本申请公开了一种工控防火墙异常报文记录方法及装置,包括:若工控报文未命中白名单规则,则判断工控报文深度解析开关是否开启;若工控报文深度解析开关处于关闭状态,则生成和记录异常报文事件,并丢弃工控报文;若工控报文深度解析开关处于打开状态,则识别工控报文的应用协议并深度解析协议,将深度解析后的结果存入内存中;将深度解析后的结果进行匹配和工艺流程翻译;将深度解析和工艺流程翻译后的内容生成和记录异常报文事件,并丢弃工控报文。本申请可以记录更多更详细的异常报文内容,且能够直观的看到异常事件的缘由,无需再查表翻译,便于事件的审计和回溯。便于事件的审计和回溯。便于事件的审计和回溯。
【技术实现步骤摘要】
一种工控防火墙异常报文记录方法及装置
[0001]本申请涉及计算机安全
,具体涉及一种工控防火墙异常报文记录方法及装置。
技术介绍
[0002]请参阅图1,流经工控防火墙的报文会进行白名单规则的匹配,匹配成功的会放行;匹配不成功的则会记录日志或事件并丢弃。对于未命中白名单规则的报文,往往意味着是“意料之外”的报文,是不可信的、非法的。所以,工控防火墙是否记录和怎样记录这类报文更多和更详细的信息具有重要意义。
[0003]目前,对于未命中白名单规则的报文仅在日志或事件里记录报文的五元组和mac地址等信息,未能更多、更详细的记录报文里工控协议和工艺流程相关的细节,报文日志或事件内容较少,不利于日志或事件的审计、不利于追溯事件深层次原因,尤其是涉及工业协议和工艺流程的报文,不利于辨明是误操作还是外部攻击。
技术实现思路
[0004]为此,本申请提供一种工控防火墙异常报文记录方法及装置,以解决现有技术存在的对于未命中白名单规则的报文日志或事件内容较少的问题。
[0005]为了实现上述目的,本申请提供如下技术方案:
[0006]第一方面,一种工控防火墙异常报文记录方法,包括:
[0007]接收工控报文;
[0008]将工控报文进行白名单规则匹配;
[0009]若工控报文命中白名单规则,则将工控报文直接放行;
[0010]若工控报文未命中白名单规则,则判断工控报文深度解析开关是否开启;
[0011]若所述工控报文深度解析开关处于关闭状态,则生成和记录异常报文事件,并丢弃工控报文;
[0012]若所述工控报文深度解析开关处于打开状态,则识别工控报文的应用协议并深度解析协议,将深度解析后的结果存入内存中;
[0013]将深度解析后的结果进行匹配和工艺流程翻译;
[0014]将深度解析和工艺流程翻译后的内容生成和记录异常报文事件,并丢弃工控报文。
[0015]进一步的,所述工艺流程翻译具体是将深度解析后的结果翻译为贴合工控防火墙部署场景的工业生产制造语言。
[0016]进一步的,所述工艺流程是用户根据生产制造工艺特性,自定义工艺流程描述到文件里,并导入到工控防火墙中的。
[0017]进一步的,所述工控防火墙对导入的工艺流程进行解析并存储后用于匹配和工艺流程翻译。
[0018]进一步的,所述工控报文深度解析开关处于关闭状态时生成mac地址和五元组信息的异常报文事件。
[0019]进一步的,所述将深度解析和工艺流程翻译后的内容生成和记录异常报文事件时,生成包括mac地址、五元组信息、应用层协议名称、操作功能码、操作对象、操作的值域、操作时间和工艺流程描述内容。
[0020]第二方面,一种工控防火墙异常报文记录装置,包括:
[0021]接收模块,用于接收工控报文;
[0022]白名单规则匹配模块,用于将工控报文进行白名单规则匹配;
[0023]若工控报文命中白名单规则,则将工控报文直接放行;
[0024]若工控报文未命中白名单规则,则将工控报文传输至判断模块;
[0025]判断模块,用于判断工控报文深度解析开关是否开启;
[0026]第一异常报文事件生成和记录模块,用于当所述工控报文深度解析开关处于关闭状态时生成和记录异常报文事件,并丢弃工控报文;
[0027]异常报文深度解析模块,用于当所述工控报文深度解析开关处于打开状态时识别工控报文的应用协议并深度解析协议,将深度解析后的结果存入内存中;
[0028]匹配工艺流程模块,用于将深度解析后的结果进行匹配和工艺流程翻译;
[0029]第二异常报文事件生成和记录模块,用于将深度解析和工艺流程翻译后的内容生成和记录异常报文事件,并丢弃工控报文。
[0030]第三方面,一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现工控防火墙异常报文记录方法的步骤。
[0031]第四方面,一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现工控防火墙异常报文记录方法的步骤。
[0032]相比现有技术,本申请至少具有以下有益效果:
[0033]本申请提供了一种工控防火墙异常报文记录方法及装置,包括:接收工控报文;将工控报文进行白名单规则匹配;若工控报文命中白名单规则,则将工控报文直接放行;若工控报文未命中白名单规则,则判断工控报文深度解析开关是否开启;若工控报文深度解析开关处于关闭状态,则生成和记录异常报文事件,并丢弃工控报文;若工控报文深度解析开关处于打开状态,则识别工控报文的应用协议并深度解析协议,将深度解析后的结果存入内存中;将深度解析后的结果进行匹配和工艺流程翻译;将深度解析和工艺流程翻译后的内容生成和记录异常报文事件,并丢弃工控报文。本申请提供的工控防火墙异常报文记录方法可以记录更多更详细的异常报文内容,且能够直观的看到异常事件的缘由,无需再查表翻译,便于事件的审计和回溯。
附图说明
[0034]为了更直观地说明现有技术以及本申请,下面给出几个示例性的附图。应当理解,附图中所示的具体形状、构造,通常不应视为实现本申请时的限定条件;例如,本领域技术人员基于本申请揭示的技术构思和示例性的附图,有能力对某些单元(部件)的增/减/归属划分、具体形状、位置关系、连接方式、尺寸比例关系等容易作出常规的调整或进一步的优化。
[0035]图1为现有技术示意图;
[0036]图2为本申请实施例一提供的一种工控防火墙异常报文记录方法的流程图;
[0037]图3为本申请实施例一提供的一种工控防火墙异常报文记录方法的原理流程图。
具体实施方式
[0038]以下结合附图,通过具体实施例对本申请作进一步详述。
[0039]在本申请的描述中:除非另有说明,“多个”的含义是两个或两个以上。本申请中的术语“第一”、“第二”、“第三”等旨在区别指代的对象,而不具有技术内涵方面的特别意义(例如,不应理解为对重要程度或次序等的强调)。“包括”、“包含”、“具有”等表述方式,同时还意味着“不限于”(某些单元、部件、材料、步骤等)。
[0040]本申请中所引用的如“上”、“下”、“左”、“右”、“中间”等的用语,通常是为了便于对照附图直观理解,而并非对实际产品中位置关系的绝对限定。在未脱离本申请揭示的技术构思的情况下,这些相对位置关系的改变,当亦视为本申请表述的范畴。
[0041]本申请提供一种工控防火墙异常报文记录方法及装置,使得工控防火墙能够记录未命中白名单规则的工控报文更多信息到日志或事件(以下简称事件)里。
[0042]本申请中的工控防火墙主要应用在含有工控报文的网络环境中,通过对工控报文的深度解析可以获取到更多的工控协议细节;通过导入工艺流程文件可以将工控报文里的工控协议细节翻译成用户熟知的工艺操作流程。
[0043]实施例一
[004本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控防火墙异常报文记录方法,其特征在于,包括:接收工控报文;将工控报文进行白名单规则匹配;若工控报文命中白名单规则,则将工控报文直接放行;若工控报文未命中白名单规则,则判断工控报文深度解析开关是否开启;若所述工控报文深度解析开关处于关闭状态,则生成和记录异常报文事件,并丢弃工控报文;若所述工控报文深度解析开关处于打开状态,则识别工控报文的应用协议并深度解析协议,将深度解析后的结果存入内存中;将深度解析后的结果进行匹配和工艺流程翻译;将深度解析和工艺流程翻译后的内容生成和记录异常报文事件,并丢弃工控报文。2.根据权利要求1所述的工控防火墙异常报文记录方法,其特征在于,所述工艺流程翻译具体是将深度解析后的结果翻译为贴合工控防火墙部署场景的工业生产制造语言。3.根据权利要求1所述的工控防火墙异常报文记录方法,其特征在于,所述工艺流程是用户根据生产制造工艺特性,自定义工艺流程描述到文件里,并导入到工控防火墙中的。4.根据权利要求3所述的工控防火墙异常报文记录方法,其特征在于,所述工控防火墙对导入的工艺流程进行解析并存储后用于匹配和工艺流程翻译。5.根据权利要求1所述的工控防火墙异常报文记录方法,其特征在于,所述工控报文深度解析开关处于关闭状态时生成mac地址和五元组信息的异常报文事件。6.根据权利要求5所述的工控防火墙异常报文记录方法,其特征在于,所述将深...
【专利技术属性】
技术研发人员:侯守东,谭曙光,
申请(专利权)人:北京惠而特科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。