CN115174274B - 数据处理方法、工业控制系统、电子设备及存储介质 - Google Patents
数据处理方法、工业控制系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115174274B CN115174274B CN202211086356.2A CN202211086356A CN115174274B CN 115174274 B CN115174274 B CN 115174274B CN 202211086356 A CN202211086356 A CN 202211086356A CN 115174274 B CN115174274 B CN 115174274B
- Authority
- CN
- China
- Prior art keywords
- data packet
- instruction
- industrial control
- equipment
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种数据处理方法、工业控制系统、电子设备及存储介质,涉及计算机技术领域。该方法应用于包括第一虚拟设备以及第二虚拟设备的第一设备,第一虚拟设备基于工业控制终端的设备信息构建,第二虚拟设备基于外部设备的设备信息构建,该方法包括:接收外部设备的数据发送请求,控制第一虚拟设备获取对应的第一指令数据包;对第一指令数据包进行数据检测,根据检测结果执行处理操作:控制第二虚拟设备根据第一指令数据包对应的数据传输方式,将第一指令数据包发送至工业控制终端;或对第一指令数据包进行拦截处理。该方法实现了工业控制终端和外部设备之间的“非接触式”数据传输,确保了向工业控制终端传输的数据的安全性。
Description
技术领域
本申请涉及计算机技术领域,具体而言,本申请涉及一种数据处理方法、工业控制系统、电子设备及存储介质。
背景技术
在工业控制领域,工业控制系统中的工业控制终端通常通过其通信接口【例如,网口、串口或USB(Universal Serial Bus,通行串口总线)接口等】接收外部设备传输的数据。然而,如果外部设备传输的数据不安全(例如,携带有病毒),会通过通信接口将不安全的数据传输到工业控制终端,导致工业控制终端遭受到攻击,进而影响整个工业控制系统的数据安全。
发明内容
本申请实施例提供了一种数据处理方法、工业控制系统、电子设备及存储介质,用于解决工业控制系统中,在通过工业控制终端的通信接口接收外部设备传输的数据时,会因接收到的不安全的数据,直接导致工业控制终端受到攻击的技术问题。
根据本申请实施例的一个方面,提供了一种数据处理方法,该方法应用于第一设备,该第一设备包括第一虚拟设备以及第二虚拟设备;其中,第一虚拟设备为基于工业控制终端的设备信息构建的,第二虚拟设备为基于外部设备的设备信息构建的,该方法包括:
接收外部设备的数据发送请求,控制上述第一虚拟设备获取数据发送请求对应的第一指令数据包;
对上述第一指令数据包进行数据检测,根据检测结果执行处理操作;
上述处理操作包括:控制上述第二虚拟设备根据上述第一指令数据包对应的数据传输方式,将上述第一指令数据包发送至工业控制终端;或对上述第一指令数据包进行拦截处理。
根据本申请实施例的另一个方面,提供了一种工业控制系统,该工业控制系统包括第一设备与工业控制终端,上述第一设备包括第一虚拟设备以及第二虚拟设备;其中,第一虚拟设备为基于工业控制终端的设备信息构建的,第二虚拟设备为基于外部设备的设备信息构建的;其中,第一设备用于:
接收外部设备的数据发送请求,控制第一虚拟设备获取上述数据发送请求对应的第一指令数据包;
对上述第一指令数据包进行数据检测,根据检测结果执行处理操作;
上述处理操作包括:控制上述虚拟设备根据第一指令数据包对应的数据传输方式,将上述第一指令数据包发送至工业控制终端;或对上述第一指令数据包进行拦截处理。
根据本申请实施例的又一个方面,提供了一种数据处理装置,该数据处理装置设置于第一设备中,第一设备包括第一虚拟设备以及第二虚拟设备;其中,第一虚拟设备为基于工业控制终端的设备信息构建的,第二虚拟设备为基于外部设备的设备信息构建的;其中,该数据处理装置包括:
数据接收模块,用于接收外部设备的数据发送请求,控制第一虚拟设备获取上述数据发送请求对应的第一指令数据包;
数据检测模块,用于对上述第一指令数据包进行数据检测,根据检测结果执行处理操作;
上述处理操作包括:控制上述虚拟设备根据第一指令数据包对应的数据传输方式,将上述第一指令数据包发送至工业控制终端;或对上述第一指令数据包进行拦截处理。
根据本申请实施例的又一个方面,提供了一种电子设备,该电子设备包括存储器、处理器及存储在存储器上的计算机程序,该处理器执行计算机程序以实现上述方法。
根据本申请实施例的又一个方面,提供了一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法。
本申请实施例提供的技术方案带来的有益效果是:
本申请实施例提供的数据处理方法,通过利用第一设备中的第一虚拟设备模拟工业控制终端,获取数据发送请求对应的第一指令数据包,利用第一设备中的第二虚拟设备模拟外部设备,在对该第一指令数据包进行数据检测后,根据第一指令数据包对应的数据传输方式,将该第一指令数据包发送至工业控制终端;或根据检测结果对该第一指令数据包进行拦截处理。实现了工业控制终端和外部设备之间的“非接触式”数据传输;在对外部设备发送的第一指令数据包进行数据检测之后,再将该第一指令数据包发送至工业控制终端,确保了向工业控制终端传输的数据的安全性;避免直接通过工业控制终端的通信接口接收外部设备发送的数据,导致工业控制终端在接收到不安全的数据时受到攻击,进而影响整个工业控制系统的数据安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请实施例提供的一种数据处理方法的流程图;
图2示出了本申请实施例提供的工业控制系统的架构图;
图3示出了本申请实施例提供的一种数据处理装置的示意图;
图4示出了本申请实施例所适用的一种电子设备的结构示意图。
具体实施方式
下面结合本申请中的附图描述本申请的实施例。应理解,下面结合附图所阐述的实施方式,是用于解释本申请实施例的技术方案的示例性描述,对本申请实施例的技术方案不构成限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式 “一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请实施例所使用的术语“包括”以及“包含”是指相应特征可以实现为所呈现的特征、信息、数据、步骤、操作、元件和/或组件,但不排除实现为本技术领域所支持其他特征、信息、数据、步骤、操作、元件、组件和/或它们的组合等。应该理解,当我们称一个元件被“连接”或“耦接”到另一元件时,该一个元件可以直接连接或耦接到另一元件,也可以指该一个元件和另一元件通过中间元件建立连接关系。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的术语“和/或”指示该术语所限定的项目中的至少一个,例如“A和/或B”可以实现为“A”,或者实现为“B”,或者实现为“A和B”。
下面通过对几个示例性实施方式的描述,对本申请实施例的技术方案以及本申请的技术方案产生的技术效果进行说明。需要指出的是,下述实施方式之间可以相互参考、借鉴或结合,对于不同实施方式中相同的术语、相似的特征以及相似的实施步骤等,不再重复描述。
图1示出了本申请实施例提供的一种数据处理方法的流程图,该方法应用于第一设备。图2示出了本申请实施例提供的工业控制系统的架构图。如图2所示,该第一设备22包括第一虚拟设备(图2中未示出)以及第二虚拟设备(图2中未示出);其中,第一虚拟设备为基于工业控制终端21的设备信息构建的,第二虚拟设备为基于外部设备30的设备信息构建的。
工业控制终端可以为工业控制系统中的任一能够进行控制操作的设备。本申请实施例对该工业控制终端的具体实现方式也不做限制,例如,该工业控制终端可以包括但不限于以下至少一种:数控机床、可编程逻辑控制器PLC(Programmable Logic Controller)、工业控制主机、用于进行任一工业控制操作的测量设备、用于进行任一工业控制操作的仿真设备以及用于进行任一工业控制操作的智能传感器。
外部设备可以为任一可以与其他设备进行数据交换的设备,本申请实施例对此不做限制。例如,该外部设备可以为交换机或其他信息交换设备等。
该第一设备可以为工业控制系统中的设备。第一设备可以为具备数据控制能力的终端或服务器,也可以为一处理器,本申请实施例对此不做限制。在该第一设备为终端或服务器时,第一虚拟设备以及第二虚拟设备可以为该第一设备中独立的模块。在该第一设备为处理器时,可以通过该处理器调用存储器中存储的计算机可读指令的方式,驱动第一虚拟设备和第二虚拟设备实现该方法。
其中,在上述第一设备是终端时,该终端(也可以称为用户终端或用户设备(UserEquipment,UE))可以是智能手机、平板电脑、笔记本电脑及台式计算机等。
在上述第一设备是服务器时,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器或服务器集群。
本领域技术人员应能理解上述终端和服务器仅为举例,其他现有的或今后可能出现的终端或服务器如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
可以根据一个设备与工业控制系统的关系,将该设备称为内部设备或外部设备。例如,在一个设备被设置于工业控制系统内部的情况下,将该设备称为内部设备;或者,在一个设备被设置于工业控制系统的外部的情况下,将该设备称为外部设备。
在具体实施过程中,基于此,工业控制终端以及第一设备即被设置于该工业控制系统内部的设备,外部设备即被设置于该工业控制系统外部的设备。其中,外部设备可以是需要与工业控制终端建立连接的设备。
工业控制终端的设备信息可以包括该工业控制终端对应的与通信相关的信息,例如,可以包括但不限于该工业控制终端的IP(Internet Protocol,互联网协议)地址信息、MAC(Medium/Media Access Control,媒体存取控制位址,用来确认网络设备位置的位址)地址信息等。
参照上述工业控制终端的设备信息的描述,外部设备的设备信息可以包括该工业控制终端对应的与通信相关的信息,例如,可以包括但不限于该外部设备的IP地址信息、MAC地址信息等。其中,外部设备的个数可以包括一个或多个,本申请对外部设备的数量不做限制。
需要说明的是,第一虚拟设备以及第二虚拟设备可以是第一设备中独立存在的模块,也可以为通过第一设备的计算机资源整合形成的虚拟资源,在通过第一设备执行完该数据处理方法之后,分别对应于第一虚拟设备以及第二虚拟设备的计算机资源仍然可以被重新分配,以实现其他功能。因此,在图2中并未出具体的第一虚拟设备以及第二虚拟设备。
当然,在具体实施过程中,在该方法也可以应用于工业控制系统(如图2所示的工业控制系统20)。在该方法应用于工业控制系统中时,第一设备具体可以为该工业控制系统中具有数据处理能力的独立的设备或服务器。由于在通过该设备执行本申请实施例提供的数据处理方法时,提高了向工业控制终端传输的数据的安全性,在本申请实施例中,也可以将该设备称为安全防护设备。
考虑到第一设备是为了提高工业控制终端的安全性设置的,也可以将第一设备部署于工业控制终端的前端,替换工业控制终端的通信接口,作为工业控制终端的一部分,与外部设备进行数据传输。并在对外部设备发送的数据包进行检测之后,再将该相应的数据发送至工业控制终端,以保证工业控制终端可以安全运行。
如图1所示,该方法包括:
步骤S10:接收外部设备的数据发送请求,控制上述第一虚拟设备获取数据发送请求对应的第一指令数据包。
在接收到外部设备的数据发送请求之后,通过控制第一虚拟设备获取数据发送请求对应的第一指令数据包,实现模拟工业控制终端接收数据,使得外部设备感受到是由工业控制终端接收到的数据。
步骤S20:对上述第一指令数据包进行数据检测,根据检测结果执行处理操作;
上述处理操作包括:控制上述第二虚拟设备根据上述第一指令数据包对应的数据传输方式,将上述第一指令数据包发送至工业控制终端;或对上述第一指令数据包进行拦截处理。
在本申请实施例中,可以直接对第一指令数据包进行数据检测,也可以先对第一指令数据包进行数据解析,得到第一指令数据包所指示的发送时间戳、发送方标识信息、接收方标识信息、数据内容、数据格式等,再分别对解析得到的每项信息进行数据检测,提高数据检测精度。其中,本申请实施例对第一指令数据包进行解析的方式也不做限制,例如,进行数据解析的方式可以为全流量解析。
解析得到的数据内容可以具体包括但不限于应用层协议信息以及应用类型信息等。上述数据格式可以基于路由协议信息、应用层协议信息以及应用类型信息等确定,也可以为基于对上述原始数据包进行传输的方式(即通信协议)确定。其中,对原始数据包进行传输的方式可以包括但不限于通过网口协议、串口协议和USB协议进行传输。
其中,在通过网口协议进行传输时,具体所采用的网口协议可以包括但不限于:公用电话交换网PTSN(Public Switched Telephone Network)、以太网、虚拟拨号入网ADSL(Asymmetric Digital Subscriber Line)、光纤入网、无线局域网Wi-Fi、移动通信网络、短距离无线通信网络以及物联网等。
其中,以太网可以包括但不限于802.3以太网。光纤入网方式可以包括但不限于GPON(Gigabit-Capable PON,其中,PON表示Passive Optical Network,无源光纤网络)光纤入网、EPON(Ethernet Passive Optical Network,以太网无源光网络)光纤入网。移动通信网络可以包括但不限于GSM(Global System for Mobile Communications,全球移动通讯系统)移动通信网络、CDMA(Code Division Multiple Access,码分多址)移动通信网络、LTE(Long Term Evolution,通用移动通信技术的长期演进)移动通信网络和5G移动通信网络。无线局域网Wi-Fi可以具体为802.11x无线网络。短距离无线通信网络可以包括但不限于紫蜂短距离无线通信网络ZigBee和蓝牙短距离无线通信网络Bluetooth。物联网可以包括但不限于LoRA物联网以及基于蜂窝的窄带物联网NB-IoT(Narrow Band Internet ofThings)。
在通过串口协议进行传输时,具体所采用的串口协议可以包括但不限于:RS-232标准(协议)(全称EIA-RS-232。其中,EIA即Electronic Industry Association,电子工业协会;RS即recommended standard,推荐标准;232是标识号)、RS-422(全称TIA/EIA-422,平衡电压数字接口电路的电气特性。其中,TIA即Telecommunications IndustryAssociation,电信工业协会;422是标识号)、RS-485(全称TIA/EIA-485。其中,485是标识号)等。
在通过USB协议进行传输时,具体所采用的USB协议可以包括但不限于:USB1.0协议、USB1.1协议、USB2.0协议、USB3.0协议、USB3.2 Gen2协议等。
在本申请实施例中,可以基于包括但不限于以下至少一种数据检测方式对上述第一指令数据包进行数据检测:
对上述第一指令数据包进行内容格式审查;
对上述第一指令数据包进行病毒查杀;
对上述第一指令数据包进行完整性校验。
上述第一指令数据包的格式包括但不限于上述第一指令数据包的编码方式和逻辑规则等,其中,编码方式可以是包括但不限于预设的开头代码、程序编号指令字、起始指令字、结束指令字、结束指令字后面的符号、不同指令字的排列方式、地址符、带数字指令字中的数字代码的数值类型等。
在具体实施过程中,在通过至少两种数据检测方式对上述第一指令数据包进行数据检测时,可以依次基于每种数据检测方式依次对上述第一指令数据包进行数据检测(例如,在对第一指令数据包进行内容格式审查之后,再对该第一指令数据包进行病毒查杀),也可以基于容器技术实现对上述第一指令数据包的数据检测(例如,可以采用容器1对上述第一指令数据包进行内容格式审查,采用容器2对上述第一指令数据包进行病毒查杀,可以基于容器3对上述第一指令数据包进行完整性校验),本申请实施例对此不做限制。
其中,还可以在对上述第一指令数据包进行数据检测之前,基于预设的数据加密方式,采用容器0对上述第一指令数据包进行数据加密,并在完成数据加密后,将加密后的数据分别传输至容器1、容器2、容器3等,在各容器接收到解密后的数据后,先对各数据进行数据解密,再基于其对应的数据检测方式对解密后的数据进行相应的数据检测。
通过设置上述数据检测方式,可以准确地确定出第一指令数据包的安全性。并且,在通过容器技术对上述第一指令数据包进行数据检测时,由于各个容器所执行的操作是相互隔离的,即各容器可以基于其对应的数据检测方式,独立的完成对第一指令数据包的检测,可以有效预防在其中一个或多个容器受到攻击时,仍可以通过其他容器中获取到的数据,得到完整的第一指令数据包。并在受到攻击的容器被修复之后,重新通过该容器,基于完整的第一指令数据包再次进行相应的数据检测,提高第一指令数据包在数据检测过程中的安全性。
通过对第一指令数据包进行数据检测后,控制第二虚拟设备根据第一指令数据包对应的数据传输方式,将第一指令数据包发送至工业控制终端,可以实现模拟外部设备向工业控制终端发送数据,使得工业控制终端可以根据接收到的第一指令数据包,确定出外部设备的设备信息,方便后续对第一指令数据包进行溯源,实现了外部设备与工业控制终端之间进行非接触式数据传输的同时,保证工业控制终端接收数据的安全性。避免由于直接通过工业控制终端的通信接口接收外部设备发送的数据,导致在接收到不安全的数据时,使得工业控制终端受到攻击,进而影响整个工业控制系统的数据安全。
考虑到在实际实施过程中,不可避免地需要通过外部设备与工业控制终端进行通信,例如,在需要通过对工业控制终端进行维修时,可以通过相关的维修控制设备与该工业控制终端连接,实现对该工业控制终端的维修工作。为了及时完成相应的维修工作,避免由于处理过程繁琐,影响工业控制终端的生产能力,本申请实施例还提供了以下实现方式:
在一种可能的实现方式中,上述方法还可以包括:
响应于上述外部设备的数据通信请求,确定上述外部设备的设备标识,上述数据通信请求包括上述数据发送请求或上述数据获取请求;
若预设的设备名单中不包括上述设备标识,在上述第一设备中构建第一虚拟设备以及第二虚拟设备,并分别建立上述第一虚拟设备与上述外部设备之间的连接通道,以及上述第二虚拟设备与上述工业控制终端之间的连接通道;
若上述设备名单中包括上述设备标识,建立上述外部设备、上述第一设备与上述工业控制终端之间的连接通道。
在该实现方式中,一个设备的设备标识可以为唯一表征该设备的信息,可以通过数字、文字、图形等单独的形式标识,或各单独的形式中的至少两种形式的组合进行表示。可以通过一个设备的设备标识唯一确定出该设备。例如,一个设备的设备标识可以为该设备的设备名称、设备型号、设备条形码等。
数据通信请求(即数据传输请求)中可以携带有外部设备的设备标识、设备信息以及具体的通信指令标识。在接收到任一外部设备的数据通信请求后,可以通过对该数据通信请求进行数据解析,获取到该外部设备的设备标识、设备信息以及具体的通信指令标识。通过设备标识唯一确定出该外部设备,通过设备信息可以确定出外部设备进行通信的路由信息以及IP地址信息等。通过通信指令标识,可以确定该数据通信请求具体属于哪种通信请求,即上述数据发送请求或数据接收请求。
其中,可以预先确定可以直接与工业控制终端进行连接的设备,根据这些设备本身的设备标识确定上述设备名单(也可以称为白名单)。例如,可以将对该工业控制终端进行维修的维修控制设备的设备标识列入设备名单中。
需要说明的是,虽然在设备名单中包括该设备的设备标识时,可以直接建立外部设备、第一设备以及工业控制终端之间的连接通道,进行相应的数据传输,但仍需要对所传输的数据进行相应的数据检测,以保证所传输的数据的安全性。
通过上述方式,在接收到任一外部设备的数据通信请求后,将该设备的设备标识与设备名单中的设备标识进行匹配,在设备名单中包括该设备的设备标识时,不需要通过对外部设备和工业控制终端进行模拟,直接建立外部设备、第一设备以及工业控制终端之间的连接通道,进行相应的数据传输,即不需要通过第一虚拟设备和第二虚拟设备进行相应数据传输,可以在提高数据处理效率的同时,依然保证所传输的数据的安全性。
在设备名单中不包括该设备的设备标识时,在第一设备中构建第一虚拟设备以及第二虚拟设备,并分别建立第一虚拟设备与外部设备之间的连接通道,以及第二虚拟设备与工业控制终端之间的连接通道,分别模拟工业控制终端,通过第一虚拟设备与外部设备进行数据传输,模拟外部设备,通过第二虚拟设备与工业控制终端进行数据传输,可以有效提高数据传输的安全性。
在一种可能的实现方式中,上述方法还可以包括:
接收上述外部设备的数据获取请求,控制上述第一虚拟设备获取上述数据获取请求对应的第二指令数据包;
控制第一虚拟设备通过上述数据获取请求对应的第二数据传输方式,将预设数据包发送至上述外部设备,上述预设数据包为预先基于上述工业控制终端的设备信息生成的反馈数据包。
该实现方式中,预设数据包可以为已经确认接收到数据获取请求,并可以发送相关数据的反馈数据包。当然,该预设数据包中还可以包括隐藏的探测信息,以基于该探测信息获取外部设备的具体信息。
在通过第一虚拟设备根据第二指令数据包对应的数据传输方式,将预设数据包发送至外部设备时,可以使得外部设备真实地感知到“工业控制终端已经做好发送数据的准备”,并基于该预设数据包执行下一步操作(例如,向工业控制终端发送关于所需具体获取的信息的数据获取请求),从而,可以使得该第一设备通过模拟工业控制终端,获取到外部设备的更进一步的意图,从而根据该意图加强对工业控制终端的保护强度,避免外部设备从该工业控制终端中获取生产日志等保密信息,导致生产加工信息泄露等问题,提高工业控制系统的安全性。
在一种可能的实现方式中,上述对上述第一指令数据包进行数据检测,根据检测结果执行处理操作,可以包括:
在上述第一设备的第一数据库中包括上述第一指令数据包的关联数据包的情况下,根据上述检测结果执行上述处理操作;
在上述第一数据库中不包括上述第一指令数据包的关联数据包的情况下,控制上述第二虚拟设备根据上述数据传输方式,将上述第一指令数据包发送至上述工业控制终端,并基于上述第一指令数据包、上述数据传输方式和外部设备的设备信息,生成并保存日志记录。
第一数据库可以为基于历史接收到的指令数据包生成的,具体地,可以根据历史接收到的每个指令数据包和各指令数据包对应的检测结果,建立二者之间的对应关系,并将该对应关系保存至第一数据库中。
在对第一指令数据包进行数据检测时,可以将该第一指令数据包分别与第一数据库中的各指令数据包进行匹配,确定该第一指令数据包分别与第一数据库中各指令数据包之间的相似度。
若第一数据库中存在一个指令数据包与该第一指令数据包之间的相似度大于或等于第一预设阈值(例如,90%),可以确定该第一数据库中包括该第一指令数据包的关联数据包,并将对应的相似度大于或等于第一预设阈值的指令数据包确定为该第一指令数据包的关联数据包,即该第一指定数据包为已知数据包,将该关联数据包的检测结果确定为该第一指令数据包的检测结果。否则,确定该第一数据库中不包括第一指令数据包的关联数据包,即该第一指定数据包为未知数据包。
通过将该第一指令数据包与第一数据库中各指令数据包进行匹配的方式,在第一指令数据包为已知指令数据包的情况下,控制第二虚拟设备根据该第一指令数据包对应的数据传输方式,将该第一指令数据包发送至工业控制终端;或对该第一指令数据包进行拦截处理,可以在保证向工业控制终端传输数据安全性的同时,提高数据检测效率。
在第一指令数据包为未知指令数据包的情况下,通过上述方式(即控制第二虚拟设备根据该第一指令数据包对应的数据传输方式,将该第一指令数据包发送至工业控制终端的同时,基于该第一指令数据包、对应的数据传输方式和外部设备的设备信息,生成并保存日志记录),可以避免由于无法确定指令数据包的检测结果,导致部分数据无法及时传输至工业控制终端,影响生产进度等情况的同时,在后续出现问题时,通过日志记录快速追溯至发送错误指令数据包的外部设备,及时解决相关问题。
在该实现方式中,还可以对检测结果进行具体的分类,根据历史接收到的各指令数据包的具体检测结果,生成上述第一数据库。例如,将检测结果分为第一检测结果和第二检测结果,具体地:
上述在上述第一设备的第一数据库中包括上述第一指令数据包的关联数据包的情况下,根据上述检测结果执行上述处理操作,可以包括:
若上述关联数据包的检测结果为第一检测结果,控制上述第二虚拟设备根据上述数据传输方式,将上述第一指令数据包发送至工业控制终端;
若上述关联数据包的检测结果为第二检测结果,对上述第一指令数据包进行拦截处理。
其中,第一检测结果可以表征对应的指令数据包中的指令为安全指令,即对应的指令数据包为安全的数据包。第二检测结果可以表征对应的指令数据包中的指令为不安全指令(即恶意指令,若通过工业控制终端执行该指令,会使得工业控制终端受到攻击),即对应的指令数据包为不安全的数据包。
如前文所记载的,若第一数据库中包括第一指令数据包的关联数据包时,可以将该关联数据包的检测结果确定为该第一指令数据包的检测结果。即若关联数据包的检测结果为第一检测结果,则表明第一指令数据包的检测结果为第一检测结果;若关联数据包的检测结果为第二检测结果,则表明第一指令数据包的检测结果为第二检测结果。
需要说明的是,若第一数据库中包括多个第一指令数据包的关联数据包,则可以将对应的相似度最高的关联数据包的检测结果,作为该第一指令数据包的检测结果。
在确定第一指令数据包中的指令为安全指令的情况下,控制第二虚拟设备根据对应的数据传输方式,将该第一指令数据包发送至工业控制终端,提高了向工业控制终端传输数据的安全性,进一步提高了工业控制系统的数据安全。在确定第一指令数据包中的指令为不安全指令的情况下,对该第一指令数据包进行拦截处理,避免将该第一指令数据包传输至工业控制终端,也可以提高向工业控制终端传输数据的安全性,进一步提高工业控制系统的数据安全。
具体地,可以通过以下实现方式,对第一指令数据包进行拦截处理:
在一种可能的实现方式中,上述对上述第一指令数据包进行拦截处理,可以包括:
对上述第一指令数据包进行解析,确定上述第一指令数据包对应的操作指令;
从上述第一设备的第二数据库中获取上述操作指令对应的目标执行结果,上述第二数据库中包括至少一项操作指令以及上述工业控制终端针对至少一项操作指令中每项操作指令的执行结果;
基于预设的数据修改方式,对上述目标执行结果进行修改;
控制上述第一虚拟设备根据上述数据传输方式,将修改后的执行结果发送至上述外部设备。
由前文所记载的,在第一指令数据包中的指令为不安全指令的情况下,需要对第一指令数据包进行拦截处理。在该实现方式中,可以通过对第一指令数据包进行解析后,根据该第一指令数据包中的原始不安全指令的操作类型,确定出与该原始不安全的指令对应的操作指令。
示例性地,在该第一指令数据包中的原始不安全指令为携带病毒的切割指令的情况下,可以对该不安全指令进行杀毒处理后,得到对应的安全的切割指令,将该安全的切割指令作为该第一指令数据包对应的操作指令。
可以对向工业控制终端传输的每个指令数据包进行保存,并在向工业控制终端传输的每个指令数据包之后,获取工业控制终端通过执行每个指令数据包所得到的执行结果,根据各指令数据包对应的操作指令以及工业控制终端针对每项操作指令的执行结果,建立二者之间的对应关系,并将该对应关系进行保存,得到第二数据库。
在具体实施时,可以将该第一指令数据包对应的操作指令分别与第二数据库中的每项操作指令进行匹配,确定该第一指令数据包对应的操作指令分别与第二数据库中的每项操作指令之间的相似度。并将第二数据库中对应的相似度大于或等于第二预设阈值(例如90%)的操作指令的执行结果,确定为该第一指令数据包对应的操作指令的执行结果。
预设的数据修改方式可以为仅修改执行结果中的格式,而不修改具体的内容。在基于预设的数据修改方式对目标执行结果进行修改时,可以具体基于不安全指令中的不安全因素(例如,所携带的病毒的类型),对目标执行结果进行修改,使得修改后的执行结果携带有相应的病毒。
在通过第一虚拟设备根据第一指令数据包对应的数据传输方式,将修改后的执行结果发送至外部设备时,可以使得外部设备真实地感知到“工业控制终端已经感染相应的病毒”,并基于该错误的结果执行下一步操作(例如,继续发送攻击性更强的病毒),从而,可以使得该第一设备通过模拟工业控制终端,获取到外部设备的更进一步的意图,从而根据该意图加强对工业控制终端的保护强度,避免工业控制终端受到攻击,提高工业控制系统的安全性。
当然,上述对上述第一指令数据包进行拦截处理,还可以包括:
丢弃上述第一指令数据包,并根据上述第一指令数据包生成告警信息;
基于上述告警信息进行告警;和/或
将上述告警信息发送至上述工业控制终端。
在该实现方式中,对告警信息的形式不做限制,例如,该告警信息的形式可以包括但不限于为文字形式、声音形式、震动形式等中的一种或多种。其中,告警信息中可以包括但不限于第一指令数据包的发送时间戳、上述外部设备的设备信息、上述第一指令数据包的检测结果等。
在该实现方式中,基于告警信息进行告警的方式包括以下方式:
方式一,在告警信息为文字形式时,可以显示告警信息。
其中,可以直接通过上述方法的执行主体对应的显示模块显示告警信息,其中,显示模块可以包括但不限于LCD(liquid crystal display)显示器、CRT(cathode ray tube)显示器,本公开对此不做具体限定。
方式二,在告警信息为声音形式和/或震动形式时,可以控制上述方法的执行主体的告警模块发出告警信息。
其中,告警模块可以包括指示灯、振动马达、蜂鸣器中的至少一种。可以通过改变指示灯的显示方式、控制振动马达振动、控制蜂鸣器发声等方式进行告警,本申请实施例对具体的告警方式不做限制。其中,改变指示灯的显示方式包括改变指示灯亮灭的频率、控制指示灯显示不同颜色等,本申请实施例对改变指示灯的显示方式不做限制。
其中,在将告警信息发送至工业控制终端之后,还可以使得工业控制终端的相关告警模块进行告警提示。具体可以如上述基于告警信息进行告警的方式进行告警。
通过在确定第一指令数据包为不安全的数据包的情况下,将第一指令数据包进行丢弃,并根据该第一指令数据包生成告警信息,可以有效阻断将该不安全的第一指令数据包传输至工业控制终端,并提醒相应工作人员及时相应处理,例如,基于告警信息进行日志记录,记录相关外部设备的设备信息以及相应的报文信息,以便于后续更新第一数据库等。
当然,还可以将上述告警信息发送至外部设备,以向外部设备发出警示,避免该外部设备再次发送上述第一指令数据包。
基于与本申请实施例提供的数据处理方法相同的原理,本申请实施例中还提供了一种工业控制系统。如图2所示,该工业控制系统20包括第一设备22与工业控制终端21,上述第一设备21包括第一虚拟设备(图中未示出)以及第二虚拟设备(图中未示出);其中,第一虚拟设备为基于工业控制终端的设备信息构建的,第二虚拟设备为基于外部设备的设备信息构建的;其中,第一设备22用于:
接收外部设备30的数据发送请求,控制第一虚拟设备获取上述数据发送请求对应的第一指令数据包;
对上述第一指令数据包进行数据检测,根据检测结果执行处理操作;
上述处理操作包括:控制上述虚拟设备根据第一指令数据包对应的数据传输方式,将上述第一指令数据包发送至工业控制终端21;或对上述第一指令数据包进行拦截处理。
在一种可能的实现方式中,上述第一设备22在对上述第一指令数据包进行数据检测,根据检测结果执行处理操作时,可以具体用于:
在上述第一设备22的第一数据库221中包括上述第一指令数据包的关联数据包的情况下,根据上述检测结果执行上述处理操作;
在上述第一数据库221中不包括上述第一指令数据包的关联数据包的情况下,控制上述第二虚拟设备根据上述数据传输方式,将上述第一指令数据包发送至上述工业控制终端21,并基于上述第一指令数据包、上述数据传输方式和外部设备30的设备信息,生成并保存日志记录。
在一种可能的实现方式中,上述第一设备22在上述第一设备22的第一数据库221中包括上述第一指令数据包的关联数据包的情况下,根据上述检测结果执行上述处理操作时,可以具体用于:
若上述关联数据包的检测结果为第一检测结果,控制上述第二虚拟设备根据上述数据传输方式,将上述第一指令数据包发送至工业控制终端21;
若上述关联数据包的检测结果为第二检测结果,对上述第一指令数据包进行拦截处理。
在一种可能的实现方式中,上述第一设备22在对上述第一指令数据包进行拦截处理时,可以具体用于:
对上述第一指令数据包进行解析,确定上述第一指令数据包对应的操作指令;
从上述第一设备22的第二数据库222中获取上述操作指令对应的目标执行结果,上述第二数据库222中包括至少一项操作指令以及上述工业控制终端21针对至少一项操作指令中每项操作指令的执行结果;
基于预设的数据修改方式,对上述目标执行结果进行修改;
控制上述第一虚拟设备根据上述数据传输方式,将修改后的执行结果发送至上述外部设备30。
在一种可能的实现方式中,上述第一设备22在对上述第一指令数据包进行拦截处理时,可以具体用于:
丢弃上述第一指令数据包,并根据上述第一指令数据包生成告警信息;
基于上述告警信息进行告警;和/或
将上述告警信息发送至上述工业控制终端21。
在一种可能的实现方式中,上述第一设备22还可以用于:
接收上述外部设备30的数据获取请求,控制上述第一虚拟设备获取上述数据获取请求对应的第二指令数据包;
控制第一虚拟设备通过上述数据获取请求对应的第二数据传输方式,将预设数据包发送至上述外部设备30,上述预设数据包为预先基于上述工业控制终端21的设备信息生成的反馈数据包。
在一种可能的实现方式中,上述第一设备22还可以用于:
响应于上述外部设备30的数据通信请求,确定上述外部设备30的设备标识,上述数据通信请求包括上述数据发送请求或上述数据获取请求;
若预设的设备名单中不包括上述设备标识,在上述第一设备22中构建第一虚拟设备以及第二虚拟设备,并分别建立上述第一虚拟设备与上述外部设备30之间的连接通道,以及上述第二虚拟设备与上述工业控制终端21之间的连接通道;
若上述设备名单中包括上述设备标识,建立上述外部设备30、上述第一设备22与上述工业控制终端21之间的连接通道。
本申请实施例的工业控制系统20可执行本申请实施例所提供的方法,其实现原理相类似,本申请各实施例的工业控制系统20中的第一设备22所执行的动作是与本申请各实施例的方法中的步骤相对应的,对于第一设备22的详细功能描述具体可以参见前文中所示的对应方法中的描述,此处不再赘述。
基于与本申请实施例提供的数据处理方法以及本申请实施例提供的工业控制系统的运行过程相同的原理,本申请实施例中还提供了一种数据处理装置,该数据处理装置设置于第一设备中,第一设备包括第一虚拟设备以及第二虚拟设备;其中,第一虚拟设备为基于工业控制终端的设备信息构建的,第二虚拟设备为基于外部设备的设备信息构建的。图3示出了本申请实施例提供的一种数据处理装置的示意图。如图3所示,该装置40包括:
数据接收模块41,用于接收外部设备的数据发送请求,控制第一虚拟设备获取上述数据发送请求对应的第一指令数据包;
数据检测模块42,用于对上述第一指令数据包进行数据检测,根据检测结果执行处理操作;
上述处理操作包括:控制上述虚拟设备根据第一指令数据包对应的数据传输方式,将上述第一指令数据包发送至工业控制终端;或对上述第一指令数据包进行拦截处理。
在一种可能的实现方式中,上述数据检测模块42在对上述第一指令数据包进行数据检测,根据检测结果执行处理操作时,可以具体用于:
在上述第一设备的第一数据库中包括上述第一指令数据包的关联数据包的情况下,根据上述检测结果执行上述处理操作;
在上述第一数据库中不包括上述第一指令数据包的关联数据包的情况下,控制上述第二虚拟设备根据上述数据传输方式,将上述第一指令数据包发送至上述工业控制终端,并基于上述第一指令数据包、上述数据传输方式和外部设备的设备信息,生成并保存日志记录。
在一种可能的实现方式中,上述数据检测模块42在上述第一设备的第一数据库中包括上述第一指令数据包的关联数据包的情况下,根据上述检测结果执行上述处理操作时,可以具体用于:
若上述关联数据包的检测结果为第一检测结果,控制上述第二虚拟设备根据上述数据传输方式,将上述第一指令数据包发送至工业控制终端;
若上述关联数据包的检测结果为第二检测结果,对上述第一指令数据包进行拦截处理。
在一种可能的实现方式中,上述数据检测模块42在对上述第一指令数据包进行拦截处理时,可以具体用于:
对上述第一指令数据包进行解析,确定上述第一指令数据包对应的操作指令;
从上述第一设备的第二数据库中获取上述操作指令对应的目标执行结果,上述第二数据库中包括至少一项操作指令以及上述工业控制终端针对至少一项操作指令中每项操作指令的执行结果;
基于预设的数据修改方式,对上述目标执行结果进行修改;
控制上述第一虚拟设备根据上述数据传输方式,将修改后的执行结果发送至上述外部设备。
在一种可能的实现方式中,上述数据检测模块42在对上述第一指令数据包进行拦截处理时,可以具体用于:
丢弃上述第一指令数据包,并根据上述第一指令数据包生成告警信息;
基于上述告警信息进行告警;和/或
将上述告警信息发送至上述工业控制终端。
在一种可能的实现方式中,
上述数据接收模块41,还可以用于接收上述外部设备的数据获取请求,控制上述第一虚拟设备获取上述数据获取请求对应的第二指令数据包;
上述数据检测模块42,还可以用于控制第一虚拟设备通过上述数据获取请求对应的第二数据传输方式,将预设数据包发送至上述外部设备,上述预设数据包为预先基于上述工业控制终端的设备信息生成的反馈数据包。
在一种可能的实现方式中,上述数据检测模块42还可以用于:
响应于上述外部设备的数据通信请求,确定上述外部设备的设备标识,上述数据通信请求包括上述数据发送请求或上述数据获取请求;
若预设的设备名单中不包括上述设备标识,在上述第一设备中构建第一虚拟设备以及第二虚拟设备,并分别建立上述第一虚拟设备与上述外部设备之间的连接通道,以及上述第二虚拟设备与上述工业控制终端之间的连接通道;
若上述设备名单中包括上述设备标识,建立上述外部设备、上述第一设备与上述工业控制终端之间的连接通道。
本申请实施例的装置可执行本申请实施例所提供的方法,其实现原理相类似,本申请各实施例的装置中的各模块所执行的动作是与本申请各实施例的方法中的步骤相对应的,对于装置的各模块的详细功能描述具体可以参见前文中所示的对应方法中的描述,此处不再赘述。
基于与本申请实施例提供的数据处理方法、工业控制系统以及数据处理装置相同的原理,本申请实施例中还提供了一种电子设备(如服务器),该电子设备可以包括存储器、处理器及存储在存储器上的计算机程序,该处理器执行上述计算机程序以实现本申请任一可选实施例中提供的方法的步骤。
可选地,图4示出了本申请实施例所适用的一种电子设备的结构示意图,如图4所示,图4所示的电子设备4000包括:处理器4001和存储器4003。其中,处理器4001和存储器4003相连,如通过总线4002相连。可选地,电子设备4000还可以包括收发器4004,收发器4004可以用于该电子设备与其他电子设备之间的数据交互,如数据的发送和/或数据的接收等。需要说明的是,实际应用中收发器4004不限于一个,该电子设备4000的结构并不构成对本申请实施例的限定。
处理器4001可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器4001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线4002可包括一通路,在上述组件之间传送信息。总线4002可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线4002可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器4003可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质、其他磁存储设备、或者能够用于携带或存储计算机程序并能够由计算机读取的任何其他介质,在此不做限定。
存储器4003用于存储执行本申请实施例的计算机程序,并由处理器4001来控制执行。处理器4001用于执行存储器4003中存储的计算机程序,以实现前述方法实施例所示的步骤。
本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,计算机程序被处理器执行时可实现前述方法实施例的步骤及相应内容。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”、“1”、“2”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除图示或文字描述以外的顺序实施。
应该理解的是,虽然本申请实施例的流程图中通过箭头指示各个操作步骤,但是这些步骤的实施顺序并不受限于箭头所指示的顺序。除非本文中有明确的说明,否则在本申请实施例的一些实施场景中,各流程图中的实施步骤可以按照需求以其他的顺序执行。此外,各流程图中的部分或全部步骤基于实际的实施场景,可以包括多个子步骤或者多个阶段。这些子步骤或者阶段中的部分或全部可以在同一时刻被执行,这些子步骤或者阶段中的每个子步骤或者阶段也可以分别在不同的时刻被执行。在执行时刻不同的场景下,这些子步骤或者阶段的执行顺序可以根据需求灵活配置,本申请实施例对此不限制。
以上所述仅是本申请部分实施场景的可选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请的方案技术构思的前提下,采用基于本申请技术思想的其他类似实施手段,同样属于本申请实施例的保护范畴。
Claims (10)
1.一种数据处理方法,应用于第一设备,其特征在于,所述第一设备包括第一虚拟设备以及第二虚拟设备;其中,所述第一虚拟设备为基于工业控制终端的设备信息构建的,所述第二虚拟设备为基于外部设备的设备信息构建的,所述第一设备与所述工业控制终端为设置于工业控制系统内部的设备,所述外部设备为设置于所述工业控制系统外部的设备;
所述方法包括:
接收外部设备的数据发送请求,控制所述第一虚拟设备获取所述数据发送请求对应的第一指令数据包;
对所述第一指令数据包进行数据检测,根据检测结果执行处理操作;
所述处理操作包括:控制所述第二虚拟设备根据所述第一指令数据包对应的数据传输方式,将所述第一指令数据包发送至所述工业控制终端;或对所述第一指令数据包进行拦截处理。
2.根据权利要求1所述的方法,其特征在于,所述对所述第一指令数据包进行数据检测,根据检测结果执行处理操作,包括:
在所述第一设备的第一数据库中包括所述第一指令数据包的关联数据包的情况下,根据所述检测结果执行所述处理操作;
在所述第一数据库中不包括所述第一指令数据包的关联数据包的情况下,控制所述第二虚拟设备根据所述数据传输方式,将所述第一指令数据包发送至所述工业控制终端,并基于所述第一指令数据包、所述数据传输方式和所述外部设备的设备信息,生成并保存日志记录。
3.根据权利要求2所述的方法,其特征在于,所述在所述第一设备的第一数据库中包括所述第一指令数据包的关联数据包的情况下,根据所述检测结果执行所述处理操作,包括:
若所述关联数据包的检测结果为第一检测结果,控制所述第二虚拟设备根据所述数据传输方式,将所述第一指令数据包发送至所述工业控制终端;
若所述关联数据包的检测结果为第二检测结果,对所述第一指令数据包进行拦截处理。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述对所述第一指令数据包进行拦截处理,包括:
对所述第一指令数据包进行解析,确定所述第一指令数据包对应的操作指令;
从所述第一设备的第二数据库中获取所述操作指令对应的目标执行结果,所述第二数据库中包括至少一项操作指令以及所述工业控制终端针对所述至少一项操作指令中每项操作指令的执行结果;
基于预设的数据修改方式,对所述目标执行结果进行修改;
控制所述第一虚拟设备根据所述数据传输方式,将修改后的执行结果发送至所述外部设备。
5.根据权利要求4所述的方法,其特征在于,所述对所述第一指令数据包进行拦截处理,还包括:
丢弃所述第一指令数据包,并根据所述第一指令数据包生成告警信息;
基于所述告警信息进行告警;和/或
将所述告警信息发送至所述工业控制终端。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述外部设备的数据获取请求,控制所述第一虚拟设备获取所述数据获取请求对应的第二指令数据包;
控制所述第一虚拟设备通过所述数据获取请求对应的第二数据传输方式,将预设数据包发送至所述外部设备,所述预设数据包为预先基于所述工业控制终端的设备信息生成的反馈数据包。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
响应于所述外部设备的数据通信请求,确定所述外部设备的设备标识,所述数据通信请求包括所述数据发送请求或所述数据获取请求;
若预设的设备名单中不包括所述设备标识,在所述第一设备中构建所述第一虚拟设备以及所述第二虚拟设备,并分别建立所述第一虚拟设备与所述外部设备之间的连接通道,以及所述第二虚拟设备与所述工业控制终端之间的连接通道;
若所述设备名单中包括所述设备标识,建立所述外部设备、所述第一设备与所述工业控制终端之间的连接通道。
8.一种工业控制系统,其特征在于,包括:第一设备与工业控制终端,所述第一设备包括第一虚拟设备以及第二虚拟设备;其中,所述第一虚拟设备为基于工业控制终端的设备信息构建的,所述第二虚拟设备为基于外部设备的设备信息构建的,所述外部设备为设置于所述工业控制系统外部的设备;其中,所述第一设备用于:
接收外部设备的数据发送请求,控制所述第一虚拟设备获取所述数据发送请求对应的第一指令数据包;
对所述第一指令数据包进行数据检测,根据检测结果执行处理操作;
所述处理操作包括:控制所述第二虚拟设备根据所述第一指令数据包对应的数据传输方式,将所述第一指令数据包发送至所述工业控制终端;或对所述第一指令数据包进行拦截处理。
9.一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序以实现权利要求1至7中任一项所述的方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211086356.2A CN115174274B (zh) | 2022-09-06 | 2022-09-06 | 数据处理方法、工业控制系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211086356.2A CN115174274B (zh) | 2022-09-06 | 2022-09-06 | 数据处理方法、工业控制系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174274A CN115174274A (zh) | 2022-10-11 |
| CN115174274B true CN115174274B (zh) | 2023-01-06 |
Family
ID=83480986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211086356.2A Active CN115174274B (zh) | 2022-09-06 | 2022-09-06 | 数据处理方法、工业控制系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174274B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN109104424A (zh) * | 2018-08-13 | 2018-12-28 | 浙江中控技术股份有限公司 | 一种opc通讯的安全防护方法及装置 |
| CN112637176A (zh) * | 2020-12-17 | 2021-04-09 | 山东云天安全技术有限公司 | 一种工业网络数据隔离方法、装置及存储介质 |
| CN112822291A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种工控设备的监测方法与装置 |
-
2022
- 2022-09-06 CN CN202211086356.2A patent/CN115174274B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN109104424A (zh) * | 2018-08-13 | 2018-12-28 | 浙江中控技术股份有限公司 | 一种opc通讯的安全防护方法及装置 |
| CN112637176A (zh) * | 2020-12-17 | 2021-04-09 | 山东云天安全技术有限公司 | 一种工业网络数据隔离方法、装置及存储介质 |
| CN112822291A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种工控设备的监测方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174274A (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN110912927B (zh) | 工业控制系统中控制报文的检测方法及装置 | |
| CN111901327A (zh) | 云网络漏洞挖掘方法、装置、电子设备及介质 | |
| CN112087415B (zh) | 基于应用路径的网络业务控制 | |
| CN105516186A (zh) | 一种防止重放攻击的方法和服务器 | |
| CN114143066A (zh) | 一种基于代理隔离装置的内外网对接系统及方法 | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| WO2021174870A1 (zh) | 网络安全风险检测方法、系统、计算机设备和存储介质 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN114301670B (zh) | 基于ipv6地址的终端认证方法、装置、设备及介质 | |
| CN108959659B (zh) | 一种大数据平台的日志接入解析方法和系统 | |
| CN111193727A (zh) | 运行监测系统及运行监测方法 | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN115174274B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN115150209B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN112383513B (zh) | 基于代理ip地址池的爬虫行为检测方法、装置及存储介质 | |
| CN111209266B (zh) | 一种基于Redis数据库的审计方法、装置及电子设备 | |
| CN117195263A (zh) | 数据库加密的方法和装置 | |
| CN113014587B (zh) | 一种api检测方法、装置、电子设备及存储介质 | |
| CN103326892B (zh) | Web接口的操作方法及装置 | |
| CN115174273B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN114513331A (zh) | 基于应用层通信协议的挖矿木马检测方法、装置及设备 | |
| CN113992366A (zh) | 一种网络数据传输方法、装置、设备及存储介质 | |
| KR20170015178A (ko) | 소스 코드를 분석하여 보안 취약점과 웹쉘을 탐지하는 웹 서버 보안 시스템 및 그 방법 | |
| CN112084504A (zh) | 病毒文件的处理方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |