CN113119124A - 一种机器人控制系统的安全防护系统 - Google Patents

Abstract

本发明公开了一种基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统，包括防火墙、安全审计、运动指令解析、模型在线分析，实现机器人的安全防护。通过对控制网络分层，建立了操作员站与终端设备节点之间的高效防护体系，避免了直接数据交换带来的信息安全的隐患，保护了工业机器人控制数据完整性、一致性、可用性，系统保障了机器人的安全。

Description

一种机器人控制系统的安全防护系统

技术领域

本发明属于工业信息安全技术领域，尤其涉及一种基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统。

背景技术

在一个包含工业机器人的工业现场中，工程师站、工业服务器与机器人控制器之间的通讯网络属于工业关键控制系统网络，而工程师站、工业服务器通常经过一个工业网关直接与机器人控制器进行数据通信，通信大多使用互联网等公开通信信道，信息容易被篡改和监听，针对机器人的攻击很容易通过这种方式实现，进而威胁到人身、财产安全。在工业现场常使用工业防火墙、工业网闸、工业入侵检测等方法从不同侧面防护关键控制系统安全，但对于机器人控制器的安全防护没有针对性的解决方法。

发明内容

为了解决目前机器人控制系统安全保护方面存在的不足，本发明提出一种基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统，采用工业防火墙以及建模审计分析的方法进行面向实际工业现场的机器人控制系统的安全防护。本发明的具体技术方案如下：

一种基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统，包括防火墙、安全审计模块、运动指令解析模块、模型在线分析模块，所述模型在线分析模块包括机器人建模验证模块、机器人模型库和运动数据库；其中，

所述防火墙解析服务器或操作、管理人员通过网络发送给机器人控制器的数据包，对获得的应用层数据包进行识别与拆分，按照源地址IP、目标地址IP、标识连续数据包的分组关系的目标地址信道号和源地址信道号、源地址信道号是否在相应的自定义白名单中，协议标识符是否合法，数据载荷长度与载荷标识内容是否一致的标准对数据包进行校验过滤；通过校验后将数据包转发到所述安全审计模块；

所述安全审计模块针对数据包的合规性进行过滤，将合规数据包根据是否是控制指令数据包决定是否直接转发至机器人控制器；根据功能标识码、序列号决定数据包是否镜像转发至所述运动指令解析模块；同时该模块动态更新机器人控制器工作状态并更新合规协议功能码；

所述运动指令解析模块对具有特定功能码和连续序列号的数据包进行重组，按照功能码采取对应的数据解析方法，获取参数或运动指令转化为数学模型中对应运动，将其发送到所述模型在线分析模块；

所述模型在线分析模块用于获取机器人控制器中的机器人配置文件，读取文件信息，在所述机器人模型库中匹配机器人模型；所述机器人建模验证模块实现运动的预测与实时更新；将所述模型在线分析模块中的预测数据与机器人控制器反馈的运动数据对比，判断运动的准确性，将通过校验的运动数据传入所述机器人建模仿真模块，更新运动；将运动数据全部存入所述运动数据库中，绘制变化曲线，对运动进行审计，警告超出阈值的运动。

基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统的防护方法，其特征在于，包括以下步骤：

S1：将机器人结构参数、轴参数、机器人运动误差阈值存储至机器人控制器中，防护系统启动后由机器人建模仿真模块获取数据并解析，构建机器人数学模型；

S2：根据现场组网情况配置iptables白名单，在应用层使用-match u32方法过滤应用层数据，筛选过滤数据包；将通过筛选的数据包发送至安全审计模块进行过滤与转发；

S3：对于进入运动指令解析模块的数据包分层、重组，将操作、管理人员的指令转化为机器人运动，与机器人控制器反馈的运动比较，若偏差在设定的阈值内，则将反馈的运动发送到机器人建模仿真模块进行运动更新，偏差超出阈值则报警。

进一步地，所述步骤S2中筛选过滤数据包的方法为：

S2-1：对于从服务器或操作、管理人员通过网络发送至防火墙的数据包，检验其是否通过网络层与数据链路层的校验，若通过校验则进入应用层过滤；

S2-2：针对协议的id号匹配，对于白名单中的协议id执行下一步过滤操作，将无法完成匹配的数据包驳回、记录并报警；

S2-3：针对匹配到的协议，按照协议格式读取数据报文中的源、目的IP或标识，与白名单中的IP与标识匹配，对于匹配的数据报文执行下一步过滤操作，将不匹配的数据包驳回、记录并报警；

S2-4：针对匹配到的协议，按照协议格式读取数据报文中的源、目的信道号，与白名单中的信道号匹配，对于匹配的数据报文执行下一步过滤操作，将不匹配的数据包驳回、记录并报警；

S2-5：针对匹配到的协议，按照协议格式读取数据报文中的数据载荷长度和标识数据载荷长度的标记，计算实际数据载荷长度与标记的数值是否相同，对于相同的数据报文执行下一步过滤操作，将不同的数据包驳回、记录并报警；

S2-6：对于步骤S2-5的结果，将数据包直接发送至安全审计模块中；同时对于其他传入的数据，在执行完相应的应用层包解析后视情况决定是否进行协议转化，包括CAN转TCP/IP、MODBUS RTU转MODBUS TCP等；将通过防火墙的其他数据报文发送到安全审计模块；

S2-7：判断发送到安全审计模块的数据是否是合规的数据包，对于包含限制访问的协议与包含特殊标志位的数据包进行拦截，没有通过的数据包丢弃并记录，将通过的数据包继续下一步操作；

S2-8：针对匹配到的协议，按照协议格式对数据包分类，将非控制指令数据包发送到机器人控制器，如果是传感器数据以及自定义采集数据则镜像转发至运动数据库，对于控制指令数据包进行下一步操作；

S2-9：针对匹配到的协议，按照协议格式读取数据报文中的协议功能码，并由安全审计模块读取机器人控制器当前状态，按照预设的规则判断当前状态下此功能码是否合法，对于合法的数据报文执行下一步操作，将不合法的数据包驳回、记录并报警；

S2-10：针对匹配到的协议，按照协议格式读取数据报文中的协议功能码，判断功能码是否在io操作与设备操作功能码列表中，如果是，则发送至运动指令解析模块进行语义解析；如果不是，则根据应用层语义解析模块中是否有前序数据包未完成解析来决定是否转发至运动指令解析模块；将两次判断均不符合的数据包转发至机器人控制器；

S2-11：更新机器人控制器的状态与机器人的运动状态，将更新后的状态发送至装置的安全审计模块中供步骤S2-9使用。

本发明的有益效果在于：

1.本发明提出了一种安全防护的系统与方法，能够保证机器人所在关键控制网络的控制安全，同时对控制网络更进一步的分层，通过系统应用建立了生产管理层、过程监控层与终端设备节点之间的高效防护，避免了原部署下的网络安全隐患带来的直接数据交换的风险，保护了工业机器人控制数据完整性、一致性与可用性，重点保障机器人的安全。

2.本发明结合了工业防火墙技术与机器人模型预测的安全审计技术，从外部输入和控制输出两方面保障了机器人控制的安全，结合了事前与事中安全保护。

3.本发明可针对多种类型的机器人进行安全防护，在确定机器人运动规则与协议内容后较容易进行部署。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，通过参考附图会更加清楚的理解本发明的特征和优点，附图是示意性的而不应理解为对本发明进行任何限制，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，可以根据这些附图获得其他的附图。其中：

图1是本发明的机器人控制系统安全防护系统的网络部署图；

图2是本发明的机器人控制系统安全防护系统结构图；

图3是本发明的机器人控制安全设计-防火墙加安全审计流程图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本发明的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

如图1-3所示，采用防火墙，深度包解析技术以及机器人建模审计分析的方法进行机器人控制安全防护的系统与相应的防护方法。具体地，一种基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统，包括防火墙、安全审计模块、运动指令解析模块、模型在线分析模块，模型在线分析模块包括机器人建模验证模块、机器人模型库和运动数据库；其中，

防火墙解析服务器或操作、管理人员通过网络发送给机器人控制器的数据包，对获得的应用层数据包进行识别与拆分，按照源地址IP、目标地址IP、标识连续数据包的分组关系的目标地址信道号和源地址信道号、源地址信道号是否在相应的自定义白名单中，协议标识符是否合法，数据载荷长度与载荷标识内容是否一致的标准对数据包进行校验过滤；通过校验后将数据包转发到安全审计模块；

安全审计模块针对数据包的合规性进行过滤，将合规数据包根据是否是控制指令数据包决定是否直接转发至机器人控制器；根据功能标识码、序列号决定数据包是否镜像转发至运动指令解析模块；同时该模块动态更新机器人控制器工作状态并更新合规协议功能码；

运动指令解析模块对具有特定功能码和连续序列号的数据包进行重组，按照功能码采取对应的数据解析方法，获取参数或运动指令转化为数学模型中对应运动，将其发送到模型在线分析模块；

模型在线分析模块用于获取机器人控制器中的机器人配置文件，读取文件信息，在机器人模型库中匹配机器人模型；机器人建模验证模块实现运动的预测与实时更新；将模型在线分析模块中的预测数据与机器人控制器反馈的运动数据对比，判断运动的准确性，将通过校验的运动数据传入机器人建模仿真模块，更新运动；将运动数据全部存入运动数据库中，绘制变化曲线，对运动进行审计，警告超出阈值的运动。

基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统的防护方法，包括以下步骤：

S1：将机器人结构参数、轴参数、机器人运动误差阈值存储至机器人控制器中，防护系统启动后由机器人建模仿真模块获取数据并解析，构建机器人数学模型；

S2：根据现场组网情况配置iptables白名单，在应用层使用-match u32方法过滤应用层数据，筛选过滤数据包；将通过筛选的数据包发送至安全审计模块进行过滤与转发；

S3：对于进入运动指令解析模块的数据包分层、重组，将操作、管理人员的指令转化为机器人运动，与机器人控制器反馈的运动比较，若偏差在设定的阈值内，则将反馈的运动发送到机器人建模仿真模块进行运动更新，偏差超出阈值则报警。

步骤S2中筛选过滤数据包的方法为：

S2-1：对于由服务器或操作、管理人员通过网络发送至防火墙的数据包，检验其是否通过网络层与数据链路层的校验，若通过校验则进入应用层过滤；

S2-2：针对协议的id号匹配，对于白名单中的协议id执行下一步过滤操作，将无法完成匹配的数据包驳回、记录并报警；

S2-3：针对匹配到的协议，按照协议格式读取数据报文中的源、目的IP或标识，与白名单中的IP与标识匹配，对于匹配的数据报文执行下一步过滤操作，将不匹配的数据包驳回、记录并报警；

S2-4：针对匹配到的协议，按照协议格式读取数据报文中的源、目的信道号，与白名单中的信道号匹配，对于匹配的数据报文执行下一步过滤操作，将不匹配的数据包驳回、记录并报警；

S2-5：针对匹配到的协议，按照协议格式读取数据报文中的数据载荷长度和标识数据载荷长度的标记，计算实际数据载荷长度与标记的数值是否相同，对于相同的数据报文执行下一步过滤操作，将不同的数据包驳回、记录并报警；

S2-6：对于步骤S2-5的结果，将数据包直接发送至安全审计模块中；同时对于其他传入的数据，在执行完相应的应用层包解析后视情况决定是否进行协议转化，包括CAN转TCP/IP、MODBUS RTU转MODBUS TCP等；将通过防火墙的其他数据报文发送到安全审计模块；

S2-7：判断发送到安全审计模块的数据是否是合规的数据包，对于包含限制访问的协议与包含特殊标志位的数据包进行拦截，没有通过的数据包丢弃并记录，将通过的数据包继续下一步操作；

S2-8：针对匹配到的协议，按照协议格式对数据包分类，将非控制指令数据包发送到机器人控制器，如果是传感器数据以及自定义采集数据则镜像转发至运动数据库，对于控制指令数据包进行下一步操作；

S2-9：针对匹配到的协议，按照协议格式读取数据报文中的协议功能码，并由安全审计模块读取机器人控制器当前状态，按照预设的规则判断当前状态下此功能码是否合法，对于合法的数据报文执行下一步操作，将不合法的数据包驳回、记录并报警；

S2-10：针对匹配到的协议，按照协议格式读取数据报文中的协议功能码，判断功能码是否在io操作与设备操作功能码列表中，如果是，则发送至运动指令解析模块进行语义解析；如果不是，则根据应用层语义解析模块中是否有前序数据包未完成解析来决定是否转发至运动指令解析模块；将两次判断均不符合的数据包转发至机器人控制器；

S2-11：更新机器人控制器的状态与机器人的运动状态，将更新后的状态发送至装置的安全审计模块中供步骤S2-9使用。

为了方便理解本发明的上述技术方案，以下通过具体实施例对本发明的上述技术方案进行详细说明。

实施例1

在实际工业现场的机器人控制网络中有一台六自由度的多轴工业机器人进行复杂的分拣作业，需要将部分视觉处理及决策功能交由边缘云服务器处理，同时边缘云服务器也兼具预测性维护的功能，此时可以部署本发明的机器人控制系统安全防护系统。关键控制系统网络中包含一台机器人，一个工程师站站以及一个部署了本发明的机器人控制系统安全防护系统的工控设备；此外网络中还包括一个生产控制云服务器与工程师站进行信息交互。由于关键控制系统网络与生产管理层网络之间联通，仅通过工业网闸进行防护，并不能防止伪装的中间人攻击或系统的漏洞对于机器人运动的影响。通过本发明的机器人控制系统安全防护系统能够有效避免上述问题，具体的部署以及使用方法如下：

S1：部署机器人现场控制网络，将安全防护系统串联部署至工程师站和机器人控制器之间，在安全防护系统中对工业现场情况配置机器人控制网络的的黑白名单以及机器人运动误差阈值文件，编写六自由度机器人的各轴参数信息文件和路径规划算法文件，保存到机器人控制器，在安全防护系统中录入自定义采集数据；

S2：在云服务器完成对于视觉信息的处理后需要向工程师站发送运动的决策，且云服务器还需要在提供预测性维护服务时对机器人运动进行分析与矫正，因此边缘云服务器端需要通过工程师站向机器人控制器发出控制指令或传递参数。对核心控制网络传输的由工程师站(上位机、示教器)和机器人控制器之间的数据在防火墙模块进行数据帧分层，针对步骤S1中的白名单过滤不符合条件的IP地址与MAC地址，对获得的应用层数据进行应用协议的匹配与解析，-match u32匹配应用层数据帧用来标识协议号的标志位，通过为-match功能增加匹配对象来完成对应用层照源地址IP、目标地址IP、目标地址信道号、源地址信道号是否在相应白名单中的检测；将通过检测的数据包发送至安全审计模块；

S3：将其他总线接口中(包括但不限于CAN、PROFIBUS总线)的数据进行相应的协议审计与过滤后，根据设定规则决定是否进行协议转化，最终将数据包发送至安全审计模块；

S4：对转发进入安全审计模块的数据包进行协议合规性检验：将频繁进行的相同请求数据包进行丢弃，对连续的具有相同功能码的数据包进行规则判断，过滤掉不合规数据包；

S5：对于操作员在模块内自定义的需采集数据进行镜像转发，存储至运动数据库；将全部非控制指令数据包发送至机器人控制器；对控制指令数据包继续进行下一步判断；

S6：从发送的数据包应用层功能码和机器人控制器针对上一个数据包返回的信息判断机器人控制器的工作状态，在脚本中编写socket解析函数，获得机器人控制器的自定义状态码，以此为条件更新iptables中的规则，例如当工程师站上位机发送FlashLoad指令后，机器人控制器的返回数据包状态码若处于(ack)接受态，下一个数据包仅可能包含(data)数据发送、(end of data)数据发送结束和(abort)取消三种功能码之一；对于其他在规则外的数据包拒绝并报警；

S7：对于经过筛选的发送至运动指令解析模块的数据包进行重组，重组的方法为在相连的事务处理表识号的基础上，拼接带有IO、flash或直接运动指令功能码的数据包以及所属数据包之后的带有数据发送功能码的相应数据包的全部载荷，以组成的完整功能文段，对应用层数据包头之外的数据进行应用级语义解析；

S8：从机器人控制器中获取机器人的cfg配置文件进行解析，在模型在线分析模块的机器人模型库中搜寻具有相同关节数量与关节排布顺序的机器人模型，在机器人建模验证模块里构建机器人运动基础模型，对于无法在模型库中匹配到的机器人，由操作员录入具体参数以及全局路径规划算法；

S9：对于工程师站发出的控制指令或运动方案进行语义解析，带入机器人建模验证模块得到运动状态量的变化的理想输出曲线，使用机器人逆运动学解析解的获得机器人各关节的位姿参数变化；

S10：实时读取机器人控制器内部传入的机器人关节运动参数，将参数的变化与机器人建模验证模块中的结果对比，此操作在机器人建模验证模块中滚动进行，每有一次运动参数的反馈就进行一次，由操作员设定控制参数偏差的阈值；

S11：对于瞬时值超出阈值的偏差进行停机告警；

S12：若没有超出阈值，则把机器人建模验证模块中当前状态的关节参数更新为从机器人控制器获取的新的状态信息，重新进行模型预测，继续进行步骤S9、步骤S10作，实时监听上位机指令以获取运动问题更新；

S13：将历史运动参数存入运动数据库，采用Pearson检验法(Pearson检验法在这里是一个用来检验曲线拟合优度的检验方法，能够用来反映两个随机变量之间的线性相关程度)将模型的总体历史运动曲线与分析模块中初始运动模型进行相似性对比，设定Pearson检验值，若偏离总体目标达到设定阈值，则进行告警。事后在分析控制系统问题在确定模型与安全防护系统无误后，则认为机器人控制器内部参数或安全防护系统的输入出现了问题，可能是受到网络攻击；

S14：进一步的，可以对控制器当中的数据进行一致性校验，例如在预测性维护中，需要用到传感器数据以及机器人的运动参数数据，而这些数据已经被发送至控制器中，这些数据也已被预存储至模型在线分析模块的运动数据库中，在一个完整运动过程或指令动作校验结束后，采用相应的资源控制策略，及时删除数据库中冗余数据。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统，其特征在于，包括防火墙、安全审计模块、运动指令解析模块、模型在线分析模块，所述模型在线分析模块包括机器人建模验证模块、机器人模型库和运动数据库；其中，

所述防火墙解析服务器或操作、管理人员通过网络发送给机器人控制器的数据包，对获得的应用层数据包进行识别与拆分，按照源地址IP、目标地址IP、标识连续数据包的分组关系的目标地址信道号和源地址信道号、源地址信道号是否在相应的自定义白名单中，协议标识符是否合法，数据载荷长度与载荷标识内容是否一致的标准对数据包进行校验过滤；通过校验后将数据包转发到所述安全审计模块；

所述安全审计模块针对数据包的合规性进行过滤，将合规数据包根据是否是控制指令数据包决定是否直接转发至机器人控制器；根据功能标识码、序列号决定数据包是否镜像转发至所述运动指令解析模块；同时该模块动态更新机器人控制器工作状态并更新合规协议功能码；

所述运动指令解析模块对具有特定功能码和连续序列号的数据包进行重组，按照功能码采取对应的数据解析方法，获取参数或运动指令转化为数学模型中对应运动，将其发送到所述模型在线分析模块；

所述模型在线分析模块用于获取机器人控制器中的机器人配置文件，读取文件信息，在所述机器人模型库中匹配机器人模型；所述机器人建模验证模块实现运动的预测与实时更新；将所述模型在线分析模块中的预测数据与机器人控制器反馈的运动数据对比，判断运动的准确性，将通过校验的运动数据传入所述机器人建模仿真模块，更新运动；将运动数据全部存入所述运动数据库中，绘制变化曲线，对运动进行审计，警告超出阈值的运动。

2.根据权利要求1所述的一种基于深度包解析与机器人建模技术的机器人控制系统的安全防护系统的防护方法，其特征在于，包括以下步骤：

S1：将机器人结构参数、轴参数、机器人运动误差阈值存储至机器人控制器中，防护系统启动后由机器人建模仿真模块获取数据并解析，构建机器人数学模型；

S2：根据现场组网情况配置iptables白名单，在应用层使用-match u32方法过滤应用层数据，筛选过滤数据包；将通过筛选的数据包发送至安全审计模块进行过滤与转发；

S3：对于进入运动指令解析模块的数据包分层、重组，将操作、管理人员的指令转化为机器人运动，与机器人控制器反馈的运动比较，若偏差在设定的阈值内，则将反馈的运动发送到机器人建模仿真模块进行运动更新，偏差超出阈值则报警。

3.根据权利要求2所述的防护方法，其特征在于，所述步骤S2中筛选过滤数据包的方法为：

S2-1：对于由服务器或操作、管理人员通过网络发送至防火墙的数据包，检验其是否通过网络层与数据链路层的校验，若通过校验则进入应用层过滤；

S2-2：针对协议的id号匹配，对于白名单中的协议id执行下一步过滤操作，将无法完成匹配的数据包驳回、记录并报警；

S2-3：针对匹配到的协议，按照协议格式读取数据报文中的源、目的IP或标识，与白名单中的IP与标识匹配，对于匹配的数据报文执行下一步过滤操作，将不匹配的数据包驳回、记录并报警；

S2-4：针对匹配到的协议，按照协议格式读取数据报文中的源、目的信道号，与白名单中的信道号匹配，对于匹配的数据报文执行下一步过滤操作，将不匹配的数据包驳回、记录并报警；

S2-5：针对匹配到的协议，按照协议格式读取数据报文中的数据载荷长度和标识数据载荷长度的标记，计算实际数据载荷长度与标记的数值是否相同，对于相同的数据报文执行下一步过滤操作，将不同的数据包驳回、记录并报警；

S2-6：对于步骤S2-5的结果，将数据包直接发送至安全审计模块中；同时对于其他传入的数据，在执行完相应的应用层包解析后视情况决定是否进行协议转化，包括CAN转TCP/IP、MODBUS RTU转MODBUS TCP等；将通过防火墙的其他数据报文发送到安全审计模块；

S2-7：判断发送到安全审计模块的数据是否是合规的数据包，对于包含限制访问的协议与包含特殊标志位的数据包进行拦截，没有通过的数据包丢弃并记录，将通过的数据包继续下一步操作；

S2-8：针对匹配到的协议，按照协议格式对数据包分类，将非控制指令数据包发送到机器人控制器，如果是传感器数据以及自定义采集数据则镜像转发至运动数据库，对于控制指令数据包进行下一步操作；

S2-9：针对匹配到的协议，按照协议格式读取数据报文中的协议功能码，并由安全审计模块读取机器人控制器当前状态，按照预设的规则判断当前状态下此功能码是否合法，对于合法的数据报文执行下一步操作，将不合法的数据包驳回、记录并报警；

S2-10：针对匹配到的协议，按照协议格式读取数据报文中的协议功能码，判断功能码是否在io操作与设备操作功能码列表中，如果是，则发送至运动指令解析模块进行语义解析；如果不是，则根据应用层语义解析模块中是否有前序数据包未完成解析来决定是否转发至运动指令解析模块；将两次判断均不符合的数据包转发至机器人控制器；

S2-11：更新机器人控制器的状态与机器人的运动状态，将更新后的状态发送至装置的安全审计模块中供步骤S2-9使用。

Images