多协议工业以太网监视器的制作方法

1.本发明涉及工控系统的安全监视领域，特别涉及多协议工业以太网监视器。


背景技术：

2.随着互联网应用和过程控制技术的不断发展，互联网与工业控制系统深度融合，工业控制系统也在不断升级或引进新的设备。工业以太网技术的引入和通用标准协议的应用，导致了工业控制系统的信息安全问题。由于目前的工控系统安全防护功能较为单一，仅允许modbus-tcp、opc-ua等指定的控制协议通过，或者只支持单一协议的简单边界保护，无法应对工业环境的复杂场景。在这种情况下，工业控制系统无法保证足够的安全健壮性，可能发生例如，物理隔离的防线可能被网络入侵，部署指令可能被恶意篡改，信息可能被窃取等重大安全事故。这些重大风险使工业以太网面临严峻挑战。


技术实现要素：

3.本发明所解决的技术问题：提供一种多协议工业以太网监视器，解决工业以太网中工业控制系统的信息安全问题。
4.本发明解决上述技术问题采用的技术方案：多协议工业以太网监视器，包括安全配置策略模块、网络层分析模块、应用数据分析模块和报警模块；
5.所述安全配置策略模块用于安全策略配置；所述安全策略包括设备信息安全策略、网络流量信息安全策略、网络层信息安全策略和应用数据安全策略，所述设备信息安全策略包括mac地址、ip和端口号，所述网络流量信息安全策略包括单位时间内通过的包数以及单位时间内的包流量，所述网络层信息安全策略包括ip白名单、mac地址白名单以及ip与mac的绑定，所述应用数据安全策略包括数据溢出和进程关系的配置策略；
6.所述网络分析模块用于基于安全策略的ip包分析和对通过的流数和包数进行统计，并根据安全策略进行报警；
7.所述应用数据分析模块用于基于安全策略的数据分析，并根据安全策略进行报警；
8.所述报警模块用于实时显示报警信息。
9.进一步的，所述基于安全策略的ip包分析包括采集传输数据，提取数据的源mac地址、ip地址以及目标mac地址，根据目标mac地址加载ip白名单和mac地址白名，对源mac地址和ip地址进行白名单测试。
10.进一步的，所述流数为tcp或ip链接的连接次数，所述包数为一次tcp或ip链接中包含的数据包个数。
11.进一步的，所述报警信息包括报警时间、报警设备、报警级别、报警内容和报警处理建议。
12.进一步的，所述多协议包括opc-ua协议、modbus-tcp协议和profinet协议。
13.进一步的，所述基于安全策略的数据分析包括以下步骤：
14.通过包解析工具pyshark提取数据包中关键数据，根据关键数据确定协议类型，并根据协议类型确定每个关键数据的边界范围，依据确定的边界范围对每个关键数据进行监控，对超出边界范围的数据包进行报警。
15.进一步的，若协议为opc-ua协议，则关键数据包括消息类、块类型、消息大小、安全信道id、安全令牌id、安全顺序号和安全请求id；若协议类型为modbus-tcp协议，则关键数据包括优先级数据标签、以太网类型、实时等级、数据通道、数据、数据位指示状态、循环冗余校检码；若协议类型为modbus-tcp协议，则关键数据包括通信事务处理标识符、协议标识符、数据长度、设备地址、功能码、数据的字节长度和数据值。
16.本发明的有益效果：本发明多协议工业以太网监视器，利用安全配置策略模块配置不同协议的安全策略，通过网络分析模块对ip包分析和对通过的流数和包数进行统计，并根据配置的安全策略进行报警，通过应用数据分析模块对数据进行分析，并根据安全策略进行报警，利用报警模块实时显示报警信息，以此，能够在单个或多个网络协议中自动识别不同的网络协议，根据安全配置策略对网络状态进行实时监控，对来自未授权设备的非法访问、异常消息、网络异常等进行监控，跟踪设备关键过程数据，实现报警功能，解决了工业以太网中工业控制系统的信息安全问题。
附图说明
17.附图1是本发明多协议工业以太网监视器的结构框图。
具体实施方式
18.本发明发明多协议工业以太网监视器，如附图1所示，包括安全配置策略模块、网络层分析模块、应用数据分析模块和报警模块；
19.所述安全配置策略模块用于安全策略配置；所述安全策略包括设备信息安全策略、网络流量信息安全策略、网络层信息安全策略和应用数据安全策略，所述设备信息安全策略包括mac地址、ip和端口号，所述网络流量信息安全策略包括单位时间内通过的包数以及单位时间内的包流量，所述网络层信息安全策略包括ip白名单、mac地址白名单以及ip与mac的绑定，所述应用数据安全策略包括数据溢出和进程关系的配置策略；
20.所述网络分析模块用于基于安全策略的ip包分析和对通过的流数和包数进行统计，并根据安全策略进行报警；
21.所述应用数据分析模块用于基于安全策略的数据分析，并根据安全策略进行报警；
22.所述报警模块用于实时显示报警信息。
23.工作流程：首先设置安全策略，然后将传输的数据分别送到网络分析模块和应用数据分析模块进行分析，完成安全监控，对非法访问、异常消息、网络异常等进行监控，跟踪设备关键过程数据，实现报警功能。
24.具体的，基于安全策略的ip包分析包括采集传输数据，提取数据的源mac地址、ip地址以及目标mac地址，根据目标mac地址加载ip白名单和mac地址白名，对源mac地址和ip地址进行白名单测试。
25.所述流数为tcp或ip链接的连接次数，所述包数为一次tcp或ip链接中包含的数据
包个数。
26.所述报警信息包括报警时间、报警设备、报警级别、报警内容和报警处理建议。
27.所述多协议包括opc-ua协议、modbus-tcp协议和profinet协议。
28.所述基于安全策略的数据分析包括以下步骤：通过包解析工具pyshark提取数据包中关键数据，根据关键数据确定协议类型，并根据协议类型确定每个关键数据的边界范围，依据确定的边界范围对每个关键数据进行监控，对超出边界范围的数据包进行报警，具体的，边界范围包括字节长度或数值大小。
29.具体的，关键数据对应于数据溢出和进程关系，若协议为opc-ua协议，则关键数据包括消息类、块类型、消息大小、安全信道id、安全令牌id、安全顺序号和安全请求id；若协议类型为modbus-tcp协议，则关键数据包括优先级数据标签、以太网类型、实时等级、数据通道、数据、数据位指示状态、循环冗余校检码；若协议类型为modbus-tcp协议，则关键数据包括通信事务处理标识符、协议标识符、数据长度、设备地址、功能码、数据的字节长度和数据值。


技术特征：
1.多协议工业以太网监视器，其特征在于，包括安全配置策略模块、网络层分析模块、应用数据分析模块和报警模块；所述安全配置策略模块用于安全策略配置；所述安全策略包括设备信息安全策略、网络流量信息安全策略、网络层信息安全策略和应用数据安全策略，所述设备信息安全策略包括mac地址、ip和端口号，所述网络流量信息安全策略包括单位时间内通过的包数以及单位时间内的包流量，所述网络层信息安全策略包括ip白名单、mac地址白名单以及ip与mac的绑定，所述应用数据安全策略包括数据溢出和进程关系的配置策略；所述网络分析模块用于基于安全策略的ip包分析和对通过的流数和包数进行统计，并根据安全策略进行报警；所述应用数据分析模块用于基于安全策略的数据分析，并根据安全策略进行报警；所述报警模块用于实时显示报警信息。2.根据权利要求1所述的多协议工业以太网监视器，所述基于安全策略的ip包分析包括采集传输数据，提取数据的源mac地址、ip地址以及目标mac地址，根据目标mac地址加载ip白名单和mac地址白名，对源mac地址和ip地址进行白名单测试。3.根据权利要求1所述的多协议工业以太网监视器，所述流数为tcp或ip链接的连接次数，所述包数为一次tcp或ip链接中包含的数据包个数。4.根据权利要求1所述的多协议工业以太网监视器，其特征在于，所述报警信息包括报警时间、报警设备、报警级别、报警内容和报警处理建议。5.根据权利要求1-4任一项所述的多协议工业以太网监视器，其特征在于，所述多协议包括opc-ua协议、modbus-tcp协议和profinet协议。6.根据权利要求5所述的多协议工业以太网监视器，其特征在于，所述基于安全策略的数据分析包括以下步骤：通过包解析工具pyshark提取数据包中关键数据，根据关键数据确定协议类型，并根据协议类型确定每个关键数据的边界范围，依据确定的边界范围对每个关键数据进行监控，对超出边界范围的数据包进行报警。7.根据权利要求6所述的多协议工业以太网监视器，其特征在于，若协议为opc-ua协议，则关键数据包括消息类、块类型、消息大小、安全信道id、安全令牌id、安全顺序号和安全请求id；若协议类型为modbus-tcp协议，则关键数据包括优先级数据标签、以太网类型、实时等级、数据通道、数据、数据位指示状态、循环冗余校检码；若协议类型为modbus-tcp协议，则关键数据包括通信事务处理标识符、协议标识符、数据长度、设备地址、功能码、数据的字节长度和数据值。

技术总结
本发明多协议工业以太网监视器，涉及工控系统的安全监视领域，包括安全配置策略模块、网络层分析模块、应用数据分析模块和报警模块；利用安全配置策略模块配置不同协议的安全策略，通过网络分析模块对IP包分析和对通过的流数和包数进行统计，并根据配置的安全策略进行报警，通过应用数据分析模块对数据进行分析，并根据安全策略进行报警，利用报警模块实时显示报警信息，能够在单个或多个网络协议中自动识别不同的网络协议，根据安全配置策略对网络状态进行实时监控，对来自未授权设备的非法访问、异常消息、网络异常等进行监控，跟踪设备关键过程数据，实现报警功能，解决了工业以太网中工业控制系统的信息安全问题，本发明适用于网络安全。用于网络安全。用于网络安全。


技术研发人员：宋晨 丁相岚 夏勇 丁旭阳 余乐韬 黄翠
受保护的技术使用者：中国电建集团成都勘测设计研究院有限公司
技术研发日：2023.03.14
技术公布日：2023/7/20