一种基于SDN的工业控制系统动态防御方法及装置专利检索-纵深防御防辐射专利检索查询-专利查询网

积极推动地理标志专门立法

2022-03-10 地理标志，立法，知识产权
保护知识产权是对创新最大的激励

2022-03-10 保护知识产权，创新，激励
谢商华：加快制定知识产权基本法

2022-03-10 知识产权基本法
擦亮“双奥之城”品牌

2022-03-10 双奥，知识产权
让冰雪运动“热”力全开

2022-03-10 冰雪运动，知识产权
携手共奋进　走好强国路

2022-03-10 强国，知识产权
坚持创新引领　方能稳中求进

2022-03-10 创新，稳中求进，知识产权
答好“两张卷” 奋进新征程

2022-03-10 知识产权
专家解读政府工作报告中的创新和知识产权相关部署

2022-03-10 政府工作报告，创新，知识产权
今年政府工作报告指出：加强知识产权保护和运用

2022-03-10 政府工作报告，知识产权保护

一种基于SDN的工业控制系统动态防御方法及装置

阅读：628发布：2020-05-17

IPRDB可以提供一种基于SDN的工业控制系统动态防御方法及装置专利检索，专利查询，专利分析的服务。并且本发明涉及一种基于SDN的工业控制系统动态防御方法及装置，主要步骤包括：软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议，软件定义服务端口模块对工控协议高危端口进行混淆欺骗，软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御。本发明能够适应工业控制系统环境协议庞杂、端口固定、物理链路更改困难的特点，改变工业控制系统单一防护、静态防护的缺陷，最大限度地提高防护的弹性和效率，无需改变物理拓扑，提高对零日漏洞和未知攻击的抵御能力。，下面是一种基于SDN的工业控制系统动态防御方法及装置专利的具体信息内容。

权利要求

1.一种基于SDN的工业控制系统动态防御方法，其步骤包括：

1）软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议；

2）软件定义服务端口模块对工控协议高危漏洞进行混淆欺骗；

3）软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御；

4）SDN控制器定期对安全策略进行动态调整，增加差异性。

2.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义白名单协议模块在SDN控制器中，SDN交换机未识别私有协议时将给控制器发送该数据包Packet(PrP)，控制器调用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树构建协议树进行分类识别出私有协议。

3.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义服务端口模块采用如下方式对对工控协议高危漏洞进行混淆欺骗：

1) 对于认证的通信请求，SDN控制进行端口转换，将默认端口转换成其它端口；

2) 对于非认证的通信请求和恶意扫描请求，SDN控制器将对高危端口的扫描请求诱导迁移到蜜罐服务主机上；

3）服务转换端口的对应转换关系，由SDN控制器进行定期更换。

4.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义纵深防御模块采用如下方式进行弹性防护：

1) 将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池；

2) SDN控制器下发根据纵深防御策略，从防护资源池中实例化一组防护功能模块组成虚拟网络，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统;

3）对于可以流量，SDN控制器直接下发流量调度策略，将流量牵引到蜜罐虚拟网络进行监控；

4) 在完成防护后，SDN控制器下发链路直通流表规则，将通信网络流量从虚拟网络中旁路出来，虚拟资源进行回收。

5.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述SDN控制器定期对安全策略进行动态调整，通过设置SDN交换机的流表中的转发规则的失效时间来实现，转发规则失效以后，SDN控制器下发与旧规则欧氏距离最大的规则到SDN交换机流表中。

6.如权利要求3或4所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述的蜜罐系统为工业控制系统的简化副本虚拟机，网络访问的请求做模拟应答，并记录原始请求的行为和网络数据包。

7.一种基于SDN的工业控制系统动态防御装置，包括软件定义白名单协议模块、软件定义服务端口模块、安全防护虚拟资源池管理模块、软件定义纵深防御模块、SDN控制器安全管理模块和SDN交换机安全转发模块：所述软件定义白名单协议模块，接收大量发往SDN控制器的未识别私有协议的首包数据，用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树进行分类识别出私有协议，并将转发特征返回给SDN控制器；

所述软件定义服务端口模块，分解执行SDN控制进行端口转换策略，对于认证的通信请求将默认端口转换成其它端口，对非认证请求将端口流量迁移到蜜罐系统的对应端口上；

所述安全防护虚拟资源池管理模块，将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池，根据SDN控制器的安全策略需求，从防护资源池中实例化一组防护功能模块组成虚拟网络，包含蜜罐虚拟网络；

所述软件定义纵深防御模块，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统；

SDN控制器安全管理模块，接收SDN北向接口转发上来的网络数据包，通过RESTFul API接收用户软件对SDN控制器的安全管理和安全策略调整，并将安全策略分解为网络调度指令通过南向接口下发到SDN交换机上；

SDN交换机安全转发模块，接收SDN交换下发的安全调度指令进行网络数据的转发。

说明书全文

一种基于SDN的工业控制系统动态防御方法及装置

技术领域

[0001] 本发明涉及一种工业控制系统动态防御方法及装置，具体涉及一种基于SDN的工业控制系统动态防御方法及装置，属于计算机网络安全领域。

背景技术

[0002] 工业控制系统（ICS）是工业生产中所使用的多种类型控制软硬件系统，包括但不限于监控与数据采集系统（SCADA）、集散控制系统（DCS）以及可编程逻辑控制器（PLC）等等。工业控制系统是关键基础设施的重要组成部分，广泛应用在关系国计民生的电力、石油、化工、交通、运输、水利等等。针对工业控制系统的攻击将大大威胁到社会的正常运转，保护工业控制系统安全具有极为重要的意义。工业控制系统在设计之初，缺乏安全防护机制，导致长期运行的大量工业控制系统“带病”运行，高危漏洞层出不穷。近年来，随着TCP/IP协议和
0PC协议等通用协议越来越广泛地应用在工业控制网络中，工业控制系统从封闭走向了开发，安全问题日益突出，安全风险急剧上升。甚至APT攻击（高级可持续性威胁，Advanced Persistent Threat，APT）等国家级对抗的新型攻击手段也集中在工业控制系统领域中。这种APT攻击核心技术是利用0-day 漏洞（也称为零日漏洞）或未公开的漏洞，它是多种攻击手段的组合，其攻击过程缓慢，具有针对性、持续性、隐蔽性。一旦进入目标系统后，为了达到有效的攻击，会持续寻找攻击的宿主目标。

[0003] 工业控制系统的首要原则是保障业务连续性，生产过程中任何的中断都不能被允许。因此，最初的工业控制系统安全方案和专利大都集中在安全审计、安全监控和安全态势感知领域，这种旁路检测的安全方法避免了安全防护在运行过程中对工业控制系统造成中断或重启等影响业务的事故。但是这种监测安全方案无法在形成有效的纵深防御方法，无法做到阻断攻击、实施拦截。

[0004] 与传统网络中的标准协议不同，工业控制系统有大量专用和私有协议如Modbus、DNP3、Profibus、ICCP等，适用于多种应用需求。这些私有协议或为特定工业控制系统产品专用协议，或为封装在 TCP/IP 协议负载内的工业协议。大量的私有协议为进行工业控制系统实时防御提出了巨大的挑战，当前一些工业控制防火墙、工业控制系统入侵防御只能事前设定部分私有协议后对私有协议包进行深度检测，扩展性和通用性比较差。

[0005] 更为重要的，当前以边界防护为特点的工业控制系统安全方法，由于缺乏动态防护的安全策略使得工业控制系统的脆弱性长期暴漏在攻击者面前。如控制中心同站控系统之间主要采用 IEC60870-5-101/104 规约进行通信，但104规约一直采用固定的 2404 端口，存在被窃听、扫描和长期渗透的安全风险。

[0006] 对比分析可知，工业控制系统安全迫切需求动态安全防护方法和装置，对私有协议进行自动识别，动态部署安全防护能力和动态改变高危服务端口。随着软件定义网络（Software Defined Networking: SDN）思想和技术的出现，为实现工业控制系统弹性安全提出了新的思路。

发明内容

[0007] 有鉴于此，本发明公开了一种基于SDN的工业控制系统动态防御方法及装置，主要步骤包括：软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议，软件定义服务端口模块对工控协议高危漏洞进行混淆欺骗，软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御。本发明能够适应工业控制系统环境协议庞杂、端口固定、物理链路更改困难的特点，改变工业控制系统单一防护、静态防护的缺陷，最大限度地提高防护的弹性和效率，无需改变物理拓扑，提高对零日漏洞和未知攻击的抵御能力。

[0008] 本发明的技术方案如下：一种基于SDN的工业控制系统动态防御方法，其步骤包括：1）软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议；
2）软件定义服务端口模块对工控协议高危漏洞进行混淆欺骗；
3）软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御；
4）SDN控制器定期对安全策略进行动态调整，增加差异性。

[0009] 更进一步，所述软件定义白名单协议模块在SDN控制器中，SDN交换机未识别私有协议时将给控制器发送该数据包Packet(PrP)，控制器调用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树构建协议树进行分类识别出私有协议。

[0010] 更进一步，所述软件定义服务端口模块采用如下方式对对工控协议高危漏洞进行混淆欺骗：1) 对于认证的通信请求，SDN控制进行端口转换，将默认端口转换成其它端口；
2) 对于非认证的通信请求和恶意扫描请求，SDN控制器将对高危端口的扫描请求诱导迁移到蜜罐服务主机上；
3）服务转换端口的对应转换关系，由SDN控制器进行定期更换。

[0011] 更进一步，所述软件定义纵深防御模块采用如下方式进行弹性防护：1) 将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池；
2) SDN控制器下发根据纵深防御策略，从防护资源池中实例化一组防护功能模块组成虚拟网络，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统;
3）对于可以流量，SDN控制器直接下发流量调度策略，将流量牵引到蜜罐虚拟网络进行监控；
4) 在完成防护后，SDN控制器下发链路直通流表规则，将通信网络流量从虚拟网络中旁路出来，虚拟资源进行回收。

[0012] 更进一步，所述SDN控制器定期对安全策略进行动态调整，通过设置SDN交换机的流表中的转发规则的失效时间来实现，转发规则失效以后，SDN控制器下发与旧规则欧氏距离最大的规则到SDN交换机流表中。

[0013] 更进一步，所述的蜜罐系统为工业控制系统的简化副本虚拟机，网络访问的请求做模拟应答，并记录原始请求的行为和网络数据包。

[0014] 本发明还提出一种基于SDN的工业控制系统动态防御装置，包括软件定义白名单协议模块、软件定义服务端口模块、安全防护虚拟资源池管理模块、软件定义纵深防御模块、SDN控制器安全管理模块和SDN交换机安全转发模块：所述软件定义白名单协议模块，接收大量发往SDN控制器的未识别私有协议的首包数据，用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树构建协议树进行分类识别出私有协议，并将转发特征返回给SDN控制器；
所述软件定义服务端口模块，分解执行SDN控制进行端口转换策略，对于认证的通信请求将默认端口转换成其它端口，对非认证请求将端口流量迁移到蜜罐系统的对应端口上；
所述安全防护虚拟资源池管理模块，将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池，根据SDN控制器的安全策略需求，从防护资源池中实例化一组防护功能模块组成虚拟网络，包含蜜罐虚拟网络；
所述软件定义纵深防御模块，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统；
SDN控制器安全管理模块，接收SDN北向接口转发上来的网络数据包，通过RESTFul API接收用户软件对SDN控制器的安全管理和安全策略调整，并将安全策略分解为网络调度指令通过南向接口下发到SDN交换机上；
SDN交换机安全转发模块，接收SDN交换下发的安全调度指令进行网络数据的转发。

[0015] 本发明的有益效果是：本发明提供了一种基于SDN的工业控制系统动态防御方法和装置，能够自学习工业控制系统网络中的私有协议，能够对识别私有协议的高危端口进行混淆欺骗，基于SDN弹性调度实现虚拟化安全引擎服务编排，动态调度工业控制系统通信网络流量实现综述防御。本发明能够适应工业控制系统环境协议庞杂、端口固定、物理链路更改困难的特点，改变工业控制系统单一防护、静态防护的缺陷，最大限度地提高防护的弹性和效率，无需改变物理拓扑，提高对零日漏洞和未知攻击的抵御能力。

附图说明

[0016] 附图1是本发明基于SDN的工业控制系统动态防御装置的架构示意图；附图2是本发明对工业控制私有协议自动识别的流程图。

具体实施方式

[0017] 下面结合附图和实施例对本发明作进一步描述：本发明的一实施例中公开的基于SDN的工业控制系统动态防御装置，其步骤为：
1）在工业控制系统网络中部署SDN控制器和SDN交换机，其中，不失一般性，SDN控制采用开源的PoF（Protocol Oblivious Forwarding）软件，SDN交换机支持PoF协议，所述基于SDN的工业控制系统动态防御方法的安全策略由SDN控制器下发，SDN控制器接收SDN北向接口转发上来的网络数据包，通过RESTFul API接收用户软件对SDN控制器的安全管理和安全策略调整，并将安全策略分解为网络调度指令通过南向接口下发到SDN交换机上；
2）安全防护虚拟资源池管理模块，将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池，根据SDN控制器的安全策略需求，从防护资源池中实例化一组防护功能模块组成虚拟网络，包含蜜罐虚拟网络；
3）软件定义白名单协议模块在SDN控制器中，它接收大量发往SDN控制器的未识别私有协议的首包数据，用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树构建协议树进行分类识别出私有协议，并将转发特征返回给SDN控制器；
4）软件定义服务端口模块，分解执行SDN控制进行端口转换策略，对于认证的通信请求将默认端口转换成其它端口，对非认证请求将端口流量迁移到蜜罐系统的对应端口上；
5）SDN控制器中的软件定义纵深防御模块，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统；可以流量诱骗迁移到蜜罐虚拟网络中。

[0018] 以下通过具体的例子对附图中基于SDN的工业控制系统动态防御方法及装置进行进一步的说明：如附图1所示，一种基于SDN的工业控制系统动态防御装置，包括：包括软件定义白名单协议模块、软件定义服务端口模块、安全防护虚拟资源池管理模块、软件定义纵深防御模块、SDN控制器安全管理模块和SDN交换机安全转发模块。其主要步骤包括：
1、所述软件定义白名单协议模块在SDN控制器中，SDN交换机未识别私有协议时将给控制器发送该数据包Packet(PrP)，控制器调用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树构建协议树进行分类识别出私有协议；
2、所述软件定义服务端口模块采用如下方式对对工控协议高危漏洞进行混淆欺骗：
a) 对于认证的通信请求，SDN控制进行端口转换，将默认端口转换成其它端口；
b) 对于非认证的通信请求和恶意扫描请求，SDN控制器将对高危端口的扫描请求诱导迁移到蜜罐服务主机上；
c）服务转换端口的对应转换关系，由SDN控制器进行定期更换；
3、所述软件定义纵深防御模块采用如下方式进行弹性防护：
a) 将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池；
b) SDN控制器下发根据纵深防御策略，从防护资源池中实例化一组防护功能模块组成虚拟网络，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统;
c）对于可以流量，SDN控制器直接下发流量调度策略，将流量牵引到蜜罐虚拟网络进行监控；
d) 在完成防护后，SDN控制器下发链路直通流表规则，将通信网络流量从虚拟网络中旁路出来，虚拟资源进行回收；
4、所述SDN控制器定期对安全策略进行动态调整，通过设置SDN交换机的流表中的转发规则的失效时间来实现，转发规则失效以后，SDN控制器下发与旧规则欧氏距离最大的规则到SDN交换机流表中；
5、所述的蜜罐系统为工业控制系统的简化副本虚拟机，网络访问的请求做模拟应答，并记录原始请求的行为和网络数据包。

[0019] 如附图2所示，一种基于SDN的工业控制系统动态防御装置，其所述软件定义白名单协议模块对工业控制系统私有协议自动识别的方法，步骤如下：1、SDN交换机无法识别的数据包，由SDN协议机制自动发送到SDN控制器，SDN控制器收集到大量的私有协议数据包；
2、软件定义白名单协议模块对多个数据包进行建立协议书算法：
a）首先采用最大偏移量来对两个私有协议的数据包进行相似匹配，如果相似，则归为通一个协议树的节点；
b）如果不相似，则对最大偏移量进行二分拆分，去前一半进行再次匹配，跳转到步骤a;
c）如果不能匹配，则分到协议树的不同分支上，成为不同的协议子项；
d）偏移量长度为0后，数据包处理完成；
e）所有数据包处理完成，协议树生成完成；
3、根据协议树的分支数量，确定识别的私有协议种类，取其根节点到叶子节点之间的数据结构作为协议识别的特征，供SDN交换机和SDN控制器识别。

[0020] 以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用，并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等，都应属于本发明的权利要求的保护范围之内。

标题	发布/更新时间	阅读量
一种核电站控制室故障降级运行方法及系统-专利编号CN110570960A	2020-05-13	166
一种智能网联汽车信息安全保护方法-专利编号CN109088848A	2020-05-18	822
一种电力二次系统主动安全防御系统-专利编号CN104333551A	2020-05-16	313
一种基于云端的智能安全防御系统和方法-专利编号CN103118036A	2020-05-15	792
攻防一体抓捕叉-专利编号CN110779383A	2020-05-14	490
一种基于SDN的工业控制系统动态防御方法及装置-专利编号CN109862045A	2020-05-17	628
一种海上作战防空部署优化设计方法-专利编号CN108520312A	2020-05-19	877
一种基于软件定义网络的安全防御系统及防御方法-专利编号CN104023034B	2020-05-20	351
一种有效应对APT攻击的纵深防御系统-专利编号CN107659582A	2020-05-11	567
一种有效应对APT攻击的纵深防御系统-专利编号CN207518625U	2020-05-12	859

一种基于SDN的工业控制系统动态防御方法及装置

一种基于SDN的工业控制系统动态防御方法及装置

技术领域

背景技术

发明内容

附图说明

具体实施方式

IPRDB

热门服务

关于我们

友情链接

联系方式