[发明专利]三模异构冗余的工控安全网关系统及其入侵感知方法

说明书

本发明公开三模异构冗余的工控安全网关系统及其入侵感知方法。本发明系统包括数据包外部IO模块、三个异构冗余的工控安全网关执行模块、比较模块、数据包内部IO模块、入侵感知模块和系统配置模块。本发明能在正常处理工控数据包转换同时，及时检测感知针对工控网关的入侵和防止利用系统设计或实现缺陷导致的攻击行为，并进行正常业务无扰的入侵响应处理。

技术领域

本发明属于工业信息安全技术领域，涉及一种三模异构冗余的工控安全网关系统及其入侵感知方法。

背景技术

随着信息技术和网络技术在工业系统中应用的普及，工业信息系统的安全问题是当前工业信息系统的面临的直接威胁。传统的工控安全网关作为安全保障体系的重要防线，通过访问控制，防御黑客攻击。但随着越来越多的操作系统本身漏洞以及应用系统的漏洞被发现，工控安全网关面临了两个问题：

(1)自身被攻破。很明显，当安全网关一旦被攻破，工业控制网络就失去了一道有力的防护墙。

(2)由于系统设计或系统平台的缺陷，而被攻击绕过。如何防止由于系统设计或实现存在缺陷而被攻击者利用一直是安全界研究的一个热点。

发明内容

本发明的第一个目的是为克服现有技术中的不足，利用拟态防御原理，提出了一种三模异构冗余的工控安全网关系统，解决目前工控安全网关面临的上述两个问题。该系统通过检测工控业务数据包，及时检测感知针对工控网关的入侵和防止利用系统设计或实现缺陷导致的攻击行为。

本发明三模异构冗余的工控安全网关系统，包括数据包外部IO模块、三个异构冗余的工控安全网关执行模块、比较模块、数据包内部IO模块、入侵感知模块和系统配置模块。其中：

数据包外部IO模块，将收到的工业控制业务数据包分发到工控安全网关三个异构冗余的工控安全网关执行模块；同时接收和缓存工控安全网关的三个执行模块的输出，再将三个执行模块输出的数据包按同一序号最先完成的数据包输出至外部网络，丢弃其余两个数据包，且将三个数据包均保存在日志文件，用于比较模块进行数据事后比较；

三个异构冗余的工控安全网关执行模块为功能一致的执行体，对数据包外部IO模块输入的数据包进行深度解析和入侵检测，若执行模块感知到异常后即触发入侵响应模块，将检测结果详细记录到检测日志文件，否则在数据包检测安全后将其送到比较模块，同时接收数据包内部IO模块的输出数据包并发送到数据包外部IO模块。工控安全网关的异构冗余可在多层实现，包括系统硬件不同、操作系统不同、软件实现不同、配置文件格式不同和软件安装位置不同等；

比较模块，完成输入实时比较和输出事后比较；其中输入实时比较：三个执行模块的同一序号输入数据包按预先配置的比较策略(如多数一致优先原则)进行比较，若是不一致，则触发入侵响应模块，若一致则将比较后选择的结果数据包发送到数据包内部IO模块，数据包内部IO模块再将其转发至内部网络；输出事后比较：将日志文件中三个执行模块的同一序号输出数据包按预先配置好的比较策略(如多数一致优先原则)进行比较，若是不一致，则触发入侵响应模块；

数据包内部IO模块，将比较模块选择的执行模块输出数据包发送至内部工控网络；同时接收内部网络的输出数据包，分发到工控安全网关的三个异构冗余执行体模块；

系统配置模块，动态设置比较模块中的比较策略；

入侵响应模块，采取入侵响应措施：人工专家分析，同时进行异常执行模块清洗。

本发明的另一个目的是提供一种三模异构冗余的工控安全网关入侵感知方法，包括数据包过滤处理流程、入侵感知及响应流程两个部分。

数据包过滤处理流程包含如下步骤：

步骤1：数据包外部IO模块接收外部网络的输入请求将数据包分别发送到异构冗余的工控安全网关三个执行体；