本发明专利技术公开了一种基于工业防火墙的工业协议拓扑生成方法、设备及系统,属于工控网络领域,包括步骤:把工业防火墙接入工控网络环境中;对流量报文进行深度解析,获取数据并分表存储于数据库;工业防火墙系统依据数据库中存储的数据中的源IP、MAC和目的IP、MAC绘制基础的工业设备拓扑节点;对工控设备节点进行通讯连线,连线遵循会话方向;根据工控设备之间的通信协议绘制通讯功能码列表数据;根据工控设备之间的通信协议和源目的IP或MAC查询数据库中存储的关联的具体的通信功能码指令数据,并排序,然后显示该工控设备之间传输的具体功能码数据。本发明专利技术相比于传统的纯文字列表数据,更具视觉感。更具视觉感。更具视觉感。
【技术实现步骤摘要】
基于工业防火墙的工业协议拓扑生成方法、设备及系统
[0001]本专利技术涉及工控网络领域,更为具体的,涉及一种基于工业防火墙的工业协议拓扑生成方法、设备及系统。
技术介绍
[0002]在工业网络环境中,会有很多用于工业生产的工控设备,为了便于对设备的管理,传统的方式往往是记录每个设备的信息,或以列表形式描述工控设备客户端和服务端之间的通信关系,但这种方式无法直观表达出工控设备之间的通讯协议关系,更不具备描述工控设备之间实时的通讯的工业协议发送了哪些详细的功能码,甚至有的工控网络环境的工控设备之间通讯关系还需要手动绘制,效率极低。
技术实现思路
[0003]本专利技术的目的在于克服现有技术的不足,提供一种基于工业防火墙的工业协议拓扑生成方法、设备及系统,可以实现以图形可视化方式看到整体的工控设备、设备之间的通信方向、通信的工业协议和通信的详细功能码,相比于传统的纯文字列表数据,更具视觉感等。
[0004]本专利技术的目的是通过以下方案实现的:
[0005]一种基于工业防火墙的工业协议拓扑生成方法,包括以下步骤:
[0006]S1,把工业防火墙接入工控网络环境中;
[0007]S2,对经过工业防火墙的流量报文进行深度解析,获取数据并分表存储于数据库中,以作为协议拓扑绘制的基础数据;
[0008]S3,工业防火墙系统依据数据库中存储的数据中的源IP、MAC和目的IP、MAC绘制基础的工业设备拓扑节点;
[0009]S4,对工控设备节点进行通讯连线,连线遵循会话方向;
[0010]S5,根据工控设备之间的通信协议绘制通讯功能码列表数据;
[0011]S6,根据工控设备之间的通信协议和源目的IP或MAC查询数据库中存储的关联的具体的通信功能码指令数据,并排序,然后显示该工控设备之间传输的具体功能码数据。
[0012]进一步地,在步骤S1中,还包括子步骤:在工业防火墙接入工控网络环境中后,配置相应的白名单访问控制策略。
[0013]进一步地,在步骤S2中,所述获取数据,包括子步骤:获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码数据。
[0014]进一步地,在步骤S3中,所述节点的唯一标识即为该工控设备的IP或者MAC地址。
[0015]进一步地,在步骤S4中,所述对工控设备节点进行通讯连线,连线遵循会话方向,包括子步骤:源IP到目的IP的方向,连线带有箭头,以表示会话方向,并在连线上标注通信的工业协议名称。
[0016]进一步地,在步骤S5中,绘制通讯功能码列表数据用于拓扑中工控协议之间的通
讯详情查看。
[0017]进一步地,在步骤S6中,所述排序具体为以时间维度进行排序。
[0018]进一步地,在步骤S6中,所述显示具体为以弹出列表形式分页显示。
[0019]一种基于工业防火墙的工业协议拓扑生成设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器执行所述程序时实现如上任一项所述的方法。
[0020]一种基于工业防火墙的工业协议拓扑生成系统,包括如上所述的基于工业防火墙的工业协议拓扑生成设备。
[0021]本专利技术的有益效果包括:
[0022]本专利技术实施例技术方案利用工业防火墙的报文深度检测优势,自动分析报文形成工控设备之间的白名单通讯关系,不仅可以绘制传统的会话拓扑,还可以形成详细的工控协议功能码数据绘制出工业协议拓扑。
[0023]本专利技术实施例技术方案可以实现以图形可视化方式看到整体的工控设备、设备之间的通信方向、通信的工业协议和通信的详细功能码,相比于传统的纯文字列表数据,更具视觉感。
附图说明
[0024]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0025]图1为本专利技术实施例的基于工业防火墙系统的工业协议拓扑生成方法的步骤流程图;
[0026]图2为本专利技术实施例的基于工业防火墙系统的工业协议拓扑生成方法绘制的拓扑模拟图。
具体实施方式
[0027]本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
[0028]为解决背景中的技术问题,本专利技术实施例技术方案提供一种基于工业防火墙系统的工业协议拓扑生成技术方案,本专利技术的具体方案描述如下:
[0029]步骤1,工业防火墙接入工控网络环境中,并配置相应的白名单访问控制策略;
[0030]步骤2,对经过工业防火墙的流量报文进行深度解析,获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码等数据并分表存储于数据库中,以作为协议拓扑绘制的基础数据;
[0031]步骤3,工业防火墙系统依据数据库中存储的五元组数据中的源IP、MAC和目的IP、MAC绘制基础的工业设备拓扑节点,节点的唯一标识即为该工控设备的IP或者MAC地址;
[0032]步骤4,对工控设备节点进行通讯连线,连线遵循会话方向,即源IP到目的IP的方向,连线带有箭头,以表示会话方向,并在连线上标注通信的工业协议名称。
[0033]步骤5,根据工控设备之间的通信协议绘制详细的通讯功能码列表数据,用于拓扑中工控协议之间的通讯详情查看;
[0034]步骤6,根据工控设备之间的通信协议和源目的IP或MAC查询数据库中存储的关联的具体的通信功能码指令数据,并以时间维度进行排序,以弹出列表形式分页显示该工控设备之间传输的具体功能码数据。
[0035]本专利技术实施例的以上技术方案可以实现以图形可视化方式看到整体的工控设备、设备之间的通信方向、通信的工业协议和通信的详细功能码,相比于传统的纯文字列表数据,更具视觉感。
[0036]在进一步的实施方式中,结合图1和图2对本专利技术实施例技术方案提供的基于工业防火墙系统的工业协议拓扑生成方法进行详细描述。如图1所示,具体包括以下步骤:
[0037]1)工业防火墙接入工控网络环境中,并配置相应的白名单访问控制策略;
[0038]2)对经过工业防火墙的流量报文进行深度解析,获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码等数据并分表存储于数据库中,以次作为协议拓扑绘制的基础数据;
[0039]3)工业防火墙系统依据数据库中存储的五元组数据中的源IP、MAC和目的IP、MAC绘制基础的工业设备拓扑节点,节点的唯一标识即为该工控设备的IP或者MAC地址;
[0040]4)对工控设备节点进行通讯连线,连线遵循会话方向,即源IP到目的IP的方向,连线带有箭头,以表示会话方向,并在连线上标注通信的工业协议名称;
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于工业防火墙的工业协议拓扑生成方法,其特征在于,包括以下步骤:S1,把工业防火墙接入工控网络环境中;S2,对经过工业防火墙的流量报文进行深度解析,获取数据并分表存储于数据库中,以作为协议拓扑绘制的基础数据;S3,工业防火墙系统依据数据库中存储的数据中的源IP、MAC和目的IP、MAC绘制基础的工业设备拓扑节点;S4,对工控设备节点进行通讯连线,连线遵循会话方向;S5,根据工控设备之间的通信协议绘制通讯功能码列表数据;S6,根据工控设备之间的通信协议和源目的IP或MAC查询数据库中存储的关联的具体的通信功能码指令数据,并排序,然后显示该工控设备之间传输的具体功能码数据。2.根据权利要求1所述的基于工业防火墙的工业协议拓扑生成方法,其特征在于,在步骤S1中,还包括子步骤:在工业防火墙接入工控网络环境中后,配置相应的白名单访问控制策略。3.根据权利要求1所述的基于工业防火墙的工业协议拓扑生成方法,其特征在于,在步骤S2中,所述获取数据,包括子步骤:获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码数据。4.根据权利要求1所述的基于工业防火墙的工业协议拓扑生成方法,其特征在于,在步骤S...
【专利技术属性】
技术研发人员:李欣,李元正,蒙兴,
申请(专利权)人:成都国泰网信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。