、服务器、或工控设备等终端设备；
设备节点的基本信息包括设备节点的MAC地址、操作系统信息、设备名称、工作组信息、以及设备类型。


4.根据权利要求1至3中任意一项所述的基于最优通信路径的工业网络防御方法，其特征在于，
步骤S101具体是根据互联网控制报文协议ICMP并利用PythonScapy工具库构造状态确认请求报文并发送给设备节点，并从设备节点返回的响应信息中获取设备节点的IP地址；
步骤S102具体是通过地址解析协议ARP获取设备节点的MAC地址；通过简单网络管理协议SNMP获取开通SNMP服务的设备节点的设备类型、操作系统信息等，通过网上基本输入输出系统NETBIOS协议获取设备名称和工作组信息；
步骤S103具体是根据网际互连协议IP构造数据报文并将其发送给该设备节点，从该设备节点回应的答复报文中截取出路由信息，所有设备节点对应的路由信息构成完整路径信息。


5.根据权利要求1至4中任意一项所述的基于最优通信路径的工业网络防御方法，其特征在于，步骤S3包括以下子步骤：
S301：对步骤S1获得的网络拓扑图上的设备节点进行漏洞扫描，根据扫描发现的已知漏洞，采用线性加权的方式确定每个设备节点的已知漏洞指数值；
S302：对步骤S1获得的网络拓扑图上的设备节点进行漏洞挖掘，根据挖掘过程发现的未知漏洞的通用漏洞评分系统CVSS值确定每个设备节点的未知漏洞指数值；
S303：对步骤S1获得的网络拓扑图上的设备节点进行安全功能测试，并根据测试结果确定每个设备节点的安全功能指数值；
S304：根据设备节点在步骤S...

【专利技术属性】
技术研发人员：李肯立，李斌，谭光华，杨志邦，唐卓，刘楚波，肖国庆，段明星，黄国平，唐伟，
申请(专利权)人：湖南大学，湖南匡安网络技术有限公司，
类型：发明
国别省市：湖南;43