CN106354100A - 一种应用于数控机床的运维审计方法和装置 - Google Patents
一种应用于数控机床的运维审计方法和装置 Download PDFInfo
- Publication number
- CN106354100A CN106354100A CN201611019885.5A CN201611019885A CN106354100A CN 106354100 A CN106354100 A CN 106354100A CN 201611019885 A CN201611019885 A CN 201611019885A CN 106354100 A CN106354100 A CN 106354100A
- Authority
- CN
- China
- Prior art keywords
- processor
- network interface
- machine tool
- control machine
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/18—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
- G05B19/414—Structure of the control system, e.g. common controller or multiprocessor systems, interface to servo, programmable interface controller
- G05B19/4142—Structure of the control system, e.g. common controller or multiprocessor systems, interface to servo, programmable interface controller characterised by the use of a microprocessor
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/34—Director, elements to supervisory
- G05B2219/34013—Servocontroller
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Human Computer Interaction (AREA)
- Manufacturing & Machinery (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Electrically Operated Instructional Devices (AREA)
- Numerical Control (AREA)
Abstract
本发明提供一种应用于数控机床的运维审计设备,包括:处理器、以及分别与处理器连接的KVM接口、安全域网口和存储器。KVM接口模块连接运维电脑,安全域网口用于连接数控机床;处理器在接收到运维电脑的鼠标和/或键盘输出的操作命令时,将运维电脑的显卡输出的视频数据存储在存储器,同时通过对报文进行解析得到操作命令对应的运行指令及与运行指令对应的寄存器读写信息,并将运行指令和寄存器读写信息存储在存储器。这样通过同一时间内的运行指令和寄存器读写信息,加上录屏演示,实现现场运维的全操作审计,提高了数控机床的安全防护能力。
Description
技术领域
本发明涉及数控机床领域,更具体地说,涉及一种应用于数控机床的运维审计方法和装置。
背景技术
目前,在进行精密机械加的工生产制造行业缺乏对数控机床的网络安全防护,面临的安全问题主要有运维监控管理难。如工业防火墙只能解决串行安全防护的安全问题,不能对外来人员的运维进行监管;基于KVM的审计系统,是以录屏方式对运维电脑的鼠标、键盘和显示信号进行记录,这样将运维人员在自己电脑上的所有操作以录屏的方式记录下来,以供后续运维审计,但很多后台程序是通过运维电脑自动安装到数控机床中的,数据泄露不涉及到屏幕操作,因此,基于KVM的审计系统也无法很好的实现数控机床的安全防护。
发明内容
有鉴于此,本发明提出一种应用于数控机床的运维审计方法和装置,欲实现现场运维的录屏和指令联动记录,以提高数控机床的安全防护能力的目的。
为了实现上述目的,现提出的方案如下:
一种应用于数控机床的运维审计设备,包括:处理器、以及分别与所述处理器连接的KVM接口、安全域网口和存储器,其中,
所述KVM接口用于连接运维电脑,所述安全域网口用于连接数控机床;
所述处理器用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时,将所述运维电脑的显卡输出的视频数据存储在所述存储器,同时通过对报文进行解析得到所述操作命令对应的运行指令及与所述运行指令对应的寄存器读写信息,并将所述运行指令和所述寄存器读写信息存储在所述存储器。
优选的,所述设备还包括:与所述处理器连接的非安全域网口,其中,
所述非安全域网口用于连接外网;
所述处理器还用于允许流量从所述安全域网口到所述非安全域网口方向的主动访问,且不允许流量从所述非安全域网口到所述安全域网口方向的主动访问。
优选的,所述处理器还用于解析NC代码的格式,当发现NC代码时,将所述NC代码以及所述NC代码对应的操作类型存储在所述存储器。
优选的,所述NC代码对应的操作类型包括:上传、下载和修改。
优选的,所述设备还包括:与所述处理器连接的USB接口,所述处理器还用于对所述USB接口连接的U盘进行病毒查杀。
优选的,所述处理器还用于对访问所述数控机床的流量进行入侵检测。
优选的,所述处理器利用DPI技术对访问所述数控机床的流量进行入侵检测。
优选的,所述处理器用于基于FTP、SSH、RDP、FANUC和SIEMENS协议进行解析。
优选的,所述设备还包括:服务器接口,所述服务器接口与远端服务器连接,所述处理器还用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时,将所述运维电脑的显卡输出的视频数据发送至所述远端服务器进行存储,并将所述运行指令和所述寄存器读写信息发送至所述远端服务器进行存储
与现有技术相比,本发明的技术方案具有以下优点:
上述技术方案提供的一种应用于数控机床的运维审计设备,包括:处理器、以及分别与处理器连接的KVM接口、安全域网口和存储器。KVM接口模块连接运维电脑,安全域网口用于连接数控机床;处理器在接收到运维电脑的鼠标和/或键盘输出的操作命令时,将运维电脑的显卡输出的视频数据存储在存储器,同时通过对报文进行解析得到操作命令对应的运行指令及与运行指令对应的寄存器读写信息,并将运行指令和寄存器读写信息存储在存储器。这样通过同一时间内的运行指令和寄存器读写信息,加上录屏演示,实现现场运维的全操作审计,提高了数控机床的安全防护能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种应用于数控机床的运维审计设备的示意图;
图2为本发明实施例提供的另一种应用于数控机床的运维审计设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现对本发明设计的名词进行解释,以便于对本发明方案的理解:
数控机床:是数字控制机床(Computer numerical control machine tools)的简称,是一种装有程序控制系统的自动化机床。该控制系统能够逻辑地处理具有控制编码或其他符号指令规定的程序,并将其译码,用代码化的数字表示,通过信息载体输入数控装置。经运算处理由数控装置发出各种控制信号,控制机床的动作,按图纸要求的形状和尺寸,自动地将零件加工出来。
KVM:就是Keyboard Video Mouse的缩写,KVM技术无需目标服务器修改软件,可以在Windows的BIOS环境下,随时访问目标计算机。KVM提供真正的主板级别访问,并支持多平台服务器和串行设备。
本发明实施例提供了一种应用于数控机床的运维审计设备,请参阅图1,该设备包括:处理器1、以及分别与处理器1连接的KVM接口2、安全域网口3和存储器4,其中,KVM接口2用于连接运维电脑,安全域网口3用于连接数控机床;
处理器1用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时,将所述运维电脑的显卡输出的视频数据存储在所述存储器4,同时通过对报文进行解析得到所述操作命令对应的运行指令及与所述运行指令对应的寄存器读写信息,并将所述运行指令和所述寄存器读写信息存储在所述存储器4。
例如,当运维人员在运维电脑启动了某数控机床的运维软件之后,点击诊断按钮时,不但可以点击诊断按钮的操作录屏下来,还通过对报文的解析,实现了点击诊断按钮对应的运行指令,以及与运行指令对应的寄存器读写信息,按照时间轴同步记录下来。真正实现了录屏和指令的联动记录,极大提高了审计能力,当发生安全事件时,可以很好的回归溯源。
本发明实施例提供了一种应用于数控机床的运维审计设备,请参阅图1,该设备包括:处理器1、以及分别与处理器1连接的KVM接口2、安全域网口3、存储器4、非安全域网口5、USB接口6和服务器接口7,其中,
非安全域网口7用于连接外网;处理器1还用于允许流量从安全域网口3到非安全域网口4方向的主动访问,且不允许流量从非安全域网口7到安全域网口3方向的主动访问。当从安全域网口3到非安全域网口4有主动访问时,保存这个连接信息,回应数据从非安全域网口4到安全域网口3方向会放行;但是不会允许非安全域网口7到安全域网口3的主动访问。实现对访问数控机床的流量进行访问控制,提高了数控机床的安全性。
处理器1用于对USB接口6连接的U盘进行病毒查杀。当运维人员需要利用U盘传输数据至数控机床时,处理器1对USB接口6连接的U盘进行病毒查杀,以保障数控机床的安全性。
服务器接口7与远端服务器连接,所述处理器1还用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时,将所述运维电脑的显卡输出的视频数据发送至所述远端服务器进行存储,并将所述运行指令和所述寄存器读写信息发送至所述远端服务器进行存储。存储器4的存储空间有限,通过远端服务器实现对审计信息的集中存储。
目前没有NC代码防泄漏的技术。NC代码就是数字信息控制机械控制器能识别的代码,例如数控切割设备上就有G代码、ESSI码、EIA码等,NC代码根据不同品牌的控制器所构成的结构也不相同。本发明通过解析NC代码的格式,当通过本发明提供的设备传输NC代码时,通过分析引擎对代码进行分析,如果是NC代码则将NC代码和NC代码对应的操作类型存储下来。NC代码的操作类型包括:上传、下载以及修改。
处理器1还用于对访问所述数控机床的流量进行入侵检测。具体的,利用DPI(DeepPacket Inspection,深度报文检测)技术对访问所述数控机床的流量进行入侵检测。所谓的深度报文检测是相对于传统报文检测技术而言。传统报文检测只是检测L2~L4层的内容,也就是进对报文的五元组信息进行检测,包括源地址、目的地址、源端口、目的端口以及协议类型。而DPI技术对整个L2~L7上的信息都进行检测,对报文的分析扩充到了应用层,对报文实际内容都有分析。通过采用DPI技术进行流量监控,提高了流量的识别率和准确度。
处理器1基于FTP、SSH、RDP、FANUC和SIEMENS协议进行解析。FTP协议为文件传输协议,RDP协议为图形终端操作协议,SSH协议为字符型远程操作协议。FTP协议、RDP协议和SSH协议均为通用协议。FANUC协议和SIEMENS协议为第三方运维厂商采用的专有运维协议。处理器1通过以Focas软件包为基础的FANUC协议,解析应用层,实现机床状态查询、刀具寿命查询、机床模式设置、加工文件设置(加工文件的上传、下载、查询)、机床的实时控制等;以及通过以OPC-UA协议为基础的SIEMENS协议,解析包括对象、方法以及数据点位。实现了基于FANUC协议、SIEMENS协议等机床运维协议的解析。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对本发明所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种应用于数控机床的运维审计设备,其特征在于,包括:处理器、以及分别与所述处理器连接的KVM接口、安全域网口和存储器,其中,
所述KVM接口用于连接运维电脑,所述安全域网口用于连接数控机床;
所述处理器用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时,将所述运维电脑的显卡输出的视频数据存储在所述存储器,同时通过对报文进行解析得到所述操作命令对应的运行指令及与所述运行指令对应的寄存器读写信息,并将所述运行指令和所述寄存器读写信息存储在所述存储器。
2.根据权利要求1所述的设备,其特征在于,所述设备还包括:与所述处理器连接的非安全域网口,其中,
所述非安全域网口用于连接外网;
所述处理器还用于允许流量从所述安全域网口到所述非安全域网口方向的主动访问,且不允许流量从所述非安全域网口到所述安全域网口方向的主动访问。
3.根据权利要求1或2所述的设备,其特征在于,所述处理器还用于解析NC代码的格式,当发现NC代码时,将所述NC代码以及所述NC代码对应的操作类型存储在所述存储器。
4.根据权利要求3所述的设备,其特征在于,所述NC代码对应的操作类型包括:上传、下载和修改。
5.根据权利要求1所述的设备,其特征在于,所述设备还包括:与所述处理器连接的USB接口,所述处理器还用于对所述USB接口连接的U盘进行病毒查杀。
6.根据权利要求1或2所述的设备,其特征在于,所述处理器还用于对访问所述数控机床的流量进行入侵检测。
7.根据权利要求6所述的设备,其特征在于,所述处理器利用DPI技术对访问所述数控机床的流量进行入侵检测。
8.根据权利要求1或2所述的设备,其特征在于,所述处理器用于基于FTP、SSH、RDP、FANUC和SIEMENS协议进行解析。
9.根据权利要求1所述的设备,其特征在于,所述设备还包括:服务器接口,所述服务器接口与远端服务器连接,所述处理器还用于在接收到所述运维电脑的鼠标和/或键盘输出的操作命令时,将所述运维电脑的显卡输出的视频数据发送至所述远端服务器进行存储,并将所述运行指令和所述寄存器读写信息发送至所述远端服务器进行存储。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611019885.5A CN106354100B (zh) | 2016-11-18 | 2016-11-18 | 一种应用于数控机床的运维审计方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611019885.5A CN106354100B (zh) | 2016-11-18 | 2016-11-18 | 一种应用于数控机床的运维审计方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106354100A true CN106354100A (zh) | 2017-01-25 |
CN106354100B CN106354100B (zh) | 2019-03-12 |
Family
ID=57862245
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611019885.5A Active CN106354100B (zh) | 2016-11-18 | 2016-11-18 | 一种应用于数控机床的运维审计方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106354100B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109151405A (zh) * | 2018-10-30 | 2019-01-04 | 北京中电瑞铠科技有限公司 | 一种运维通讯设备 |
CN112165463A (zh) * | 2020-09-14 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 审计数据的生成方法、装置、设备和计算机可读存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050044184A1 (en) * | 2000-05-03 | 2005-02-24 | Thomas Christopher L. | Network based KVM switching system |
US20090013109A1 (en) * | 2006-01-31 | 2009-01-08 | Schweig Marc E | Keyboard, video and mouse session capture |
CN101931626A (zh) * | 2010-08-25 | 2010-12-29 | 深圳市傲冠软件股份有限公司 | 远程控制过程中实现安全审计功能的服务终端 |
CN102185907A (zh) * | 2011-04-22 | 2011-09-14 | 杭州比特瑞旺电脑有限公司 | 一种kvm-over-ip视频录像审计系统的实现方法 |
CN102609637A (zh) * | 2011-12-20 | 2012-07-25 | 北京友维科软件科技有限公司 | 数据泄露审计防护系统 |
CN103441926A (zh) * | 2013-08-27 | 2013-12-11 | 西北工业大学 | 数控机床网安全网关系统 |
CN104268443A (zh) * | 2014-09-28 | 2015-01-07 | 北京航天数控系统有限公司 | 一种数控系统防护设备 |
CN105162639A (zh) * | 2015-10-10 | 2015-12-16 | 上海新炬网络信息技术有限公司 | 一种kvm下的虚拟网络故障定位装置 |
CN106020932A (zh) * | 2015-05-21 | 2016-10-12 | 中国科学院计算技术研究所 | 一种用于kvm虚拟机系统的安全防护方法及系统 |
-
2016
- 2016-11-18 CN CN201611019885.5A patent/CN106354100B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050044184A1 (en) * | 2000-05-03 | 2005-02-24 | Thomas Christopher L. | Network based KVM switching system |
US20090013109A1 (en) * | 2006-01-31 | 2009-01-08 | Schweig Marc E | Keyboard, video and mouse session capture |
CN101931626A (zh) * | 2010-08-25 | 2010-12-29 | 深圳市傲冠软件股份有限公司 | 远程控制过程中实现安全审计功能的服务终端 |
CN102185907A (zh) * | 2011-04-22 | 2011-09-14 | 杭州比特瑞旺电脑有限公司 | 一种kvm-over-ip视频录像审计系统的实现方法 |
CN102609637A (zh) * | 2011-12-20 | 2012-07-25 | 北京友维科软件科技有限公司 | 数据泄露审计防护系统 |
CN103441926A (zh) * | 2013-08-27 | 2013-12-11 | 西北工业大学 | 数控机床网安全网关系统 |
CN104268443A (zh) * | 2014-09-28 | 2015-01-07 | 北京航天数控系统有限公司 | 一种数控系统防护设备 |
CN106020932A (zh) * | 2015-05-21 | 2016-10-12 | 中国科学院计算技术研究所 | 一种用于kvm虚拟机系统的安全防护方法及系统 |
CN105162639A (zh) * | 2015-10-10 | 2015-12-16 | 上海新炬网络信息技术有限公司 | 一种kvm下的虚拟网络故障定位装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109151405A (zh) * | 2018-10-30 | 2019-01-04 | 北京中电瑞铠科技有限公司 | 一种运维通讯设备 |
CN112165463A (zh) * | 2020-09-14 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 审计数据的生成方法、装置、设备和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN106354100B (zh) | 2019-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10530799B1 (en) | Non-harmful insertion of data mimicking computer network attacks | |
CN100392539C (zh) | 用于运行技术设备的方法和过程管理系统 | |
US7752125B1 (en) | Automated enterprise risk assessment | |
CN108255711A (zh) | 一种基于污点分析的plc固件模糊测试系统及测试方法 | |
JP2003534721A (ja) | インターネット通信を監視する方法 | |
CN103544095A (zh) | 服务器程序的监控方法及其系统 | |
CN102932195A (zh) | 一种基于网络协议分析的业务分析监控方法及系统 | |
CN106909327A (zh) | 一种用于工控设备的显示控制装置 | |
CN107800722A (zh) | 隔离工控设备与外部网络服务器的方法及装置 | |
CN106354100B (zh) | 一种应用于数控机床的运维审计方法和装置 | |
JP2022512195A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
CN111404889B (zh) | 审计方法及装置、客户端 | |
CN109189806A (zh) | 一种校园安全物联网感知平台 | |
CN110532312A (zh) | 一种基于大数据的工业互联云平台系统 | |
CN104967667B (zh) | 一种基于云服务的软件稳定性测试远程监控系统 | |
CN109684221A (zh) | 测试代码覆盖率采集方法、系统、设备以及介质 | |
Ottolini et al. | Interoperability and scalability trade-offs in open iot platforms | |
Amrein et al. | Security intelligence for industrial control systems | |
CN105867342A (zh) | 一种基于嵌入式工控机的小水电移动终端监控方法 | |
JP4257364B2 (ja) | 通信エラー情報出力プログラム、通信エラー情報出力方法および通信エラー情報出力装置 | |
CN102455969B (zh) | 一种Linux串口通信日志记录的方法 | |
KR20200052465A (ko) | 사물인터넷 게이트웨이 및 이의 암호화 데이터 처리 방법 | |
WO2021004276A1 (zh) | 一种用于人防设备维护的监测方法及系统 | |
Kim et al. | HDF: Hybrid debugging framework for distributed network environments | |
CN113330375A (zh) | 控制装置、管理程序以及控制系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |