CN107817756A - 网络化分布式数控系统靶场设计方法 - Google Patents
网络化分布式数控系统靶场设计方法 Download PDFInfo
- Publication number
- CN107817756A CN107817756A CN201711026486.6A CN201711026486A CN107817756A CN 107817756 A CN107817756 A CN 107817756A CN 201711026486 A CN201711026486 A CN 201711026486A CN 107817756 A CN107817756 A CN 107817756A
- Authority
- CN
- China
- Prior art keywords
- network
- design
- target range
- layer
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/054—Input/output
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/11—Plc I-O input output
- G05B2219/1103—Special, intelligent I-O processor, also plc can only access via processor
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络化分布式数控系统靶场设计方法,用于解决现有网络靶场设计方法实用性差的技术问题。技术方案是将网络靶场自底向上分为基础设施层、服务支撑层和试验表示层三层结构。详细设计基础设施层,包括硬件,即审计设备、PLC和电机,和软件,即Vmware、VxWorks和Wireshark。设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真。设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真。本发明能够实现对DNC网络的安全性进行在线实时深度检测,能够实现对DNC网络进行持续的安全检测和漏洞扫描,能够诱捕持续更新的工业病毒和网络病毒,实用性好。
Description
技术领域
本发明涉及一种网络靶场设计方法,特别涉及一种网络化分布式数控系统靶场设计方法。
背景技术
发表于2015第6卷第5期《指挥信息系统与技术》杂志1-6页的文献“基于IaaS的网络靶场试验系统设计与实现”公开了一种基于IaaS的网络靶场设计方法。该方法将网络靶场系统架构分为具有应用行业背景的基础设施层、具有数据库和试验背景支持的服务支撑层和具有试验任务支持的试验表示层。在系统实现,物理上设计计算资源服务器、存储设备和网络仿真服务器,使用SDN技术实现各类资源的合理利用与配送,使其网络性能和计算性能满足需求。在系统实现,逻辑管理上基于OpenStack通用资源管理框架,设计多个子系统管理资源,通过标准化的API实现系统和资源的集成和调用。该方法针对于一般计算机网络资源提供了靶场方法。然而,尽管在基础设施层中也提及了工控系统,但没有针对智能制造行业的具体基础设施、数据库与试验背景以及试验任务的明确设计方案和技术手段。该方法更没有针对智能制造系统网络靶场的具体实现方式。缺乏明确的针对智能制造系统网络攻防演练和网络新技术评测的重要基础设施。整体而言,该方法缺乏对智能制造系统网络靶场的系统设计与系统实现的具体实施方法。
智能制造系统网络靶场除了需要明确系统设计与系统实现外,智能制造网络靶场还需要包括以下功能:(1)网络攻防武器评测验证:新型工控网络攻防武器研制出来之后,需要对其进行测试验证,是否能有效攻破敌方防护系统,以及是否能有效保护我方目标系统;(2)支持人员培训与竞演:随着新型工控网络攻防武器的研发,具体工控网络安全人员能否能有效掌握,训练后,谁掌握的技能更好;(3)科学试验和新技术验证:网络空间科研人员研制出新的工业网络协议,新型工控网络设备,以及不同工业网络新技术,在工控网上功能和性能如何,也需要进行验证。
智能制造系统网络靶场的典型代表就是面向智能制造的网络化分布式数控系统(DNC)靶场。对于军工制造业控制系统来说,建设虚实结合网络空间靶场、研究制造工业网络的攻防策略也势在必行。一方面,若军工制造行业的具体数据遭受被动攻击窃取,则窃取者可以通过加工数据推算我国武器装备的型号、规模、企业的生产能力甚至是具体的产量信息,这对国家安全将产生巨大的隐患;另一方面,设备的后门和漏洞可能被敌对者利用来对军工制造企业网络进行主动攻击,后果轻则破坏系统设备和网络,重则扰乱军工企业武器装备的研发和生产进度、阻碍国防科学技术的发展和国家的武器储备。
发明内容
为了克服现有网络靶场设计方法实用性差的不足,本发明提供一种网络化分布式数控系统靶场设计方法。该方法将网络靶场自底向上分为基础设施层、服务支撑层和试验表示层三层结构。详细设计基础设施层,包括硬件,即审计设备、PLC和电机,和软件,即Vmware、VxWorks和Wireshark。设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真。设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真。本发明能够实现对DNC网络的安全性进行在线实时深度检测,能够实现对DNC网络进行持续的安全检测和漏洞扫描,能够诱捕持续更新的工业病毒和网络病毒,实用性好。
本发明解决其技术问题所采用的技术方案:一种网络化分布式数控系统靶场设计方法,其特点是包括以下步骤:
步骤一、将网络靶场自底向上分为基础设施层、服务支撑层和试验表示层三层结构。
步骤二、设计基础设施层,包括硬件,即审计设备、PLC和电机,和软件,即Vmware、VxWorks和Wireshark,为网络靶场提供基本的设施。通过云计算方法将各类资源虚拟化为靶场资源池,并通过SDN方法集成各类虚拟资源以及工控系统、专用设备和无线设备。所述的基础设施层通过一组资源管理工具对虚拟和实物资源的运行状态进行监控和管理,形成可根据网络靶场试验需求弹性扩展的资源集合。
步骤三、设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真。MES服务器提供制造数据管理、计划排程管理、生产调度管理、库存管理、质量管理和人力资源管理服务;工艺设计和网络仿真服务器分别提供进行机械加工工艺设计和模拟网络行为的服务。所述的服务支撑层基于靶场数据库资源,通过服务化和消息化形式提供网络靶场的管理、调度、运行和监控功能。
步骤四、设计试验表示层,包括DNC系统管理和NC程序服务器,所述的试验表示层提供数字控制的功能,实现车间数控设备及生产工位的统一联网管理,支持数控设备的在线加工、NC程序的断点续传、在线远程请求和历史追溯。试验表示层包括靶场试验的配置、部署、控制和输出,将网络靶场试验需求和部署方式转换成系统操作指令,下发至服务支撑层执行。
本发明的有益效果是:该方法将网络靶场自底向上分为基础设施层、服务支撑层和试验表示层三层结构。详细设计基础设施层,包括硬件,即审计设备、PLC和电机,和软件,即Vmware、VxWorks和Wireshark。设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真。设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真。本发明能够实现对DNC网络的安全性进行在线实时深度检测,能够实现对DNC网络进行持续的安全检测和漏洞扫描,能够诱捕持续更新的工业病毒和网络病毒,实用性好。
传统的漏洞扫描和挖掘系统只能提供发现漏洞的功能,无法修补漏洞,消除安全隐患。另外,针对漏洞的挖掘一般通过随机发包的方式探测漏洞,没有实现漏洞的智能挖掘和检测。本发明将弥补传统检测的不足。
传统的工控数据采集隔离平台仅针对数据采集过程中遇到的数据泄露、病毒入侵等威胁,无法应对来自网络的如DDoS等各类攻击。本发明具有持续监测和自适应防护的功能,弥补传统数据隔离平台的不足。
传统工控安全监管平台需与其他工控网络安全系统配合使用。而本发明自身具有集成的体系检测、防护与学习能力,弥补传统工控安全监管平台的依赖性。
传统工控信息安全监控系统对数据流量镜像后进行分析,对于破坏系统实时性的攻击,反应时间较长。本发明具有在线实时检测能力,弥补传统公开信息安全监控的应急方面的不足。
传统工控网络安全威胁评估平台仅能够对工控系统的安全性进行评估,形成评估报告,无法对安全威胁实现自主防御。本发明基于态势感知,能够进行体系安全评估和基于自适应学习的安全防御。
下面结合附图和具体实施方式对本发明作详细说明。
附图说明
图1是本发明网络化分布式数控系统靶场设计方法设计的网络靶场系统架构。
图2是网络化DNC靶场物理架构;
图3是网络化DNC靶场逻辑架构;
图4是基于态势感知目标的自适应安全防御;
图5是网络攻击流量生成系统结构框图。
具体实施方式
参照图1-5。本发明网络化分布式数控系统靶场设计方法具体步骤如下:
I.网络化DNC靶场设计。
网络化DNC靶场设计物理组成如下:网络化DNC靶场在物理上由园区网和生产网组成。园区网主要包括DNC系统管理服务器、MES服务器、工艺设计服务器、网络仿真服务器、NC程序管理服务器以及数控审计计算机、数控系统等设备通过高性能可编程网络互相连接,基于支持软件定义网络Openflow协议的网络转发设备,实现网络资源的互联互通、端口映射和流量重定向。网络化DNC靶场物理架构如图2所示。
构建微型DNC网络化数控靶场的数据采集、监控系统:虽然物理数据采集技术相对成熟,然而对于如何既能实现全面彻底数据采集又能保证自身足够的强健安全,也是网络化DNC靶场的重要组成部分。特别的,虚拟化数据采集技术结合云计算和大数据技术是安全数据采集和系统体系防护技术的当前发展热点方向。Open Stack网络技术的应用是构建虚拟化和大数据技术的重要技术手段,保证网络化DNC靶场在升级中实现Open Stack的功能和系统集成。
网络化DNC靶场的网络端是基于软件定义网络技术构建的。软件定义网络是基于Openflow的信息通讯协议而形成的网络虚拟化的一种实现方式,是网络靶场和DNC网络化数控靶场的核心建设内容。软件定义网络实现从基础设施层到中间控制层再到顶层应用层的实现软件定义网络在DNC网络化数控系统中的实现的重点关键技术。
网络化DNC靶场设计逻辑组成如下:网络化DNC靶场逻辑架构如图3所示。靶场物理基础设施通过一组高性能服务器集群、高速网络设备和海量存储设备为整个系统提供计算、存储和网络等基本系统资源,在此基础上,工艺和NC程序等各类数据得以在系统中正常运转。经过资源虚拟化,系统中各类资源转化为资源池,根据用户所需统一调配。在资源组合过程中,网络靶场通过一组API访问资源池中的资源,基于网络构建、计算构建、镜像管理和存储管理等功能模块,生成满足靶场试验需求的资源组合,提供给用户进行调配和使用,形成一个可运行的靶场试验实例。网络化DNC靶场逻辑架构的底层为生产网中计算机系统与数控设备之间的交互,包括程序和指令的下发,以及机床状态的反馈。
通过网络靶场技术思路,将分布式数控加工系统与网络靶场联系起来。利用机床作为实际的生产加工车间,而上位机部分则是对车床的加工生产及任务调度进行模拟仿真,交换机分别负责靶场的主要通信任务和将生产网络的主干网络进行流量镜像,从中获取生产过程中的全部通信数据。其中靶场监控工作站上进行整个过程的流量审计工作,靶场监控工作站则是负责整个网络的行为审计。除此之外,在上位机中部署log日志系统,用于记录操作过程中的每一步产生的数据。本主要利用流量审计和行为审计,在靶场中获取异常行为。同时,设计一种数控实时监控系统,用于实时监控数控系统加工状态,实时显示数据控系统PLC、电机及驱动各项参数,记录机床各类加工状态数据。另外,此监控系统将并辅以报警和日志等功能,完善数控机床监控和数据采集模块。
II.网络化DNC靶场安全防御方法。
网络化DNC靶场在构建网络靶场过程中,涵盖网络攻防演练的功能。
在自适应防御方面在基于靶场安全架构的思想上,设计具有靶场防御、检测、响应和预测的体系边界防御策略。
靶场边界防护的防御阶段要求提供基于靶场的防御策略。此防御策略应对传统的和非传统或者特别异常的攻击,是基于检测的态势感知计算生成的。其中态势感知是这样一类计算方式,它可以使用背景信息和情况内容提供丰富的、态势感知的和可用的内容、功能和经验。背景感知安全是使用此背景计算改进安全决策。
靶场安全架构的检测阶段的核心功能是发现攻击和减少潜在的威胁在系统中的藏匿时间。为了构建真正意义上的靶场安全架构和基于分析评估的防护体系,系统检测应该是持续的且不知在各层系统中的。持续的检测将会产生大量的数据,包括信息传输、日志产生、事件发生、系统使用、攻击行为等。使用各种先进技术,包括启发式方法、统计分析、推断建模、人工智能、聚类分析和Bayesian建模可以从大量的数据中抽取有用的信息。此有用的信息经过进一步分析并传递给背景感知计算,可以生成有用的系统安全模型,为分析攻击的影响提供评估和确立靶场安全防护策略的优先顺序。
当检测报告产生以后,针对有威胁的报告,使用取证分析和根源分析仲裁入侵的攻击和潜在的威胁,以此推荐新的防御测量。仲裁机制使用已生成回归树结构,快速判断分析攻击入侵原因,追溯问题根源,及时发现漏洞或者找到系统脆弱处。靶场安全架构及时修复漏洞以保证系统适应性的稳健。靶场的边界安全防护进一步综合归类已有防御上端,从而形成同一分层而且动态发展的边界防御规则。
预测和评估功能是面对可能的威胁或者攻击,并且预估攻击后果于风险。基于已生成的系统安全模型,模拟延时系统的安全性,并且预测潜在攻击对系统的威胁。另外基于智能学习攻击的类型和信息,也可以模拟系统在未知攻击下的响应,以及预测对系统各层的侵害和影响。
网络化DNC靶场自适应边界安全防御的特点:传统的防火墙根据预选设置好的安全策略对进入网络边界的流量进行控制。但是这种防火墙缺少对网络流量的分析检测功能,更不用提动态的响应和预测功能。本设计的边界防护策略是主动的、积极的入侵评估响应策略,可以入侵活动和攻击行为进行实时审计、检测和拦截。
首先,明确DNC网络化数控靶场的各安全域,鉴别安全域的边界防护需求。
其次,为了保证网络边界的安全,指定的策略包括一下几个模块:(1)报文防御模块,此模块是实施传统的防御策略和非传统的基于态势感知的靶场防御策略。(2)报文检测模块,此模块实际上是以一个数据采集工作站和数据存储、分析和计算为基础的模块,实施大数据分析与态势计算。(3)报文响应模块,此模块是对应防御模块而设计的。对应于传统的防御模块,响应是依据已制定好的规则,从而减小攻击面积和减轻攻击力度。对应于非传统的防御模块,响应是靶场且动态的自我调整的响应。(4)预测模块,此模块建立在检测模块上的模型层,根据报文流预测对边界内网络产生的影响。预测包括两方面,一方面是预测输入对内网络的影响,另一方面是评估输入的风险。
该策略可利用TCP/IP协议报文的头部中的信息如:协议的类型、源IP地址、目的IP地址、TCP或UDP的端口信息等,而进行归类分析和进行特征分析。通过聚类分析、模式识别、机器学习等方法匹配特征、分析流量、分析协议和重构会话等深度分析报文的内容,从而将包含攻击信息的报文、攻击事件提取而提交至数据工作站,形成大数据平台,为进一步的分析提供基础。
态势感知技术要求在信息传递的各层以及重要系统部件之间共同协作,其中从底层到上层的共同协作与全面数据收集与分析,其中涵盖:连接、通信、语义内容分析、动态流量分析、行为分析和理念分析。网络层的协作实现连接和通信的协作。语义内容分析将集中理解通信在网络层的数据,动态流量重视传输上下文的变化而和行为分析是匹配各层分析和行动,从而形成一个具有理念的判断。怎样在技术上实现以上要求,采取怎样的数据分析算法与数据存储机制都是其中需要重点考虑的方面。
网络化DNC靶场在自主学习防御方面是基于深度学习的异常流量检测思想上的。在整个生产过程中能够产生大量的生产数据,特别是在企业园区网络部分,由于直接和互联网互通,因此可能会受到异常流量的攻击。
为了能够得到含有异常流量的生产网络中的流量数据,设计了网络流量生成器,模拟生成实际网络流量,将攻击行为融入其中,具体的生产网络生成器如图5所示。基于这样的设计,形成含有异常流量的生产网络数据。
其中,攻击建模模块主要完成计算机网络攻击行为特征的分析和提取;攻击模型存储模块主要负责计算机网络攻击行为模型的格式化和存储;攻击模型管理模块完成计算机网络攻击模型的编辑、维护和管理;攻击流量生成模块主要是根据需求从攻击模型存储库中提取相应的计算机网络攻击模型产生攻击流量并输出到网络上。其中攻击模型存储库是各模块间进行信息交互的中介。
将上述系统中所获取的数据进行特征提取,设计出能够有效从正常流量中识别出攻击行为的深度学习算法。该算法框架融合了特征抽取,从海量数据中找到异常数据的基本模式,然后在深度学习的框架下得到较为准确的分类器,最终实现在线方式的异常流量检测。
III.网络化DNC靶场基本功能及安全控制模块设计。
i)数控加工管理系统。数控加工管理系统结合数控加工管理的相关需求,根据软件开发理论和管理理论,采用当前较为流行的开发技术.NET技术以及数据库访问技术、MVC设计模式,并结合成熟的SQL Server 2008数据库技术,在Visual Studio 2010平台下设计和开发。系统从概要设计、详细设计以及数据库设计等方面对系统进行了设计;在系统实现部分,依次从系统实现环境、数据库的实现和基于B/S的数控加工管理系统的实现三方面进行展开,其中基于B/S的数控加工管理系统的实现主要分为六大模块,分别为用户管理模块、权限管理模块、数控程序基本信息管理模块、数控程序审核管理模块、数控程序共享管理模块、数控程序测试管理模块等功能模块;在数据库访问方面专门设计了一个Data类来实现数据库访问的所有操作,提高了程序开发的效率和代码的重用率,有利于程序的维护。数控加工管理系统能够方便数控加工的管理,提高工作效率,并且利用知识共享管理模式,促进在数控程序使用过程中不同节点的衔接和流转,为机械加工中的数控管理起到示范作用。
ii)网络数控系统的信息集成系统。网络数控系统的信息集成系统以硬件为辅助手段,以软件为主要手段实现了以下功能:以串口扩展卡来实现网络中多台数控机床的通信和管理;使用数据库技术对数控机床的物理信息进行管理和操作,将数控机床基础信息管理系统、NC程序自动生成模块、刀具加工轨迹仿真模块和DNC通信接口模块集成为一体,实现了数控加工的离线编程和数控系统的无带控制,提高了编程效率、质量,缩短加工辅助时间,提高了机床的效率,既实现了编程和加工的分离,又达到它们之间的无缝连接。
本系统软件主要包括数控机床基础信息管理、多串口通信、图形自动编程以及刀具加工轨迹模拟显示等功能模块。软件系统人机界面友好,操作简单易学,移植性和维护性好,通用性和扩充性强,不仅可用于实际加工生产,而且还可用于教学培训,因而具有广泛的应用前景和较高的实用价值。
iii)数控网络管理系统。数控网络管理系统在对嵌入式linux系统中网络通信功能进行模块化的基础上,编写安装脚本,实现模块的动态加载,完成数控网络管理系统软硬件的配置工作,支持多种网络连接方式。在此基础上设计数控系统统一友好的网络管理图形界面,支持网络化安装和基于序列号的软件发布及安装管理,实现功能独立的数控网络管理软件系统。
在此基础上,本网络化DNC靶场还包括以下功能模块。
1.网络端与数控端的双网互联管控模块。双网互联模块是首先划分逻辑隔离安全域,建立双网端的集中数据传输服务器,保证两端数据服务器为数据的唯一出口和入口,使用双单向传输网闸,保证数据在单向线路传输中不构成回路。
2.系统的数据采集及云存储模块。为获取系统的运动状态信息和位置状况,系统的传动部件上均装有传感器,用来监测设备运动状态或位置信息。因此,数控机床控制器内的数据就包含有各种与运动状态有关的状态信号、控制器I/O信号、设备功能控制产生的中间信号以及位置信息等。一旦发生故障,根据控制器内的各类信号及信号之间的逻辑关系一般可找到发生故障的大致位置或部件,这部分信号的采集及处理已在设备控制器内部作了相当周密的考虑,不需另行设计,只需通过设备的控制网络直接获取。另一方面为系统的工况状态信号监测,在机床一些主要功能执行部件的相关位置安装传感器,来监测功率、振动、温度和压力等反映机床加工过程状态的信息,此部分信号必须单独设计提取。主要利用如下两种方式进行数据采集:
(1)设置外部数据采集装置对状态信息进行提取。
对于不带DNC接口的数控机床,由于常见的数控系统的PLC接口只能在机床的内部使用,对于外部没有直接的PLC接口,而且大部分具有RS232C接口的设备不能直接实现对数控设备的状态采集,同时,对数控设备硬件的改造比较困难,容易损坏昂贵的数控设备,因此可以采取外接数据采集装置以实现对数控机床状态信息的提取。目前,数据采集装置主要指的是采集板卡和智能采集模块。采集板卡在一块印刷电路板上集成了模拟开关、程控放大器、采样保持器、A/D和D/A转化器等器件,用户将此类板卡插入到计算机主板上相应的I/O扩展槽中,采集板卡的引脚与数控机床的相关状态信息所对应的引脚相连接,就构成了一个数据采集和处理系统。
智能采集模块可以通过串行通讯协议(RS232、RS485等)或者其它的通讯协议与计算机相连,并与外接的现场信号直接相连或者与由传感器转换过的外界号相连。计算机由程序控制以实现采集并处理现场的信号。通过数控系统的操手册可以知道数控机床执行某一个动作时其对应产生的信号的引脚,当把智能采集模块的引脚与机床的相关引脚相连时,运行计算机中的相关软件,即可实现对机床的状态信息的提取。
(2)利用数控系统内部PLC信息提取状态信息。
数控系统中PLC模块用来处理零件程序中的开关功能和来自机床的信号,实现CNC装置各功能和操作方式之间的连锁,包括机床电气设备的启、停、刀具交换、转台分度、工件数量和运动时间的计数等。PLC内部的信息是对数控机床状态监测的重要依据,通过PLC获得的数控机床运行状态信息是PLC各I/O点的值和复位状态,先将其映射为统一的数据格式,在嵌入式通讯接口中采用C++编写监测程序采集PLC端口的运行状态,并按照映射规则,将数控机床的运行状态信息存入数据库中。
(3)系统中的MES系统,实现系统监控功能。
由于西门子数控系统信息采集基于OPC UA框架,所以MES系统中主要调用函数和西门子数控系统、PLC、驱动、电机支持读取的所有变量。通过MES系统采集数据调用的函数。OPC UA协议的使用过程中,server指的是数控系统,client指的是与数控系统连接的计算机。
实现机床加工状态读取程序的文件主要包括以下OPC UA的支持函数与可读变量的调用及管理。(1)建立和断开会话连接,增加和删除监控功能,增加监控中的节点,读入节点属性,读入节点的值,以及写节点的值等。西门子提供了OPC UA通讯过程中使用的主要函数。通过调用这些接口函数,提取系统变量的值,就可以实现对机床状态数据的读取,实时显示机床运行状态。(2)状态采集过程中涉及的变量。使用UA Client的客户端(计算机端),可以浏览系统支持的变量。高版本的系统软件支持更多的系统变量。通过客户端可以浏览的变量支持监控功能。西门子系统在OPC UA通讯协议中支持的数控系统包括方式组变量、通道变量、驱动变量、GUD变量、HMI变量、通过方法读入变量表中不包含的变量、NCK变量、PLC变量、通用设定数据、通道设定数据、刀具变量、其他变量。这些目录下共有近4000个变量,其中部分变量名称、地址及相应描述如下表所示,这些变量表示机床的各类运行状态数据,包括:驱动信息、监控状态、轴最大转速、轴当前转速、自动/手动模式、电流信息、加速度信息等。近4000个变量都有自己的属性,包括NodeClass(变量类型)、BrowseName(变量名称)、DataType(变量数据类型)、AccessLevel(存取类型)、Value(当前变量的值)等。
网络化DNC靶场设计除以上各方面外,可结合人工智能技术进行攻防一体化安全防护研究,研究包括基于数据挖掘的漏洞扫描系统、基于蜜罐诱捕的深度增强学习一体化异常检测系统、基于迁移学习的专业化DNC网络防火墙设计等在内的网络化DNC靶场安全防御方法设计。进行以下几方面的研究:在关联分析和协同分析的基础上,利用LDA以及NN等机器学习的方法对漏洞特征进行进一步抽取,实现漏洞特征的归纳,使漏洞库的泛化能力增强,在提升对已知漏洞的扫描匹配之余,也能够进一步提高对未知漏洞的扫描检测能力;设计基于增强学习的异常检测系统,蜜罐系统既是数据来源,又是系统自我博弈的场所;设计了基于迁移学习的防火墙规则学习模块,包括基于实例迁移学习的防火墙模块和基于实例迁移学习的防火墙模块等。
Claims (1)
1.一种网络化分布式数控系统靶场设计方法,其特征在于包括以下步骤:
步骤一、将网络靶场自底向上分为基础设施层、服务支撑层和试验表示层三层结构;
步骤二、设计基础设施层,包括硬件,即审计设备、PLC和电机,和软件,即Vmware、VxWorks和Wireshark,为网络靶场提供基本的设施;通过云计算方法将各类资源虚拟化为靶场资源池,并通过SDN方法集成各类虚拟资源以及工控系统、专用设备和无线设备;所述的基础设施层通过一组资源管理工具对虚拟和实物资源的运行状态进行监控和管理,形成可根据网络靶场试验需求弹性扩展的资源集合;
步骤三、设计服务支撑层,包括服务器,即MES、工艺设计以及网络仿真;MES服务器提供制造数据管理、计划排程管理、生产调度管理、库存管理、质量管理和人力资源管理服务;工艺设计和网络仿真服务器分别提供进行机械加工工艺设计和模拟网络行为的服务;所述的服务支撑层基于靶场数据库资源,通过服务化和消息化形式提供网络靶场的管理、调度、运行和监控功能;
步骤四、设计试验表示层,包括DNC系统管理和NC程序服务器,所述的试验表示层提供数字控制的功能,实现车间数控设备及生产工位的统一联网管理,支持数控设备的在线加工、NC程序的断点续传、在线远程请求和历史追溯;试验表示层包括靶场试验的配置、部署、控制和输出,将网络靶场试验需求和部署方式转换成系统操作指令,下发至服务支撑层执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711026486.6A CN107817756A (zh) | 2017-10-27 | 2017-10-27 | 网络化分布式数控系统靶场设计方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711026486.6A CN107817756A (zh) | 2017-10-27 | 2017-10-27 | 网络化分布式数控系统靶场设计方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107817756A true CN107817756A (zh) | 2018-03-20 |
Family
ID=61603408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711026486.6A Pending CN107817756A (zh) | 2017-10-27 | 2017-10-27 | 网络化分布式数控系统靶场设计方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107817756A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521423A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 半实物仿真工控网络靶场系统 |
| CN109298855A (zh) * | 2018-10-16 | 2019-02-01 | 国网河北省电力有限公司电力科学研究院 | 一种网络靶场管理系统及其实现方法、装置、存储介质 |
| CN110132051A (zh) * | 2019-06-12 | 2019-08-16 | 广州锦行网络科技有限公司 | 一种虚实结合的信息安全实战靶场构建方法 |
| CN110351255A (zh) * | 2019-06-25 | 2019-10-18 | 北京永信至诚科技股份有限公司 | 一种网络靶场系统中的数据采集方法及数据采集系统 |
| CN110941246A (zh) * | 2019-10-22 | 2020-03-31 | 杭州电子科技大学 | 一种hmi消息分流调度方法、存储介质及装置 |
| CN110941232A (zh) * | 2019-11-21 | 2020-03-31 | 博智安全科技股份有限公司 | 针对工控网络的便携式安全靶场装置及其方法 |
| CN111308958A (zh) * | 2019-11-14 | 2020-06-19 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、系统和工控蜜罐 |
| CN111506022A (zh) * | 2019-01-30 | 2020-08-07 | 中国石油天然气集团有限公司 | 工业控制系统和工业控制系统中的安全审计方法 |
| CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集系统与方法 |
| CN112448857A (zh) * | 2021-02-01 | 2021-03-05 | 博智安全科技股份有限公司 | 靶场的构建方法、装置、设备及存储介质 |
| CN112995271A (zh) * | 2021-01-01 | 2021-06-18 | 广西锐武信息技术有限公司 | 一种防控枪支轨迹管控平台的安全保护环境系统 |
| CN113037770A (zh) * | 2021-03-29 | 2021-06-25 | 武汉华工安鼎信息技术有限责任公司 | 一种基于存储虚拟化的工控数据安全系统及方法 |
| CN113312800A (zh) * | 2021-06-28 | 2021-08-27 | 西安热工研究院有限公司 | 一种面向电站工控安全靶场的数据仿真方法 |
| CN114637250A (zh) * | 2020-12-16 | 2022-06-17 | 昆山佰奥软件有限公司 | 基于opcua的plc与hmi控件间数据通信系统 |
| CN114640597A (zh) * | 2022-02-24 | 2022-06-17 | 烽台科技(北京)有限公司 | 网络靶场配置迁移方法、装置、计算机设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1662391A2 (en) * | 2004-09-23 | 2006-05-31 | Rockwell Automation Technologies, Inc. | Integrated multi-agent system employing agents of different types |
| CN106506202A (zh) * | 2016-10-31 | 2017-03-15 | 华中科技大学 | 面向工控系统信息安全防护的半实物演示验证平台及方法 |
-
2017
- 2017-10-27 CN CN201711026486.6A patent/CN107817756A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1662391A2 (en) * | 2004-09-23 | 2006-05-31 | Rockwell Automation Technologies, Inc. | Integrated multi-agent system employing agents of different types |
| CN106506202A (zh) * | 2016-10-31 | 2017-03-15 | 华中科技大学 | 面向工控系统信息安全防护的半实物演示验证平台及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 李大伟: "《基于IaaS的网络靶场试验系统设计与实现》", 《指挥信息系统与技术》 * |
| 阎诗晨等: "《基于靶场技术的DNC网络安全分析》", 《信息安全研究》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521423A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 半实物仿真工控网络靶场系统 |
| CN109298855A (zh) * | 2018-10-16 | 2019-02-01 | 国网河北省电力有限公司电力科学研究院 | 一种网络靶场管理系统及其实现方法、装置、存储介质 |
| CN109298855B (zh) * | 2018-10-16 | 2022-04-05 | 国网河北省电力有限公司电力科学研究院 | 一种网络靶场管理系统及其实现方法、装置、存储介质 |
| CN111506022A (zh) * | 2019-01-30 | 2020-08-07 | 中国石油天然气集团有限公司 | 工业控制系统和工业控制系统中的安全审计方法 |
| CN110132051A (zh) * | 2019-06-12 | 2019-08-16 | 广州锦行网络科技有限公司 | 一种虚实结合的信息安全实战靶场构建方法 |
| CN110351255A (zh) * | 2019-06-25 | 2019-10-18 | 北京永信至诚科技股份有限公司 | 一种网络靶场系统中的数据采集方法及数据采集系统 |
| CN110351255B (zh) * | 2019-06-25 | 2021-07-20 | 北京永信至诚科技股份有限公司 | 一种网络靶场系统中的数据采集方法及数据采集系统 |
| CN110941246A (zh) * | 2019-10-22 | 2020-03-31 | 杭州电子科技大学 | 一种hmi消息分流调度方法、存储介质及装置 |
| CN111308958B (zh) * | 2019-11-14 | 2021-04-20 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、系统和工控蜜罐 |
| CN111308958A (zh) * | 2019-11-14 | 2020-06-19 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、系统和工控蜜罐 |
| CN110941232A (zh) * | 2019-11-21 | 2020-03-31 | 博智安全科技股份有限公司 | 针对工控网络的便携式安全靶场装置及其方法 |
| CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集系统与方法 |
| CN114637250A (zh) * | 2020-12-16 | 2022-06-17 | 昆山佰奥软件有限公司 | 基于opcua的plc与hmi控件间数据通信系统 |
| CN112995271A (zh) * | 2021-01-01 | 2021-06-18 | 广西锐武信息技术有限公司 | 一种防控枪支轨迹管控平台的安全保护环境系统 |
| CN112448857A (zh) * | 2021-02-01 | 2021-03-05 | 博智安全科技股份有限公司 | 靶场的构建方法、装置、设备及存储介质 |
| CN113037770A (zh) * | 2021-03-29 | 2021-06-25 | 武汉华工安鼎信息技术有限责任公司 | 一种基于存储虚拟化的工控数据安全系统及方法 |
| CN113312800A (zh) * | 2021-06-28 | 2021-08-27 | 西安热工研究院有限公司 | 一种面向电站工控安全靶场的数据仿真方法 |
| CN113312800B (zh) * | 2021-06-28 | 2023-01-17 | 西安热工研究院有限公司 | 一种面向电站工控安全靶场的数据仿真方法 |
| CN114640597A (zh) * | 2022-02-24 | 2022-06-17 | 烽台科技(北京)有限公司 | 网络靶场配置迁移方法、装置、计算机设备及介质 |
| CN114640597B (zh) * | 2022-02-24 | 2023-08-15 | 烽台科技(北京)有限公司 | 网络靶场配置迁移方法、装置、计算机设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107817756A (zh) | 网络化分布式数控系统靶场设计方法 | |
| Conti et al. | A survey on industrial control system testbeds and datasets for security research | |
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| Eckhart et al. | Towards security-aware virtual environments for digital twins | |
| Ye et al. | Probabilistic techniques for intrusion detection based on computer audit data | |
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| CN102917032B (zh) | 一种工矿企业的安全生产云服务平台 | |
| CN102882969A (zh) | 一种工矿企业的安全生产云服务平台 | |
| CN102932419A (zh) | 一种用于面向工矿企业的安全生产云服务平台的数据存储系统 | |
| US10521550B2 (en) | Planning and engineering method, software tool and simulation tool for an automation solution | |
| CN109284296A (zh) | 一种大数据pb级分布式信息存储与检索平台 | |
| Geng et al. | A survey of industrial control system testbeds | |
| CN106506202A (zh) | 面向工控系统信息安全防护的半实物演示验证平台及方法 | |
| CN113347170B (zh) | 一种基于大数据框架的智能分析平台设计方法 | |
| CN102880802A (zh) | 一种用于面向工矿企业安全生产云服务平台系统的重大危险源的分析评价方法 | |
| CN102903010A (zh) | 一种用于面向工矿企业的安全生产云服务平台的基于支持向量机的异常判断方法 | |
| CN102929827A (zh) | 一种用于面向工矿企业的安全生产云服务平台的无线传感器数据采集集群 | |
| CN102917031A (zh) | 一种用于面向工矿企业的安全生产云服务平台的数据计算系统 | |
| CN112052607A (zh) | 一种针对电网设备和系统的智能化渗透测试方法与装置 | |
| CN106778210A (zh) | 一种基于免疫学习的工业控制系统功能安全验证方法 | |
| CN114285599A (zh) | 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐 | |
| CN108183897A (zh) | 一种信息物理融合系统安全风险评估方法 | |
| CN115269671A (zh) | 基于政务数据融通与价值挖掘的数据实验室 | |
| CN105391066B (zh) | 一种智能电网模拟运行系统 | |
| CN102903009A (zh) | 一种用于面向工矿企业的安全生产云服务平台的基于广义规则推理的异常诊断方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180320 |
|
| WD01 | Invention patent application deemed withdrawn after publication |