[发明专利]一种工控协议自适应深度检测装置与方法

摘要

本发明涉及一种工控协议自适应深度检测装置与方法。所述装置包括中央处理器、内部存储器、Flash闪存、1个WAN接口、4个LAN接口、2个串行接口。所述方法包括：逐级检测工控协议数据包是否合法；对被保护设备的状态指标进行检测；进行自适应检测调整：根据检测到的状态指标及用户配置的检测级别适应规则，自动调整数据包深度检测的检测级别，即按照网络状态逐级降级调整。本发明通过对安全防护设备的实际工作情况进行动态自适应分析，并根据用户配置和防护设备的状态，动态调整安全防护级别，解决了现有技术中存在的由于CPU资源占用较多、接口流量过大引起设备瘫痪的问题。

主权项

1.一种工控协议自适应深度检测方法，其特征在于，由设置在工业网络和被保护设备之间的装置截获外部设备向被保护设备发送的数据包，所述装置包括：中央处理器，内部存储器，Flash闪存，1个WAN接口，4个LAN接口，2个串行接口，所述中央处理器分别与所述内部存储器、Flash闪存、WAN接口、LAN接口、串行接口相连；其中，所述中央处理器为运算控制中心，用于协调控制各部分电路的工作，通过运行软件程序实现工控协议自适应深度检测功能；所述内部存储器用于存储数据；所述Flash闪存存储系统程序及实现工控协议自适应深度检测的软件程序；所述WAN接口连接外部设备；所述LAN接口连接被保护设备；所述串行接口用于信息输出、日志输出和后台配置；/n所述工控协议自适应深度检测方法包括如下步骤：/n步骤1，逐级检测工控协议数据包是否合法；/n步骤2，对设置在工业网络和被保护设备之间的装置的状态指标进行检测；所述状态指标包括请求响应时间、并发用户数、接口流量、内存使用量、进程数、CPU占用量；/n步骤3，进行自适应检测调整；/n根据步骤2检测到的状态指标及用户配置的检测级别适应规则，自动调整数据包深度检测的检测级别，即按照网络状态逐级降级调整；/n所述方法还包括在前置机安装后、系统运行前，或在运行过程中进行的用户配置步骤，用户通过界面或者Console命令方式进行如下配置：自适应检测指标配置；前置机设备网络接口、DNS配置；系统工作模式即代理模式、路由模式配置；网络访问控制的IP、MAC，IP范围、子网掩码，阻断/通过配置；自适应检测级别配置；端口控制配置；/n所述方法还包括日志管理步骤；日志管理步骤在步骤1之前开始并一直进行，记录系统运行日志、安全防护日志、访问日志、安全监控日志；每一条记录的日志至少包括事件发生的日期、时间、源IP、目的IP、协议、事件描述和结果，用于日志的查找及导出备份；/n所述方法还包括在步骤1之前进行的网络连接管理步骤，包括透明代理、加载网络驱动、网络监听服务、会话管理、内存池管理、接口管理；/n所述步骤1逐级检测工控协议数据包是否合法的方法包括以下步骤：/n步骤1.1，0级检测：基于IP、MAC地址的网络访问控制；/n判断数据包的IP地址、MAC地址是否合法，不合法则丢弃，并记录日志；合法则进入下一步；/n步骤1.2，1级检测：端口控制；/n解析数据包得到数据包的源端口、目的端口，判断端口是否合法，不合法则丢弃，并记录日志；合法则进入下一步；/n步骤1.3，2级检测：协议控制，完整性检查、合法性检查；/n判断数据包的协议类型，根据用户配置的协议控制要求，判断该协议数据包的完整性、合法性，不合法则丢弃，并记录日志；合法则进入下一步；/n步骤1.4，3级检测：功能码控制、参数控制；/n根据协议类型，判断该协议中某些字段是否合法，不合法则丢弃，并记录日志；合法则进入下一步；所述字段包括功能码控制、参数控制；/n步骤1.5，4级检测：预置规则库匹配控制；/n根据协议类型匹配预置规则库，判断协议是否符合预置规则，不符合则丢弃，并记录日志；符合则进入下一步；/n步骤1.6，5级检测：用户自定义规则配置；/n对用户自定义规则进行匹配，不合法则丢弃，并记录日志；合法则转发给目标地址。/n