CN109194616B - 一种针对变频矢量控制装置的工业信息安全防护系统 - Google Patents
一种针对变频矢量控制装置的工业信息安全防护系统 Download PDFInfo
- Publication number
- CN109194616B CN109194616B CN201810864343.0A CN201810864343A CN109194616B CN 109194616 B CN109194616 B CN 109194616B CN 201810864343 A CN201810864343 A CN 201810864343A CN 109194616 B CN109194616 B CN 109194616B
- Authority
- CN
- China
- Prior art keywords
- user
- data
- variable frequency
- packet
- frequency vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种针对变频矢量控制装置的工业信息安全防护系统,能够保证变频矢量控制装置的安全。所述系统包括:工业协议转换网关,用于获取EtherCAT总线数据,并重新封装成TCP协议数据包发送至入侵检测引擎,其中,所述EtherCAT总线数据包括:上位机下发的控制指令和变频矢量控制装置上传的参数;入侵检测引擎,用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述TCP协议数据包并报警。本发明涉及网络信息安全技术领域。
Description
技术领域
本发明涉及网络信息安全技术领域,特别是指一种针对变频矢量控制装置的工业信息安全防护系统。
背景技术
2010年,针对工业控制系统的“震网”病毒通过U盘入侵了伊朗布什尔核电站控制系统,使受控离心电机的转速发生剧烈变化,导致机体受损,核设施不能正常运行。随着其衍生病毒的不断涌现,这种针对特定国家的关键基础设施或者特定行业的工控系统的敏感信息获取与篡改,甚至摧毁关键基础设施的正常运行的网络攻击行为,为各国的工业基础设施带来了巨大隐患,引起了各国的高度重视。
在当今技术高速发展,工业电机矢量控制系统结构日趋复杂,攻击手段不断翻新,尤其出现了高级可持续威胁的信息安全大背景下,想要把所有的攻击都阻拦在防护之外,已经是不可能的事情。因此,要保证工业电机控制系统的安全,必须采用纵深防御的安全理念,以被保护的工业控制系统为核心,构建起多层级的纵深防御体系。
2016年初,绿盟梳理了应急响应流程并建立了相应的支撑系统,在2016年上半年出现的高危漏洞应急响应中基本达到了小时级的要求。百通赫思曼研发的工业交换机包含DoS防护,欺骗识别,NAT,LDAP,及VPN等功能。使用IPSec和L2TP技术及最新的OpenVPN,可在工业网络和远程设备之间创建加密的VPN通道。ORing公司推出的工业安全交换机拥有基于IP和MAC地址绑定的访问控制机制、RADIUS安全认证、SNMPv3加密认证和连接安全等,可最大化防御黑客攻击。
但是目前的工业信息主动安全防御体系并没有针对大型变频矢量控制装置的完整防御策略,对异步电机的电机参数耦合性以及电机控制指令合理性都缺乏相应的针对性。
发明内容
本发明要解决的技术问题是提供一种针对变频矢量控制装置的工业信息安全防护系统,以解决现有技术所存在的没有针对变频矢量控制装置的防御策略的问题。
为解决上述技术问题,本发明实施例提供一种针对变频矢量控制装置的工业信息安全防护系统,包括:
工业协议转换网关,用于获取EtherCAT总线数据,并重新封装成TCP协议数据包发送至入侵检测引擎,其中,所述EtherCAT总线数据包括:上位机下发的控制指令和变频矢量控制装置上传的参数;
入侵检测引擎,用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述TCP协议数据包并报警。
进一步地,所述系统还包括:
镜像复制设备,用于将EtherCAT总线数据复制到所述工业协议转换网关中。
进一步地,所述EtherCAT总线数据还包括:垃圾包;
所述工业协议转换网关包括:
异常检测模块,对获取的EtherCAT总线数据进行分类,根据分类结果,丢弃垃圾包,其中,分类结果包括:有效包和垃圾包,所述有效包包括:上位机下发的控制指令包和变频矢量控制装置上传的参数包;
协议转换模块,用于对保留的有效包进行帧头、数据、帧尾拆解操作,并将有效包中的数据提取出来重新封装成TCP协议数据包。
进一步地,所述系统还包括:
规则库生成模块,用于采用有限状态集模型预测控制技术,构建异步电机转子磁场定向控制策略的物理模型;根据构建的异步电机转子磁场定向控制策略的物理模型,确定针对电机控制的过程参数裕量和电机控制指令;根据确定的针对电机控制的过程参数裕量和电机控制指令,生成动态规则库。
进一步地,所述入侵检测引擎包括:
流获取模块,用于将TCP协议数据包拆包处理后传递的数据流以队列的存储方式存入缓存中;
流操作模块,用于逐条查找缓存队列中是否有新的数据流,若有,则判断所述新的数据流是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述新的数据流。
进一步地,所述流操作模块,用于根据所述TCP协议数据包中的目的地址,判断获取的EtherCAT总线数据是上位机下发的控制指令或变频矢量控制装置上传的参数;若是上位机下发的控制指令,则所述新的数据流与预先生成的动态规则库中的电机指令规则进行匹配,若匹配失败,则阻断所述新的数据流;若是变频矢量控制装置上传的参数,则所述新的数据流与预先生成的动态规则库中的电机模型参数进行比较,若超过预设的裕度,则阻断所述新的数据流。
进一步地,所述入侵检测引擎还包括:
流拒绝模块,用于对通信链路中的IPv4TCP、IPv6TCP、IPv4ICMP以及IPv6ICMP协议进行主动应答来拒绝被检测到的危险数据包。
进一步地,所述入侵检测引擎还包括:
日志输出模块,用于为被检测到的入侵攻击或流拒绝响应,输出相应的Json格式的日志。
进一步地,所述系统还包括:
身份认证模块,用于获取用户的登录信息,利用加密设备对获取的用户登录信息进行加密,将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对,若一致,则通过身份认证,否则,身份认证失败。
进一步地,所述身份认证模块,具体用于获取用户的登录信息,判断获取的用户登录信息是否包含在预先确定的安全账户管理数据库中,若包含在预先确定的安全账户管理数据库中,则判断是否有加密设备,若有,则向所述加密设备发送认证请求,其中,所述认证请求包括:用户登录信息,利用所述加密设备对接收到的认证请求中的用户登录信息进行加密,将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对,若一致,则身份认证通过,否则,则弹出对话框提示身份认证失败。
本发明的上述技术方案的有益效果如下:
上述方案中,通过工业协议转换网关获取EtherCAT总线数据,并将其重新封装成TCP协议数据包;入侵检测引擎判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述TCP协议数据包并报警;这样,利用工业协议转换网关将工业用协议EtherCAT转换为应用更广泛的TCP协议,方便了将变频矢量控制装置的参数信息与互联网的对接,便于维护;入侵检测引擎利用预先生成的动态规则库对工业总线EtherCAT上的总线数据进行入侵检测,以便对工业总线通信链路上的工业网络攻击(例如,拒绝服务攻击、中间人攻击、重放攻击、欺骗攻击等)做出实时响应,从而保证变频矢量控制装置的安全。
附图说明
图1为本发明实施例提供的针对变频矢量控制装置的工业信息安全防护系统的结构示意图;
图2为本发明实施例提供的针对变频矢量控制装置的工业信息安全防护系统详细结构示意图;
图3为本发明实施例提供的工业协议转换网关的结构示意图;
图4为本发明实施例提供的动态规则库建立流程示意图;
图5为本发明实施例提供的流操作线程示意图;
图6为本发明实施例提供的入侵检测引擎工作流程示意图;
图7为本发明实施例提供的身份认证模块的工作流程示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的没有针对变频矢量控制装置的防御策略的问题,提供一种针对变频矢量控制装置的工业信息安全防护系统。
如图1所示,本发明实施例提供的针对变频矢量控制装置的工业信息安全防护系统,包括:
工业协议转换网关11,用于获取EtherCAT总线数据,并重新封装成TCP协议数据包发送至入侵检测引擎12,其中,所述EtherCAT总线数据包括:上位机下发的控制指令和变频矢量控制装置上传的参数;
入侵检测引擎12,用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述TCP协议数据包并报警。
本发明实施例所述的针对变频矢量控制装置的工业信息安全防护系统,通过工业协议转换网关获取EtherCAT总线数据,并将其重新封装成TCP协议数据包;入侵检测引擎判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述TCP协议数据包并报警;这样,利用工业协议转换网关将工业用协议EtherCAT转换为应用更广泛的TCP协议,方便了将变频矢量控制装置的参数信息与互联网的对接,便于维护;入侵检测引擎利用预先生成的动态规则库对工业总线EtherCAT上的总线数据进行入侵检测,以便对工业总线通信链路上的工业网络攻击(例如,拒绝服务攻击、中间人攻击、重放攻击、欺骗攻击等)做出实时响应,从而保证变频矢量控制装置的安全。
在前述针对变频矢量控制装置的工业信息安全防护系统的具体实施方式中,进一步地,所述系统还包括:
镜像复制设备,用于将EtherCAT总线数据复制到所述工业协议转换网关中。
如图2所示,负责控制电机的变频设备之间通过标准网络双绞线连接,总线协议为EtherCAT,通过在变频设备与EtherCAT主站工控机之间部署镜像复制设备,在不影响通信实时性的基础上,EtherCAT总线数据将被完整复制到工业协议转换网关中。
在前述针对变频矢量控制装置的工业信息安全防护系统的具体实施方式中,进一步地,所述EtherCAT总线数据还包括:垃圾包;
所述工业协议转换网关包括:
异常检测模块,对获取的EtherCAT总线数据进行分类,根据分类结果,丢弃垃圾包,其中,分类结果包括:有效包和垃圾包,所述有效包包括:上位机下发的控制指令包和变频矢量控制装置上传的参数包;
协议转换模块,用于对保留的有效包进行帧头、数据、帧尾拆解操作,并将有效包中的数据提取出来重新封装成TCP协议数据包。
本实施例中,所述变频矢量控制装置可以是异步电机交-直-交变频矢量控制装置,以异步电机交-直-交变频矢量控制装置与上位机通信链路中的EtherCAT总线数据为信息安全的保护对象,使用工业协议转换网关对EtherCAT总线中的数据进行提取并重新封装为TCP协议完成工业总线到互联网总线的衔接。
本实施例中,所述工业协议转换网关包括:异常检测模块和协议转换模块,所述异常检测模块能够将大量的EtherCAT总线数据进行分类,并对DDos等无用垃圾包进行过滤,完成通信链路级的信息安全;被保留的有效包发送到协议转换模块进行数据帧头、数据、帧尾拆解操作,并将有效包中的数据提取出来,通过流重组功能函数重新封装成TCP协议数据包。
如图3所示,所述工业协议转换网关采用“核心板+底板”的分离设计结构,核心板与底板采用136Pin的邮票孔连接方式,核心板采用8层PCB,底板采用4层PCB,核心板上集成了容量512MB,两个频率400Mhz的DDR3随机存取存储器,容量256MB的SLC NandFlash,EEPROM存储器和电源管理芯片。所述工业协议转换网关的核心处理器ARM CORTEX A8内核的最高运行频率可达800MHz,采用45nm制程工艺,保证系统在低功耗运行的同时拥有高性能。
本实施例中,所述工业协议转换网关还包括:外围板,用于扩展出电源模块、以太网口、USART接口、USB接口、LCD接口、RS232/RS485串口、传感器采集IO口等外围电路,进而利用标准以太网接口实现对工业现场EtherCAT总线控制设备的数据信息采集与协议转换,以及同互联网设备的通信等功能。
本实施例中,所述外围板拥有两个千兆RJ45网络接口用于接收/转换通信协议,每一个网络接口都需要通过AR8031千兆网络芯片与核心板RGMII接口连接进行数据交换,RGMII接口在时钟的上升沿和下降沿采集数据存储到EEPROM中等待处理,考虑到RGMII接口在1Gbit/s速率下的时钟频率可达125MHz,所述外围板利用中间两层来设置屏蔽,实现更好地实现就近接地,并有效地降低寄生电感和缩短信号的传输长度,同时还能大幅度地降低信号的交叉干扰。
本实施例中,系统工作电源有3.3V和5V。核心处理器模块、USB接口、USART接口、RS485转换芯片等均需要5V直流电源供电,另外核心处理器、RS232转换芯片、网络电压转换芯片,USB接口扩展芯片等均需3.3V直流电源供电。
本实施例中,采用所述工业协议转换网关一方面可以将工业用协议EtherCAT转换为应用更广泛的TCP协议,方便了变频矢量控制装置与互联网的对接,开放性良好,易于维护;另一方面,可以实现在工业总线的旁路监听与入侵检测防御,实时性良好,响应速度快,在上位机遭受入侵攻击时仍可以保证对变频控制装置上传/下载的参数/控制指令进行合理性评估与告警。
在前述针对变频矢量控制装置的工业信息安全防护系统的具体实施方式中,进一步地,规则库生成模块,用于采用有限状态集模型预测控制技术,构建异步电机转子磁场定向控制策略的物理模型;根据构建的异步电机转子磁场定向控制策略的物理模型,确定针对电机控制的过程参数裕量和电机控制指令;根据确定的针对电机控制的过程参数裕量和电机控制指令,动态生成动态规则库。
本实施例中,采用有限状态集模型预测控制技术,构建异步电机转子磁场定向控制策略的物理模型,有限状态集模型预测控制技术建立在异步电机转子磁场定向离散状态空间模型基础上,在有限时域内将电机模型参数、电机控制指令、多约束条件进行迭代更新,并通过电机转速信息等反馈信号不断矫正模型偏差,具体地:通过预测未来有限时域范围内的异步电机励磁电流、输出电流、力矩电流等参数的轨迹,为预测异步电机各状态下的参数变化趋势提供先验信息,并构建一个针对电机控制的目标函数,在线优化求解各参数的输入序列,使电流、电压、力矩等参数的输出轨迹能够接近或者达到变频矢量控制设备中监测到的参数波形,实现最优输出。
如图4所示,设计采用具有延时补偿作用的有限状态集模型预测控制(finitecontrol set-model predictive control,FCS-MPC)算法,在k时刻采样时,对异步电机在两相静止αβ坐标系下的动态数学模型通过向前欧拉法转换成离散数学模型;将离散化的磁链矢量ψrαβ(k+1)和定子电流矢量isαβ(k+1)以及8种基础电压矢量ui(k+1)迭代推算出(k+2)时刻的定子电流矢量isαβ(k+2)才是真正的预测值,将isαβ(k+2)带入预先确定的目标函数进行运算得到最优电压矢量u(k+1),此时,目标函数值最小,根据得到的u(k+1)进行状态转换,得到(k+1)时刻的开关序列,并将开关序列中的参数循环迭代进下一次模型预测中实现异步电机模型动态预测,鲁棒性良好。将预测值isαβ(k+2)进行d/q轴(其中,d轴代表异步电机定子电流的转矩分量,q轴代表异步电机定子电流的励磁分量)解耦得到k+2时刻的异步电机定子电流转矩分量id(k+2)和异步电机定子电流励磁分量iq(k+2),同时量化当前电压裕度下的电机d/q轴允许变化范围△id、△iq,并使用id(k+2)±△id、iq(k+2)±△iq的值将实时动态替换入侵检测引擎的动态规则库文件中的变频矢量控制装置控制过程参数裕量,也可以在入侵检测引擎根目录下的日志文件中查询动态规则库是否已更新,实现对通信链路中的数据是否具有电机模型下安全稳定的耦合关系的实时监控告警。
本实施例中,允许变化范围为变频矢量控制装置实际运行性能与理想状态之间的量化差值。
在前述针对变频矢量控制装置的工业信息安全防护系统的具体实施方式中,进一步地,所述入侵检测引擎包括:
流获取模块,用于将TCP协议数据包拆包处理后传递的数据流以队列的存储方式存入缓存中;
流操作模块,用于逐条查找缓存队列中是否有新的数据流,若有,则判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述TCP协议数据包。
如图5所示,所述入侵检测引擎包括:包含:流获取(TmThreadsSlotVar)、流操作(FlowWoker)、流拒绝(ResponseReject)以及日志输出4个功能模块。其中,
流获取模块,主要用于将TCP协议数据包拆包后传递的数据流以队列的存储方式存入入侵检测引擎的缓存中;
流操作模块,将逐条查找缓存队列中是否有新的数据流产生,如果有,则利用所述新的数据流更新要检测的数据流,读取所述要检测的数据流并判断读取的数据流是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述数据流,并标记该数据流已检测完成。
流拒绝模块,用于对通信链路中的第四版互联网协议传输控制协议(InternetProtocol Version-4Transmission Control Protocol,IPv4TCP)、第六版互联网协议传输控制协议(Internet Protocol Version-6Transmission Control Protocol,IPv6TCP)、第四版互联网协议Internet控制报文协议(Internet Protocol Version-4InternetControl Message Protocol,IPv4ICMP)以及第六版互联网协议Internet控制报文协议(Internet Protocol Version-6Internet Control Message Protocol,IPv6ICMP)协议进行主动应答来拒绝被检测到的危险数据包,使变频矢量控制装置在响应控制端指令之前屏蔽恶意篡改攻击。
日志输出模块,用于为检测到的入侵攻击或是流拒绝响应,产生相应的JS对象简谱(JavaScript Object Notation,Json)格式的日志,之后流获取操作将缓存队列中新的队列首部(下一组流)传送到流操作模块的FlowHandlePacket上判断新的数据流是否与原来的流发生重用情况,如果没有发生,则更新要检测的数据流,同时开始下一轮入侵检测响应循环。
本实施例中,所述入侵检测引擎本身在局域网络、广域网络中检测威胁,应对网络攻击并生成日志具有非常快速的响应时间,鲁棒性良好。所述入侵检测引擎能够高效的进行实时入侵检测(Intrusion Detection Systems,IDS),入侵防御(Intrusion PreventionSystem,IPS),网络安全监控(Network Security Monitor,NSM)和离线pcap处理的多线程任务,支持IPv4、IPv6互联网协议,同时可加载可被标准入侵检测系统识别的规则和数据包签名。
本实施例中,所述入侵检测引擎还可以使用多核处理方式允许数据包并行处理操作,为了充分利用现有多核系统的处理能力,避免处理器之间的抢占情况,同时通过进程调度平衡所有内核间的工作负担并减小中断时间保证所述工业信息安全防护系统的负载均衡(Load Balancing,LB)。
在前述针对变频矢量控制装置的工业信息安全防护系统的具体实施方式中,进一步地,所述流操作模块,用于根据所述TCP协议数据包中的目的地址,判断获取的EtherCAT总线数据是上位机下发的控制指令或变频矢量控制装置上传的参数;若是上位机下发的控制指令,则所述新的数据流与预先生成的动态规则库中的电机指令规则进行匹配,若匹配失败,则阻断所述新的数据流;若是变频矢量控制装置上传的参数,则所述新的数据流与预先生成的动态规则库中的电机模型参数进行比较,若超过预设的裕度,则阻断所述新的数据流。
如图6所示,入侵检测引擎完成初始化后,首先读取预先生成的存在根目录下的动态规则库(例如,emerging-ftp.rules(文件传输协议规则库,用于监测通过ftp访问用户存储数据的网络流量)、emerging-info.rules(计算机版本信息规则库,用于监测远程获取用户主机版本信息的网络流量)、local.rules(用户自定义规则库,其中,所述用户自定义规则库包括:电机指令规则、电机模型参数规则)等),然后从工业协议转换网关获取重新封装成的TCP协议数据包进行入侵检测。
本实施例中,转换得到的TCP协议数据包不仅要通过local.rules的检测,还要通过动态规则库中其他规则库(例如,emerging-ftp.rules、emerging-info.rules)的检测。
在前述针对变频矢量控制装置的工业信息安全防护系统的具体实施方式中,进一步地,所述系统还包括:
身份认证模块,用于获取用户的登录信息,利用加密设备对获取的用户登录信息进行加密,将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对,若一致,则通过身份认证,否则,身份认证失败。
本实施例中,基于硬件加密设备配合Linux操作系统构成双因子用户强身份认证与数据加密实现异步电机数据的可信获取。
本实施例中,采用加密硬件与操作系统认证模型相结合的双因子强身份认证方法,将只有用户名-密码认证的单一认证方式扩展为将用户登录信息加密导入加密设备的RAM中与加密设备事先绑定的用户密文信息进行比对的双因子身份认证,使变频矢量控制装置的EtherCAT总线数据只被拥有唯一秘钥的加密设备获取读取权限并正确解读,保证变频矢量控制装置不会被未通过身份认证的主机篡改数据,同时防止变频矢量控制装置被数据监听从而泄露关键参数信息,保证了变频矢量控制装置总线数据的物理安全。
在前述针对变频矢量控制装置的工业信息安全防护系统的具体实施方式中,进一步地,所述身份认证模块,具体用于获取用户的登录信息,判断获取的用户登录信息是否包含在预先确定的安全账户管理数据库中,若包含在预先确定的安全账户管理数据库中,则判断是否有加密设备,若有,则向所述加密设备发送认证请求,其中,所述认证请求包括:用户登录信息,利用所述加密设备对接收到的认证请求中的用户登录信息进行加密,将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对,若一致,则身份认证通过,否则,则弹出对话框提示身份认证失败。
本实施例中,所述身份认证模块为双因子强身份认证与数据加密模块,采用32位RISC CPU为核心处理器的USB-KEY作为硬件加密设备。如图7所示,在用户登陆监控系统时,先加载身份认证动态库,身份认证动态库通过用户登录交互界面获取用户的登录信息并与安全账户管理数据库进行比对,如果登陆用户合法,则判断是否有外设的硬件加密设备,如果有,则通过驱动层向加密设备发送认证请求,加密设备接收到认证请求后,将用户登录信息加密导入加密设备的RAM中与加密设备事先绑定的用户密文信息进行比对,如果一致,则返回给主机身份认证动态库,身份认证通过,否则,弹出对话框提示身份认证失败。
本实施例中,完成身份认证后,加密设备对总线数据进行加密处理并隔离,加密设备还可以将数据暗文逐个恢复成明文(解密)并隔离,从而实现底层设备级数据(例如,码盘位置、速度、加速度等)可信采集与读写。
本实施例中,所述系统还包括:人机交互界面(HMI),具体的:使用QT跨平台C++图形用户界面应用程序开发框架,结合Matlab高级技术计算语言与交互环境,设计Linux实时操作系统下的监测报警人机交互界面,所述监测报警人机交互界面的功能包括:对EtherCAT总线数据的显示;对变频矢量控制装置速度环和矢量空间的数据异常报警;以及底层码盘加解密后的数据显示。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种针对变频矢量控制装置的工业信息安全防护系统,其特征在于,包括:
工业协议转换网关,用于获取EtherCAT总线数据,并重新封装成TCP协议数据包发送至入侵检测引擎,其中,所述EtherCAT总线数据包括:上位机下发的控制指令和变频矢量控制装置上传的参数;
入侵检测引擎,用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述TCP协议数据包并报警;
其中,所述入侵检测引擎包括:
流获取模块,用于将TCP协议数据包拆包处理后传递的数据流以队列的存储方式存入缓存中;
流操作模块,用于逐条查找缓存队列中是否有新的数据流,若有,则判断所述新的数据流是否与预先生成的动态规则库中的规则相冲突,若是,则判定为入侵行为,阻断所述新的数据流;
其中,所述流操作模块,用于根据所述TCP协议数据包中的目的地址,判断获取的EtherCAT总线数据是上位机下发的控制指令或变频矢量控制装置上传的参数;若是上位机下发的控制指令,则所述新的数据流与预先生成的动态规则库中的电机指令规则进行匹配,若匹配失败,则阻断所述新的数据流;若是变频矢量控制装置上传的参数,则所述新的数据流与预先生成的动态规则库中的电机模型参数进行比较,若超过预设的裕度,则阻断所述新的数据流。
2.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统,其特征在于,所述系统还包括:
镜像复制设备,用于将EtherCAT总线数据复制到所述工业协议转换网关中。
3.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统,其特征在于,所述EtherCAT总线数据还包括:垃圾包;
所述工业协议转换网关包括:
异常检测模块,对获取的EtherCAT总线数据进行分类,根据分类结果,丢弃垃圾包,其中,分类结果包括:有效包和垃圾包,所述有效包包括:上位机下发的控制指令包和变频矢量控制装置上传的参数包;
协议转换模块,用于对保留的有效包进行帧头、数据、帧尾拆解操作,并将有效包中的数据提取出来重新封装成TCP协议数据包。
4.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统,其特征在于,所述系统还包括:
规则库生成模块,用于采用有限状态集模型预测控制技术,构建异步电机转子磁场定向控制策略的物理模型;根据构建的异步电机转子磁场定向控制策略的物理模型,确定针对电机控制的过程参数裕量和电机控制指令;根据确定的针对电机控制的过程参数裕量和电机控制指令,生成动态规则库。
5.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统,其特征在于,所述入侵检测引擎还包括:
流拒绝模块,用于对通信链路中的IPv4TCP、IPv6TCP、IPv4ICMP以及IPv6ICMP协议进行主动应答来拒绝被检测到的危险数据包。
6.根据权利要求5所述的针对变频矢量控制装置的工业信息安全防护系统,其特征在于,所述入侵检测引擎还包括:
日志输出模块,用于为被检测到的入侵攻击或流拒绝响应,输出相应的Json格式的日志。
7.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统,其特征在于,所述系统还包括:
身份认证模块,用于获取用户的登录信息,利用加密设备对获取的用户登录信息进行加密,将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对,若一致,则通过身份认证,否则,身份认证失败。
8.根据权利要求7所述的针对变频矢量控制装置的工业信息安全防护系统,其特征在于,所述身份认证模块,具体用于获取用户的登录信息,判断获取的用户登录信息是否包含在预先确定的安全账户管理数据库中,若包含在预先确定的安全账户管理数据库中,则判断是否有加密设备,若有,则向所述加密设备发送认证请求,其中,所述认证请求包括:用户登录信息,利用所述加密设备对接收到的认证请求中的用户登录信息进行加密,将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对,若一致,则身份认证通过,否则,则弹出对话框提示身份认证失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810864343.0A CN109194616B (zh) | 2018-08-01 | 2018-08-01 | 一种针对变频矢量控制装置的工业信息安全防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810864343.0A CN109194616B (zh) | 2018-08-01 | 2018-08-01 | 一种针对变频矢量控制装置的工业信息安全防护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109194616A CN109194616A (zh) | 2019-01-11 |
CN109194616B true CN109194616B (zh) | 2020-03-10 |
Family
ID=64920283
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810864343.0A Active CN109194616B (zh) | 2018-08-01 | 2018-08-01 | 一种针对变频矢量控制装置的工业信息安全防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109194616B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10891546B2 (en) * | 2019-04-29 | 2021-01-12 | Google Llc | Network anomaly detection |
CN113225316B (zh) * | 2021-04-09 | 2023-09-12 | 国网电力科学研究院有限公司 | 一种安全稳定控制系统网络安全防御方法及系统 |
CN114125083A (zh) * | 2021-11-24 | 2022-03-01 | 河南中裕广恒科技股份有限公司 | 工业网络分布式数据采集方法、装置、电子设备及介质 |
CN114760151B (zh) * | 2022-06-13 | 2022-09-13 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
CN103208962A (zh) * | 2013-03-20 | 2013-07-17 | 北京科技大学 | 一种大容量晶闸管变流型矢量控制装置的主动防危系统 |
CN103955187A (zh) * | 2014-04-25 | 2014-07-30 | 东华大学 | 一种农业大棚无线监控节点及方法 |
CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
CN105652853A (zh) * | 2016-02-03 | 2016-06-08 | 中广核核电运营有限公司 | 一种逆变器同步卡检测系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3993773B2 (ja) * | 2002-02-20 | 2007-10-17 | 株式会社日立製作所 | ストレージサブシステム、記憶制御装置及びデータコピー方法 |
-
2018
- 2018-08-01 CN CN201810864343.0A patent/CN109194616B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
CN103208962A (zh) * | 2013-03-20 | 2013-07-17 | 北京科技大学 | 一种大容量晶闸管变流型矢量控制装置的主动防危系统 |
CN103955187A (zh) * | 2014-04-25 | 2014-07-30 | 东华大学 | 一种农业大棚无线监控节点及方法 |
CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
CN105652853A (zh) * | 2016-02-03 | 2016-06-08 | 中广核核电运营有限公司 | 一种逆变器同步卡检测系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109194616A (zh) | 2019-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109194616B (zh) | 一种针对变频矢量控制装置的工业信息安全防护系统 | |
Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
EP3535657B1 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
Meshram et al. | Anomaly detection in industrial networks using machine learning: a roadmap | |
Lee et al. | Design and implementation of cybersecurity testbed for industrial IoT systems | |
Sandaruwan et al. | PLC security and critical infrastructure protection | |
Parthasarathy et al. | Bloom filter based intrusion detection for smart grid SCADA | |
Genge et al. | Experimental assessment of network design approaches for protecting industrial control systems | |
CN106797378B (zh) | 用于控制通信网络的装置和方法 | |
Di Sarno et al. | A novel security information and event management system for enhancing cyber security in a hydroelectric dam | |
Rodrigues et al. | SCADA security device: design and implementation | |
Elbez et al. | A new classification of attacks against the cyber-physical security of smart grids | |
Nivethan et al. | Dynamic rule generation for SCADA intrusion detection | |
Corbò et al. | Smart behavioural filter for industrial internet of things: A security extension for plc | |
Ferencz et al. | Review of industry 4.0 security challenges | |
Flå et al. | Tool-assisted threat modeling for smart grid cyber security | |
Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
Tippenhauer et al. | Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation | |
Kumar et al. | Raptor: advanced persistent threat detection in industrial iot via attack stage correlation | |
Al Baalbaki et al. | Autonomic critical infrastructure protection (acip) system | |
Fovino | SCADA system cyber security | |
Stancu et al. | Trusted industrial Modbus firewall for critical infrastructure systems | |
Calvo et al. | Key Vulnerabilities of Industrial Automation and Control Systems and Recommendations to Prevent Cyber-Attacks. | |
Li et al. | Research on dos attack detection method of modbus tcp in openplc | |
Varadharajan et al. | Techniques for Enhancing Security in Industrial Control Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |