CN110460623A - 一种针对工业控制通用协议的处理系统、方法及终端 - Google Patents

Abstract

本发明属于计算机技术领域，具体涉及一种针对工业控制通用协议的处理系统、方法及终端，本系统包括管理单元和数据单元；所述管理单元，用于在用户态层配置工控通用协议数据，并将工控通用协议数据下发至内核层；所述数据单元，用于在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去。本发明既能对工业控制通用协议进行有效的过滤和防护，同时也能满足工业控制系统对数据实时性的要求。

Description

一种针对工业控制通用协议的处理系统、方法及终端

技术领域

本发明属于计算机技术领域，具体涉及一种针对工业控制通用协议的处理系统、方法及终端。

背景技术

随着计算机和网络技术的发展，尤其是信息化与工业化的深入融合，工业控制系统越来越多的采用通用硬软件和通用协议，通过互联网连接的业务系统越来越多。这使得针对工业控制系统的攻击行为大幅度的增加，同时也使得工业控制系统自身的脆弱性逐渐的暴露出来，面临的工业控制系统信息安全问题日益突出。

传统IT防火墙可以对互联网协议进行有效的过滤和防护。但工业控制系统有其自身的通信协议和对数据实时性的要求。工业控制系统通常使用modbus、OPC、DNP3、IEC104、Ehternet/IP、S7、MMS等专门针对工业控制系统的通用协议，这些协议与传统IT协议不同。工业控制系统对工业数据实时性要求非常高，而传统IT防火墙对数据的带宽和并发连接数有非常好的优化，但是对数据实时性上没有做专门的优化。

发明内容

针对工业控制系统使用的通用协议和工业控制系统对工业数据实时性的要求，针对现有技术的缺陷，本发明提供了一种针对工业控制通用协议的处理系统、方法及终端，既能对工业控制通用协议进行有效的过滤和防护，同时也能满足工业控制系统对数据实时性的要求。

第一方面，本发明提供了一种针对工业控制通用协议的处理系统，包括管理单元和数据单元；

所述管理单元，用于在用户态层配置工控通用协议数据，并将工控通用协议数据下发至内核层；

所述数据单元，用于在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去。

优选地，所述工控通用协议数据包括工控元数据和工控白名单数据；

所述管理单元包括元数据配置模块和白名单配置模块；

所述元数据配置模块，用于配置工控元数据，并将工控元数据下发到内核层；

所述白名单配置模块，用于配置工控白名单数据，并将工控白名单数据下发到内核层。

优选地，所述数据单元包括数据接收模块、数据整合模块、session建立模块、元数据过滤模块、白名单过滤模块和数据发送模块；

所述数据接收模块，用于从网卡上接收工业控制数据，并对工业控制数据进行二层头数据检查，将检查通过的工业控制数据发送给数据整合模块；

所述数据整合模块，用于对工业控制数据进行整合，并将整合后的工业控制数据发送给session建立模块；

所述session建立模块，用于对工业控制数据进行三层头数据检查，检查通过后，记录并更新工业控制数据的五元组数据，将更新后的工业控制数据发送给元数据过滤模块；

所述元数据过滤模块，用于根据匹配过滤条件Ⅰ，将工业控制数据与用户态层下发的工控元数据进行匹配，并将匹配成功的工业控制数据发送白名单过滤模块；

所述白名单过滤模块，用于根据匹配过滤条件Ⅱ，将工业控制数据与用户态层下发的工控白名单数据进行匹配，并将匹配成功的工业控制数据发送给数据发送模块；

所述数据发送模块，用于将检查过滤后的工业控制数据发送给网卡。

优选地，所述二层头数据包括发送网卡MAC地址、接收网卡MAC地址和三层头协议号；

所述三层头数据包括源IP地址、目的IP地址和传输层协议号；

所述五元组数据包括源IP地址、目的IP地址、协议号、源端口号和目的端口号；

所述工控元数据包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型、协议号和匹配动作。

优选地，所述对工业控制数据进行二层头数据检查，具体为：判断发送网卡MAC地址和接收网卡MAC地址是否有效；如果是，则判断接收网卡MAC地址是否为本机MAC地址；如果是，则判断三层头协议号是否有效；如果是，则二层头数据有效，工业控制数据检查通过。

优选地，所述匹配过滤条件Ⅰ为五元组数据一致；所述匹配过滤条件Ⅱ为工控协议的协议字段一致。

优选子，所述将工业控制数据与用户态层下发的工控白名单数据进行匹配，具体为：

对工业控制数据进行识别，识别出工业控制数据所采用的工控协议；对工控协议进行解析，得到工控协议的协议字段；将协议字段与工控白名单数据进行匹配，如果一致，则匹配成功。

第二方面，本发明提供了一种针对工业控制通用协议的处理方法，适用于第一方面所述的一种针对工业控制通用协议的处理系统，包括以下步骤：

在用户态层配置工控通用协议数据，并将工控通用协议数据下发至内核层；

在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去。

优选地，所述在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去，具体为：

接收工业控制数据；

对工业控制数据进行二层头数据检查；

判断二层头数据是否有误，若是，则进入下一步，若否，则丢弃工业控制数据；

对工业控制数据进行整合；

对工业控制数据进行三层头数据检查；

判断三层头数据是否有误，若是，则进入下一步，若否，则丢弃工业控制数据；

记录并更新工业控制数据的五元组数据；

根据匹配过滤条件Ⅰ，将工业控制数据与用户态层下发的工控元数据进行匹配；

判断是否匹配，若是，则进入下一步，若否，则丢弃工业控制数据；

根据匹配过滤条件Ⅱ，将工业控制数据与用户态层下发的工控白名单数据进行匹配；

判断是否匹配，若是，则进入下一步，若否，则丢弃工业控制数据；

将检查过滤后的工业控制数据发送出去。

第三方面，本发明提供了一种终端，包括处理器和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行第二方面所述的方法。

本发明的实施例，在用户态层配置工控通用协议数据，在内核层运行实时的工业控制数据，操作系统的内核态具有最高优先级，本实施例从物理层的网卡接收工业控制数据，对工业控制数据进行二层头数据、三层头数据、工控元数据和工控白名单数据的检查过滤处理，最后将处理后的工业控制数据发送给物理层的网卡，这一整套处理完全在操作系统的内核态下进行。因此本实施例不仅能对工业控制通用协议进行有效的过滤和防护，同时提高了数据的处理速度，满足了工业控制系统对数据实时性的要求。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为本实施例中针对工业控制通用协议的处理系统结构图；

图2为本实施例中针对工业控制通用协议的处理方法流程图；

图3为本实施例中对工业控制数据进行检查过滤的方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

具体实现中，本发明实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是，在某些实施例中，所述设备并非便携式通信设备，而是具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的台式计算机。

实施例一：

本实施例提供了一种针对工业控制通用协议的处理系统，如图1所示，包括管理单元和数据单元；

所述管理单元，用于在用户态层配置工控通用协议数据，并将工控通用协议数据下发至内核层；

所述数据单元，用于在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去。

本实施例中，管理单元在用户态层进行工控通用协议数据配置后，将工控通用协议数据下发至内核层，所述数据单元在内核层接收物理层网卡的工业控制数据，并根据控制通用协议数据对工业控制数据进行二层头数据、三层头数据、工控元数据和工控白名单数据的检查过滤，最后将检查过滤后的工业控制数据发送给物理层网卡。本实施例中，对工业控制数据进行检查过滤的整个过程都在内核层进行，无需在用户态层和内核层之间往返处理，因此不仅能对工业控制通用协议进行有效的过滤和防护，而且提高了数据的处理速度，满足了工业控制系统对数据实时性的要求。

本实施例的工控通用协议数据包括工控元数据和工控白名单数据；所述管理单元包括元数据配置模块和白名单配置模块。

所述元数据配置模块，用于配置工控元数据，并将工控元数据下发到内核层。所述工控元数据包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型、协议号、匹配动作(如阻断或放行)等。

所述白名单配置模块，用于配置工控白名单数据，并将工控白名单数据下发到内核层。工业控制协议白名单用来描述工业控制协议的具体内容，白名单数据包括运行指令、数据的有效范围等，白名单数据一般通过如下两种渠道获得，具体说明如下：

A、从工厂历史数据中提取。对于已经在工厂里运行相当长时间的工控设备来说，可以从工控设备的历史数据中提取出工控设备运行指令及其数据的有效范围。这些运行指令及其数据有效范围构成了工控设备的工控白名单数据。

B、从工厂实际运行数据中提取。在工厂里的工控设备附近安装工控协议处理装置，该装置负责搜集并解析工控设备运行的工控协议。经过一段时间的搜集和解析后，提取出工控设备运行指令及其数据的有效范围。这些运行指令及其数据有效范围构成了工控设备的工控白名单数据。

本实施例首先在用户态层配置工控元数据和工控白名单数据，之后将这两部分下发到操作系统的内核层，内核层根据这两部分对实时的工业控制数据进行检查过滤。所述数据单元包括数据接收模块、数据整合模块、session建立模块、元数据过滤模块、白名单过滤模块和数据发送模块。

所述数据接收模块，用于从网卡上接收工业控制数据，并对工业控制数据进行二层头数据检查，将检查通过的工业控制数据发送给数据整合模块。所述二层头数据指的是数据链路层的协议头信息，主要包括发送网卡MAC地址、接收网卡MAC地址和三层头协议号(即上层协议数据的协议号)。该模块从网卡上接收到工业控制数据后，首先检查工业控制数据的二层头数据是否有效。其中，对工业控制数据进行二层头数据检查，具体为：判断发送网卡MAC地址和接收网卡MAC地址是否有效；如果是，则判断接收网卡MAC地址是否为本机MAC地址；如果是，则判断三层头协议号是否有效；如果是，则二层头数据有效，工业控制数据检查通过，检查不通过，则直接丢弃该数据包。

所述数据整合模块，用于对工业控制数据进行整合，并将整合后的工业控制数据发送给session建立模块。该模块负责整合处理分片的IP数据包，通过Ethernet报文的MTU(指一种通信协议的某一层上面所能通过的最大数据包大小)大小是1536字节，去掉二层头16字节以及通用IP协议头20个字节外，IP数据负载的长度是1500字节。对于发送IP数据大于1500字节的情况来说，IP协议的上层协议可以将待发送的数据分割成最大1500字节后再交给IP协议层处理(不存在分片)，也可以将数据直接交给IP协议层处理(需要分片)。对于后者来说，就需要对IP负责进行分片处理，即：在发送IP数据包之前将IP负载分割成多个最大1500字节后再发出去。在数据接收端，若IP数据不是分片数据则需要进行数据整合，然后交由后续模块处理；若IP数据是分片数据则需要将分片数据进行重新整合和排序，之后再将整合排序后的数据交由后续模块处理。

所述session建立模块，用于对工业控制数据进行三层头数据检查，检查通过后，记录并更新工业控制数据的五元组数据，将更新后的工业控制数据发送给元数据过滤模块。对于任何基于TCP/IP协议的工业控制数据来说，都存在工业控制数据的五元组数据，所述五元组数据包括源IP地址、目的IP地址、协议号、源端口号和目的端口号。对于五元组相同的数据来说我们认为这是相同连接上的数据。其中，所述的三层头数据包括源IP地址、目的IP地址和传输层协议号。本模块首先检查三层头数据是否有效，无效就直接将数据包丢弃，有效则记录所有工业控制数据的五元组数据并根据工业控制数据的实时状态更新五元组数据。

所述元数据过滤模块，用于根据匹配过滤条件Ⅰ，将工业控制数据与用户态层下发的工控元数据进行匹配，并将匹配成功的工业控制数据发送白名单过滤模块。所述匹配过滤条件Ⅰ通过用户态的元数据配置模块下发得到，匹配过滤条件Ⅰ即为五元组数据一致。由于工业控制数据的二层头数据(MAC地址等)、三层头数据(IP地址等)以及四层头数据(端口号等)均在原始数据内，因此本模块就可以根据匹配过滤条件Ⅰ对原始数据进行匹配过滤，匹配成功，则允许该数据包通过，否则直接丢弃数据包。

若元数据过滤功能在用户态运行，则首先需要将原始数据从内核态空间复制到用户态空间(一次数据复制操作)，之后在用户态空间需要启动元数据过滤模块(一次进程上下文切换操作)，之后元数据过滤模块还需要将过滤的结果返回给内核态(一次进程上下文切换操作)，最后在内核态得到过滤结果后才能判断是否允许该原始数据通过或丢弃。本实施例由于针对元数据过滤完全在内核态进行，不用将原始数据发送到用户态做条件过滤，从而减少了数据从内核态复制到用户态以及进程上下文切换等耗时的操作，进而提高了整个系统的运行速度。

所述白名单过滤模块，用于根据匹配过滤条件Ⅱ，将工业控制数据与用户态层下发的工控白名单数据进行匹配，并将匹配成功的工业控制数据发送给数据发送模块。所述匹配过滤条件Ⅱ通过用户态的白名单配置模块下发得到，所述匹配过滤条件Ⅱ即为工控协议的协议字段一致。在对原始数据进行元数据过滤后，还需要对原始数据做更深入的工控协议过滤。其中，将工业控制数据与用户态层下发的工控白名单数据进行匹配，具体为：对工业控制数据进行识别，识别出工业控制数据所采用的工控协议；对工控协议进行解析，得到工控协议的协议字段；将协议字段与工控白名单数据进行匹配，如果一致，则匹配成功，允许该数据包通过，否则丢弃该数据包。

若工控协议过滤(即白名单过滤)功能在用户态运行，则首先需要将原始数据从内核态空间复制到用户态空间(一次数据复制操作)，之后在用户态空间需要启动白名单过滤模块(一次进程上下文切换操作)，之后白名单过滤模块还需要将过滤的结果返回给内核态(一次进程上下文切换操作)，最后在内核态得到过滤结果后才能判断是否允许该原始数据通过或丢弃。本实施例由于针对原始数据的工控协议过滤完全在内核态进行，不用将原始数据发送到用户态做条件过滤，从而减少了数据从内核态复制到用户态以及进程上下文切换等耗时的操作，进而提高了整个系统的运行速度。

所述数据发送模块，用于将检查过滤后的合法工业控制数据发送给网卡。从而通过以上整个过程，完成了对工业控制数据的检查过滤。

综上所述，本实施例在用户态层配置工控通用协议数据，在内核层运行实时的工业控制数据，操作系统的内核态具有最高优先级，本实施例从物理层的网卡接收工业控制数据，对工业控制数据进行二层头数据、三层头数据、工控元数据和工控白名单数据的检查过滤处理，最后将处理后的工业控制数据发送给物理层的网卡，这一整套处理完全在操作系统的内核态下进行。本实施例不仅能对工业控制通用协议进行有效的过滤和防护，同时提高了数据的处理速度，满足了工业控制系统对数据实时性的要求。

实施例二：

本实施例提供了一种针对工业控制通用协议的处理方法，适用于实施例一所述的一种针对工业控制通用协议的处理系统，如图2所示，包括以下步骤：

S1,在用户态层配置工控通用协议数据，并将工控通用协议数据下发至内核层；

S2,在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去。

本实施例中，在用户态层进行工控通用协议数据配置后，将工控通用协议数据下发至内核层，在内核层接收物理层网卡的工业控制数据，并根据控制通用协议数据对工业控制数据进行二层头数据、三层头数据、工控元数据和工控白名单数据的检查过滤，最后将检查过滤后的工业控制数据发送给物理层网卡。本实施例中，对工业控制数据进行检查过滤的整个过程都在内核层进行，无需在用户态层和内核层之间往返处理，因此不仅能对工业控制通用协议进行有效的过滤和防护，提高了数据的处理速度，满足了工业控制系统对数据实时性的要求。

本实施例的工控通用协议数据包括工控元数据和工控白名单数据。所述工控元数据包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型、协议号、匹配动作(如阻断或放行)等。工业控制协议白名单用来描述工业控制协议的具体内容，白名单数据包括运行指令、数据的有效范围等，白名单数据一般通过如下两种渠道获得，具体说明如下：

A、从工厂历史数据中提取。对于已经在工厂里运行相当长时间的工控设备来说，可以从工控设备的历史数据中提取出工控设备运行指令及其数据的有效范围。这些运行指令及其数据有效范围构成了工控设备的工控白名单数据。

B、从工厂实际运行数据中提取。在工厂里的工控设备附近安装工控协议处理装置，该装置负责搜集并解析工控设备运行的工控协议。经过一段时间的搜集和解析后，提取出工控设备运行指令及其数据的有效范围。这些运行指令及其数据有效范围构成了工控设备的工控白名单数据。

本实施例首先在用户态层配置工控元数据和工控白名单数据，之后将这两部分下发到操作系统的内核层，内核层根据这两部分对实时的工业控制数据进行检查过滤。如图3所示，其中，所述步骤S2具体包括S21-S212这十二个子步骤。

S21,接收工业控制数据。

S22,对工业控制数据进行二层头数据检查。

S23,判断二层头数据是否有误，若是，则进入下一步，若否，则丢弃工业控制数据。

所述二层头数据指的是数据链路层的协议头信息，主要包括发送网卡MAC地址、接收网卡MAC地址和三层头协议号(即上层协议数据的协议号)。本实施例从网卡上接收到工业控制数据后，首先检查工业控制数据的二层头数据是否有效。其中，对工业控制数据进行二层头数据检查，具体为：判断发送网卡MAC地址和接收网卡MAC地址是否有效；如果是，则判断接收网卡MAC地址是否为本机MAC地址；如果是，则判断三层头协议号是否有效；如果是，则二层头数据有效，工业控制数据检查通过，检查不通过，则直接丢弃该数据包。

S24,对工业控制数据进行整合。

该步骤负责整合处理分片的IP数据包，通过Ethernet报文的MTU(指一种通信协议的某一层上面所能通过的最大数据包大小)大小是1536字节，去掉二层头16字节以及通用IP协议头20个字节外，IP数据负载的长度是1500字节。对于发送IP数据大于1500字节的情况来说，IP协议的上层协议可以将待发送的数据分割成最大1500字节后再交给IP协议层处理(不存在分片)，也可以将数据直接交给IP协议层处理(需要分片)。对于后者来说，就需要对IP负责进行分片处理，即：在发送IP数据包之前将IP负载分割成多个最大1500字节后再发出去。在数据接收端，若IP数据不是分片数据则需要进行数据整合，然后交由后续步骤处理；若IP数据是分片数据则需要将分片数据进行重新整合和排序，之后再将整合排序后的数据交由后续步骤处理。

S25,对工业控制数据进行三层头数据检查。

S26,判断三层头数据是否有误，若是，则进入下一步，若否，则丢弃工业控制数据。

S27,记录并更新工业控制数据的五元组数据。

对于任何基于TCP/IP协议的工业控制数据来说，都存在工业控制数据的五元组数据，所述五元组数据包括源IP地址、目的IP地址、协议号、源端口号和目的端口号。对于五元组相同的数据来说我们认为这是相同连接上的数据。其中，所述的三层头数据包括源IP地址、目的IP地址和传输层协议号。本实施例首先检查三层头数据是否有效，无效就直接将数据包丢弃，有效则记录所有工业控制数据的五元组数据并根据工业控制数据的实时状态更新五元组数据。

S28,根据匹配过滤条件Ⅰ，将工业控制数据与用户态层下发的工控元数据进行匹配。

S29,判断是否匹配，若是，则进入下一步，若否，则丢弃工业控制数据。

所述匹配过滤条件Ⅰ通过用户态下发得到，匹配过滤条件Ⅰ即为五元组数据一致。由于工业控制数据的二层头数据(MAC地址等)、三层头数据(IP地址等)以及四层头数据(端口号等)均在原始数据内，因此本实施例就可以根据匹配过滤条件Ⅰ对原始数据进行匹配过滤，匹配成功，则允许该数据包通过，否则直接丢弃数据包。

若元数据过滤功能在用户态运行，则首先需要将原始数据从内核态空间复制到用户态空间(一次数据复制操作)，之后在用户态空间需要启动元数据过滤(一次进程上下文切换操作)，之后还需要将过滤的结果返回给内核态(一次进程上下文切换操作)，最后在内核态得到过滤结果后才能判断是否允许该原始数据通过或丢弃。本实施例由于针对元数据过滤完全在内核态进行，不用将原始数据发送到用户态做条件过滤，从而减少了数据从内核态复制到用户态以及进程上下文切换等耗时的操作，进而提高了整个系统的运行速度。

S210,根据匹配过滤条件Ⅱ，将工业控制数据与用户态层下发的工控白名单数据进行匹配。

S211,判断是否匹配，若是，则进入下一步，若否，则丢弃工业控制数据。

所述匹配过滤条件Ⅱ通过用户态下发得到，所述匹配过滤条件Ⅱ即为工控协议的协议字段一致。在对原始数据进行元数据过滤后，还需要对原始数据做更深入的工控协议过滤。其中，将工业控制数据与用户态层下发的工控白名单数据进行匹配，具体为：对工业控制数据进行识别，识别出工业控制数据所采用的工控协议；对工控协议进行解析，得到工控协议的协议字段；将协议字段与工控白名单数据进行匹配，如果一致，则匹配成功，允许该数据包通过，否则丢弃该数据包。

若工控协议过滤(即白名单过滤)功能在用户态运行，则首先需要将原始数据从内核态空间复制到用户态空间(一次数据复制操作)，之后在用户态空间需要启动白名单过滤(一次进程上下文切换操作)，之后还需要将过滤的结果返回给内核态(一次进程上下文切换操作)，最后在内核态得到过滤结果后才能判断是否允许该原始数据通过或丢弃。本实施例由于针对原始数据的工控协议过滤完全在内核态进行，不用将原始数据发送到用户态做条件过滤，从而减少了数据从内核态复制到用户态以及进程上下文切换等耗时的操作，进而提高了整个系统的运行速度。

S212,将检查过滤后的工业控制数据发送出去。从而通过以上整个过程，完成了对工业控制数据的检查过滤。

综上所述，本实施例在用户态层配置工控通用协议数据，在内核层运行实时的工业控制数据，操作系统的内核态具有最高优先级，本实施例从物理层的网卡接收工业控制数据，对工业控制数据进行二层头数据、三层头数据、工控元数据和工控白名单数据的检查过滤处理，最后将处理后的工业控制数据发送给物理层的网卡，这一整套处理完全在操作系统的内核态下进行。本实施例不仅能对工业控制通用协议进行有效的过滤和防护，同时提高了数据的处理速度，满足了工业控制系统对数据实时性的要求。

实施例三：

本实施例提供了一种终端，包括处理器和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行实施例二所述的方法。

应当理解，在本发明实施例中，所称处理器可以是中央处理单元(CentralProcessing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

该存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如，存储器还可以存储设备类型的信息。

具体实现中，本发明实施例中所描述的处理器可执行本实施例一所述的方法，在此不再赘述。

综上所述，本实施例在用户态层配置工控通用协议数据，在内核层运行实时的工业控制数据，操作系统的内核态具有最高优先级，本实施例从物理层的网卡接收工业控制数据，对工业控制数据进行二层头数据、三层头数据、工控元数据和工控白名单数据的检查过滤处理，最后将处理后的工业控制数据发送给物理层的网卡，这一整套处理完全在操作系统的内核态下进行。本实施例不仅能对工业控制通用协议进行有效的过滤和防护，同时提高了数据的处理速度，满足了工业控制系统对数据实时性的要求。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的方法、系统和设备，可以通过其它的方式实现。例如，所述步骤的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个步骤可以结合为一个步骤，或一些特征可以忽略，或一个步骤拆分为多个步骤。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种针对工业控制通用协议的处理系统，其特征在于，包括管理单元和数据单元；

所述管理单元，用于在用户态层配置工控通用协议数据，并将工控通用协议数据下发至内核层；

所述数据单元，用于在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去。

2.根据权利要求1所述的一种针对工业控制通用协议的处理系统，其特征在于，所述工控通用协议数据包括工控元数据和工控白名单数据；

所述管理单元包括元数据配置模块和白名单配置模块；

所述元数据配置模块，用于配置工控元数据，并将工控元数据下发到内核层；

所述白名单配置模块，用于配置工控白名单数据，并将工控白名单数据下发到内核层。

3.根据权利要求2所述的一种针对工业控制通用协议的处理系统，其特征在于，所述数据单元包括数据接收模块、数据整合模块、session建立模块、元数据过滤模块、白名单过滤模块和数据发送模块；

所述数据接收模块，用于从网卡上接收工业控制数据，并对工业控制数据进行二层头数据检查，将检查通过的工业控制数据发送给数据整合模块；

所述数据整合模块，用于对工业控制数据进行整合，并将整合后的工业控制数据发送给session建立模块；

所述session建立模块，用于对工业控制数据进行三层头数据检查，检查通过后，记录并更新工业控制数据的五元组数据，将更新后的工业控制数据发送给元数据过滤模块；

所述元数据过滤模块，用于根据匹配过滤条件Ⅰ，将工业控制数据与用户态层下发的工控元数据进行匹配，并将匹配成功的工业控制数据发送白名单过滤模块；

所述白名单过滤模块，用于根据匹配过滤条件Ⅱ，将工业控制数据与用户态层下发的工控白名单数据进行匹配，并将匹配成功的工业控制数据发送给数据发送模块；

所述数据发送模块，用于将检查过滤后的工业控制数据发送给网卡。

4.根据权利要求3所述的一种针对工业控制通用协议的处理系统，其特征在于，所述二层头数据包括发送网卡MAC地址、接收网卡MAC地址和三层头协议号；

所述三层头数据包括源IP地址、目的IP地址和传输层协议号；

所述五元组数据包括源IP地址、目的IP地址、协议号、源端口号和目的端口号；

所述工控元数据包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议类型、协议号和匹配动作。

5.根据权利要求4所述的一种针对工业控制通用协议的处理系统，其特征在于，

所述对工业控制数据进行二层头数据检查，具体为：判断发送网卡MAC地址和接收网卡MAC地址是否有效；如果是，则判断接收网卡MAC地址是否为本机MAC地址；如果是，则判断三层头协议号是否有效；如果是，则二层头数据有效，工业控制数据检查通过。

6.根据权利要求4所述的一种针对工业控制通用协议的处理系统，其特征在于，所述匹配过滤条件Ⅰ为五元组数据一致；所述匹配过滤条件Ⅱ为工控协议的协议字段一致。

7.根据权利要求4所述的一种针对工业控制通用协议的处理系统，其特征在于，所述将工业控制数据与用户态层下发的工控白名单数据进行匹配，具体为：

对工业控制数据进行识别，识别出工业控制数据所采用的工控协议；对工控协议进行解析，得到工控协议的协议字段；将协议字段与工控白名单数据进行匹配，如果一致，则匹配成功。

8.一种针对工业控制通用协议的处理方法，适用于权利要求1-7任一项所述的一种针对工业控制通用协议的处理系统，其特征在于，包括以下步骤：

在用户态层配置工控通用协议数据，并将工控通用协议数据下发至内核层；

在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去。

9.根据权利要求8所述的一种针对工业控制通用协议的处理方法，其特征在于，所述在内核层接收工业控制数据，并根据工控通用协议数据对工业控制数据进行检查过滤，并将检查过滤后的工业控制数据发送出去，具体为：

接收工业控制数据；

对工业控制数据进行二层头数据检查；

判断二层头数据是否有误，若是，则进入下一步，若否，则丢弃工业控制数据；

对工业控制数据进行整合；

对工业控制数据进行三层头数据检查；

判断三层头数据是否有误，若是，则进入下一步，若否，则丢弃工业控制数据；

记录并更新工业控制数据的五元组数据；

根据匹配过滤条件Ⅰ，将工业控制数据与用户态层下发的工控元数据进行匹配；

判断是否匹配，若是，则进入下一步，若否，则丢弃工业控制数据；

根据匹配过滤条件Ⅱ，将工业控制数据与用户态层下发的工控白名单数据进行匹配；

判断是否匹配，若是，则进入下一步，若否，则丢弃工业控制数据；

将检查过滤后的工业控制数据发送出去。

10.一种终端，包括处理器和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求8、9任一项所述的方法。