本實(shí)用新型涉及一種檢測(cè)系統(tǒng),具體涉及一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng)。
背景技術(shù):
ModBus協(xié)議是一種被廣泛的應(yīng)用于多種工業(yè)控制系統(tǒng)中的通訊協(xié)議,工業(yè)控制中現(xiàn)場(chǎng)采集信號(hào)和控制指令常常以明文的形式通過Modbus協(xié)議進(jìn)行傳輸,因此,ModBus的通訊安全十分重要。近幾年來,工業(yè)控制系統(tǒng)越來越頻繁的遭受信息安全攻擊。越來越多的案例表明,來自商業(yè)網(wǎng)絡(luò)、因特網(wǎng)以及其它因素導(dǎo)致的信息安全問題正逐漸在工業(yè)控制系統(tǒng)中擴(kuò)散,直接影響了工業(yè)穩(wěn)定生產(chǎn)及人身安全。
目前,工業(yè)控制網(wǎng)絡(luò)常用的安全防護(hù)手段主要以TCP/IP為主的以太網(wǎng)通信網(wǎng)絡(luò)作為對(duì)象,提出了大量的防護(hù)和檢測(cè)的解決方案,而對(duì)以ModBus為代表的工業(yè)現(xiàn)場(chǎng)通信協(xié)議缺乏具體的防護(hù)和檢測(cè)手段。通過專利檢索,暫未發(fā)現(xiàn)針對(duì)ModBus協(xié)議的信息安全檢測(cè)系統(tǒng)或平臺(tái)的已有專利。
同時(shí),已有研究主要針對(duì)ModBus TCP協(xié)議進(jìn)行信息安全的相關(guān)研究,對(duì)基于傳統(tǒng)串口通信的ModBus RTU協(xié)議的研究是缺失的。通過文獻(xiàn)檢索,已有文獻(xiàn)主要研究了ModBus TCP的入侵檢測(cè)技術(shù)、異常檢測(cè)方法、防護(hù)技術(shù)和訪問控制方法,未對(duì)ModBus RTU的信息安全問題展開研究,同時(shí)也未給出ModBus協(xié)議異常流量的檢測(cè)系統(tǒng)或平臺(tái)的設(shè)計(jì)方法。
技術(shù)實(shí)現(xiàn)要素:
本實(shí)用新型的目的在于,針對(duì)現(xiàn)有技術(shù)中存在的問題,提出一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),以實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)和設(shè)備ModBus通信的流量分析,解決工業(yè)控制系統(tǒng)信息安全的設(shè)備級(jí)檢測(cè)問題,防范基于ModBus的信息安全攻擊。
為了實(shí)現(xiàn)上述目的,本實(shí)用新型采用的技術(shù)方案為:
一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),包括模擬設(shè)備、ModBus流量檢測(cè)裝置、被測(cè)試設(shè)備和ModBus異常流量分析裝置,所述模擬設(shè)備用于模擬無信息安全隱患且無故障的正常設(shè)備,模擬ModBus主站或從站;所述ModBus流量監(jiān)測(cè)裝置用于截獲模擬設(shè)備和被測(cè)試設(shè)備之間的ModBus通信流量;所述被測(cè)試設(shè)備是可能存在信息安全隱患的工業(yè)控制設(shè)備,可能會(huì)發(fā)送異常的ModBus通信報(bào)文到模擬設(shè)備的設(shè)備;所述ModBus異常流量分析裝置用于接收并顯示截獲的所有ModBus報(bào)文,并具有對(duì)比分析功能,可依據(jù)設(shè)定規(guī)則判斷所截獲的單條或多條報(bào)文為異常報(bào)文,從而判斷被測(cè)試設(shè)備是否具有信息安全隱患。
所述模擬設(shè)備與ModBus流量檢測(cè)裝置相連;所述ModBus流量檢測(cè)裝置與模擬設(shè)備、被測(cè)試設(shè)備和ModBus異常流量分析裝置分別相連;所述被測(cè)試設(shè)備分別與ModBus流量檢測(cè)裝置和ModBus異常流量分析裝置相連;所述ModBus異常流量分析裝置分別與被測(cè)試設(shè)備和ModBus流量檢測(cè)裝置相連。
所述被測(cè)試設(shè)備是具有ModBus通信功能的單一設(shè)備,例如單個(gè)PLC、現(xiàn)場(chǎng)儀表;所述模擬設(shè)備采用支持ModBus協(xié)議仿真的x86計(jì)算機(jī);所述ModBus異常流量分析裝置采用x86架構(gòu)的工業(yè)計(jì)算機(jī)。
所述被測(cè)試設(shè)備是由多種工業(yè)控制設(shè)備組成的具備ModBus通信功能的工業(yè)控制系統(tǒng);所述模擬設(shè)備采用支持ModBus協(xié)議的已知工業(yè)控制設(shè)備;所述ModBus異常流量分析裝置采用x86架構(gòu)的工業(yè)計(jì)算機(jī)。
所述ModBus流量檢測(cè)裝置包括:
主控制模塊,主控制模塊承擔(dān)了系統(tǒng)管理,ModBus協(xié)議報(bào)文分析,和異常流量檢測(cè)功能;
電源模塊,電源模塊為主控制模塊及其它附屬電路提供電源,并接收看門狗模塊對(duì)電源輸出的管理和控制;
Bypass模塊,Bypass模塊用于保證裝置斷電或主控制模塊異常的情況下ModBus信號(hào)能正常通過裝置;
ModBus TCP通信模塊,ModBus TCP通信模塊的主要功能是ModBus TCP協(xié)議的數(shù)據(jù)處理和以太網(wǎng)信號(hào)傳輸功能;
ModBus RTU通信模塊,ModBus RTU通信模塊的主要功能是ModBus RTU協(xié)議的數(shù)據(jù)處理和RS485信號(hào)傳輸功能;
看門狗模塊,看門狗模塊主要實(shí)現(xiàn)對(duì)主控制模塊運(yùn)行狀態(tài)的監(jiān)測(cè)以及Bypass模塊和電源模塊的管理功能;
擴(kuò)展存儲(chǔ)模塊,擴(kuò)展存儲(chǔ)模塊主要用于存儲(chǔ)異常流量特征信息、系統(tǒng)配置、系統(tǒng)日志等信息。
所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接,所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接,所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接,所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接,所述電源模塊分別與看門狗模塊和主控制模塊相連接,所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴(kuò)展存儲(chǔ)模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。
所述ModBus TCP通信模塊包括兩個(gè)以太網(wǎng)接口,分別為ModBus TCP第一接口和ModBus TCP第二接口;所述ModBus RTU通信模塊包括2個(gè)RS485接口,分別為ModBus RTU第一接口和ModBus RTU第二接口。
所述Bypass模塊包括一個(gè)邏輯與非門電路和一個(gè)繼電器開關(guān)電路,邏輯與非門電路分別接收來自于主處理模塊輸出信號(hào)和看門狗模塊輸出信號(hào),控制繼電器開關(guān)電路的多個(gè)繼電器開合;繼電器開關(guān)位于ModBus TCP或RTU的第一接口和第二接口之間,實(shí)現(xiàn)ModBus信號(hào)在Bypass功能開啟時(shí)ModBus TCP或RTU第一接口與第二接口之間的信號(hào)互通。
所述主控制模塊與擴(kuò)展存儲(chǔ)模塊通過系統(tǒng)總線相連接。
所述電源模塊上還設(shè)置有運(yùn)行狀態(tài)燈。
由于采用了上述技術(shù)方案,本實(shí)用新型的有益效果是:
本實(shí)用新型提出了實(shí)際可行的ModBus異常流量檢測(cè)方法,實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)和設(shè)備ModBus通信的流量分析,解決工業(yè)控制系統(tǒng)信息安全的設(shè)備級(jí)檢測(cè)問題,防范基于ModBus的信息安全攻擊。本實(shí)用新型結(jié)構(gòu)簡(jiǎn)單,功能全面,運(yùn)行穩(wěn)定,能夠滿足不同信號(hào)類型的ModBus協(xié)議的檢測(cè)需要,同時(shí)在斷電后網(wǎng)絡(luò)依然暢通,滿足入侵檢測(cè)裝置對(duì)ModBus接口的全覆蓋且不影響工控設(shè)備正常通信的要求,可以同時(shí)支持ModBus TCP協(xié)議和ModBus RTU協(xié)議的入侵檢測(cè),提高了ModBus的通訊安全性。
附圖說明
圖1是本實(shí)用新型所述的檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖;
圖2是ModBus異常流量分析裝置運(yùn)行流程圖;
圖3是本實(shí)用新型所述的檢測(cè)系統(tǒng)一實(shí)施例的結(jié)構(gòu)示意圖;
圖4是本實(shí)用新型所述的檢測(cè)系統(tǒng)另一實(shí)施例的結(jié)構(gòu)示意圖;
圖5是ModBus流量檢測(cè)裝置外觀示意圖;
圖6是ModBus流量檢測(cè)裝置結(jié)構(gòu)示意圖;
圖7是Bypass模塊內(nèi)部電路示意圖。
具體實(shí)施方式
下面結(jié)合附圖,對(duì)本實(shí)用新型做詳細(xì)的說明。
實(shí)施例1
作為本實(shí)用新型的一種較佳實(shí)施例,參照說明書附圖1、附圖2、附圖3、附圖5、附圖6和附圖7,本實(shí)施例公開了一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),本實(shí)施例包括:
一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),包括模擬設(shè)備、ModBus流量檢測(cè)裝置、被測(cè)試設(shè)備和ModBus異常流量分析裝置,所述模擬設(shè)備用于模擬無信息安全隱患且無故障的正常設(shè)備,模擬ModBus主站或從站;所述ModBus流量監(jiān)測(cè)裝置用于截獲模擬設(shè)備和被測(cè)試設(shè)備之間的ModBus通信流量;所述被測(cè)試設(shè)備是可能存在信息安全隱患的工業(yè)控制設(shè)備,可能會(huì)發(fā)送異常的ModBus通信報(bào)文到模擬設(shè)備的設(shè)備;所述ModBus異常流量分析裝置用于接收并顯示截獲的所有ModBus報(bào)文,并具有對(duì)比分析功能,可依據(jù)設(shè)定規(guī)則判斷所截獲的單條或多條報(bào)文為異常報(bào)文,從而判斷被測(cè)試設(shè)備是否具有信息安全隱患。
所述模擬設(shè)備與ModBus流量檢測(cè)裝置相連;所述ModBus流量檢測(cè)裝置與模擬設(shè)備、被測(cè)試設(shè)備和ModBus異常流量分析裝置分別相連;所述被測(cè)試設(shè)備分別與ModBus流量檢測(cè)裝置和ModBus異常流量分析裝置相連;所述ModBus異常流量分析裝置分別與被測(cè)試設(shè)備和ModBus流量檢測(cè)裝置相連。
所述被測(cè)試設(shè)備是具有ModBus通信功能的單一設(shè)備,例如單個(gè)PLC、現(xiàn)場(chǎng)儀表;所述模擬設(shè)備采用支持ModBus協(xié)議仿真的x86計(jì)算機(jī);所述ModBus異常流量分析裝置采用x86架構(gòu)的工業(yè)計(jì)算機(jī)。
所述ModBus流量檢測(cè)裝置包括:
主控制模塊,主控制模塊承擔(dān)了系統(tǒng)管理,ModBus協(xié)議報(bào)文分析,和異常流量檢測(cè)功能;
電源模塊,電源模塊為主控制模塊及其它附屬電路提供電源,并接收看門狗模塊對(duì)電源輸出的管理和控制;
Bypass模塊,Bypass模塊用于保證裝置斷電或主控制模塊異常的情況下ModBus信號(hào)能正常通過裝置;
ModBus TCP通信模塊,ModBus TCP通信模塊的主要功能是ModBus TCP協(xié)議的數(shù)據(jù)處理和以太網(wǎng)信號(hào)傳輸功能;
ModBus RTU通信模塊,ModBus RTU通信模塊的主要功能是ModBus RTU協(xié)議的數(shù)據(jù)處理和RS485信號(hào)傳輸功能;
看門狗模塊,看門狗模塊主要實(shí)現(xiàn)對(duì)主控制模塊運(yùn)行狀態(tài)的監(jiān)測(cè)以及Bypass模塊和電源模塊的管理功能;
擴(kuò)展存儲(chǔ)模塊,擴(kuò)展存儲(chǔ)模塊主要用于存儲(chǔ)異常流量特征信息、系統(tǒng)配置、系統(tǒng)日志等信息。
所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接,所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接,所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接,所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接,所述電源模塊分別與看門狗模塊和主控制模塊相連接,所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴(kuò)展存儲(chǔ)模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。
所述ModBus TCP通信模塊包括兩個(gè)以太網(wǎng)接口,分別為ModBus TCP第一接口和ModBus TCP第二接口;所述ModBus RTU通信模塊包括2個(gè)RS485接口,分別為ModBus RTU第一接口和ModBus RTU第二接口。
所述Bypass模塊包括一個(gè)邏輯與非門電路和一個(gè)繼電器開關(guān)電路,邏輯與非門電路分別接收來自于主處理模塊輸出信號(hào)和看門狗模塊輸出信號(hào),控制繼電器開關(guān)電路的多個(gè)繼電器開合;繼電器開關(guān)位于ModBus TCP或RTU的第一接口和第二接口之間,實(shí)現(xiàn)ModBus信號(hào)在Bypass功能開啟時(shí)ModBus TCP或RTU第一接口與第二接口之間的信號(hào)互通。
所述主控制模塊與擴(kuò)展存儲(chǔ)模塊通過系統(tǒng)總線相連接。
所述電源模塊上還設(shè)置有運(yùn)行狀態(tài)燈。
所述被測(cè)試設(shè)備是具有ModBus通信功能的單一設(shè)備,例如單個(gè)PLC、現(xiàn)場(chǎng)儀表等。要求該設(shè)備具有以太網(wǎng)或串口形式的調(diào)試接口用以連接ModBus異常流量分析裝置。ModBus異常流量分析裝置通過訪問該調(diào)試接口可以讀取設(shè)備運(yùn)行狀態(tài)、系統(tǒng)配置、信號(hào)輸入和控制輸出等信息。
所述模擬設(shè)備采用支持ModBus協(xié)議仿真的x86計(jì)算機(jī)。該計(jì)算機(jī)通過MATLAB、OPNET、NS2等網(wǎng)絡(luò)仿真軟件,實(shí)現(xiàn)ModBus協(xié)議的仿真模擬。通信信號(hào)通過計(jì)算機(jī)的以太網(wǎng)卡或串口擴(kuò)展卡傳遞給ModBus流量檢測(cè)裝置。
所述ModBus異常流量分析裝置通過以太網(wǎng)與ModBus流量檢測(cè)裝置相連。同時(shí),ModBus異常流量分析裝置也可以通過以太網(wǎng)從被測(cè)試設(shè)備中獲得被測(cè)試設(shè)備的狀態(tài)信息和實(shí)時(shí)數(shù)據(jù)。
ModBus異常流量分析裝置采用搭載了DNP3.0異常流量分析系統(tǒng)或軟件的x86架構(gòu)的工業(yè)計(jì)算機(jī)實(shí)現(xiàn),該工業(yè)計(jì)算機(jī)具備2個(gè)以太網(wǎng)口和1個(gè)RS232串口。該計(jì)算機(jī)通過以太網(wǎng)與ModBus流量檢測(cè)裝置連接,通過以太網(wǎng)或串口與被測(cè)試設(shè)備的調(diào)試接口進(jìn)行連接。
所述ModBus異常流量分析裝置的工作流程如下:
1.訪問ModBus流量檢測(cè)裝置,讀取截獲的ModBus協(xié)議雙向數(shù)據(jù)包;
2.訪問被測(cè)試設(shè)備,讀取設(shè)備狀態(tài)、輸入輸出數(shù)據(jù)、系統(tǒng)日志等信息;
3.通過機(jī)器學(xué)習(xí)算法(神經(jīng)網(wǎng)絡(luò)、決策樹、支持向量機(jī)等)構(gòu)建的流量分析模型來判斷所截獲的數(shù)據(jù)包與被測(cè)試設(shè)備的信息之間的匹配程度,若匹配程度大于90%,則判定為異常流量;
4.單獨(dú)記錄判定的異常流量以供后期分析。
所述ModBus流量檢測(cè)裝置截獲仿真計(jì)算機(jī)和被測(cè)試設(shè)備之間的ModBus通信報(bào)文,并將截獲的報(bào)文轉(zhuǎn)發(fā)至ModBus異常流量分析裝置中。
主控制模塊選用了基于ARM Cortex-A8處理器的AM3358,工作頻率800MHz,具備兩個(gè)工業(yè)千兆位以太網(wǎng)接口(10、100 和 1000Mbps)和多個(gè)UART通用異步收發(fā)接口。為了保證AM3358能夠正常運(yùn)行,擴(kuò)展了256MB的DDR存儲(chǔ)以實(shí)時(shí)運(yùn)行程序、1GB的FLASH來存儲(chǔ)入侵檢測(cè)程序和基礎(chǔ)數(shù)據(jù),同時(shí)還擴(kuò)展了一個(gè)4GB microSD卡用于存儲(chǔ)系統(tǒng)配置和異常流量特征數(shù)據(jù)。同時(shí),主控制模塊還包含了1路RS232接口電路,用于裝置功能調(diào)試。
ModBus TCP通信模塊包括了2個(gè)匹配RJ45類型接口的以太網(wǎng)轉(zhuǎn)換電路。ModBus RTU通信模塊包括了2個(gè)RS485轉(zhuǎn)換電路,支持終端匹配和無終端匹配兩種模式。兩個(gè)通信模塊與主控制模塊之間采用光耦隔離的方式以保護(hù)主控制模塊不受到接口電壓波動(dòng)所帶來的影響。同時(shí),兩個(gè)ModBus通信模塊都具有保護(hù)功能,可防止意外高壓對(duì)模塊的沖擊。
看門狗模塊包括看門狗處理器及擴(kuò)展電路。看門狗接收來自主處理模塊AM3358的GPIO喂狗信號(hào),控制主處理模塊的供電電路及Bypass模塊。看門狗電路獨(dú)立于其它模塊電路,實(shí)時(shí)監(jiān)測(cè)主處理模塊的運(yùn)行狀態(tài),發(fā)現(xiàn)主處理模塊有異常時(shí)可以重啟該模塊并保證Bypass功能開啟。
電源模塊包括主控制模塊供電及復(fù)位控制電路、看門狗供電電路、通信模塊供電電路。電源模塊可輸出+5V、+3.3V和+1.8V電源電壓,分別為RS485芯片、以太網(wǎng)芯片、看門狗處理器和AM3358處理器提供電源。電源模塊向主控制模塊提供復(fù)位信號(hào),復(fù)位電路的輸入源是看門狗處理器的輸出。
實(shí)施例2
作為本實(shí)用新型的一種較佳實(shí)施例,參照說明書附圖1、附圖2、附圖4、附圖5、附圖6和附圖7,本實(shí)施例公開了一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),本實(shí)施例包括:
一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),包括模擬設(shè)備、ModBus流量檢測(cè)裝置、被測(cè)試設(shè)備和ModBus異常流量分析裝置,所述模擬設(shè)備用于模擬無信息安全隱患且無故障的正常設(shè)備,模擬ModBus主站或從站;所述ModBus流量監(jiān)測(cè)裝置用于截獲模擬設(shè)備和被測(cè)試設(shè)備之間的ModBus通信流量;所述被測(cè)試設(shè)備是可能存在信息安全隱患的工業(yè)控制設(shè)備,可能會(huì)發(fā)送異常的ModBus通信報(bào)文到模擬設(shè)備的設(shè)備;所述ModBus異常流量分析裝置用于接收并顯示截獲的所有ModBus報(bào)文,并具有對(duì)比分析功能,可依據(jù)設(shè)定規(guī)則判斷所截獲的單條或多條報(bào)文為異常報(bào)文,從而判斷被測(cè)試設(shè)備是否具有信息安全隱患。
所述模擬設(shè)備與ModBus流量檢測(cè)裝置相連;所述ModBus流量檢測(cè)裝置與模擬設(shè)備、被測(cè)試設(shè)備和ModBus異常流量分析裝置分別相連;所述被測(cè)試設(shè)備分別與ModBus流量檢測(cè)裝置和ModBus異常流量分析裝置相連;所述ModBus異常流量分析裝置分別與被測(cè)試設(shè)備和ModBus流量檢測(cè)裝置相連。
所述被測(cè)試設(shè)備是由多種工業(yè)控制設(shè)備組成的具備ModBus通信功能的工業(yè)控制系統(tǒng);所述模擬設(shè)備采用支持ModBus協(xié)議的已知工業(yè)控制設(shè)備;所述ModBus異常流量分析裝置采用x86架構(gòu)的工業(yè)計(jì)算機(jī)。
所述ModBus流量檢測(cè)裝置包括:
主控制模塊,主控制模塊承擔(dān)了系統(tǒng)管理,ModBus協(xié)議報(bào)文分析,和異常流量檢測(cè)功能;
電源模塊,電源模塊為主控制模塊及其它附屬電路提供電源,并接收看門狗模塊對(duì)電源輸出的管理和控制;
Bypass模塊,Bypass模塊用于保證裝置斷電或主控制模塊異常的情況下ModBus信號(hào)能正常通過裝置;
ModBus TCP通信模塊,ModBus TCP通信模塊的主要功能是ModBus TCP協(xié)議的數(shù)據(jù)處理和以太網(wǎng)信號(hào)傳輸功能;
ModBus RTU通信模塊,ModBus RTU通信模塊的主要功能是ModBus RTU協(xié)議的數(shù)據(jù)處理和RS485信號(hào)傳輸功能;
看門狗模塊,看門狗模塊主要實(shí)現(xiàn)對(duì)主控制模塊運(yùn)行狀態(tài)的監(jiān)測(cè)以及Bypass模塊和電源模塊的管理功能;
擴(kuò)展存儲(chǔ)模塊,擴(kuò)展存儲(chǔ)模塊主要用于存儲(chǔ)異常流量特征信息、系統(tǒng)配置、系統(tǒng)日志等信息。
所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接,所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接,所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接,所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接,所述電源模塊分別與看門狗模塊和主控制模塊相連接,所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴(kuò)展存儲(chǔ)模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。
所述ModBus TCP通信模塊包括兩個(gè)以太網(wǎng)接口,分別為ModBus TCP第一接口和ModBus TCP第二接口;所述ModBus RTU通信模塊包括2個(gè)RS485接口,分別為ModBus RTU第一接口和ModBus RTU第二接口。
所述Bypass模塊包括一個(gè)邏輯與非門電路和一個(gè)繼電器開關(guān)電路,邏輯與非門電路分別接收來自于主處理模塊輸出信號(hào)和看門狗模塊輸出信號(hào),控制繼電器開關(guān)電路的多個(gè)繼電器開合;繼電器開關(guān)位于ModBus TCP或RTU的第一接口和第二接口之間,實(shí)現(xiàn)ModBus信號(hào)在Bypass功能開啟時(shí)ModBus TCP或RTU第一接口與第二接口之間的信號(hào)互通。
所述主控制模塊與擴(kuò)展存儲(chǔ)模塊通過系統(tǒng)總線相連接。
所述電源模塊上還設(shè)置有運(yùn)行狀態(tài)燈。
所述被測(cè)試設(shè)備是由多種工業(yè)控制設(shè)備組成的具備ModBus通信功能的工業(yè)控制系統(tǒng),例如DCS系統(tǒng)、SCADA系統(tǒng)等。被測(cè)試系統(tǒng)具有以太網(wǎng)或串口形式的調(diào)試接口用以連接ModBus異常流量分析裝置。ModBus異常流量分析裝置通過訪問該調(diào)試接口可以讀取系統(tǒng)運(yùn)行狀態(tài)、系統(tǒng)配置、系統(tǒng)組態(tài)信息、IO模塊的輸入輸出、系統(tǒng)日志等信息。
所述模擬設(shè)備采用支持ModBus協(xié)議的已知工業(yè)控制設(shè)備,例如現(xiàn)場(chǎng)儀表、PLC、HMI等。各個(gè)工業(yè)控制設(shè)備通過工業(yè)串口或以太網(wǎng)交換機(jī)與ModBus流量檢測(cè)裝置相連接。
所述ModBus異常流量分析裝置通過以太網(wǎng)與ModBus流量檢測(cè)裝置相連。同時(shí),ModBus異常流量分析裝置也可以通過以太網(wǎng)從被測(cè)試設(shè)備中獲得被測(cè)試設(shè)備的狀態(tài)信息和實(shí)時(shí)數(shù)據(jù)。
ModBus異常流量分析裝置采用搭載了DNP3.0異常流量分析系統(tǒng)或軟件的x86架構(gòu)的工業(yè)計(jì)算機(jī)實(shí)現(xiàn),該工業(yè)計(jì)算機(jī)具備2個(gè)以太網(wǎng)口和1個(gè)RS232串口。該計(jì)算機(jī)通過以太網(wǎng)與ModBus流量檢測(cè)裝置連接,通過以太網(wǎng)或串口與被測(cè)試設(shè)備的調(diào)試接口進(jìn)行連接。
所述ModBus異常流量分析裝置的工作流程如下:
1.訪問ModBus流量檢測(cè)裝置,讀取截獲的ModBus協(xié)議雙向數(shù)據(jù)包;
2.訪問被測(cè)試設(shè)備,讀取設(shè)備狀態(tài)、輸入輸出數(shù)據(jù)、系統(tǒng)日志等信息;
3.通過機(jī)器學(xué)習(xí)算法(神經(jīng)網(wǎng)絡(luò)、決策樹、支持向量機(jī)等)構(gòu)建的流量分析模型來判斷所截獲的數(shù)據(jù)包與被測(cè)試設(shè)備的信息之間的匹配程度,若匹配程度大于90%,則判定為異常流量;
4.單獨(dú)記錄判定的異常流量以供后期分析。
所述ModBus流量檢測(cè)裝置截獲仿真計(jì)算機(jī)和被測(cè)試設(shè)備之間的ModBus通信報(bào)文,并將截獲的報(bào)文轉(zhuǎn)發(fā)至ModBus異常流量分析裝置中。
主控制模塊選用了基于ARM Cortex-A8處理器的AM3358,工作頻率800MHz,具備兩個(gè)工業(yè)千兆位以太網(wǎng)接口(10、100 和 1000Mbps)和多個(gè)UART通用異步收發(fā)接口。為了保證AM3358能夠正常運(yùn)行,擴(kuò)展了256MB的DDR存儲(chǔ)以實(shí)時(shí)運(yùn)行程序、1GB的FLASH來存儲(chǔ)入侵檢測(cè)程序和基礎(chǔ)數(shù)據(jù),同時(shí)還擴(kuò)展了一個(gè)4GB microSD卡用于存儲(chǔ)系統(tǒng)配置和異常流量特征數(shù)據(jù)。同時(shí),主控制模塊還包含了1路RS232接口電路,用于裝置功能調(diào)試。
ModBus TCP通信模塊包括了2個(gè)匹配RJ45類型接口的以太網(wǎng)轉(zhuǎn)換電路。ModBus RTU通信模塊包括了2個(gè)RS485轉(zhuǎn)換電路,支持終端匹配和無終端匹配兩種模式。兩個(gè)通信模塊與主控制模塊之間采用光耦隔離的方式以保護(hù)主控制模塊不受到接口電壓波動(dòng)所帶來的影響。同時(shí),兩個(gè)ModBus通信模塊都具有保護(hù)功能,可防止意外高壓對(duì)模塊的沖擊。
看門狗模塊包括看門狗處理器及擴(kuò)展電路??撮T狗接收來自主處理模塊AM3358的GPIO喂狗信號(hào),控制主處理模塊的供電電路及Bypass模塊。看門狗電路獨(dú)立于其它模塊電路,實(shí)時(shí)監(jiān)測(cè)主處理模塊的運(yùn)行狀態(tài),發(fā)現(xiàn)主處理模塊有異常時(shí)可以重啟該模塊并保證Bypass功能開啟。
電源模塊包括主控制模塊供電及復(fù)位控制電路、看門狗供電電路、通信模塊供電電路。電源模塊可輸出+5V、+3.3V和+1.8V電源電壓,分別為RS485芯片、以太網(wǎng)芯片、看門狗處理器和AM3358處理器提供電源。電源模塊向主控制模塊提供復(fù)位信號(hào),復(fù)位電路的輸入源是看門狗處理器的輸出。
實(shí)施例3
作為本實(shí)用新型的一種較佳實(shí)施例,參照說明書附圖1,本實(shí)施例公開了一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),本實(shí)施例包括:
一種針對(duì)ModBus協(xié)議的工控異常流量檢測(cè)系統(tǒng),包括模擬設(shè)備、ModBus流量檢測(cè)裝置、被測(cè)試設(shè)備和ModBus異常流量分析裝置,所述模擬設(shè)備用于模擬無信息安全隱患且無故障的正常設(shè)備,模擬ModBus主站或從站;所述ModBus流量監(jiān)測(cè)裝置用于截獲模擬設(shè)備和被測(cè)試設(shè)備之間的ModBus通信流量;所述被測(cè)試設(shè)備是可能存在信息安全隱患的工業(yè)控制設(shè)備,可能會(huì)發(fā)送異常的ModBus通信報(bào)文到模擬設(shè)備的設(shè)備;所述ModBus異常流量分析裝置用于接收并顯示截獲的所有ModBus報(bào)文,并具有對(duì)比分析功能,可依據(jù)設(shè)定規(guī)則判斷所截獲的單條或多條報(bào)文為異常報(bào)文,從而判斷被測(cè)試設(shè)備是否具有信息安全隱患。
所述模擬設(shè)備與ModBus流量檢測(cè)裝置相連;所述ModBus流量檢測(cè)裝置與模擬設(shè)備、被測(cè)試設(shè)備和ModBus異常流量分析裝置分別相連;所述被測(cè)試設(shè)備分別與ModBus流量檢測(cè)裝置和ModBus異常流量分析裝置相連;所述ModBus異常流量分析裝置分別與被測(cè)試設(shè)備和ModBus流量檢測(cè)裝置相連。
以上所述實(shí)施例僅表達(dá)了本申請(qǐng)的具體實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對(duì)本申請(qǐng)保護(hù)范圍的限制。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本申請(qǐng)技術(shù)方案構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本申請(qǐng)的保護(hù)范圍。