[发明专利]基于虚拟补丁的工业控制系统保护方法、装置、设备及介质

权利要求书

1.一种基于虚拟补丁的工业控制系统保护方法，其特征在于，应用于设置在工业控制系统外部的工业控制系统保护装置，包括以下步骤：

接收上位机发送的目标数据；

根据工控协议特征，识别所述目标数据所采用的工控协议类型；

根据所述目标数据的工控协议类型，确定对应的工控协议规约，检测所述目标数据是否满足以下约束规则之一：

检测所述目标数据的定义字段是否与所述对应的工控协议规约规定的字段相符，

检测所述目标数据的字段类型是否与所述对应的工控协议规约规定的字段类型相符，

检测所述目标数据的长度是否在所述对应的工控协议规约规定的数据长度范围内，

检测所述目标数据的数值范围是否在所述对应的工控协议规约规定的数值范围内；

若所述目标数据不满足所述约束规则之一，则判定所述目标数据为异常数据；

拦截并丢弃所述异常数据。

2.如权利要求1所述的基于虚拟补丁的工业控制系统保护方法，其特征在于，所述工业控制系统保护装置接入工业控制系统的通信接口。

3.如权利要求1所述的基于虚拟补丁的工业控制系统保护方法，其特征在于，所述工控协议特征包括预先存储的各工控协议的数据格式和/或各工控协议定义的特有字段。

4.如权利要求3所述的基于虚拟补丁的工业控制系统保护方法，其特征在于，若所述工控协议特征为预先存储的各工控协议的数据格式，则所述根据工控协议特征，识别所述目标数据所采用的工控协议类型，包括：

将所述目标数据所采用的数据格式与预先存储的各工控协议的数据格式进行比对，将比对成功的工控协议的类型作为所述目标数据所采用的工控协议类型。

5.如权利要求3所述的基于虚拟补丁的工业控制系统保护方法，其特征在于，若所述工控协议特征为预先存储的各工控协议定义特有字段，则所述根据工控协议特征，识别所述目标数据所采用的工控协议类型，包括：

将所述目标数据的各字段与预先存储的各工控协议定义的特殊字段进行比对，将比对成功的工控协议的类型作为所述目标数据所采用的工控协议类型。

6.如权利要求3所述的基于虚拟补丁的工业控制系统保护方法，其特征在于，若所述工控协议特征为预先存储的各工控协议的数据格式和各工控协议定义特有字段，则所述根据工控协议特征，识别所述目标数据所采用的工控协议类型，包括：

将所述目标数据所采用的数据格式与预先存储的各工控协议的数据格式进行比对，将比对成功的工控协议的类型作为所述目标数据所采用的工控协议类型；

若比对成功的工控协议大于一个，则将所述目标数据的各字段继续与所述比对成功的工控协议的特殊字段进行第二次比对；

将所述第二次比对成功的工控协议的类型作为所述目标数据所采用的工控协议类型。

7.如权利要求1所述的基于虚拟补丁的工业控制系统保护方法，其特征在于，若所述目标数据满足所有的所述约束规则，则判定所述目标数据为正常数据，将所述正常数据发送至工业控制系统。

8.一种基于虚拟补丁的工业控制系统保护装置，其特征在于，包括：

数据接收模块，用于接收上位机发送的目标数据；

协议识别模块，用于根据工控协议特征，识别所述目标数据所采用的工控协议类型；

数据检测模块，用于根据所述目标数据的工控协议类型，确定对应的工控协议规约，检测所述目标数据是否满足以下约束规则之一：检测所述目标数据的定义字段是否与所述对应的工控协议的规定的字段相符，检测所述目标数据的字段类型是否与所述对应的工控协议规约规定的字段类型相符，检测所述目标数据的长度是否在所述对应的工控协议规约规定的数据长度范围内，检测所述目标数据的数值范围是否在所述对应的工控协议规约规定的数值范围内，若所述目标数据不满足所述约束规则之一，则判定所述目标数据为异常数据；

异常拦截模块，用于拦截并丢弃所述异常数据。