买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：江苏亨通工控安全研究院有限公司;江苏亨通信息安全技术有限公司

摘要：本发明提供了一种工控网络主动防御方法，其利用SDN技术和状态检测技术，创建基于SDN交换机的访问控制过程，通过对镜像流量进行DPI分析并下发Openflow流量控制规则给SDN交换机，使流量解析过程与工控网络通信过程分离，解决时延和扰动的问题。其将工控网络中的节点交换机平替为由SDN控制器和SDN交换机组成的交换设备，从而实现以网络边界为起点、覆盖横向移动的安全访问控制流程，具体步骤如下：a、创建SDN控制器和SDN交换机；b、将SDN交换机的流量镜像给SDN控制器；c、此时的SDN交换机处于全通模式，SDN控制器开启学习模式，将流量内容转换为流量模型；d、SDN控制器切换至防御模式，通过策略生成，将流量模型自动转换为访问控制策略并下发给SDN交换机；e、工控网络更新时，通过更新防御模式下的流量模型完成访问控制策略的更新。

主权项：1.一种工控网络主动防御方法，其特征在于：其将工控网络中的节点交换机平替为由SDN控制器和SDN交换机组成的交换设备，从而实现以网络边界为起点、覆盖横向移动的安全访问控制流程，具体步骤如下：a、创建SDN控制器和SDN交换机，两者分列为两台安全设备，SDN控制器主要用于流量分析和策略下发，SDN交换机可以使用支持openflow协议的主机或者交换机；b、将SDN交换机的流量镜像给SDN控制器；c、此时的SDN交换机处于全通模式，SDN控制器开启学习模式，学习模式下，SDN控制器对镜像流量进行流量建模，工控网络具有明显的时间作业特点，因此将时间作为状态检测技术的第一关键衡量要素，五元组作为白名单基础，协议作为是否开启DPI的依据；d、SDN控制器切换至防御模式，通过策略生成，将流量模型自动转换为访问控制策，访问控制策略经由openflow协议下发至SDN交换机，替代SDN交换机上原本的全通模式；e、防御模式下通过流量模型完成工控网络更新，SDN控制器依据流量模型中的时间参数，对五元组对应的两端资产进行心跳检测，一旦发现资产断链，则更新访问控制策略；工控网络中新增资产时，SDN控制器可以手动建立五元组流量模型以及时间关键要素，并选择开启DPI协议分析，镜像流量分析时，自动更新流量模型中缺失的流量方向、协议、协议指令，此时，通过手动生成访问控制策略，完成对SDN交换机的控制规则更新，无须关闭防御模式。

全文数据：

权利要求：

百度查询： 江苏亨通工控安全研究院有限公司 江苏亨通信息安全技术有限公司 一种工控网络主动防御方法与系统