CN109617866A

CN109617866A - 工控系统主机会话数据过滤方法和装置

Info

Publication number: CN109617866A
Application number: CN201811446966.2A
Authority: CN
Inventors: 张超; 王东光; 焦颖; 张玉刚
Original assignee: Master Technology (beijing) Co Ltd
Current assignee: Master Technology (beijing) Co Ltd
Priority date: 2018-11-29
Filing date: 2018-11-29
Publication date: 2019-04-12
Anticipated expiration: 2038-11-29
Also published as: CN109617866B

Abstract

本发明公开一种工控系统主机会话数据过滤方法及装置，其中方法包括：建立与被采集设备之间的TCP会话连接；通过所述TCP会话连接接收来自所述被采集设备的数据包；将所述数据包重组成相应的应用层数据流；根据预设规则对所述应用层数据流进行数据过滤；按照工控协议字段对过滤后的应用层数据流进行解析并存储。通过将所接收到的数据包重组成相应的应用层数据流，并对该应用层数据流进行数据过滤的方式，实现了对工控协议的业务内容的安全性分析与过滤，解决了现有技术中采用防火墙仅基于特征防护，无法对外部设备数据进行全面的安全过滤的问题。

Description

工控系统主机会话数据过滤方法和装置

技术领域

本发明涉及工控安全技术领域，尤其涉及一种工控系统主机会话数据过滤方法和装置。

背景技术

在工控场景中，以工控协议作为工控业务的主要传输协议，工控协议多采用明文的传输方式，协议本身缺少有效的安全机制。在此前提下，工控协议容易被监听、篡改以及伪造。另外工控系统的工控协议软件本身可能存在漏洞，容易被黑客等利用，成为入侵工控主机系统的手段。

目前工控主机在进行工控协议采集的时候，采集的都是明文的协议，并没有有效的安全防护措施，很容易被篡改或者入侵，工控协议采集系统在工控场景中作用重大，协议被篡改或者主机被攻陷，都会对工控企业的生产造成巨大的影响。传统的协议采集并没有对协议进行安全过滤的功能，对协议采集时，没有有效的方式防止有威胁攻击的数据进入数据采集装置。

目前传统解决此类问题的方法，一般是在采集装置之前增加防火墙等安全设备，对工控协议进行管控，安装的防火墙对流经的工控协议进行分析，检测出威胁，阻断威胁。

1.目前的防火墙，多数是基于特征防护的，无法对工业协议的业务内容进行分析，无法检测未知威胁。

2.在数据采集装置之前增加防火墙设备，增加组网的复杂性，同时如果防火墙的自身出现问题，可能导致网络功能无法使用。

3.采集设备和防火墙需要联动进行配置，采集设备的配置做了修改，相对应的防火墙的配置也需要做同步更新，增加了系统的复杂性。

发明内容

本发明实施例提供一种工控系统主机会话数据过滤方法及装置，用于至少解决上述技术问题之一。

第一方面，本发明实施例提供一种工控系统主机会话数据过滤方法，包括：建立与被采集设备之间的TCP会话连接；

通过所述TCP会话连接接收来自所述被采集设备的数据包；

将所述数据包重组成相应的应用层数据流；

根据预设规则对所述应用层数据流进行数据过滤；

按照工控协议字段对过滤后的应用层数据流进行解析并存储。

第二方面，本发明实施例提供一种工控系统主机会话数据过滤装置，包括：连接建立模块，用于建立与被采集设备之间的TCP会话连接；

数据接收模块，用于通过所述TCP会话连接接收来自所述被采集设备的数据包；

数据组包模块，用于将所述数据包重组成相应的应用层数据流；

数据过滤模块，用于根据预设规则对所述应用层数据流进行数据过滤；

数据采集存储模块，用于按照工控协议字段对过滤后的应用层数据流进行解析并存储。

第三方面，本发明实施例提供一种存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行本发明上述任一项工控系统主机会话数据过滤方法。

第四方面，提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明上述任一项工控系统主机会话数据过滤方法。

第五方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一项工控系统主机会话数据过滤方法。

本发明实施例的有益效果在于：通过将所接收到的数据包重组成相应的应用层数据流，并对该应用层数据流进行数据过滤的方式，实现了对工控协议的业务内容的安全性分析与过滤，解决了现有技术中采用防火墙仅基于特征防护，无法对外部设备数据进行全面的安全过滤的问题。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的工控系统主机会话数据过滤方法的一实施例的流程图；

图2为图1中的步骤S40的一实施例的流程图；

图3为本发明的工控系统主机会话数据过滤方法的另一实施例的流程图；

图4为本发明的工控系统主机会话数据过滤方法的又一实施例的流程图；

图5为本发明的工控系统主机会话数据过滤装置的一实施例的原理框图；

图6为本发明的工控系统主机会话数据过滤装置的另一实施例的原理框图；

图7本发明中的数据过滤模块的一实施例的原理框图；

图8为本发明的电子设备的一实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

在本发明中，“模块”、“装置”、“系统”等指应用于计算机的相关实体，如硬件、硬件和软件的组合、软件或执行中的软件等。详细地说，例如，元件可以、但不限于是运行于处理器的过程、处理器、对象、可执行元件、执行线程、程序和/或计算机。还有，运行于服务器上的应用程序或脚本程序、服务器都可以是元件。一个或多个元件可在执行的过程和/或线程中，并且元件可以在一台计算机上本地化和/或分布在两台或多台计算机之间，并可以由各种计算机可读介质运行。元件还可以根据具有一个或多个数据包的信号，例如，来自一个与本地系统、分布式系统中另一元件交互的，和/或在因特网的网络通过信号与其它系统交互的数据的信号通过本地和/或远程过程来进行通信。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

如图1所示，本发明的实施例提供一种工控系统主机会话数据过滤方法，包括：

S10、建立与被采集设备之间的TCP会话连接；

S20、通过所述TCP会话连接接收来自所述被采集设备的数据包；示例性地，数据包是一个应用数据包，例如，modbus协议的应答数据。

S30、将所述数据包重组成相应的应用层数据流；示例性地，在重组的过程中，首先根据IP地址和端口号以及协议确定是否是同一条数据流，只有同一条数据流上的数据才会重组到一起，重组的时候，依次解析IP层的数据和TCP层的数据，根据TCP头部标识的序列号，将IP和TCP层以上的应用层数据按照TCP序列号标识的顺序，存入内存，重组之后的数据流不包含TCP和IP的头部数据，只是应用层的数据按照顺序在内存中存储。

S40、根据预设规则对所述应用层数据流进行数据过滤；示例性地，预设规则中，只允许modbus功能码02通过，程序中解析应用层数据流之后，按照modbus的规则解析出本条数据流的功能码，这里假定是01，程序将解析出来的功能码01和预设的功能码02做比较，发现功能码不一致，则将本条数据丢弃。

S50、按照工控协议字段对过滤后的应用层数据流进行解析并存储；示例性地，过滤后的应用层数据流已经是合法的数据流，按照工控协议的协议标准进行解析和存储。例如，modbus协议，存储功能码，寄存器地址，数值内容等字段。

本实施例中，通过将所接收到的数据包重组成相应的应用层数据流，并对该应用层数据流进行数据过滤的方式，实现了对工控协议的业务内容的安全性分析与过滤，解决了现有技术中采用防火墙仅基于特征防护，无法对外部设备数据进行全面的安全过滤的问题。

如图2所示，在一些实施例中，所述工控系统中预先设置有会话截取进程和数据过滤进程，本发明的工控系统主机会话数据过滤方法中，所述根据预设规则对所述应用层数据流进行数据过滤包括：

S41、所述会话截取进程截取所述应用层数据流；

S42、所述会话截取进程通过netlink套接字至少将所述应用层数据流发送至所述数据过滤进程；

S43、所述数据过滤进程根据预设规则对所述应用层数据流进行数据过滤。

在一些实施例中，会话截取进程和数据过滤进程的接口：数据过滤进程在系统上是单独的进程，监听netlink套接字，会话截取进程获得到重组之后的数据流之后，通过netlink套接字发往数据过滤进程，在这里，数据过滤进程是被动监听一方，会话截取进程是主动发送一方。

在一些实施例中，所述会话截取进程通过netlink套接字至少将所述应用层数据流发送至所述数据过滤进程包括：所述会话截取进程通过netlink套接字将会话基本信息和所述应用层数据流发送至所述数据过滤进程，所述会话基本信息包括所述会话截取进程的IP地址、端口号和协议类型；

如图3所示，在一些实施例中，在所述数据过滤进程根据预设规则对所述应用层数据流进行数据过滤之后还包括：

S40′、根据所述会话基本信息将过滤后的应用层数据流发回至所述会话截取进程。

本实施例中在会话截取进程将应用层数据流发送至所述数据过滤进程时，才一并将会话截取进程的IP地址、端口号和协议类型发送至数据过滤进程以用于其发回过滤后的数据信息，确保了会话截取进程与数据过滤进程之间的相对独立性，避免了恶意攻击预先根据会话截取进程的IP地址、端口号和协议类型对会话截取进程的信息篡改或破坏。

如图4所示，为本发明的工控系统主机会话数据过滤方法的一实施例的业务流程：

开始：装置启动，同时启动数据过滤进程；

建立会话：工控系统向被采集设备发起TCP连接，连接协议指定的端口号，连接之后，建立起TCP连接会话；在工控系统中，设置TCP连接会话为需要做数据过滤的会话，即此条会话上的所有数据流都会被预先过滤；

会话有数据到来：数据包到达工控系统协议栈；

TCP流重组：首先由工控系统协议栈进行数据重组，将基本的IP数据包组合成应用层数据流；

判断是否需要进行数据过滤，如果否则发送所述应用层数据流至采集进程的TCP套接字；采集进程的TCP套接字是一个TCP套接字，用于两个主机之间接收和发送TCP连接的数据，TCP套接字是一条会话在一个主机系统上针对具体进程的接口。

如果是，则发送应用层数据流给数据过滤模块进行数据过滤；

剔除威胁数据：数据过滤模块对应用层数据流进行过滤以剔除威胁数据；数据过滤模块接收到数据之后，根据预先的配置，判断此应用层数据流是否是有威胁的数据，如果是，则丢弃，否则将数据发往采集进程的TCP套接字；

数据解析存储：采集进程的TCP套接字接收到过滤后的应用层数据流或者不需要过滤的应用层数据流，直接将数据按照工控协议字段进行解析，最后将解析的结果存入数据库中。

本发明实施例的有益效果在于：此方法基于主机系统的会话进行过滤，将防护功能和采集功能集成到同一个装置上，相对于传统的方法，系统集成度高，由同一个装置既做安全过滤，又做采集转发。另外，此方法不需要两台设备，系统的可靠性会更高，更加适应于工控场景对可靠性的要求。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作合并，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

如图5所示，本发明的实施例还提供一种工控系统主机会话数据过滤装置500，包括：

连接建立模块510，用于建立与被采集设备之间的TCP会话连接；

数据接收模块520，用于通过所述TCP会话连接接收来自所述被采集设备的数据包；

数据组包模块530，用于将所述数据包重组成相应的应用层数据流；

数据过滤模块540，用于根据预设规则对所述应用层数据流进行数据过滤；

数据采集存储模块550，用于按照工控协议字段对过滤后的应用层数据流进行解析并存储。

本发明实施例的工控系统主机会话数据过滤装置基于主机系统的会话进行过滤，将防护功能和采集功能集成到同一个装置上，相对于传统的方法，系统集成度高，由同一个装置既做安全过滤，又做采集转发。另外，此方法不需要两台设备，系统的可靠性会更高，更加适应于工控场景对可靠性的要求。

本发明实施例的装置可以是由一台主机系统构成的，该主机提供2块网卡，分别用于数据采集和数据转发，采集接口从外部设备采集数据，存储于装置中。转发接口用于将采集到的数据，转发到上位机等设备上。

传统采集设备和防火墙，分别在不同的主机上，配置同步一般采用人工同步的方式。本发明的协议数据采集和协议数据过滤的功能都运行在同一个主机系统上，协议数据采集和协议数据过滤功能分别属于不同的模块，两个模块可以共用同一套配置。例如，针对功能码，寄存器的值等工艺参数的配置，只需要配置一次，两个模块就可以同时使用了。

装置内部由数据采集模块对外部设备的信息进行采集，采集通过工控协议进行，工控协议建立在标准的TCP/IP协议基础上，当装置进行数据采集时，在装置和外部设备之间建立TCP会话。

装置采集的外部设备的协议数据，在进入装置的协议解析程序之前，首先根据会话，由协议过滤程序进行协议的解析和过滤，发现有威胁的数据后，将威胁数据删除，确保协议解析程序接收到的数据是正确的。

如图6所示，在一些实施例中，本发明的工控系统主机会话数据过滤装置500还包括：

会话截取模块540′，用于截取所述应用层数据流，并通过netlink套接字至少将所述应用层数据流发送至所述数据过滤模块540。

数据过滤模块在系统上是单独的进程，监听原始套接字，会话截取模块获得到重组之后的数据流之后，通过原始套接字发往数据过滤模块，在这里，数据过滤模块是被动监听一方，会话截取模块是主动发送一方。

在一些实施例中，所述会话截取模块通过netlink套接字至少将所述应用层数据流发送至所述数据过滤模块包括：所述会话截取模块通过netlink套接字将会话基本信息和所述应用层数据流发送至所述数据过滤模块，所述会话基本信息包括所述会话截取模块的IP地址、端口号和协议类型；

如图7所示，在一些实施例中，所述数据过滤模块540包括：

数据过滤单元541，用于根据预设规则对所述应用层数据流进行数据过滤；

数据发送单元542，用于在根据预设规则对所述应用层数据流进行数据过滤之后，根据所述会话基本信息将过滤后的应用层数据流发回至所述会话截取模块。

本实施例中在会话截取模块将应用层数据流发送至所述数据过滤模块时，才一并将会话截取模块的IP地址、端口号和协议类型发送至数据过滤模块以用于其发回过滤后的数据信息，确保了会话截取模块与数据过滤模块之间的相对独立性，避免了恶意攻击预先根据会话截取模块的IP地址、端口号和协议类型对会话截取模块的信息篡改或破坏。

在一些实施例中，数据采集存储模块550负责从外部设备上采集数据，使用外部设备支持的工控协议(Modbus，OPC，S7，IEC104)进行采集，首先和外部设备建立TCP连接，后续的数据采集基于此会话，采集到的数据存储在本地数据库中。

在一些实施例中，对于会话截取模块540′：数据采集存储模块550建立TCP连接，在装置和外部设备之间保持一个TCP连接会话，在数据到达应用程序之前，首先由会话截取模块540′进行截取。会话截取模块540′截取的是应用层的数据流，该数据流是经过TCP重组之后的数据。会话截取模块540′将截取的数据流发往数据过滤模块540进行数据过滤。

会话截取模块540′截取数据流的原理：应用层进程在接收系统协议栈的数据时，先由系统协议栈按照应用流的模式，对数据包进行组装，组装之后的数据只包含应用层数据信息。在重组的时候，根据TCP头部信息的序列号，保证重组之后，应用层数据的顺序是正确的，数据在网络上传输的时候，每个数据包都会在TCP头部包含一个序列号字段，这个字段标识本数据包在整个应用层数据流中的位置，在重组的时候，按照顺序将数据包写入内存，如果发现不符合顺序的数据包，则将其暂存起来等待下一个顺序正确的数据包到来，这样能够保证重组之后顺序是正确的。传统协议栈的做法是，重组之后的数据流直接发往应用层进程，但是会话截取模块540′将此数据流进行截取，交由数据过滤模块540进行处理。

会话截取模块540′和数据过滤模块540的接口：数据过滤模块540在系统上是单独的进程，监听netlink套接字，netlink套接字用于内核的IP网络和进程间进行通讯，netlink套接字允许使用者自定义数据格式，使用netlink套接字的好处是，可以方便的将数据在会话截取模块和数据过滤模块之间进行传递。会话截取模块540′获得到重组之后的数据流之后，通过netlink套接字发往数据过滤模块，在这里，数据过滤模块540是被动监听一方，会话截取模块540′是主动发送一方。在这里数据过滤模块540被动监听，是由于网络数据处理程序都是网络数据包驱动的，也就是程序不断的循环等待，直到有数据包到达设备程序才开始处理，这里设计数据过滤模块540被动监听是由于数据包到达设备之后，先由会话截取模块540′截取重组，再发送给数据过滤模块540，数据过滤模块540在整个数据流的处理过程中，属于被动接收的角色。

在一些实施例中，对于数据过滤模块540：数据过滤模块540在系统上是一个单独的进程，监听netlink套接字，处于被动接收状态。同时数据过滤模块540可以配置协议的防护规则，可以指定过滤哪些类型的数据。当会话截取模块540′截取到数据，将会话基本信息和应用数据流，按照统一的格式，通过netlink套接字，发送给数据过滤模块540，由于在系统中会有多条会话，而区分不同会话的基本原则就是判断IP五源组信息，五源组信息包含源IP地址、目的IP地址、源端口号、目的端口号和协议。数据过滤模块需要根据五源组信息对数据进行区分，以判断不同会话的数据流，所以发送时需要包含会话基本信息包含IP地址，端口号和协议等。数据过滤模块540按照预先定义好的规则，对数据流进行解析、过滤等操作，同时将过滤之后的安全数据通过进程的TCP套接字返回给会话截取模块，会话截取模块再将数据发给应用层程序。

在一些实施例中，本发明实施例提供一种非易失性计算机可读存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行本发明上述任一项工控系统主机会话数据过滤方法。

在一些实施例中，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一项工控系统主机会话数据过滤方法。

在一些实施例中，本发明实施例还提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行工控系统主机会话数据过滤方法。

在一些实施例中，本发明实施例还提供一种存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时工控系统主机会话数据过滤方法。

上述本发明实施例的工控系统主机会话数据过滤装置可用于执行本发明实施例的工控系统主机会话数据过滤方法，并相应的达到上述本发明实施例的实现工控系统主机会话数据过滤方法所达到的技术效果，这里不再赘述。本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。

图8是本申请另一实施例提供的执行工控系统主机会话数据过滤方法的电子设备的硬件结构示意图，如图8所示，该设备包括：

一个或多个处理器810以及存储器820，图8中以一个处理器810为例。

执行工控系统主机会话数据过滤方法的设备还可以包括：输入装置830和输出装置840。

处理器810、存储器820、输入装置830和输出装置840可以通过总线或者其他方式连接，图8中以通过总线连接为例。

存储器820作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的工控系统主机会话数据过滤方法对应的程序指令/模块。处理器810通过运行存储在存储器820中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例工控系统主机会话数据过滤方法。

存储器820可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据工控系统主机会话数据过滤装置的使用所创建的数据等。此外，存储器820可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器820可选包括相对于处理器810远程设置的存储器，这些远程存储器可以通过网络连接至工控系统主机会话数据过滤装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置830可接收输入的数字或字符信息，以及产生与工控系统主机会话数据过滤装置的用户设置以及功能控制有关的信号。输出装置840可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器820中，当被所述一个或者多个处理器810执行时，执行上述任意方法实施例中的工控系统主机会话数据过滤方法。

上述产品可执行本申请实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本申请实施例所提供的方法。

本申请实施例的电子设备以多种形式存在，包括但不限于:

(1)移动通信设备:这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备:这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等，例如iPad。

(3)服务器:提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(4)其他具有数据交互功能的电子装置。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

1.一种工控系统主机会话数据过滤方法，包括：

建立与被采集设备之间的TCP会话连接；

通过所述TCP会话连接接收来自所述被采集设备的数据包；

将所述数据包重组成相应的应用层数据流；

根据预设规则对所述应用层数据流进行数据过滤；

2.根据权利要求1所述的方法，其中，所述工控系统中预先设置有会话截取进程和数据过滤进程；

所述根据预设规则对所述应用层数据流进行数据过滤包括：

所述会话截取进程截取所述应用层数据流；

所述会话截取进程通过netlink套接字至少将所述应用层数据流发送至所述数据过滤进程；

所述数据过滤进程根据预设规则对所述应用层数据流进行数据过滤。

3.根据权利要求2所述的方法，其中，所述会话截取进程通过netlink套接字至少将所述应用层数据流发送至所述数据过滤进程包括：

所述会话截取进程通过netlink套接字将会话基本信息和所述应用层数据流发送至所述数据过滤进程，所述会话基本信息包括所述会话截取进程的IP地址、端口号和协议类型；

在所述数据过滤进程根据预设规则对所述应用层数据流进行数据过滤之后还包括：

根据所述会话基本信息将过滤后的应用层数据流发回至所述会话截取进程。

4.一种工控系统主机会话数据过滤装置，包括：

连接建立模块，用于建立与被采集设备之间的TCP会话连接；

5.根据权利要求4所述的装置，其中，还包括：

会话截取模块，用于截取所述应用层数据流，并通过netlink套接字至少将所述应用层数据流发送至所述数据过滤模块。

6.根据权利要求5所述的装置，其中，所述会话截取模块通过netlink套接字至少将所述应用层数据流发送至所述数据过滤模块包括：

所述会话截取模块通过netlink套接字将会话基本信息和所述应用层数据流发送至所述数据过滤模块，所述会话基本信息包括所述会话截取模块的IP地址、端口号和协议类型；

所述数据过滤模块还用于：在根据预设规则对所述应用层数据流进行数据过滤之后，根据所述会话基本信息将过滤后的应用层数据流发回至所述会话截取模块。

7.一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-3中任意一项所述方法的步骤。

8.一种存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-3中任意一项所述方法的步骤。