本發明涉及工業控制領域，并且更具體地涉及一種工業控制動態防御方法和系統。

背景技術：

工業控制技術是一種運用計算機、控制理論、儀器儀表和其它信息技術，對工業生產過程實現檢測、控制、優化、調度、管理和決策，達到增加產量、提高質量、降低消耗、確保安全等目的的綜合性技術。

通常，工業控制領域中的應用要滿足如下要求：可用性、完整性、保密性，而且工業設備的設計通常是按照可用性優先的原則進行設計，這種情況制約了工業環境中的數據保密性，存在重大的安全隱患。在國家基礎設施發生重大事件的時候，均有傳統網絡防護設備的介入，但是無法針對我國工業環境進行防御，通過對兩者技術要點的研究發現存在如下幾個問題：(1)在工業環境中，傳統的網絡防護設備不能識別工業協議；(2)在工業環境中，傳統的防護手段是以保密性優先的，這樣極大的阻礙了工業生產的正常運行，例如正在運轉的發電機可能因為防火墻的異常阻止而突然失速，造成嚴重的破壞；(3)在工業環境中，通常需要與互聯網隔離，而傳統的防火墻等設備策略大多需要聯網更新固件，這樣就給黑客帶來了便利的入侵條件。

現有的工業控制技術大多針對黑名單(漏洞庫)的方式進行記錄判斷，而同于收集和積累黑名單的方法各有不同，無法做到精準防御，誤報漏報的情況經常發生。少數技術通過工業白名單的手段進行技術架構設計，但多數工業環境使用的是私有協議，無法進行協議開源共享，而且工業中所 使用的設備大多使用私有協議進行傳輸，工業協議的私有性大大增加了白名單的防護精度，兼容性也將大大減少。因此，急需解決的是增加對私有協議的兼容性，加大工業白名單的防護精度，減少誤報漏報的情況。進一步，工業現場不止會出現網絡安全威脅，同樣存在來自于內網的合規操作發生在違規時間的情況，這樣就會造成嚴重的破壞，而破壞后通過查看防火墻以及常規防護設備的記錄無法發現這些正常的操作。

技術實現要素：

本發明主要解決的技術問題是提供一種工業控制動態防御方法和系統，以實現工業環境中精準識別工業私有協議、根據工業環境的特殊性進行軟件的創新設計以實現符合工業可用性優先特性的軟件體系、以及采用內網或專網管理方式以接觸式本地化升級的方式解決工業現場無法聯網更新的問題。

為了實現上述技術問題，本發明提供了一種工業控制動態防御方法，包括以下步驟：

清洗工業網絡流量數據以得到干凈的工業控制協議流量數據；

對工業控制協議流量數據進行判斷以獲知工業控制協議是已知的或者未知的；

記錄未知的工業控制協議的協議數據格式，通過長時間的大數據量的記錄獲取工業控制協議的數據區間范圍；

根據區間范圍進行協議內容智能填充，并整合協議格式和填充后的數據以形成學習結果；

根據學習結果，生成動態變化的白名單；

根據白名單，進行工業控制動態防御。

根據本發明的一個實施例，工業控制動態防御方法進一步包括在生成動態變化的白名單的步驟之后在應用節點部署緩存數據庫以緩存節點數據。

根據本發明的一個實施例，工業控制動態防御方法進一步包括備份并永久性存儲節點數據。

根據本發明的一個實施例，白名單包含行為人、行為時間、操作內容中的一種或多種。

根據本發明的一個實施例，在工業控制協議是已知的情況下，忽略已知的工業控制協議。

根據本發明，提供一種工業控制動態防御方法，該方法包括以下步驟：

根據緩存數據庫中的動態白名單，對經過清洗的工業控制協議流量數據進行交互匹配；

根據匹配的結果，對工業控制協議流量數據進行判定操作。

根據本發明的一個實施例，判定操作包括允許或者阻止工業控制協議流量數據通過。

根據本發明，提供一種工業控制動態防御系統，該系統包含流量分析模塊、與流量分析模塊通信連接的工控協議判定模塊、與工控協議判定模塊通信連接的智能學習模塊、與智能學習模塊通信連接的動態白名單生成模塊、與動態白名單生成模塊通信連接的分布式緩存數據庫、與分布式緩存數據庫通信連接并相互傳遞數據的集群存儲數據庫、與分布式緩沖數據庫通信連接的動態協議匹配模塊、以及與動態協議匹配模塊通信連接的行為判定模塊，其中，

流量分析模塊用于對工業網絡流量進行詳細分析，清洗工業網絡流量以得到干凈的工業控制協議流量數據；

工控協議判定模塊用于對清洗后的工業控制協議流量進行已知的或未知的判定，忽略已知的工業控制協議流量數據；

智能學習模塊用于記錄工控協議判定模塊中得到的未知的工業控制協議流量數據數據格式，通過長時間的大數據量的記錄獲取協議數據區間范圍，并根據區間范圍進行協議內容智能填充，整合協議數據格式和填充后的數據以形成學習結果；

動態白名單生成模塊用于根據智能學習模塊的學習結果，生成最終的動態變化的白名單；

分布式緩存數據庫用于在應用節點部署緩存數據庫以緩存節點數據并實施寫入/讀取的操作；

動態協議匹配模塊用于將網絡流量數據進行分解，并通過查詢分布式緩存數據庫中的白名單進行交互匹配；和

行為判定模塊用于根據動態協議匹配模塊的結果進行內核級的判定操作。

根據本發明的一個實施例，工業控制動態防御系統進一步包括集群存儲數據庫，用于對分布式緩存數據庫中的內容進行備份并永久性存儲記錄。

根據本發明的一個實施例，判定操作包括允許或者阻止工業控制協議流量數據通過。

根據本發明，保留了所有的工業數據，詳細記錄了行為的時間、行為人、操作內容等，為系統事件進行行為回溯、事件關聯提供了一系列的過程依據。具備對所存儲的海量數據的快速回溯能力，具備對任一時段內的海量數據進行快速檢索和挖掘的能力，原因在于工業數據為了達到高可用性和高實時性，所以數據結構簡單，經過一段時間分析可以不用逆向分析私有協議，生成動態適應工業協議的白名單結構，而且該白名單屬于動態自適應類型，隨著數據的積累以及時間的增加會生成一套完整的可用于進行動態防御的定制化白名單。完整解決了需要逆向私有協議、適應不同工業現場的環境而進行定制化開發費時費力、兼容性弱、防護精度達不到要求等弱點。

附圖說明

圖1為根據本發明的一個實施例的工業控制動態防御方法的流程圖；

圖2為根據本發明的另一個實施例的工業控制動態防御方法的流程圖；

圖3為本發明的工業控制動態防御系統的結構示意圖。

具體實施方式

為了使本發明的目的、技術方案及優點更加清楚明白，下面結合附圖，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅用以解釋本發明，并不用于限定本發明。

圖1示出了根據本發明的第一實施例的一種工業控制動態防御方法，其中所示的方法開始于步驟S101。在步驟S101，對工業網絡流量數據進行詳細分析，并且對工業網絡流量數據進行清洗以得到干凈的工業控制協議流量數據。在步驟S102，判斷所獲得的工業控制協議流量數據是否是已知的工業控制協議，如果所獲得的工業控制協議流量數據是已知的，則忽略該工業控制協議流量數據，方法結束，否則，方法前進到步驟S103。在步驟S103，通過智能學習引擎深度學習所獲得的未知的工業控制協議流量數據，并記錄學習到的協議數據格式，其中，在經過長時間的大數據量的記錄后，可以獲取協議數據區間范圍，然后方法前進到步驟S104。在步驟S104，根據步驟S103中獲得的區間范圍可以進行協議內容的智能填充，上述智能填充的方式可以為現有技術中的任何一種智能填充方法。隨后對協議格式和填充后的數據進行整合以形成學習結果，然后方法前進到步驟S105。在步驟S105，根據智能學習引擎的學習結果，生成最終的動態變化的白名單，然后方法前進到步驟S106。在步驟S106，將所生成的白名單緩存在緩存數據庫中，同時，將所生成的白名單備份并永久存儲在集群存儲數據庫中，為用戶提供網絡問題的追蹤和取證，并提供相關原始數據的下載分析，進一步，對任意時間段內的海量數據，可以進行快速檢索和挖掘，采用數據關聯、篩選過濾、挖掘分析等手段進行大數據分析，然后方法前進到步驟S107。在步驟S107，根據所保存的白名單，進行工業控制動態防御處理，方法結束。

圖2示出了根據本發明的第二實施例的一種工業控制動態防御方法，其中所述方法開始于步驟S201。在步驟S201，對接入的流量數據進行分解以獲得工業控制協議流量數據，然后根據事先存儲的動態變化的白名單，對所獲得的工業控制協議流量數據進行交互匹配，然后方法前進到步驟S202。在步驟S202，根據步驟S201中匹配的結果，對工業控制協議流量 數據進行內核級的判斷操作，以允許或阻止工業控制協議流量數據通過而進入工業內網，方法結束。

圖3示出了根據本發明的一種工業控制動態防御系統，所述系統包含以下模塊：流量分析模塊，用于對工業網絡流量數據進行詳細分析，清洗工業網絡流量數據以得到干凈的工業控制協議流量數據；工控協議判定模塊，其與流量分析模塊通信連接，用于判定經過清洗的工業控制協議流量數據是已知的工業控制協議流量數據或者是未知的工業控制協議流量數據，如果是已知的工業控制協議流量數據，則忽略該流量數據，如果是未知的工業控制協議流量數據，則將該未知的工業控制協議流量數據輸入到智能學習模塊以進行深度學習；智能學習模塊，其與工控協議判定模塊通信連接，用于記錄工控協議判定模塊中得到的未知的工業控制協議流量數據數據格式，通過長時間的大數據量的記錄可以獲得工業控制協議數據區間范圍，然后根據該區間范圍可以進行協議內容智能填充，并整合協議數據格式和填充后的數據以形成學習結果；動態白名單生成模塊，其與智能學習模塊通信連接，用于根據智能學習模塊的學習結果，生成最終的動態變化的白名單；分布式緩存數據庫，其與動態白名單生成模塊通信連接，用于在應用節點部署緩存數據庫以緩存節點數據并實施寫入/讀取的操作；集群存儲數據庫，其與分布式緩存數據庫通信連接并可以相互傳遞數據，用于對分布式緩存數據庫中的內容進行備份并永久性存儲記錄；動態協議匹配模塊，其與分布式緩存數據庫通信連接，用于將工業網絡流量數據進行分解，并通過查詢分布式緩存數據庫中的白名單進行交互匹配；以及行為判定模塊，其與動態協議匹配模塊通信連接，，用于根據動態協議匹配模塊的結果進行內核級的判定操作，該判定操作具體為允許工業控制協議流量數據通過而進入工業內網或者阻止工業控制協議流量數據通過而進入工業內網，從而實現工業控制的動態防御。應當理解的是，流量分析模塊和動態協議匹配模塊是同時進行的。

以上所述實施例僅表達了本公開的實施方式，其描述較為具體和詳細，但并不能因此而理解為對本公開專利范圍的限制。應當指出的是，對于本領域的普通技術人員來說，在不脫離本公開構思的前提下，還可以做出若 干變形和改進，這些都屬于本公開的保護范圍。因此，本公開專利的保護范圍應以所附權利要求為準。

應當理解的是，任何所述的過程或所述過程中的步驟可以與其它公開的過程或步驟組合以形成本公開范圍內的結構。本文公開的示例性結構、和過程是為了說明的目的，而不應被解釋為限制。

還應當理解的是，在不脫離本公開的概念的情況下，可以對上述結構和方法進行變化和修改，并且進一步地，應當理解的是，這些概念旨在由所附權利要求覆蓋，除非這些權利要求通過它們的語言另有明確說明。此外，如下所述的權利要求被并入并構成該具體實施方式的一部分。