[发明专利]一种针对工业物联网数据采集层终端设备的安全防护体系

权利要求书

1.一种针对于工业物联网数据采集层终端设备的安全防护体系，其特征在于该安全防护体系的主要载体为工业物联网数据采集网关，该网关包括但不限于现有Linux系统网关；针对工业物联网数据采集层终端设备的端口扫描，所述安全防护体系通过轻量级入侵检测系统和基于安全规则的防火墙联动的方法进行防御；针对工业物联网数据采集层终端设备的暴力破解，所述安全防护体系通过基于安全规则的防火墙的防暴力破解机制进行防御。

2.根据权利要求1所述的安全防护体系，其特征在于所述轻量级入侵检测系统和基于安全规则的防火墙联动是基于报警套接字进行交互，其联动机制如下：

轻量级入侵检测系统对终端设备的端口进行扫描，在指定的时间段内检测从单个扫描主机发送到目标主机端口的数据包，依据数据包的特殊标志位，查找相应的异常：若数据包无异常，则继续保持扫描，端口正常访问；若出现异常数据包，轻量级入侵检测系统将生成的报警信息以数据报的方式发送到指定路径下的套接字，报警处理模块在所述指定路径上通过监听套接字来接收报警信息，然后调用基于安全规则的防火墙的报警信息解析函数对报警信息中的源/目IP地址、源/目端口、报警内容和类型、报警事件ID等信息进行解析，同时基于安全规则的防火墙的报警处理模块会添加新的防火墙与入侵检测系统联动规则，如果后续数据报的源/目IP地址以及源/目端口和安全规则相匹配，则丢弃该类报文。

3.根据权利要求2所述的安全防护体系，其特征在于所述轻量级入侵检测系统对终端设备的端口进行扫描的方式包括但不限于TCP全连接扫描、SYN扫描、ACK扫描、FIN扫描。

4.根据权利要求3所述的安全防护体系，其特征在于所述轻量级入侵检测系统对终端设备的端口进行TCP全连接扫描时应检测不符合TCP连接三次握手过程的异常数据包。

5.根据权利要求1至4中任一项所述的安全防护体系，其特征在于所述轻量级入侵检测系统包括但不限于snort系统。

6.根据权利要求1所述的安全防护体系，其特征在于所述防暴力破解机制的规则定义如下：

当某个远程登录请求到达目标设备后，首先将该远程登录请求对应的IP地址与白名单中的IP地址进行比对；

如果该IP地址在白名单中，则直接进行账号/密码验证，验证成功则允许登录，验证失败就拒绝其登录，但是不记录其登录失败的次数；

如果该IP地址不在白名单中，则检查该IP地址在固定的时间周期内是否达到了登录失败次数的阈值：如果达到了登录失败次数的上限，所述基于安全规则的防火墙就直接屏蔽该IP地址，该IP地址的主机将无法访问目标设备；如果没有达到登录失败次数的上限，则进行账号/密码验证，验证成功就允许登录，验证失败的话就拒绝其登录，同时将该IP地址的登录失败次数加1并记录下来。

7.根据权利要求1或2或6所述的安全防护体系，其特征在于所述基于安全规则的防火墙包括但不限于iptables防火墙。