[发明专利]实现深度数据包检测控制的工业防火墙控制方法及设备

说明书

本申请提供了一种实现深度数据包检测控制的工业防火墙控制方法及设备，可包括：识别工业网络协议，并根据工业网络协议匹配对应的安全策略，其中安全策略包括：设定对数据包的过滤条件、以及配置对数据包进行深度检测深度检测模块。由深度检测模块对工业网络协议的内部指令、以及内部寄存器的数据进行扫描，清除不符合预设要求的工业网络协议。由检测装置对数据包的全部数据内容进行扫描，制止符合过滤条件的数据包的输入。通过部署工业防火墙可以有效地划分安全区域，提供边界、区域到终端的完整防护，有利于降低工业网络被入侵的风险。另外，有效地解决了工业系统间因缺少隔离引起安全威胁迁移扩散的问题，例如配置错误、硬件故障、病毒等引发的安全威胁。

技术领域

本申请涉及工业控制系统安全防御技术领域，尤其涉及一种实现深度数据包检测控制的工业防火墙控制方法及设备。

背景技术

工业网络是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的一种结果。工业网络满足了工业智能化的发展需求，具有低延时、深层次、革命性的影响的同时，也存在着不可忽视的安全性问题。传统工业设备更注重业务连续性需求，日常运行维护主要也是针对安全生产内容开展相关工作，各个环节对网络完全内容涉及较少，基本不具备防护各种网络攻击的能力。但是，工业网络将越来越多的智能化设备引入到工业控制系统中，直接参与生产，使得工业控制系统面临严重的设备安全风险，例如数据盗取、接入认证、无线连接、安全追溯等。另外，由于各个厂商及协会公布了大量工业网络控制协议的标准和实现细节，更便于攻击者通过深入挖掘工业标准的漏洞，借此展开针对特定工业协议发起专用的攻击。

由此可见，当前的工业网络正存在着极大的安全隐患，急需提供全面、纵深的安全防御策略对其进行有效保护，而边界安全防护则是最重要的环节。

发明内容

本申请提供了一种实现深度数据包检测控制的工业防火墙控制方法及设备，以期解决或部分解决背景技术中涉及的上述问题或现有技术中的其它至少一个不足。

本申请提供了这样一种实现深度数据包检测控制的工业防火墙控制方法，可包括：识别工业网络协议，并根据工业网络协议匹配对应的安全策略，其中安全策略包括：设定对数据包的过滤条件、以及配置对数据包进行深度检测的深度检测模块；由深度检测模块对工业网络协议的内部指令、以及内部寄存器的数据进行扫描，清除不符合预设要求的工业网络协议；以及由深度检测模块对数据包的全部数据内容进行扫描，制止符合过滤条件的数据包的输入。

在一些实施方式中，识别工业网络协议，并根据工业网络协议匹配对应的安全策略，可包括：获取工业网络协议的流量，并将工业网络协议的流量以会话为单位进行分类，其中每个会话中包含多个数据包。分别将多个数据包划分为多个字符串。分别统计多个字符串的出现频率，筛选出符合预设阈值的具有最大出现频率的字符串作为频繁字符串，确定频繁字符串为工业网络协议对应的工业网络协议特征。根据工业网络协议特征，为工业网络匹配对应的安全策略。

在一些实施方式中，安全策略还可包括：对分布式拒绝服务攻击进行防护、对异常数据包攻击进行防护、以及扫描防护。

在一些实施方式中，安全策略还可包括：对访问者进行访问控制，可包括：获取并识别访问者的访问信息，其中访问信息包括访问者的安全域、访问者与工业网络之间的互连协议、访问者的局域网地址、访问者的访问时间段、访问者的动作和工控协议的功能码。根据访问者的访问信息，筛选出符合预设的访问控制政策的访问者。将访问者与具有访问权限的角色建立联系，以将访问者分配给对应的角色，其中角色是具有相同的访问权限的访问者的集合。获得角色的访问者得到角色对应的访问权限。

在一些实施方式中，在识别工业网络协议，并根据工业网络协议匹配对应的安全策略之前，可包括：开启工业防火墙的管控工作模式，其中工作模式包括：直通工作模式、测试工作模式以及管控工作模式。