基于工业防火墙的工业协议拓扑生成方法、设备及系统与流程

1.本发明涉及工控网络领域，更为具体的，涉及一种基于工业防火墙的工业协议拓扑生成方法、设备及系统。


背景技术：

2.在工业网络环境中，会有很多用于工业生产的工控设备，为了便于对设备的管理，传统的方式往往是记录每个设备的信息，或以列表形式描述工控设备客户端和服务端之间的通信关系，但这种方式无法直观表达出工控设备之间的通讯协议关系，更不具备描述工控设备之间实时的通讯的工业协议发送了哪些详细的功能码，甚至有的工控网络环境的工控设备之间通讯关系还需要手动绘制，效率极低。


技术实现要素：

3.本发明的目的在于克服现有技术的不足，提供一种基于工业防火墙的工业协议拓扑生成方法、设备及系统，可以实现以图形可视化方式看到整体的工控设备、设备之间的通信方向、通信的工业协议和通信的详细功能码，相比于传统的纯文字列表数据，更具视觉感等。
4.本发明的目的是通过以下方案实现的：
5.一种基于工业防火墙的工业协议拓扑生成方法，包括以下步骤：
6.s1，把工业防火墙接入工控网络环境中；
7.s2，对经过工业防火墙的流量报文进行深度解析，获取数据并分表存储于数据库中，以作为协议拓扑绘制的基础数据；
8.s3，工业防火墙系统依据数据库中存储的数据中的源ip、mac和目的ip、mac绘制基础的工业设备拓扑节点；
9.s4，对工控设备节点进行通讯连线，连线遵循会话方向；
10.s5，根据工控设备之间的通信协议绘制通讯功能码列表数据；
11.s6，根据工控设备之间的通信协议和源目的ip或mac查询数据库中存储的关联的具体的通信功能码指令数据，并排序，然后显示该工控设备之间传输的具体功能码数据。
12.进一步地，在步骤s1中，还包括子步骤：在工业防火墙接入工控网络环境中后，配置相应的白名单访问控制策略。
13.进一步地，在步骤s2中，所述获取数据，包括子步骤：获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码数据。
14.进一步地，在步骤s3中，所述节点的唯一标识即为该工控设备的ip或者mac地址。
15.进一步地，在步骤s4中，所述对工控设备节点进行通讯连线，连线遵循会话方向，包括子步骤：源ip到目的ip的方向，连线带有箭头，以表示会话方向，并在连线上标注通信的工业协议名称。
16.进一步地，在步骤s5中，绘制通讯功能码列表数据用于拓扑中工控协议之间的通
讯详情查看。
17.进一步地，在步骤s6中，所述排序具体为以时间维度进行排序。
18.进一步地，在步骤s6中，所述显示具体为以弹出列表形式分页显示。
19.一种基于工业防火墙的工业协议拓扑生成设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器执行所述程序时实现如上任一项所述的方法。
20.一种基于工业防火墙的工业协议拓扑生成系统，包括如上所述的基于工业防火墙的工业协议拓扑生成设备。
21.本发明的有益效果包括：
22.本发明实施例技术方案利用工业防火墙的报文深度检测优势，自动分析报文形成工控设备之间的白名单通讯关系，不仅可以绘制传统的会话拓扑，还可以形成详细的工控协议功能码数据绘制出工业协议拓扑。
23.本发明实施例技术方案可以实现以图形可视化方式看到整体的工控设备、设备之间的通信方向、通信的工业协议和通信的详细功能码，相比于传统的纯文字列表数据，更具视觉感。
附图说明
24.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
25.图1为本发明实施例的基于工业防火墙系统的工业协议拓扑生成方法的步骤流程图；
26.图2为本发明实施例的基于工业防火墙系统的工业协议拓扑生成方法绘制的拓扑模拟图。
具体实施方式
27.本说明书中所有实施例公开的所有特征，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。
28.为解决背景中的技术问题，本发明实施例技术方案提供一种基于工业防火墙系统的工业协议拓扑生成技术方案，本发明的具体方案描述如下：
29.步骤1，工业防火墙接入工控网络环境中，并配置相应的白名单访问控制策略；
30.步骤2，对经过工业防火墙的流量报文进行深度解析，获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码等数据并分表存储于数据库中，以作为协议拓扑绘制的基础数据；
31.步骤3，工业防火墙系统依据数据库中存储的五元组数据中的源ip、mac和目的ip、mac绘制基础的工业设备拓扑节点，节点的唯一标识即为该工控设备的ip或者mac地址；
32.步骤4，对工控设备节点进行通讯连线，连线遵循会话方向，即源ip到目的ip的方向，连线带有箭头，以表示会话方向，并在连线上标注通信的工业协议名称。
33.步骤5，根据工控设备之间的通信协议绘制详细的通讯功能码列表数据，用于拓扑中工控协议之间的通讯详情查看；
34.步骤6，根据工控设备之间的通信协议和源目的ip或mac查询数据库中存储的关联的具体的通信功能码指令数据，并以时间维度进行排序，以弹出列表形式分页显示该工控设备之间传输的具体功能码数据。
35.本发明实施例的以上技术方案可以实现以图形可视化方式看到整体的工控设备、设备之间的通信方向、通信的工业协议和通信的详细功能码，相比于传统的纯文字列表数据，更具视觉感。
36.在进一步的实施方式中，结合图1和图2对本发明实施例技术方案提供的基于工业防火墙系统的工业协议拓扑生成方法进行详细描述。如图1所示，具体包括以下步骤：
37.1)工业防火墙接入工控网络环境中，并配置相应的白名单访问控制策略；
38.2)对经过工业防火墙的流量报文进行深度解析，获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码等数据并分表存储于数据库中，以次作为协议拓扑绘制的基础数据；
39.3)工业防火墙系统依据数据库中存储的五元组数据中的源ip、mac和目的ip、mac绘制基础的工业设备拓扑节点，节点的唯一标识即为该工控设备的ip或者mac地址；
40.4)对工控设备节点进行通讯连线，连线遵循会话方向，即源ip到目的ip的方向，连线带有箭头，以表示会话方向，并在连线上标注通信的工业协议名称；
41.5)根据工控设备之间的通信协议绘制详细的通讯功能码列表数据，用于拓扑中工控协议之间的通讯详情查看；
42.6)根据工控设备之间的通信协议和源目的ip或mac查询数据库中存储的关联的具体的通信功能码指令数据，并以时间维度进行排序，以弹出列表形式分页显示该工控设备之间传输的具体功能码数据；
43.以上技术方案可以实现以图形可视化方式看到整体的工控设备、设备之间的通信方向、通信的工业协议和通信的详细功能码，相比于传统的纯文字列表数据，更具视觉感。
44.如图2所示，为本发明实施例技术方案绘制出的工业协议拓扑示例图，其中：
45.1)根据报文中解析出来的五元组数据在工业防火墙系统中绘制工控设备客户端和服务端两个示例节点；
46.2)根据设备的源和目的方向进行会话连线，连线箭头方向表示设备之间的通信方向，并在连线上标注设备之间通信的协议名称；
47.3)具有方向性的连接线上增加事件，关联查询设备之间通信的详细功能码指令，详细功能码数据以列表形式展示，支持分页查询，详细表述了设备之间的所有通信指令和通信时间。
48.本发明实施例技术方案利用工业防火墙的报文深度检测优势，自动分析报文形成工控设备之间的白名单通讯关系，不仅可以绘制传统的会话拓扑，还可以形成详细的工控协议功能码数据绘制出工业协议拓扑。
49.需要说明的是，在本发明权利要求书中所限定的保护范围内，以下实施例均可以从上述具体实施方式中，例如公开的技术原理，公开的技术特征或隐含公开的技术特征等，以合乎逻辑的任何方式进行组合和/或扩展、替换。
50.实施例1
51.一种基于工业防火墙的工业协议拓扑生成方法，包括以下步骤：
52.s1，把工业防火墙接入工控网络环境中；
53.s2，对经过工业防火墙的流量报文进行深度解析，获取数据并分表存储于数据库中，以作为协议拓扑绘制的基础数据；
54.s3，工业防火墙系统依据数据库中存储的数据中的源ip、mac和目的ip、mac绘制基础的工业设备拓扑节点；
55.s4，对工控设备节点进行通讯连线，连线遵循会话方向；
56.s5，根据工控设备之间的通信协议绘制通讯功能码列表数据；
57.s6，根据工控设备之间的通信协议和源目的ip或mac查询数据库中存储的关联的具体的通信功能码指令数据，并排序，然后显示该工控设备之间传输的具体功能码数据。
58.实施例2
59.在实施例1的基础上，在步骤s1中，还包括子步骤：在工业防火墙接入工控网络环境中后，配置相应的白名单访问控制策略。
60.实施例3
61.在实施例1的基础上，在步骤s2中，所述获取数据，包括子步骤：获取流量报文的五元组信息、通讯的工业协议名称和详细的工业协议通讯功能码数据。
62.实施例4
63.在实施例1的基础上，在步骤s3中，所述节点的唯一标识即为该工控设备的ip或者mac地址。
64.实施例5
65.在实施例1的基础上，在步骤s4中，所述对工控设备节点进行通讯连线，连线遵循会话方向，包括子步骤：源ip到目的ip的方向，连线带有箭头，以表示会话方向，并在连线上标注通信的工业协议名称。
66.实施例6
67.在实施例1的基础上，在步骤s5中，绘制通讯功能码列表数据用于拓扑中工控协议之间的通讯详情查看。
68.实施例7
69.在实施例1的基础上，在步骤s6中，所述排序具体为以时间维度进行排序。
70.实施例8
71.在实施例1的基础上，在步骤s6中，所述显示具体为以弹出列表形式分页显示。
72.实施例9
73.一种基于工业防火墙的工业协议拓扑生成设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器执行所述程序时实现如实施例1至实施例8中任一项所述的方法。
74.实施例10
75.一种基于工业防火墙的工业协议拓扑生成系统，包括如实施例9所述的基于工业防火墙的工业协议拓扑生成设备。
76.描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬
件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。
77.根据本发明实施例的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中提供的方法。
78.作为另一方面，本发明实施例还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现上述实施例中所述的方法。
79.本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
80.上述技术方案只是本发明的一种实施方式，对于本领域内的技术人员而言，在本发明公开了应用方法和原理的基础上，很容易做出各种类型的改进或变形，而不仅限于本发明上述具体实施方式所描述的方法，因此前面描述的方式只是优选的，而并不具有限制性的意义。
81.除以上实例以外，本领域技术人员根据上述公开内容获得启示或利用相关领域的知识或技术进行改动获得其他实施例，各个实施例的特征可以互换或替换，本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。