[发明专利]实现深度数据包检测控制的工业防火墙控制方法及设备

权利要求书

1.一种实现深度数据包检测控制的工业防火墙控制方法，其特征在于，包括：

开启工业防火墙的管控工作模式，其中，所述工业防火墙采用全透明接入的方式，所述工作模式包括：直通工作模式、测试工作模式以及所述管控工作模式；其中，在所述直通工作模式中，所述工业防火墙允许访问者进行数据包的直接传输；在所述测试工作模式中，所述工业防火墙的执行步骤包括：识别工业网络协议，为所述工业网络协议匹配对应的安全策略，对数据包进行深层检测，以验证所述数据包是否符合所述安全策略中对应的过滤条件并生成日志记录，查看所述日志记录中符合所述过滤条件的数据包和不符合所述过滤条件的数据包是否存在筛选错误，以验证所述安全策略的准确性；

识别工业网络协议，并根据所述工业网络协议匹配对应的安全策略，包括：获取所述工业网络协议的流量，并将所述工业网络协议的流量以会话为单位进行分类，其中每个所述会话中包含多个所述数据包；分别将多个所述数据包划分为多个字符串；分别统计多个所述字符串的出现频率，筛选出符合预设阈值的具有最大出现频率的所述字符串作为频繁字符串，确定所述频繁字符串为所述工业网络协议对应的工业网络协议特征；以及根据所述工业网络协议特征，为所述工业网络匹配对应的所述安全策略；其中所述安全策略包括：设定对数据包的过滤条件、以及配置对所述数据包进行深度检测的深度检测模块；

由所述深度检测模块对所述工业网络协议的内部指令、以及内部寄存器的数据进行扫描，清除不符合预设要求的所述工业网络协议；以及

由所述深度检测模块对所述数据包的全部数据内容进行扫描，制止符合所述过滤条件的所述数据包的输入；

其中，所述安全策略还包括：对所述访问者进行访问控制，包括：

获取并识别所述访问者的访问信息，其中所述访问信息包括所述访问者的安全域、所述访问者与工业网络之间的互连协议、所述访问者的局域网地址、所述访问者的访问时间段、所述访问者的动作和工控协议的功能码；

根据所述访问者的访问信息，筛选出符合预设的访问控制政策的所述访问者；

将所述访问者与具有访问权限的角色建立联系，以将所述访问者分配给对应的所述角色，其中所述角色是具有相同的所述访问权限的访问者的集合；以及

获得所述角色的所述访问者得到所述角色对应的所述访问权限。

2.根据权利要求1所述的方法，其特征在于，所述安全策略还包括：对分布式拒绝服务攻击进行防护、对异常数据包攻击进行防护、以及扫描防护。

3.根据权利要求1所述的方法，在所述由所述深度检测模块对所述数据包的全部数据内容进行扫描，制止符合所述过滤条件的所述数据包的输入之后，其特征在于，还包括：

针对不符合预设要求的所述工业网络协议或符合所述过滤条件的所述数据包，生成警告。

4.根据权利要求1所述的方法，在所述由所述深度检测模块对所述数据包的全部数据内容进行扫描，制止符合所述过滤条件的所述数据包的输入之后，其特征在于，还包括：

生成包括不符合预设要求的所述工业网络协议或符合所述过滤条件的所述数据包的信息的日志。