工控流量异常行为防护方法及系统技术方案

本发明专利技术提供一种工控流量异常行为防护方法及系统，包括：将工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层，确定工控流量中的异常行为；其中，粗粒度五元组白名单访问控制策略层，用于确定未知来源地址流量以及已知地址未知端口流量的异常行为；细粒度协议白名单流量监测策略层，用于确定已知协议未知功能码以及已知协议未知参数的异常行为；协议黑名单流量审计策略层，用于确定已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。本发明专利技术用以解决现有的防护技术防护效果不够高效的缺陷，实现一种由浅入深的多层级防护功能，提升了防护效果。提升了防护效果。提升了防护效果。

【技术实现步骤摘要】
工控流量异常行为防护方法及系统


[0001]本专利技术涉及工控设备安全防护
，尤其涉及一种工控流量异常行为防护方法及系统。

技术介绍

[0002]随着信息技术的不断发展，工控环境也由之前的工控设备独立运行逐渐转变为工控设备联网运行，由之前单一的业务域转成多个域联网共同运行。联网模式在提高业务效率的同时，也必将产生很多风险，例如异常流量攻击、恶意代码传播、信息泄露等风险。而纵观全球工控网络环境来看，通过异常流量带来的攻击已经威胁到了一些国家的生产。针对工控异常流量攻击风险，如何有效的分析与防护是至关重要的。
[0003]在工控场景中，被视为异常流量主要分为以下几种情况：未知来源地址流量、已知地址未知端口流量、已知协议未知功能码、已知协议未知参数、异常时序等等。未知来源地址流量主要指工控流量数据来源不明确；已知地址未知端口流量主要指工控流量数据来源是已知服务器，但数据流通过的端口是未知的，大多数属于自定义端口；已知协议未知功能码主要指工控环境中存在大量的私有协议，工控设备在通信过程中，工控协议是合法存在的，但对工控协议中的功能码并未完全了解，有些功能码可以产生异常行为；已知协议未知参数主要指在正常工控协议交互过程中，有些参数超出了正常值的范围，产生异常；异常时序主要指在工控通信流量中，有些操作若时序发生变化也会产生异常效果。以上几种情况涵盖了工控异常流程的大部分情况，存在其中情况变化存在异常隐患，对这些风险进行防护尤为重要。
[0004]针对工控流量异常行为所带来的风险，现在一些企业和研究机构也做了很多相关研究，也推出了很多防护型产品，最典型产品就是工控防火墙。综合各种防火墙来看，大多是通过配置细粒度访问控制策略进行流量拦截的方法来达到防护的目的。这种防护方式在传统防火墙中也有应用，但是这种配置过于繁琐，虽然能起到很好的防护效果，但也需要操作人员对业务相当熟悉，在工控领域中，对人员的业务能力需要过硬，一旦配置上出现问题，就会影响业务，因此工控流量防护方式由于配置过于繁琐，存在导致防护效果不够高效的问题。

技术实现思路

[0005]本专利技术提供一种工控流量异常行为防护方法及系统，用以解决现有技术中工控流量防护方式由于配置过于繁琐，存在导致防护效果不够高效的缺陷，实现一种由浅入深的多层级防护功能，提升了防护效果。
[0006]本专利技术提供一种工控流量异常行为防护方法，包括：
[0007]获取工控流量，将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层，确定所述工控流量中的异常行为；
[0008]若所述工控流量存在异常行为，则将所述工控流量进行阻断，并产生报警信息；
[0009]其中，所述粗粒度五元组白名单访问控制策略层，用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为；
[0010]所述细粒度协议白名单流量监测策略层，用于进行监测所述工控流量，确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为；
[0011]所述协议黑名单流量审计策略层，用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
[0012]根据本专利技术提供的一种工控流量异常行为防护方法，将所述工控流量通过粗粒度五元组白名单访问控制策略层，确定所述工控流量中的异常行为，包括：
[0013]获取所述工控流量中的五元组信息；
[0014]将所述五元组信息与所述粗粒度五元组白名单访问控制策略层的五元组访问控制列表进行比对；
[0015]若所述五元组访问控制列表不包含有所述五元组信息，则确定所述工控流量包含异常行为。
[0016]根据本专利技术提供的一种工控流量异常行为防护方法，所述五元组信息包括源IP地址、源端口、目的IP地址、目的端口和传输协议。
[0017]根据本专利技术提供的一种工控流量异常行为防护方法，将所述工控流量通过细粒度协议白名单流量监测策略层，确定所述工控流量中的异常行为，包括：
[0018]获取所述工控流量中的工控协议信息；
[0019]将所述工控协议信息与所述细粒度协议白名单流量监测策略层的协议流量监测策略列表进行对比；
[0020]若所述协议流量监测策略列表中不包含所述工控协议信息，则确定所述工控流量存在异常行为。
[0021]根据本专利技术提供的一种工控流量异常行为防护方法，将所述工控流量通过协议黑名单流量审计策略层，确定所述工控流量中的异常行为，包括：
[0022]获取所述工控流量中的工控协议信息；
[0023]将所述工控协议信息与所述协议黑名单流量审计策略层的协议流量审计策略列表进行比对；
[0024]若所述协议流量审计策略列表中包含所述工控协议信息，则确定所述工控流量包含异常行为。
[0025]本专利技术还提供一种工控流量异常行为防护系统，所述工控流量异常行为防护系统用于执行上述任一项所述的工控流量异常行为防护方法，所述工控流量异常行为防护系统包括五元组访问控制引擎、工控协议监测引擎和工控协议审计引擎；
[0026]其中，所述五元组访问控制引擎部署有所述粗粒度五元组白名单访问控制策略层，所述工控协议监测引擎部署有所述细粒度协议白名单流量监测策略层，所述工控协议审计引擎部署有所述协议黑名单流量审计策略层。
[0027]本专利技术还提供一种工控流量异常行为防护装置，包括：
[0028]异常行为监测模块，用于获取工控流量，将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略
层，确定所述工控流量中的异常行为；
[0029]报警模块，用于若所述工控流量存在异常行为，则将所述工控流量进行阻断，并产生报警信息；
[0030]其中，所述粗粒度五元组白名单访问控制策略层，用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为；
[0031]所述细粒度协议白名单流量监测策略层，用于进行监测所述工控流量，确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为；
[0032]所述协议黑名单流量审计策略层，用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。
[0033]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述工控流量异常行为防护方法。
[0034]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述工控流量异常行为防护方法。
[0035]本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述工控流量异常行为防护方法。
[0036]本专利技术提供的工控流量异常行为防护方法及系统，通过针对现有存在本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控流量异常行为防护方法，其特征在于，包括：获取工控流量，将所述工控流量依次通过粗粒度五元组白名单访问控制策略层、细粒度协议白名单流量监测策略层和协议黑名单流量审计策略层，确定所述工控流量中的异常行为；若所述工控流量存在异常行为，则将所述工控流量进行阻断，并产生报警信息；其中，所述粗粒度五元组白名单访问控制策略层，用于确定所述工控流量中未知来源地址流量以及已知地址未知端口流量的异常行为；所述细粒度协议白名单流量监测策略层，用于进行监测所述工控流量，确定所述工控流量中的已知协议未知功能码以及已知协议未知参数的异常行为；所述协议黑名单流量审计策略层，用于确定所述工控流量中的已知协议未知功能码、已知协议未知参数以及异常时序的异常行为。2.根据权利要求1所述的工控流量异常行为防护方法，其特征在于，将所述工控流量通过粗粒度五元组白名单访问控制策略层，确定所述工控流量中的异常行为，包括：获取所述工控流量中的五元组信息；将所述五元组信息与所述粗粒度五元组白名单访问控制策略层的五元组访问控制列表进行比对；若所述五元组访问控制列表不包含有所述五元组信息，则确定所述工控流量包含异常行为。3.根据权利要求2所述的工控流量异常行为防护方法，其特征在于，所述五元组信息包括源IP地址、源端口、目的IP地址、目的端口和传输协议。4.根据权利要求1所述的工控流量异常行为防护方法，其特征在于，将所述工控流量通过细粒度协议白名单流量监测策略层，确定所述工控流量中的异常行为，包括：获取所述工控流量中的工控协议信息；将所述工控协议信息与所述细粒度协议白名单流量监测策略层的协议流量监测策略列表进行对比；若所述协议流量监测策略列表中不包含所述工控协议信息，则确定所述工控流量存在异常行为。5.根据权利要求1所述的工控流量异常行为防护方法，其特征在于，将所述工控流量通过协议黑名单流量审计策略层，确定所述工控流量中的异常行为，包括：获取所述工控流量中的工控协议信息；将所述工控协议信息与所述协议黑名单流量审计策略层的协议流量审计策略...

【专利技术属性】
技术研发人员：吕飞，孙利民，吕世超，潘志文，薛娜，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：