[发明专利]双模异构冗余的工控安全网关系统及其入侵感知方法

权利要求书

1.双模异构冗余的工控安全网关入侵感知方法，其特征在于该方法包括数据包过滤处理流程、入侵感知及响应流程、故障监测及响应处理流程三个部分；

数据包过滤处理流程包含如下步骤：

步骤1、数据包外部IO分发模块接收外部网络的输入请求，将数据包分别发送到异构冗余的工控安全网关的主、辅助执行体；

步骤2、工控安全网关的主、辅助执行体均接收到数据包外部IO分发模块发送的数据包，分别按照设定的检测规则对数据包进行解析、分析和检测，将检测结果记录到检测日志文件，并将检测为安全的数据包发送到数据包内部IO模块，若检测为不安全，则触发入侵感知及响应流程；

步骤3、数据包内部IO模块接收工控安全网关的主、辅助执行体发送的数据包，将主执行体发送的数据包转发到内部工控网络，将辅助执行体的数据包丢弃；

步骤4：数据包内部IO模块接收内部工控网络的数据包，发送到工控安全网关的主、辅助执行体；

步骤5：工控安全网关的主、辅助执行体接收数据包内部IO模块返回的数据包，发送到数据包外部IO分发模块；

步骤6：数据包外部IO分发模块接收工控安全网关的主执行体的数据包，将数据包发送到外部目标，并丢弃工控安全网关的辅助执行体输出的数据包；

入侵感知及响应流程包含如下步骤：

步骤1：入侵响应模块接收到入侵告警后，判断工控安全网关的主、辅助执行体是否同时发出告警；

步骤2：若同时发出告警，则入侵响应模块阻断该数据包，断开该数据包对应连接，并将数据包详细记录到检测日志文件；

步骤3：若只有工控安全网关的主执行体发出告警，则入侵响应模块通知人工专家进行数据包分析，查明辅助执行体不能检测入侵的原因，然后进行辅助执行体的清洗；

步骤4：若只有工控安全网关的辅助执行体发出告警，则入侵响应模块通过系统配置模块将原辅助执行体切换为主执行体，原主执行体切换为辅助执行体，并通知人工专家进行数据包分析，查明原主执行体不能检测入侵的原因，然后进行原主执行体的清洗；

故障监测及响应处理流程包含如下步骤：

步骤1：故障监测及响应模块定时轮询工控安全网关的主、辅助执行体的运行状态，判断工控安全网关的主、辅助执行体是否发生故障；

步骤2：当检测到工控安全网关的主执行体发生故障时，通过系统配置模块将原辅助执行体切换为主执行体，原主执行体下线，并发出告警通知人工专家进行更换；

步骤3：当检测到工控安全网关的辅助执行体发生故障时，将辅助执行体下线，并发出告警通知人工专家进行更换。