本發明提供一種物聯網安全網關系統：包括網關設備，網關設備包括網關系統，網關系統包括蜜罐模塊、數據存儲模塊、數據分析模塊以及非對稱加密模塊，蜜罐模塊與數據分析模塊信號連接，數據分析模塊與非對稱加密模塊信號連接，蜜罐模塊、數據分析模塊和非對稱加密模塊均與數據存儲模塊信號連接。本發明還提供一種物聯網安全網關系統的物聯網安全網關防護方法，聚焦于工控網，在已有網關基礎上搭建網關與服務器之間的網盾(網關系統)。網盾實現并部署蜜罐、實現將工控網采集網關的數據先經過網盾，經過網盾的數據被捕獲后，經過機器學習方法的訓練得到一個可以自動判斷行為與攔截的智能網盾系統。

技術領域

本發明涉及工控物聯網網關安全領域，具體涉及一種新型的物聯網安全網關系統及防護方法。

背景技術

隨著我國在信息化建設的迅猛發展，信息安全方面的需求也變得越來越迫切。其中，盡管傳統IT領域依舊占據主要市場份額，但伴隨著物聯網與“工業4.0”的快速推進，在工業領域，工控安全已經成為了不可忽視的一股力量。

截至目前，只出現了四種(震網Stuxnet、TRITON、Industroyer、CRASHOVERRIDE)專門為工業控制系統量身定制的惡意軟件。盡管如此，針對工業基礎設施的惡意活動卻數見不鮮。

綜上，需要對現有技術作進一步改進。

發明內容

本發明要解決的技術問題是提出一種物聯網安全網關系統及防護方法；

為解決上述技術問題，本發明提供一種物聯網安全網關系統：包括網關設備，網關設備包括網關系統；所述網關系統包括蜜罐模塊、數據存儲模塊、數據分析模塊以及非對稱加密模塊；

所述蜜罐模塊與數據分析模塊信號連接；所述數據分析模塊與非對稱加密模塊信號連接；所述蜜罐模塊、數據分析模塊和非對稱加密模塊均與數據存儲模塊信號連接。

作為對本發明物聯網安全網關系統的改進：

外網設備分別與蜜罐模塊、數據存儲模塊、數據分析模塊以及非對稱加密模塊信號相連；

非對稱加密模塊與PLC連接。

作為對本發明物聯網安全網關系統的進一步改進：

所述蜜罐模塊采集到的網絡請求數據存儲至數據存儲至數據存儲模塊中，蜜罐模塊采集到的網絡請求數據通過數據分析模塊對該網絡請求進行攔截判斷。

所述數據分析模塊將數據存儲模塊中的數據進行模型重建；數據分析模塊將攔截分類的結果存儲至數據存儲模塊中；

所述數據分析模塊將未被攔截的網絡請求進行解密驗證，非對稱加密模塊將未通過解密驗證的網絡請求進行攔截。

所述非對稱加密模塊將解密驗證的結果存儲至數據存儲模塊中，非對稱模塊獲取數據存儲模塊存儲的公鑰信息。

本發明還提供一種物聯網安全網關系統的物聯網安全網關防護方法：包括以下步驟：

S1、外網設備向網關系統發送數據包；

S2、網關系統接收、儲存、分析處理外網設備所發送的數據包，并將非網絡攻擊的數據包發送給PLC。

5、根據權利要求4所述的物聯網安全網關防護方法，其特征在于：S2包括以下步驟：

2.1：蜜罐模塊通過TcpDump抓包方式獲取外網設備發送的數據包；

2.2：蜜罐模塊將抓包得到的數據參數發送至數據分析模塊中進行入侵與非入侵分類；若為入侵，則直接拒絕訪問，若為非入侵，則繼續執行步驟(2.3)；