一种工控终端安全加固方法与流程
1.本发明属于工业控制网络安全技术领域,特别是一种工控终端安全加固方法。
背景技术:
2.随着技术发展和管理决策的需要,通用的通信网络和多样化的it组件与工控系统不断融合,原本封闭的工控系统开始更多地与外部企业网络互联,远距离数据传输的需求不断增长,使得工控系统更容易受到来自网络的安全威胁。工控系统遭受到网络攻击的威胁日趋严峻。工业通信网络中存在着严重的数据安全隐患,容易遭受到破坏数据完整性的攻击,如错误数据注入攻击、重放攻击等。
3.终端加固作为一种保护数据完整性和机密性的手段,可以有效地阻止上述攻击,但是终端加固的方法仍存在多种问题。一方面,随着攻击形式的不断衍变,简单的终端加固方法已经不足以实现数据安全防护;另一方面,在实际应用场景中,在数据传输量较大时,有相当部分设备依然用串口进行通信,对现有传输的数据加固的方法几乎没有对串口做加固的。
4.因此,在终端加固过程中,如何增加对串口进行加固,从而提高数据传输的安全性,成为当前研究的关键问题。
技术实现要素:
5.鉴于上述问题,本发明提供一种至少解决上述部分技术问题的一种面向特殊场景的工控终端安全加固方法,通过对工业控制网络中网口和串口进行检测解析,增强远距离数据传输安全能力,提升数据传输效率。
6.本发明实施例提供了一种工控终端安全加固方法,包括:
7.s1、获取工业控制网络中网口和串口发送端的数据包,采用协议深度解析法对所述数据包进行解析;通过判断解析后的协议类型,对所述数据包进行内容深度检测;
8.s2、根据协议深度解析结果和内容深度检测结果,将符合预设规则的数据包通过数据发送池发送至接收端;
9.s3、所述接收端对接收到的数据包进行完整性校验,并将校验结果发送至所述工业控制网络中网口和串口发送端。
10.进一步地,还包括:由终端防护设备对工业控制网络中的usb口进行接管,进行读写权限控制,以及对存储设备上的文件改动进行日志记录。
11.进一步地,还包括:在对终端防护设备进行维修时,通过libpcap实时捕获维修时的所述数据包,实现对维修设备时产生的维修数据进行全流程记录。
12.进一步地,在所述s1中,对所述数据包进行解析,具体包括:对所述数据包进行五元组解析、协议解析、数据内容解析和数据特征解析。
13.进一步地,所述协议解析具体包括:解析ip报文,获取ip信息;解析传输层报文,获取端口信息,并识别获取对应的协议信息;如果无法通过端口识别协议信息,则进一步解析
应用层报文,通过特征识别应用层协议类型。
14.进一步地,在所述s1中,所述内容深度检测,包括:数据特征检测和数据字段级检测。
15.进一步地,所述s2还包括:根据协议深度解析结果和内容深度检测结果,将不符合预设规则的数据包丢弃。
16.与现有技术相比,本发明记载的一种工控终端安全加固方法,具有如下有益效果:本发明同时对工业控制网络中网口和串口进行检测解析,增强远距离数据传输安全能力,提升数据传输效率。
17.本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
18.下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
19.附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
20.图1为本发明实施例提供的工控终端安全加固方法流程示意图。
具体实施方式
21.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
22.本发明中的s1、s2、s3、s4、s5只是为了方便说明,对本发明中工控终端安全加固方法的实施步骤并不起限定作用。
23.参见图1所示,本发明实施例提供了一种工控终端安全加固方法,具体包括如下步骤:
24.s1、获取工业控制网络中网口和串口发送端的数据包,采用协议深度解析法对所述数据包进行解析;通过判断解析后的协议类型,对所述数据包进行数据内容检测;
25.s2、根据协议深度解析结果和数据内容检测结果,将符合预设规则的数据包通过数据发送池发送至接收端;
26.s3、所述接收端对接收到的数据包进行完整性校验,并将校验结果发送至所述工业控制网络中网口和串口发送端。
27.下面分别对上述各个步骤进行详细的说明。
28.在上述步骤s1中,获取工业控制网络中网口和串口发送端的数据包,采用协议深度解析法,对所述数据包进行五元组解析、协议解析、数据内容解析和数据特征解析。其中,五元组解析技术能有效防止非法设备的违规接入,保证网络中其他设备的安全;协议解析能识别传输协议,防止未知协议传输;数据内容解析防止传输内容中有敏感关键词夹带,可对数据字段级进行解析;数据特征解析可根据数据特征值与已有的特征值库进行匹配,最
大可能减少未知数据的传输。
29.协议解析具体包括:解析ip报文,获取ip信息;解析传输层报文,获取端口信息,并识别获取对应的协议信息;如果无法通过端口识别协议信息,则进一步解析应用层报文,通过特征识别应用层协议类型。
30.解析完成后,通过内置规则和支持用户自定义规则的形式,根据协议类型对该数据包进行内容深度检测;该内容深度检测包括数据特征检测和数据字段级检测;基于内容深度检测可判断该数据是否符合预设规则,即是否合法。
31.在上述步骤s2中,当应用程序发送数据时,根据协议深度解析结果和内容深度检测结果,将个发的合法的数据进行快速转发,不合法的数据依据规则丢弃。
32.在上述步骤s3中,接收端对接收到的数据包进行完整性校验;在校验结束后,根据接收数据包本身的连接信息可获得该数据包对应的发送端网卡的网络地址和端口等信息,从而接收端服务器可以给该地址回馈完整性检验结果,完成数据的接收。
33.现选取典型的工业控制网络数据传输场景进行分析,以工业控制系统现场设备通过ftp下载远程服务器文件为例,对上述步骤s1-s3进行详细说明:
34.现场设备发起远程下载请求并发送数据包;收取请求方数据包,对数据包进行深度协议解析,根据协议类型对数据包进行五元组解析处理,根据数据包的端口进行协议匹配,没有设定的端口时根据数据包特征进行协议格式匹配。对含有ftp特征的的数据包采用内容解析和特征匹配,对传输的文件进行真实文件类型检测和文件内容检测。全部合法的数据包经处理后进入发送数据池,进入待发送状态。对待发送数据进行网络协议处理程序的加工,完毕后将其发送到对应的网卡,再由该网卡的驱动程序将处于其待发送队列中的数据包发送。接收端代理系统在接收到数据后,首先根据对应的数据包类型进行初期处理,进行必要的组合和合并,最终将数据传输至数据接收服务器。
35.进一步地,本发明提供的一种工控终端安全加固方法,还包括:
36.s4、由终端防护设备对工业控制网络中的usb口进行接管,进行读写权限控制,以及对存储设备上的文件改动进行日志记录。
37.s5、由终端防护设备对维修时的维修数据全流程通信通过libpcap进行捕获,生成数据记录。
38.在上述步骤s4中,通过上述步骤s1-s3完成对工业控制网络中网口和串口的加固后,可以由终端防护设备对工业控制网络中的usb口进行接管,针对存储设备进行读写权限控制,对存储设备上的文件新增、修改、删除时记录日志,本发明实施例中通过usb从线对usb口接管可有效防止随意通过usb口接入存储设备,对设备上的文件进行修改。
39.在上述步骤s5中,当设备厂商对终端防护设备进行维修时,通过libpcap高效捕包方式实时捕获数据包,从而实现对维修设备时产生的维修数据进行全流程记录,生成可直接用wireshark等软件查看的数据文件。
40.显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
技术特征:
1.一种工控终端安全加固方法,其特征在于,包括:s1、获取工业控制网络中网口和串口发送端的数据包,采用协议深度解析法对所述数据包进行解析;通过判断解析后的协议类型,对所述数据包进行内容深度检测;s2、根据协议深度解析结果和内容深度检测结果,将符合预设规则的数据包通过数据发送池发送至接收端;s3、所述接收端对接收到的数据包进行完整性校验,并将校验结果发送至所述工业控制网络中网口和串口发送端。2.如权利要求1所述的一种工控终端安全加固方法,其特征在于,还包括:由终端防护设备对工业控制网络中的usb口进行接管,进行读写权限控制,以及对存储设备上的文件改动进行日志记录。3.如权利要求1所述的一种工控终端安全加固方法,其特征在于,还包括:在对终端防护设备进行维修时,通过libpcap实时捕获维修时的所述数据包,实现对维修设备时产生的维修数据进行全流程记录。4.如权利要求1所述的一种工控终端安全加固方法,其特征在于,在所述s1中,对所述数据包进行解析,具体包括:对所述数据包进行五元组解析、协议解析、数据内容解析和数据特征解析。5.如权利要求4所述的一种工控终端安全加固方法,其特征在于,所述协议解析具体包括:解析ip报文,获取ip信息;解析传输层报文,获取端口信息,并识别获取对应的协议信息;如果无法通过端口识别协议信息,则进一步解析应用层报文,通过特征识别应用层协议类型。6.如权利要求1所述的一种工控终端安全加固方法,其特征在于,在所述s1中,所述内容深度检测,包括:数据特征检测和数据字段级检测。7.如权利要求1所述的一种工控终端安全加固方法,其特征在于,所述s2还包括:根据协议深度解析结果和内容深度检测结果,将不符合预设规则的数据包丢弃。
技术总结
本发明公开了一种工控终端安全加固方法,包括:获取工业控制网络中网口和串口发送端的数据包,采用协议深度解析法对数据包进行解析;通过判断解析后的协议类型,对数据包进行内容深度检测;根据协议深度解析结果和内容深度检测结果,将符合预设规则的数据包通过数据发送池发送至接收端;接收端对接收到的数据包进行完整性校验,并将校验结果发送至工业控制网络中网口和串口发送端;通过该方法可以同时对工业控制网络中网口和串口进行检测解析,增强远距离数据传输安全能力,提升数据传输效率。率。率。
