CN114884708B - 一种工业总线网络安全监测方法 - Google Patents

一种工业总线网络安全监测方法 Download PDF

Info

Publication number
CN114884708B
CN114884708B CN202210437845.1A CN202210437845A CN114884708B CN 114884708 B CN114884708 B CN 114884708B CN 202210437845 A CN202210437845 A CN 202210437845A CN 114884708 B CN114884708 B CN 114884708B
Authority
CN
China
Prior art keywords
data packet
data
safety
acquisition equipment
cloud platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210437845.1A
Other languages
English (en)
Other versions
CN114884708A (zh
Inventor
李君阳
邵佳炫
柳春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Qingjie Intelligent Technology Co ltd
Original Assignee
Zhejiang Qingjie Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Qingjie Intelligent Technology Co ltd filed Critical Zhejiang Qingjie Intelligent Technology Co ltd
Priority to CN202210437845.1A priority Critical patent/CN114884708B/zh
Publication of CN114884708A publication Critical patent/CN114884708A/zh
Application granted granted Critical
Publication of CN114884708B publication Critical patent/CN114884708B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种工业总线网络安全监测方法,特点首先由数据采集设备将监听得到的数据包与xml基础规则表进行比对,分别判断是否为异常入侵数据包及安全数据包的数据域是否超出安全范围,并在有异常时立即上报云平台,云平台对应的发出异常入侵警示信息或超范围警示信息;当存储的安全数据包的数量达到最大数据包存储量时上传至云平台,云平台获取接收到的所有安全数据包中的数据域的整体范围并对xml基础规则表的属性内容中对应的安全范围进行更新,再由云平台将更新后的xml基础规则表下发给边缘侧的数据采集设备;优点是大大提升了工业总线上各个设备运行时的安全性和可靠性,且对设备的实际安全运营状态实现更加精确的安全监测。

Description

一种工业总线网络安全监测方法
技术领域
本发明涉及一种网络安全监测方法,尤其是一种工业总线网络安全监测方法。
背景技术
工业总线主要解决工业现场的智能化仪器仪表、控制器、执行机构等现场设备间的数字通信以及这些现场控制设备和高级控制系统之间的信息传递问题,传统工业总线存在以下问题:工业控制总线上不具备防御和监听的能力,一旦有异常数据包入侵,将不能及时发现从而导致损失;设备信息不能统一管理,无法给外界提供第三方提供数据分析服务;不可预知性,工业总线上的设备若在非正常状态下长时间运行,可能会导致严重的财产损失。
发明内容
本发明所要解决的技术问题是提供一种能够对工业总线的运行状态进行安全有效监测的工业总线网络安全监测方法。
本发明解决上述技术问题所采用的技术方案为:一种工业总线网络安全监测方法,包括以下步骤:
步骤1)-1:设置工业总线上通信的设备的白名单,确定工业总线上设置为白名单的所有设备各自对应的IP地址和端口号;
步骤1)-2:设置每个白名单的设备的端口号对应的端口协议和每个端口协议下的所有属性内容得到xml基础规则表,属性内容包括每个数据的安全范围;
步骤2):用户将配置好的xml基础规则表上传至云平台,云平台再将xml基础规则表下发给边缘侧的数据采集设备,数据采集设备解析 xml基础规则表得到解析后的xml基础规则表;
步骤3):将工业交换机配置为监听模式,通过工业交换机监听工业总线上每个设备的数据包,然后将监听到的数据包通过一个指定端口输出至边缘侧的数据采集设备;
步骤4):当数据采集设备收到一个数据包后,对该数据包进行解析得到该数据包的IP地址和端口号,数据采集设备将该数据包的 IP地址与解析后的xml基础规则表中设置为白名单的所有设备各自对应的IP地址进行比对,若查找到一致的IP地址则判断收到的数据包为安全数据包,执行步骤5);若查找不到一致的IP地址则判断收到的数据包为异常入侵数据包,由数据采集设备将异常入侵数据包立即上报云平台,云平台收到异常入侵数据包后发出异常入侵警示信息;
步骤5):数据采集设备将安全数据包的端口号按照与该端口号对应的端口协议进行对应的协议解析得到安全数据包的数据域;
步骤6):数据采集设备将安全数据包的数据域与解析后的xml基础规则表中对应的安全范围进行比较,若安全数据包的数据域超出安全范围,数据采集设备将该安全数据包立即上报云平台,云平台发出超范围警示信息;若安全数据包的数据域未超出安全范围,则存储于数据采集设备中,执行步骤7);
步骤7):在数据采集设备中设置最大数据包存储量,当数据采集设备中存储的安全数据包的数量达到最大数据包存储量时,数据采集设备将存储的安全数据包上传至云平台;
步骤8):云平台获取接收到的所有安全数据包中的数据域的整体范围,再以整体范围对xml基础规则表的属性内容中对应的安全范围进行更新得到更新后的xml基础规则表,再由云平台将更新后的xml基础规则表下发给边缘侧的数据采集设备。
与现有技术相比,本发明的优点在于用户将配置好的xml基础规则表上传至云平台,云平台再将xml基础规则表下发给边缘侧的数据采集设备,数据采集设备解析 xml基础规则表得到解析后的xml基础规则表,此时边缘侧的数据采集设备包含当前总线正常安全生产的所有数据包的 IP地址、端口号和每个端口协议下的所有属性内容,属性内容包括了当前总线为安全生产状态下的所有的数据阈值限定的xml基础规则表库,同时数据采集设备解析收到的数据包得到该数据包的IP地址和端口号,数据采集设备将该数据包的 IP地址与解析后的xml基础规则表中设置为白名单的所有设备各自对应的IP地址进行比对,若查找不到一致的IP地址则判断收到的数据包为异常入侵数据包,由数据采集设备将异常入侵数据包立即上报云平台,云平台收到异常入侵数据包后发出异常入侵警示信息;若查找到一致的IP地址则判断收到的数据包为安全数据包,再根据端口号针对xml基础规则表中的需要解析的协议做出基础解析,并且判断该数据包的数据域与xml基础规则表中设定的安全范围是否满足,若安全数据包的数据域超出安全范围,数据采集设备将该安全数据包立即上报云平台,云平台发出超范围警示信息;若安全数据包的数据域未超出安全范围,则存储于数据采集设备中,并在当存储的安全数据包的数量达到最大数据包存储量时上传至云平台,云平台获取接收到的所有安全数据包中的数据域的整体范围,再以整体范围对xml基础规则表的属性内容中对应的安全范围进行更新得到更新后的xml基础规则表,再由云平台将更新后的xml基础规则表下发给边缘侧的数据采集设备,从而根据不同型号及种类的设备的实际安全运营状态对该设备实现更加精确的安全监测。
本监测方法能够对异常入侵数据包和数据域超出安全范围的数据包进行记录和及时上报,供云平台进行二次开发和基于时间溯源,大大提升了工业总线上各个设备运行时的安全性和可靠性。
具体实施方式
以下对本发明作进一步详细描述。
一种工业总线网络安全监测方法,包括以下步骤:
步骤1)-1:设置工业总线上通信的设备的白名单,确定工业总线上设置为白名单的所有设备各自对应的IP地址和端口号;
步骤1)-2:设置每个白名单的设备的端口号对应的端口协议和每个端口协议下的所有属性内容得到xml基础规则表,属性内容包括每个数据的安全范围;
步骤2):用户将配置好的xml基础规则表上传至云平台,云平台再将xml基础规则表下发给边缘侧的数据采集设备,数据采集设备解析 xml基础规则表得到解析后的xml基础规则表;
步骤3):将工业交换机配置为监听模式,通过工业交换机监听工业总线上每个设备的数据包,然后将监听到的数据包通过一个指定端口输出至边缘侧的数据采集设备;
步骤4):当数据采集设备收到一个数据包后,对该数据包进行解析得到该数据包的IP地址和端口号,数据采集设备将该数据包的 IP地址与解析后的xml基础规则表中设置为白名单的所有设备各自对应的IP地址进行比对,若查找到一致的IP地址则判断收到的数据包为安全数据包,执行步骤5);若查找不到一致的IP地址则判断收到的数据包为异常入侵数据包,由数据采集设备将异常入侵数据包立即上报云平台,云平台收到异常入侵数据包后发出异常入侵警示信息;
步骤5):数据采集设备将安全数据包的端口号按照与该端口号对应的端口协议进行对应的协议解析得到安全数据包的数据域;
步骤6):数据采集设备将安全数据包的数据域与解析后的xml基础规则表中对应的安全范围进行比较,若安全数据包的数据域超出安全范围,数据采集设备将该安全数据包立即上报云平台,云平台发出超范围警示信息;若安全数据包的数据域未超出安全范围,则存储于数据采集设备中,执行步骤7);
步骤7):在数据采集设备中设置最大数据包存储量,当数据采集设备中存储的安全数据包的数量达到最大数据包存储量时,数据采集设备将存储的安全数据包上传至云平台;
步骤8):云平台获取接收到的所有安全数据包中的数据域的整体范围,再以整体范围对xml基础规则表的属性内容中对应的安全范围进行更新得到更新后的xml基础规则表,再由云平台将更新后的xml基础规则表下发给边缘侧的数据采集设备。

Claims (1)

1.一种工业总线网络安全监测方法,其特征在于包括以下步骤:
步骤1)-1:设置工业总线上通信的设备的白名单,确定工业总线上设置为白名单的所有设备各自对应的IP地址和端口号;
步骤1)-2:设置每个白名单的设备的端口号对应的端口协议和每个端口协议下的所有属性内容得到xml基础规则表,属性内容包括每个数据的安全范围;
步骤2):用户将配置好的xml基础规则表上传至云平台,云平台再将xml基础规则表下发给边缘侧的数据采集设备,数据采集设备解析 xml基础规则表得到解析后的xml基础规则表;
步骤3):将工业交换机配置为监听模式,通过工业交换机监听工业总线上每个设备的数据包,然后将监听到的数据包通过一个指定端口输出至边缘侧的数据采集设备;
步骤4):当数据采集设备收到一个数据包后,对该数据包进行解析得到该数据包的IP地址和端口号,数据采集设备将该数据包的 IP地址与解析后的xml基础规则表中设置为白名单的所有设备各自对应的IP地址进行比对,若查找到一致的IP地址则判断收到的数据包为安全数据包,执行步骤5);若查找不到一致的IP地址则判断收到的数据包为异常入侵数据包,由数据采集设备将异常入侵数据包立即上报云平台,云平台收到异常入侵数据包后发出异常入侵警示信息;
步骤5):数据采集设备将安全数据包的端口号按照与该端口号对应的端口协议进行对应的协议解析得到安全数据包的数据域;
步骤6):数据采集设备将安全数据包的数据域与解析后的xml基础规则表中对应的安全范围进行比较,若安全数据包的数据域超出安全范围,数据采集设备将该安全数据包立即上报云平台,云平台发出超范围警示信息;若安全数据包的数据域未超出安全范围,则存储于数据采集设备中,执行步骤7);
步骤7):在数据采集设备中设置最大数据包存储量,当数据采集设备中存储的安全数据包的数量达到最大数据包存储量时,数据采集设备将存储的安全数据包上传至云平台;
步骤8):云平台获取接收到的所有安全数据包中的数据域的整体范围,再以整体范围对xml基础规则表的属性内容中对应的安全范围进行更新得到更新后的xml基础规则表,再由云平台将更新后的xml基础规则表下发给边缘侧的数据采集设备。
CN202210437845.1A 2022-04-25 2022-04-25 一种工业总线网络安全监测方法 Active CN114884708B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210437845.1A CN114884708B (zh) 2022-04-25 2022-04-25 一种工业总线网络安全监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210437845.1A CN114884708B (zh) 2022-04-25 2022-04-25 一种工业总线网络安全监测方法

Publications (2)

Publication Number Publication Date
CN114884708A CN114884708A (zh) 2022-08-09
CN114884708B true CN114884708B (zh) 2024-04-16

Family

ID=82671933

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210437845.1A Active CN114884708B (zh) 2022-04-25 2022-04-25 一种工业总线网络安全监测方法

Country Status (1)

Country Link
CN (1) CN114884708B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105939334A (zh) * 2015-03-04 2016-09-14 费希尔-罗斯蒙特系统公司 工业通信网络中的异常检测
CN105991587A (zh) * 2015-02-13 2016-10-05 中国移动通信集团山西有限公司 一种入侵检测方法及系统
CN107544470A (zh) * 2017-09-29 2018-01-05 杭州安恒信息技术有限公司 一种基于白名单的控制器防护技术

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8607325B2 (en) * 2010-02-22 2013-12-10 Avaya Inc. Enterprise level security system
US10356113B2 (en) * 2016-07-11 2019-07-16 Korea Electric Power Corporation Apparatus and method for detecting abnormal behavior

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105991587A (zh) * 2015-02-13 2016-10-05 中国移动通信集团山西有限公司 一种入侵检测方法及系统
CN105939334A (zh) * 2015-03-04 2016-09-14 费希尔-罗斯蒙特系统公司 工业通信网络中的异常检测
CN107544470A (zh) * 2017-09-29 2018-01-05 杭州安恒信息技术有限公司 一种基于白名单的控制器防护技术

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《车联网信息服务平台安全机制的研究与实现》;罗东锋;《信息科技》;20180115(2018年第01期);全文 *
Iztok Marjanovic ; Rod Fatoohi.《Design and Implementation of a Self-Configuring Instrument Control System》.《 2011 IEEE Ninth International Symposium on Parallel and Distributed Processing with Applications Workshops》.2021,全文. *

Also Published As

Publication number Publication date
CN114884708A (zh) 2022-08-09

Similar Documents

Publication Publication Date Title
CN106982235B (zh) 一种基于iec 61850的电力工业控制网络入侵检测方法及系统
CN106953749B (zh) 一种智能变电站过程层网络实时监测方法
CN112350846B (zh) 一种智能变电站的资产学习方法、装置、设备及存储介质
CN112612669A (zh) 一种基于态势感知的基础设施监测预警方法及系统
CN107332715B (zh) 主动性能测试加被动分流控的网络应用系统及其实施方法
CN112306019A (zh) 一种基于协议深度分析的工控安全审计系统及其应用
US20100110904A1 (en) Identifying improper cabling of devices
CN112291107B (zh) 网络分析程序、网络分析装置以及网络分析方法
CN106787169A (zh) 一种多数据源比较技术诊断变电站遥测故障的方法
CN112383509B (zh) 一种基于数据流的物联网设备安全监测系统及方法
CN110929896A (zh) 一种系统设备的安全分析方法及装置
CN111628994A (zh) 一种工控环境的异常检测方法、系统及相关装置
CN117395076A (zh) 基于大数据的网络感知异常检测系统与方法
CN114884708B (zh) 一种工业总线网络安全监测方法
CN111478925B (zh) 应用于工业控制环境的端口扫描检测方法、系统
CN117560196A (zh) 一种智慧变电站二次系统测试系统及方法
US8712017B2 (en) Network fault detection
CN114338221B (zh) 一种基于大数据分析的网络检测系统
CN115883169A (zh) 基于蜜罐系统的工控网络攻击报文响应方法及响应系统
CN113225342B (zh) 一种通信异常检测方法、装置、电子设备及存储介质
CN115242686A (zh) 一种电力二次设备网络通讯故障检测系统及方法
CN112291185B (zh) 一种采集网络数据的方法和装置
CN111865822A (zh) 一种基于智能变电站交换机的业务流告警方法及装置
CN116208431B (zh) 一种工控网络流量异常检测方法、系统、装置和可读介质
CN104394038B (zh) 断网旁路自动检测预警系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant