[发明专利]一种工控协议自适应深度检测装置与方法

说明书

本发明涉及一种工控协议自适应深度检测装置与方法。所述装置包括中央处理器、内部存储器、Flash闪存、1个WAN接口、4个LAN接口、2个串行接口。所述方法包括：逐级检测工控协议数据包是否合法；对被保护设备的状态指标进行检测；进行自适应检测调整：根据检测到的状态指标及用户配置的检测级别适应规则，自动调整数据包深度检测的检测级别，即按照网络状态逐级降级调整。本发明通过对安全防护设备的实际工作情况进行动态自适应分析，并根据用户配置和防护设备的状态，动态调整安全防护级别，解决了现有技术中存在的由于CPU资源占用较多、接口流量过大引起设备瘫痪的问题。

技术领域

本发明属于工控系统安全领域，具体涉及一种用于工业控制安全防护的工控协议自适应深度检测装置与方法。

背景技术

在现有技术中，工业控制系统的安全防护一般采取逐层防护的方式部署，即在攻击路径上的任意位置如企业网入口、监控层网络入口、现场层网络入口设置特定的防护措施，阻断攻击，实现对安全等级最高的现场层的保护，工控安全防护设备需能支持各式现场总线通讯协议，层层拆解数据封包，深入剖析封包结构与封包内容，确保封包的合法性，即所谓的深层管理。然而，采用代理方式工作的工控防火墙工作在应用层，其工作方式是完全控制会话，针对特定的应用层协议，通过对每种应用服务建立专门的代理服务程序，支持MODBUS、OPC等多种工业协议，也可支持FTP等工控网内常见的传统协议的过滤，实现了工控以太网中常用控制协议的内容分析和完整性检查，能很好地监控工控协议的控制行为。通过对控制协议的深度分析，防止伪装成正常通信协议内容的恶意代码进入工业控制系统网络内部或区域内部，从而防止畸形代码攻击等多种发生在工控以太网络内部的攻击。虽然可以实现监控和控制应用层通信流的作用，但是其速度较慢，消耗过多的CPU资源，使得防护设备成为安全防护的瓶颈。尤其是在防护设备的CPU资源占用较多、接口流量过大时，处理速度过慢，安全防护设备成为响应瓶颈，对一切数据进行过滤分析造成速度过慢，数据交换有较大的时延，不适应工控系统的实时性要求，严重影响工控现场网络，甚至造成网络瘫痪，无法动态地适应现场情况，造成无法弥补的损失。

发明内容

为了解决现有技术中存在的上述问题，本发明提供一种工控协议自适应深度检测装置与方法，对安全防护设备的实际工作情况进行动态自适应分析，根据用户配置和防护设备的状态，动态调整安全防护级别，以避免因CPU资源占用较多、接口流量过大造成设备瘫痪。

为达到上述目的，本发明采用如下技术方案：

一种工控协议自适应深度检测装置，设置在工业网络和被保护设备之间，所述装置包括：中央处理器，内部存储器，Flash闪存，1个WAN(广域网)接口，4个LAN(局域网)接口，2个串行接口，所述中央处理器分别与所述内部存储器、Flash闪存、WAN接口、LAN接口、串行接口相连。其中，

所述中央处理器为运算控制中心，用于协调控制各部分电路的工作，通过运行软件程序实现工控协议自适应深度检测功能。

所述内部存储器用于存储存数据。

所述Flash闪存存储系统程序及实现工控协议自适应深度检测的软件程序。

所述WAN接口连接外部设备。

所述LAN接口连接被保护设备。

所述串行接口用于信息输出、日志输出和后台配置。

进一步地，所述中央处理器为SparcV8架构。

进一步地，所述串行接口采用RS485或RS232串口。

一种工控协议自适应深度检测方法，由设置在工业网络和被保护设备之间的装置截获外部设备向被保护设备发送的数据包，并在所述装置中运行如下步骤：

步骤1，逐级检测工控协议数据包是否合法。