[发明专利]一种基于SDN的工业控制系统动态防御方法及装置

权利要求书

1.一种基于SDN的工业控制系统动态防御方法，其步骤包括：

1）软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议；

2）软件定义服务端口模块由SDN控制器进行定期更换服务和端口的对应关系，对于认证的通信请求，将默认端口转换成其它端口，对于非认证的通信请求和恶意扫描请求，诱导迁移到蜜罐服务主机上，从而实现对工控协议高危漏洞的混淆欺骗；

3）软件定义纵深防御模块采用实例化一组虚拟资源池中防护功能模块编排组成虚拟网络，由SDN控制器下发策略迁移流量，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统，可疑流量被牵引到蜜罐虚拟网络进行监控，完成防护后流量被旁路并回收虚拟资源，从而动态调度工业控制系统通信网络流量实现动态防御；

4）SDN控制器定期对安全策略进行动态调整，增加差异性。

2.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义白名单协议模块在SDN控制器中，SDN交换机未识别私有协议时将给控制器发送该未识别私有协议的数据包Packet(PrP)，控制器调用机器学习分类算法统计分析私有协议的各个字段偏移量(Poff)，采用决策树构建协议树进行分类识别出私有协议。

3.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义服务端口模块采用如下方式对对工控协议高危漏洞进行混淆欺骗：

1) 对于认证的通信请求，SDN控制进行端口转换，将默认端口转换成其它端口；

2) 对于非认证的通信请求和恶意扫描请求，SDN控制器将对高危端口的扫描请求诱导迁移到蜜罐服务主机上；

3）服务转换端口的对应转换关系，由SDN控制器进行定期更换。

4.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述软件定义纵深防御模块采用如下方式进行动态防御：

1) 将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐系统虚拟化为防护资源池；

2) SDN控制器下发根据纵深防御策略，从防护资源池中实例化一组防护功能模块组成虚拟网络，动态调度工业控制系统的通信网络流量通过该虚拟网络，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统;

3）对于可疑流量，SDN控制器直接下发流量调度策略，将流量牵引到蜜罐虚拟网络进行监控；

4) 在完成防护后，SDN控制器下发链路直通流表规则，将通信网络流量从虚拟网络中旁路出来，虚拟资源进行回收。

5.如权利要求1所述的基于SDN的工业控制系统动态防御方法，其特征在于，所述SDN控制器定期对安全策略进行动态调整，通过设置SDN交换机的流表中的转发规则的失效时间来实现，转发规则失效以后，SDN控制器下发与旧规则欧氏距离最大的规则到SDN交换机流表中。

6.如权利要求3或4所述的基于SDN的工业控制系统动态防御方法，其特征在于，蜜罐系统为工业控制系统的简化副本虚拟机，网络访问的请求做模拟应答，并记录原始请求的行为和网络数据包。

7.一种基于SDN的工业控制系统动态防御装置，包括软件定义白名单协议模块、软件定义服务端口模块、安全防护虚拟资源池管理模块、软件定义纵深防御模块、SDN控制器安全管理模块和SDN交换机安全转发模块，

所述软件定义白名单协议模块，接收大量发往SDN控制器的未识别私有协议的首包数据，用机器学习分类算法统计分析稀有协议的各个字段偏移量(Poff)，采用决策树进行分类识别出私有协议，并将转发特征返回给SDN控制器；

所述软件定义服务端口模块，分解执行SDN控制进行端口转换策略，对于认证的通信请求将默认端口转换成其它端口，对非认证请求将端口流量迁移到蜜罐系统的对应端口上；

所述软件定义纵深防御模块，将工业控制防火墙、工业控制入侵防御、工业控制网络DDoS防御、蜜罐系统虚拟化为防护资源池，根据SDN控制器的安全策略需求，采用实例化一组虚拟资源池中防护功能模块编排组成虚拟网，包含蜜罐虚拟网络,由SDN控制器下发策略迁移流量，从而动态调度工业控制系统通信网络流量实现多层防御，将经过防护清洗后的流量通过SDN交换机发送给被保护的工业控制目标系统；

SDN控制器安全管理模块，接收SDN北向接口转发上来的网络数据包，通过RESTFul API接收用户软件对SDN控制器的安全管理和安全策略调整，并将安全策略分解为网络调度指令通过南向接口下发到SDN交换机上；

SDN交换机安全转发模块，接收SDN交换下发的安全调度指令进行网络数据的转发。