WO2020037478A1 - 一种基于状态关系图的工控防火墙实现方法 - Google Patents

Abstract

本发明公开了一种基于状态关系图的工控防火墙实现方法，它属于工业控制系统安全领域，基于状态关系图的工业控制系统防火墙，包括工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块，在正常状态下，工业数据采集模块采集工业系统的实时运行数据，在状态关系图模块中生成数据模块的状态关系图，把这个特征作为判断系统是否正常运行的判断条件，此后，协议分析模块提出工业通信协议的数据包内容，动态生成运行时刻的状态关系图，在行为监控模块中，对比正常运行时刻的状态关系图，若发现异常，判断攻击事件发生。

Description

一种基于状态关系图的工控防火墙实现方法 技术领域

本发明涉及工控防火墙领域，尤其涉及一种基于状态关系图的工控防火墙实现方法。

背景技术

防火墙是指一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。传统防火墙可根据防范的方式和侧重点的不同而分为多种类型，主要分为包过滤防火墙、应用网关防火墙、状态检测防火墙和复合型防火墙。

包过滤防火墙：该防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。但因其是在网络层检查数据包，系统对应用层信息无感知，所以其安全性有一定缺陷。

应用网关防火墙：该防火墙是检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。但因为每个客户机/服务器通信需要两个连接，而且每个代理需要对每个新的应用添加针对此应用的服务程序。所以，应用网关防火墙的可伸缩性较差。

状态检测防火墙：该防火墙基本保持了简单包过滤防火墙的优点，性能较好，同时对应用是透明的。其原理是在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理，在安全性上有了大幅提升。

复合型防火墙：该防火墙综合了状态检测与透明代理的新一代的防火墙，把防病毒、内容过滤整合到防火墙里，其中还包括虚拟专用网络、入侵检测功能，多功能融为一体。

随着科技的不断创新，工业自动化发展快速，工控系统的安全是发展的重中之重，而防火墙则是工控系统安全的重要组成部分之一。工控防火墙可应用于工业控制环境，对工业控制系统边界以及工业控制系统内部不同控制域之间进行边界保护，并满足特定的工业环境和功能要求。

现如今在工控防火墙的研究上已有较大突破。在专利方面，有如支持过滤ModbusTCP协议的工控防火墙，支持过滤IEC104协议的工控防火墙，基于多核处理器的工控防火墙，当前工控防火墙主要是对ModbusTCP、IEC104进行数据包的过滤、工控协议和指令的识别，提取传输的工控指令操作内容，进行判定识别并对流量进行相应处理。基于工业物联网的状态防火墙状态检测系统，主要是对网络层状态进行识别监测。

综上说述，当前工业防火墙大部分采用基于包过滤防火墙的方法，单单对每个经过的 数据包进行规则检查，缺乏对行为和流量的监测，也有一些事基于状态检测的防火墙，但仅仅是在监测网络层的状态，还没有对数据本身建立状态关系。而我们所发明的防火墙是采用状态关系图，根据状态关系图去制定对工控行为的检测规则，实现工控系统的协议分析、行为监测和流量监测的安全功能。该工业控制系统防火墙的实现方法与当前基于包过滤技术和网络状态技术的相比，不仅可以对工业控制系统的协议类型，通信数据，而且还能判定异常的数据关系，操作命令的异常。

发明内容

针对现有技术存在的不足，本发明的目的是提供一种基于状态关系图的工控防火墙。其包括：工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块。基于状态关系图的工业控制系统防火墙，包括工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块，在正常状态下，工业数据采集模块采集工业系统的实时运行数据，在状态关系图模块中生成数据模块的状态关系图，把这个特征作为判断系统是否正常运行的判断条件，此后，协议分析模块提出工业通信协议的数据包内容，动态生成运行时刻的状态关系图，在行为监控模块中，对比正常运行时刻的状态关系图，若发现异常，就判断有攻击事件发生，进一步分析攻击事件导致的数据异常行为。

工业数据采集模块：采集多种工控协议TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet、IEC60870-5-104协议、IEC61850、Step7协议数据，采集输入输出数据和工控指令。采集后的数据传入状态关系图模块做进一步处理。

状态关系图模块：状态关系图首先在规则生成模式运行，在正常状态下，工业数据采集模块采集工业系统的实时运行数据，在状态关系图模块中生成数据模块的状态关系图，把这个特征作为防火墙判断系统是否正常运行的判断条件。当防火墙判定状态关系图生成完毕后，状态关系图切换到工作模式，接续接收工业数据采集模块采集工业系统的实时运行数据，生成状态关系图，然后转向协议分析模块。

协议分析模块：识别不同工业控制系统的协议类型根据协议等规则，对通信数据进行过滤和检测，对协议的类型、源地址、源端口、目的地址、目的端口的数据，把工作模式下生产的状态关系图与规程生产生产的状态关系图，如果相同，则放行数据，若有差异，拦阻数据，转向行为监控模块进一步操作。

行为监测模块：协议分析模块拦阻的数据，检测分析工作模型下的状态关系图与规则生成模式下的状态关系图不匹配，记录工业控制系统组态、操作站的数据与操作指令变更的情况，主要监控如工程师站组态变更、操作站数据与操作指令变更，以及各主流现场总线访问、通信行为、负载变更情况，更新防火墙规则库。

附图说明

图1为基于状态关系图的工控防火墙的系统结构；

图2为工业数据采集模块示意图；

图3为状态关系图模块示意图；

图4为协议分析模块示意图；

图5为行为监控模块示意图；

具体实施方式

下面结合附图对本发明做进一步说明。

如图1所示，基于状态关系图的工控防火墙的系统结构，其包括：工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块，工业数据采集多种工控类型协议和数据，根据数据生成状态关系图，产生防火墙判断规则，用于协议分析与行为监控。

如图2所示，为图1中11工业数据采集模块的详解。本发明系统采集协议数据，其中包括协议类型、源地址、源端口、目的地址、目的端口和通信数据。协议类型可以为TCP/IP、ModBus TCP、OPC、DNP3.0、ProfiNet、IEC60870-5-104、IEC61850、Step7等。所采集的通信数据是为生成状态关系图以及行为监控做准备。其中通信数据包括温度、压力、适度、转速以及阀门状态和控制命令等。

如图3所示，为图1中12状态关系图模块的详解，运用所采集到的每一时刻的通信数据绘制状态图，根据状态结点的变化情况生成状态关系图，并作简化，防火墙根据此关系图自动生成相应的对工控行为的检测规则。

如图4所示，为图1中13协议分析模块的详解，根据数据关系图生产的规则，通过对协议的类型、源地址、源端口、目的地址、目的端口的分析，判断所经过的数据包是否通过或者丢弃。

如图5所示，为图1中14行为监控模块的详解，通过状态关系图所生成的防火墙检测规则，规则是有组合条件和操作组成，根据组合条件形成操作命令规则；组合条件包括若干条件，通过条件的与、或、非、异或的逻辑关系形成；条件是有若干数据与通过大于、小于和等于的逻辑关系和特定数值组成。

Claims (5)

1. 一种基于状态关系图的工控防火墙实现方法，其特征在于基于状态关系图的工业控制系统防火墙，包括工业数据采集模块，状态关系图模块，协议分析模块和行为监控模块，在正常状态下，工业数据采集模块采集工业系统的实时运行数据，在状态关系图模块中生成数据模块的状态关系图，把这个特征作为判断系统是否正常运行的判断条件，此后，协议分析模块根据此判断条件，通过对协议的类型、源地址、源端口、目的地址、目的端口的分析，判断所经过的数据包是否通过或者丢弃，若发现异常，就判断有攻击事件发生，进一步分析攻击事件导致的数据异常。
2. 根据权利要求1所述的工业数据采集模块，可以采集多种工控协议TCP/IP、ModBus TCP、OPC、DNP3.0、Profinet、IEC60870-5-104协议、IEC61850、Step7协议数据，采集输入输出数据和工控指令。采集后的数据传入状态关系图模块做进一步处理。
3. 根据权利要求书1所述的状态关系图模块，其特征在于，根据工业控制数据采集模块采集的数据，绘制该数据变量的时序图，根据工业控制系统某个时刻所有被监控数据的时序图，绘制工业控制系统的状态图，然后根据状态结点变化情况，生成状态关系图。在工业控制系统正常运行情况下生成状态关系图，把这个特征作为判断系统是否正常运行的判断条件，然后转向协议分析模块。
4. 根据权利要求书1所述的协议分析模块，其特征在于根据数据关系图的特征作为判断系统是否正常运行的条件，通过对协议的类型、源地址、源端口、目的地址、目的端口的分析，判断所经过的数据包是否通过或者丢弃，如果相同，则放行数据，若有差异，拦阻数据，转向行为监控模块进一步操作。
5. 根据权利要求书1所述的行为监控模块，其特征在于根据状态关系图生成防火墙所需的检测规则，该规则的判断条件包含采集的数据之间的逻辑关系，由这些判断条件之间的逻辑组合形成组合条件，若满足该组合条件，就执行相应的操作。

Images