一种基于工业网络的数据报文检测方法及装置与流程

本发明涉及工业数据安全技术领域，尤其涉及一种基于工业网络的数据报文检测方法及装置。

背景技术：

随着工业网络技术的不断应用和完善，internet与社会各方面的结合越来越紧密，工业企业各单位信息化建设等一系列网络应用蓬勃发展。人们在享受互联网丰富、便捷的同时，也日益感受到各类安全威胁正在飞速增长，频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题极大地困扰着用户，给信息网络和核心业务造成严重的破坏。

工业控制网络集成架构，包括可编程控制产品、数控产品、过程仪表产品、网络通信产品和编程组态软件等，通过以太网形成从现场级到控制级、从执行级再到工厂管理级的自动化解决方案。在此架构下，控制系统与其他设备通过交换技术共享同一物理通道，为消除信息孤岛，实现智慧工厂创造了条件。但同时，由于物理通道共享使控制系统更容易遭到内部和外部的攻击，使系统存在安全隐患。

解决上述问题最常见的方法是采用工业安全网关进行信息过滤，工业安全网关通过数据白名单规则，将交换设备接收的数据进行过滤，将满足白名单规则的数据经过交换设备正常处理，将未通过的数据丢弃，保证工业网络的安全性。但是，在丢弃的数据中有时会包含因配置原因造成被丢弃的有效数据，或未识别的新型病毒攻击手段，这就需要对丢弃的数据信息进行保存，并对该数据信心进行安全分析来识别。

因此，现有技术中工业安全网关将未通过白名单过滤的数据直接丢弃的处理方法，由于未对丢弃的数据进行安全分析，将有可能导致部分有效数据的流失，并且也无法及时发现新的攻击方式，从而导致严重的安全隐患，降低工业网络的可靠性。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于工业网络的数据报文检测方法及装置。

本发明实施例提供了一种基于工业网络的数据报文检测方法，该方法适用于包含至少一个过滤板卡和至少一个存储板卡的交换设备，该方法包括：

接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表；

根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储；

过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，根据自身保存的白名单和病毒数据库，对所述数据报文进行过滤；

并根据过滤结果，确定是否转发所述数据报文。

为了快速识别网络攻击，进一步提高工业网络的可靠性，在本发明实施例中所述根据过滤结果，确定是否转发所述数据报文包括：

当自身保存的白名单中查找到所述关键词信息时，转发所述数据报文；

否则，在自身保存的病毒库中查找所述关键字信息，当查找到所述关键词信息时，丢弃所述数据报文，并上报攻击告警。

为了快速发现网络中的异常情况，进一步提高工业网络的可靠性，在本发明实施例中当在病毒数据库中未查找到所述关键词信息时，所述方法还包括：

将数据报文总计数器加一，判断单位时间内总计数器的数值是否超过设定的阈值；

当确定单位时间内总计数器的数值超过设定的阈值时，将所述述数据报文丢弃，并上报超限告警；

当确定单位时间内总计数器的数值未超过设定的阈值时，确定所述数据报文的类型，在自身保存的数据类型映射列表查找是否包含该类型；

当查找所述类型时，将所述类型的计数器加一，判断所述类型的计数器是否超过设定的阈值；

当判定结果为是时，将所述述数据报文丢弃，并上报超限告警；

否则，直接丢弃所述数据报文。

为了及时发现新的攻击类型，进一步提高工业网络的可靠性，在本发明实施例中当未查找所述数据报文对应数据类型时，所述方法还包括：

建立针对该数据类型的计数器，并将该建立的计数器加一。

为了节省存储板卡的存储空间，进一步提高工业网络可靠性，在本发明实施例中所述方法还包括：

存储板卡根据过滤板卡过滤的每个数据报文，在本地存储的数据报文中丢弃过滤板卡转发的数据报文；并

根据病毒数据库，在本地存储的数据报文中丢弃包含在病毒数据库中的数据报文。

本发明实施例提供了一种基于工业网络的数据报文检测装置，该装置包括：

接收模块，用于接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表；

重定向镜像模块，用于根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储；

过滤转发模块，用于过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，根据自身保存的白名单和病毒数据库，对所述数据报文进行过滤；并根据过滤结果，确定是否转发所述数据报文。

为了快速识别网络攻击，进一步提高工业网络的可靠性，所述过滤转发模块，具体用于当自身保存的白名单中查找到所述关键词信息时，转发所述数据报文；否则，在自身保存的病毒库中查找所述关键字信息，当查找到所述关键词信息时，丢弃所述数据报文，并上报攻击告警。

为了快速发现网络中的异常情况，进一步提高工业网络的可靠性，所述过滤转发模块，具体还用于当在病毒数据库中未查找到所述关键词信息时，将数据报文总计数器加一，判断单位时间内总计数器的数值是否超过设定的阈值；当确定单位时间内总计数器的数值超过设定的阈值时，将所述述数据报文丢弃，并上报超限告警；当确定单位时间内总计数器的数值未超过设定的阈值时，确定所述数据报文的类型，在自身保存的数据类型映射列表查找是否包含该类型；当查找所述类型时，将所述类型的计数器加一，判断所述类型的计数器是否超过设定的阈值；当判定结果为是时，将所述述数据报文丢弃，并上报超限告警；否则，直接丢弃所述数据报文。

为了及时发现新的攻击类型，进一步提高工业网络的可靠性，所述过滤转发模块，具体还用于当未查找所述数据报文对应数据类型时，建立针对该数据类型的计数器，并将该建立的计数器加一。

为了节省存储板卡的存储空间，进一步提高工业网络可靠性，所述装置还包括：

存储模块，用于存储板卡根据过滤板卡过滤的每个数据报文，在本地存储的数据报文中丢弃过滤板卡转发的数据报文；并根据病毒数据库，在本地存储的数据报文中丢弃包含在病毒数据库中的数据报文。

本发明实施例提供了一种基于工业网络的数据报文检测方法及装置，该方法适用于包含至少一个过滤板卡和至少一个存储板卡的交换设备，该方法中，交换设备接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表；根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储；过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，根据自身保存的白名单和病毒数据库，对所述数据报文进行过滤；并根据过滤结果，确定是否转发所述数据报文。由于在本发明实施例中通过将接收的数据报文镜像到该接收端口对应的过滤板卡进行存储，因此，可以通过对过滤掉的数据报文进行安全分析，防止有效数据流失，并及时发现新的攻击手段，从而提高工业网络的可靠性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明实施例提供的一种基于工业网络的数据报文的检测过程；

图2为本发明实施例提供的一种基于工业网络的数据报文的详细检测过程(一)；

图3为本发明实施例提供的一种基于工业网络的数据报文的详细检测过程(二)：

图4为本发明实施例提供的一种基于工业网络的数据报文检测方法的应用场景；

图5为本发明实施例提供的一种基于工业网络的数据报文检测装置结构示意图。

具体实施方式

为了可以对过滤掉的数据报文进行安全分析，防止有效数据流失，并及时发现新的攻击手段，从而提高工业网络的可靠性，本发明实施例提供了一种基于工业网络的数据报文检测方法及装置。

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

下面结合说明附图，对本发明实施例进行说明。

图1为本发明实施例提供的一种基于工业网络的数据报文检测过程，该过程包括以下步骤：

s101：交换设备接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表。

本发明实施例中交换设备包含至少一个过滤板卡和至少一个存储板卡，上述过滤板卡和存储板卡均支持热插拔，当所述交换设备包含多个过滤板卡时，可以单独设置一个过滤板卡作为备用板卡，当主用板卡故障时可以快速切换的该备用板卡；也可以将多个过滤板卡间互为备份，当一个过滤板卡不能正常工作时，其对应的互为备份的过滤板卡仍然能完成该故障过滤板卡的功能。同理，当所述交换设备包含多个存储板卡时，也采用上述方法进行备份。

交换设备为自身的每个接收端口分配过滤板卡和存储板卡，并根据该每个接收端口及该端口对应的过滤板卡和存储板卡，建立端口映射列表。交换设备可以定期向过滤板卡和存储板卡下发控制规则，也可以在控制规则发生改变时向过滤板卡和存储板卡下发控制规则，其中，每个过滤板卡和存储板卡中保存的控制规则可以一致，也可以根据对应的接收端口接收报文的类型分别设置控制规则。

s102：根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储。

交换设备接收到网络侧设备发送的数据报文，根据接收该数据报文的端口信息，在自身保存的端口映射列表中进行查找，根据查找结果通过数据重定向的方式将该数据报文发送到该数据报文接收端口对应的过滤板卡进行数据过滤，并通过数据镜像的方式将该数据报文发送到该数据报文接收端口对应的存储板卡进行数据存储，其中，该接收端口对应的过滤板卡和存储板卡既包含主用的过滤板块和存储板卡，又包含备用的过滤板卡和存储板卡，当主用的过滤板卡和存储板卡正常工作时，备用的过滤板卡和存储板卡将丢弃接收的数据报文。

s103：过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，根据自身保存的白名单和病毒数据库，对所述数据报文进行过滤。

过滤板卡接收重定向到自身的数据报文，获取该数据报文中包含关键字信息的多元组，根据该数据报文的关键字信息，在自身保存的白名单和病毒数据库中进行查找过滤，其中，过滤板卡中保存的白名单规则和病毒数据库中病毒类型，可以与该数据报文接收端口对应的存储板卡中保存的白名单规则和病毒类型一致，也可以不一致。

s104：并根据过滤结果，确定是否转发所述据报文。

过滤板卡根据该数据报文中包含的关键字多元组及自身保存的白名单和病毒数据库，对该数据报文进行过滤，当该数据报文通过白名单过滤时，根据该数据报文的接收端口，在除所述接收端口之外其他端口进行数据转发；当该数据报文未通过白名单过滤时，丢弃该数据报文。

由于在本发明实施例中交换设备通过重定向的方式将接收的数据报文发送到至少一个过滤板卡，并通过镜像的方式将接收的数据报文发送到至少一个存储板卡上进行存储，从而可以通过对过滤掉的数据报文进行安全分析，防止有效数据流失，并及时发现新的攻击手段，从而提高工业网络的可靠性。

在本发明实施例中为了快速识别网络攻击，进一步提高工业网络的可靠性，当过滤板卡接收到数据报文后，提取该数据报文包含关键字信息的多元组，根据自身保存的白名单和病毒数据库，对该数据报文进行过滤，并根据过滤结果确定是否转发，所述根据过滤结果，确定是否转发所述数据报文包括：

当自身保存的白名单中查找到所述关键字信息时，转发所述数据报文；

否则，在自身保存的病毒库中查找所述关键字信息，当查找到所述关键字信息时，丢弃所述数据报文，并上报攻击告警。

具体的过滤板卡根据报文深度检测规则获取数据报文的多元组，根据该数据报文的多元组中包含的关键字信息，在自身保存的白名单中进行匹配，当匹配成功时，交换设备根据接收该数据报文的接收端口的信息，将该数据报文在除所述接收端口外的其他端口转发，当根据该数据报文的关键字信息，在自身保存的白名单中未匹配成功时，确定该数据报文为非法数据，需要分析该数据报文是否为已知类型的病毒攻击，过滤板卡根据该数据报文的关键字信息，在自身保存的病毒库中进行匹配，当匹配成功时，确定该数据报文为病毒攻击，过滤板卡丢弃该数据报文，并上报攻击告警。

上述对未通过白名单规则过滤的数据报文的安全分析，也可以在存储板卡中进行。

图2为本发明实施例提供的一种基于工业网络的数据报文详细检测过程，该过程包括以下步骤：

s201：交换设备接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表。

s202：根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储。

s203：过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，判断自身保存的白名单中是否查找到所述关键字信息，当判定结果为是时，进行步骤s204，否则，进行步骤s205。

s204：当确定自身保存的白名单中查找到所述关键字信息，转发所述数据报文。

s205：根据所述数据报文的关键字信息，在自身的病毒库中进行查找。

s206：当确定自身保存的病毒库中查找到所述关键字信息，丢弃所述数据报文，并上报攻击告警。

在本发明实施例中由于设置了已知病毒类型的病毒库，当数据报文未通过白名单的过滤时，通过根据该数据报文的关键字信息，在自身保存的病毒库中进行匹配，从而快速识别已知类型的病毒攻击并上报告警，使维护人员可以及时解决安全漏洞，进一步提高了工业网络的可靠性。

另外，为了及时发现安全隐患，防止有效数据丢失，提高工业网络的可靠性，当在病毒数据库中未查找到所述关键字信息时，所述方法还包括：

将数据报文总计数器加一，判断单位时间内总计数器的数值是否超过设定的阈值；

当确定单位时间内总计数器的数值超过设定的阈值时，将所述述数据报文丢弃，并上报超限告警；

当确定单位时间内总计数器的数值未超过设定的阈值时，确定所述数据报文的类型，在自身保存的数据类型映射列表查找是否包含该类型；

当查找所述类型时，将所述类型的计数器加一，判断所述类型的计数器是否超过设定的阈值；

当判定结果为是时，将所述述数据报文丢弃，并上报超限告警；

否则，直接丢弃所述数据报文。

具体的，当过滤板卡根据数据报文的关键字信息，在自身保存的白名单和病毒数据库中均未匹配成功时，则需要对该数据报文进行进一步的安全分析，过滤板卡为了快速发现安全隐患或者识别未通过白名单的有效数据，将统计丢弃报文的数量，当根据该数据报文的关键字信息在自身的病毒库中未匹配成功时，将丢弃的数据报文总计数器加一，判断单位时间内总计数器的数值是否超过设定的阈值，当确定单位时间内总计数器的数值超过设定的阈值时，确认数据报文丢弃异常，上报超限告警，并将该数据报文丢弃，维护人员根据报警信息，对丢弃的数据报文进行检验分析，从而发现导致数据报文丢弃异常的原因，从而确定是由于配置原因导致丢失的有效数据，还是新类型的攻击病毒。

为了进一步及时发现安全隐患，过滤板卡可以根据报文类型，为每种类型的数据报文分别设置计数器，并设置报警阈值。当确定单位时间内总计数器的数值是未超过设定的阈值时，过滤板卡确定所该数据报文的类型，在自身保存的数据类型映射列表进行查找，当查找所述类型时，将该类型的计数器加一，并判断该类型的计数器是否超过设定的阈值，当判定结果为是时，则确认该类型的数据报文丢弃异常，也上报超限告警，并将该数据报文丢弃，维护人员根据报警信息，对该类型的数据报文进行检验分析，从而发现导致该类型数据报文丢弃异常的原因，其中，各数据类型的计数器设定的阈值可以一致，也可以根据数据类型的不同分别设定阈值。

维护人员根据对上述两种超限告警的分析，确定数据报文丢弃异常的原因，并根据分析结果及时更新白名单中的规则和病毒库中的病毒类型。同样的，上述对超限告警的数据报文的安全判定，也可以在存储板卡中进行。

另外，当出现新的数据报文类型时，为了能及时发现新的安全隐患，防止新接入的有效数据丢失，进一步提高工业网络的可靠性，当未查找所述数据报文对应数据类型时，所述方法还包括：

建立针对该数据类型的计数器，并将该建立的计数器加一。

具体的，过滤板卡会实时更新数据报文类型库，当出现新的数据报文类型时，过滤板卡确定该数据报文的类型，为该数据类型分配计数器并设定报警阈值，丢弃该数据报文，并将该数据类型的计数器加一，其中，为新的数据类型设定的报警阈值不大于已知数据类型的报警阈值，另外，为了进一步提高工业网络的安全等级，当出现未识别的报文类型时，也可以直接上报超限告警，提示维护人员对该新类型数据报文进行检验分析。

图3为本发明实施例提供的一种基于工业网络的数据报文详细检测过程，该过程包括以下步骤：

s301：交换设备接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表。

s302：根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储。

s303：过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，判断自身保存的白名单中是否查找到所述关键字信息，当判定结果为是时，进行步骤s304，否则，进行步骤s305。

s304：当确定自身保存的白名单中查找到所述关键字信息，转发所述数据报文。

s305：根据所述数据报文的关键字信息在自身的病毒库中进行查找，判断自身保存的病毒库中是否查找到所述关键字信息，当判定结果为是时，进行步骤s306，否则，进行步骤s307。

s306：当确定自身保存的病毒库中查找到所述关键字信息，丢弃所述数据报文，并上报攻击告警。

s307：将数据报文总计数器加一，判断单位时间内总计数器的数值是否超过设定的阈值，当判定结果为是时，进行步骤s308，否则，进行步骤s309。

s308：将所述述数据报文丢弃，并上报超限告警。

s309：当确定单位时间内总计数器的数值未超过设定的阈值时，确定所述数据报文的类型，判断在自身保存的数据类型映射列表中是否包含该类型，当判定结果为是时，进行步骤s310，否则，进行步骤s312。

s310：当查找到所述类型时，将所述类型的计数器加一，判断所述类型的计数器是否超过设定的阈值，当判定结果为是时，进行步骤s208，否则，进行步骤s311。

s311：直接丢弃所述数据报文。

s312：丢弃所述数据报文，建立针对该数据类型的计数器，并将该建立的计数器加一。

在本发明实施例中交换设备根据数据报文的关键字信息，在白名单和病毒库中进行过滤，并对未通过过滤的数据报文进行丢弃统计，通过设置丢弃数据报文总计数器和各数据报文类型计数器，实现了对报文丢弃异常的超限报警，从而能够及时发现安全隐患，防止有效数据丢失，进一步提高了工业网络的可靠性。

另外，在本发明实施例中由于设置了已知病毒类型的病毒库，当数据报文未通过白名单的过滤时，通过根据该数据报文的关键字信息，在自身保存的病毒库中进行匹配，从而快速识别已有的攻击病毒并上报告警，使维护人员可以及时解决安全漏洞，进一步提高了工业网络的可靠性。另外，为了节省存储空间，进一步提高工业网络的可靠性，所述方法还包括：

存储板卡根据过滤板卡过滤的每个数据报文，在本地存储的数据报文中丢弃过滤板卡转发的数据报文；并

根据病毒数据库，在本地存储的数据报文中丢弃包含在病毒数据库中的数据报文。

具体的，为了方便维护人员对丢弃的数据报文进行安全分析，存储板卡需要将过滤板卡丢弃的数据报文进行保存，由于在过滤板卡中通过过滤的数据报文和在病毒库中匹配成功的已知病毒不具备分析价值，因此，为了进一步节省存储空间，存储板卡中保存有与过滤板卡中白名单和病毒库相对应的存储规则，即，丢弃过滤板卡转发的数据报文和包含在病毒数据库中的数据报文。

图4为本发明实施例提供的一种基于工业网络的数据报文检测方法的应用场景，如图所示，交换设备a包含交换芯片、两块过滤板卡、两块存储板卡和8个接收端口，交换芯片将白名单和病毒库分别下发到每个过滤板卡和存储板卡中，其中，过滤板卡1是主用板卡，过滤板卡2作为备用板卡，存储板卡1存储保存端口1～4的数据报文，存储板卡2保存接收端口5～8的数据报文，过滤板卡种保存总计数器的超限报警阈值为10分钟内50，各类型计数器的超限告警阈值为20。

在本发明实施例中交换设备通过端口1接收网络侧发送的数据报文，根据接收端口1在自身保存的端口映射列表中进行查找，确定端口1对应的过滤板卡和存储板卡分别为过滤板卡1、过滤板卡2及存储板卡1，交换芯片将该数据报文重定向到过滤板卡1和过滤板卡2进行过滤，并将该数据报文镜像到存储板卡1进行存储。

过滤板卡2作为备用板卡，在过滤板卡1正在工作的情况下，将接收到的该数据报文直接丢弃。过滤板卡1接收到该数据报文后，获取该数据报文中包含关键字信息的十二元组，根据该十二元组信息在自身保存的白名单中进行匹配，当匹配成功时，将该数据报文返回给交换芯片，交换芯片将该数据报文在端口2～8中转发。

当在自身保存的白名单中未匹配成功时，在自身保存的病毒库中进行匹配，当匹配成功时，确定该数据报文为已知的攻击病毒，直接将该数据报文丢弃，并上报攻击告警，其中，该攻击告警中携带该数据报文的病毒类型、接收端口1和告警时间t等信息。

当在自身保存的病毒库中未匹配成功时，确定该数据报文为未知信息，将过滤板卡1中的总计数器加一，判断10分钟内该总计数器的数值是否超过50，当判定结果为是时，直接将该数据报文丢弃，并上报超限告警，其中，该超限告警中携带告警时间t和总数超限等信息。

当总计数器加一后，确定10分钟内总计数器的数值未超过50，则根据该数据报文的关键字信息中包含的报文类型，在自身保存的数据类型映射列表中查找是否包含该类型，当判定结果为是时，将该类型对应的计数器加一，判断该类型的计数器是否超过20，当确定该类型的计数器是否超过20时，直接将该数据报文丢弃，否则，丢弃该数据报文，并上报超限告警，其中，该超限告警中携带告警时间t和超限报文类型a等信息。

当在自身保存的数据类型映射列表中未查找到该类型时，确定该数据报文为未识别的报文类型，为该报文类型分配计数器并设定报警阈值为10，丢弃该数据报文，并将该报文类型对应的计数器加一，当工业网络的安全等级要求较高时，可以将新报文类型设定的报警阈值为1，将直接触发超限告警，其中，该超限告警中携带告警时间t、超限报文类型a和接收端口1等信息。

存储板卡1接收到该数据报文后，根据自身保存的与过滤板卡1相同白名单和病毒库，将过滤板卡转发的数据报文和包含在病毒数据库中的数据报文丢弃，此外，过滤板卡可以设置存储规则列表，根据该存储规则列表中保存的报文类型，丢弃已识别的数据量较大的报文类型，从而进一步节省存储空间。

上位管理机收到报警后，将根据所述报警中携带的相关信息，调取存储板卡中保存的数据报文进行分析，根据分析结果，上位管理机调整白名单中的规则和/或病毒库中的病毒类型，并将调整后的白名单和病毒库下发至交换设备的每个过滤板卡和存储板卡中。

此外，为了提高过滤效率，可以将过滤板卡1和过滤板卡2分别指定不同的端口(如端口1～4重定向至过滤板卡1，端口5～8重定向至过滤板卡2)，也可通过为过滤板卡1和过滤板卡2有针对性的设置不同的白名单和病毒库，进一步提高过滤效率，并且，过滤板卡还可以只进行白名单过滤，对未通过白名单过滤的数据报文的处理在存储板卡中进行。

图5为本发明实施例提供了一种基于工业网络的数据报文检测装置结构示意图，所述装置包括：

接收模块51，用于接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表；

重定向镜像模块52，用于根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储；

过滤转发模块53，用于过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，根据自身保存的白名单和病毒数据库，对所述数据报文进行过滤；并根据过滤结果，确定是否转发所述数据报文。

为了快速识别网络攻击，进一步提高工业网络的可靠性，所述过滤转发模块53，具体用于当自身保存的白名单中查找到所述关键字信息时，转发所述数据报文；否则，在自身保存的病毒库中查找所述关键字信息，当查找到所述关键字信息时，丢弃所述数据报文，并上报攻击告警。

为了快速发现网络中的异常情况，进一步提高工业网络的可靠性，所述过滤转发模块53，具体还用于当在病毒数据库中未查找到所述关键字信息时，将数据报文总计数器加一，判断单位时间内总计数器的数值是否超过设定的阈值；当确定单位时间内总计数器的数值超过设定的阈值时，将所述述数据报文丢弃，并上报超限告警；当确定单位时间内总计数器的数值未超过设定的阈值时，确定所述数据报文的类型，在自身保存的数据类型映射列表查找是否包含该类型；当查找所述类型时，将所述类型的计数器加一，判断所述类型的计数器是否超过设定的阈值；当判定结果为是时，将所述述数据报文丢弃，并上报超限告警；否则，直接丢弃所述数据报文。

为了及时发现新的攻击类型，进一步提高工业网络的可靠性，所述过滤转发模块53，具体还用于当未查找所述数据报文对应数据类型时，建立针对该数据类型的计数器，并将该建立的计数器加一。

为了节省存储板卡的存储空间，进一步提高工业网络可靠性，所述装置还包括：

存储模块54，用于存储板卡根据过滤板卡过滤的每个数据报文，在本地存储的数据报文中丢弃过滤板卡转发的数据报文；并根据病毒数据库，在本地存储的数据报文中丢弃包含在病毒数据库中的数据报文。

本发明实施例提供了一种基于工业网络的数据报文检测方法及装置，该方法适用于包含至少一个过滤板卡和至少一个存储板卡的交换设备，该方法中，交换设备接收网络侧发送的数据报文，根据接收所述数据报文的端口查询自身保存的端口映射列表；根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡，并将所述数据报文镜像到该接收端口对应的存储板卡进行存储；过滤板卡接收到所述数据报文，提取所述数据报文的关键字信息，根据自身保存的白名单和病毒数据库，对所述数据报文进行过滤；并根据过滤结果，确定是否转发所述数据报文。由于在本发明实施例中通过将接收的数据报文镜像到该接收端口对应的过滤板卡进行存储，因此，可以通过对过滤掉的数据报文进行安全分析，防止有效数据流失，并及时发现新的攻击手段，从而提高工业网络的可靠性。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的基于工业网络的数据报文检测装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。