[发明专利]工业网络内生安全边界防护方法、设备及架构

说明书

本发明涉及一种工业网络内生安全边界防护方法、设备及系统，通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；对若干异构过滤审查执行体输出的审查结果进行拟态裁决，基于拟态裁决结果确定是否向现场控制网络转发数据流量并甄别异常执行体来动态调度对数据流量进行过滤审查的执行体上下线。本发明针对工业网络边界防护设备面临的安全威胁，结合拟态防御技术，将过滤审查功能剥离出来，通过异构和冗余过滤审查执行体，缓解工业网络边界防护设备自身未知漏洞或后门所带来的不确定性威胁。

技术领域

本发明属于工业网络边界防护技术领域，特别涉及一种工业网络内生安全边界防护方法、设备及系统。

背景技术

工业控制系统普遍采用了边界防护手段来对自身进行防护，在数字化、智能化、网络化的发展趋势下，网关、防火墙等边界防护设备直接暴露于连接边界。工业网络边界防护是保护工业控制系统的一道重要防线，为工业控制网络内部各区域的连接提供访问控制和流量过滤，实现不同安全级别网络的隔离与信息交换。然而，由于其开发过程中产生的漏洞无法避免，而出于战略目的预留的后门通常也难以检测，再加上边界防护设备在工业控制系统大规模长期静态部署的特性，使得工业控制系统的安全时刻面临威胁。目前常规的工业网络边界防护设备的自身安全依赖于精确的威胁特征，只能用来应对“已知的风险”，无法应对“未知的威胁”。而部署的静态性、防护逻辑的相似性、设备的单一性造成其在网络攻防中始终处于被动的局面。一些关键基础设施的防护设备可能存在未知的漏洞或被植入了后门。工业场景下大规模长期部署且极少变动的特性也使得一些简单变换的方法产生的防御效果增益只能随时间逐渐降低，且无法快速收敛。工业网络边界防护技术主要实现端到端访问控制、协议/命令/控制参数审查、网络异常行为检测、主机恶意扫描防护、DoS攻击防御、中间人欺骗防御等，并通过防护日志及管理日志，来审计各种安全事件。一般工作流程可以简化为“输入-处理-输出”模型(Inputs-Process-Outputs,IPO模型)，其中过滤审查处理环节被定义为功能执行体。功能执行体的漏洞/后门可能会被攻击者扫描识别并加以利用，按照上述的攻击链路发动网络攻击。工业网络边界防护设备在工作时处于网络边界，它的多个网卡分别监听两个不同的网络。子网上的任何数据包都可以到达边界防护设备，并通过操作系统的协议栈传递给过滤审查程序。所以工业网络边界防护设备对于两侧网络上的任意机器(包括上位机和控制器等)来说都是攻击可达的，而且攻击面主要集中在操作系统对数据包的接收、传递和转发的通道，以及过滤审查程序对数据包的处理过程。

由于常规架构和配置方法固有的静态性，目前边界防护技术主要集中于加强静态对抗能力，工业网络边界防护设备主要的不足是防御攻击时依赖于精确的先验知识，部署后的长期处于确定性状态，攻击者可以反复的尝试攻击，一旦找到缺陷(例如过滤审查逻辑缺陷使得伪合法的恶意载荷数据包逃脱检查)，后续可以一直有效利用；面临的主要威胁是可能被植入基于特定载荷触发的漏洞/后门，例如向外部传送工业控制信息或者向内部网络传递非法的控制指令等。而工业网络边界防护设备的静态性造成此类漏洞/后门可以长期有效触发，部署的单一性造成缺乏对比，难以及时察觉，相似性造成一道防线被突破等同于全线被突破。

发明内容

为此，本发明提供一种工业网络内生安全边界防护方法及系统，针对工业网络边界防护设备面临的安全威胁，结合拟态防御技术，将过滤审查功能剥离出来，通过异构和冗余过滤审查执行体，缓解工业网络边界防护设备自身未知漏洞或后门所带来的不确定性威胁。

按照本发明所提供的设计方案，提供一种工业网络内生安全边界防护方法，包含如下内容：

通过网卡监听收集生产管理网络数据流量，将数据流量进行缓存并分发至若干异构过滤审查执行体；

利用过滤审查执行体对数据流量中地址、协议、工业控制协议及控制参数进行过滤审查，并输出审查结果；