一种工艺自适应的工业终端安全防护系统及方法技术方案

本发明专利技术属于网络安全防护技术领域，具体地说，涉及一种工艺自适应的工业终端安全防护系统及其方法，该系统包括：协议解析模块、工艺匹配模块、工艺检查模块、安全防护模块和配置管理模块；协议解析模块，用于将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，将每个通信指令传输至工艺匹配模块；工艺匹配模块，用于根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，将其传输至工艺检查模块；工艺检查模块，用于对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；安全防护模块，用于根据检查结果，确定所需要采取的安全防护措施。的安全防护措施。的安全防护措施。

【技术实现步骤摘要】
一种工艺自适应的工业终端安全防护系统及方法


[0001]本专利技术属于网络安全防护
，具体地说，涉及一种工艺自适应的工业终端安全防护系统及方法。

技术介绍

[0002]工业控制系统的智能化、网络化的发展在推进工业生产发展的同时，也带来了诸多的安全隐患。传统的工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。管理网与工业控制网的防护功能都很弱，甚至几乎没有隔离功能。例如，远端用户通过互联网连接至系统数据采集与监视控制系统，因此，该工业控制系统面临着远程控制和网络入侵等多种安全威胁，该工业控制系统中任何一个组件遭到攻击，都有可能导致整个系统的瘫痪。通用通信协议、软件、硬件及大量的技术在工业控制系统中的应用，使得工业控制系统在与传统企业网络高度一体化的同时，也引入了传统领域的信息安全问题。
[0003]随着计算机技术、通信技术和控制技术的发展，传统的控制领域正经历着一场前所未有的变革，开始向网络化方向发展。控制系统的结构从最初的CCS(计算机集中控制系统)，到第二代的DCS(分散控制系统)，发展到现在流行的FCS(现场总线控制系统)。随着信息化和工业化的融合，工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞，则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大，进而使得工业生成控制过程面临安全性威胁。
[0004]目前，工业控制系统中所采取的安全防护措施一般是在工业控制系统的局域网络和外部网络之间部署防火墙。由于防护措施较少且比较单一，一旦该工业控制系统的局域网络与外部网络之间的防火墙被攻击者攻破，则工业控制系统的内部网络便很容易被控制，从而使得工业控制系统中的生产资料等数据被窃取，或者现场设备被恶意操控，影响到正常的工业控制。另外，目前的工业防火墙主要是对通信协议和数据的合法性进行检查，无法识别和阻断不符合生产工艺的数据。

技术实现思路

[0005]为解决现有技术存在的上述缺陷，本专利技术提出了一种工艺自适应的工业终端安全防护系统，该系统能够将通信协议和数据与工艺过程进行匹配，自动判别控制指令和传输数据的合法性，有效阻断利用工业控制系统自身的通信通道对工业终端的网络攻击。
[0006]为了实现上述目的，本专利技术提供了一种工艺自适应的工业终端安全防护系统，该系统包括：协议解析模块、工艺匹配模块、工艺检查模块、安全防护模块和配置管理模块；
[0007]所述配置管理模块，用于为每个工艺特征配置对应的安全阈值，以及为每个工艺特征配置对应的工艺匹配准则；
[0008]所述协议解析模块，用于将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，并将每个通信指令传输至工艺匹配模块；
[0009]所述工艺匹配模块，用于根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，并将其传输至工艺检查模块；
[0010]所述工艺检查模块，用于对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；
[0011]所述安全防护模块，用于根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护。
[0012]作为上述技术方案的改进之一，所述工艺检查模块包括：
[0013]接收单元，用于接收每个工艺匹配结果中的通信指令，及其对应的指令值；和
[0014]检查单元，用于对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块。
[0015]作为上述技术方案的改进之一，所述对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块；具体为：
[0016]对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值：
[0017]如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据是安全、合法的，并将该判定结果作为安全检查结果发送至安全防护模块；
[0018]如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据异常，并将该判定结果作为异常检查结果发送至安全防护模块。
[0019]作为上述技术方案的改进之一，所述安全防护模块包括：
[0020]制定安全措施单元，用于根据接收的异常检查结果，过滤该工艺特征和与其匹配的通信指令，及其对应的指令值，并确定所需要采取的安全防护措施；和
[0021]安全维护单元，用于根据接收的安全检查结果，确定不采取安全防护措施。
[0022]本专利技术还提供了一种工艺自适应的工业终端安全防护方法，该方法包括：
[0023]配置管理模块为每个工艺特征配置对应的安全阈值，以及为每个工艺特征配置对应的工艺匹配准则；
[0024]协议解析模块将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，并将每个通信指令传输至工艺匹配模块；
[0025]工艺匹配模块根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，并将其传输至工艺检查模块；
[0026]工艺检查模块对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；
[0027]安全防护模块根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护。
[0028]作为上述技术方案的改进之一，所述工艺检查模块对每个工艺匹配结果中的通信
指令进行安全检查，并将检查结果发送至安全防护模块；具体为：
[0029]接收单元接收每个工艺匹配结果中的通信指令，及其对应的指令值；
[0030]检查单元对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块。
[0031]作为上述技术方案的改进之一，所述对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块；具体为：
[0032]对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值：
[0033]如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据是安全、合法的，并将该判定结果作为安全检查结果发送至安全防护模本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工艺自适应的工业终端安全防护系统，其特征在于，该系统包括：协议解析模块、工艺匹配模块、工艺检查模块、安全防护模块和配置管理模块；所述配置管理模块，用于为每个工艺特征配置对应的安全阈值，以及为每个工艺特征配置对应的工艺匹配准则；所述协议解析模块，用于将实时采集的工业控制系统的通信数据分解为多个通信指令和对应的通信指令值，并将每个通信指令传输至工艺匹配模块；所述工艺匹配模块，用于根据预先配置的工艺匹配准则，将每个通信指令与相应的工艺特征进行匹配，获得针对每个工艺特征的工艺匹配结果，并将其传输至工艺检查模块；所述工艺检查模块，用于对每个工艺匹配结果中的通信指令进行安全检查，并将检查结果发送至安全防护模块；所述安全防护模块，用于根据检查结果，确定所需要采取的安全防护措施，实现对网络通信的安全防护。2.根据权利要求1所述的工艺自适应的工业终端安全防护系统，其特征在于，所述工艺检查模块包括：接收单元，用于接收每个工艺匹配结果中的通信指令，及其对应的指令值；和检查单元，用于对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块。3.根据权利要求2所述的工艺自适应的工业终端安全防护系统，其特征在于，所述对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值，并将比较结果作为检查结果，发送至安全防护模块；具体为：对每个工艺匹配结果中的通信指令对应的指令值进行安全检查，比较接收的每个工艺匹配结果中的通信指令对应的指令值和预先设定的安全阈值：如果接收的每个工艺匹配结果中的通信指令对应的指令值小于或等于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据是安全、合法的，并将该判定结果作为安全检查结果发送至安全防护模块；如果接收的每个工艺匹配结果中的通信指令对应的指令值大于预先设定的安全阈值，则判定所采集的工业控制系统的通信数据异常，并将该判定结果作为异常检查结果发送至安全防护模块。4.根据权利要求3所述的工艺自适应的工业终端安全防护系统，其特征在于，所述安全防护模块包括：制定安全措施单元，用于根据接收的异常检查结果，过滤该工艺特征和与其匹配的通信指令，及其对应的指令值，并确定所需要采取的安全防护措施；和安全维护单元，用于根据接收的安全检查结果，确定不采取安全防护措施。5.一种工艺自适应的工业终端...

【专利技术属性】
技术研发人员：王琦魁，张军，胡丹，崔亮，
申请(专利权)人：中国航天系统工程有限公司，
类型：发明
国别省市：