CN116743500B - 工业防火墙系统、报文处理方法和工控系统 - Google Patents

工业防火墙系统、报文处理方法和工控系统 Download PDF

Info

Publication number
CN116743500B
CN116743500B CN202311000720.3A CN202311000720A CN116743500B CN 116743500 B CN116743500 B CN 116743500B CN 202311000720 A CN202311000720 A CN 202311000720A CN 116743500 B CN116743500 B CN 116743500B
Authority
CN
China
Prior art keywords
message
control system
module
subsystem
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311000720.3A
Other languages
English (en)
Other versions
CN116743500A (zh
Inventor
刘树强
于琛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202311000720.3A priority Critical patent/CN116743500B/zh
Publication of CN116743500A publication Critical patent/CN116743500A/zh
Application granted granted Critical
Publication of CN116743500B publication Critical patent/CN116743500B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开实施例公开了一种工业防火墙系统、报文处理方法和工控系统。工业防火墙系统的第一子系统的第一防护模块根据第一防护策略对来自第一控制系统的第一报文进行过滤处理,第一处理模块将放行的第一报文转发至第二子系统,第一转换模块将从第二子系统接收到的第二报文转换为第一控制系统对应的协议格式,并转发至第一控制系统;第二子系统的第二防护模块根据第二防护策略对来自第二控制系统的第二报文进行过滤处理,第二处理模块将放行的第二报文转发至第一子系统,第二转换模块将从第一子系统接收到的第一报文转换为第二控制系统对应的协议格式,并转发至第二控制系统。该方案能够减少工业网络节点、降低工业网络延迟,提高工业网络的可靠性。

Description

工业防火墙系统、报文处理方法和工控系统
技术领域
本公开涉及计算机技术领域,尤其涉及一种工业防火墙系统、报文处理方法和工控系统。
背景技术
在工业自动化控制中,需要运用工业网络将两个或多个控制系统进行互联,以进行图像、语音等工业控制数据的传输。
由于工业网络采用的是专用的工业控制协议,工业控制协议的种类很多,通常各个控制系统之间运行了不同的工业控制协议,这使得在不同的控制系统之间需要部署协议转换器,来实现不同工业控制协议的控制系统之间的数据传输。另外,在以上传输过程中,为了保证工业网络环境的安全,还需要在不同的控制系统之间安装工业防火墙,以使一个控制系统所在的网络区域免受来自另一个控制系统所在的网络区域的网络攻击和网络入侵行为。
发明人发现,在各个控制系统之间部署协议转换器和工业防火墙的方式,虽然能够实现不同控制系统之间数据的安全传输,但增加了工业网络节点,增大了工业网络延时,降低了工业网络的可靠性。
发明内容
有鉴于此,本公开实施例提供了一种工业防火墙系统、报文处理方法和工控系统,能够减少工业网络节点、降低工业网络延迟,提高工业网络的可靠性。
第一方面,本公开实施例提供了一种工业防火墙系统,采用如下技术方案:
所述工业防火墙系统,其特征在于,包括:第一子系统和第二子系统;
所述第一子系统包括第一防护模块、第一处理模块和第一转换模块,所述第一防护模块用于根据第一防护策略对来自第一控制系统的第一报文进行过滤处理,所述第一处理模块用于将放行的第一报文转发至所述第二子系统,所述第一转换模块用于将从所述第二子系统接收到的第二报文转换为所述第一控制系统对应的协议格式,将协议转换后的第二报文转发至所述第一控制系统;
所述第二子系统包括第二防护模块、第二处理模块和第二转换模块,所述第二防护模块用于根据第二防护策略对来自第二控制系统的第二报文进行过滤处理,所述第二处理模块用于将放行的第二报文转发至所述第一子系统,所述第二转换模块用于将从所述第一子系统接收到的第一报文转换为所述第二控制系统对应的协议格式,将协议转换后的第一报文转发至所述第二控制系统。
可选地,所述第一子系统还包括第一解码模块,所述第一解码模块用于判断来自所述第一控制系统的报文是否为一条连接的第一个报文,若是,则识别来自所述第一控制系统的报文的传输层协议,根据识别到的传输层协议对来自所述第一控制系统的报文进行报文解码,获取第一报文内容,若否,则直接根据连接的第一个报文对应的传输层协议,对来自所述第一控制系统的报文进行报文解码,获取第一报文内容;
所述第二子系统还包括第二解码模块,所述第二解码模块用于判断来自所述第二控制系统的报文是否为一条连接的第一个报文,若是,则识别来自所述第二控制系统的报文的传输层协议,根据识别到的传输层协议对来自所述第二控制系统的报文进行报文解码,获取第二报文内容,若否,则直接根据连接的第一个报文对应的传输层协议,对来自所述第二控制系统的报文进行报文解码,获取第二报文内容。
可选地,所述第一处理模块将放行的第一报文转发至所述第二子系统具体包括:将放行的第一报文根据所述第一控制系统对应的协议格式进行组包,组包后转发至所述第二子系统;
所述第二处理模块将放行的第二报文转发至所述第一子系统具体包括:将放行的第二报文根据所述第二控制系统对应的协议格式进行组包,组包后转发至所述第一子系统。
可选地,所述第一子系统还包括第一学习模块,所述第一学习模块用于在学习状态下,对来自所述第一控制系统的报文进行学习,生成所述第一防护策略;所述第二子系统还包括第二学习模块,所述第二学习模块用于在学习状态下,对来自所述第二控制系统的报文进行学习,生成所述第二防护策略。
可选地,所述第一学习模块具体用于:将来自所述第一控制系统的报文的多种特征信息以预设格式记录并加入第一学习内容队列,以预设时间间隔将所述第一学习内容队列中的数据存入第一内容库,根据所述第一内容库中的数据生成所述第一防护策略;
所述第二学习模块具体用于:将来自所述第二控制系统的报文的多种特征信息以预设格式记录并加入第二学习内容队列,以预设时间间隔将所述第二学习内容队列中的数据存入第二内容库,根据所述第二内容库中的数据生成所述第二防护策略。
可选地,所述第一子系统还包括第一控制模块,用于控制所述第一转换模块的开启;所述第二子系统还包括第二控制模块,用于控制所述第二转换模块的开启。
可选地,所述第一控制模块具体用于在所述第一学习模块生成所述第一防护策略时,控制所述第一转换模块的开启;
所述第二控制模块具体用于在所述第二学习模块生成所述第二防护策略时,控制所述第二转换模块的开启。
可选地,所述第一子系统还包括第一会话建立模块和第一协议识别模块,所述第一会话建立模块用于与所述第一控制系统建立会话,获取来自所述第一控制系统的报文的源目的ip、源目的端口,所述第一协议识别模块用于识别来自所述第一控制系统的报文的协议名称;所述第二子系统还包括第二会话建立模块和第二协议识别模块,所述第二会话建立模块用于与所述第二控制系统建立会话,获取来自所述第二控制系统的报文的源目的ip、源目的端口,所述第二协议识别模块用于识别来自所述第二控制系统的报文的协议名称。
第二方面,本公开实施例提供了一种报文处理方法,采用如下技术方案:
所述报文处理方法,基于以上任一项所述的工业防火墙系统,其特征在于,所述报文处理方法包括:
在接收到来自第一控制系统的第一报文时,
所述第一子系统的第一防护模块根据第一防护策略对所述第一报文进行过滤处理;
所述第一子系统的第一处理模块将放行的第一报文转发至所述第二子系统;
所述第二子系统的第二转换模块将从所述第一子系统接收到的第一报文转换为所述第二控制系统对应的协议格式,并将协议转换后的第一报文转发至所述第二控制系统;
在接收到来自所述第二控制系统的第二报文时,
所述第二子系统的第二防护模块根据第二防护策略对所述第二报文进行过滤处理;
所述第二子系统的第二处理模块将放行的第二报文转发至所述第一子系统;
所述第一子系统的第一转换模块将从所述第二子系统接收到的第二报文转换为所述第一控制系统对应的协议格式,并将协议转换后的第二报文转发至所述第一控制系统。
第三方面,本公开实施例提供了一种工控系统,采用如下技术方案:
所述工控系统包括以上任一项所述的工业防火墙系统,与所述工业防火墙系统中的所述第一子系统连接的至少一个第一控制系统,以及与所述工业防火墙系统中的所述第二子系统连接的至少一个第二控制系统。
本公开实施例提供了一种工业防火墙系统、报文处理方法和工控系统,其中,工业防火墙系统包括:第一子系统和第二子系统;第一子系统包括第一防护模块、第一处理模块和第一转换模块,第二子系统包括第二防护模块、第二处理模块和第二转换模块,工业防火墙系统无论接收到来自哪一侧的控制系统发来的报文时,在工业防火墙系统内部即可完成该报文的过滤以及协议转换,与现有技术中单独部署协议转换器和工业防火墙的方式相比,不仅能够实现不同控制系统之间数据的安全传输,还可以减少工业网络节点、降低工业网络延迟,提高工业网络的可靠性。
上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本公开实施例提供的工业防火墙系统的示意图一;
图2为本公开实施例提供的工控系统的示意图;
图3为本公开实施例提供的工业防火墙系统的示意图二;
图4为本公开实施例提供的报文处理过程的示意图;
图5为本公开实施例提供的报文处理方法的流程图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
应当明确,以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目各方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
本公开实施例提供了一种工业防火墙系统,具体地,如图1和图2所示,该工业防火墙系统包括:第一子系统100和第二子系统200;
第一子系统100包括第一防护模块110、第一处理模块120和第一转换模块130,第一防护模块110用于根据第一防护策略对来自第一控制系统300的第一报文进行过滤处理,第一处理模块120用于将放行的第一报文转发至第二子系统200,第一转换模块130用于将从第二子系统200接收到的第二报文转换为第一控制系统300对应的协议格式,将协议转换后的第二报文转发至第一控制系统300;
第二子系统200包括第二防护模块210、第二处理模块220和第二转换模块230,第二防护模块210用于根据第二防护策略对来自第二控制系统400的第二报文进行过滤处理,第二处理模块220用于将放行的第二报文转发至第一子系统100,第二转换模块230用于将从第一子系统100接收到的第一报文转换为第二控制系统400对应的协议格式,将协议转换后的第一报文转发至第二控制系统400。
在接收到来自第一控制系统300的第一报文时,
第一子系统100的第一防护模块110根据第一防护策略对第一报文进行过滤处理;
第一子系统100的第一处理模块120将放行的第一报文转发至第二子系统200;
第二子系统200的第二转换模块230将从第一子系统100接收到的第一报文转换为第二控制系统400对应的协议格式,并将协议转换后的第一报文转发至第二控制系统400。
在接收到来自第二控制系统400的第二报文时,
第二子系统200的第二防护模块210根据第二防护策略对第二报文进行过滤处理;
第二子系统200的第二处理模块220将放行的第二报文转发至第一子系统100;
第一子系统100的第一转换模块130将从第二子系统200接收到的第二报文转换为第一控制系统300对应的协议格式,并将协议转换后的第二报文转发至第一控制系统300。
由以上所述可知,工业防火墙系统无论接收到来自哪一侧的控制系统(第一控制系统或第二控制系统)发来的报文时,在工业防火墙系统内部即可完成该报文的过滤以及协议转换,与现有技术中单独部署协议转换器和工业防火墙的方式相比,不仅能够实现不同控制系统之间数据的安全传输,还可以减少工业网络节点、降低工业网络延迟,提高工业网络的可靠性。另外,将该工业防火墙系统划分为第一子系统100和第二子系统200的方式,还可以起到网闸的作用,进一步提升第一控制系统300和第二控制系统400间数据传输的安全性。
本领域技术人员必然知道的是,以上第一控制系统300和第二控制系统400运行的协议不同,示例性地,第一控制系统运行的协议为modbus协议,第二控制系统运行的协议为s7协议。当然二者还可以运行其他协议,无论运行何种协议都适用于本公开实施例提供的工业防火墙系统。
第一防护策略可以包括一条具体的防护策略,也可以包括多条具体的防护策略,具体的防护策略包括允许放行的报文的特征信息(如源目的ip、源目的端口、协议名称、功能码、寄存器地址、值的内容等中的一个或多个)。每条具体的防护策略可以包括一个或多个允许放行的报文的特征信息。当第一防护策略包括多条具体的防护策略时,在第一防护模块110对来自第一控制系统300的第一报文进行过滤处理时,需要将该第一报文与所有条具体的防护策略进行匹配,若与任意一条匹配成功,则放行该第一报文,若均匹配失败,则阻断该第一报文,并记录日志。第二防护策略和第二防护模块210也类似,此处不再进行赘述。
可选地,如图3所示,第一子系统100还包括第一解码模块140,第一解码模块140用于识别来自第一控制系统300的报文的传输层协议,根据识别到的传输层协议对来自第一控制系统300的报文进行报文解码,获取第一报文内容(即应用层数据,包含功能码、寄存器地址和值的内容);第二子系统200还包括第二解码模块240,第二解码模块240用于识别来自第二控制系统400的报文的传输层协议,根据识别到的传输层协议对来自第二控制系统400的报文进行报文解码,获取第二报文内容(即应用层数据,包含功能码、寄存器地址和值的内容)。以上传输层协议可以为TCP协议或UDP协议。
示例性地,第一解码模块140具体用于判断来自第一控制系统300的报文是否为一条连接的第一个报文,若是,则识别来自第一控制系统300的报文的传输层协议,根据识别到的传输层协议对来自第一控制系统300的报文进行报文解码,获取第一报文内容,若否,则直接根据连接的第一个报文对应的传输层协议,对来自第一控制系统300的报文进行报文解码,获取第一报文内容。同样地,第二解码模块240还用于判断来自第二控制系统400的报文是否为一条连接的第一个报文,若是,则识别来自第二控制系统400的报文的传输层协议,若否,则直接根据连接的第一个报文对应的传输层协议,对来自第二控制系统400的报文进行报文解码,获取第二报文内容。也就是说,对于一条连接,仅需要对其第一个报文进行传输层协议识别的操作,可以简化整个解码的过程。只要第一控制系统300向工业防火墙系统发送报文,则第一解码模块140就解析该报文,同样地,只要第二控制系统400向工业防火墙系统发送报文,则第二解码模块240就解析该报文。
基于第一解码模块140和第二解码模块240的解码过程,第一防护模块110具体用于根据第一防护策略对第一报文内容进行过滤处理;第二防护模块210具体用于根据第二防护策略对第二报文内容进行过滤处理。
可选地,本公开实施例中,第一处理模块120可以直接将放行的第一报文(解码后的状态)转发至第二子系统200,也可以将放行的第一报文(解码后的状态)根据第一控制系统300对应的协议格式进行组包,组包后转发至第二子系统200。当采用后者时,后续的协议转换过程更简单。同样地,第二处理模块220可以直接将放行的第二报文(解码后的状态)转发至第一子系统100,也可以将放行的第一报文(解码后的状态)根据第二控制系统400对应的协议格式进行组包,组包后转发至第一子系统100。以上组包主要涉及应用层协议的格式(即第一控制系统300对应的协议格式或第二控制系统400对应的协议格式)及功能码、寄存器地址、值的内容等字段的格式。
可选地,如图3所示,第一子系统100还包括第一学习模块150,第一学习模块150用于在学习状态下,对来自第一控制系统300的报文进行学习,生成第一防护策略;第二子系统200还包括第二学习模块250,第二学习模块250用于在学习状态下,对来自第二控制系统400的报文进行学习,生成第二防护策略。通过学习模块(第一学习模块150和第二学习模块250)自学习生成第一防护策略和第二防护策略的方式,与现有技术中由管理员手动配置防火墙的防护策略的方式相比,不仅可以及时对防护策略进行更新,安全性更高,还可以减少管理员运维的工作量,尤其适用于控制系统较多的情况。
可选地,本公开实施例中,工业防火墙系统具有用于标识当前状态的配置参数,在该配置参数为第一值时表示工业防火墙系统处于工作状态,在该配置参数为第二值时表示工业防火墙系统处于学习状态。配置参数的数值可以由管理员进行配置,或者,初次配置完成后周期性自动更改。工业防火墙系统还包括状态确定模块,用于查询工业防火墙系统的配置参数的值,确定工业防火墙系统所处的当前状态。若在学习状态,则第一学习模块150和第二学习模块250执行对应的操作。工业防火墙系统在工作状态下进行报文的过滤和协议转换等操作。当然,工业防火墙系统还可以具有其他状态,如休息状态等,可以通过为配置参数赋其他值的方式来表示。
在学习状态下,工业防火墙系统认为接收到的报文都是安全可信的,无需进行任何的过滤,通过第一学习模块150对来自第一控制系统300的报文进行学习,即可生成第一防护策略,通过第二学习模块250对来自第二控制系统400的报文进行学习,即可生成第二防护策略。
在学习的过程中,如果报文的数量较少,则生成的防护策略(第一防护策略或第二防护策略)可以只包括一条具体的防护策略,该条具体的防护策略包括允许放行的报文的多种特征信息(如源目的ip、源目的端口、协议名称、功能码、寄存器地址、值的内容等信息),如果报文的数量较多,则生成的防护策略可以包括多条具体的防护策略。每条具体的防护策略可以包括一个或多个允许放行的报文的多种特征信息。本公开实施例中,可以根据允许放行的报文的某一特征信息,将所有允许放行的报文归属到多条具体的防护策略中。
可选地,第一学习模块150具体用于:将来自第一控制系统300的报文的多种特征信息以预设格式记录并加入第一学习内容队列,以预设时间间隔将第一学习内容队列中的数据存入第一内容库,根据第一内容库中的数据生成第一防护策略。将多种特征信息以预设格式记录,并加入第一学习内容队列,以预设时间间隔将第一学习内容队列中的数据存入第一内容库的过程,即是第一学习模块150自学习的过程。第一学习模块150将第一学习内容队列中的数据存入第一内容库后,第一内容库中新增了一条或多条数据,对应于一个或多个报文的多种特征信息。本公开实施例中可以在完成所有报文的学习后,根据第一内容库中的所有数据生成第一防护策略。根据第一内容库中的所有数据生成第一防护策略时,可以先进行查重,例如,将源目的ip、目的端口、功能码、寄存器地址、值的内容均相同的数据合并为一条数据,以避免生成的第一防护策略冗余。
第二学习模块250具体用于:将来自第二控制系统400的报文的多种特征信息以预设格式记录并加入第二学习内容队列,以预设时间间隔将第二学习内容队列中的数据存入第二内容库,根据第二内容库中的数据生成第二防护策略。类似地,将第二报文内容以预设格式记录,并加入第二学习内容队列,以预设时间间隔将第二学习内容队列中的数据存入第二内容库的过程,即是第二学习模块250自学习的过程。第二学习模块250将第二学习内容队列中的数据存入第二内容库后,第二内容库中新增了一条或多条数据,对应于一个或多个报文的多种特征信息。本公开实施例中可以在完成所有报文的学习后,根据第二内容库中的所有数据生成第二防护策略。根据第二内容库中的所有数据生成第二防护策略时,也可以先进行查重,例如,将源目的ip、目的端口、功能码、寄存器地址、值的内容均相同的数据合并为一条数据,以避免生成的第二防护策略冗余。
需要说明的是,以上预设格式只要是能将所有特征信息都能够记录即可,具体可以根据实际需要进行确定。预设时间间隔可以根据实际情况下第一控制系统发送报文的频率,第二控制系统发送报文的频率等来确定,本公开实施例中选择预设时间间隔为3 s ~8s,优选为5 s,使得入库操作不会太频繁对CPU占用过高,也仍能达到实时入库的效果。
可选地,如图3所示,第一子系统100还包括第一控制模块160,用于控制第一转换模块130的开启;第二子系统200还包括第二控制模块260,用于控制第二转换模块230的开启。通过第一控制模块160对第一转换模块130的开启的控制,第二控制模块260对第二转换模块230的开启的控制,可以使工业防火墙系统的应用更加灵活。
可选地,第一控制模块160具体用于在第一学习模块140生成第一防护策略时,控制第一转换模块130的开启;第二控制模块260具体用于在第二学习模块240生成第二防护策略时,控制第二转换模块230的开启。通过以上方式能够使得在生成防护策略时,就控制转换模块的开启,可以实现防护功能和转换功能的同步触发。
示例性地,本公开实施例中的多种特征信息包括源目的ip、源目的端口、协议名称、功能码、寄存器地址和值的内容等信息,其中,不同的特征信息可以通过不同的方式获得,功能码、寄存器地址和值的内容可以通过之前所述的第一解码模块140或第二解码模块240获得。
可选地,如图3所示,第一子系统100还包括第一会话建立模块170和第一协议识别模块180,第一会话建立模块170用于与第一控制系统300建立会话,获取来自第一控制系统300的报文的源目的ip、源目的端口,第一协议识别模块180用于识别来自第一控制系统300的报文的协议名称;第二子系统200还包括第二会话建立模块270和第二协议识别模块280,第二会话建立模块270用于与第二控制系统400建立会话,获取来自第二控制系统400的报文的源目的ip、源目的端口,第二协议识别模块280用于识别来自第二控制系统400的报文的协议名称。本公开实施例中,在学习状态下,会话建立和协议识别发生在学习生成防护策略之前,在工作状态下,会话建立和协议识别发生在根据防护策略进行防护之前。
第一转换模块130或第二转换模块230进行协议转换时,将应用层协议的格式进行转换,功能码、寄存器地址、值的内容等字段的参数与转换之前一致。例如,以将modbus协议的报文转换为s7协议的报文为例,将报文头格式转换为s7协议的报文头格式,功能码、寄存器地址、值的内容等字段的参数对应的数据内容与modbus的内容一致即可完成协议的转换。
此外,本公开实施例提供了一种报文处理方法,基于以上任一项所述的工业防火墙系统,具体地,如图4所示,该报文处理方法包括:
在接收到来自第一控制系统300的第一报文时,
第一子系统100的第一防护模块110根据第一防护策略对第一报文进行过滤处理;
第一子系统100的第一处理模块120将放行的第一报文转发至第二子系统200;
第二子系统200的第二转换模块230将从第一子系统100接收到的第一报文转换为第二控制系统400对应的协议格式,并将协议转换后的第一报文转发至第二控制系统400;
在接收到来自第二控制系统400的第二报文时,
第二子系统200的第二防护模块210根据第二防护策略对第二报文进行过滤处理;
第二子系统200的第二处理模块220将放行的第二报文转发至第一子系统100;
第一子系统100的第一转换模块130将从第二子系统200接收到的第二报文转换为第一控制系统300对应的协议格式,并将协议转换后的第二报文转发至第一控制系统300。
示例性地,本公开实施例提供一个更详细的报文处理方法,以第一控制系统300为modbus协议,其发起连接并发送写操作报文(以下简称为报文),第二控制系统400为s7协议为例,如图5所示,该报文处理方法包括:
第一子系统100的第一会话建立模块170与第一控制系统300建立会话,获取来自第一控制系统300的报文的源目的ip、源目的端口;
第一子系统100的第一协议识别模块180识别来自第一控制系统300的报文的协议名称(即modbus协议);
第一子系统100的第一解码模块140对来自第一控制系统300的报文进行解码,获取报文内容;
状态确定模块判断工业防火墙系统的当前状态;
在当前状态为工作状态时,
第一子系统100的第一防护模块110根据第一防护策略对报文内容进行过滤处理;
第一子系统100的第一处理模块120将放行的报文以modbus协议的协议格式进行组包后转发至第二子系统200;
第二子系统200的第二转换模块230将从第一子系统100接收到的报文转换为第二控制系统400对应的协议(即s7协议)的协议格式,并将协议转换后的报文转发至第二控制系统400;
在当前状态为学习状态时,
第一学习模块150根据来自第一控制系统300的报文的源目的ip、源目的端口、协议名称和报文内容进行学习,生成第一防护策略。
此外,本公开实施例提供了一种工控系统,如图2所示,该工控系统包括以上任一项的工业防火墙系统,与工业防火墙系统中的第一子系统100连接的至少一个第一控制系统300,以及与工业防火墙系统中的第二子系统200连接的至少一个第二控制系统400。各第一控制系统300可对应不同的协议名称,各第二控制系统400可对应不同的协议名称。
无论工业防火墙系统的第一子系统100连接几个第一控制系统300,第二子系统200连接几个第二控制系统400,一个报文必然仅针对一个第一控制系统300和一个第二控制系统400,参照之前所述的报文处理方法进行处理即可。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
在本公开中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

Claims (8)

1.一种工业防火墙系统,其特征在于,包括:第一子系统和第二子系统;
所述第一子系统包括第一防护模块、第一处理模块和第一转换模块,所述第一防护模块用于根据第一防护策略对来自第一控制系统的第一报文进行过滤处理,所述第一处理模块用于将放行的第一报文转发至所述第二子系统,所述第一转换模块用于将从所述第二子系统接收到的第二报文转换为所述第一控制系统对应的协议格式,将协议转换后的第二报文转发至所述第一控制系统;
所述第二子系统包括第二防护模块、第二处理模块和第二转换模块,所述第二防护模块用于根据第二防护策略对来自第二控制系统的第二报文进行过滤处理,所述第二处理模块用于将放行的第二报文转发至所述第一子系统,所述第二转换模块用于将从所述第一子系统接收到的第一报文转换为所述第二控制系统对应的协议格式,将协议转换后的第一报文转发至所述第二控制系统;
所述第一子系统还包括第一解码模块,所述第一解码模块用于判断来自所述第一控制系统的报文是否为一条连接的第一个报文,若是,则识别来自所述第一控制系统的报文的传输层协议,根据识别到的传输层协议对来自所述第一控制系统的报文进行报文解码,获取第一报文内容,若否,则直接根据连接的第一个报文对应的传输层协议,对来自所述第一控制系统的报文进行报文解码,获取第一报文内容;
所述第二子系统还包括第二解码模块,所述第二解码模块用于判断来自所述第二控制系统的报文是否为一条连接的第一个报文,若是,则识别来自所述第二控制系统的报文的传输层协议,根据识别到的传输层协议对来自所述第二控制系统的报文进行报文解码,获取第二报文内容,若否,则直接根据连接的第一个报文对应的传输层协议,对来自所述第二控制系统的报文进行报文解码,获取第二报文内容;
所述第一处理模块将放行的第一报文转发至所述第二子系统具体包括:将放行的第一报文根据所述第一控制系统对应的协议格式进行组包,组包后转发至所述第二子系统;
所述第二处理模块将放行的第二报文转发至所述第一子系统具体包括:将放行的第二报文根据所述第二控制系统对应的协议格式进行组包,组包后转发至所述第一子系统。
2.根据权利要求1所述的工业防火墙系统,其特征在于,所述第一子系统还包括第一学习模块,所述第一学习模块用于在学习状态下,对来自所述第一控制系统的报文进行学习,生成所述第一防护策略;所述第二子系统还包括第二学习模块,所述第二学习模块用于在学习状态下,对来自所述第二控制系统的报文进行学习,生成所述第二防护策略。
3.根据权利要求2所述的工业防火墙系统,其特征在于,
所述第一学习模块具体用于:将来自所述第一控制系统的报文的多种特征信息以预设格式记录并加入第一学习内容队列,以预设时间间隔将所述第一学习内容队列中的数据存入第一内容库,根据所述第一内容库中的数据生成所述第一防护策略;
所述第二学习模块具体用于:将来自所述第二控制系统的报文的多种特征信息以预设格式记录并加入第二学习内容队列,以预设时间间隔将所述第二学习内容队列中的数据存入第二内容库,根据所述第二内容库中的数据生成所述第二防护策略。
4.根据权利要求2所述的工业防火墙系统,其特征在于,
所述第一子系统还包括第一控制模块,用于控制所述第一转换模块的开启;所述第二子系统还包括第二控制模块,用于控制所述第二转换模块的开启。
5.根据权利要求4所述的工业防火墙系统,其特征在于,
所述第一控制模块具体用于在所述第一学习模块生成所述第一防护策略时,控制所述第一转换模块的开启;
所述第二控制模块具体用于在所述第二学习模块生成所述第二防护策略时,控制所述第二转换模块的开启。
6.根据权利要求1所述的工业防火墙系统,其特征在于,
所述第一子系统还包括第一会话建立模块和第一协议识别模块,所述第一会话建立模块用于与所述第一控制系统建立会话,获取来自所述第一控制系统的报文的源目的ip、源目的端口,所述第一协议识别模块用于识别来自所述第一控制系统的报文的协议名称;所述第二子系统还包括第二会话建立模块和第二协议识别模块,所述第二会话建立模块用于与所述第二控制系统建立会话,获取来自所述第二控制系统的报文的源目的ip、源目的端口,所述第二协议识别模块用于识别来自所述第二控制系统的报文的协议名称。
7.一种报文处理方法,基于所述权利要求1~6任一项所述的工业防火墙系统,其特征在于,所述报文处理方法包括:
在接收到来自第一控制系统的第一报文时,
所述第一子系统的第一防护模块根据第一防护策略对所述第一报文进行过滤处理;
所述第一子系统的第一处理模块将放行的第一报文转发至所述第二子系统;
所述第二子系统的第二转换模块将从所述第一子系统接收到的第一报文转换为所述第二控制系统对应的协议格式,并将协议转换后的第一报文转发至所述第二控制系统;
在接收到来自所述第二控制系统的第二报文时,
所述第二子系统的第二防护模块根据第二防护策略对所述第二报文进行过滤处理;
所述第二子系统的第二处理模块将放行的第二报文转发至所述第一子系统;
所述第一子系统的第一转换模块将从所述第二子系统接收到的第二报文转换为所述第一控制系统对应的协议格式,并将协议转换后的第二报文转发至所述第一控制系统;
所述第一子系统还包括第一解码模块,所述第一解码模块用于判断来自所述第一控制系统的报文是否为一条连接的第一个报文,若是,则识别来自所述第一控制系统的报文的传输层协议,根据识别到的传输层协议对来自所述第一控制系统的报文进行报文解码,获取第一报文内容,若否,则直接根据连接的第一个报文对应的传输层协议,对来自所述第一控制系统的报文进行报文解码,获取第一报文内容;
所述第二子系统还包括第二解码模块,所述第二解码模块用于判断来自所述第二控制系统的报文是否为一条连接的第一个报文,若是,则识别来自所述第二控制系统的报文的传输层协议,根据识别到的传输层协议对来自所述第二控制系统的报文进行报文解码,获取第二报文内容,若否,则直接根据连接的第一个报文对应的传输层协议,对来自所述第二控制系统的报文进行报文解码,获取第二报文内容;
所述第一处理模块将放行的第一报文转发至所述第二子系统具体包括:将放行的第一报文根据所述第一控制系统对应的协议格式进行组包,组包后转发至所述第二子系统;
所述第二处理模块将放行的第二报文转发至所述第一子系统具体包括:将放行的第二报文根据所述第二控制系统对应的协议格式进行组包,组包后转发至所述第一子系统。
8.一种工控系统,其特征在于,包括:权利要求1~6任一项所述的工业防火墙系统,与所述工业防火墙系统中的所述第一子系统连接的至少一个第一控制系统,以及与所述工业防火墙系统中的所述第二子系统连接的至少一个第二控制系统。
CN202311000720.3A 2023-08-10 2023-08-10 工业防火墙系统、报文处理方法和工控系统 Active CN116743500B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311000720.3A CN116743500B (zh) 2023-08-10 2023-08-10 工业防火墙系统、报文处理方法和工控系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311000720.3A CN116743500B (zh) 2023-08-10 2023-08-10 工业防火墙系统、报文处理方法和工控系统

Publications (2)

Publication Number Publication Date
CN116743500A CN116743500A (zh) 2023-09-12
CN116743500B true CN116743500B (zh) 2024-06-14

Family

ID=87915415

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311000720.3A Active CN116743500B (zh) 2023-08-10 2023-08-10 工业防火墙系统、报文处理方法和工控系统

Country Status (1)

Country Link
CN (1) CN116743500B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1665238A (zh) * 2004-03-04 2005-09-07 华为技术有限公司 下一代网络的组网系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103607316A (zh) * 2012-03-15 2014-02-26 无锡信捷电气股份有限公司 一种基于工业物联网的状态防火墙状态检测系统及方法
CN111797371A (zh) * 2020-06-16 2020-10-20 北京京投信安科技发展有限公司 一种交换机加密系统
CN112839031A (zh) * 2020-12-24 2021-05-25 江苏天创科技有限公司 一种工业控制网络安全防护系统及方法
CN113119124B (zh) * 2021-04-13 2022-06-14 北京航空航天大学 一种机器人控制系统的安全防护系统
CN115314286A (zh) * 2022-08-05 2022-11-08 中原内配集团股份有限公司 一种安全保障系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1665238A (zh) * 2004-03-04 2005-09-07 华为技术有限公司 下一代网络的组网系统

Also Published As

Publication number Publication date
CN116743500A (zh) 2023-09-12

Similar Documents

Publication Publication Date Title
US9923984B2 (en) Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation
US10164851B2 (en) Transmission and reception of a diagnostic request in an IP network
US9009830B2 (en) Inline intrusion detection
WO2013115177A1 (ja) ネットワークシステム、及びトポロジー管理方法
JP2006295938A (ja) ネットワーク型ルーティング機構
WO2015160383A1 (en) A network gateway and method for inspecting frames in communication network
CN108667829B (zh) 一种网络攻击的防护方法、装置及存储介质
US9122546B1 (en) Rapid processing of event notifications
CN111478888B (zh) 一种旁路阻断方法、设备及存储介质
CN111447393A (zh) 会议维护方法、装置及可读存储介质
CN106899419A (zh) 一种实现异常处理的方法、装置及请求端
WO2012121098A1 (ja) ネットワークシステム、パケット処理方法、及び記憶媒体
Franco et al. A review on current and old SCADA networks applied to water distribution systems
CN116743500B (zh) 工业防火墙系统、报文处理方法和工控系统
EP2518948A1 (en) Methods, system and apparatus for protecting control virtual local network in ethernet ring network
CN112383559A (zh) 地址解析协议攻击的防护方法及装置
WO2023174055A1 (zh) 报文传输方法及通信装置
US20210006567A1 (en) Using crc for sender authentication in a serial network
CN113872949B (zh) 一种地址解析协议的应答方法及相关装置
JP2021191000A (ja) Bierv6パケット転送方法、デバイス、およびシステム
WO2018001127A1 (zh) 传输方法、装置、系统及计算机可读存储介质
CN111478940A (zh) 一种数据处理的方法和装置
CN115334139B (zh) 通信连接控制方法及装置
CN115333853B (zh) 网络入侵检测方法、装置与电子设备
CN114978643B (zh) 一种通信方法、网络设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant