[发明专利]工业防火墙状态检测方法、装置、电子设备及存储介质

说明书

本发明提供一种工业防火墙状态检测方法、装置、电子设备及存储介质，属于工业控制系统安全技术领域，所述方法包括：根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测，所述第一阶段的检测包括基于预设DTMC模型对消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测；基于所述第一阶段的检测，对所述消息数据进行第二阶段的检测，所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。本发明通过对获取工业控制系统的消息数据进行第一阶段的合法性检测和第二阶段的状态转移概率的检测，提高了对消息数据检测的精度，有效防止工业控制系统遭受网络攻击。

技术领域

本发明涉及工业控制系统安全技术领域，尤其涉及一种工业防火墙状态检测方法、装置、电子设备及存储介质。

背景技术

工业控制系统(Industrial Control System,ICS)包括监控和数据采集(Supervisory Control and Data Acquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)和可编程逻辑控制器(Programmable LogicController,PLC)等，广泛应用于电力、水利、石油化工和冶金等工业领域，是国家关键基础设施的重要组成部分。近年来，为了促进更高效的远程控制，ICS与信息和通信技术广泛融合，但该技术为ICS带来高效便捷的同时，也导致ICS易遭受网络攻击。

工业防火墙是专为保护ICS信息安全而设计。然而，现有工业防火墙存在以下几点不足：1)使用深度包检测(Deep Packet Inspection,DPI)算法，仅能检测部分载荷内容数据，经过特别构造、携带恶意载荷的数据包，可利用该缺点绕过防火墙的检测。2)仅检测单条数据报文，未考虑ICS操作指令间的关联性，无法检测针对ICS的语义攻击。3)大部分ICS设备同时支持网络协议与串行链路协议，而工业防火墙主要针对ICS网络协议，未考虑串行链路协议。

发明内容

本发明提供一种工业防火墙状态检测方法、装置、电子设备及存储介质，用以解决现有技术中上述工业防火墙检测精度低及不支持串行链路协议的缺陷，实现工业防火墙检测精度高及支持串行链路协议。

本发明提供一种工业防火墙状态检测方法，包括：

根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测，所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测；

基于所述第一阶段的检测，对所述消息数据进行第二阶段的检测，所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。

根据本发明提供的一种工业防火墙状态检测方法，所述根据获取工业控制系统的消息数据，对所述消息数据进行第一阶段的检测之前，包括：

使用串口采集历史消息数据；

根据CPI算法，对每条历史消息数据按照六元组定义为状态事件；

根据所述历史消息数据自学习构建预设DTMC模型，所述预设DTMC模型存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息。

据本发明提供的一种工业防火墙状态检测方法，所述六元组包括：

第一元组，所述第一元组为设备从站地址；

第二元组，所述第二元组为报文请求/响应类别；

第三元组，所述第三元组为协议功能码；

第四元组，所述第四元组为协议参数数据；

第五元组，所述第五元组为校验码数据；