本發明提供了一種工控協議過濾方法和板卡，涉及工控信息安全的技術領域，應用于板卡內的處理器中，板卡內還設置有FPGA，所述FPGA中包括：用于存儲已通過安全驗證的多個工控協議的協議白名單，若接收到終端設備發送的連接請求，解析連接請求，得到終端設備支持的待檢測協議；判斷待檢測協議是否位于協議白名單中；若待檢測協議位于協議白名單中，將連接請求發送至與板卡連接的服務器；若待檢測協議不位于協議白名單中，攔截連接請求。解決攻擊者對小型廠商使用的協議或未知協議加以利用達到攻擊工業網絡的目的的技術問題的同時，使用FPGA板存儲協議白名單，采用硬件加速方法加快讀取對比速度，使終端設備能夠更快通過驗證，連接入服務器，提升工作效率。

技術領域

本發明涉及工控信息安全技術領域，尤其是涉及一種工控協議過濾方法和板卡。

背景技術

工業大數據是未來工業在全球市場競爭中發揮優勢的關鍵。目前，超過80％的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業，隨著工業信息化的快速發展，工業化與信息化的融合趨勢越來越明顯，但工業控制系統面臨工業控制協議缺乏安全性考慮，易被攻擊者利用。工控協議種類繁多，除去大型廠商使用的協議之外，還存在小型廠商使用的協議，往往攻擊者對小型廠商使用的協議或未知協議加以利用達到攻擊工業網絡的目的。

發明內容

有鑒于此，本發明的目的在于提供一種工控協議過濾方法和板卡，以解決攻擊者對小型廠商使用的協議或未知協議加以利用達到攻擊工業網絡的目的的技術問題。

第一方面，本發明實施例提供了一種工控協議過濾方法，應用于板卡內的處理器中，所述板卡內還設置有FPGA，所述FPGA中包括：用于存儲已通過安全驗證的多個工控協議的協議白名單，所述方法包括如下步驟：

若接收到終端設備發送的連接請求，解析所述連接請求，得到所述終端設備支持的待檢測協議；

判斷所述待檢測協議是否位于所述協議白名單中；

若所述待檢測協議位于所述協議白名單中，將所述連接請求發送至與所述板卡連接的服務器；

若所述待檢測協議不位于所述協議白名單中，攔截所述連接請求。

本發明實施例建立協議白名單，通過深度解析終端設備發送的連接請求得到應用層協議，再與協議白名單中的應用層協議比對的方法，在終端設備連入服務器之前，對使用未進行安全認證的協議的數據包進行攔截，進而將疑似存在安全威脅的終端設備阻擋在服務器之外，防止服務器被攻擊。

結合第一方面，本發明實施例提供了第一方面的第一種可能的實施方式，其中，所述FPGA中還包括：用于存儲未通過安全驗證的工控協議的協議黑名單，所述方法還包括：

所述待檢測協議不位于所述協議白名單中，將所述待檢測協議存入黑名單中。

其中，判斷所述協議黑名單中每個工控協議的寫入次數是否超過預設閾值；若存在任一工控協議的寫入次數超過預設閾值，發出協議驗證提示，以提示工作人員驗證所述工控協議的安全性；在接收到工作人員輸入的安全性驗證通過操作時，將所述工控協議從所述協議黑名單中刪除，并將所述工控協議寫入所述協議白名單。

在本發明實施例中，創建協議黑名單可以用于將協議黑名單共享，以實現提前預防攻擊者使用協議黑名單中的不安全協議封裝數據包攻擊服務器，并設計一種閾值機制，若存在任一工控協議的寫入次數超過預設閾值，發出協議驗證提示，以提示工作人員驗證所述工控協議的安全性，防止出現工作人員將協議錄入協議白名單時出現遺漏掉安全的協議的情況。

結合第一方面，本發明實施例提供了第一方面的第二種可能的實施方式，其中，所述方法還包括：

獲取已通過安全驗證的多個工控協議；

根據所述多個工控協議創建所述協議白名單；