[发明专利]一种基于状态关系图的工控防火墙实现方法

说明书

技术领域

本发明涉及工控防火墙领域，尤其涉及一种基于状态关系图的工控防火墙实现方法。

背景技术

防火墙是指一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。传统防火墙可根据防范的方式和侧重点的不同而分为多种类型，主要分为包过滤防火墙、应用网关防火墙、状态检测防火墙和复合型防火墙。

包过滤防火墙：该防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。但因其是在网络层检查数据包，系统对应用层信息无感知，所以其安全性有一定缺陷。

应用网关防火墙：该防火墙是检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。但因为每个客户机／服务器通信需要两个连接，而且每个代理需要对每个新的应用添加针对此应用的服务程序。所以，应用网关防火墙的可伸缩性较差。

状态检测防火墙：该防火墙基本保持了简单包过滤防火墙的优点，性能较好，同时对应用是透明的。其原理是在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理，在安全性上有了大幅提升。

复合型防火墙：该防火墙综合了状态检测与透明代理的新一代的防火墙，把防病毒、内容过滤整合到防火墙里，其中还包括虚拟专用网络、入侵检测功能，多功能融为一体。

随着科技的不断创新，工业自动化发展快速，工控系统的安全是发展的重中之重，而防火墙则是工控系统安全的重要组成部分之一。工控防火墙可应用于工业控制环境，对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护，并满足特定的工业环境和功能要求。

现如今在工控防火墙的研究上已有较大突破。在专利方面，有如支持过滤Modbus TCP协议的工控防火墙，支持过滤IEC104协议的工控防火墙，基于多核处理器的工控防火墙，当前工控防火墙主要是对Modbus TCP、 IEC104进行数据包的过滤、工控协议和指令的识别，提取传输的工控指令操作内容，进行判定识别并对流量进行相应处理。基于工业物联网的状态防火墙状态检测系统，主要是对网络层状态进行识别监测。

综上说述，当前工业防火墙大部分采用基于包过滤防火墙的方法，单单对每个经过的数据包进行规则检查，缺乏对行为和流量的监测，也有一些事基于状态检测的防火墙，但仅仅是在监测网络层的状态，还没有对数据本身建立状态关系。而我们所发明的防火墙是采用状态关系图，根据状态关系图去制定对工控行为的检测规则，实现工控系统的协议分析、行为监测和流量监测的安全功能。该工业控制系统防火墙的实现方法与当前基于包过滤技术和网络状态技术的相比，不仅可以对工业控制系统的协议类型，通信数据，而且还能判定异常的数据关系，操作命令的异常。

发明内容

针对现有技术存在的不足，本发明的目的是提供一种基于状态关系图的工控防火墙实现方法。其包括：工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块。

工业数据采集模块：不仅包括工业协议的类型，协议源地址，目的地址，端口，而且还包括工业系统传感器的状态数据和可编程控制器的控制命令数据。

状态关系图模块：根据工业控制数据采集模块采集的数据，绘制该数据变量的时序图，根据工业控制系统某个时刻所有被监控数据的时序图，绘制工业控制系统的状态图，然后根据状态结点变化情况，生成状态关系图。在工业控制系统正常运行情况下生成状态关系图，防火墙根据此图去制定对工控行为的检测规则。

协议分析模块：识别不同工业控制系统的协议类型，如TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet 、IEC60870-5-104、Step7工控协议等，根据协议规则，对通信数据进行过滤和检测。

行为监测模块：主要监控如工程师站组态变更、操作站数据与操作指令变更，以及各主流现场总线访问、通信行为、负载变更情况。

附图说明

图1为基于状态关系图的工控防火墙的系统结构；

图2为工业数据采集模块示意图；

图3为状态关系图模块示意图；

图4为协议分析模块示意图；

图5为行为监控模块示意图；

具体实施方式

下面结合附图对本发明做进一步说明。