一種基于漏斗式白名單的工控網絡信息安全監控方法
【技術領域】
[0001]本發明涉及工業控制網絡信息安全領域，尤其涉及一種基于漏斗式白名單的工控網絡信息安全監控方法。
【背景技術】
[0002]隨著信息化的推動和工業化進程的加速，越來越多的計算機和網絡技術應用于工業控制系統，使得工業控制系統與傳統企業網絡高度一體化，在為工業生產帶來極大推動作用的同時也帶來了諸如木馬、病毒、網絡攻擊等安全問題。
[0003]根據工業安全事件信息庫RISI的統計，截止2011年，全球已經發生200余起針對工業控制系統的重大攻擊事件，尤其在2000年之后，隨著通用協議、通用硬件、通用軟件在工業控制系統中的應用，對過程控制和數據采集監控系統的攻擊增長了近10倍。因此，加深企業工控安全意識，打造一個高安全性的工控網絡環境是我國信息化建設中一個亟需解決的問題。雖然現在的網絡監控產品很多，但由于這些產品的局限性，他們面向的多是傳統信息網絡，還不能徹底解決廣泛存在的以太網監聽和管理問題，特別是工控領域中大部分的工業協議尚未開始進行解析，同時很多系統供應商大量采用私有協議，因此，針對工控領域的具有工控特色的網絡信息安全技術正在逐步深化。
[0004]本發明針對現有網絡監控產品的不足，進一步結合工控網絡特色，拓展工業通信協議的相關研究，形成漏斗式白名單的工控網絡信息安全監控方法，建立基于白名單漏斗的完整工控網絡監控體系，為工控領域信息流和指令流分析提供數據分析方法，為工控信息安全策略的制定提供基礎和驗證工具，是非常符合傳統信息安全發展和工控領域對信息安全需要的解決思路，從而進行進一步的創新。

【發明內容】

[0005]針對以上缺陷，本發明針對工控網絡提供一種基于漏斗式白名單的信息安全監控方法。
[0006]為實現上述目的，本發明采用以下技術方案:
一種基于漏斗式白名單的工控網絡信息安全監控方法，其原理如下:
⑴深度解析工業通信數據:掌握工業通信協議還原能力，在此能力的基礎上，建立數據解析列表，包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用協議類型、工控協議類型等元素，通過某個時間段的學習，將獲得的樣本信息貯存在列表中，在網絡流的基礎上構造指令流、信息流時序模型。
[0007]⑵針對工控網絡中合法操作建立可信架構:工控網絡中用戶資產需可信，體現在接入網絡中的設備可信；工控網絡中通信行為需可信，體現在運行在控制網中的應用程序可信；工控網絡中通信信令需可信，體現在上位機下發的操作指令可信、下位機上傳的閾值參數可信。
[0008]⑶基于可信架構建立漏斗式白名單:將可信行為貯存在數據解析列表中，通過匹配IP、MAC，監控控制網中設備；通過匹配通用協議類型及端口，監控控制網中通信行為；通過匹配工控協議類型及端口，監控控制網中協議指令。基于此生成一個漏斗式的白名單庫，所有工控網絡中的數據必須經過白名單漏斗的過濾，無法通過的數據為可疑數據，產生報警，通知管理人員干預。
[0009]本發明所述的基于漏斗式白名單的工控網絡信息安全監控方法的有益效果為: ⑴基于工業通信協議的深度解析實現對生產控制行為異常監測:解決了傳統信息安全領域無法實現的對工業通信協議的識別與解析。實現了對Modbus協議、S7協議、OPC協議、IEC104協議、DNP3.0協議、61850協議等主流工業通信協議的功能碼及相關指令的解析，讓工控設備之間的通信語言透明化，打破傳統控制系統的黑匣子。
[0010]⑵將實際工業生產流程與信息系統審計行為結合，建立具有工業特色的漏斗式白名單，漏斗式白名單從多種維度監控控制網絡。
[0011]過濾精度高:白名單漏斗層層遞進，接入工控網絡中的設備是合法資產通過第一層、在合法資產上運行的應用程序是合法應用通過第二層、通過合法應用發送的操作指令是合法操作通過第三層；
預警時間早:不同攻擊行為出現在白名單漏斗的不同過濾深度，若威脅無法通過第一層過濾，即時報警，那么若該威脅具有第二、三層的危險便可即時發現，提早報警，可對未知威脅進行提前預警。
【附圖說明】
[0012]下面根據附圖對本發明作進一步詳細說明。
[0013]圖1是本發明實施例所述基于漏斗式白名單的工控網絡信息安全監控方法的實現方式示意圖。
【具體實施方式】
[0014]如圖1所示，本發明實施例所述的基于漏斗式白名單的工控網絡信息安全監控方法，由以下步驟組成:
⑴深度解析工業通信數據:掌握工業通信協議還原能力，在此能力的基礎上，建立數據解析列表，包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用協議類型、工控協議類型等元素，通過某個時間段的學習，將獲得的樣本信息貯存在列表中，在網絡流的基礎上構造指令流、信息流時序模型。
[0015]⑵針對工控網絡中合法操作建立可信架構:工控網絡中用戶資產需可信，體現在接入網絡中的設備可信；工控網絡中通信行為需可信，體現在運行在控制網中的應用程序可信；工控網絡中通信信令需可信，體現在上位機下發的操作指令可信、下位機上傳的閾值參數可信。
[0016]⑶基于可信架構建立漏斗式白名單:將可信行為貯存在數據解析列表中，通過匹配IP、MAC，監控控制網中設備；通過匹配通用協議類型及端口，監控控制網中通信行為；通過匹配工控協議類型及端口，監控控制網中協議指令。基于此生成一個漏斗式的白名單庫，所有工控網絡中的數據必須經過白名單漏斗的過濾，無法通過的數據為可疑數據，產生報警，通知管理人員干預。
[0017]以上本發明實施例所述的基于漏斗式白名單的工控網絡信息安全監控方法，①對工業通信數據的深度解析需要具體協議具體分析，基本解析方法為協議還原，針對不同工業通信協議定制開發，對協議地址、協議功能碼、協議數據內容及其有效性等進行解析，得到工控網絡中資產信息、資產應用通信信息、應用操作指令信息，貼合工業特色，解決實際問題。
[0018]②對工控網絡安全隱患分析，針對工控網與互聯網連接風險、非法設備接入風險以及移動介質進入工控網風險進行分析，建立工控網絡可信架構，實現全面監控控制網中設備，幫助客戶對資產了如指掌，防范未授權軟件或程序在控制網內運行，增強控制網絡安全性，深度解析上下位機之間通信信令，對指令下發、參數上行、組態變更、負載變更等進行實時監控。
[0019]基于①與②實現原理，生成白名單漏斗，過濾精度高，提早預警時間，貼合工控領域信息安全需求，可以很大程度上提高工業控制網絡的安全。
[0020]上述對實施例的描述是為了便于該技術領域的普通技術人員能夠理解和應用本案技術，熟悉本領域技術的人員顯然可輕易對這些實例做出各種修改，并把在此說明的一般原理應用到其它實施例中而不必經過創造性的勞動。因此，本案不限于以上實施例，本領域的技術人員根據本案的揭示，對于本案做出的改進和修改都應該在本案的保護范圍內。
【主權項】
1.一種基于漏斗式白名單的工控網絡信息安全監控方法，其特征在于，由以下步驟組成: ⑴深度解析工業通信數據:掌握工業通信協議還原能力，在此能力的基礎上，建立數據解析列表，包含源IP、目的IP、源MAC、目的MAC、源端口、目的端口、通用協議類型、工控協議類型等元素，通過某個時間段的學習，將獲得的樣本信息貯存在列表中，在網絡流的基礎上構造指令流、信息流時序模型； (2)針對工控網絡中合法操作建立可信架構:工控網絡中用戶資產需可信，體現在接入網絡中的設備可信；工控網絡中通信行為需可信，體現在運行在控制網中的應用程序可信；工控網絡中通信信令需可信，體現在上位機下發的操作指令可信、下位機上傳的閾值參數可信； ⑶基于可信架構建立漏斗式白名單:將可信行為貯存在數據解析列表中，通過匹配IP、MAC，監控控制網中設備；通過匹配通用協議類型及端口，監控控制網中通信行為；通過匹配工控協議類型及端口，監控控制網中協議指令，基于此生成一個漏斗式的白名單庫，所有工控網絡中的數據必須經過白名單漏斗的過濾，無法通過的數據為可疑數據，產生報警，通知管理人員干預。2.根據權利要求1所述的基于漏斗式白名單的工控網絡信息安全監控方法，其特征在于:所述工業通信協議深度解析方法基于協議還原能力實現，將網絡通信數據信息貯存在數據解析列表中，與白名單數據解析列表模型進行匹配，從而進行報警分析。3.根據權利要求1所述的基于漏斗式白名單的工控網絡信息安全監控方法，其特征在于:所述白名單漏斗是指接入網絡中的設備均屬合法資產、在合法資產上運行的應用程序均屬合法應用，通過合法應用發送的操作指令均屬合法操作，其過濾方式層層遞進，逐漸深入，具有高過濾精度及提早預警時間的優勢。
【專利摘要】本發明涉及一種基于漏斗式白名單的工控網絡信息安全監控方法，由以下步驟組成：⑴深度解析工業通信數據；⑵針對工控網絡中合法操作建立可信架構；⑶基于可信架構建立白名單漏斗。本發明有益效果為：對多種工業通信協議進行還原分析，有利于實現對生產控制行為的異常監測；結合工控網絡環境建立可信架構，生成具有工業特色的白名單漏斗，高過濾精度實時監控工控網中通信行為，提高對未知威脅感知的預警時間，以穩固工控信息系統環境為核心指導思想，構建監控體系。
【IPC分類】H04L29/06
【公開號】CN105208018
【申請號】CN201510569030
【發明人】李成斌, 張建軍, 王朝棟, 欒少群, 倪華
【申請人】上海三零衛士信息安全有限公司
【公開日】2015年12月30日
【申請日】2015年9月9日