[发明专利]一种基于SDN的工业控制系统动态防御方法及装置

说明书

本发明涉及一种基于SDN的工业控制系统动态防御方法及装置，主要步骤包括：软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议，软件定义服务端口模块对工控协议高危端口进行混淆欺骗，软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御。本发明能够适应工业控制系统环境协议庞杂、端口固定、物理链路更改困难的特点，改变工业控制系统单一防护、静态防护的缺陷，最大限度地提高防护的弹性和效率，无需改变物理拓扑，提高对零日漏洞和未知攻击的抵御能力。

技术领域

本发明涉及一种工业控制系统动态防御方法及装置，具体涉及一种基于SDN的工业控制系统动态防御方法及装置，属于计算机网络安全领域。

背景技术

工业控制系统（ICS）是工业生产中所使用的多种类型控制软硬件系统，包括但不限于监控与数据采集系统（SCADA）、集散控制系统（DCS）以及可编程逻辑控制器（PLC）等等。工业控制系统是关键基础设施的重要组成部分，广泛应用在关系国计民生的电力、石油、化工、交通、运输、水利等等。针对工业控制系统的攻击将大大威胁到社会的正常运转，保护工业控制系统安全具有极为重要的意义。工业控制系统在设计之初，缺乏安全防护机制，导致长期运行的大量工业控制系统“带病”运行，高危漏洞层出不穷。近年来，随着TCP/IP协议和0PC协议等通用协议越来越广泛地应用在工业控制网络中，工业控制系统从封闭走向了开发，安全问题日益突出，安全风险急剧上升。甚至APT攻击（高级可持续性威胁，AdvancedPersistent Threat，APT）等国家级对抗的新型攻击手段也集中在工业控制系统领域中。这种APT攻击核心技术是利用0-day 漏洞（也称为零日漏洞）或未公开的漏洞，它是多种攻击手段的组合，其攻击过程缓慢，具有针对性、持续性、隐蔽性。一旦进入目标系统后，为了达到有效的攻击，会持续寻找攻击的宿主目标。

工业控制系统的首要原则是保障业务连续性，生产过程中任何的中断都不能被允许。因此，最初的工业控制系统安全方案和专利大都集中在安全审计、安全监控和安全态势感知领域，这种旁路检测的安全方法避免了安全防护在运行过程中对工业控制系统造成中断或重启等影响业务的事故。但是这种监测安全方案无法在形成有效的纵深防御方法，无法做到阻断攻击、实施拦截。

与传统网络中的标准协议不同，工业控制系统有大量专用和私有协议如Modbus、DNP3、Profibus、ICCP等，适用于多种应用需求。这些私有协议或为特定工业控制系统产品专用协议，或为封装在 TCP/IP 协议负载内的工业协议。大量的私有协议为进行工业控制系统实时防御提出了巨大的挑战，当前一些工业控制防火墙、工业控制系统入侵防御只能事前设定部分私有协议后对私有协议包进行深度检测，扩展性和通用性比较差。

更为重要的，当前以边界防护为特点的工业控制系统安全方法，由于缺乏动态防护的安全策略使得工业控制系统的脆弱性长期暴漏在攻击者面前。如控制中心同站控系统之间主要采用 IEC60870-5-101/104 规约进行通信，但104规约一直采用固定的 2404 端口，存在被窃听、扫描和长期渗透的安全风险。

对比分析可知，工业控制系统安全迫切需求动态安全防护方法和装置，对私有协议进行自动识别，动态部署安全防护能力和动态改变高危服务端口。随着软件定义网络（Software Defined Networking: SDN）思想和技术的出现，为实现工业控制系统弹性安全提出了新的思路。

发明内容

有鉴于此，本发明公开了一种基于SDN的工业控制系统动态防御方法及装置，主要步骤包括：软件定义白名单协议模块采用偏移量机器学习分类方法自动识别工控私有协议，软件定义服务端口模块对工控协议高危漏洞进行混淆欺骗，软件定义纵深防御模块采用虚拟化安全引擎服务编排技术动态调度工业控制系统通信网络流量实现多层防御。本发明能够适应工业控制系统环境协议庞杂、端口固定、物理链路更改困难的特点，改变工业控制系统单一防护、静态防护的缺陷，最大限度地提高防护的弹性和效率，无需改变物理拓扑，提高对零日漏洞和未知攻击的抵御能力。