CN114019933A - 一种工业控制系统的网络安全控制方法及装置 - Google Patents

一种工业控制系统的网络安全控制方法及装置 Download PDF

Info

Publication number
CN114019933A
CN114019933A CN202111426445.2A CN202111426445A CN114019933A CN 114019933 A CN114019933 A CN 114019933A CN 202111426445 A CN202111426445 A CN 202111426445A CN 114019933 A CN114019933 A CN 114019933A
Authority
CN
China
Prior art keywords
industrial control
network
terminal
control terminals
terminals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111426445.2A
Other languages
English (en)
Other versions
CN114019933B (zh
Inventor
徐晓光
贾郑雷
赵旭东
李准峰
韩彦福
李松
张胜利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Tobacco Henan Industrial Co Ltd
Original Assignee
China Tobacco Henan Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Tobacco Henan Industrial Co Ltd filed Critical China Tobacco Henan Industrial Co Ltd
Priority to CN202111426445.2A priority Critical patent/CN114019933B/zh
Publication of CN114019933A publication Critical patent/CN114019933A/zh
Application granted granted Critical
Publication of CN114019933B publication Critical patent/CN114019933B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33139Design of industrial communication system with expert system
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种工业控制系统的网络安全控制方法及装置,网络安全控制方法包括:接收多个第一工控终端的网络连接请求及其对应的功能特征参数;依据功能特征参数建立虚拟防护网络并确定虚拟防护网络中的节点终端;向节点终端发送防护策略,并启动工控服务端与节点终端之间的网络连接,以及节点终端与虚拟防护网络内的第二工控终端之间的网络连接。本申请将具有相同或相似功能特征参数的工控终端归入同一虚拟防护网络中,采用统一的安全验证标准对该虚拟防护网络中的报文数据进行安全验证,避免对工控终端进行不适当的网络安全防护,提高了了网络安全防护效率。

Description

一种工业控制系统的网络安全控制方法及装置
技术领域
本申请涉及网络安全技术领域,更具体地,涉及一种工业控制系统的网络安全控制方法及装置。
背景技术
工业控制系统是确保工业基础设施的自动化运行、进行过程控制与监控的业务流程管控系统,它由各种自动化控制组件和过程控制组件构成,过程控制组件用于对实时数据进行采集和监测,自动化控制组件用于对工业基础设施进行自动化控制。工业控制系统中实现自动化操作的终端称为工业自动化控制终端,简称工控终端。随着网络环境的快速发展,工控终端的网络安全已逐步暴露在互联网的大环境下,常规防火墙防护策略已经不足以满足各工控终端的防护需求。
目前,通过工控主机确定的网络安全协议对请求访问的各种数据进行安全验证,具体是通过与工控主机连通的控制服务器(下称工控服务端)对数据进行统一处理,工控主机将通过安全验证的数据传送至工控终端,以实现网络安全防护。但是,由于各工控终端所实现的控制功能不同,工控主机的验证标准无法满足不同控制功能的工控终端对不同安全特征的数据的安全防护需求,导致对工控终端的网络安全防护过严或者过松,降低了网络安全防护效率。
发明内容
本申请提供一种工业控制系统的网络安全控制方法及装置,将具有相同或相似功能特征参数的工控终端归入同一虚拟防护网络中,采用统一的安全验证标准对该虚拟防护网络中的报文数据进行安全验证,避免对工控终端进行不适当的网络安全防护,提高了了网络安全防护效率。
本申请提供了一种工业控制系统的网络安全控制方法,包括:
接收多个第一工控终端的网络连接请求及其对应的功能特征参数,功能特征参数包括第一工控终端的控制对象的硬件功能信息以及与第一工控终端对应的局域网络连接协议;
依据功能特征参数建立虚拟防护网络并确定虚拟防护网络中的节点终端,虚拟防护网络包括多个第二工控终端,多个第二工控终端的功能特征参数的重合度大于阈值,节点终端为其中一个第二工控终端;
向节点终端发送防护策略,并启动工控服务端与节点终端之间的网络连接,以及节点终端与虚拟防护网络内的第二工控终端之间的网络连接。
优选地,依据功能特征参数建立虚拟防护网络,具体包括:
依据多个第一工控终端的局域网络连接协议确定可以局域网络连接的多个第一工控终端,作为第三工控终端;
依据多个第三工控终端的硬件功能信息筛选出具有相同控制对象、相同控制阈值的第三工控终端,作为第二工控终端;
建立所有第二工控终端之间的树状连接关系,形成虚拟防护网络。
优选地,依据所有第二工控终端的控制对象的优先级建立树状连接关系,并且将控制对象的优先级最高的第二工控终端作为节点终端。
优选地,在网络连接后还包括配置工控服务端与节点终端的报文传输权限以及第二工控终端的报文禁收权限。
优选地,防护策略为神经网络模型。
优选地,在训练神经网络模型时,将不同的功能特征参数进行数值化处理,作为一项训练样本参数输入训练模型。
本申请还提供一种工业控制系统的网络安全控制方法,包括:
接收来自工控服务端的防护策略并启动节点终端与工控服务器之间以及节点终端与其所属的虚拟防护网络中的第二工控终端之间的网络连接;
接收来自工控服务端的报文数据以及与报文数据对应的终端标识;
依据防护策略对报文数据进行安全验证;
若验证通过,则将报文数据发送给与终端标识对应的第二工控终端。
本申请还提供一种工业控制系统的网络安全控制装置,包括工控服务端和多个虚拟防护网络,工控服务端分别与多个虚拟防护网络之间网络连接;
每个虚拟防护网络包括一个节点终端和至少一个第二工控终端,节点终端分别与至少一个第二工控终端网络连接;
节点终端包括防护策略,节点终端依据防护策略对工控服务端传输的报文数据进行安全验证,并将验证通过的报文数据传输给同一虚拟防护网络中的第二工控终端。
优选地,工控服务端包括功能特征参数接收模块、虚拟防护网络建立模块以及网络连接模块;
功能特征参数接收模块用于接收多个第一工控终端的网络连接请求及其对应的功能特征参数,功能特征参数包括第一工控终端的控制对象的硬件功能信息以及与第一工控终端对应的局域网络连接协议;
虚拟防护网络建立模块用于依据功能特征参数建立虚拟防护网络并确定虚拟防护网络中的节点终端,虚拟防护网络包括多个第二工控终端,多个第二工控终端的功能特征参数的重合度大于阈值,节点终端为其中一个第二工控终端;
网络连接模块用于向节点终端发送防护策略,并启动工控服务端与节点终端之间的网络连接,以及节点终端与虚拟防护网络内的第二工控终端之间的网络连接。
优选地,虚拟防护网络建立模块包括第一筛选模块、第二筛选模块以及连接关系建立模块;
第一筛选模块用于依据多个第一工控终端的局域网络连接协议确定可以局域网络连接的多个第一工控终端,作为第三工控终端;
第二筛选模块用于依据多个第三工控终端的硬件功能信息筛选出具有相同控制对象、相同控制阈值的第三工控终端,作为第二工控终端;
连接关系建立模块用于建立所有第二工控终端之间的树状连接关系,形成虚拟防护网络。
通过以下参照附图对本申请的示例性实施例的详细描述,本申请的其它特征及其优点将会变得清楚。
附图说明
被结合在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且连同其说明一起用于解释本申请的原理。
图1为本申请提供的工业控制系统的网络安全控制方法的流程图;
图2为本申请提供的建立虚拟防护网络的流程图;
图3为本申请提供的工业控制系统的网络安全控制装置的结构图;
图4为本申请提供的工控服务端的结构图;
图5为本申请提供的虚拟防护网络建立模块的结构图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
本申请提供一种工业控制系统的网络安全控制方法及装置,将具有相同或相似功能特征参数的工控终端归入同一虚拟防护网络中,采用统一的安全验证标准对该虚拟防护网络中的报文数据进行安全验证,避免对工控终端进行不适当的网络安全防护,提高了了网络安全防护效率。
实施例一
如图1所示,本申请提供的工业控制系统的网络安全控制方法包括如下步骤:
S110:工控服务端接收多个第一工控终端的网络连接请求及其对应的功能特征参数。
本申请中,工业控制系统的网络安全控制装置包括一个工控服务端,以及至少一个工控终端,工控服务端基于其连接的工控主机进行配置、维护等操作。各个工控终端作为具有处理器功能的终端设备。
控制对象为工控终端需要进行控制操作的目标对象,包括但不限于钢铁工业、石油、化工等工业控制对象,例如乙烯、原油等。
工控终端可以直接连接于控制对象,工控终端也可以直接作为控制对象,即在控制对象中嵌入工业软件程序开发包,以实现工控终端对数据的处理功能。具体的,工控终端在执行工业流程中限定的工业操作时,按照预先设定的工控算法进行执行,在执行过程中,工控终端实时记录工控操作产生的数据。
在进行互联网数据交互的过程中,交互数据(即报文数据)首先通过工控服务端进入工业控制系统中,然后分别连接传输至各个工控终端,实现整个工业控制系统的网络连接。
工控服务端接收到各工控终端的网络连接请求时,说明各个工控终端已经准备通过工控服务端进行互联网连接,此时,为了确保网络安全的有效防护,工控服务端在接收工控终端(记为第一工控终端)的网络连接请求的同时还接收第一工控终端的功能特征参数。
功能特征参数包括第一工控终端的控制对象的硬件功能信息以及与第一工控终端对应的局域网络连接协议。硬件功能信息包括第一工控终端的控制对象、控制对象的控制参数、控制参数的控制阈值等,例如,工控终端为自动化运输设备,则硬件功能信息为此设备的设备型号、其受控功能(例如设备加热功能)等。局域网络连接协议为第一工控终端进行局域网络连接的具体网络传输协议、网络连接地址等,本申请不做具体限定。
需要注意的是,此时并不启动第一工控终端的网络连接。
S120:工控服务端依据功能特征参数建立虚拟防护网络并确定虚拟防护网络中的节点终端,虚拟防护网络包括多个第二工控终端,多个第二工控终端的功能特征参数的重合度大于阈值,节点终端为其中一个第二工控终端。
工控服务端在获取到各个第一工控终端的功能特征参数后,为了使网络安全防护更为有效、精准地进行,基于功能特征参数,在具有相同或者相似的功能特征参数的至少两个工控终端(记为第二工控终端)之间建立虚拟防护网络,每个虚拟防护网络内的各个第二工控终端具有局域网络连接功能。例如,若工控服务端获取到5个第一工控终端的功能特征参数,具体的,按照相同或者相似的功能特征参数建立起2个虚拟防护网络,一个包括3个第二工控终端,一个包括2个第二工控终端,本申请对虚拟防护网络中的第二工控终端的数量不做具体限定。
具体地,可以通过工控服务端连接的工控主机配置局域网络连接协议,也可以通过具有配置权限的工作站对各个工控终端配置局域网络连接协议,以便为虚拟防护网络的局域网络环境建立基础。
另外,为了使虚拟防护网络中的第二工控终端可以进行网络安全防护,从而提高网络防护效率,则在建立虚拟防护网络之后,确定虚拟防护网络中的节点终端,即选取一个第二工控终端进行该虚拟防护网络的网络防护处理,以提高网络安全防护处理的准确性。
具体地,如图2所示,依据功能特征参数建立虚拟防护网络包括:
S1201:依据多个第一工控终端的局域网络连接协议确定可以局域网络连接的多个第一工控终端,作为第三工控终端。
S1202:依据多个第三工控终端的硬件功能信息筛选出具有相同控制对象、相同控制阈值的第三工控终端,作为第二工控终端。
控制阈值为控制操作中控制对象的行为数据的极大值和/或极小值,本事情不做具体限定。
S1203:建立所有第二工控终端之间的树状连接关系,形成虚拟防护网络。
作为一个实施例,依据所有第二工控终端的控制对象的优先级建立树状连接关系,控制对象优先级为执行工业控制操作步骤的优先级,例如针对原油控制对象,工业控制操作顺序为加热、分馏、分离等,按照该顺序对同一虚拟防护网络中的多个第二工控终端建立树状连接关系,从而完成虚拟防护网络的建立。其中,加热步骤的工控终端的优先级高于分馏步骤的工控终端,分馏步骤的工控终端的优先级高于分离步骤的工控终端。
在上述虚拟防护网络的基础上,将控制对象的优先级最高的第二工控终端作为节点终端。即将工业控制操作步骤中的第一个执行的控制操作对应的工控终端确定为防护节点终端。
工控服务端基于功能特征参数建立虚拟防护网络,并在虚拟防护网络中确定对报文数据进行安全验证的节点终端,实现了网络安全防护处理权限的下放,减小了工控服务端的系统处理负担,实现了网络防护处理的便捷性和高效性,并提高了工控终端的网络安全防护的适用性。
S130:工控服务端向节点终端发送防护策略,并启动工控服务端与节点终端之间的网络连接,以及节点终端与虚拟防护网络内的第二工控终端之间的网络连接。
节点终端接收到防护策略之后,即可按照匹配的防护策略进行其所属的虚拟防护网络中的网络安全防护处理。
其中,工控服务端通过工控主机预先配置有与不同的功能特征参数匹配的防护策略,防护策略用于对互联网中传递或者访问的报文数据进行安全验证,包括验证系统数据黑白规则、线程数据黑白规则、本地数据黑白规则等是否对执行控制操作产生安全威胁。
需要说明的是,节点终端接收到防护策略的同时,也会接收到其所属的虚拟防护网络中的其他第二工控终端的终端标识,以便节点终端与在其所属的虚拟防护网络中的其他第二工控终端启动网络连接,并在进行安全防护处理后向目标第二工控终端转发报文数据。
优选地,防护策略通过神经网络模型实现。
作为一个实施例,防护策略通过三层卷积神经网络模型实现。
具体地,为了准确配置适用于不同虚拟防护网络中防护策略,提高网络安全防护处理的准确性,工控服务端利用已完成黑白防护规则认证的样本数据集对三层卷积神经网络模型进行模型训练,其中,模型训练的损失函数引入超平滑参数,将此超平滑参数作为一个噪声影响因子进行平滑训练的优化,以对三层卷积神经网络模型进行优化训练。
具体的,超平滑参数为ε,
Figure BDA0003378793120000071
原选取的交叉熵损失函数为
Figure BDA0003378793120000081
引入后为
Figure BDA0003378793120000082
其中,y是真实类别(值为0或1),pi是第i类别的概率(值为0~1之间的小数),qi=1-pi
在上述基础上,为了使训练的三层卷积神经网络模型适用不同功能特征参数,优选地,将功能特征参数作为模型预约束参数对模型训练进行优化限定。作为一个实施例,将不同的功能特征参数进行数值化处理,作为一项训练样本参数输入训练模型,从而确定适用于不同功能特征参数的三层卷积神经网络模型,直至完成模型训练。
其中,已完成黑白防护规则认证的样本数据集中包含已进行黑白防护规则认证的不同报文数据,因此,训练完成的三层卷积神经网络模型即为进行安全防护处理的防护策略。
优选地,在三层卷积神经网络模型的使用过程中,若出现新的完成黑白防护规则认证的报文数据,则实时将该报文数据加入样本数据集,实现三层卷积神经网络模型的持续自学习,完善三层卷积神经网络模型,保证防护策略的完整性和全面性。
优选地,也可以定期更新样本数据集,以更新三层卷积神经网络模型,保证防护策略的持续有效性。
在该优选实施例中,将与功能特征参数匹配的完成训练的三层卷积神经网络模型作为防护策略发送至与该功能特征参数匹配的虚拟防护网络的节点终端。
为了确保网络安全防护的处理机制适用于整个工业控制系统,并方便虚拟防护网络中的节点终端对其所属的虚拟防护网络中请求传输的报文数据进行整体防护,优选地,在启动网络连接后,配置节点终端与工控服务端之间的报文传输权限,以及节点终端与其所属的虚拟防护网络中的其他第二工控终端的报文禁收权限,使得通过工控服务端进行网络数据传输的报文数据首先传输至节点终端,在基于防护策略确定为安全后,向其他的第二工控终端进行发送。其中,报文传输权限为可以进行报文传输的权限,报文禁收权限为禁止接收报文的权限。并且,由于虚拟防护网络中可以包含多个工控终端,而进行报文数据传输的目标终端,可以为节点终端,也可以为其他第二工控终端,因此,为了实现统一而有高效的安全防护处理,无论报文数据传输的目标终端是哪个,工控服务端均通过网络传输将报文数据传输到虚拟防护网络中的节点终端,例如,当报文数据请求传输至的虚拟防护网络中的其他第二工控终端,则工控服务端仍然将报文数据传输至节点终端,在节点终端中进行安全验证后再转发至作为目标对象的第二工控终端。当然的,若报文数据传输的目标对象就是节点终端本身,则节点终端进行防护策略处理后,不再进行转发。
S140:节点终端接收来自工控服务端的报文数据以及与报文数据对应的终端标识。
虚拟防护网络和网络连接建立后,节点终端即可开始对其所属的虚拟防护网络进行网络安全防护处理。节点终端接收报文数据,依据防护策略对报文数据进行安全验证,并将验证通过的报文数据发送给相应的第二工控终端,其中,通过与报文数据一起传输至节点终端的终端标识来识别该报文数据的目标对象是虚拟防护网络中的哪个第二工控终端或是节点终端本身,从而确定转发对象。
S150:节点终端依据防护策略对报文数据进行安全验证。
节点终端利用防护策略对报文数据进行分类处理,以确定此报文数据为危险数据还是安全数据。
S160:判断安全验证是否通过。若是,则执行S170-S180;否则,执行S190。
需要说明的是,在安全验证的过程中,虚拟防护网络中的第二工控终端不进行互联网连通,以减小因网络连接带来的网络攻击的可能性。
S170:判断终端标识是否与节点终端对应。若否,则执行S180。若是,则节点终端直接执行报文数据中的控制操作。
S180:节点终端将报文数据发送给与终端标识对应的第二工控终端,以指示第二工控终端接收并执行报文数据对应的工控操作。
S190:节点终端向工控服务端发送报警信息,并清除该报文数据。
若验证不通过,则报文数据为危险数据,该报文数据在目标对象中执行。这种情况下,则节点终端通过报警信息向工控服务端发送警示,并通过清除该报文信息来减小被网络攻击的风险。
一般地,每个工控终端会根据其控制的设备的寿命、适用工艺等信息配置安全操作阈值,因此为了增强对网络安全防护的进一步安全验证,从而提高对网络安全防护的处理准确性,优选地,在第二工控终端接收到报文数据(即S170)之后,还包括:第二工控终端解析报文数据的访问服务信息、控制操作信息,并分别检测访问服务信息、控制操作信息是否超出第二工控终端的安全操作阈值;若是,说明第二工控终端若执行该报文数据会存在安全隐患,则第二工控终端停止执行报文数据,并通过节点终端向工控服务端进行报警。若没有超过安全操作阈值,说明工控终端可以对报文数据进行处理操作。
其中,访问服务信息可以为对工控终端中任意数据信息进行网络访问请求的服务内容,例如,请求安装某数据安装包。控制操作信息为对工控终端的控制操作进行调整的具体内容,例如,增加对温度控制的时长等,本申请不做具体限定。
为了适应于工业控制系统中不断变化、更新的工控终端,以提高网络安全防护的处理效率,在更新工控终端时,以不停机方式对各个工控终端建立的虚拟防护网络进行更新,大大减少了工控系统的工业应用效率、安全性。在此基础上,优选地,方法还包括:当第二工控终端检测到功能特征参数变更指令时,说明该第二工控终端中的硬件功能信息以及局域网络连接协议发生变化,则向工控服务端发送虚拟防护网络更新请求,以使工控服务端基于变更指令中携带的变更信息重新建立虚拟防护网络。
实施例二
如图3所示,本申请提供的工业控制系统的网络安全控制装置包括工控服务端310和多个虚拟防护网络(如图3中的320-330),工控服务端310分别与多个虚拟防护网络之间网络连接。
每个虚拟防护网络包括一个节点终端(如图3中的3201、3301)和至少一个第二工控终端(如图3中的3202、3302-3303),节点终端分别与至少一个第二工控终端网络连接。
节点终端包括防护策略,节点终端依据防护策略对工控服务端传输的报文数据进行安全验证,并将验证通过的报文数据传输给同一虚拟防护网络中的第二工控终端。
优选地,如图4所示,工控服务端310包括功能特征参数接收模块3101、虚拟防护网络建立模块3102以及网络连接模块3103。
功能特征参数接收模块3101用于接收多个第一工控终端的网络连接请求及其对应的功能特征参数,功能特征参数包括第一工控终端的控制对象的硬件功能信息以及与第一工控终端对应的局域网络连接协议。
虚拟防护网络建立模块3102用于依据功能特征参数建立虚拟防护网络并确定虚拟防护网络中的节点终端,虚拟防护网络包括多个第二工控终端,多个第二工控终端的功能特征参数的重合度大于阈值,节点终端为其中一个第二工控终端。
网络连接模块3103用于向节点终端发送防护策略,并启动工控服务端与节点终端之间的网络连接,以及节点终端与虚拟防护网络内的第二工控终端之间的网络连接。
如图5所示,虚拟防护网络建立模块3102包括第一筛选模块31021、第二筛选模块31022以及连接关系建立模块31023。
第一筛选模块31021用于依据多个第一工控终端的局域网络连接协议确定可以局域网络连接的多个第一工控终端,作为第三工控终端。
第二筛选模块31022用于依据多个第三工控终端的硬件功能信息筛选出具有相同控制对象、相同控制阈值的第三工控终端,作为第二工控终端。
连接关系建立模块31023用于建立所有第二工控终端之间的树状连接关系,形成虚拟防护网络。
虽然已经通过例子对本申请的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上例子仅是为了进行说明,而不是为了限制本申请的范围。本领域的技术人员应该理解,可在不脱离本申请的范围和精神的情况下,对以上实施例进行修改。本申请的范围由所附权利要求来限定。

Claims (10)

1.一种工业控制系统的网络安全控制方法,其特征在于,包括:
接收多个第一工控终端的网络连接请求及其对应的功能特征参数,所述功能特征参数包括所述第一工控终端的控制对象的硬件功能信息以及与所述第一工控终端对应的局域网络连接协议;
依据所述功能特征参数建立虚拟防护网络并确定所述虚拟防护网络中的节点终端,所述虚拟防护网络包括多个第二工控终端,所述多个第二工控终端的功能特征参数的重合度大于阈值,所述节点终端为其中一个第二工控终端;
向所述节点终端发送防护策略,并启动工控服务端与所述节点终端之间的网络连接,以及所述节点终端与所述虚拟防护网络内的第二工控终端之间的网络连接。
2.根据权利要求1所述的工业控制系统的网络安全控制方法,其特征在于,依据所述功能特征参数建立虚拟防护网络,具体包括:
依据多个第一工控终端的局域网络连接协议确定可以局域网络连接的多个第一工控终端,作为第三工控终端;
依据多个第三工控终端的硬件功能信息筛选出具有相同控制对象、相同控制阈值的第三工控终端,作为所述第二工控终端;
建立所有第二工控终端之间的树状连接关系,形成所述虚拟防护网络。
3.根据权利要求2所述的工业控制系统的网络安全控制方法,其特征在于,依据所有第二工控终端的控制对象的优先级建立所述树状连接关系,并且将控制对象的优先级最高的第二工控终端作为所述节点终端。
4.根据权利要求1所述的工业控制系统的网络安全控制方法,其特征在于,在网络连接后还包括配置所述工控服务端与所述节点终端的报文传输权限以及所述第二工控终端的报文禁收权限。
5.根据权利要求1所述的工业控制系统的网络安全控制方法,其特征在于,所述防护策略通过神经网络模型实现。
6.根据权利要求5所述的工业控制系统的网络安全控制方法,其特征在于,在训练所述神经网络模型时,将不同的功能特征参数进行数值化处理,作为一项训练样本参数输入训练模型。
7.一种工业控制系统的网络安全控制方法,其特征在于,包括:
接收来自工控服务端的防护策略并启动节点终端与所述工控服务器之间以及所述节点终端与其所属的虚拟防护网络中的第二工控终端之间的网络连接;
接收来自工控服务端的报文数据以及与所述报文数据对应的第二工控终端的终端标识;
依据所述防护策略对所述报文数据进行安全验证;
若验证通过,则将所述报文数据发送给与所述终端标识对应的第二工控终端。
8.一种工业控制系统的网络安全控制装置,其特征在于,包括工控服务端和多个虚拟防护网络,所述工控服务端分别与所述多个虚拟防护网络之间网络连接;
每个所述虚拟防护网络包括一个节点终端和至少一个第二工控终端,所述节点终端分别与所述至少一个第二工控终端网络连接;
所述节点终端包括防护策略,所述节点终端依据所述防护策略对所述工控服务端传输的报文数据进行安全验证,并将验证通过的报文数据传输给同一虚拟防护网络中的第二工控终端。
9.根据权利要求8所述的工业控制系统的网络安全控制装置,其特征在于,所述工控服务端包括功能特征参数接收模块、虚拟防护网络建立模块以及网络连接模块;
所述功能特征参数接收模块用于接收多个第一工控终端的网络连接请求及其对应的功能特征参数,所述功能特征参数包括所述第一工控终端的控制对象的硬件功能信息以及与所述第一工控终端对应的局域网络连接协议;
所述虚拟防护网络建立模块用于依据所述功能特征参数建立虚拟防护网络并确定所述虚拟防护网络中的节点终端,所述虚拟防护网络包括多个第二工控终端,所述多个第二工控终端的功能特征参数的重合度大于阈值,所述节点终端为其中一个第二工控终端;
所述网络连接模块用于向所述节点终端发送防护策略,并启动工控服务端与所述节点终端之间的网络连接,以及所述节点终端与所述虚拟防护网络内的第二工控终端之间的网络连接。
10.根据权利要求9所述的工业控制系统的网络安全控制装置,其特征在于,所述虚拟防护网络建立模块包括第一筛选模块、第二筛选模块以及连接关系建立模块;
所述第一筛选模块用于依据多个第一工控终端的局域网络连接协议确定可以局域网络连接的多个第一工控终端,作为第三工控终端;
所述第二筛选模块用于依据多个第三工控终端的硬件功能信息筛选出具有相同控制对象、相同控制阈值的第三工控终端,作为所述第二工控终端;
所述连接关系建立模块用于建立所有第二工控终端之间的树状连接关系,形成所述虚拟防护网络。
CN202111426445.2A 2021-11-27 2021-11-27 一种工业控制系统的网络安全控制方法及装置 Active CN114019933B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111426445.2A CN114019933B (zh) 2021-11-27 2021-11-27 一种工业控制系统的网络安全控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111426445.2A CN114019933B (zh) 2021-11-27 2021-11-27 一种工业控制系统的网络安全控制方法及装置

Publications (2)

Publication Number Publication Date
CN114019933A true CN114019933A (zh) 2022-02-08
CN114019933B CN114019933B (zh) 2024-08-06

Family

ID=80066872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111426445.2A Active CN114019933B (zh) 2021-11-27 2021-11-27 一种工业控制系统的网络安全控制方法及装置

Country Status (1)

Country Link
CN (1) CN114019933B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785680A (zh) * 2022-06-17 2022-07-22 深圳市信润富联数字科技有限公司 风电工控设备改造方法、终端改造方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104507622A (zh) * 2012-08-17 2015-04-08 伊利诺斯工具制品有限公司 在恶劣环境中用于控制工业装置的无线通信网络提高的健壮性
CN105282157A (zh) * 2015-10-22 2016-01-27 中国人民解放军装备学院 一种安全通信控制方法
CN107548099A (zh) * 2016-06-28 2018-01-05 华为技术有限公司 数据传输方法与设备
GB201807269D0 (en) * 2017-05-03 2018-06-20 Fisher Rosemount Systems Inc Intelligent sequencing of multiple wireless modes for transger between wireless mesh networks in a process control system
CN111356135A (zh) * 2018-12-22 2020-06-30 财团法人工业技术研究院 网络安全系统及网络安全方法
CN111600845A (zh) * 2020-04-21 2020-08-28 上海上实龙创智慧能源科技股份有限公司 一种物联网数据访问控制方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104507622A (zh) * 2012-08-17 2015-04-08 伊利诺斯工具制品有限公司 在恶劣环境中用于控制工业装置的无线通信网络提高的健壮性
CN105282157A (zh) * 2015-10-22 2016-01-27 中国人民解放军装备学院 一种安全通信控制方法
CN107548099A (zh) * 2016-06-28 2018-01-05 华为技术有限公司 数据传输方法与设备
GB201807269D0 (en) * 2017-05-03 2018-06-20 Fisher Rosemount Systems Inc Intelligent sequencing of multiple wireless modes for transger between wireless mesh networks in a process control system
CN111356135A (zh) * 2018-12-22 2020-06-30 财团法人工业技术研究院 网络安全系统及网络安全方法
CN111600845A (zh) * 2020-04-21 2020-08-28 上海上实龙创智慧能源科技股份有限公司 一种物联网数据访问控制方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
康荣保等: "工业控制系统信息安全防护技术研究", 通信技术, no. 320, 22 October 2018 (2018-10-22), pages 1965 - 1971 *
文雅玫等: "烟草行业工控系统安全监测与管控方案", 自动化博览, no. 301, 2 February 2019 (2019-02-02), pages 66 - 68 *
鲍帆等: "全系统信息管理信息安全服务体系与技术", 信息化研究, no. 02, 20 April 2016 (2016-04-20) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785680A (zh) * 2022-06-17 2022-07-22 深圳市信润富联数字科技有限公司 风电工控设备改造方法、终端改造方法

Also Published As

Publication number Publication date
CN114019933B (zh) 2024-08-06

Similar Documents

Publication Publication Date Title
US8060927B2 (en) Security state aware firewall
CN110855792B (zh) 一种消息推送方法、装置、设备及介质
US20020174208A1 (en) Network communications management system and method
US20090007266A1 (en) Adaptive Defense System Against Network Attacks
CN102325092B (zh) 一种报文处理方法和设备
WO2019181550A1 (ja) 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
CN103905415A (zh) 一种防范远控类木马病毒的方法及系统
CN114019933B (zh) 一种工业控制系统的网络安全控制方法及装置
CN114826754A (zh) 一种不同网络间的通信方法及系统、存储介质、电子装置
CN109120625A (zh) 一种大带宽私接分析识别的方法
CN105812380A (zh) 验证方法及装置
CN109495546A (zh) 数据处理方法、系统及服务器
CN104601578A (zh) 一种攻击报文识别方法、装置及核心设备
CN113660666B (zh) 一种中间人攻击的双向请求应答检测方法
CN109922083A (zh) 一种网络协议流量控制系统
CN112104621B (zh) 一种流量管理方法及设备
CN104869118A (zh) 一种基于动态隧道技术实现DDoS防御的方法及系统
CN105791205B (zh) 一种防止ddos攻击的方法和装置
CN114401103A (zh) Smb远程传输文件检测方法及装置
EP3562194B1 (en) Method for identifying at least one network slice configuration of a mobile network, communication system, and automation system
US20040228357A1 (en) Receiver, connection controller, transmitter, method, and program
CN101527913B (zh) 实现无线应用通讯协议网关抵御恶意攻击的方法及系统
EP3273704B1 (en) Stub network establishing method
CN115037528B (zh) 一种异常流量检测方法及装置
JP5160652B2 (ja) コンピュータ・アプリケーション・プログラムを制御するための方法及びシステム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant