工业控制设备的外挂型安全检测装置及安全检测方法
技术领域
本发明涉及工业控制技术领域,具体地,涉及一种工业控制设备的外挂型安全检测装置及一种工业控制设备的安全检测方法。
背景技术
随着科学技术的不断发展,网络通信技术越来越多地被应用于各个技术领域,由于网络通信技术能够极大的增加沟通效率,降低沟通成本,同时提高控制可靠性,因此在工业控制设备中也越来越多地应用网络通信技术。
工业控制安全往往分为信息安全、功能安全和物理安全三大类。在传统的工业控制技术领域,由于网络通信技术的应用较少,因此主要关注功能安全和物理安全,即主要为了防止工业安全相关系统或设备的功能失效,以及保证工业设备或系统随时保持或进入安全工作状态。而随着现代工业领域的网络通信技术应用场景不断增多,针对工业控制系统的信息安全问题不断凸显,业界对信息安全的重视程度逐步提高。
为了解决上述技术问题,技术人员通过在主控设备和工业控制设备之间串接安全防护装置以实现保护作用,然而安全防护装置的故障或损坏会对工业控制设备的正常运行产生较大影响;进一步地,虽然可以在安全防护装置中配置硬件桥接装置,但额外的硬件桥接装置会对工业控制设备造成秒级中断影响,进一步增大了工业控制设备的不可靠性。技术人员还通过在主控设备和工业控制设备之间旁路连接网络交换设备以解决上述技术问题,但需要网络交换设备支持端口镜像功能,而由于部分网络交换设备不支持端口镜像功能,从而无法实施此方案。
发明内容
为了克服现有技术中工业控制设备的安全防护装置对正常运行工况影响较大而无法满足现有控制需求的技术问题,本发明实施例提供一种工业控制设备的外挂型安全检测装置和一种工业控制设备的安全检测方法,通过配置独立的外挂式安全检测装置,从而在不影响工业控制设备的正常使用的情况下,还能实现对工业控制设备的通信信息的传输和安全检测功能,满足了现代工业控制设备的控制需求。
为了实现上述目的,本发明实施例提供一种工业控制设备的外挂型安全检测装置,所述安全检测装置包括:第一光口,所述第一光口的输入端与中央管理装置或网络交换装置连接,用于获取来自所述中央管理装置或所述网络交换装置的通信信息;第二光口,所述第二光口的输入端与所述第一光口的输出端连接,所述第二光口的输出端与工业控制设备连接,用于将所述通信信息转发至所述工业控制设备;分光单元,配置于所述第一光口和所述第二光口之间,用于复制所述通信信息以获得复制后通信信息,并将所述复制后通信信息发送至处理单元;所述处理单元,与所述分光单元电连接,用于对所述复制后通信信息进行安全检测,并获得检测结果。
优选地,所述处理单元包括:中央处理模块,与所述分光单元连接,用于对所述复制后通信信息执行解析操作以生成对应的解析信息,并将所述解析信息发送至缓存模块;所述缓存模块,与所述中央处理模块连接,用于接收并缓存所述解析信息;时钟模块,与所述中央处理模块连接,用于生成时钟信号,并将所述时钟信号发送至所述中央处理模块;所述中央处理模块还用于基于所述时钟信号对所述解析信息进行安全检测,并生成对应的检测结果;存储模块,与所述中央处理模块连接,用于存储所述检测结果;通信接口,与所述中央处理模块连接,用于在获取到通信指令的情况下,对所述检测结果执行外发操作。
优选地,所述处理单元还包括:电源模块,用于对所述处理单元进行独立供电,或通过与外部电源连接以对所述处理单元进行外部供电。
优选地,所述中央处理模块还用于基于所述解析信息生成安全查询指令;所述安全检测装置还包括:网络通讯单元,与所述处理单元连接,用于获取所述安全查询指令,并反馈对应的安全反馈信息。
优选地,所述安全检测装置还包括:云端服务器,与所述网络通讯单元无线连接;所述网络通讯单元还用于:从所述处理单元获取所述解析信息,将所述解析信息发送至所述云端服务器;以及将所述云端服务器基于所述解析信息反馈的解析反馈信息转发至所述处理单元。
相应的,本发明还提供一种工业控制设备的安全检测方法,应用于安全检测装置,所述安全检测方法包括:获取设备控制指令;转发所述设备控制指令;复制所述设备控制指令以获得复制后控制指令;对所述复制后控制指令进行安全检测,并获得对应的安全检测结果。
优选地,所述对所述复制后控制指令进行安全检测,并获得对应的安全检测结果,包括:对所述复制后控制指令进行解析,并获得解析信息;对所述解析信息进行安全检测,以获得对应的安全检测结果。
优选地,所述对所述复制后控制指令进行解析,并获得解析信息,包括:提取所述复制后控制指令的标识信息;判断所述标识信息是否为合法标识信息;在所述标识信息为合法标识信息的情况下,提取所述复制后控制指令的指令内容信息;对所述指令内容信息进行特征分析,以获得内容分析结果;在所述标识信息为非法标识信息,或所述指令内容为非法内容的情况下,生成并反馈对应的报警信息。
优选地,所述安全检测装置包括网络通讯单元,所述对所述指令内容信息进行特征分析,以获得内容分析结果,包括:提取所述指令内容信息的特征信息;通过所述网络通讯单元获取针对所述特征信息的反馈信息;基于所述反馈信息判断所述指令内容信息是否为合法内容信息,并生成对应的判断结果。
另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明提供的方法。
通过在传统的主控设备和工业控制设备之间配置独立的外挂式安全检测装置,从而在不影响工业控制设备的正常使用的情况下,还能实现对工业控制设备的通信信息的传输和安全检测功能,同时不需要额外配置具有端口镜像功能的网络交换设备,满足了现代工业控制设备的控制需求,降低了企业运营成本,提高了企业经营效益,保证了设备运行的安全性和可靠性。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1为本发明实施例提供的工业控制设备的外挂型安全检测装置的结构示意图;
图2为本发明实施例提供的工业控制设备的外挂型安全检测装置中处理单元的结构示意图;
图3为本发明另一实施例提供的工业控制设备的外挂型安全检测装置中处理单元的结构示意图;
图4为本发明另一实施例提供的工业控制设备的外挂型安全检测装置的结构示意图;
图5为本发明再一实施例提供的工业控制设备的外挂型安全检测装置的结构示意图;
图6为本发明实施例提供的工业控制设备的安全检测方法的具体实现流程图。
附图标记说明
100第一光口 1001中央管理装置
1002网络交换装置 200第二光口
2001工业控制设备 300分光单元
400处理单元 401中央处理模块
402缓存模块 403时钟模块
404存储模块 405通信接口
406电源模块
具体实施方式
为了克服现有技术中工业控制设备的安全防护装置对正常运行工况影响较大而无法满足现有控制需求的技术问题,本发明实施例提供一种工业控制设备的外挂型安全检测装置和一种工业控制设备的安全检测方法,通过配置独立的外挂式安全检测装置,从而在不影响工业控制设备的正常使用的情况下,还能实现对工业控制设备的通信信息的传输和安全检测功能,满足了现代工业控制设备的控制需求。
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。另外,需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
请参见图1,本发明实施例提供一种工业控制设备的外挂型安全检测装置,所述安全检测装置包括:第一光口100,第一光口100的输入端与中央管理装置1001或网络交换装置1002连接,用于获取来自中央管理装置1001或网络交换装置1002的通信信息;第二光口200,第二光口200的输入端与第一光口100的输出端连接,第二光口200的输出端与工业控制设备2001连接,用于将所述通信信息转发至工业控制设备2001;分光单元300,配置于第一光口100和第二光口200之间,用于复制所述通信信息以获得复制后通信信息,并将所述复制后通信信息发送至处理单元400;处理单元400,与分光单元300电连接,用于对所述复制后通信信息进行安全检测,并获得检测结果。
在一种可能的实施方式中,为了对现场的工业控制设备进行安全保护,技术人员首先将安全装置串接在中央管理装置1001和工业控制设备2001之间,然后开始运行。在运行过程中,从中央管理装置1001(例如中央管理装置1001为控制当前场景内的所有工业控制设备的工业主机,在工业主机上安装有工业组态软件)向工业控制设备2001发送通信信息,此时串接在工业主机和工业控制设备2001之间的安全检测装置通过第一光口100接收到该通信信息,并立即通过第二光口200将该通信信息转发至工业控制设备2001,同时安全检测装置还通过分光单元300对该通信信息执行复制操作,以在不影响该通信信息的正常传播的情况下还能够获得复制后通信信息,并将该复制后通信信息发送至处理单元400,处理单元在接收到该复制后通信信息后,立即对该复制后通信信息进行安全检测,并获得检测结果。
在本发明实施例中,通过直接在中央管理装置1001或网络交换装置1002和工业控制设备2001之间配置一个外挂的安全检测装置,因此能够对通信过程中的每个通信信息都能够进行安全检测操作,同时由于本发明所述的安全检测装置并不对上述通信信息进行中间的处理操作,因此能够在不影响现有通信状况的情况下还能够实现对每个通信信息的安全检测功能,进一步地,即使本发明实施例所述的处理单元400发生故障或损坏而导致安全检测功能无法正常使用,依然无法对工业控制设备2001的正常通信和使用造成任何影响,极大的保障了工业控制设备2001的运行可靠性和安全性。
请参见图2,在本发明实施例中,处理单元400包括:中央处理模块401,与分光单元300连接,用于对所述复制后通信信息执行解析操作以生成对应的解析信息,并将所述解析信息发送至缓存模块402;缓存模块402,与中央处理模块401连接,用于接收并缓存所述解析信息;时钟模块403,与中央处理模块401连接,用于生成时钟信号,并将所述时钟信号发送至中央处理模块401;中央处理模块401还用于基于所述时钟信号对所述解析信息进行安全检测,并生成对应的检测结果;存储模块404,与中央处理模块401连接,用于存储所述检测结果;通信接口405,与中央处理模块401连接,用于在获取到通信指令的情况下,对所述检测结果执行外发操作。
在一种可能的实施方式中,中央处理模块401在接收到分光单元300复制的复制后通信信息后,立即对该复制后通信信息进行解析以获得解析信息,解析信息包括但不限于报文长度信息、字头信息、校验信息、通信时间信息以及报文标识信息等。首先中央处理模块401验证该复制后通信信息的信息长度,并与预设报文长度(例如预设报文长度为12)进行对比,例如在本发明实施中,中央处理模块401获取到该复制后通信信息的信息长度为12,因此判定该复制后通信信息的信息长度符合要求,因此进一步提取该复制后通信信息的标识信息,并与预设报文标识信息进行对比,并确定该标识信息为合法标识信息。
进一步地,中央处理模块401将上述解析信息缓存至缓存模块402,并进一步提取复制后通信信息的通信内容,并对该通信内容进行特征分析,例如在本发明实施例中,中央处理模块401通过调用本地病毒特征数据库对该通信内容进行特征分析以判断该通信内容是否属于病毒信息,并确定该通信内容不属于病毒信息,因此生成通信内容正常的内容分析结果,然后从缓存模块402中获取上述解析信息以对该复制后通信信息进行还原,在还原该复制后通信信息后,中央处理模块401将对该复制后通信信息的检测结果存储至存储模块404中。
在本发明实施例中,通过在每个工业控制设备2001的信号输入端外挂配置独立的安全检测装置,在不影响工业控制设备2001的正常运行和通信的情况下,能够对工业控制设备2001的每个通信信息进行安全检测,不需要工业控制设备2001额外配置具有端口镜像功能的网络交换装置1002,大大减低了对工业控制设备2001的通信安全检测的复杂度,同时在安全检测过程中不会对工业控制设备2001的通信造成任何延时或中断的影响,保证了工业控制设备2001的运行可靠性,提高了运行安全性。
进一步地,请参见图3,在本发明实施例中,处理单元400还包括:电源模块406,用于对处理单元400进行独立供电,或通过与外部电源连接以对所述处理单元进行外部供电。
由于在实际应用过程中,实际场景运行的工业控制设备2001的数量较多,且分布在场景内的任何位置,因此为了避免为每个安全检测装置进行供电布线造成的繁琐度,在一种可能的实施方式中,技术人员通过为每个安全检测装置配置独立的电源模块406,例如该独立的电源模块406为具有一定容量的电池,从而在为处理单元400提供长期能源的同时,降低现场布线的复杂度,避免现场大量布线为技术人员带来的麻烦和潜在的安全威胁。进一步地,上述电源模块406可以为可拆卸结构,便于技术人员对电量不足的电源模块406进行及时的更换,以进一步保障工业控制设备2001的稳定、可靠运行。
请参见图4,在本发明实施例中,中央处理模块401还用于基于所述解析信息生成安全查询指令;所述安全检测装置还包括:网络通讯单元500,与处理单元400连接,用于获取所述安全查询指令,并反馈对应的安全反馈信息。
进一步地,请参见图5,在本发明实施例中,所述安全检测装置还包括:云端服务器600,与网络通讯单元500无线连接;网络通讯单元500还用于:从处理单元400获取所述解析信息,将所述解析信息发送至云端服务器600;以及将云端服务器600基于所述解析信息反馈的解析反馈信息转发至处理单元400。
在一种可能的实施方式中,中央处理模块401在对复制后通信信息进行解析后,确定该复制后通信信息的解析信息为合法的解析信息,因此进一步提取该复制后通信信息的通信内容,例如根据解析信息中的加密版本信息获取到对应的解密信息,然后根据该解密信息对复制后通信信息进行解密操作以获得通信内容,此时中央处理模块401直接将通信内容通过网络通讯单元500转发至云端服务器600以通过云端服务器600对该通信内容进行特征分析,或按照预设分析方法对该通信内容进行特征提取,以获得该通信内容的特征信息并生成安全查询指令,然后将该安全查询指令发送至云端服务器600,此时云端服务器600根据上述安全查询指令将对应的特征库数据信息通过网络通讯单元500反馈至中央处理模块401,中央处理模块401根据特征数据库信息对该通信内容进行分析,以判断该通信内容是否为合法内容信息,并获得对应的判断结果。例如在本发明实施例中,中央处理模块401通过分析发现该通信内容为包含病毒信息的非法内容信息,因此立即生成对应的报警信息,并基于上述解析结果和判断结果生成对应的检测结果,并将检测结果和该复制后通信信息存储在存储模块404中。
由于通信技术的不断发展,通信语言以及通信平台的不断改变,网络通信的危险特征也在不断变化,因此在本发明实施例中,通过在安全检测装置上配置额外的网络通讯单元500以与云端服务器600无线连接,因此中央处理模块401能够针对最新的危险特征对通信信息进行安全检测,大大提高了对通信信息的安全检测的全面性、实时性以及精确性,有效保证了工业控制设备2001的运行安全性,满足了现代工业控制技术领域的实际需求。
下面结合附图对本发明实施例所提供的工业控制设备的安全检测方法进行说明。
请参见图6,基于同一发明构思,本发明实施例提供一种工业控制设备的安全检测方法,应用于安全检测装置,所述安全检测方法包括:
S10)获取设备控制指令;
S20)转发所述设备控制指令;
S30)复制所述设备控制指令以获得复制后控制指令;
S40)对所述复制后控制指令进行安全检测,并获得对应的安全检测结果。
在本发明实施例中,所述对所述复制后控制指令进行安全检测,并获得对应的安全检测结果,包括:对所述复制后控制指令进行解析,并获得解析信息;对所述解析信息进行安全检测,以获得对应的安全检测结果。
在本发明实施例中,所述对所述复制后控制指令进行解析,并获得解析信息,包括:提取所述复制后控制指令的标识信息;判断所述标识信息是否为合法标识信息;在所述标识信息为合法标识信息的情况下,提取所述复制后控制指令的指令内容信息;对所述指令内容信息进行特征分析,以获得内容分析结果;在所述标识信息为非法标识信息,或所述指令内容为非法内容的情况下,生成并反馈对应的报警信息。
在本发明实施例中,所述安全检测装置包括网络通讯单元,所述对所述指令内容信息进行特征分析,以获得内容分析结果,包括:提取所述指令内容信息的特征信息;通过所述网络通讯单元获取针对所述特征信息的反馈信息;基于所述反馈信息判断所述指令内容信息是否为合法内容信息,并生成对应的判断结果。
进一步地,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明所述的方法。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。