[发明专利]双模异构冗余的工控安全网关系统及其入侵感知方法有效
| 申请号: | 201711337561.0 | 申请日: | 2017-12-14 |
| 公开(公告)号: | CN108306854B | 公开(公告)日: | 2021-01-22 |
| 发明(设计)人: | 郑秋华;晏培;章梓航;邵昱文;姜伟;胡鹏飞;李晓建;刘晓明 | 申请(专利权)人: | 杭州电子科技大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/66 |
| 代理公司: | 杭州君度专利代理事务所(特殊普通合伙) 33240 | 代理人: | 黄前泽 |
| 地址: | 310000 浙*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开双模异构冗余的工控安全网关系统及其入侵感知方法。本发明系统包括数据包外部IO分发模块、两个异构的工控安全网关执行模块、数据包内部IO模块、入侵感知模块、故障响应处理模块和系统配置模块。本发明能在正常处理工控数据包转换同时,及时检测感知针对工控网关的入侵和防止利用系统设计或实现缺陷导致的攻击行为,并进行正常业务无扰的入侵响应处理。 | ||
| 搜索关键词: | 双模 冗余 安全网关 系统 及其 入侵 感知 方法 | ||
【主权项】:
1.双模异构冗余的工控安全网关入侵感知方法,其特征在于该方法包括数据包过滤处理流程、入侵感知及响应流程、故障监测及响应处理三个部分;数据包过滤处理流程包含如下步骤:步骤1、数据包外部IO分发模块接收外部网络的输入请求,将数据包分别发送到异构冗余的工控安全网关的主、辅执行体;步骤2、工控安全网关的主、辅执行体均接收到数据包外部IO分发模块发送的数据包,分别按照设定的检测规则对数据包进行解析、分析和检测,将检测结果记录到检测日志文件,并将检测为安全的数据包发送到数据包内部IO模块,若检测为不安全,则触发入侵感知及响应流程;步骤3、数据包内部IO模块接收工控安全网关的主、辅执行体发送的数据包,将主执行体发送的数据包转发到内部工控网络,将辅助执行体的数据包丢弃;步骤4:数据包内部IO模块接收内部工控网络的数据包,发送到工控安全网关的主、辅执行体;步骤5:工控安全网关的主、辅执行体接收数据包内部IO模块返回的数据包,发送到数据包外部IO分发模块;步骤6:数据包外部IO分发模块接收工控安全网关的主执行体的数据包,将数据包发送到外部目标,并丢弃工控安全网关的辅助执行模块输出的数据包;入侵感知及响应流程包含如下步骤:步骤1:入侵响应模块接收到入侵告警后,判断工控安全网关的主、辅执行体是否同时发出告警;步骤2:若同时发出告警,则入侵响应模块阻断该数据包,断开该数据包对应连接,并将数据包详细记录到检测日志文件;步骤3:若只有工控安全网关的主执行体发出告警,则入侵响应模块通知人工专家进行数据包分析,查明辅助执行体不能检测入侵的原因,然后进行辅助执行体的清洗;步骤4:若只有工控完全网关的辅助执行体发出告警,则入侵响应模块通过系统配置模块将原辅助执行体切换为主执行体,原主执行体切换为辅助执行体,并通知人工专家进行数据包分析,查明原主执行体不能检测入侵的原因,然后进行原主执行体的清洗;故障监测及响应处理流程包含如下步骤:步骤1:故障监测及响应模块定时轮询工控安全网关的主、辅执行体的运行状态,判断工控安全网关的主、辅执行体是否发生故障;步骤2:当检测到工控安全网关的主执行体发生故障时,通过系统配置模块将原辅助执行体切换为主执行体,原主执行体下线,并发出告警通知人工专家进行更换;步骤3:当检测到工控安全网关的辅助执行体发生故障时,将辅助执行体下线,并发出告警通知人工专家进行更换。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州电子科技大学,未经杭州电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711337561.0/,转载请声明来源钻瓜专利网。
