一种工业网络数据隔离方法、装置及存储介质制造方法及图纸

本申请提出一种工业网络数据隔离方法、装置及存储介质。方法包括：接收外部管理网络侧主机发送的报文，在所述报文的源IP地址属于所述可信任源IP地址范围的情况下，确定所述报文的类型；在所述报文的类型为指令报文的情况下，确定所述指令报文的危险等级；在所述指令报文的危险等级低于预设危险等级的情况下，将所述指令报文发送到工业系统网络侧主机；接收所述工业系统网络侧主机发送的工业数据，对所述工业数据进行数据加密，并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密；所述外部管理网络的安全等级低于所述工业系统网络。本申请提高了工业系统的数据隔离的隔离效果。

【技术实现步骤摘要】
一种工业网络数据隔离方法、装置及存储介质
本申请涉及工业网络安全
，尤其涉及一种工业网络数据隔离方法、装置及存储介质。
技术介绍
在工业生产过程中，随着自动化控制和物联网的发展，将生产设备或智能设备互联在一起形成工业系统网络成为工业生产的趋势。由于企业工业系统网络的安全等级要求极高，而外部的管理网络往往需要连接互联网，安全级别很低，时刻遭受来自互联网侧的病毒和恶意攻击性软件的威胁，将工业系统网络与外部管理网络互联并通信，极有可能造成工业系统网络内的重要数据被窃取，对企业造成重大的损失。因此，需要在工业系统网络与外部管理网络之间实行有效的隔离措施。通过物理隔离方法可以有效隔离工业系统网络与外部管理网络的数据交换，但是该方式需要切断两个网络之间的网络连接，以静态的方式进行数据交换，不存在两个网络之间的通信过程，数据传输效率低。现有的支持网络之间通信的数据隔离方法，虽能在实现通信的同时对低安全等级网络发往高安全等级网络的指令进行过滤，但其过滤效率较低，且并不能保证过滤之后的数据是否安全。而由高安全等级发往低安全等级网络的重要数据，也缺乏必要的保护机制，工业数据的安全得不到保证。
技术实现思路
针对上述现有技术中存在的问题，本申请实施例提出一种工业网络数据隔离方法、装置及存储介质，解决了现有的数据隔离方法对指令过滤效率低、不能保证过滤后的报文安全性，以及对工业数据缺乏保护机制的问题。一方面，本申请实施例提供了一种工业网络数据隔离方法，方法包括：接收外部管理网络侧主机发送的报文，并将所述报文的源IP地址与所述可信任源IP地址进行匹配，拦截源IP地址不属于所述可信任源IP地址的报文；在所述报文的源IP地址属于所述可信任源IP地址范围的情况下，确定所述报文的类型；在所述报文的类型为数据报文的情况下，拦截所述数据报文；在所述报文的类型为指令报文的情况下，确定所述指令报文的危险等级；在所述指令报文的危险等级低于预设危险等级的情况下，将所述指令报文发送到工业系统网络侧主机；接收所述工业系统网络侧主机发送的工业数据，对所述工业数据进行数据加密，并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密；其中，所述外部管理网络的安全等级低于所述工业系统网络。本申请实施例通过对低安全等级网络向高安全等级网络发送的报文的严格过滤，保证低安全等级网络发送的报文中可能携带的攻击性报文尽可能高效地被过滤掉，从而保证高安全等级网络的数据安全。同时通过对高安全等级网络发送给低安全等级网络的工业数据进行加密，保护工业数据不被窃取，进一步保护了高安全等级网络的安全。使用此方法可以在保持两个网络互相通信的情况下更高效地保护高安全等级网络数据的安全。在一个实施例中，所述确定所述指令报文的危险等级，具体包括：对所述指令报文进行解析，得到以下任意一项或多项影响报文危险等级的报文信息：所述指令报文的报文标识、报文序列号、报文计数帧、报文协议、报文偏移、报文生存时间，并分析所述报文信息的特征，用以确定影响所述指令报文的危险等级的报文特征数据；将所述指令报文划分为L个危险等级，通过确定所述指令报文属于等级h(h≤L)的概率P(h)；其中，h代表任意一个危险等级；Gh为根据所述报文特征数据构建的回归模型；且Gh＝Bh0+Bh1Y1+…+BhkYk；其中，k为影响指令报文危险等级的报文信息的个数，Yj(j＝1，2，…，k)为所述报文特征数据中第j个报文特征数据的值；Bh1，…，Bhk为所述回归模型的偏回归系数，用于表示Yj(j＝1，2，…，k)对指令报文危险等级的影响大小，Bh0为常数项。在一个实施例中，在所述确定所述指令报文属于等级h(h≤L)的概率P(h)之后，所述方法还包括：预设所述指令报文的危险等级包括等级1、等级2、等级3、等级4；所述等级1为无危险性，所述等级2为低危险性，所述等级3为中危险性，所述等级4为高危险性；根据所述报文特征数据以及所述指令报文属于等级h(h≤L)的概率P(h)，计算所述指令报文分别属于等级1、等级2、等级3、等级4的P(1)、P(2)、P(3)以及P(4)，将概率最大的等级作为所述指令报文的危险等级。本申请实施例大量的正常报文的聚类特征与接收到的指令报文的聚类特征特征进行匹配，根据匹配结果构建回归模型来判断指令报文所属的危险等级，能够比较准确地判断指令报文的危险性，从而过滤掉存在安全隐患的指令报文，提高报文过滤的效率。在一个实施例中，所述接收所述工业系统网络侧主机发送的工业数据，对所述工业数据进行数据加密，并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密，具体包括：将所述工业数据划分为长度为N-1的若干明文块，并在每个明文块上增加一个序号字节，从而得到一个N维明文向量MN；通过混沌随机函数随机生成一个N*N的矩阵ANN和一个N维矩阵BN，预设密钥K＝{N,ANN,BN}；根据所述密钥K以及公式CN＝ANNMN+ANNBN，对所述明文向量MN进行初始加密，得到N维密文向量CN；将所述密文向量CN划分为一个p维向量CP和一个q维向量Cq，其中，p+q＝N；根据所述密钥K，分别对所述p维向量CP进行线性加密变换，得到p维密文向量DP；以及对所述q维向量Cq进行非线性加密变换，得到q维密文向量Dq。在一个实施例中，在所述得到q维密文向量Dq之后，所述方法还包括：将所述矩阵ANN替换为其转置矩阵A’NN，得到密钥K1＝{N,A'NN,BN}；根据所述密钥K1，分别对所述q维密文向量Dq进行线性加密变换，得到q维密文向量Eq；以及对所述p维密文向量DP进行非线性加密变换，得到p维密文向量Ep。在一个实施例中，在所述得到p维密文向量Ep之后，所述方法还包括：将所述密文向量Ep、Eq以及密钥K、密钥K1，发送到所述外部管理网络侧主机；所述外部管理网络侧主机根据所述密钥K1对所述密文向量Ep进行非线性解密变换，得到密文向量DP，以及对所述密文向量Eq进行线性解密变换，得到密文向量Dq；所述外部管理网络侧主机根据所述密钥K对所述DP进行线性解密变换得到Cp，对所述Dq进行非线性解密变换得到Cq；所述外部管理网络侧主机根据CN＝Cp+Cq，得到完整密文向量CN，再根据公式得到明文向量MN，从而得到原始明文块；所述接收主机将解密后得到的若干明文块，根据所述序号字节顺序组合为原始数据并去除所述序号字节，得到原始工业数据。本申请实施例通过自行设计的加密解密算法，对工业数据进行拆分加密，经过三次加密后再将密文发出，提高了解密难度，收到密文的主机通过预设解密程序以及收到的密钥对密文进行解密，即使密文被恶意窃取，窃取者也无法读取数据内容，从而保护工业数据，特别是机密数据。在一个实施例中，所述分析所述报文信息的特征，用以确定影响所述指令报文的危险等级的报文特征数据，具体包括：收集网络中的正常报文，形成正常报文库，对所述正常报文库中的报文分别进行解析，得到所述正常报文的报文标识、报文序列号、报文计数帧、本文档来自技高网...

【技术保护点】
1.一种工业网络数据隔离方法，其特征在于，包括：/n接收外部管理网络侧主机发送的报文，并将所述报文的源IP地址与所述可信任源IP地址进行匹配，拦截源IP地址不属于所述可信任源IP地址的报文；在所述报文的源IP地址属于所述可信任源IP地址范围的情况下，确定所述报文的类型；/n在所述报文的类型为数据报文的情况下，拦截所述数据报文；在所述报文的类型为指令报文的情况下，确定所述指令报文的危险等级；/n在所述指令报文的危险等级低于预设危险等级的情况下，将所述指令报文发送到工业系统网络侧主机；/n接收所述工业系统网络侧主机发送的工业数据，对所述工业数据进行数据加密，并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密；其中，所述外部管理网络的安全等级低于所述工业系统网络。/n

【技术特征摘要】
1.一种工业网络数据隔离方法，其特征在于，包括：
接收外部管理网络侧主机发送的报文，并将所述报文的源IP地址与所述可信任源IP地址进行匹配，拦截源IP地址不属于所述可信任源IP地址的报文；在所述报文的源IP地址属于所述可信任源IP地址范围的情况下，确定所述报文的类型；
在所述报文的类型为数据报文的情况下，拦截所述数据报文；在所述报文的类型为指令报文的情况下，确定所述指令报文的危险等级；
在所述指令报文的危险等级低于预设危险等级的情况下，将所述指令报文发送到工业系统网络侧主机；
接收所述工业系统网络侧主机发送的工业数据，对所述工业数据进行数据加密，并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密；其中，所述外部管理网络的安全等级低于所述工业系统网络。


2.根据权利要求1所述的一种工业网络数据隔离方法，其特征在于，所述确定所述指令报文的危险等级，具体包括：
对所述指令报文进行解析，得到以下任意一项或多项影响报文危险等级的报文信息：所述指令报文的报文标识、报文序列号、报文计数帧、报文协议、报文偏移、报文生存时间，并分析所述报文信息的特征，用以确定影响所述指令报文的危险等级的报文特征数据；
将所述指令报文划分为L个危险等级，通过确定所述指令报文属于等级h(h≤L)的概率P(h)；其中，h代表任意一个危险等级；Gh为根据所述报文特征数据构建的回归模型；
且Gh＝Bh0+Bh1Y1+…+BhkYk；其中，k为影响指令报文危险等级的报文信息的个数，Yj(j＝1，2，…，k)为所述报文特征数据中第j个报文特征数据的值；Bh1，…，Bhk为所述回归模型的偏回归系数，用于表示Yj(j＝1，2，…，k)对指令报文危险等级的影响大小，Bh0为常数项。


3.根据权利要求2所述的一种工业网络数据隔离方法，其特征在于，在所述确定所述指令报文属于等级h(h≤L)的概率P(h)之后，所述方法还包括：
预设所述指令报文的危险等级包括等级1、等级2、等级3、等级4；所述等级1为无危险性，所述等级2为低危险性，所述等级3为中危险性，所述等级4为高危险性；
根据所述报文特征数据以及所述指令报文属于等级h(h≤L)的概率P(h)，计算所述指令报文分别属于等级1、等级2、等级3、等级4的P(1)、P(2)、P(3)以及P(4)，将概率最大的等级作为所述指令报文的危险等级。


4.根据权利要求1所述的一种工业网络数据隔离方法，其特征在于，所述接收所述工业系统网络侧主机发送的工业数据，对所述工业数据进行数据加密，并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密，具体包括：
将所述工业数据划分为长度为N-1的若干明文块，并在每个明文块上增加一个序号字节，从而得到一个N维明文向量MN；
通过混沌随机函数随机生成一个N*N的矩阵ANN和一个N维矩阵BN，预设密钥K＝{N,ANN,BN}；
根据所述密钥K以及公式CN＝ANNMN+ANNBN，对所述明文向量MN进行初始加密，得到N维密文向量CN；
将所述密文向量CN划分为一个p维向量CP和一个q维向量Cq，其中，p+q＝N；
根据所述密钥K，分别对所述p维向量CP进行线性加密变换，得到p维密文向量DP；以及对所述q维向量Cq进行非线性加密变换，得到q维密文向量Dq。


5.根据权利要求4所述的一种工业网络数据隔离方法，其特征在于，在所述得到q维密文向量Dq之后，所述方法还包括：
将所述矩阵ANN替换为其转置矩阵A’NN，得到密钥K1＝{N...

【专利技术属性】
技术研发人员：张俭锋，李峰，赵慧奇，王绍密，和希文，
申请(专利权)人：山东云天安全技术有限公司，
类型：发明
国别省市：山东;37