本發(fā)明涉及一種工業(yè)網(wǎng)絡(luò)異常中斷的檢測方法，所述方法包括：用戶根據(jù)工業(yè)網(wǎng)絡(luò)的具體部署情況，設(shè)置檢測工業(yè)網(wǎng)絡(luò)異常中斷的規(guī)則，并將所述規(guī)則存儲在工業(yè)網(wǎng)絡(luò)檢測設(shè)備的存儲器中；更新規(guī)則的最后更新時間；工業(yè)網(wǎng)絡(luò)檢測設(shè)備啟動一個線程或進程，定時檢測規(guī)則的超時情況，并根據(jù)檢測結(jié)果發(fā)出工業(yè)網(wǎng)絡(luò)異常中斷告警。本發(fā)明提出的工業(yè)網(wǎng)絡(luò)異常中斷的檢測方法能夠應用到工業(yè)防火墻、工業(yè)審計等工業(yè)網(wǎng)絡(luò)檢測設(shè)備中，當工業(yè)網(wǎng)絡(luò)發(fā)生異常中斷時，工業(yè)網(wǎng)絡(luò)檢測設(shè)備在第一時間發(fā)出告警，有助于定位網(wǎng)絡(luò)異常中斷的原因并盡快恢復正常生產(chǎn)。

技術(shù)領(lǐng)域

本發(fā)明屬于工業(yè)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種工業(yè)網(wǎng)絡(luò)異常中斷的檢測方法。

背景技術(shù)

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是由工業(yè)自動化生產(chǎn)設(shè)備組成的網(wǎng)絡(luò)。與IT網(wǎng)絡(luò)不同，工業(yè)自動化生產(chǎn)設(shè)備往往是長時間穩(wěn)定的相互通信，工業(yè)自動化設(shè)備之間的通信異常中斷往往意味著出現(xiàn)了設(shè)備故障等問題，對整個工業(yè)生產(chǎn)環(huán)境會產(chǎn)生較大的影響。

現(xiàn)有的工業(yè)網(wǎng)絡(luò)異常檢測設(shè)備，如工業(yè)防火墻、工業(yè)審計等都將檢測重點放在工業(yè)網(wǎng)絡(luò)攻擊、工業(yè)網(wǎng)絡(luò)防護等檢測。申請?zhí)枮?01210008504.9的中國發(fā)明專利，公開了一種工業(yè)控制網(wǎng)絡(luò)安全防護方法，所述方法包括以下步驟：針對外部網(wǎng)絡(luò)攻擊，前方主機對外部網(wǎng)絡(luò)數(shù)據(jù)進行第一層數(shù)據(jù)過濾和訪問控制，安全控制主機通過共用存儲區(qū)來緩存數(shù)據(jù)，對數(shù)據(jù)進行入侵檢測，對非法數(shù)據(jù)進行及時報警并通知兩側(cè)主機，后方主機對數(shù)據(jù)進行深層過濾和訪問控制，合法數(shù)據(jù)進入到內(nèi)部網(wǎng)絡(luò)；針對內(nèi)部網(wǎng)絡(luò)攻擊，后方主機對內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)進行第一層數(shù)據(jù)過濾和訪問控制，安全控制主機通過共用存儲區(qū)來緩存數(shù)據(jù)，對數(shù)據(jù)進行入侵檢測，對非法數(shù)據(jù)進行及時報警并通知兩側(cè)主機，前方主機對數(shù)據(jù)進行深層過濾和訪問控制，合法數(shù)據(jù)進入到外部網(wǎng)絡(luò)。該發(fā)明能提高工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全水平，降低投資、改造系統(tǒng)及管理的成本。但是該發(fā)明不能實現(xiàn)與工業(yè)網(wǎng)絡(luò)異常中斷有關(guān)的檢測，當工業(yè)網(wǎng)絡(luò)中的生產(chǎn)設(shè)備發(fā)生異常時無法第一時間發(fā)出告警并及時恢復生產(chǎn)。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)中存在的上述問題，本發(fā)明提出一種工業(yè)網(wǎng)絡(luò)異常中斷的檢測方法，該方法能夠應用到工業(yè)防火墻、工業(yè)審計等工業(yè)網(wǎng)絡(luò)檢測設(shè)備中。當工業(yè)網(wǎng)絡(luò)發(fā)生異常中斷時，工業(yè)網(wǎng)絡(luò)檢測設(shè)備在第一時間發(fā)出告警，有助于確定網(wǎng)絡(luò)異常中斷的原因并助恢復正常的生產(chǎn)。

為達到上述目的，本發(fā)明采用如下技術(shù)方案。

一種工業(yè)網(wǎng)絡(luò)異常中斷的檢測方法，包括以下步驟：

步驟1，用戶根據(jù)工業(yè)網(wǎng)絡(luò)的具體部署情況，設(shè)置檢測工業(yè)網(wǎng)絡(luò)異常中斷的規(guī)則，并將所述規(guī)則存儲在工業(yè)網(wǎng)絡(luò)檢測設(shè)備的存儲器中。所述規(guī)則的內(nèi)容包括：服務器IP地址，客戶端IP地址，服務器監(jiān)聽的端口，工業(yè)網(wǎng)絡(luò)中斷時間。

步驟2，當有工業(yè)網(wǎng)絡(luò)報文進入工業(yè)網(wǎng)絡(luò)檢測設(shè)備時，所述工業(yè)網(wǎng)絡(luò)檢測設(shè)備檢查所述報文的目的IP地址、源IP地址和源端口是否分別與規(guī)則的客戶端IP地址、服務器IP地址和服務器監(jiān)聽端口相符。如果不相符，此報文與所述規(guī)則不匹配；如果相符，更新規(guī)則的最后更新時間，所述規(guī)則的最后更新時間為所述工業(yè)網(wǎng)絡(luò)報文進入工業(yè)網(wǎng)絡(luò)檢測設(shè)備的時間，同所述規(guī)則一起保存在工業(yè)網(wǎng)絡(luò)檢測設(shè)備的存儲器中。如果這條規(guī)則已發(fā)送過工業(yè)網(wǎng)絡(luò)中斷告警，則所述工業(yè)網(wǎng)絡(luò)檢測設(shè)備發(fā)送一條工業(yè)網(wǎng)絡(luò)中斷恢復告警。

步驟3，工業(yè)網(wǎng)絡(luò)檢測設(shè)備啟動一個線程或進程，定時檢測規(guī)則的超時情況。如果當前時間(即線程或進程獲取的系統(tǒng)時間)減去規(guī)則的最后更新時間大于所述規(guī)則的工業(yè)網(wǎng)絡(luò)中斷時間，則所述工業(yè)網(wǎng)絡(luò)檢測設(shè)備發(fā)送一條工業(yè)網(wǎng)絡(luò)異常中斷告警。

進一步地，所述工業(yè)網(wǎng)絡(luò)檢測設(shè)備為工業(yè)防火墻或工業(yè)審計網(wǎng)絡(luò)檢測設(shè)備。

進一步地，步驟3定時檢測規(guī)則超時情況的時間間隔根據(jù)工業(yè)網(wǎng)絡(luò)檢測設(shè)備的性能通過實驗確定。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果：