(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211040029.3 (22)申请日 2022.08.29 (71)申请人 江苏亨通工控安全研究院有限公司 地址 215137 江苏省苏州市相城区高铁新 城南天成路8号天 成大厦8楼 申请人 江苏亨通信息安全技 术有限公司 (72)发明人 袁键　吴志华　张锐　蔡艳林　 陈夏裕　杨明勋　赵金香　 (74)专利代理 机构 苏州国诚专利代理有限公司 32293 专利代理师 杨淑霞 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/10(2022.01) H04L 67/1095(2022.01) (54)发明名称 一种工控网络主动防御方法与系统 (57)摘要 本发明提供了一种工控网络主动防御方法， 其利用SDN技术和状态检测技术， 创建基于SDN交 换机的访问控制过程， 通过对镜像流量进行DPI 分析并下发Openflow流量控制规则给SDN交换 机， 使流量解析过程与工控网络通信过程分离， 解决时延和扰动的问题。 其将 工控网络中的节点 交换机平替为由SDN控制器和SDN交换机组成的 交换设备， 从而实现以网络边界为起点、 覆盖横 向移动的安全访问控制流程， 具体步骤如下： a、 创建SDN控制器和SDN交换机； b、 将SDN交换机的 流量镜像给SDN控制器； c、 此时的SDN交换机处于 全通模式， SDN控制器开启学习模式， 将流量内容 转换为流量模型； d、 SDN控制器切换至防御模式， 通过策略生成， 将流量模型自动转换为访问控制 策略并下发给SDN交换机； e、 工控网络 更新时， 通 过更新防御模式下的流量模型完成访问控制策 略的更新。 权利要求书2页 说明书5页 附图2页 CN 115426148 A 2022.12.02 CN 115426148 A 1.一种工控网络主动防御方法， 其特征在于： 其将工控网络中的节点交换机平替为由 SDN控制器和SDN交换机组成的交换设备， 从而实现以网络边界为起点、 覆盖横向移动的安 全访问控制流 程， 具体步骤如下： a、 创建SDN控制器和 SDN交换机， 两者分列为两台安全设备， SDN控制器主要用于流量分 析和策略下发， S DN交换机可以使用支持openfl ow协议的主机或者交换机； b、 将SDN交换机的流 量镜像给S DN控制器； c、 此时的SDN交换机处于全通模式， SDN控制器开启学习模式， 学习模式下， SDN控制器 对镜像流量进行流量建模， 工控网络具有明显的时间作业特点， 因此将时间作为状态检测 技术的第一关键衡量要素， 五元组作为白名单基础， 协议作为是否开启D PI的依据； d、 SDN控制器切换至 防御模式， 通过策略生成， 将流量模型自动转换为访问控制策， 访 问控制策略经由open  flow协议下发至S DN交换机， 替代S DN交换机上原本的全通模式； e、 防御模式下通过流量模型完成工控网络更新， SDN控制器依据流量模型中的时间参 数， 对五元组对应的两端资产进行心跳检测， 一旦发现资产断链， 则更新访问控制策略； 工 控网络中新增资产时， SDN控制器可以手动建立 五元组流量模型以及时间关键要 素， 并选择 开启DPI协议分析， 镜像流量分析时， 自动更新流量模型中缺失的流量方向、 协议、 协议指 令， 此时， 通过手动生 成访问控制策略， 完成对SDN交换机的控制规则更新， 无须关闭防御模 式。 2.如权利要求1所述的一种工控 网络主动防御 方法， 其特征在于， 流量模型的访问过程 控制主要以时间为关键要素， 步骤e的防御模式下， SDN控制器分析镜像流量， 包括如下步 骤： A若流量接入时间在流量模型中不存在， 则下发策略直接拒绝本次通信， 若存在， 则进 入五元组匹配； B五元组不匹配则下发策略直接拒绝本次通信， 若匹配， 则开启D PI； C协议不匹配， 则证明该流量模型是手动创建的， 更新流量模型中协议和协议指令， 并 更新下发相应的访问控制策略， 若匹配， 则进入指令分析； D协议指令数据长度与流 量模型的不 一致， 则下发策略直接拒绝本次通信。 3.如权利 要求1所述的一种工控网络主动防御方法， 其特征在于： 所述SDN控制器和SDN 交换机组成的交换设备是基于SDN技术的交换设备， 其不仅包括SDN交换机、 同时支持能够 使用openflow协 议的api网关， 其使 得SDN控制器需要同时具备下发协议规则选择以及控制 转发内容的能力， 用于更新api网关的转发内容。 4.一种工控网络主动防御系统,其特 征在于， 其包括： 流量模型； SDN控制器； SDN交换机； 访问控制策略； DPI、 终端A、 终端B、 终端C、权　利　要　求　书 1/2 页 2 CN 115426148 A 2以及状态检测； 终端A发出纵向流量给SDN交换机， 所述SDN交换机的通过流量镜像将纵向流量转向成 镜像流量给SDN控制器， 之后SDN控制器对镜像流量进行流量建模， 所述状态检测依据流量 模型中的时间参数、 对五元组对应的两端资产终端A和终端B进行心跳检测， 五元组匹配则 开启DPI， 协议匹配后， 访问控制策 略通过， 则终端A通过SDN交换机通过横向流量访问终端 B； 工控网络中新增资产时， SDN控制器可以手动建立五元组流量模型以及时间关键要素， 并选择开启DPI协 议分析， 镜像流量分析时， 自动更新流量模型中缺 失的流量方向、 协 议、 协 议指令， 此时， 通过手动生成访问控制策 略， 完成对SDN交换机的控制规则 更新， 之后终端A 通过完成访问控制策略的授权后、 通过SDN交换机使用新增流量访问终端C， 终端C为新增资 产。权　利　要　求　书 2/2 页 3 CN 115426148 A 3