【技术实现步骤摘要】
本专利技术涉及工业控制,尤其涉及一种面向工控网络的iec104协议防护方法以及设备。
技术介绍
1、iec104是一项由iec(international electrotechnical commission,国际电工委员会)发布的国际标准,属于电力系统控制和通信委员会编制的iec 61850-5-104规约。该规约广泛应被配置为电力、城市轨道交通等行业,涉及民生和国防安全。
2、随着工业控制系统与互联网的连接增多,工业控制系统面临着日益严峻的安全挑战。当前互联网上存在大量的攻击,这直接威胁到工业控制系统的安全。目前主要的风险如下:
3、(1)攻击者采用畸形报文攻击,迫使iec104服务端无法正常处理,导致服务器无法正常运行或崩溃。
4、(2)攻击者采用ddos攻击,耗尽服务端资源,妄图使服务端无法与正常设备通信。
5、(3)攻击者往工控网络中注入大量杂包,占用网络带宽,迫使iec104等网络无法正常通信。
6、(4)攻击者模拟客户端发送iec104。使iec104报文对应位号的阈值远超正常范围,导致功能无法正常使用。
7、(5)缺少iec104深度检测,缺少iec104事务流程监控、标志类型判断、信息体数据处理、时标异常检测等。易受到iec104回放攻击、篡改报文攻击、假冒攻击等。
8、(6)常规方法检查到异常iec104报文,进行拦截,会导致iec104网络中断,无容错处理机制。
9、(7)缺少对管理者身份认证、权限检查。>
10、综上,亟需一种有效解决目前iec104服务面临的攻击风险的方案。
技术实现思路
1、(一)要解决的技术问题
2、鉴于现有技术的上述缺点、不足,本专利技术提供一种面向工控网络的iec104服务防护方法以及设备,其解决了现有技术无法有效应对iec104服务面临的攻击风险的技术问题。
3、(二)技术方案
4、为了达到上述目的,本专利技术采用的主要技术方案包括:
5、第一方面,本专利技术实施例提供一种面向工控网络的iec104服务防护方法,包括:
6、对传输过来的若干设备流量进行信息统计以形成资产名单;
7、将资产名单中的各个资产依次通过设备带宽管理、资产黑/白名单匹配、协议识别以及服务器带宽管理,得到先期可放行资产;
8、通过对先期可放行资产中的iec104服务资产实施位号级解析,以进行包括类型标识识别、位号权限判断以及信息体检查的综合检测,再将信息体与设定的功能码白名单和位号白名单进行匹配通过判断;
9、在匹配结果通过时,则根据综合检测信息,通过分时段统计iec104服务资产的iec104报文的符合功能码白名单和位号白名单的位号信息,生成智能学习信息并将该资产放行,发往对端;
10、在匹配结果不通过时,则根据智能学习信息,查找对应时段iec104服务资产的符合功能码白名单和位号白名单的位号信息,基于查找信息修改当前时段iec104报文的异常数据段,修改完成之后,将该资产放行,发往对端。
11、可选地,将资产名单中的各个资产依次通过设备带宽管理、资产黑/白名单匹配、协议识别以及服务器带宽管理,得到先期可放行资产包括:
12、获取当前网口的总流量带宽a和每个资产的流量带宽为nx;
13、若当前网口总带宽a低于网口设定带宽阈值b,全部资产进入后续的资产黑/白名单匹配步骤;
14、若当前网口总带宽a不低于网口设定带宽阈值b,则对当前资产进行排序,使满足n1+n2+...+nx≤b的部分资产流量优先放行,进入后续的资产黑/白名单匹配步骤;
15、将各个资产依次与预设的资产黑/白名单进行匹配;
16、若资产与黑名单匹配成功,则对该资产实施拦截,阻断流量;
17、若资产与白名单匹配成功,则进入后续的协议识别步骤;
18、基于协议端口和特征关键字,识别进入的资产的协议种类,并打上相应的标签;
19、针对打上iec104标签的资产,将其流量优先级设定为前n名,得到先期可放行资产;
20、针对打上非iec104标签的资产,先判断具体协议类型,收集包含流量大小和速率的资产相关信息,再根据协议类型标签进行基本格式检查,将检查合格的资产放行,发往对端,将检测不合格的资产拦截,阻断流量。
21、可选地,若资产与黑名单和白名单均未匹配成功,则判断服务端是否到达资源承受上限;
22、若到达资源承受上限,则对该资产实施拦截,阻断流量;
23、若未到达资源承受上限,则对资产依次进行畸形报文检测和ddos攻击检测,将在畸形报文检测和ddos攻击检测中至少一项不通过的资产加入黑名单,将在畸形报文检测和ddos攻击检测中均通过的资产加入白名单,并将新加入白名单的资产也进入后续的协议识别步骤。
24、可选地,通过对先期可放行资产中的iec104服务资产实施位号级解析,以进行包括类型标识识别、位号权限判断以及信息体检查的综合检测,再将信息体与设定的功能码白名单和位号白名单进行匹配通过判断包括:
25、对先期可放行资产中的iec104服务资产实施位号级解析,提取基本数据信息;
26、对基本数据信息进行iec104头部协议固定标识检查、数据长度判断、针对同一流量的发送和接收序列号重复性检查、非法iec104数据内容检查、时标格式判断以及检查失败的数据丢弃之中的至少一项基本协议格式检查;
27、在基本协议格式检查完毕之后,记录iec104服务资产的发送和接收序列以及时标信息,并针对发送和接收序列做乱序包检查和针对时标信息判断流量回放攻击;
28、在乱序包检查和流量回放攻击判断完毕之后,提取iec104服务资产的报文各个字段信息,生成事务体;
29、根据iec104协议规约,提取事务体的数据格式功能码字段,与预设的功能码白名单进行匹配,若功能码匹配通过,则进行位号白名单匹配步骤;若功能码匹配未通过,则丢弃数据包;
30、根据iec104协议规约,提取事务体的包含数据格式传输原因、应用服务数据单元公共地址、信息体、品质描述词的关键字段,与预设的位号白名单进行匹配,若位号白名单匹配通过,则放行数据包,若位号白名单匹配未通过,则丢弃数据包。
31、可选地,
32、在匹配结果通过时,则根据综合检测信息,通过分时段统计iec104服务资产的iec104报文的符合功能码白名单和位号白名单的位号信息,生成智能学习信息并将该资产放行,发往对端包括:
33、在匹配结果通过时,按照设定的间隔时段统计iec104报文的符合功能码白名单和位号白名单规定数值的包含iec104类型标识、传输原因、应用服务数据单元公共地址、信息体、品质描述词以及时标的位号信息;
34、将统计得到的位号本文档来自技高网...
【技术保护点】
1.一种面向工控网络的IEC 104服务防护方法,其特征在于,包括:
2.如权利要求1所述的面向工控网络的IEC 104服务防护方法,其特征在于,将资产名单中的各个资产依次通过设备带宽管理、资产黑/白名单匹配、协议识别以及服务器带宽管理,得到先期可放行资产包括:
3.如权利要求2所述的面向工控网络的IEC 104服务防护方法,其特征在于,若资产与黑名单和白名单均未匹配成功,则判断服务端是否到达资源承受上限;
4.如权利要求1所述的面向工控网络的IEC 104服务防护方法,其特征在于,通过对先期可放行资产中的IEC 104服务资产实施位号级解析,以进行包括类型标识识别、位号权限判断以及信息体检查的综合检测,再将信息体与设定的功能码白名单和位号白名单进行匹配通过判断包括:
5.如权利要求1-4任一项所述的面向工控网络的IEC 104服务防护方法,其特征在于,
6.一种面向工控网络的IEC 104服务防护设备,其特征在于,包括:
7.如权利要求6所述的面向工控网络的IEC 104服务防护设备,其特征在于,资产名单生
8.如权利要求7所述的一种面向工控网络的IEC 104服务防护设备,其特征在于,深度解析模块包括:
9.如权利要求6所述的面向工控网络的IEC 104服务防护设备,其特征在于,
10.如权利要求6-9任一项所述的面向工控网络的IEC 104服务防护设备,其特征在于,包括:权限管理模块,被配置为给操作人员分配如下不同权限:划分为安全管理员、审计管理员以及系统管理员;
...【技术特征摘要】
1.一种面向工控网络的iec 104服务防护方法,其特征在于,包括:
2.如权利要求1所述的面向工控网络的iec 104服务防护方法,其特征在于,将资产名单中的各个资产依次通过设备带宽管理、资产黑/白名单匹配、协议识别以及服务器带宽管理,得到先期可放行资产包括:
3.如权利要求2所述的面向工控网络的iec 104服务防护方法,其特征在于,若资产与黑名单和白名单均未匹配成功,则判断服务端是否到达资源承受上限;
4.如权利要求1所述的面向工控网络的iec 104服务防护方法,其特征在于,通过对先期可放行资产中的iec 104服务资产实施位号级解析,以进行包括类型标识识别、位号权限判断以及信息体检查的综合检测,再将信息体与设定的功能码白名单和位号白名单进行匹配通过判断...
【专利技术属性】
技术研发人员:余梦达,陈银桃,郭正飞,马纳,谢全兴,
申请(专利权)人:中控技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。