[发明专利]一种工业防火墙及其防护方法

说明书

本发明公开了一种工业防火墙，包括数据流采集模块，用于采集经过防火墙的数据流；数据分离模块，用于对采集的数据流中包含的路径信息和执行信息进行分离；路径信息分析模块，用于对分离出的路径信息进行分析，判断其危险性；执行信息分析模块，用于对分离出的执行信息进行分析，判断其危险性；判定模块，根据路径信息分析模块和执行信息分析模块的分析结果对数据流的危险性进行判定，若危险性高于设定阈值则阻止其继续传输，若危险性低于或等于设定阈值则保持其继续传输。本发明能够改进现有技术的不足，提高了工业网络的运行安全性。

技术领域

本发明涉及工业控制系统安全防御技术领域，尤其是一种工业防火墙及其防护方法。

背景技术

在工业网络中，运行着SCADA、DCS、PLC、等各种过程控制系统，它们往往是生产系统的核心，负责完成生产控制和监控。这些过程控制系统一旦遭受干扰或破坏，就会对工业生产造成不同程度的影响，可能使企业蒙受重大的经济损失，危及人员的生命安全甚至造成重大社会危害。近年来发生的工业网络入侵事件给我们敲响了警钟，如何保证过程控制系统的运行安全迫在眉睫。

发明内容

本发明要解决的技术问题是提供一种工业防火墙及其防护方法，能够解决现有技术的不足，提高了工业网络的运行安全性。

为解决上述技术问题，本发明所采取的技术方案如下。

一种工业防火墙，包括，

数据流采集模块，用于采集经过防火墙的数据流；

数据分离模块，用于对采集的数据流中包含的路径信息和执行信息进行分离；

路径信息分析模块，用于对分离出的路径信息进行分析，判断其危险性；

执行信息分析模块，用于对分离出的执行信息进行分析，判断其危险性；

判定模块，根据路径信息分析模块和执行信息分析模块的分析结果对数据流的危险性进行判定，若危险性高于设定阈值则阻止其继续传输，若危险性低于或等于设定阈值则保持其继续传输。

一种上述的工业防火墙的防护方法，包括以下步骤：

A、数据流采集模块对经过防火墙的数据流进行采集；

B、数据分离模块对采集的数据流进行分离，分离出路径信息和执行信息；

C、路径信息分析模块对分离出的路径信息进行分析，判断其危险性；

D、执行信息分析模块，对分离出的执行信息进行分析，判断其危险性；

E、判定模块根据路径信息分析模块和执行信息分析模块的分析结果对数据流的危险性进行判定，若危险性高于设定阈值则阻止其继续传输，若危险性低于或等于设定阈值则保持其继续传输。

作为优选，步骤C中，将数据流路径中的发送地址、寄存地址、寄存器类型、接收地址、读写属性和读写时间的理论值与实际值进行对比，危险性与对比偏差度的平方成正比，对比偏差度的计算方法为，

其中，D为对比偏差度，～为加权系数，和分别为发送地址的理论值与实际值，和分别为寄存地址的理论值与实际值，和分别为寄存器类型的理论值与实际值，和分别为接收地址的理论值与实际值，和分别为读写属性的理论值与实际值，和分别为读写时间的理论值与实际值。

作为优选，步骤D中，执行信息的危险度与其编译次数成正比。

作为优选，步骤E中，选择路径信息和执行信息中危险度较高的一项作为判定目标，使用判定目标的危险度与设定阈值进行对比。

作为优选，步骤A中，数据流采集模块对经过防火墙的数据流的采集率与前一个采集周期中被判定为危险性高于设定阈值的数据流比例成正比。