[发明专利]一种工业防火墙及其防护方法

权利要求书

1.一种工业防火墙的防护方法，所述工业防火墙包括，

数据流采集模块(1)，用于采集经过防火墙的数据流；

数据分离模块(2)，用于对采集的数据流中包含的路径信息和执行信息进行分离；

路径信息分析模块(3)，用于对分离出的路径信息进行分析，判断其危险性；

执行信息分析模块(4)，用于对分离出的执行信息进行分析，判断其危险性；

判定模块(5)，根据路径信息分析模块(3)和执行信息分析模块(4)的分析结果对数据流的危险性进行判定，若危险性高于设定阈值则阻止其继续传输，若危险性低于或等于设定阈值则保持其继续传输；

其特征在于包括以下步骤：

A、数据流采集模块(1)对经过防火墙的数据流进行采集；

B、数据分离模块(2)对采集的数据流进行分离，分离出路径信息和执行信息；

C、路径信息分析模块(3)对分离出的路径信息进行分析，判断其危险性；

将数据流路径中的发送地址、寄存地址、寄存器类型、接收地址、读写属性和读写时间的理论值与实际值进行对比，危险性与对比偏差度的平方成正比，对比偏差度的计算方法为，

其中，D为对比偏差度，k₁～k₆为加权系数，s和s′分别为发送地址的理论值与实际值，rs和rs′分别为寄存地址的理论值与实际值，rt和rt′分别为寄存器类型的理论值与实际值，a和a′分别为接收地址的理论值与实际值，wa和wa′分别为读写属性的理论值与实际值，wt和wt′分别为读写时间的理论值与实际值；

D、执行信息分析模块(4)，对分离出的执行信息进行分析，判断其危险性；执行信息的危险度与其编译次数成正比；

E、判定模块(5)根据路径信息分析模块(3)和执行信息分析模块(4)的分析结果对数据流的危险性进行判定，若危险性高于设定阈值则阻止其继续传输，若危险性低于或等于设定阈值则保持其继续传输。

2.根据权利要求1所述的工业防火墙的防护方法，其特征在于：步骤E中，选择路径信息和执行信息中危险度较高的一项作为判定目标，使用判定目标的危险度与设定阈值进行对比。

3.根据权利要求1所述的工业防火墙的防护方法，其特征在于：步骤A中，数据流采集模块(1)对经过防火墙的数据流的采集率与前一个采集周期中被判定为危险性高于设定阈值的数据流比例成正比。