技术特征:
1.一种工艺自适应的工业终端安全防护系统,其特征在于,该系统包括:协议解析模块、工艺匹配模块、工艺检查模块、安全防护模块和配置管理模块;所述配置管理模块,用于为每个工艺特征配置对应的安全阈值,以及为每个工艺特征配置对应的工艺匹配准则;所述协议解析模块,用于将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值,并将每个通信指令传输至工艺匹配模块;所述工艺匹配模块,用于根据预先配置的工艺匹配准则,将每个通信指令与相应的工艺特征进行匹配,获得针对每个工艺特征的工艺匹配结果,并将其传输至工艺检查模块;所述工艺检查模块,用于对每个工艺匹配结果中的通信指令进行安全检查,并将检查结果发送至安全防护模块;所述安全防护模块,用于根据检查结果,确定所需要采取的安全防护措施,实现对网络通信的安全防护。2.根据权利要求1所述的工艺自适应的工业终端安全防护系统,其特征在于,所述工艺检查模块包括:接收单元,用于接收每个工艺匹配结果中的通信指令,及其对应的指令值;和检查单元,用于对每个工艺匹配结果中的通信指令对应的指令值进行安全检查,比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值,并将比较结果作为检查结果,发送至安全防护模块。3.根据权利要求2所述的工艺自适应的工业终端安全防护系统,其特征在于,所述对每个工艺匹配结果中的通信指令对应的指令值进行安全检查,比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值,并将比较结果作为检查结果,发送至安全防护模块;具体为:对每个工艺匹配结果中的通信指令对应的指令值进行安全检查,比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值:如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值,则判定所采集的工业控制系统的通信数据是安全、合法的,并将该判定结果作为安全检查结果发送至安全防护模块;如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值,则判定所采集的工业控制系统的通信数据异常,并将该判定结果作为异常检查结果发送至安全防护模块。4.根据权利要求3所述的工艺自适应的工业终端安全防护系统,其特征在于,所述安全防护模块包括:制定安全措施单元,用于根据接收的异常检查结果,过滤该工艺特征和与其匹配的通信指令,及其对应的指令值,并确定所需要采取的安全防护措施;和安全维护单元,用于根据接收的安全检查结果,确定不采取安全防护措施。5.一种工艺自适应的工业终端安全防护方法,该方法基于权利要求1-4之一的系统实现,该方法包括:配置管理模块为每个工艺特征配置对应的安全阈值,以及为每个工艺特征配置对应的工艺匹配准则;
协议解析模块将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值,并将每个通信指令传输至工艺匹配模块;工艺匹配模块根据预先配置的工艺匹配准则,将每个通信指令与相应的工艺特征进行匹配,获得针对每个工艺特征的工艺匹配结果,并将其传输至工艺检查模块;工艺检查模块对每个工艺匹配结果中的通信指令进行安全检查,并将检查结果发送至安全防护模块;安全防护模块根据检查结果,确定所需要采取的安全防护措施,实现对网络通信的安全防护。6.根据权利要求5所述的工艺自适应的工业终端安全防护方法,其特征在于,所述工艺检查模块对每个工艺匹配结果中的通信指令进行安全检查,并将检查结果发送至安全防护模块;具体为:接收单元接收每个工艺匹配结果中的通信指令,及其对应的指令值;检查单元对每个工艺匹配结果中的通信指令对应的指令值进行安全检查,比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值,并将比较结果作为检查结果,发送至安全防护模块。7.根据权利要求6所述的工艺自适应的工业终端安全防护方法,其特征在于,所述对每个工艺匹配结果中的通信指令对应的指令值进行安全检查,比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值,并将比较结果作为检查结果,发送至安全防护模块;具体为:对每个工艺匹配结果中的通信指令对应的指令值进行安全检查,比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值:如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值,则判定所采集的工业控制系统的通信数据是安全、合法的,并将该判定结果作为安全检查结果发送至安全防护模块;如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值,则判定所采集的工业控制系统的通信数据异常,并将该判定结果作为异常检查结果发送至安全防护模块。8.根据权利要求5所述的工艺自适应的工业终端安全防护方法,其特征在于,所述安全防护模块根据检查结果,确定所需要采取的安全防护措施,实现对网络通信的安全防护;具体为:制定安全措施单元根据接收的异常检查结果,过滤该工艺特征和与其匹配的通信指令,及其对应的指令值,并确定所需要采取的安全防护措施;安全维护单元根据接收的安全检查结果,确定不采取安全防护措施。
技术总结
本发明属于网络安全防护技术领域,具体地说,涉及一种工艺自适应的工业终端安全防护系统及其方法,该系统包括:协议解析模块、工艺匹配模块、工艺检查模块、安全防护模块和配置管理模块;协议解析模块,用于将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值,将每个通信指令传输至工艺匹配模块;工艺匹配模块,用于根据预先配置的工艺匹配准则,将每个通信指令与相应的工艺特征进行匹配,获得针对每个工艺特征的工艺匹配结果,将其传输至工艺检查模块;工艺检查模块,用于对每个工艺匹配结果中的通信指令进行安全检查,并将检查结果发送至安全防护模块;安全防护模块,用于根据检查结果,确定所需要采取的安全防护措施。的安全防护措施。的安全防护措施。
技术研发人员:王琦魁 张军 胡丹 崔亮
受保护的技术使用者:中国航天系统工程有限公司
技术研发日:2020.08.18
技术公布日:2022/3/7