本發明涉及基于工控終端特征識別的工業網絡邊界防護方法和系統，該方法包括：獲取工業網絡中的工控終端的類型、工控終端的業務行為和多個工控終端、交換機之間的拓撲關系；基于工控終端的業務行為確定工控終端的業務行為類型；基于工控終端的類型和工控終端的業務行為類型確定每個工控終端的風險等級；以及，基于多個工控終端、交換機之間的拓撲關系確定和工控終端連接的工控終端、交換機的風險等級；基于風險等級自適應匹配網絡邊界防護規則。本申請實施例中以對工控終端的類型、業務行為類型及其工控終端和交換機之間的拓撲關系基礎，確定工業網絡中工控終端以及和工控終端連接的工控終端、交換機的風險等級，從而自適應網絡邊界防護規則配置。

技術領域

本發明涉及網絡邊界防護技術領域，具體涉及基于工控終端特征識別的工業網絡邊界防護方法和系統。

背景技術

目前，傳統網絡邊界防護設備主要是針對通用網絡協議進行訪問控制和安全過濾，完全不支持工業通訊協議。工業網絡邊界防護設備與傳統網絡邊界防護設備最大的區別是針對工業通訊協議進行深度包檢測。之所以稱之為深度過濾，是因為工業網絡邊界防護設備不但可以針對工業網絡協議進行基本的訪問控制，而且可以針對工業網絡協議的內容和數據進行細致的合規性檢查。例如：工業網絡邊界防護設備的Modbus協議規則可以針對Modbus協議的設備地址、寄存器類型、寄存器范圍和讀寫屬性等進行檢查，能有效的防范各種非法的操作和數據進入現場控制網絡，最大限度地保護控制系統的安全。

但是，工業網絡中設備眾多、網絡通信復雜，用戶很難全面的掌握網絡中所必須的業務通信需求，這會給網絡邊界防護設備的規則配置帶來很大的困難，進而影響深度過濾中細致的合規性檢查。

發明內容

本發明提供的基于工控終端特征識別的工業網絡邊界防護方法和系統，能夠解決工業網絡中設備眾多、網絡通信復雜，用戶很難全面的掌握網絡中所必須的業務通信需求的技術問題。

本發明解決上述技術問題的技術方案如下：

第一方面，本發明實施例提供的基于工控終端特征識別的工業網絡邊界防護方法，包括：

獲取工業網絡中的每個工控終端的類型、每個工控終端的業務行為和多個工控終端、交換機之間的拓撲關系；

基于每個工控終端的業務行為確定每個工控終端的業務行為類型；

基于每個工控終端的類型和每個工控終端的業務行為類型確定每個工控終端的風險等級；以及，

基于多個工控終端、交換機之間的拓撲關系確定和工控終端連接的工控終端、交換機的風險等級；

基于風險等級自適應匹配網絡邊界防護規則；

其中，工控終端的類型至少包括：泛終端設備和智能工控終端設備；

工控終端業務行為類型至少包括：持續活躍終端、間歇活躍終端、非活躍終端、高優先級終端、低優先級終端、在線終端、非在線終端。

在一個實施例中，根據每個工控終端的業務行為確定每個工控終端的業務行為類型，包括：

解析每個工控終端的業務行為確定每個工控終端的業務行為表示參量；

對比每個工控終端的業務行為表示參量和工控終端業務行為模型確定每個工控終端的業務行為類型；

其中，業務行為表示參量至少包括：數據包協議類型、單位時間數據包收發量、數據包收發時段分布、工控終端通信優先級、工控終端聯網密級、工控終端網絡連接狀態、工控終端帶寬資源占用。

在一個實施例中，工控終端業務行為模型是通過以下方法得到的：

大數據分析工控終端的業務場景及數據流構建工控終端業務行為模型。

在一個實施例中，上述方法還包括：

顯示每個工控終端的類型、每個工控終端的業務行為和多個工控終端、交換機之間的拓撲關系；