专利汇可以提供一种基于SDN的工业控制系统动态防御方法及装置专利检索,专利查询,专利分析的服务。并且本 发明 涉及一种基于SDN的工业控制系统动态防御方法及装置,主要步骤包括: 软件 定义白名单协议模 块 采用偏移量 机器学习 分类方法自动识别工控私有协议,软件定义服务端口模块对工控协议高危端口进行混淆欺骗,软件定义 纵深防御 模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御。本发明能够适应工业控制系统环境协议庞杂、端口固定、物理链路更改困难的特点,改变工业控制系统单一防护、静态防护的 缺陷 ,最大限度地提高防护的弹性和效率,无需改变物理拓扑,提高对零日漏洞和未知攻击的抵御能 力 。,下面是一种基于SDN的工业控制系统动态防御方法及装置专利的具体信息内容。
1.一种基于SDN的工业控制系统动态防御方法,其步骤包括:
1)软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议;
2)软件定义服务端口模块对工控协议高危漏洞进行混淆欺骗;
3)软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御;
4)SDN控制器定期对安全策略进行动态调整,增加差异性。
2.如权利要求1所述的基于SDN的工业控制系统动态防御方法,其特征在于,所述软件定义白名单协议模块在SDN控制器中,SDN交换机未识别私有协议时将给控制器发送该数据包Packet(PrP),控制器调用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff),采用决策树构建协议树进行分类识别出私有协议。
3.如权利要求1所述的基于SDN的工业控制系统动态防御方法,其特征在于,所述软件定义服务端口模块采用如下方式对对工控协议高危漏洞进行混淆欺骗:
1) 对于认证的通信请求,SDN控制进行端口转换,将默认端口转换成其它端口;
2) 对于非认证的通信请求和恶意扫描请求,SDN控制器将对高危端口的扫描请求诱导迁移到蜜罐服务主机上;
3)服务转换端口的对应转换关系,由SDN控制器进行定期更换。
4.如权利要求1所述的基于SDN的工业控制系统动态防御方法,其特征在于,所述软件定义纵深防御模块采用如下方式进行弹性防护:
1) 将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池;
2) SDN控制器下发根据纵深防御策略,从防护资源池中实例化一组防护功能模块组成虚拟网络,动态调度工业控制系统的通信网络流量通过该虚拟网络,将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统;
3)对于可以流量,SDN控制器直接下发流量调度策略,将流量牵引到蜜罐虚拟网络进行监控;
4) 在完成防护后,SDN控制器下发链路直通流表规则,将通信网络流量从虚拟网络中旁路出来,虚拟资源进行回收。
5.如权利要求1所述的基于SDN的工业控制系统动态防御方法,其特征在于,所述SDN控制器定期对安全策略进行动态调整,通过设置SDN交换机的流表中的转发规则的失效时间来实现,转发规则失效以后,SDN控制器下发与旧规则欧氏距离最大的规则到SDN交换机流表中。
6.如权利要求3或4所述的基于SDN的工业控制系统动态防御方法,其特征在于,所述的蜜罐系统为工业控制系统的简化副本虚拟机,网络访问的请求做模拟应答,并记录原始请求的行为和网络数据包。
7.一种基于SDN的工业控制系统动态防御装置,包括软件定义白名单协议模块、软件定义服务端口模块、安全防护虚拟资源池管理模块、软件定义纵深防御模块、SDN控制器安全管理模块和SDN交换机安全转发模块:
所述软件定义白名单协议模块,接收大量发往SDN控制器的未识别私有协议的首包数据,用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff),采用决策树进行分类识别出私有协议,并将转发特征返回给SDN控制器;
所述软件定义服务端口模块,分解执行SDN控制进行端口转换策略,对于认证的通信请求将默认端口转换成其它端口,对非认证请求将端口流量迁移到蜜罐系统的对应端口上;
所述安全防护虚拟资源池管理模块,将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐等系统虚拟化为防护资源池,根据SDN控制器的安全策略需求,从防护资源池中实例化一组防护功能模块组成虚拟网络,包含蜜罐虚拟网络;
所述软件定义纵深防御模块,动态调度工业控制系统的通信网络流量通过该虚拟网络,将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统;
SDN控制器安全管理模块,接收SDN北向接口转发上来的网络数据包,通过RESTFul API接收用户软件对SDN控制器的安全管理和安全策略调整,并将安全策略分解为网络调度指令通过南向接口下发到SDN交换机上;
SDN交换机安全转发模块,接收SDN交换下发的安全调度指令进行网络数据的转发。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种基于SDN的工业控制系统动态防御方法及装置 | 2020-05-12 | 168 |
基于车路协同的智能网联汽车运行系统 | 2020-05-13 | 898 |
一种市民卡系统 | 2020-05-14 | 233 |
一种基于Kubernetes构建的容器云安全防护方法与系统 | 2020-05-15 | 355 |
核电站6.6kV移动应急电源的可靠性验证方法 | 2020-05-15 | 805 |
基于核电船运行工况分析的电源供电方式选择方法及装置 | 2020-05-16 | 642 |
CFL人工免疫计算机模型建设方法 | 2020-05-27 | 55 |
一种基于社会资源整合的开放式托盘共用服务方法和系统 | 2020-06-03 | 534 |
一种基于SELinux系统的Linux内核加固方法及硬件平台 | 2020-05-17 | 142 |
一种双堆核电站的主给水系统 | 2020-05-26 | 243 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。