CN106774248A - 一种基于下位机的行为模式安全防护方法 - Google Patents
一种基于下位机的行为模式安全防护方法 Download PDFInfo
- Publication number
- CN106774248A CN106774248A CN201611119886.7A CN201611119886A CN106774248A CN 106774248 A CN106774248 A CN 106774248A CN 201611119886 A CN201611119886 A CN 201611119886A CN 106774248 A CN106774248 A CN 106774248A
- Authority
- CN
- China
- Prior art keywords
- behavior pattern
- control instruction
- control
- safeguard
- slave computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
Abstract
一种基于下位机的行为模式安全防护方法,下位机通过路由器与人机界面、上位机、防护设备连接,包括如下两个步骤:a.下位机发出一个控制指令,防护设备将所述控制指令与预定义控制流程行为模式进行比对;b.若控制指令符合控制流程行为模式,则所述防护设备转发所述控制指令到现场设备;若所述控制指令不符合所述控制流程行为模式,所述防护设备发出告警和/或阻断所述控制指令;本发明能够使控制设备在接收到不符合标准控制流程的行为模式时,防护设备将发出告警或阻断控制命令。这样既可以避免内部人员的误操作,也可以有效阻止外部各种针对下位机及现场设备为目标的攻击行为。
Description
技术领域
本发明涉及工业控制安全领域技术领域,特别涉及一种基于下位机的行为模式安全防护方法。
背景技术
由于控制系统设计之初是一个与外界物理隔离的系统,因此传统的控制协议没有考虑信息安全和网络安全的问题。随着标准网络和互联网技术在控制系统的广泛应用,特别是物联网技术在各个领域(例如智能家居)的扩展延伸,控制系统面临的安全威胁正日益加剧,现有的防火墙技术只能部分解决安全问题,比如访问控制列表(Access ControlList)就不能解决无序数据包的问题;状态检测防火墙(SPI)只关心报文的前后关联性,对于那些合规,有关联性但对控制设备和现场设备有害的命令并不能阻止;再有深度包解析的防火墙尽管能够对应用数据包的内容进行解析,但是完全解码并在应用协议级别分析每个数据包需要额外的处理能力,深度包解析技术隐含着巨大的处理开销和网络延时,在典型的控制系统对实时性的要求很高的控制系统,使用全方位的深度包解析的应用场景并不普遍,这些外在的防护手段的局限性,无法有效的解决控制系统的安全行为。
发明内容
为此,本发明提供了一种基于下位机的行为模式安全防护方法,用于解决在控制系统中的下位机在外界干扰或自身出现问题时发送不符合正常操作流程的操作指令,导致下位机或现场设备功能丧失所造成的危险问题等问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于下位机的行为模式安全防护方法,人机界面、上位机、防护设备通过路由器与下位机连接,包括如下两个步骤:
a.下位机发出一个控制指令,防护设备将所述控制指令与预定义控制流程行为模式进行比对;
b.若控制指令符合控制流程行为模式,则所述防护设备转发所述控制指令到现场设备;若所述控制指令不符合所述控制流程行为模式,所述防护设备发出告警和/或阻断所述控制指令。
配置管理设备与所述路由器连接,通过配置管理设备预定义所述控制流程行为模式,所述控制流程行为模式包括但不限于在给定的时间范围所允许执行的控制指令、控制程度、控制指令发生的频率和控制指令之间的关联关系。
所述路由器与现场设备连接;所述防护设备从所述路由器获得所述控制指令,并将获得的所述控制指令与预定义的控制流程行为模式进行比对。
若所述防护设备接收到的所述控制指令符合所述控制流程行为模式,所述防护设备准许所述控制指令的执行,然后继续处理下一条指令。
若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,则所述防护设备发出可视、可闻的告警信息。
若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,则所述防护设备将告警信息发送到所述配置管理设备,由所述配置管理设备记录并发出可闻、可视的告警信息。
所述防护设备与现场设备连接;所述防护设备从所述下位机获得所述控制指令,并将获得的所述控制指令与预定义的所述控制流程行为模式进行比对。
若所述防护设备接收到的所述控制指令符合所述控制流程行为模式,所述防护设备准许所述控制指令的执行,然后继续处理下一条指令。
若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,所述防护设备发出可视、可闻的告警信息。
若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,所述防护设备可以将告警信息发送到所述配置管理设备,由所述配置管理设备记录并发出可闻、可视告警信息,和/或阻断所述控制指令。
本发明的有益效果:本发明能够使控制设备在接收到不符合标准控制流程的行为模式时,防护设备将发出告警或阻断控制命令。这样既可以避免内部人员的误操作,也可以有效阻止外部各种针对下位机及现场设备为目标的攻击行为。
附图说明
图1是工业控制系统中利用配置管理设备和防护设备实现对异常指令监控和告警的示意图,
图2是工业控制系统中利用配置管理设备和防护设备实现对异常指令监控、告警和阻断的示意图,
图3是本发明中防护设备的组成示意图,
图4是本发明中控制指令含义说明示例表,
图5是本发明配置管理设备对控制流程模式预定义的示例表,
图6是本发明操作流程示例。
附图标记:
100-工业控制系统, 102-下位机,
104-上位机, 106-人机界面,
108-现场设备, 110-路由器,
112-防护设备, 114-配置管理设备,
302-处理器, 304-控制指令分析模块,
306-控制流程存储模块, 308-外部设备。
具体实施方式
下面结合附图对本发明的较佳实施例进行详细阐述,参考标号是指本发明中的组件、技术,以便本发明的优点和特征在适合的环境下实现能更易于被理解。下面的描述是对本发明权力要求的具体化,并且与权利要求相关的其它没有明确说明的具体实现也属于权利要求的范围。
本发明提出了一个通过与预定义的控制流程行为模式比较的方法来决定是否执行/告警/阻断控制指令的安全防护方法,这种方法有效解决了设备的处理能力和网络延时造成的影响。
实施例一
在图1表示控制系统环境100中,上位机104与下位机102之间通过工业控制协议进行通信。下位机102和人机界面106之间存在一个应用程序接口,现场设备108通过与下位机102的接口来执行控制命令或反馈测量信息,包括但不限于温度、压力、转速等等,配置管理设备114用于对控制流程行为模式的预定义,并将预定义的控制流程行为模式数据通过与防护设备112的接口发送到各个防护设备112-1到112-N。防护设备112-1到112-N通过路由器110-1到110-N对发送到现场设备108的控制指令进行监测,即监测通信接口上发送的控制指令和数据,若控制指令和数据符合预定义的控制流程行为模式,防护设备112继续检测下一条指令,否则防护设备112产生可闻、可视的告警,同时也可以通过通信接口向配置管理设备114发出告警信息,由配置管理设备114记录并发出可闻、可视的告警信息,如图1中的网络结构示意图,本实施例中的防护设备112具有监控和告警的功能。
实施例二
在图2表示控制系统环境100中,上位机104与下位机102之间通过工业控制协议进行通信;下位机102和人机界面106之间存在一个应用程序接口;防护设备112与下位机102之间设置有能够相互通信的通信接口;现场设备108通过防护设备112与下位机102的通信接口来执行控制命令或反馈测量信息,包括但不限于温度、压力、转速等等;配置管理设备114用于对控制流程行为模式的预定义,并将预定义的控制流程行为模式数据通过与防护设备112的通信接口发送到各个防护设备112-1到112-N。同时通信接口还用于防护设备112向配置管理设备114发出告警信息。当防护设备112从下位机102接收到控制指令时,若控制指令和数据符合预定义的控制流程的行为模式,防护设备112转发该控制指令给现场设备108,并继续检测下一条指令,否则,防护设备112阻断该控制命令,同时产生可闻、可视的告警,或通过通信接口向配置管理设备114发出告警信息,由配置管理设备114记录并发出可闻、可视的告警信息,本实施例中的安全防护装置112同时具有监控、告警和阻断的功能。
图3是防护设备112系统组成的示意图,它们的基本组成是网络通信接口、处理器302,控制指令分析模块304、控制流程存储模块306以及外部设备308(例如喇叭、指示灯等)。其中通信接口通过特定的通信协议与外界通信,处理器302负责设备的计算和管理,控制指令分析模块304对接收到的控制指令与控制流程存储模块306中的控制流程行为模式进行比对,符合控制流程行为模式,则转发该控制指令,否则将阻断该指令并通过外部设备308发出可闻、可视告警,并将告警信息通过通信接口发送到配置管理设备114。
图4是控制指令数据与具体操作含义的映射关系示例,每一条控制指令与协议数据和操作数据一一对应,并且这种对应关系不是完全公开的,即每条控制指令对应通用的协议数据,这个指令所具体代表的操作内容是通过设计人员自行组织设定的。
图5是在配置管理设备114上对控制流程行为模式预定义的举例,其中包括但不限于时间范围,允许指令,允许数据范围,允许发生频次,允许涉及的现场设备108以及控制指令之间的关联限制等信息。
图6是本发明在防护设备112上的操作流程,当防护设备112开始从路由器110或下位机102读取一条控制指令时S1,控制指令分析模块304将这一条指令和控制流程存储模块306中的控制流程行为模式进行比较S2,判断是否符合控制流程S3,如果该指令符合预先定义的控制流程行为模式,则防护设备112结束该控制指令的监控,从路由器110或下位机102读取下一条控制指令,否则,控制指令分析模块304向外部设备发出可闻、可视告警/阻断S4,并且通过网络通信接口302向配置管理设备114发送告警信息。当防护设备112在系统中作为下位机102与现场设备108连接的中间设备时,系统结构如图2所示,防护设备112将阻断该条指令不能到达现场设备108。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种基于下位机的行为模式安全防护方法,其特征在于,所述下位机通过路由器与人机界面、上位机、防护设备连接,包括如下两个步骤:
a.所述下位机发出一个控制指令,所述防护设备将所述控制指令与预定义控制流程行为模式进行比对;
b.若所述控制指令符合所述控制流程行为模式,则所述防护设备转发所述控制指令到现场设备;若所述控制指令不符合所述控制流程行为模式,所述防护设备发出告警和/或阻断所述控制指令。
2.根据权利要求1所述的基于下位机的行为模式安全防护方法,其特征在于,配置管理设备与所述路由器连接,通过所述配置管理设备预定义所述控制流程行为模式,所述控制流程行为模式包括但不限于在给定的时间范围所允许执行的控制指令、控制程度、控制指令发生的频率、控制指令之间的关联关系。
3.根据权利要求1所述的基于下位机的行为模式安全防护方法,其特征在于,所述路由器与所述现场设备连接;所述防护设备从所述路由器获得所述控制指令,并将获得的所述控制指令与预定义的所述控制流程行为模式进行比对。
4.根据权利要求3所述的基于下位机的行为模式安全防护方法,其特征在于,若所述防护设备接收到的所述控制指令符合所述控制流程行为模式,所述防护设备准许所述控制指令的执行,然后继续处理下一条指令。
5.根据权利要求3所述的基于下位机的行为模式安全防护方法,其特征在于,若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,则所述防护设备发出可视、可闻的告警信息。
6.根据权利要求3所述的基于下位机的行为模式安全防护方法,其特征在于,若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,则所述防护设备将告警信息发送到所述配置管理设备,由所述配置管理设备记录并发出可闻、可视的告警信息。
7.根据权利要求2所述的基于下位机的行为模式安全防护方法,其特征在于,所述防护设备与所述现场设备连接;所述防护设备从所述下位机获得所述控制指令,并将获得的所述控制指令与预定义的所述控制流程行为模式进行比对。
8.根据权利要求7所述的基于下位机的行为模式安全防护方法,其特征在于,若所述防护设备接收到的所述控制指令符合所述控制流程行为模式,所述防护设备准许所述控制指令的执行,然后继续处理下一条指令。
9.根据权利要求7所述的基于下位机的行为模式安全防护方法,其特征在于,若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,所述防护设备发出可视、可闻的告警信息。
10.根据权利要求7所述的基于下位机的行为模式安全防护方法,其特征在于,若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式,所述防护设备可以将告警信息发送到所述配置管理设备,由所述配置管理设备记录并发出可闻、可视告警信息,和/或阻断所述控制指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611119886.7A CN106774248B (zh) | 2016-12-08 | 2016-12-08 | 一种基于下位机的行为模式安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611119886.7A CN106774248B (zh) | 2016-12-08 | 2016-12-08 | 一种基于下位机的行为模式安全防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106774248A true CN106774248A (zh) | 2017-05-31 |
| CN106774248B CN106774248B (zh) | 2019-10-22 |
Family
ID=58882466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611119886.7A Active CN106774248B (zh) | 2016-12-08 | 2016-12-08 | 一种基于下位机的行为模式安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106774248B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110609480A (zh) * | 2018-06-15 | 2019-12-24 | 青岛海尔洗衣机有限公司 | 家用电器的安全控制方法和系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299909A (zh) * | 2009-09-24 | 2011-12-28 | 费希尔-罗斯蒙特系统公司 | 用于过程控制系统的集成统一威胁管理 |
| CN103117993A (zh) * | 2011-09-28 | 2013-05-22 | 费希尔-罗斯蒙特系统公司 | 用于提供过程控制系统的防火墙的方法、装置及制品 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN104346451A (zh) * | 2014-10-29 | 2015-02-11 | 山东大学 | 一种基于用户反馈的情景感知系统及其工作方法和应用 |
| CN104615096A (zh) * | 2014-12-04 | 2015-05-13 | 深圳市永达电子股份有限公司 | 一种保障工业控制系统信息安全的方法及系统 |
| CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| EP3046081A1 (en) * | 2013-09-12 | 2016-07-20 | Jae Sung Jang | Security access control system and security access control method using covered passage |
| CN105812200A (zh) * | 2014-12-31 | 2016-07-27 | 中国移动通信集团公司 | 异常行为检测方法及装置 |
-
2016
- 2016-12-08 CN CN201611119886.7A patent/CN106774248B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299909A (zh) * | 2009-09-24 | 2011-12-28 | 费希尔-罗斯蒙特系统公司 | 用于过程控制系统的集成统一威胁管理 |
| CN103117993A (zh) * | 2011-09-28 | 2013-05-22 | 费希尔-罗斯蒙特系统公司 | 用于提供过程控制系统的防火墙的方法、装置及制品 |
| EP3046081A1 (en) * | 2013-09-12 | 2016-07-20 | Jae Sung Jang | Security access control system and security access control method using covered passage |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN104346451A (zh) * | 2014-10-29 | 2015-02-11 | 山东大学 | 一种基于用户反馈的情景感知系统及其工作方法和应用 |
| CN104615096A (zh) * | 2014-12-04 | 2015-05-13 | 深圳市永达电子股份有限公司 | 一种保障工业控制系统信息安全的方法及系统 |
| CN105812200A (zh) * | 2014-12-31 | 2016-07-27 | 中国移动通信集团公司 | 异常行为检测方法及装置 |
| CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110609480A (zh) * | 2018-06-15 | 2019-12-24 | 青岛海尔洗衣机有限公司 | 家用电器的安全控制方法和系统 |
| CN110609480B (zh) * | 2018-06-15 | 2022-05-06 | 青岛海尔洗衣机有限公司 | 家用电器的安全控制方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106774248B (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
| US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| CN104506507A (zh) | 一种sdn网络的蜜网安全防护系统及方法 | |
| EP3182234B1 (en) | Control device, integrated industrial system, and control method thereof | |
| US10819742B2 (en) | Integrated industrial system and control method thereof | |
| CN114567463B (zh) | 一种工业网络信息安全监测与防护系统 | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| CN106789982B (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
| CN111835680A (zh) | 一种工业自动制造的安全防护系统 | |
| CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
| CN105765942A (zh) | 经由边界网关进行信息安全性威胁中断的系统和方法 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| Paul et al. | Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO | |
| KR101573500B1 (ko) | 무선통신 데이터 로거 및 이를 이용한 플랜트 모니터링 시스템 및 방법 | |
| CN110365717A (zh) | 基于hart-ip协议的工业入侵监测方法和系统 | |
| Zvabva et al. | Evaluation of industrial firewall performance issues in automation and control networks | |
| JP2019050477A (ja) | インシデント分析装置およびその分析方法 | |
| Katulić et al. | Enhancing modbus/tcp-based industrial automation and control systems cybersecurity using a misuse-based intrusion detection system | |
| CN107360134A (zh) | 安全远程控制终端的实现方法及其安全系统 | |
| CN106774248A (zh) | 一种基于下位机的行为模式安全防护方法 | |
| Pfrang et al. | On the Detection of Replay Attacks in Industrial Automation Networks Operated with Profinet IO. | |
| CN103338183A (zh) | 一种入侵检测系统与防火墙联动的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211122 Address after: 310051 building 3, 351 Changhe Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: Hangzhou rischen Anke Technology Co.,Ltd. Address before: 100192 b407, block B, science and technology wealth center, 8 Xueqing Road, Haidian District, Beijing Patentee before: BEIJING LANXUM NEW TECHNOLOGY Co.,Ltd. Patentee before: HANGZHOU GUYI NETWORK TECHNOLOGY CO.,LTD. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 817-7, Building 1, No. 371, Mingxing Road, Economic and Technological Development Zone, Xiaoshan District, Hangzhou City, Zhejiang Province, 311215 Patentee after: Hangzhou Zhongdian Anke Modern Technology Co.,Ltd. Address before: 310051 building 3, 351 Changhe Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou rischen Anke Technology Co.,Ltd. |