工业协议检测方法、装置及计算机设备、存储介质与流程

1.本技术涉及工控网络技术领域，具体而言，涉及一种工业协议检测方法、装置及计算机设备、存储介质。


背景技术：

2.近年来，工业领域的网络攻击事件频发，给很多企业造成了巨大的损失。然而，现有技术中的普通的防火墙不能够适应工业环境的需求。即现有技术中的普通的防火墙在对工业网络中的报文进行分析时，存在以下缺陷：
3.第一，对报文分析时，会中断工业网络中的某些设备，进而中断工业生产。
4.第二，在一些特殊场景中，需要跳过报文的完整性检测而直接进入深度检测，然而现有技术无法实现。


技术实现要素：

5.本技术实施例的目的在于提供一种工业协议检测方法、装置及计算机设备、存储介质，用以基于完整性检测开关的状态，确定是否直接进行深度检测，而跳过报文的完整性检测，进而不必中断工业生产。
6.为此，本技术第一方面公开一种工业协议检测方法，所述方法应用以旁路部署模式部署于工业网络中的拟态边缘网关中，所述方法包括：
7.接收目标报文；
8.判断所述目标报文是否为工业协议报文；
9.当所述目标报文为所述工业协议报文时，判断完整性检测开关的状态；
10.当所述完整性检测开关为关闭状态时，则基于预设工控安全策略对所述目标报文进行深度检测。
11.在本技术第一方面中，作为一种可选的实施方式，在所述判断完整性检测开关的状态之后，所述基于预设工控安全策略对所述目标报文进行深度检测之前，所述方法还包括：
12.当所述完整性检测开关为开启状态时，则基于工业协议特征库对所述目标报文进行完整性检测。
13.在本技术第一方面中，作为一种可选的实施方式，所述基于工业协议特征库对所述目标报文进行完整性检测，包括：
14.判断所述目标报文是否匹配工业协议特征库中的特征信息，若所述目标报文匹配所述工业协议特征库中的特征信息，则确定所述目标报文为正常报文；
15.当所述目标报文不匹配所述工业协议特征库中的特征信息时，则确定所述目标报文为畸形数据包。
16.在本技术第一方面中，作为一种可选的实施方式，所述工业协议特征库中的特征信息包括协议名称、协议id、协议端口号、报文功能码、协议标识符、读写地址、协议数据长
度、协议报文总长度和协议的状态机中的至少一种。
17.在本技术第一方面中，作为一种可选的实施方式，在所述判断所述目标报文是否为工业协议报文之后，所述判断完整性检测开关的状态之前，所述方法还包括：
18.当所述目标报文为所述工业协议报文之外的报文时，则将所述目标报文发送至防火墙，以基于所述防火墙对所述目标报文进行处理。
19.在本技术第一方面中，作为一种可选的实施方式，所述判断所述目标报文是否为工业协议报文，包括：
20.获取协议特征表，其中，所述协议特征表包括工业协议的名称和协议端口号；
21.基于所述工业协议的名称和协议端口号，判断所述目标报文是否为工业协议报文。
22.在本技术第一方面中，作为一种可选的实施方式，所述基于预设工控安全策略对所述目标报文进行深度检测，包括：
23.基于所述预设工控安全策略，对所述目标报文的内部指令和所述目标报文在内部寄存器的数据进行扫描，并得到扫描信息。
24.本技术第二方面公开一种工业协议检测装置，所述装置应用以旁路部署模式部署于工业网络中的拟态边缘网关中，所述装置包括：
25.接收模块，用于接收目标报文；
26.第一判断模块，用于判断所述目标报文是否为工业协议报文；
27.第二判断模块，用于当所述目标报文为所述工业协议报文时，判断完整性检测开关的状态；
28.深度检测模块，用于当所述完整性检测开关为关闭状态时，则基于预设工控安全策略对所述目标报文进行深度检测。
29.本技术第三方面公开一种计算机设备，所述设备包括：
30.存储有可执行程序代码的存储器；
31.与所述存储器耦合的处理器；
32.所述处理器调用所述存储器中存储的所述可执行程序代码，执行本技术第一方面的工业协议检测方法。
33.本技术第四方面公开一种存储介质，所述存储介质存储有计算机指令，所述计算机指令被调用时，用于执行本技术第一方面的工业协议检测方法。
34.与现有技术相比，本技术至少具有如下有益技术效果：
35.为了确保工业协议报文是安全的，即工业协议报文不会对工业网络造成破坏，需要对工业协议报文进行检测，其中，对比工业协议报文进行检测包括了完整性检测和深度检测，也就是说为了确保工业协议报文是安全的，必须对其进行完整性检测和深度检测，但在一些场景中，需要使工业协议报文跳过完整性检测，而直接对其进行深度检测，针对这一场景，本技术的方法通过完整性检测开关可控制是否需要对工业协议报文进行完整性检测，其中，当完整性检测开关为关闭状态时，则跳过完整性检测，而直接基于预设工控安全策略对目标报文进行深度检测，这样一来，本技术的方法就能够适用于不需要对协议报文进行完整性检测的场景中，从而具有更优的适用性。
36.再一方面，由于本技术的方法是应用于以旁路部署模式部署于工业网络中的拟态
边缘网关中，而以旁路部署模式部署于工业网络中的拟态边缘网关增加到工业网络中时，不需要中断工业网络中的其他设备，因此本技术的方法的实现不需要中断工业网络中的其他设备，尤其是在工业网络用工业生产，而在工业生产过程中，工业网络中的设备不能够随意中断这一场景，本技术的方法不需要中断工业网络中的其他设备，从而不会影响到工业生产。
附图说明
37.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
38.图1为本技术实施例的公开的一种工业网络的架构示意图；
39.图2是本技术实施例公开的一种工业协议检测方法的流程示意图；
40.图3是本技术实施例公开的一种工业协议检测装置的结构示意图；
41.图4是本技术实施例公开的一种计算机设备的结构示意图。
具体实施方式
42.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
43.在详细介绍本技术实施例的方法、装置、计算机设备及存储介质之前，先对本技术实施例涉及的一种工业网络进行说明，以便于充分理解本技术实施例的方法、装置、计算机设备及存储介质。
44.具体地，请参阅图1，图1是本技术实施例公开的一种工业网络架构示意图。如图1所示，本技术实施例的工业网络包括接入交换机、工控机、oa(office automation，办公自动化)设备、plc设备，其中，oa设备与接入交换机连接，工控机与接入交换机，而plc(programmable logic controller，可编程逻辑控制器)设备与工控机连接，这样一来，整个工业网络所产生的流量就会经过接入交换机。
45.进一步地，如图1所示，本技术实施例的工业网络还包括拟态边缘网关，其中，拟态边缘网关与交换机连接，且拟态边缘网关流量仅用于对获取到的流量进行统计、扫描、或者记录、对工业网络中的流量进行审计，并不会对流量进行转发，即拟态边缘网关以旁路部署模式部署于工业网络中，通过以旁路部署模式部署拟态边缘网关，工业生产网络不会因为拟态边缘网关的故障而受到影响。
46.进一步地，如图1所示，拟态边缘网关通过对监听口获取镜像口的流量，其中，整个工业网络的流量都会流经图1中的镜像口，进而接入交换机将流经镜像口的流量复制到监听口，从而拟态边缘网关能够获取整个工业网络的流量。
47.进一步地，如图1所示，oa设备可通过另一接入交换机和网闸安全隔离与信息交互系统与一接入交换机通信连接。
48.进一步地，如图1所示，可选地，plc设备通过控制器与工控机连接，或者plc设备通过三层交换机与接入交换机连接。
49.在本技术实施例中，相比基于普通的防火墙对工业网络进行检测而言，拟态边缘
网关更好地满足工业现场的特殊要求，拟态边缘网关可以针对工业协议进行深度解析，拟态边缘网关相比传统防火墙具备更强的环境适应性、可靠性、稳定性和实时性。
50.实施例一
51.请参阅图2，图2是本技术实施例公开的一种工业协议检测方法的流程示意图，其中，本技术实施例的方法应用以旁路部署模式部署于工业网络中的拟态边缘网关中。如图2所示，本技术实施例的方法包括以下步骤：
52.101、接收目标报文；
53.102、判断目标报文是否为工业协议报文；
54.103、当目标报文为工业协议报文时，判断完整性检测开关的状态；
55.104、当完整性检测开关为关闭状态时，则基于预设工控安全策略对目标报文进行深度检测。
56.在一些场景中，目标报文包括了工业协议报文和非工业协议报文，并且只需要对工业协议报文进行是否需要完整判断的需要，而对于非工业协议报文则按照其他流程进行处理，因此本技术实施例的方法通过判断目标报文是否为工业协议报文，能够排除非工业协议报文进行深度检测，进而实现只判断工业协议报文是否需要的进行完整性检测，并且在工业协议报文不需要完整性检测时，直接进入深度检测。
57.进一步地，为了确保工业协议报文是安全的，即工业协议报文不会对工业网络造成破坏，需要对工业协议报文进行检测，其中，对比工业协议报文进行检测包括了完整性检测和深度检测，也就是说为了确保工业协议报文是安全的，必须对其进行完整性检测和深度检测，但在一些场景中，需要使工业协议报文跳过完整性检测，而直接对其进行深度检测，针对这一场景，本技术实施例的方法通过完整性检测开关可控制是否需要对工业协议报文进行完整性检测，其中，当完整性检测开关为关闭状态时，则跳过完整性检测，而直接基于预设工控安全策略对目标报文进行深度检测，这样一来，本技术实施例的方法就能够适用于不需要对协议报文进行完整性检测的场景中，从而具有更优的适用性。
58.进一步地，由于本技术实施例的方法是应用于以旁路部署模式部署于工业网络中的拟态边缘网关中，而以旁路部署模式部署于工业网络中的拟态边缘网关增加到工业网络中时，不需要中断工业网络中的其他设备，因此本技术实施例的方法的实现不需要中断工业网络中的其他设备，尤其是在工业网络用工业生产，而在工业生产过程中，工业网络中的设备不能够随意中断这一场景，本技术实施例的方法不需要中断工业网络中的其他设备，从而不会影响到工业生产。
59.在本技术实施例中，对于步骤101，目标报文为工业网络中设备之间的通信所产生的报文，例如，工控器在需要向plc设备发送指令时所产生的报文。
60.进一步地，在步骤101中，目标报文先由接入交换机的镜像口接入，然而由接入交换机将目标报文复制到监听口，以使得拟态边缘网关接收到目标报文。
61.进一步地，在步骤101中，目标报文可以由oa设备、或plc设备、或工控机，或工业网络中的其他设备发送。
62.在本技术实施例中，作为一种可选的实施方式，在步骤103：判断完整性检测开关的状态之后，步骤104：基于预设工控安全策略对目标报文进行深度检测之前，本技术实施例的方法还包括以下步骤：
63.当完整性检测开关为开启状态时，则基于工业协议特征库对目标报文进行完整性检测。
64.在本可选的实施方式中，工业协议特征库预先存在拟态边缘网关中，其中，进一步可选地，基于工业协议特征库对目标报文进行完整性检测，包括以下子步骤：
65.判断目标报文是否匹配工业协议特征库中的特征信息，若目标报文匹配工业协议特征库中的特征信息，则确定目标报文为正常报文；
66.当目标报文不匹配工业协议特征库中的特征信息时，则确定目标报文为畸形数据包。
67.在本可选的实施方式中，作为一个判断目标报文是否匹配工业协议特征库中的特征信息的示例，假设目标报文的协议名称为“s7”、协议端口为“0001”，此时，工业协议特征库中的特征信息为协议名称为“s7”与协议端口为“0002”对应，则说明目标报文与工业协议特征库中的特征信息不匹配，则确定目标报文为畸形数据包。
68.在本技术实施例中，进一步可选地，工业协议特征库中的特征信息包括协议名称、协议id、协议端口号、报文功能码、协议标识符、读写地址、协议数据长度、协议报文总长度和协议的状态机中的至少一种。
69.在本可选的实施方式中，通过协议名称、协议id、协议端口号、报文功能码、协议标识符、读写地址、协议数据长度、协议报文总长度和协议的状态机均能够判断目标报文是否为畸形数据包。
70.在本技术实施例中，作为一种可选的实施方式，在步骤102：判断目标报文是否为工业协议报文之后，步骤103：判断完整性检测开关的状态之前，本技术实施例的方法还包括以下步骤：
71.当目标报文为工业协议报文之外的报文时，则将目标报文发送至防火墙，以基于防火墙对目标报文进行处理。
72.在本可选的实施方式中，如果目标报文为工业协议报文之外的报文，例如，目标报文是采用a协议的报文，而采用a协议的报文不属于工业协议报文，则拟态边缘网关将对目标报文进行其他处理，而不对目标报文进行深度检测，其中，对目标报文进行其他处理由拟态边缘网关的其他模块处理。
73.在本技术实施例中，作为一种可选的实施方式，步骤102：判断目标报文是否为工业协议报文，包括以下子步骤：
74.获取协议特征表，其中，协议特征表包括工业协议的名称和协议端口号；
75.基于工业协议的名称和协议端口号，判断目标报文是否为工业协议报文。
76.在本可选的方式的实施方式，协议特征表预先存储在拟态边缘网关中，其中，作为一个示例，假设协议特征表中的工业协议的名称包括“s7”，而目标报文的协议名称是a，则可确定目标报文的协议名称不属于假设协议特征表中的协议，则可确定该目标报文不是工业协议报文。
77.在本技术实施例中，作为一种可选的实施方式，步骤104基于预设工控安全策略对目标报文进行深度检测，包括以下子步骤：
78.基于预设工控安全策略，对目标报文的内部指令和目标报文在内部寄存器的数据进行扫描，并得到扫描信息。
79.在本可选的实施方式中，预设工控安全策略预先存储在拟态边缘网关中，其中，预设工控安全策略用于深入判断目标报文是否会对工业网络造成破坏，例如，基于预设工控安全策略判断目标报文的内部指令是否发起过攻击事件，若是则确定该目标报文存在威胁，从而拟态边缘网关对其进行阻拦。
80.实施例二
81.请参阅图3，图3是本技术实施例公开的一种工业协议检测装置的结构示意图，其中，本技术实施例的装置应用以旁路部署模式部署于工业网络中的拟态边缘网关中。如图3所示，本技术实施例的装置包括以下功能模块：
82.接收模块201，用于接收目标报文；
83.第一判断模块202，用于判断目标报文是否为工业协议报文；
84.第二判断模块203，用于当目标报文为工业协议报文时，判断完整性检测开关的状态；
85.深度检测模块204，用于当完整性检测开关为关闭状态时，则基于预设工控安全策略对目标报文进行深度检测。
86.本技术实施例的装置通过执行工业协议检测方法，一方面能够实现在不中断工业网络中的设备的前提下，对工业网络中的报文进行深度检测，另一方面能够在特殊的场景中，基于完整性检测开关的状态跳过报文的完整性检测过程，而直接对报文进行深度检测，从而具有更优的适用性。
87.需要说明的是，关于本技术实施例的装置的详细说明，请参阅本技术实施例一的相关说明，本技术实施例对此不作赘述。
88.实施例三
89.请参阅图4，图4是本技术实施例的一种计算机设备的结构示意图。如图4所示，本技术实施例的计算机设备包括：
90.存储有可执行程序代码的存储器302；
91.与存储器302耦合的处理器301；
92.处理器301调用存储器302中存储的可执行程序代码，执行本技术实施例一的工业协议检测方法。
93.本技术实施例的计算机设备通过执行工业协议检测方法，一方面能够实现在不中断工业网络中的设备的前提下，对工业网络中的报文进行深度检测，另一方面能够在特殊的场景中，基于完整性检测开关的状态跳过报文的完整性检测过程，而直接对报文进行深度检测，从而具有更优的适用性。
94.需要说明的是，关于本技术实施例的计算机设备的详细说明，请参阅本技术实施例一的相关说明，本技术实施例对此不作赘述。
95.实施例四
96.本技术实施例公开一种存储介质，存储介质存储有计算机指令，计算机指令被调用时，用于执行本技术实施例一的工业协议检测方法。
97.本技术实施例的介质通过执行工业协议检测方法，一方面能够实现在不中断工业网络中的设备的前提下，对工业网络中的报文进行深度检测，另一方面能够在特殊的场景中，基于完整性检测开关的状态跳过报文的完整性检测过程，而直接对报文进行深度检测，
从而具有更优的适用性。
98.需要说明的是，关于本技术实施例的计算机设备的详细说明，请参阅本技术实施例一的相关说明，本技术实施例对此不作赘述。
99.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
100.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
101.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
102.需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
103.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
104.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。