隨著兩化融合的不斷深入,信息技術(shù)全面升級(jí)我國(guó)工業(yè)控制系統(tǒng)的同時(shí),也引入了安全問(wèn)題。與IT系統(tǒng)不同,針對(duì)工業(yè)控制系統(tǒng)的攻擊往往會(huì)造成更加嚴(yán)重的后果。然而,現(xiàn)有的安全防護(hù)技術(shù)在工業(yè)控制系統(tǒng)中存在著數(shù)據(jù)難獲取、防護(hù)加固難執(zhí)行等問(wèn)題。軟件定義網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)了轉(zhuǎn)發(fā)和控制的分離,并支持通過(guò)編程的方式對(duì)網(wǎng)絡(luò)進(jìn)行控制,為解決工業(yè)控制系統(tǒng)信息安全問(wèn)題提供了新的思路。本文針對(duì)工業(yè)控制系統(tǒng)信息安全需求,從靜態(tài)評(píng)估加固和動(dòng)態(tài)安全防護(hù)兩個(gè)角度出發(fā),基于軟件定義網(wǎng)絡(luò)設(shè)計(jì)工業(yè)控制信息安全防護(hù)系統(tǒng)。針對(duì)工業(yè)控制系統(tǒng)的靜態(tài)評(píng)估加固,通過(guò)設(shè)備發(fā)現(xiàn)、漏洞掃描、隱患分析和加固策略,從整個(gè)系統(tǒng)的角度評(píng)估系統(tǒng)存在問(wèn)題并生成最優(yōu)加固策略,在此基礎(chǔ)上,利用軟件定義網(wǎng)絡(luò)實(shí)現(xiàn)虛擬補(bǔ)丁和安全區(qū)域劃分對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全加固;針對(duì)工業(yè)控制系統(tǒng)的動(dòng)態(tài)安全防護(hù),利用軟件定義網(wǎng)絡(luò)鏡像獲取工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)數(shù)據(jù),基于LSTM和Snort對(duì)工業(yè)控制系統(tǒng)進(jìn)行實(shí)時(shí)入侵檢測(cè),發(fā)現(xiàn)異常后通過(guò)軟件定義網(wǎng)絡(luò)實(shí)現(xiàn)隔離、重定向等安全響應(yīng)手段,形成檢測(cè)響應(yīng)的安全閉環(huán),阻止攻擊對(duì)系統(tǒng)造成破壞。與此同時(shí),將移動(dòng)防御技術(shù)引入工業(yè)控制系統(tǒng),基于軟件定義網(wǎng)絡(luò)實(shí)現(xiàn)工業(yè)控制系統(tǒng)的拓?fù)?.. 

【文章來(lái)源】：華中科技大學(xué)湖北省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：78 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

無(wú)損漏洞掃描原理示意圖

在多條冗余路徑中進(jìn)行選擇和切換，使網(wǎng)絡(luò)結(jié)構(gòu)呈現(xiàn)隨機(jī)的變化成、方案選取、路徑切換三個(gè)步驟，如圖 4-12 所示。路徑生成。由于 SDN 的全局視角，可以獲取整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的深度優(yōu)先算法計(jì)算所有路徑兩個(gè)之間的所有路徑。方案選取。從生成的路徑中，從轉(zhuǎn)發(fā)跳數(shù)和路徑的差異程度兩個(gè)跳變的狀態(tài)。如圖 4-12 中的路徑 1，路徑 2，路徑 3，并生成對(duì)路徑切換。跳變的執(zhí)行一方面可以通過(guò)應(yīng)用層對(duì)流表進(jìn)行修改實(shí)可以將在生成流表的時(shí)候，對(duì)不同路徑所對(duì)應(yīng)的流表項(xiàng)設(shè)置不同項(xiàng)過(guò)期后，下一個(gè)流表項(xiàng)發(fā)揮作用，從而實(shí)現(xiàn)路徑的跳變。驗(yàn)證系統(tǒng)在拓?fù)渥儞Q以及對(duì)工業(yè)控制系統(tǒng)通信的影響，在 Minin13 所示的網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)主機(jī)1h 和2h 通信鏈路的切換，驗(yàn)證拓?fù)渥?

$ curl -X POST -d '{"dpid": 1,"table_id": 0,"priority": 1,"match":{"dl_dst": "00:00:00:00:00:02",},"actions":[{"type":"OUTPUT","port": 3}]}' http://localhost:8080/stats/flowentry/modify通過(guò)抓包驗(yàn)證了變換的有效性，1h 和2h 在變換的時(shí)候能夠正常通信，并對(duì)變換過(guò)程中的通信的時(shí)延進(jìn)行了統(tǒng)計(jì)，如圖 4-14 所示。經(jīng)過(guò)實(shí)驗(yàn)發(fā)現(xiàn)拓?fù)渥儞Q過(guò)程中對(duì)于通信系統(tǒng)的時(shí)效性影響較小，沒(méi)有發(fā)生丟包現(xiàn)象。系統(tǒng)延時(shí)由 0.04ms 變?yōu)?.131ms 后，又變回 0.04ms。能夠滿(mǎn)足工業(yè)控制系統(tǒng)通信時(shí)效性的要求。


本文編號(hào)：2975850