[发明专利]工业控制动态防御方法和系统

权利要求书

1.一种工业控制动态防御方法，其特征在于，所述方法包括以下步骤：

清洗工业网络流量数据以得到干净的工业控制协议流量数据；

对所述工业控制协议流量数据进行判断以获知所述工业控制协议流量数据是已知的或者未知的；

通过智能学习引擎深度学习所获得的未知的工业控制协议流量数据，并记录学习到的协议数据格式，通过长时间的大数据量的所述记录获取协议数据区间范围；

根据所述区间范围进行协议内容智能填充，并整合协议数据格式和填充后的数据以形成学习结果；

根据所述学习结果，生成动态变化的白名单；

根据所述白名单，进行工业控制动态防御；

其中，清洗工业网络流量数据的同时对所述工业网络流量数据进行分解以获得工业控制协议流量数据，并根据事先存储的动态变化的白名单，对所获得的工业控制协议流量数据进行交互匹配，并根据所述匹配的结果，对所述工业控制协议流量数据进行判定操作。

2.根据权利要求1所述的工业控制动态防御方法，其特征在于，所述方法进一步包括在所述生成动态变化的白名单的步骤之后在应用节点部署缓存数据库以缓存节点数据。

3.根据权利要求2所述的工业控制动态防御方法，其特征在于，所述方法进一步包括对所述节点数据进行备份并永久性存储。

4.根据权利要求1所述的工业控制动态防御方法，其特征在于，所述白名单包含行为人、行为时间、操作内容中的一种或多种。

5.根据权利要求1所述的工业控制动态防御方法，其特征在于，在所述工业控制协议流量数据是已知的情况下，忽略所述已知的工业控制协议流量数据。

6.根据权利要求1所述的工业控制动态防御方法，其特征在于，所述判定操作包括允许或者阻止所述工业控制协议流量数据通过。

7.一种工业控制动态防御系统，其特征在于，所述系统包含流量分析模块、与所述流量分析模块通信连接的工控协议判定模块、与所述工控协议判定模块通信连接的智能学习模块、与所述智能学习模块通信连接的动态白名单生成模块、与所述动态白名单生成模块通信连接的分布式缓存数据库、与所述分布式缓存数据库通信连接并相互传递数据的集群存储数据库、与所述分布式缓存数据库通信连接的动态协议匹配模块、以及与所述动态协议匹配模块通信连接的行为判定模块，其中，

所述流量分析模块用于对工业网络流量数据进行详细分析，清洗所述工业网络流量以得到干净的工业控制协议流量数据；

所述工控协议判定模块用于对所述清洗后的所述工业控制协议流量数据进行已知的或未知的判定，忽略已知的所述工业控制协议流量数据；

所述智能学习模块用于通过智能学习引擎深度学习所获得的未知的工业控制协议流量数据，并记录学习到的协议数据格式，通过大数据量的所述记录获取所述协议数据区间范围，并根据所述区间范围进行协议内容智能填充，整合协议数据格式和填充后的数据以形成学习结果；

所述动态白名单生成模块用于根据所述智能学习模块的所述学习结果，生成最终的动态变化的白名单；

所述分布式缓存数据库用于在应用节点部署缓存数据库以缓存节点数据并实施写入/读取的操作；

所述动态协议匹配模块用于将所述工业网络流量数据进行分解以获得工业控制协议流量数据，并通过查询所述分布式缓存数据库中的事先存储的动态变化的白名单对所获得的工业控制协议流量数据进行交互匹配；和

所述行为判定模块用于根据所述动态协议匹配模块的结果进行内核级的判定操作；

其中，所述流量分析模块和动态协议匹配模块同时进行。

8.根据权利要求7所述的工业控制动态防御系统，其特征在于，所述系统进一步包括集群存储数据库，用于对所述分布式缓存数据库中的内容进行备份并永久性存储记录。

9.根据权利要求8所述的工业控制动态防御系统，其特征在于，所述判定操作包括允许或者阻止所述工业控制协议流量数据通过。