CN106790235A - 一种基于状态关系图的工控防火墙实现方法 - Google Patents
一种基于状态关系图的工控防火墙实现方法 Download PDFInfo
- Publication number
- CN106790235A CN106790235A CN201710042627.7A CN201710042627A CN106790235A CN 106790235 A CN106790235 A CN 106790235A CN 201710042627 A CN201710042627 A CN 201710042627A CN 106790235 A CN106790235 A CN 106790235A
- Authority
- CN
- China
- Prior art keywords
- data
- state
- state relation
- relation
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于状态关系图的工控防火墙实现方法,它属于工业控制系统安全领域,其包括:工业数据采集模块,状态关系图模块,协议分析模块和行为监控模块;工业数据采集模块采集传感器的数据、控制命令数据和通信数据;状态关系图模块根据采集的数据,绘制该数据的时序图,生成正常时候的状态图和状态关系图,产生防火墙规则。协议分析模块识别协议过滤数据包;行为监测模块监控控制命令的变化情况。该防火墙依据正常状态下数据的关系特征,检测数据和操作命令的异常。
Description
技术领域
本发明涉及工控防火墙领域,尤其涉及一种基于状态关系图的工控防火墙实现方法。
背景技术
防火墙是指一个由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。传统防火墙可根据防范的方式和侧重点的不同而分为多种类型,主要分为包过滤防火墙、应用网关防火墙、状态检测防火墙和复合型防火墙。
包过滤防火墙:该防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。但因其是在网络层检查数据包,系统对应用层信息无感知,所以其安全性有一定缺陷。
应用网关防火墙:该防火墙是检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。但因为每个客户机/服务器通信需要两个连接,而且每个代理需要对每个新的应用添加针对此应用的服务程序。所以,应用网关防火墙的可伸缩性较差。
状态检测防火墙:该防火墙基本保持了简单包过滤防火墙的优点,性能较好,同时对应用是透明的。其原理是在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理,在安全性上有了大幅提升。
复合型防火墙:该防火墙综合了状态检测与透明代理的新一代的防火墙,把防病毒、内容过滤整合到防火墙里,其中还包括虚拟专用网络、入侵检测功能,多功能融为一体。
随着科技的不断创新,工业自动化发展快速,工控系统的安全是发展的重中之重,而防火墙则是工控系统安全的重要组成部分之一。工控防火墙可应用于工业控制环境,对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护,并满足特定的工业环境和功能要求。
现如今在工控防火墙的研究上已有较大突破。在专利方面,有如支持过滤ModbusTCP协议的工控防火墙,支持过滤IEC104协议的工控防火墙,基于多核处理器的工控防火墙,当前工控防火墙主要是对Modbus TCP、 IEC104进行数据包的过滤、工控协议和指令的识别,提取传输的工控指令操作内容,进行判定识别并对流量进行相应处理。基于工业物联网的状态防火墙状态检测系统,主要是对网络层状态进行识别监测。
综上说述,当前工业防火墙大部分采用基于包过滤防火墙的方法,单单对每个经过的数据包进行规则检查,缺乏对行为和流量的监测,也有一些事基于状态检测的防火墙,但仅仅是在监测网络层的状态,还没有对数据本身建立状态关系。而我们所发明的防火墙是采用状态关系图,根据状态关系图去制定对工控行为的检测规则,实现工控系统的协议分析、行为监测和流量监测的安全功能。该工业控制系统防火墙的实现方法与当前基于包过滤技术和网络状态技术的相比,不仅可以对工业控制系统的协议类型,通信数据,而且还能判定异常的数据关系,操作命令的异常。
发明内容
针对现有技术存在的不足,本发明的目的是提供一种基于状态关系图的工控防火墙实现方法。其包括:工业数据采集模块,状态关系图模块,协议分析模块和行为监控模块。
工业数据采集模块:不仅包括工业协议的类型,协议源地址,目的地址,端口,而且还包括工业系统传感器的状态数据和可编程控制器的控制命令数据。
状态关系图模块:根据工业控制数据采集模块采集的数据,绘制该数据变量的时序图,根据工业控制系统某个时刻所有被监控数据的时序图,绘制工业控制系统的状态图,然后根据状态结点变化情况,生成状态关系图。在工业控制系统正常运行情况下生成状态关系图,防火墙根据此图去制定对工控行为的检测规则。
协议分析模块:识别不同工业控制系统的协议类型,如TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet 、IEC60870-5-104、Step7工控协议等,根据协议规则,对通信数据进行过滤和检测。
行为监测模块:主要监控如工程师站组态变更、操作站数据与操作指令变更,以及各主流现场总线访问、通信行为、负载变更情况。
附图说明
图1为基于状态关系图的工控防火墙的系统结构;
图2为工业数据采集模块示意图;
图3为状态关系图模块示意图;
图4为协议分析模块示意图;
图5为行为监控模块示意图;
具体实施方式
下面结合附图对本发明做进一步说明。
如图1所示,基于状态关系图的工控防火墙的系统结构,其包括:工业数据采集模块,状态关系图模块,协议分析模块和行为监控模块,工业数据采集多种工控类型协议和数据,根据数据生成状态关系图,产生防火墙判断规则,用于协议分析与行为监控。
如图2所示,为图1中11工业数据采集模块的详解。本发明系统采集协议数据,其中包括协议类型、源地址、源端口、目的地址、目的端口和通信数据。协议类型可以为TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet 、IEC60870-5-104、IEC61850、Step7等。所采集的通信数据是为生成状态关系图以及行为监控做准备。其中通信数据包括温度、压力、适度、转速以及阀门状态和控制命令等。
如图3所示,为图1中12状态关系图模块的详解,运用所采集到的每一时刻的通信数据绘制状态图,根据状态结点的变化情况生成状态关系图,并作简化,防火墙根据此关系图自动生成相应的对工控行为的检测规则。
如图4所示,为图1中13协议分析模块的详解,根据数据关系图生产的规则,通过对协议的类型、源地址、源端口、目的地址、目的端口的分析,判断所经过的数据包是否通过或者丢弃。
如图5所示,为图1中14行为监控模块的详解,通过状态关系图所生成的防火墙检测规则,规则是有组合条件和操作组成,根据组合条件形成操作命令规则;组合条件包括若干条件,通过条件的与、或、非、异或的逻辑关系形成;条件是有若干数据与通过大于、小于和等于的逻辑关系和特定数值组成。
Claims (5)
1.一种基于状态关系图的工控防火墙实现方法,其特征在于包括工业数据采集模块,状态关系图模块,协议分析模块和行为监控模块。
2.根据权利要求1所述的工业数据采集模块,其特征在于不仅可以采集TCP/IP、ModBusTCP、OPC、DNP3.0、ProfiNet 、IEC60870-5-104、IEC61850、Step7协议的源地址、源端口、目的地址、目的端口和通信数据,可以区分协议类型,识别数据状态和控制命令。
3.根据权利要求书1所述的状态关系图模块,其特征在于运用所采集到的每一时刻的通信数据绘制状态图,根据状态结点的变化情况生成状态关系图,并作简化,防火墙根据此关系图自动生成相应的对工控行为的检测规则。
4.根据权利要求书1所述的协议分析模块,其特征在于根据数据关系图的生成的规则,通过对协议的类型、源地址、源端口、目的地址、目的端口的分析,判断所经过的数据包是否通过或者丢弃。
5.根据权利要求书1所述的行为监测模块,其特征在于通过状态关系图所生成的防火墙检测规则进行判断,对对工业控制系统组态、操作站的数据与操作指令变更的监控检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710042627.7A CN106790235A (zh) | 2017-01-20 | 2017-01-20 | 一种基于状态关系图的工控防火墙实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710042627.7A CN106790235A (zh) | 2017-01-20 | 2017-01-20 | 一种基于状态关系图的工控防火墙实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106790235A true CN106790235A (zh) | 2017-05-31 |
Family
ID=58945028
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710042627.7A Pending CN106790235A (zh) | 2017-01-20 | 2017-01-20 | 一种基于状态关系图的工控防火墙实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106790235A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020037478A1 (zh) * | 2018-08-21 | 2020-02-27 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
CN111064715A (zh) * | 2019-11-29 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN202979015U (zh) * | 2012-12-23 | 2013-06-05 | 珠海市鸿瑞软件技术有限公司 | 工控防火墙 |
CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
CN105721498A (zh) * | 2016-04-07 | 2016-06-29 | 周文奇 | 一种工控网络安全预警系统 |
-
2017
- 2017-01-20 CN CN201710042627.7A patent/CN106790235A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN202979015U (zh) * | 2012-12-23 | 2013-06-05 | 珠海市鸿瑞软件技术有限公司 | 工控防火墙 |
CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
CN105721498A (zh) * | 2016-04-07 | 2016-06-29 | 周文奇 | 一种工控网络安全预警系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020037478A1 (zh) * | 2018-08-21 | 2020-02-27 | 上海云剑信息技术有限公司 | 一种基于状态关系图的工控防火墙实现方法 |
CN111064715A (zh) * | 2019-11-29 | 2020-04-24 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
CN111064715B (zh) * | 2019-11-29 | 2022-05-17 | 北京浪潮数据技术有限公司 | 一种防火墙的编排方法、装置和计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yang et al. | Multidimensional intrusion detection system for IEC 61850-based SCADA networks | |
US8737398B2 (en) | Communication module with network isolation and communication filter | |
Meshram et al. | Anomaly detection in industrial networks using machine learning: a roadmap | |
EP3133793A1 (en) | Method for mitigation of cyber attacks on industrial control systems | |
CN105404207A (zh) | 一种工业环境漏洞挖掘设备与方法 | |
WO2022198580A1 (zh) | 一种工控网络的异常检测方法及装置 | |
CN105930642A (zh) | 信息物理融合系统层次结构模型 | |
KR20140118494A (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
JP6759572B2 (ja) | 統合生産システム | |
Nivethan et al. | A SCADA intrusion detection framework that incorporates process semantics | |
KR101252529B1 (ko) | 이중화를 지원하는 배전반용 보안 시스템 | |
CN103036870A (zh) | 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法 | |
CN113067843A (zh) | 一种配电物联网网络的安全监测与联动防御系统及方法 | |
CN106790235A (zh) | 一种基于状态关系图的工控防火墙实现方法 | |
CN104811437A (zh) | 一种工业控制网络中生成安全策略的系统和方法 | |
CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
CN209805847U (zh) | 一种安全生产数据前置机 | |
Paul et al. | Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO | |
CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
WO2020037478A1 (zh) | 一种基于状态关系图的工控防火墙实现方法 | |
WO2020132949A1 (zh) | 用于工业控制系统的监测方法、装置、系统和计算机可读介质 | |
Kabir-Querrec et al. | Power utility automation cybersecurity: IEC 61850 specification of an intrusion detection function | |
Pfrang et al. | On the Detection of Replay Attacks in Industrial Automation Networks Operated with Profinet IO. | |
CN111835595B (zh) | 流量数据的监控方法、装置、设备及计算机存储介质 | |
CN206712543U (zh) | 一种网络信息安全监控装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |