[发明专利]一种基于工业物联网的状态防火墙状态检测系统及方法

权利要求书

1.一种基于工业物联网的状态防火墙状态检测系统，其特征在于，包括用于驱动用户侧各应用层程序和/或文件的应用层驱动单元，用于驱动各信息交互端口的感知层驱动单元，用于对工业物联网的网络状态进行检测与处理的网络状态检测单元，以及用于为网络状态检测单元服务、且与所述网络状态检测单元相匹配的网络管理数据库及网络层驱动单元；所述应用层驱动单元、网络状态检测单元与感知层驱动单元，依次通信连接。

2.根据权利要求1所述的基于工业物联网的状态防火墙状态检测系统，其特征在于，所述网络状态检测单元，包括分别与应用层驱动单元通信连接的报文过滤模块与地址转换模块，分别与感知层驱动单元通信连接的网关模块与TCP/IP模块，以及与网络管理数据库通信连接的状态检测模块；

所述报文过滤模块与网络管理数据库连接，并依次与报文过滤模块、状态检测模块、地址转换模块、网关模块及TCP/IP模块通信连接；所述TCP/IP模块，与网络层驱动单元连接。

3.根据权利要求1或2所述的基于工业物联网的状态防火墙状态检测系统，其特征在于，所述信息交互端口至少包括令牌网、以太网、USB、Blue Tooth与WSN中的一种或多种。

4.一种基于工业物联网的状态防火墙状态检测方法，其特征在于，包括：

a、网关模块基于预设的连接协议，接收来自感知层的网络报文，提取报文过滤模块所需的报文摘要；

b、状态检测模块基于所述报文摘要，确定相应网络报文的协议类型；

b1、当相应网络报文的协议类型是连接请求SYN报文时：

报文过滤模块获取所述报文摘要，基于预设的匹配规则进行过滤处理；并根据相应的过滤处理结果，选择将相应的网络报文传输至应用层或丢弃。

5.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法，其特征在于，在步骤b中，还包括：

b2、当相应报文的协议类型不是连接请求SYN报文时：状态检测模块基于预建的哈希查找表，生成哈希键值，并基于所述哈希键值，在预存在网络管理数据库内部的状态检测表中查询；

b3、当查询到相应的状态表项时，根据所述状态表项的状态域记录，对相应的网络报文进行放行或丢弃处理；同时，采用动态管理的方式来处理超时状态表项，并更新所述状态表项的超时值和报文数量总数。

6.根据权利要求5所述的基于工业物联网的状态防火墙状态检测方法，其特征在于，在步骤b中，还包括：

b4、当没有查询到相应的状态表项时，报文过滤模块获取所述报文摘要，基于预设的匹配规则进行过滤处理；

当相应的过滤处理结果为报文通过匹配规则的过滤处理时，网络层驱动单元根据相应网络报文的网络报文类型，对相应的状态检测表进行更新处理。

7.根据权利要求6所述的基于工业物联网的状态防火墙状态检测方法，其特征在于，在步骤b4中，还包括：

当相应的网络报文类型为SYN报文，则根据所述网络报文的相应连接关系，在所述状态检测表中创建状态表项，并设置新状态表项的超时值和报文数量总数的初始值。

8.根据权利要求4所述的基于工业物联网的状态防火墙状态检测方法，其特征在于，在步骤a中，所述提取报文过滤模块所需的报文摘要的操作具体包括：

a1、网关模块的网关协议，将拦截到的网络报文中的源地址、源网络号、目的地址、目的网络号与协议记录缓存在报文摘要中；

a2、当所述网络报文的源地址和目的地址均是内部网络地址时，则允许将所述网络报文直接转发，同时将所述网络报文的报文摘要从缓存中删除；

a3、当所述网络报文的源地址和目的地址均不是内部网络地址时，网关协议进一步提取所述网络报文的源设备的访问授权号；

a4、当提取所得访问授权号不属于本网段时，则直接抛弃所述网络报文；否则，当提取所得访问授权号属于本网段时，网关协议将相应的报文摘要提交至网络层驱动单元；同时，销毁相应的报文摘要的缓存信息。