[发明专利]一种工业防火墙设计实现方法

权利要求书

1.一种工业防火墙设计实现方法，其特征在于：所述工业防火墙包括：

数据流接收单元，用于接收经过防火墙的数据流；

来源和行为信息分离模块，用于对采集的数据流中的初始来源信息和执行行为信息进行分离；

双重判定模块，对来源和行为信息分离模块分离处理数据流的危险性进行判定；

所述双重判定模块包括黑名单判定单元和白名单判定单元：

所述黑名单判定单元优先白名单判定单元对来源和行为信息进行恶意数据代码判定；

所述黑名单判定单元包括：

恶意来源检测模块，用于扫描所述初始来源信息数据，比较所述来源和行为信息数据是否与预存的恶意代码的特征码相符；

恶意行为检测模块，用于扫描所述执行行为信息数据，比较所述来源和行为信息数据是否与预存的恶意代码的特征码相符；

校验核查检测模块，用于对所述初始来源信息和执行行为信息数据进行校验与核查，并将其生成存储数据，比较生产数据与存储数据是否一致；

所述白名单判定单元用于对通过黑名单判定单元信息数据进行进一步可信度检测；

所述白名单判定单元包括：

可信信息数据库，用于输入现有可信数据特征码和记录依据数控设备正常运行状态的特征码的白名单数据库；

可信信息检测模块，用于进一步扫描通过黑名单判定单元信息数据，比较数据是否与可信信息数据库内的特征码相符。

2.根据权利要求1所述的一种工业防火墙设计实现方法，其特征在于：所述可信信息数据库内包括访问控制白名单、工业协议白名单和业务工艺白名单；

所述访问控制白名单据图内容包括主机访问路径表、五元组访问次数统计、正常访问次数阈值和访问控制规则表；

所述工业协议白名单内容包括可信工业协议集、协议规约规则、读写功能码规则和值域数据量规则；

所述业务工艺白名单包括数据关联性规则、控制指令数据量/模拟量数据规则和指令周期/时序逻辑的工业行为基线。

3.根据权利要求2所述的一种工业防火墙设计实现方法，其特征在于：所述可信信息检测模块包括数据处理单元、协议规则处理单元、业务规则处理单元；

所述数据处理单元具体内容为配合访问控制白名单进行数据零拷贝处理、报文解析和预处理、状态表建立和查询和源目的主机访问次数统计；

所述协议规则处理单元具体内容为配合工业协议白名单进行工业协议解析、协议规约检查、功能码值域字段特征核验和私有协议引擎解析；

所述业务规则处理单元具体内容为配合业务工艺白名单进行业务行为核验和数据关联性核验。

4.根据权利要求1-3任一所述的一种工业防火墙设计实现方法，其特征在于：所述工业防火墙的数据处理包括以下步骤：

S1.数据流接收单元对经过防火墙的数据流进行采集；

S2.来源和行为信息分离模块对采集的数据流进行分离，分离出路初始来源信息和执行行为信息；

S3.黑名单判定单元优先白名单判定单元对初始来源信息和执行行为信息分别进行恶意数据代码分析，以便于发现隐藏在合法初始来源中的异常执行行为，对恶意数据直接进行过滤并记入日志；

S4.白名单判定单元对通过黑名单判定单元信息数据进行进一步可信度检测，其中只有可信行为数据库里存放的对应特征码才是正确的，否则将视为不正确数据进行过滤，并通过可信信息检测模块对可信行为数据进行进一步扫描检测以判断是否处于可信信息数据库里所规定可信行为的最小值和最大值之间；

S5.通过数据流发送单元将数据发送至数控工业的控制层。