一种工艺自适应的工业终端安全防护系统及方法与流程

1.本发明属于网络安全防护技术领域，具体地说，涉及一种工艺自适应的工业终端安全防护系统及方法。


背景技术：

2.工业控制系统的智能化、网络化的发展在推进工业生产发展的同时，也带来了诸多的安全隐患。传统的工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。管理网与工业控制网的防护功能都很弱，甚至几乎没有隔离功能。例如，远端用户通过互联网连接至系统数据采集与监视控制系统，因此，该工业控制系统面临着远程控制和网络入侵等多种安全威胁，该工业控制系统中任何一个组件遭到攻击，都有可能导致整个系统的瘫痪。通用通信协议、软件、硬件及大量的技术在工业控制系统中的应用，使得工业控制系统在与传统企业网络高度一体化的同时，也引入了传统领域的信息安全问题。
3.随着计算机技术、通信技术和控制技术的发展，传统的控制领域正经历着一场前所未有的变革，开始向网络化方向发展。控制系统的结构从最初的ccs(计算机集中控制系统)，到第二代的dcs(分散控制系统)，发展到现在流行的fcs(现场总线控制系统)。随着信息化和工业化的融合，工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞，则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大，进而使得工业生成控制过程面临安全性威胁。
4.目前，工业控制系统中所采取的安全防护措施一般是在工业控制系统的局域网络和外部网络之间部署防火墙。由于防护措施较少且比较单一，一旦该工业控制系统的局域网络与外部网络之间的防火墙被攻击者攻破，则工业控制系统的内部网络便很容易被控制，从而使得工业控制系统中的生产资料等数据被窃取，或者现场设备被恶意操控，影响到正常的工业控制。另外，目前的工业防火墙主要是对通信协议和数据的合法性进行检查，无法识别和阻断不符合生产工艺的数据。


技术实现要素：

5.为解决现有技术存在的上述缺陷，本发明提出了一种工艺自适应的工业终端安全防护系统，该系统能够将通信协议和数据与工艺过程进行匹配，自动判别控制指令和传输数据的合法性，有效阻断利用工业控制系统自身的通信通道对工业终端的网络攻击。
6.为了实现上述目的，本发明提供了一种工艺自适应的工业终端安全防护系统，该系统包括：协议解析模块、工艺匹配模块、工艺检查模块、安全防护模块和配置管理模块；
7.所述配置管理模块，用于为每个工艺特征配置对应的安全阈值，以及为每个工艺特征配置对应的工艺匹配准则；
8.所述协议解析模块，用于将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，并将每个通信指令传输至工艺匹配模块；
9.所述工艺匹配模块，用于根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，并将其传输至工艺检查模块；
10.所述工艺检查模块，用于对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；
11.所述安全防护模块，用于根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护。
12.作为上述技术方案的改进之一，所述工艺检查模块包括：
13.接收单元，用于接收每个工艺匹配结果中的通信指令，及其对应的指令值；和
14.检查单元，用于对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块。
15.作为上述技术方案的改进之一，所述对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块；具体为：
16.对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值：
17.如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据是安全、合法的，并将该判定结果作为安全检查结果发送至安全防护模块；
18.如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据异常，并将该判定结果作为异常检查结果发送至安全防护模块。
19.作为上述技术方案的改进之一，所述安全防护模块包括：
20.制定安全措施单元，用于根据接收的异常检查结果，过滤该工艺特征和与其匹配的通信指令，及其对应的指令值，并确定所需要采取的安全防护措施；和
21.安全维护单元，用于根据接收的安全检查结果，确定不采取安全防护措施。
22.本发明还提供了一种工艺自适应的工业终端安全防护方法，该方法包括：
23.配置管理模块为每个工艺特征配置对应的安全阈值，以及为每个工艺特征配置对应的工艺匹配准则；
24.协议解析模块将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，并将每个通信指令传输至工艺匹配模块；
25.工艺匹配模块根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，并将其传输至工艺检查模块；
26.工艺检查模块对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；
27.安全防护模块根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护。
28.作为上述技术方案的改进之一，所述工艺检查模块对每个工艺匹配结果中的通信
指令进行安全检查，并将检查结果发送至安全防护模块；具体为：
29.接收单元接收每个工艺匹配结果中的通信指令，及其对应的指令值；
30.检查单元对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块。
31.作为上述技术方案的改进之一，所述对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块；具体为：
32.对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值：
33.如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据是安全、合法的，并将该判定结果作为安全检查结果发送至安全防护模块；
34.如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据异常，并将该判定结果作为异常检查结果发送至安全防护模块。
35.作为上述技术方案的改进之一，所述安全防护模块根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护；具体为：
36.制定安全措施单元根据接收的异常检查结果，过滤该工艺特征和与其匹配的通信指令，及其对应的指令值，并确定所需要采取的安全防护措施；
37.安全维护单元根据接收的安全检查结果，确定不采取安全防护措施。
38.本发明与现有技术相比的有益效果是：
39.发明的系统能够基于预先配置的工业行业的工艺特征，识别工业控制系统的工艺特征信息，并增加了利用工艺特征，对与其匹配的通信指令进行安全检查，并过滤掉具有异常检查结果的工艺特征和与其匹配的通信指令、及其对应的指令值，所采取的安全防护措施会依据不同的工艺特征自适应进行变更，不仅能够有效拦截恶意攻击，还能够阻止通过正常通信机制对工业控制系统的工艺特征的破坏。
附图说明
40.图1是本发明的一种工艺自适应的工业终端安全防护系统示意图。
具体实施方式
41.现结合附图对本发明作进一步的描述。
42.如图1所示，本发明提供了一种工艺自适应的工业终端安全防护系统，与现有的工业防火墙等防护设备相比，本发明的系统能够根据预先配置的工业行业的工艺特征，识别工业控制系统的工艺特征信息，并增加了利用工艺特征，对与其匹配的通信指令进行安全检查，及时发现异常数据，阻断高风险数据。
43.该系统包括：协议解析模块、工艺匹配模块、工艺检查模块、安全防护模块和配置管理模块；
44.所述配置管理模块，用于为每个工艺特征配置对应的安全阈值，以及为每个工艺特征配置对应的工艺匹配准则；
45.所述协议解析模块，用于将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，每个通信指令与对应的通信指令值之间是一一对应的映射关系，并将每个通信指令传输至工艺匹配模块；
46.所述工艺匹配模块，用于根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，并将其传输至工艺检查模块；
47.其中，工艺匹配准则为根据预设的工业行业工艺特征，在工艺通信指令发生变化时，将通信指令与预设的指令进行比较，如果二者的比较结果一致时，则认定为合法工艺；否则，则认定为不匹配工艺。
48.所述工艺检查模块，用于对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；
49.具体地，所述工艺检查模块包括：
50.接收单元，用于接收每个工艺匹配结果中的通信指令，及其对应的指令值；
51.检查单元，用于对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值：
52.如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据是安全、合法的，并将该判定结果作为安全检查结果发送至安全防护模块；
53.如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据异常，并将该判定结果作为异常检查结果发送至安全防护模块。
54.所述安全防护模块，用于根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护。
55.具体地，所述安全防护模块包括：
56.制定安全措施单元，用于根据接收的异常检查结果，过滤该工艺特征和与其匹配的通信指令，及其对应的指令值，并确定所需要采取的安全防护措施；
57.安全维护单元，用于根据接收的安全检查结果，确定不采取安全防护措施。
58.本发明还提供了一种工艺自适应的工业终端安全防护方法，该方法包括：
59.配置管理模块为每个工艺特征配置对应的安全阈值，以及为每个工艺特征配置对应的工艺匹配准则；
60.协议解析模块将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，并将每个通信指令传输至工艺匹配模块；
61.工艺匹配模块根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，并将其传输至工艺检查模块；
62.工艺检查模块对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；
63.具体地，接收单元接收每个工艺匹配结果中的通信指令，及其对应的指令值；
64.检查单元对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块。
65.具体地，对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值：
66.如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据是安全、合法的，并将该判定结果作为安全检查结果发送至安全防护模块；
67.如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据异常，并将该判定结果作为异常检查结果发送至安全防护模块。
68.安全防护模块根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护。
69.具体地，制定安全措施单元根据接收的异常检查结果，过滤该工艺特征和与其匹配的通信指令，及其对应的指令值，并确定所需要采取的安全防护措施；
70.安全维护单元根据接收的安全检查结果，确定不采取安全防护措施。
71.最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。