[发明专利]一种工业互联网入侵检测和防御方法及其装置

说明书

技术领域

本发明涉及一种工业互联网入侵检测和防御技术。

背景技术

随着工业自动化控制的迅速发展，愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备(Intelligent Electric Device，简称“IED”)互联在一起，形成生产控制系统网络。这种工业企业用内部(或专用)网络称之为工业互联网。一般来说，工业互联网要具有一些满足工业自动化控制的特殊结构和功能。

随着工业互联网的发展，利用已有公众网络(万维互联网)的硬件和软件设施，远程连接某个工业互联网，对该工业互联网中的生产过程专用网络或智能设备进行远程集中监控和远程维护，是当前万维互联网络技术在工业企业自动化系统中的一个需求热点。另一个需求热点是利用已有公众网络(万维互联网)的硬件和软件设施，将两个或更多个工业互联网进行通讯连接。从而使得一个中心控制系统能对所有子生产控制系统进行监督和控制，也使得多个子生产控制系统之间能相互通讯，形成一个更大的生产控制系统，对其资源进行更优化控制和使用。

众所周知，用互联网连接本地计算机网络或计算机终端的一个普遍问题是安全问题。因为互联网广泛性应用的特性，互联网设施“鼓励”广泛地从各种来源传送各种性质的数据和信息。这样一些黑客就会利用数据和信息的广泛传送，可以刻意攻击某一个局域网络或终端；或者一些不法者在数据和信息中加上各种病毒，攻击所有接收到带有病毒的数据和信息的局域网络或终端。

在现有的互联网技术中，防止黑客和病毒的方法之一是建立一个分析数据库，记录并更新病毒的格式特征和行为特征。该分析数据库就像一个“黑名单”，如果收到的数据和信息符合“黑名单”的特征，就将收到的数据和信息拒绝。这种方法的典型例子是入侵防御系统(Intrusion Prevention System，简称“IPS”)。IPS的缺点是需要强大的后台和硬件支持，而且需要一定的时间才能将含有病毒的数据和信息找出来。因而这种方法对工业互联网中的一些专用设备不适用，因为在一些使用场合下，由于使用环境的限制，一些专用设备或工业智能设备不允许有强大的硬件和软件平台。而且工业互联网中许多专用设备的实时性很强，不允许有较长时间的响应时间。

作为万维网(Internet)的安全性保护工具，防火墙(FireWall)已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和万维网间设立防火墙。但是防火墙有以下几个缺点：

1.防火墙不能抵抗最新的未设置策略的攻击病毒。2.防火墙对服务器合法开放的端口的攻击大多无法阻止。3.防火墙对待内部主动发起连接的攻击一般无法阻止。4.防火墙本身也会出现问题和受到攻击：其本身也可能受到攻击和出现软/硬件方面的故障。5.防火墙的并发连接数限制容易导致拥塞或者溢出：由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很可能成为整个网络的瓶颈，影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。

另一种方法是利用IP地址来建立虚拟通道(VPN)。VPN即虚拟专用网，是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。但是VPN有以下几个缺点：1.VPN主要应用在链路层，在链路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件，对硬件要求很高。2.VPN是将所有的数据封包都加密，我们无法使用任何方式来监控这类的行为。3.VPN只能保护主机端对端的访问。而且如果一旦该虚拟通道中也有带病毒的数据和信息，这些带有病毒的数据和信息也全部被接受。

发明内容

本发明主要解决的技术问题是提供一种工业互联网入侵检测和防御方法及其装置，防止工业互联网内部受到外部不良程序的攻击，使得工业互联网的安全性得到保障。

为了解决上述技术问题，本发明提供了一种工业互联网入侵检测和防御方法，包含以下步骤：

预先设置允许访问所述工业互联网的白名单，该白名单至少包括允许通过的客户端的信息，以及允许的服务；

收到来自客户端服务请求后，根据所述白名单对所请求的服务进行验证，如果所请求的服务包含在所述白名单中，则允许所述服务请求通过，否则，拒绝所述服务请求；

在所述服务请求通过服务验证后，对该服务请求进行身份验证，如果请求所述服务的客户端包含在所述白名单中，则允许所述服务请求通过，否则，拒绝所述服务请求。