技術領域

本發明涉及工控防火墻領域，尤其涉及一種基于狀態關系圖的工控防火墻實現方法。

背景技術

防火墻是指一個由軟件和硬件設備組合而成，在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。傳統防火墻可根據防范的方式和側重點的不同而分為多種類型，主要分為包過濾防火墻、應用網關防火墻、狀態檢測防火墻和復合型防火墻。

包過濾防火墻：該防火墻一般在路由器上實現，用以過濾用戶定義的內容，如IP地址。但因其是在網絡層檢查數據包，系統對應用層信息無感知，所以其安全性有一定缺陷。

應用網關防火墻：該防火墻是檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。但因為每個客戶機／服務器通信需要兩個連接，而且每個代理需要對每個新的應用添加針對此應用的服務程序。所以，應用網關防火墻的可伸縮性較差。

狀態檢測防火墻：該防火墻基本保持了簡單包過濾防火墻的優點，性能較好，同時對應用是透明的。其原理是在防火墻的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理，在安全性上有了大幅提升。

復合型防火墻：該防火墻綜合了狀態檢測與透明代理的新一代的防火墻，把防病毒、內容過濾整合到防火墻里，其中還包括虛擬專用網絡、入侵檢測功能，多功能融為一體。

隨著科技的不斷創新，工業自動化發展快速，工控系統的安全是發展的重中之重，而防火墻則是工控系統安全的重要組成部分之一。工控防火墻可應用于工業控制環境，對工業控制系統邊界以及工業控制系統內部不同控制域之間進行邊界保護，并滿足特定的工業環境和功能要求。

現如今在工控防火墻的研究上已有較大突破。在專利方面，有如支持過濾Modbus TCP協議的工控防火墻，支持過濾IEC104協議的工控防火墻，基于多核處理器的工控防火墻，當前工控防火墻主要是對Modbus TCP、 IEC104進行數據包的過濾、工控協議和指令的識別，提取傳輸的工控指令操作內容，進行判定識別并對流量進行相應處理。基于工業物聯網的狀態防火墻狀態檢測系統，主要是對網絡層狀態進行識別監測。

綜上說述，當前工業防火墻大部分采用基于包過濾防火墻的方法，單單對每個經過的數據包進行規則檢查，缺乏對行為和流量的監測，也有一些事基于狀態檢測的防火墻，但僅僅是在監測網絡層的狀態，還沒有對數據本身建立狀態關系。而我們所發明的防火墻是采用狀態關系圖，根據狀態關系圖去制定對工控行為的檢測規則，實現工控系統的協議分析、行為監測和流量監測的安全功能。該工業控制系統防火墻的實現方法與當前基于包過濾技術和網絡狀態技術的相比，不僅可以對工業控制系統的協議類型，通信數據，而且還能判定異常的數據關系，操作命令的異常。

發明內容

針對現有技術存在的不足，本發明的目的是提供一種基于狀態關系圖的工控防火墻實現方法。其包括：工業數據采集模塊，狀態關系圖模塊，協議分析模塊和行為監控模塊。

工業數據采集模塊：不僅包括工業協議的類型，協議源地址，目的地址，端口，而且還包括工業系統傳感器的狀態數據和可編程控制器的控制命令數據。

狀態關系圖模塊：根據工業控制數據采集模塊采集的數據，繪制該數據變量的時序圖，根據工業控制系統某個時刻所有被監控數據的時序圖，繪制工業控制系統的狀態圖，然后根據狀態結點變化情況，生成狀態關系圖。在工業控制系統正常運行情況下生成狀態關系圖，防火墻根據此圖去制定對工控行為的檢測規則。

協議分析模塊：識別不同工業控制系統的協議類型，如TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet 、IEC60870-5-104、Step7工控協議等，根據協議規則，對通信數據進行過濾和檢測。

行為監測模塊：主要監控如工程師站組態變更、操作站數據與操作指令變更，以及各主流現場總線訪問、通信行為、負載變更情況。

附圖說明

圖1為基于狀態關系圖的工控防火墻的系統結構；

圖2為工業數據采集模塊示意圖；

圖3為狀態關系圖模塊示意圖；

圖4為協議分析模塊示意圖；

圖5為行為監控模塊示意圖；

具體實施方式

下面結合附圖對本發明做進一步說明。