[发明专利]三模异构冗余的工控安全网关系统及其入侵感知方法

权利要求书

1.三模异构冗余的工控安全网关系统，其特征在于包括数据包外部IO分发模块、三个异构冗余的工控安全网关执行模块、比较模块、数据包内部IO模块、入侵响应模块和系统配置模块；其中：

数据包外部IO分发模块，将收到的工业控制业务数据包分发到三个异构冗余的工控安全网关执行模块；同时接收和缓存三个异构冗余的工控安全网关执行模块的输出，再将三个异构冗余的工控安全网关执行模块输出的数据包按同一序号最先完成的数据包输出至外部网络，丢弃其余两个数据包，且将三个数据包均保存在日志文件，用于比较模块进行数据事后比较；

三个异构冗余的工控安全网关执行模块，对数据包外部IO分发模块输入的数据包进行深度解析和入侵检测，若工控安全网关执行模块感知到异常后即触发入侵响应模块，将检测结果记录到检测日志文件，否则在数据包检测安全后将其送到比较模块，同时接收数据包内部IO模块的输出数据包并发送到数据包外部IO分发模块；

比较模块，完成输入实时比较和输出事后比较；其中输入实时比较：三个异构冗余的工控安全网关执行模块的同一序号输入数据包按预先配置的比较策略进行比较，若是不一致，则触发入侵响应模块，若一致则将比较后选择的结果数据包发送到数据包内部IO模块，数据包内部IO模块再将其转发至内部工控网络；输出事后比较：将日志文件中三个异构冗余的工控安全网关执行模块的同一序号输出数据包按预先配置的比较策略进行比较，若是不一致，则触发入侵响应模块；

数据包内部IO模块，将比较模块选择的结果数据包发送至内部工控网络；同时接收内部工控网络的输出数据包，分发到三个异构冗余的工控安全网关执行模块；

系统配置模块，动态设置比较模块中的比较策略；

入侵响应模块，采取入侵响应措施：人工专家分析，同时进行异常工控安全网关执行模块清洗。

2.如权利要求1所述的三模异构冗余的工控安全网关系统，其特征在于工控安全网关的异构冗余可在多层实现，包括系统硬件不同、操作系统不同、软件实现不同、配置文件格式不同和软件安装位置不同。

3.如权利要求1所述的三模异构冗余的工控安全网关系统，其特征在于三个异构冗余的工控安全网关执行模块为功能一致的执行体。

4.一种三模异构冗余的工控安全网关入侵感知方法，包括数据包过滤处理流程、入侵感知及响应流程，其特征在于：

数据包过滤处理流程包含如下步骤：

步骤1、数据包外部IO分发模块接收外部网络的输入请求将数据包分别发送到三个异构冗余的工控安全网关执行模块；

步骤2、三个异构冗余的工控安全网关执行模块接收到数据包外部IO分发模块输入的数据包，分别按照设定的检测规则对数据包进行解析、分析和检测，将检测结果记录到检测日志文件，并将处理后的数据包发送到比较模块；

步骤3、比较模块接收和缓存三个异构冗余的工控安全网关执行模块的输入，按预先配置的比较策略对输入进行比较，将比较后选择的数据包发送到内部工控网络，若比较时发现三个输入数据包不一致，则触发入侵感知及响应流程；

步骤4：数据包内部IO模块接收内部工控网络的数据包，分发到三个异构冗余的工控安全网关执行模块；

步骤5：三个异构冗余的工控安全网关执行模块接收数据包内部IO模块返回的数据包，转发到数据包外部IO分发模块；

步骤6：数据包外部IO分发模块接收和缓存三个异构冗余的工控安全网关执行模块输出，将三个异构冗余的工控安全网关执行模块输出的数据包按同一序号输出最先接收并丢弃其余两个的方法进行处理，将数据包发送到外部网络；

入侵感知及响应流程包含如下步骤：

步骤1：入侵响应模块接收到入侵告警后，判断三个异构冗余的工控安全网关执行模块输出不一致是否为二比一；

步骤2：若为二比一，则发出告警，显示工控安全网关执行模块的具体检测日志文件，提示其中与另两个工控安全网关执行模块不一致的工控安全网关执行模块可能存在问题，提请专家进行人工判断，查明原因，然后进行该工控安全网关执行模块的清洗；

步骤3：若三个都不一致，则通知专家进行数据包分析，查明原因，然后进行出错工控安全网关执行模块的清洗。