【技术实现步骤摘要】
一种工控防火墙异常报文记录方法及装置
[0001]本申请涉及计算机安全
,具体涉及一种工控防火墙异常报文记录方法及装置。
技术介绍
[0002]请参阅图1,流经工控防火墙的报文会进行白名单规则的匹配,匹配成功的会放行;匹配不成功的则会记录日志或事件并丢弃。对于未命中白名单规则的报文,往往意味着是“意料之外”的报文,是不可信的、非法的。所以,工控防火墙是否记录和怎样记录这类报文更多和更详细的信息具有重要意义。
[0003]目前,对于未命中白名单规则的报文仅在日志或事件里记录报文的五元组和mac地址等信息,未能更多、更详细的记录报文里工控协议和工艺流程相关的细节,报文日志或事件内容较少,不利于日志或事件的审计、不利于追溯事件深层次原因,尤其是涉及工业协议和工艺流程的报文,不利于辨明是误操作还是外部攻击。
技术实现思路
[0004]为此,本申请提供一种工控防火墙异常报文记录方法及装置,以解决现有技术存在的对于未命中白名单规则的报文日志或事件内容较少的问题。
[0005]为了实现上述目的,本申请...
【技术保护点】
【技术特征摘要】
1.一种工控防火墙异常报文记录方法,其特征在于,包括:接收工控报文;将工控报文进行白名单规则匹配;若工控报文命中白名单规则,则将工控报文直接放行;若工控报文未命中白名单规则,则判断工控报文深度解析开关是否开启;若所述工控报文深度解析开关处于关闭状态,则生成和记录异常报文事件,并丢弃工控报文;若所述工控报文深度解析开关处于打开状态,则识别工控报文的应用协议并深度解析协议,将深度解析后的结果存入内存中;将深度解析后的结果进行匹配和工艺流程翻译;将深度解析和工艺流程翻译后的内容生成和记录异常报文事件,并丢弃工控报文。2.根据权利要求1所述的工控防火墙异常报文记录方法,其特征在于,所述工艺流程翻译具体是将深度解析后的结果翻译为贴合工控防火墙部署场景的工业生产制造语言。3.根据权利要求1所述的工控防火墙异常报文记录方法,其特征在于,所述工艺流程是用户根据生产制造工艺特性,自定义工艺流程描述到文件里,并导入到工控防火墙中的。4.根据权利要求3所述的工控防火墙异常报文记录方法,其特征在于,所述工控防火墙对导入的工艺流程进行解析并存储后用于匹配和工艺流程翻译。5.根据权利要求1所述的工控防火墙异常报文记录方法,其特征在于,所述工控报文深度解析开关处于关闭状态时生成mac地址和五元组信息的异常报文事件。6.根据权利要求5所述的工控防火墙异常报文记录方法,其特征在于,所述将深...
【专利技术属性】
技术研发人员:侯守东,谭曙光,
申请(专利权)人:北京惠而特科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。