[发明专利]一种针对工业物联网数据采集层终端设备的安全防护体系

说明书

本发明属于工业物联网信息安全领域，具体涉及一种针对工业物联网数据采集层终端设备的安全防护体系，其主要载体为工业物联网数据采集网关，该网关包括但不限于现有Linux系统网关；针对工业物联网数据采集层终端设备的端口扫描，所述安全防护体系通过轻量级入侵检测系统和基于安全规则的防火墙联动的方法进行防御，同时基于报警套接字交互，基于安全规则的防火墙可根据检测情况，实时建立安全规则，阻断端口扫描数据包；针对工业物联网数据采集层终端设备的暴力破解，所述安全防护体系通过基于安全规则的防火墙的防暴力破解机制进行防御，防暴力破解机制主要是通过白名单机制和登录阈值规则进行防御。

技术领域

本发明属于工业物联网信息安全领域，具体涉及一种针对工业物联网数据采集层终端设备的安全防护体系，该体系主要防御物联网相关的僵尸网路病毒，保证工业物联网设备采集侧的数据安全，进而保障工业设备的安全。

背景技术

物联网迅速发展，开始应用到各个领域，其中普及速度最快、范围最广的垂直领域就在工业界。工业物联网的应用场景也极其丰富，诸如传感器、机器人、自动化设备等越来越多的设备连接在一起。工业物联网看作是工业自动化系统与物联网系统的高度结合体，在其发展过程中引入了互联网、云计算以及传感等技术，并完成了工业生产系统、工业监控系统以及工业管理系统的融合，根据数据中心对工业数据的分析和处理结果，能够大幅提高产品质量和工业生产效率，并有效降低生产管理成本。

随着工业物联网技术在工业领域的广泛应用，工控系统中设备层的控制装置将通过开放网络实现信息和数据的交互，并且能够将管理层与市场层的信息进行无缝融合。然而，越来越开放的网络化连接使得工控系统、联网设备以及工业云平台容易遭受入侵，给工业环境带来停机、生产中断、资产损失等威胁。

在工业物联网系统的架构中，数据采集层的终端设备主要包括控制设备和现场设备。控制设备以PLC等控制器为代表，主要负责向各类工控设备下发控制指令；现场设备主要包括各类传感器，这些传感器直接与工控设备连接，负责采集工业现场的各种过程数据。在数据采集层所采集的生产数据可以为现场调度管理提供信息反馈，现场监控管理站能够根据数据处理层反馈回来的信息进行控制反馈，及时对生产设备的状态进行调整。

考虑到成本因素，工业物联网数据采集层的终端设备功能比较单一，主要解决数据的上行相关问题，其资源、计算能力受限，攻击者通常采用暴力字典破解攻击等方式来控制物联网终端设备，从而入侵到工业物联网内部网络，进行非法的行为或发起恶意攻击，如对设备数据或指令进行监听、篡改、伪造，或是操纵物联网僵尸网络发起DDoS攻击。

针对僵尸网络病毒攻击，对物联网数据采集层的终端设备进行安全防护策略设计关键在于防御攻击者对端口进行扫描以及攻击者对终端设备进行渗透。同时考虑到工业物联网数据采集层的终端设备计算能力，防护系统必须考虑架构和算法轻量化。

发明内容

本发明的目的是针对工业物联网数据采集层的终端设备提出一种安全防护体系，用以解决攻击者对工业物联网数据采集层终端设备的端口扫描以及暴力破解等问题。

为实现前述目的本发明采用以下技术方案：

一种针对于工业物联网数据采集层终端设备的安全防护体系，该安全防护体系的主要载体为工业物联网数据采集网关，该网关包括但不限于现有Linux系统网关；针对工业物联网数据采集层终端设备的端口扫描，所述安全防护体系通过轻量级入侵检测系统和基于安全规则的防火墙联动的方法进行防御；针对工业物联网数据采集层终端设备的暴力破解，所述安全防护体系通过基于安全规则的防火墙的防暴力破解机制进行防御。

进一步的，所述轻量级入侵检测系统和基于安全规则的防火墙联动是基于报警套接字进行交互，其联动机制如下：