一種工控協議自適應深度檢測裝置與方法制造方法及圖紙

本發明專利技術涉及一種工控協議自適應深度檢測裝置與方法。所述裝置包括中央處理器、內部存儲器、Flash閃存、1個WAN接口、4個LAN接口、2個串行接口。所述方法包括：逐級檢測工控協議數據包是否合法；對被保護設備的狀態指標進行檢測；進行自適應檢測調整：根據檢測到的狀態指標及用戶配置的檢測級別適應規則，自動調整數據包深度檢測的檢測級別，即按照網絡狀態逐級降級調整。本發明專利技術通過對安全防護設備的實際工作情況進行動態自適應分析，并根據用戶配置和防護設備的狀態，動態調整安全防護級別，解決了現有技術中存在的由于CPU資源占用較多、接口流量過大引起設備癱瘓的問題。

【技術實現步驟摘要】

本專利技術屬于工控系統安全領域，具體涉及一種用于工業控制安全防護的工控協議自適應深度檢測裝置與方法。
技術介紹
在現有技術中，工業控制系統的安全防護一般采取逐層防護的方式部署，即在攻擊路徑上的任意位置如企業網入口、監控層網絡入口、現場層網絡入口設置特定的防護措施，阻斷攻擊，實現對安全等級最高的現場層的保護，工控安全防護設備需能支持各式現場總線通訊協議，層層拆解數據封包，深入剖析封包結構與封包內容，確保封包的合法性，即所謂的深層管理。然而，采用代理方式工作的工控防火墻工作在應用層，其工作方式是完全控制會話，針對特定的應用層協議，通過對每種應用服務建立專門的代理服務程序，支持MODBUS、0PC等多種工業協議，也可支持FTP等工控網內常見的傳統協議的過濾，實現了工控以太網中常用控制協議的內容分析和完整性檢查，能很好地監控工控協議的控制行為。通過對控制協議的深度分析，防止偽裝成正常通信協議內容的惡意代碼進入工業控制系統網絡內部或區域內部，從而防止畸形代碼攻擊等多種發生在工控以太網絡內部的攻擊。雖然可以實現監控和控制應用層通信流的作用，但是其速度較慢，消耗過多的CPU資源，使得防護設備成為安全防護的瓶頸。尤其是在防護設備的CPU資源占用較多、接口流量過大時，處理速度過慢，安全防護設備成為響應瓶頸，對一切數據進行過濾分析造成速度過慢，數據交換有較大的時延，不適應工控系統的實時性要求，嚴重影響工控現場網絡，甚至造成網絡癱瘓，無法動態地適應現場情況，造成無法彌補的損失。
技術實現思路
為了解決現有技術中存在的上述問題，本專利技術提供，對安全防護設備的實際工作情況進行動態自適應分析，根據用戶配置和防護設備的狀態，動態調整安全防護級別，以避免因CPU資源占用較多、接口流量過大造成設備癱瘓。為達到上述目的，本專利技術采用如下技術方案:—種工控協議自適應深度檢測裝置，設置在工業網絡和被保護設備之間，所述裝置包括:中央處理器，內部存儲器，Flash閃存，1個WAN(廣域網)接口，4個LAN(局域網)接口，2個串行接口，所述中央處理器分別與所述內部存儲器、Flash閃存、WAN接口、LAN接口、串行接口相連。其中，所述中央處理器為運算控制中心，用于協調控制各部分電路的工作，通過運行軟件程序實現工控協議自適應深度檢測功能。所述內部存儲器用于存儲存數據。所述Flash閃存存儲系統程序及實現工控協議自適應深度檢測的軟件程序。所述WAN接口連接外部設備。所述LAN接口連接被保護設備。所述串行接口用于信息輸出、日志輸出和后臺配置。進一步地，所述中央處理器為SparcV8架構。進一步地，所述串行接口采用RS485或RS232串口。一種工控協議自適應深度檢測方法，由設置在工業網絡和被保護設備之間的裝置截獲外部設備向被保護設備發送的數據包，并在所述裝置中運行如下步驟:步驟1，逐級檢測工控協議數據包是否合法。步驟2，對被保護設備的狀態指標進行檢測。所述設備狀態指標包括并發用戶數、接口流量、內存使用量、進程數、CPU占用量。步驟3，進行自適應檢測調整。根據步驟2檢測到的狀態指標及用戶配置的檢測級別適應規則，自動調整數據包深度檢測的檢測級別，即按照網絡狀態逐級降級調整。進一步地，所述方法還包括在前置機安裝后、系統運行前，或在運行過程中進行的用戶配置步驟，用戶通過界面或者Console命令方式進行如下配置:自適應檢測指標配置；前置機設備網絡接口、DNS配置；系統工作模式即代理模式、路由模式配置；網絡訪問控制的IP、MAC，IP范圍、子網掩碼，阻斷/通過配置；自適應檢測級別配置；端口控制配置。進一步地，所述方法還包括日志管理步驟。日志管理步驟在步驟1之前開始并一直進行，記錄系統運行日志、安全防護日志、訪問日志、安全監控日志。每一條記錄的日志至少包括事件發生的日期、時間、源IP、目的IP、協議、事件描述和結果，用于日志的查找及導出備份。進一步地，所述方法還包括在步驟1之前進行的網絡連接管理步驟，包括透明代理、加載網絡驅動、網絡監聽服務、會話管理、內存池管理、接口管理。進一步地，所述步驟1逐級檢測工控協議數據包是否合法的方法包括以下步驟:步驟1.1，0級檢測:基于IP、MAC地址的網絡訪問控制。判斷數據包的IP地址、MAC地址是否合法，不合法則丟棄，并記錄日志；合法則進入下一步。步驟1.2，1級檢測:端口控制。解析數據包得到數據包的源端口、目的端口，判斷端口是否合法，不合法則丟棄，并記錄日志；合法則進入下一步。步驟1.3，2級檢測:協議控制，完整性檢查、合法性檢查。判斷數據包的協議類型，根據用戶配置的協議控制要求，判斷該協議數據包的完整性、合法性，不合法則丟棄，并記錄日志；合法則進入下一步。步驟1.4，3級檢測:功能碼控制、參數控制。根據協議類型，判斷該協議中某些字段是否合法，不合法則丟棄，并記錄日志；合法則進入下一步。所述字段包括功能碼控制、參數控制。步驟1.5，4級檢測:預置規則庫匹配控制。根據協議類型匹配預置規則庫，判斷協議是否符合預置規則，不符合則丟棄，并記錄日志；符合則進入下一步。步驟1.6，5級檢測:用戶自定義規則配置。對用戶自定義規則進行匹配，不合法則丟棄，并記錄日志；合法則轉發給目標地址。進一步地，所述用戶配置的檢測級別適應規則是用戶根據網絡擁塞狀態、流量控制信息和系統信息配置的降級工作規則。進一步地，所述步驟2對被保護設備的狀態指標進行檢測的方法具體包括以下步驟:步驟2.1，檢測對請求作出響應所需要的時間:接到數據包時記錄一個時間戳，數據包經處理后發出時記錄一個時間戳，響應時間為后一個時間戳與前一個時間戳的差值。步驟2.2，通過檢測網絡接口的網絡連接數檢測并發用戶數。步驟2.3，檢測每個網絡接口的流量。步驟2.4，通過系統指令獲取操作系統指標:使用內存數，進程數。步驟2.5，將步驟2.1?2.4中檢測到的網絡狀態數據存儲到數據結構devicelnfo 中。與現有技術相比，本專利技術具有以下有益效果:本專利技術所述裝置及方法通過對安全防護設備的實際工作情況進行動態自適應分析，并根據用戶配置和防護設備的狀態，動態調整安全防護級別，解決了現有技術中存在的由于CPU資源占用較多、接口流量過大引起設備癱瘓的問題?！靖綀D說明】圖1為工控協議自適應深度檢測裝置的組成框圖；圖2為逐級檢測工控協議數據包是否合法的流程圖?！揪唧w實施方式】下面結合附圖和實施例對本專利技術做進一步說明。一種工控協議自適應深度檢測裝置，安裝在一個標準的機架上，設置在工業網絡和被保護設備之間，所述裝置的組成如圖1所示，包括:中央處理器，內部存儲器，Flash閃存，1個WAN接口，4個LAN接口，2個串行接口。所述中央處理器分別與所述內部存儲器、Flash閃存、WAN接口、LAN接口、串行接口相連。其中，中央處理器為運算控制中心，用于協調控制各部分電路的工作，通過運行軟件程序實現工控協議自適應深度檢測功能。中央處理器采用SparcV8架構，包含兩個DDR插槽，分別支持512MB內存；包含運算邏輯、寄存器和控制器；其中運算邏輯支持定點、浮點運算、移位運算和邏輯操作，支持地址運算和轉換；其中寄存器編址為32位。內部存儲器用于存儲各種數據。內部存儲器采用2個512MB的DDR內存，共1GB本文檔來自技高網...

【技術保護點】
一種工控協議自適應深度檢測裝置，設置在工業網絡和被保護設備之間，所述裝置包括：中央處理器，內部存儲器，Flash閃存，1個WAN接口，4個LAN接口，2個串行接口，所述中央處理器分別與所述內部存儲器、Flash閃存、WAN接口、LAN接口、串行接口相連；其中，所述中央處理器為運算控制中心，用于協調控制各部分電路的工作，通過運行軟件程序實現工控協議自適應深度檢測功能；所述內部存儲器用于存儲存數據；所述Flash閃存存儲系統程序及實現工控協議自適應深度檢測的軟件程序；所述WAN接口連接外部設備；所述LAN接口連接被保護設備；所述串行接口用于信息輸出、日志輸出和后臺配置。

【技術特征摘要】

【專利技術屬性】
技術研發人員：劉仁輝，郭肖旺，劉紅，霍玉鮮，
申請(專利權)人：中國電子信息產業集團有限公司第六研究所，
類型：發明
國別省市：北京;11