CN105847266A - 一种工业通信中对关键控制器的保护系统 - Google Patents
一种工业通信中对关键控制器的保护系统 Download PDFInfo
- Publication number
- CN105847266A CN105847266A CN201610213463.5A CN201610213463A CN105847266A CN 105847266 A CN105847266 A CN 105847266A CN 201610213463 A CN201610213463 A CN 201610213463A CN 105847266 A CN105847266 A CN 105847266A
- Authority
- CN
- China
- Prior art keywords
- industrial communication
- key
- equipment
- controller key
- protection system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/30—Types of network names
- H04L2101/395—Internet protocol multimedia private identity [IMPI]; Internet protocol multimedia public identity [IMPU]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种工业通信中对关键控制器的保护系统,通过人工或者自动方式定义和识别关键控制器,采用地址白名单和IMPU机制保护操作工程师站的可信性,可以识别20种当前主流工控协议,利用流量管控、双机热备、bypass等异常处理机制,保证关键控制系统的绝对安全运行,进而保证工业通信系统的安全运行。
Description
技术领域
本发明涉及一种保护系统,尤其涉及一种工业通信中对关键控制器的保护系统。
背景技术
当前工业通信系统中各种软件层出不穷,新的漏洞不断被发现,黑客入侵的技术日益提高,通信系统的保护任务越来越艰巨,尤其是通信系统中关键控制器的保护。一旦通信系统中关键控制器受到攻击,可能导致整个通信系统瘫痪,对工业生产造成威胁。
发明内容
针对上述问题,本发明提供一种可以大大提高工业通信系统安全和稳定性的关键控制器保护系统。
本发明采取的技术方案为:一种工业通信中对关键控制器的保护系统,包括地址过滤器、协议分析器、关键设备识别器、异常处理机;
所述的关键设备识别器采用人工识别和自动识别两种方式,人工识别主要是通过管理员输入设备名称定义关键控制器;自动识别主要通过一定的特征值,如设备地址、设备价值、设备的危险级别,由系统采用小波聚类算法分析网络审计日志及设备使用日志自动识别工业通信中的关键控制器。
地址过滤器采用地址(IP地址、MAC地址、端口、用户)白名单保护机制,并对操作工程师站采用“IP-MAC-PORT-USER”多重绑定机制(即IMPU绑定机制)保护操作工程师站的可信性,用户采用动态数字证书方式实现。
协议分析器用来识别不同控制器的工业通信协议,其可以识别20种当前主流工控协议,并可接入第三方协议识别器,并支持二次开发,协议识别器识别协议畸形、协议丢失。
异常处理机包括流量管控、双机热备、bypass处理。流量管控主要防止控制器受到网络风暴、洪水等网络攻击。双机热备主要提供保护冗余机制,保证当保护系统本身发生故障时不影响关键控制器的运行。而bypass功能保障主、备用保护系统同时发生断电、系统死机等严重故障时,系统能短时间绕过保护系统进行操作,保证关键控制器的绝对安全运行。
小波聚类算法自动识别关键设备的步骤如下:
(1)输入初始数据,初始数据就是指需要进行聚类的数据集合,是聚类算法的输入集合;
(2)对初始数据集进行标准化操作,把初始的数据集归一化到统一的标准化空间中;
(3)实行聚类算法,输出聚类中心,通常采用迭代的方式不断改变聚类中心来实现对初始数据集的分类;
(4)识别关键控制器。
本发明的有益效果是:通过人工或者自动方式定义和识别关键控制器,采用地址白名单和IMPU机制保护操作工程师站的可信性,可以识别20种当前主流工控协议,利用流量管控、双机热备、bypass等异常处理机制,保证关键控制系统的绝对安全运行,进而保证工业通信系统的安全运行。
附图说明
图1是本发明结构示意图;
图2是地址过滤示意图;
图3是小波聚类算法自动识别关键设备的示意图。
具体实施方式
一种工业通信中对关键控制器的保护系统,如图1所示,包括地址过滤器、协议分析器、关键设备识别器、异常处理机;
如图2所示,地址过滤器采用地址(IP地址、MAC地址、端口、用户)白名单保护机制,并对操作工程师站采用“IP-MAC-PORT-USER”多重绑定机制保护操作工程师站的可信性,用户采用动态数字证书方式实现。
所述的关键设备识别器采用人工识别和自动识别两种方式,人工识别主要是通过管理员输入设备名称定义关键控制器;自动识别主要通过一定的特征值,如设备地址、设备价值、设备的危险级别,由系统采用小波聚类算法分析网络审计日志及设备使用日志自动识别工业通信中的关键控制器。
如图3所示,小波聚类算法自动识别关键设备的步骤如下:
(1)输入初始数据,初始数据就是指需要进行聚类的数据集合,是聚类算法的输入集合;
(2)对初始数据集进行标准化操作,把初始的数据集归一化到统一的标准化空间中;
(3)实行聚类算法,输出聚类中心,通常采用迭代的方式不断改变聚类中心来实现对初始数据集的分类;
(4)识别关键控制器。
协议分析器用来识别不同控制器的工业通信协议,协议识别器识别协议畸形、协议丢失。
异常处理机包括流量管控、双机热备、bypass处理。
Claims (5)
1.一种工业通信中对关键控制器的保护系统,其特征在于:包括地址过滤器、协议分析器、关键设备识别器、异常处理机;
所述的关键设备识别器采用人工识别和自动识别两种方式,人工识别主要是通过管理员输入设备名称定义关键控制器;自动识别主要通过一定的特征值,如设备地址、设备价值、设备的危险级别,由系统采用小波聚类算法分析网络审计日志及设备使用日志自动识别工业通信中的关键控制器。
2.根据权利要求1所述的工业通信中对关键控制器的保护系统,其特征在于:地址过滤器采用地址白名单保护机制,并对操作工程师站采用“IP-MAC-PORT-USER”多重绑定机制保护操作工程师站的可信性,用户采用动态数字证书方式实现。
3.根据权利要求1所述的工业通信中对关键控制器的保护系统,其特征在于:协议分析器用来识别不同控制器的工业通信协议,协议识别器识别协议畸形、协议丢失。
4.根据权利要求1所述的工业通信中对关键控制器的保护系统,其特征在于:异常处理机包括流量管控、双机热备、bypass处理。
5.根据权利要求1所述的工业通信中对关键控制器的保护系统,其特征在于:小波聚类算法自动识别关键设备的步骤如下:
(1)输入初始数据,初始数据就是指需要进行聚类的数据集合,是聚类算法的输入集合;
(2)对初始数据集进行标准化操作,把初始的数据集归一化到统一的标准化空间中;
(3)实行聚类算法,输出聚类中心,通常采用迭代的方式不断改变聚类中心来实现对初始数据集的分类;
(4)识别关键控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610213463.5A CN105847266A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信中对关键控制器的保护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610213463.5A CN105847266A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信中对关键控制器的保护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105847266A true CN105847266A (zh) | 2016-08-10 |
Family
ID=56596923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610213463.5A Pending CN105847266A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信中对关键控制器的保护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105847266A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020141343A1 (en) * | 2001-03-28 | 2002-10-03 | Bays Robert James | Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies |
| US20030086425A1 (en) * | 2001-10-15 | 2003-05-08 | Bearden Mark J. | Network traffic generation and monitoring systems and methods for their use in testing frameworks for determining suitability of a network for target applications |
| US20060136987A1 (en) * | 2004-12-20 | 2006-06-22 | Fujitsu Limited | Communication apparatus |
| US20070022469A1 (en) * | 2005-07-20 | 2007-01-25 | Cooper Robin R | Network user authentication system and method |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN101547187A (zh) * | 2008-03-28 | 2009-09-30 | 中兴通讯股份有限公司 | 宽带接入设备的网络攻击防护方法 |
| CN102970309A (zh) * | 2012-12-25 | 2013-03-13 | 苏州山石网络有限公司 | 僵尸主机的检测方法、检测装置及防火墙 |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
-
2016
- 2016-04-07 CN CN201610213463.5A patent/CN105847266A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020141343A1 (en) * | 2001-03-28 | 2002-10-03 | Bays Robert James | Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies |
| US20030086425A1 (en) * | 2001-10-15 | 2003-05-08 | Bearden Mark J. | Network traffic generation and monitoring systems and methods for their use in testing frameworks for determining suitability of a network for target applications |
| US20060136987A1 (en) * | 2004-12-20 | 2006-06-22 | Fujitsu Limited | Communication apparatus |
| US20070022469A1 (en) * | 2005-07-20 | 2007-01-25 | Cooper Robin R | Network user authentication system and method |
| CN101547187A (zh) * | 2008-03-28 | 2009-09-30 | 中兴通讯股份有限公司 | 宽带接入设备的网络攻击防护方法 |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN102970309A (zh) * | 2012-12-25 | 2013-03-13 | 苏州山石网络有限公司 | 僵尸主机的检测方法、检测装置及防火墙 |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| CN107493265B (zh) | 一种面向工业控制系统的网络安全监控方法 | |
| CN111930882B (zh) | 一种服务器异常溯源方法、系统及存储介质 | |
| CN106789386B (zh) | 检测通信总线上错误的方法以及用于网络系统的检错器 | |
| EP2866407A1 (en) | Protection of automated control systems | |
| CN104506507A (zh) | 一种sdn网络的蜜网安全防护系统及方法 | |
| CN107819633B (zh) | 一种快速发现并处理网络故障的方法 | |
| CN103973676A (zh) | 一种基于sdn的云计算安全保护系统及方法 | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| CN110113336B (zh) | 一种用于变电站网络环境的网络流量异常分析与识别方法 | |
| CN105072101B (zh) | 基于入侵容忍的sdn控制器端系统和安全通信方法 | |
| CN103872640A (zh) | 一种配电自动化终端单元离线故障快速自愈控制方法 | |
| US20120072556A1 (en) | Method and System for Detecting Network Upgrades | |
| Dolezilek et al. | Cybersecurity based on IEC 62351 and IEC 62443 for IEC 61850 systems | |
| CN103902666A (zh) | 一种基于ogg数据库复制的配置文件采集监控方法 | |
| CN111786986A (zh) | 一种数控系统网络入侵防范系统及方法 | |
| CN109165506B (zh) | 一种工控容错服务器在线病毒查杀和病毒防护的方法 | |
| EP2630749A1 (en) | Distributed network instrumentation system | |
| CN105045100A (zh) | 一种利用海量数据进行管理的智能运维监控平台 | |
| CN105847266A (zh) | 一种工业通信中对关键控制器的保护系统 | |
| CN107612755A (zh) | 一种云资源的管理方法及其装置 | |
| CN111885094A (zh) | 一种工控系统网络安全防护能力检查评估系统 | |
| CN102904770A (zh) | 一种高带宽VoIP检测系统 | |
| CN114844676B (zh) | 一种电力监控系统网络安全威胁应急处置系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160810 |