本發明公開動態多模異構冗余的工控安全網關系統和入侵感知方法。本發明系統包括數據包外部IO分發模塊、異構的工控安全網關策略池、異構的工控安全網關固件池、異構的工控安全網關硬件池、網關動態重組模塊、工控安全網關訪問陣列、流量記錄和輸出選擇模塊、流量日志庫、多模判決模塊和入侵響應模塊。本發明能在正常處理工控數據包轉換同時，及時檢測感知針對工控網關的入侵和防止利用系統設計或實現缺陷導致的攻擊行為，并進行正常業務無擾的入侵響應處理。

技術領域

本發明屬于工業信息安全技術領域，涉及一種動態多模異構冗余的工控安全網關系統和入侵感知方法。

背景技術

隨著信息技術和網絡技術在工業系統中應用的普及，工業信息系統的安全問題是當前工業信息系統的面臨的直接威脅。傳統的工控安全網關作為安全保障體系的重要防線，通過訪問控制，防御黑客攻擊。但隨著越來越多的操作系統本身漏洞以及應用系統的漏洞被發現，工控安全網關面臨了兩個問題：

(1)自身被攻破。很明顯，當安全網關一旦被攻破，工業控制網絡就失去了一道有力的防護墻。

(2)由于系統設計或系統平臺的缺陷，而被攻擊繞過。如何防止由于系統設計或實現存在缺陷而被攻擊者利用一直是安全界研究的一個熱點。

發明內容

本發明的一個目的為克服現有技術的不足，基于擬態防御原理，提出了一種動態多模異構冗余的工控安全網關系統，以解決目前工控安全網關面臨的上述兩個問題。該系統能在正常處理工控數據包轉換同時，及時檢測感知針對工控網關的入侵和防止利用系統設計或實現缺陷導致的攻擊行為，并進行正常業務無擾的入侵響應處理。

本發明動態多模異構冗余的工控安全網關系統，包括數據包外部IO分發模塊、異構的工控安全網關策略池、異構的工控安全網關固件池、異構的工控安全網關硬件池、網關動態重組模塊、工控安全網關訪問陣列、流量記錄和輸出選擇模塊、流量日志庫、多模判決模塊和入侵響應模塊。其中：

數據包外部IO分發模塊，將收到的外部工業控制業務數據包分發到工控安全網關訪問陣列中的不同訪問路徑；同時接收和緩存工控安全網關各訪問路徑的響應輸出，按照最先到達原則選擇其中的一條訪問路徑數據流量輸出到外部網絡，并丟棄其余訪問路徑輸出的數據包；

工控安全網關訪問陣列由若干異構冗余的工控安全網關訪問路徑構成，其中每個異構冗余的工控安全網關訪問路徑是由若干網關訪問控制模塊按照不同網絡拓撲結構構建，每個網關訪問控制模塊通過調度策略、固件、硬件組合構建；其中調度策略來源于異構的工控安全網關策略池，該策略池由工控安全網關中訪問規則的多種異構實現實體組成；固件來源于異構的工控安全網關固件池，由工控安全網關中工業協議解析、網關引擎和操作系統的多種異構實現實體組成；硬件來源于異構的工控安全網關硬件池，由工控安全網關硬件的多種異構實現實體組成；

工控安全網關訪問陣列，接收數據包外部IO分發模塊輸入的數據包，分別按照傳統及工控協議的配置規則(策略)對數據包進行解析處理和轉換，然后將處理后的數據包發送到流量記錄和輸出選擇模塊；

網關動態重組模塊，依據功能一致原則，網關動態重組模塊選取不同異構實現實體的固件、硬件、調度策略進行組合，構成網關訪問控制模塊，并集合成網關訪問控制模塊池；然后在系統運行時，網關動態重組模塊從上述網關訪問控制模塊池中隨機選擇多個異構網關訪問控制模塊進行組合，確定這些網關訪問控制模塊之間的網絡拓撲連接，從而構建出異構冗余的工控安全網關訪問陣列；

流量記錄和輸出選擇模塊，接收各異構冗余的工控安全網關訪問路徑處理后的數據包，將所有訪問路徑輸出的流量數據記錄到流量日志庫，然后按照預先配置的選擇策略選擇其中一條訪問路徑的數據包流量輸出到內部網絡，同時丟棄其余數據包；接收內部工控網絡的數據包，分發到工控安全網關訪問陣列中各訪問路徑。

作為優選，所述的預先配置的選擇策略為最先到達原則或某一訪問路徑優先原則；