一种基于状态关系图的工控防火墙实现方法与流程

本发明涉及工控防火墙领域，尤其涉及一种基于状态关系图的工控防火墙实现方法。

背景技术：

防火墙是指一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。传统防火墙可根据防范的方式和侧重点的不同而分为多种类型，主要分为包过滤防火墙、应用网关防火墙、状态检测防火墙和复合型防火墙。

包过滤防火墙：该防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。但因其是在网络层检查数据包，系统对应用层信息无感知，所以其安全性有一定缺陷。

应用网关防火墙：该防火墙是检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。但因为每个客户机／服务器通信需要两个连接，而且每个代理需要对每个新的应用添加针对此应用的服务程序。所以，应用网关防火墙的可伸缩性较差。

状态检测防火墙：该防火墙基本保持了简单包过滤防火墙的优点，性能较好，同时对应用是透明的。其原理是在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理，在安全性上有了大幅提升。

复合型防火墙：该防火墙综合了状态检测与透明代理的新一代的防火墙，把防病毒、内容过滤整合到防火墙里，其中还包括虚拟专用网络、入侵检测功能，多功能融为一体。

随着科技的不断创新，工业自动化发展快速，工控系统的安全是发展的重中之重，而防火墙则是工控系统安全的重要组成部分之一。工控防火墙可应用于工业控制环境，对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护，并满足特定的工业环境和功能要求。

现如今在工控防火墙的研究上已有较大突破。在专利方面，有如支持过滤Modbus TCP协议的工控防火墙，支持过滤IEC104协议的工控防火墙，基于多核处理器的工控防火墙，当前工控防火墙主要是对Modbus TCP、 IEC104进行数据包的过滤、工控协议和指令的识别，提取传输的工控指令操作内容，进行判定识别并对流量进行相应处理。基于工业物联网的状态防火墙状态检测系统，主要是对网络层状态进行识别监测。

综上说述，当前工业防火墙大部分采用基于包过滤防火墙的方法，单单对每个经过的数据包进行规则检查，缺乏对行为和流量的监测，也有一些事基于状态检测的防火墙，但仅仅是在监测网络层的状态，还没有对数据本身建立状态关系。而我们所发明的防火墙是采用状态关系图，根据状态关系图去制定对工控行为的检测规则，实现工控系统的协议分析、行为监测和流量监测的安全功能。该工业控制系统防火墙的实现方法与当前基于包过滤技术和网络状态技术的相比，不仅可以对工业控制系统的协议类型，通信数据，而且还能判定异常的数据关系，操作命令的异常。

技术实现要素：

针对现有技术存在的不足，本发明的目的是提供一种基于状态关系图的工控防火墙实现方法。其包括：工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块。

工业数据采集模块：不仅包括工业协议的类型，协议源地址，目的地址，端口，而且还包括工业系统传感器的状态数据和可编程控制器的控制命令数据。

状态关系图模块：根据工业控制数据采集模块采集的数据，绘制该数据变量的时序图，根据工业控制系统某个时刻所有被监控数据的时序图，绘制工业控制系统的状态图，然后根据状态结点变化情况，生成状态关系图。在工业控制系统正常运行情况下生成状态关系图，防火墙根据此图去制定对工控行为的检测规则。

协议分析模块：识别不同工业控制系统的协议类型，如TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet 、IEC60870-5-104、Step7工控协议等，根据协议规则，对通信数据进行过滤和检测。

行为监测模块：主要监控如工程师站组态变更、操作站数据与操作指令变更，以及各主流现场总线访问、通信行为、负载变更情况。

附图说明

图1为基于状态关系图的工控防火墙的系统结构；

图2为工业数据采集模块示意图；

图3为状态关系图模块示意图；

图4为协议分析模块示意图；

图5为行为监控模块示意图；

具体实施方式

下面结合附图对本发明做进一步说明。

如图1所示，基于状态关系图的工控防火墙的系统结构，其包括：工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块，工业数据采集多种工控类型协议和数据，根据数据生成状态关系图，产生防火墙判断规则，用于协议分析与行为监控。

如图2所示，为图1中11工业数据采集模块的详解。本发明系统采集协议数据，其中包括协议类型、源地址、源端口、目的地址、目的端口和通信数据。协议类型可以为TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet 、IEC60870-5-104、IEC61850、Step7等。所采集的通信数据是为生成状态关系图以及行为监控做准备。其中通信数据包括温度、压力、适度、转速以及阀门状态和控制命令等。

如图3所示，为图1中12状态关系图模块的详解，运用所采集到的每一时刻的通信数据绘制状态图，根据状态结点的变化情况生成状态关系图，并作简化，防火墙根据此关系图自动生成相应的对工控行为的检测规则。

如图4所示，为图1中13协议分析模块的详解，根据数据关系图生产的规则，通过对协议的类型、源地址、源端口、目的地址、目的端口的分析，判断所经过的数据包是否通过或者丢弃。

如图5所示，为图1中14行为监控模块的详解，通过状态关系图所生成的防火墙检测规则，规则是有组合条件和操作组成，根据组合条件形成操作命令规则；组合条件包括若干条件，通过条件的与、或、非、异或的逻辑关系形成；条件是有若干数据与通过大于、小于和等于的逻辑关系和特定数值组成。