CN109218288A - 一种针对工业机器人控制系统的网络入侵检测系统 - Google Patents

Abstract

本发明提供一种针对工业机器人控制系统的网络入侵检测系统，能够实现工业机器人控制系统的入侵检测操作，提高工业机器人控制系统的安全性。所述方法包括：捕获模块，用于捕获机器人控制系统的网络通信数据；解析模块，用于根据捕获的网络通信数据进行通信协议解析和深度数据包解析；检测模块，用于根据解析结果进行入侵检测，若检测到所述工业机器人控制系统被入侵，则发送报警信息至服务器。本发明涉及信息安全技术领域。

Description

一种针对工业机器人控制系统的网络入侵检测系统

技术领域

本发明涉及信息安全技术领域，特别是指一种针对工业机器人控制系统的网络入侵检测系统。

背景技术

工业互联网是开放、全球化的网络，实现人、数据和机器的有机互联，目前正在全球范围内迅猛发展，中国也提出了“中国制造2025”的概念。由于工业互联网普遍连接着关系国计民生的重要基础设施，一旦出现问题，后果将更加严重。进入新千年后，针对工业控制系统的攻击行为时有发生。工业网络安全，与传统的商业网络不同，工业网络之间面对的是现场工作人员和工作设备，即使是微小的误差也可能引起工业网络的崩溃，导致难以估量的生命财产损失。

近年来，越来越多的工厂将机器人与互联网相连。机器人也正日益成为黑客的袭击目标。常规的网络产品或者由于自身存在的缺陷与不足，不能满足工业机器人控制系统较高的防护要求，或者因为不是专门针对工业机器人控制系统设计，难以在工业场合安全稳定的应用，这给工业机器人控制系统带来了严重的威胁。

发明内容

本发明要解决的技术问题是提供一种针对工业机器人控制系统的网络入侵检测系统，以解决现有技术所存在的不能满足工业机器人控制系统较高的防护要求的问题。

为解决上述技术问题，本发明实施例提供一种针对工业机器人控制系统的网络入侵检测系统，包括：

捕获模块，用于捕获机器人控制系统的网络通信数据；

解析模块，用于根据捕获的网络通信数据进行通信协议解析和深度数据包解析；

检测模块，用于根据解析结果进行入侵检测，若检测到所述工业机器人控制系统被入侵，则发送报警信息至服务器。

进一步地，所述系统还包括：

网络特征异常检测模块，用于提取出所述网络通信数据的网络特征，利用hash算法统计预设时间段内当前路径的访问次数，根据建立的安全系数判断是否通过当前访问请求，若通过，则利用预先确定的白名单库中的规则进行网络特征匹配，若匹配失败，则视为入侵行为，拦截并发送报警信息至服务器；

其中，所述网络特征包括：源地址、目的地址、端口信息，所述白名单库中的规则包括：源地址、目的地址、端口信息、访问次数、访问权限。

进一步地，所述系统还包括：

支持向量机协议检测模块，用于检测获取的所述网络通信数据是否受到Dos攻击，若受到Dos攻击，则发送报警信息至服务器；否则，从获取的所述网络通信数据中提取出应用层数据。

进一步地，所述支持向量机协议检测模块包括：用于检测工业机器人控制系统是否收到Dos攻击的第一分类器；所述第一分类器的创建步骤包括：

采集工业机器人控制系统正常运行状态下的网络数据包和Dos攻击情况下的网络数据包，生成训练样本；

根据主成分分析法进行样本降维，降维后的训练样本利用支持向量机算法训练生成第一分类器。

进一步地，所述网络通信数据包括：EtherCat网络数据；

所述解析模块，用于根据捕获的网络通信数据，对EtherCat通信协议进行解析，根据解析出的协议进行深度数据包解析，解析出数据包中每一位数据的实际物理意义。

进一步地，所述检测模块包括：

时序逻辑检测单元，用于根据解析结果，确定获取的所述网络通信数据所属的时序逻辑状态，判断确定的所述网络通信数据所属的时序逻辑状态是否包含在预先确定的正常时序逻辑状态中，若不是，则捕获的所述网络通信数据为异常数据，拦截并发送报警信息至服务器。

进一步地，所述时序逻辑检测单元包括：用于识别时序逻辑状态的第二分类器；其中，所述第二分类器是基于工业机器人的运行状态构建的，用于将正常状态进行多个时序逻辑分类。

进一步地，所述检测模块包括：

控制指令检测单元，用于获取预先建立的控制模型规则库文件，生成多级检测规则链表，获取工业机器人控制系统的实时运行状态，根据获取的工业机器人控制系统的实时运行状态，从生成的多级检测规则链表提取相应的规则，从解析结果中，获取机器人运动学控制指令，判断机器人运动学控制指令是否违反提取的多级检测规则链表中的规则，若违反，则判定当前指令为入侵指令，则拦截并发送报警信息至服务器；

其中，所述控制模型规则库文件是依据专家经验规则库、机器人运动学模型、工序模型、工艺模型中的一种或多种建立的。

进一步地，所述系统还包括：

数据隔离模块，用于驱动数字量输入/输出点，将捕获的异常网络通信数据发送到数据拦截模块；

数据拦截模块，用于对接收到的异常网络通信数据进行拦截处理。

进一步地，所述系统还包括：

数据输出模块，用于使用TCP/IP协议，并设计成客户端，通过以太网与服务器进行连接，传输报警信息至服务器。

本发明的上述技术方案的有益效果如下：

上述方案中，捕获机器人控制系统的网络通信数据；根据捕获的网络通信数据进行通信协议解析，为深度数据包解析提供基础，使得网络入侵检测系统具有良好的适用性和可扩展性；根据解析结果进行入侵检测，若检测到所述工业机器人控制系统被入侵，则发送报警信息至服务器，从而实现工业机器人控制系统的入侵检测操作，提高工业机器人控制系统的安全性。

附图说明

图1为本发明实施例提供的针对工业机器人控制系统的网络入侵检测系统的流程示意图；

图2为本发明实施例提供的网络入侵检测系统的硬件结构示意图；

图3为本发明实施例提供的针对工业机器人控制系统的网络入侵检测流程示意图；

图4为本发明实施例提供的时序逻辑检测单元的检测流程示意图；

图5为本发明实施例提供的控制模型规则库文件的书写格式示意图；

图6为本发明实施例提供的控制指令检测单元的检测流程示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明针对现有的不能满足工业机器人控制系统较高的防护要求的问题，提供一种针对工业机器人控制系统的网络入侵检测系统。

如图1所示，本发明实施例提供的针对工业机器人控制系统的网络入侵检测系统，包括：

捕获模块11，用于捕获机器人控制系统的网络通信数据；

解析模块12，用于根据捕获的网络通信数据进行通信协议解析和深度数据包解析；

检测模块13，用于根据解析结果进行入侵检测，若检测到所述工业机器人控制系统被入侵，则发送报警信息至服务器。

本发明实施例所述的针对工业机器人控制系统的网络入侵检测系统，捕获机器人控制系统的网络通信数据；根据捕获的网络通信数据进行通信协议解析，为深度数据包解析提供基础，使得网络入侵检测系统具有良好的适用性和可扩展性；根据解析结果进行入侵检测，若检测到所述工业机器人控制系统被入侵，则发送报警信息至服务器，从而实现工业机器人控制系统的入侵检测操作，提高工业机器人控制系统的安全性。

本实施例中，所述网络通信数据包括：EtherCat网络数据，下文以EtherCat网络数据为例，说明本发明实施例提供的针对工业机器人控制系统的网络入侵检测系统的具体步骤。

本实施例中，所述网络入侵检测系统的硬件平台采用5V电压供电，为低功耗硬件电路；具有can驱动电路，SD驱动电路，数据的的缓存等功能。

如图2所示，可以利用stm32(处理器)+LAN9252从站控制器作为EtherCat转can网关，实现EtherCat主站数据的接收并将检测后确认的正常数据转换成can协议发送到机械臂(例如，七自由度工业机械臂)，从而保证机械臂系统的实时性要求，且不需要改变原有的系统架构，方便可行，其中，LAN9252是一款2/3端口EtherCAT从控制器。

本实施例中，所述EtherCat转can网关包括：捕获模块，用于接收EtherCat主站数据。

在前述针对工业机器人控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述系统还包括：

网络特征异常检测模块，用于提取出所述网络通信数据的网络特征，利用hash算法统计预设时间段内当前路径的访问次数，根据建立的安全系数判断是否通过当前访问请求，若通过，则利用预先确定的白名单库中的规则进行网络特征匹配，若匹配失败，则视为入侵行为，拦截并发送报警信息至服务器；

其中，所述网络特征包括：源地址、目的地址、端口信息，所述白名单库中的规则包括：源地址、目的地址、端口信息、访问次数、访问权限。

本实施例中，在解析模块解析网络通信数据之前，先通过网络特征异常检测模块执行以下检测步骤：

提取出所述网络通信数据的网络特征，利用hash算法统计预设时间段内当前路径的访问次数，根据建立的安全系数判断是否通过当前访问请求，若通过，则利用预先确定的白名单库中的规则进行网络特征匹配，初步检测网络数据是否异常；若匹配失败(数据异常)，则视为入侵行为，拦截并发送报警信息至服务器，若匹配成功(数据正常)，则利用支持向量机协议检测模块继续检测。

在前述针对工业机器人控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述系统还包括：

支持向量机协议检测模块，用于检测获取的所述网络通信数据是否受到Dos攻击，若受到Dos攻击，则发送报警信息至服务器；否则，从获取的所述网络通信数据中提取出应用层数据。

本实施例中，所述支持向量机协议检测模块，是基于主成分分析法(PCA)和基于支持向量机(SVM)算法的机器学习异常检测模块。采集工业机器人控制系统正常运行状态下的网络数据包和Dos攻击情况下的网络数据包，生成训练样本，根据PCA算法进行样本降维，减小运算量，然后根据降维后的训练样本利用SVM算法训练生成第一分类器，根据生成的第一分类器检测当前的工业机器人控制系统是否收到Dos攻击，若受到Dos攻击，则发送报警信息至服务器；否则，从获取的所述网络通信数据中提取出应用层数据，并将提取出的应用层数据发送至解析模块进行解析，如图3所示。

在前述针对工业机器人控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述网络通信数据包括：EtherCat网络数据；

所述解析模块，用于根据捕获的网络通信数据，对EtherCat通信协议进行解析，根据解析出的协议进行深度数据包解析，解析出数据包中每一位数据的实际物理意义。

本实施例中，所述解析模块为EtherCat网络协议解析模块，用于解析EtherCat网络协议，为深度数据包检测提供基础，使的系统具有很好的适用性和可扩展性。具体步骤包括：接收所述支持向量机协议检测模块发送的应用层数据，对EtherCat通信协议进行解析，输出协议格式，并依据解析出的协议进行深度数据包解析。

本实施例中，由于工业机器人控制系统使用EtherCat的周期性邮箱通信，通讯数据都有机器人自己的私有协议封装，要想得到具体数据的物理意义需要解析这些协议，EtherCat网络协议解析模块便可以实现解析协议，解析出数据包中每一位数据的实际物理意义，为机器人时序逻辑状态检测检测、控制指令检测提供基础，解析过程如图5所示。

在前述针对工业机器人控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述检测模块包括：

时序逻辑检测单元，用于根据解析结果，确定获取的所述网络通信数据所属的时序逻辑状态，判断确定的所述网络通信数据所属的时序逻辑状态是否包含在预先确定的正常时序逻辑状态中，若不是，则捕获的所述网络通信数据为异常数据，拦截并发送报警信息至服务器。

本实施例中，工业机器人控制系统的“状态有限”和“行为有限”特征决定了其运行的空间状态是有限的。由于入侵行为和正常行为本质是可以区分的，在空间状态上异常状态相对于正常状态是不同类的，因此，可以利用分类方法将正常状态进行多个时序逻辑分类。将工业机器人正常运行获得的正常系统状态的数据包用来当作正常样本，将工业机器人异常运行获得的非正常系统状态的数据包作为非正常样本，采用主元分析(PCA)的方法进行数据降维预处理，然后采用支持向量机(SVM)进行样本训练，得到用于识别时序逻辑状态的第二分类器，如图4所示。

本实施例中，根据解析结果，利用时序逻辑检测单元确定捕获的所述网络通信数据所属的时序逻辑状态，判断确定的所述网络通信数据所属的时序逻辑状态是否包含在预先确定的正常时序逻辑状态中，若不是，则捕获的所述网络通信数据为异常数据，拦截并发送报警信息至服务器，若是，则捕获的所述网络通信数据为正常数据，以此来进行异常入侵检测。

在前述针对工业机器人控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述时序逻辑检测单元包括：用于识别时序逻辑状态的第二分类器；其中，所述第二分类器是基于工业机器人的运行状态构建的，用于将正常状态进行多个时序逻辑分类。

在前述针对工业机器人控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述检测模块包括：

控制指令检测单元，用于获取预先建立的控制模型规则库文件，生成多级检测规则链表，获取工业机器人控制系统的实时运行状态，根据获取的工业机器人控制系统的实时运行状态，从生成的多级检测规则链表提取相应的规则，从解析结果中，获取机器人运动学控制指令，判断机器人运动学控制指令是否违反提取的多级检测规则链表中的规则，若违反，则判定当前指令为入侵指令，则拦截并发送报警信息至服务器。

由于正常的工业机器人控制系统应该是一个稳态的过程，系统状态应向趋于目标值的方向发展，正常的控制指令应使系统状态向目标状态靠近。因此当控制指令违背该趋势时可以判定为错误的控制指令，可视为入侵发生。从机器人运动学模型、工序模型到工艺模型大都有现成的研究成果，可以为控制指令检测规则的建立提供指导。所述系统为用户提供规则编写控制模型规则库文件，用户依照指定的规则格式，可丰富控制指令检测规则，规则格式如图5所示。

如图6所示，所述控制指令检测单元的检测步骤可以包括：

步骤(1)获取预先建立的控制模型规则库文件，生成多级检测规则链表，其中，所述控制模型规则库文件是依据专家经验规则库、机器人运动学模型、工序模型、工艺模型中的一种或多种建立的；

步骤(2)获取工业机器人控制系统的实时运行状态，根据获取的工业机器人控制系统的实时运行状态，从生成的多级检测规则链表提取相应的规则；

步骤(3)从解析结果中，获取机器人运动学控制指令，判断机器人运动学控制指令是否违反提取的多级检测规则链表中的规则，若违反，则判定当前指令为入侵指令，则拦截并发送报警信息至服务器。

本实施例中，结合具体的专家经验规则库、机器人运动学模型、工序模型、工艺模型制定控制指令检测规则，使的入侵检测具有很强的针对性，能够大大提高检测结果的可靠性。

在前述针对工业机器人控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述系统还包括：

数据输出模块，用于使用TCP/IP协议，并设计成客户端，通过以太网与服务器进行连接，传输报警信息至服务器。

本实施例中，报警信息为日志记录。

本实施例中，对工业机器人控制系统的网络通信数据检测完成之后，如果生成报警信息则需要通过数据输出模块发送到服务器(一般为：远程服务器)；所述数据输出模块使用TCP/IP协议，并设计成客户端，通过以太网与远程服务器进行连接，连接建立完成之后，进行报警数据的传输。当系统检测到严重(预设级别)的入侵行为，对工业机器人控制系统将会造成很严重的破坏时，系统将直接中断数据通讯，保证工业机器人控制系统不受到破坏。

本实施例中，所述系统还包括：数据拦截模块，用于当检测到工业机器人控制系统被入侵时，拦截捕获的网络通信数据。

如图2所示，解析、入侵检测操作、报警信息输出操作是基于嵌入式Linux操作系统，包括：网络特征异常检测模块、支持向量机协议检测模块、EtherCat网络协议解析模块、时序逻辑检测单元和控制指令检测单元，如果发现异常则产生报警并及时做出相应的防护措施，例如，拦截；如果经过上述检测，都未发现异常，则确认捕获的数据无误，可以发送至机械臂。

本实施例中，所述嵌入式Linux系统，是Linux3.2.1版本。裁剪后包括基本的任务模块，AR8031网络驱动芯片模块，USB驱动模块，SD卡驱动模块，Can驱动模块；裁剪后的系统内核体积小、运行速率快，保证的平台的安全稳定运行。

本实施例中，所述嵌入式Linux操作系统，核心处理器为TI(Texas Instruments德州仪器)工业级Cortex-A8架构AM335x系列主处理器，主频可以高达1GHz；运行温度范围可达-40℃-+85℃；配有256M DDR3内存和256M SLC NandFlash；包含两个AR8031千兆网络收发器芯片扩展的千兆以太网接口(ETH0网络接口和ETH1网络接口)，其中，ETH0网络接口用来实现抓取EtherCat网络数据的工作，ETH1网络接口接口用来将检测结果(包括：报警信息)上传至远程服务器；利用数据隔离模块(例如：PC847光耦隔离芯片)驱动数字量输入/输出(IO)点，该IO点连接到数据拦截模块，当检测到严重威胁时直接经由该IO点发送捕获的异常网络通信数据到数据拦截模块，实现拦截处理，通过这种接入方式，不改变原工业系统的组网方式，满足机械臂的实时性要求。

综上，本发明实施例所述的针对工业机器人控制系统的网络入侵检测系统，在满足工业机械臂控制系统的实时性要求下，主要实现入侵检测和入侵拦截，从而保护工业机器人控制设备以及工业EtherCat总线通信安全，有助于提高机器人控制系统的安全性。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种针对工业机器人控制系统的网络入侵检测系统，其特征在于，包括：

捕获模块，用于捕获机器人控制系统的网络通信数据；

解析模块，用于根据捕获的网络通信数据进行通信协议解析和深度数据包解析；

检测模块，用于根据解析结果进行入侵检测，若检测到所述工业机器人控制系统被入侵，则发送报警信息至服务器。

2.根据权利要求1所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述系统还包括：

网络特征异常检测模块，用于提取出所述网络通信数据的网络特征，利用hash算法统计预设时间段内当前路径的访问次数，根据建立的安全系数判断是否通过当前访问请求，若通过，则利用预先确定的白名单库中的规则进行网络特征匹配，若匹配失败，则视为入侵行为，拦截并发送报警信息至服务器；

其中，所述网络特征包括：源地址、目的地址、端口信息，所述白名单库中的规则包括：源地址、目的地址、端口信息、访问次数、访问权限。

3.根据权利要求1所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述系统还包括：

支持向量机协议检测模块，用于检测获取的所述网络通信数据是否受到Dos攻击，若受到Dos攻击，则发送报警信息至服务器；否则，从获取的所述网络通信数据中提取出应用层数据。

4.根据权利要求3所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述支持向量机协议检测模块包括：用于检测工业机器人控制系统是否收到Dos攻击的第一分类器；所述第一分类器的创建步骤包括：

采集工业机器人控制系统正常运行状态下的网络数据包和Dos攻击情况下的网络数据包，生成训练样本；

根据主成分分析法进行样本降维，降维后的训练样本利用支持向量机算法训练生成第一分类器。

5.根据权利要求1所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述网络通信数据包括：EtherCat网络数据；

所述解析模块，用于根据捕获的网络通信数据，对EtherCat通信协议进行解析，根据解析出的协议进行深度数据包解析，解析出数据包中每一位数据的实际物理意义。

6.根据权利要求1所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述检测模块包括：

时序逻辑检测单元，用于根据解析结果，确定获取的所述网络通信数据所属的时序逻辑状态，判断确定的所述网络通信数据所属的时序逻辑状态是否包含在预先确定的正常时序逻辑状态中，若不是，则捕获的所述网络通信数据为异常数据，拦截并发送报警信息至服务器。

7.根据权利要求6所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述时序逻辑检测单元包括：用于识别时序逻辑状态的第二分类器；其中，所述第二分类器是基于工业机器人的运行状态构建的，用于将正常状态进行多个时序逻辑分类。

8.根据权利要求1所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述检测模块包括：

控制指令检测单元，用于获取预先建立的控制模型规则库文件，生成多级检测规则链表，获取工业机器人控制系统的实时运行状态，根据获取的工业机器人控制系统的实时运行状态，从生成的多级检测规则链表提取相应的规则，从解析结果中，获取机器人运动学控制指令，判断机器人运动学控制指令是否违反提取的多级检测规则链表中的规则，若违反，则判定当前指令为入侵指令，则拦截并发送报警信息至服务器；

其中，所述控制模型规则库文件是依据专家经验规则库、机器人运动学模型、工序模型、工艺模型中的一种或多种建立的。

9.根据权利要求8所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述系统还包括：

数据隔离模块，用于驱动数字量输入/输出点，将捕获的异常网络通信数据发送到数据拦截模块；

数据拦截模块，用于对接收到的异常网络通信数据进行拦截处理。

10.根据权利要求5所述的针对工业机器人控制系统的网络入侵检测系统，其特征在于，所述系统还包括：

数据输出模块，用于使用TCP/IP协议，并设计成客户端，通过以太网与服务器进行连接，传输报警信息至服务器。