CN206807485U - 一种基于网络入侵检测的通信控制器 - Google Patents
一种基于网络入侵检测的通信控制器 Download PDFInfo
- Publication number
- CN206807485U CN206807485U CN201720715089.9U CN201720715089U CN206807485U CN 206807485 U CN206807485 U CN 206807485U CN 201720715089 U CN201720715089 U CN 201720715089U CN 206807485 U CN206807485 U CN 206807485U
- Authority
- CN
- China
- Prior art keywords
- network
- invasion monitoring
- communication controler
- control panel
- usb interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本实用新型公开了一种基于网络入侵检测的通信控制器,包括:处理器及分别与之相连接的网络入侵检测模块、内存器、存储器、现场可编程门阵列扩展口、以太网控制板、串口控制板、VGA接口、USB接口、网口以及电源模块;其中网络入侵检测模块用于对网络的检测;存储器用于相关监控数据信息的存储;处理器通过串口控制板分别与VGA接口、USB接口连接,及通过以太网控制板与网口连接。本实用新型在常规通讯传输功能的基础上创造性的引入防火墙功能,实现网络检测、工控网络协议检测、工控漏洞的攻击检测和异常报文检测等,提高了数据传输的安全性,保障了PSCADA系统可靠运行。
Description
技术领域
本实用新型属于轨道交通电力监控系统技术领域,具体指代一种基于网络入侵检测的电力监控系统的通信控制器。
背景技术
城市轨道交通是一个涉及到公共安全的重要交通手段,其安全性非常重要,必须提供城市轨道交通安全的各种标准,其中技术安全是非常重要的一环。如果从技术上无法保证轨道交通的安全性,则会对社会造成极大的危害性。现在轨道交通的管理,都是通过网络进行的,如果有敌对国家或势力借助网络,企图通过对轨道交通的安全造成危害,而我方缺乏必要的防范,则会造成很严重的社会不安和动荡。
目前,城市轨道交通PSCADA(电力监控系统Power Supervisory Control AndData Acquisition)系统面临着一个复杂的环境,所谓复杂环境,是相对于PSCADA系统这个内网来说的,因为PSCADA系统处于内网的环境,所以安全性较高,而PSCADA系统需要连接很多外部的各种保护测控子系统,包括综合监控系统等等,这些系统的网络无法保证PSCADA系统不受网络入侵,因此需要对网络数据进行安全入侵检测。
从信息安全看,仅仅依靠相关政策、法规和保密技术是不够的,还必须大力开发自己实用且操作性能强的安全部件或相关机制,这是全面提高轨道交通PSCADA系统信息安全、保密能力的有效途径。但是,不同系统之间网络互联互通,如果有效确保PSCADA系统的网络安全就至关重要。
通信控制器作为PSCADA系统与互联子系统之间的网络间隔层设备,在地铁中有着广泛的应用。通常情况下,一个车站两台通信控制器互为冗余,一个变电所两台通信控制器互为冗余。主要负责应用层协议转换和硬件接口的转换,在整个PSCADA系统中起到承上启下的作用,即PSCADA系统通过通信控制器获得被集成和互联系统的数据,同时,PSCADA系统也是通过通信控制器完成发往被集成和互联系统的数据和命令。从网络拓扑的视角来看,通信控制器充当了网关的角色,网络上的数据在此得到了入侵隔离保护,提高整个系统的安全性。另外,通信控制器的存在,大大减轻了网络上服务器的CPU负载。
所谓网络入侵检测是针对工业控制系统的专用信息安全检测系统,对工业控制系统中的工控语言进行专项解读,提供特有的工控网络检测策略,并可针对专用的工业控制业务定制专属的安全检测策略。旁路部署在工业网络的监控层的边界,实现针对工控系统网络安全的有效检测,及时发现安全异常进行报警。支持十几种主流工控协议的深度解析,内置特有的工控网络检测策略;可检测利用工控设备漏洞对工控网络的多种入侵攻击。
通信控制器恰巧处于PSCADA系统(内网)和其他各个子系统所处网络(外网)之间,属于应用层网关,良好的位置,使得该设备具有得天独厚的角色,对其进行安全性的增强,增加必要的安全技术,使其具有防范外网的恶意攻击,屏蔽非法的入侵,非常必要。
发明内容
针对于上述现有技术的不足,本实用新型的目的在于提供一种基于网络入侵检测的通信控制器,本实用新型的控制器能够将有害的网络入侵做到提前检测预防,实时告警,以保障安全的数据信息在可信的内部网络内在进行交互,而有潜在威胁的不安全数据信息被阻止。
为达到上述目的,本实用新型的一种基于网络入侵检测的通信控制器,包括:处理器及分别与之相连接的网络入侵检测模块、内存器、存储器、现场可编程门阵列扩展口、以太网控制板、串口控制板、VGA接口、USB接口、网口以及电源模块;其中网络入侵检测模块用于对网络的检测;存储器用于相关监控数据信息的存储;处理器通过串口控制板分别与VGA接口、USB接口连接,及通过以太网控制板与网口连接。
优选地,所述的USB接口为三个。
优选地,所述的处理器通过PCI-E高速总线连接网络入侵检测模块。
优选地,所述的处理器通过PCI-E高速总线连接两个维护网口。
优选地,所述的处理器通过PCI-E高速总线连接以太网控制板。
优选地,所述的网络入侵检测模块连接多个ETH网口。
优选地,所述的电源模块输出12V电压给处理器供电。
本实用新型的基于网络入侵检测的通信控制器,通过网络入侵检测模块将外部ETH网口接入的数据进行数据分析,检查进入内网的数据包,监控WEB入侵、蠕虫病毒入侵、漏洞入侵等网络报文,自动阻止可疑信息通过,并实时告警;确保安全数据传至处理器,由处理器经静电隔离后经网口或/及串口输出。
本实用新型的有益效果:
本实用新型采用了网络隔离,入侵检测的技术,实现了内外网之间的安全网闸,确保网络安全环境下进行数据传输,提高了PSCADA系统的安全性。
(1)低耦合:采用分层/模块化设计思想,体系结构清晰,各个模块独立性高。
(2)高效率:经过测试进入PSCADA系统内网的数据传输效率降低不多,而出去的数据效率基本不受影响,可以说,在增加安全性的基础上,基本不降低效率,使得系统具有更好的适用性。
(3)高安全性:通过网络入侵的设置和相关机制,将多个不同的网络进行逻辑上的分离,经过网络入侵检测后实现网络互联,一旦发现异常入侵,设备会自动阻止可疑信息通过,并实时告警,确保系统具有较高的安全性。
附图说明
图1绘示实施例中通信控制器的原理结构框图。
具体实施方式
为了便于本领域技术人员的理解,下面结合实施例与附图对本实用新型作进一步的说明,实施方式提及的内容并非对本实用新型的限定。
参照图1所示,本实用新型的一种基于网络入侵检测的通信控制器,包括:处理器及分别与之相连接的网络入侵检测模块、内存器、存储器、现场可编程门阵列(FPGA,Field-Programmable Gate Array)扩展口、以太网控制板、串口控制板、VGA接口、USB接口、网口以及电源模块;其中网络入侵检测模块用于对网络的检测,包括对工控网络协议的检测、工控漏洞攻击的检测和异常报文的检测;存储器用于相关监控数据信息的存储;处理器通过串口控制板分别与VGA接口、USB接口连接,及通过以太网控制板与网口(网口1-网口6)连接。
实施例中,所述的处理器选用ATOM D525,通过该PCI-E高速总线分别与两个维护网口(维护网口1和维护网口2用于对通信控制器的维护)、网络入侵检测模块及以太网控制板连接。
其中,所述的USB接口为三个。
其中,所述的网络入侵检测模块连接四个ETH网口,其是一个基于代理的网络引擎,部署在用户网络中,接入待检测的网络流量数据,对网络报文进行各项检测,将发现的安全报警信息上报。
该网络入侵检测模块提供专门配置管理软件,提供Web方式,完成对检测引擎进行各种检测场景的规则配置,对引擎设备进行维护管理。内置入侵库及数据分析功能,检查进入内网的数据包,防止在内外网之间的直接建立联系,从而实现内外计算机系统的网络传输的安全实时监控。为了提高效率,定制检测策略,内网检测重点是监控PLC可编程工控设备,外网重点监控WEB入侵、蠕虫病毒入侵、漏洞入侵等网络报文。
基于IP+端口的过滤功能,兼备了防火墙部分功能,只开放防火墙的IP和系统自定义的那些端口,关闭不需要使用的所有其它端口(包括80端口等),类似于NAT建立起映射表,只有被录入到PSCADA系统的IP地址和端口号才被允许进行接入。固化的映射表限定了映射表的大小,有利于提高查找映射条件的性能。
其中,所述的电源模块输出12V电压给处理器供电,以及输出3.3V或5V给以太网控制板及串口控制板供电。
本实用新型的基于网络入侵检测的通信控制器,通过网络入侵检测模块将外部ETH网口接入的数据进行数据分析,检查进入内网的数据包,监控WEB入侵、蠕虫病毒入侵、漏洞入侵等网络报文,自动阻止可疑信息通过,并实时告警;确保安全数据传至处理器,由处理器经静电隔离后经网口或/及串口输出。该通信控制器模块实现与各个子系统或者智能设备进行通信,实现协议编解码等功能;隔离互联子系统的直接通信,架起一个内外通信的关卡,提高PSCADA系统的安全性。
本实用新型具体应用途径很多,以上所述仅是本实用新型的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本实用新型原理的前提下,还可以作出若干改进,这些改进也应视为本实用新型的保护范围。
Claims (7)
1.一种基于网络入侵检测的通信控制器,其特征在于,包括:处理器及分别与之相连接的网络入侵检测模块、内存器、存储器、现场可编程门阵列扩展口、以太网控制板、串口控制板、VGA接口、USB接口、网口以及电源模块;其中网络入侵检测模块用于对网络的检测;存储器用于相关监控数据信息的存储;处理器通过串口控制板分别与VGA接口、USB接口连接,及通过以太网控制板与网口连接。
2.根据权利要求1所述的基于网络入侵检测的通信控制器,其特征在于,所述的USB接口为三个。
3.根据权利要求1所述的基于网络入侵检测的通信控制器,其特征在于,所述的处理器通过PCI-E高速总线连接网络入侵检测模块。
4.根据权利要求1或3所述的基于网络入侵检测的通信控制器,其特征在于,所述的处理器通过PCI-E高速总线连接两个维护网口。
5.根据权利要求1所述的基于网络入侵检测的通信控制器,其特征在于,所述的处理器通过PCI-E高速总线连接以太网控制板。
6.根据权利要求1所述的基于网络入侵检测的通信控制器,其特征在于,所述的网络入侵检测模块连接多个ETH网口。
7.根据权利要求1所述的基于网络入侵检测的通信控制器,其特征在于,所述的电源模块输出12V电压给处理器供电。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201720715089.9U CN206807485U (zh) | 2017-06-19 | 2017-06-19 | 一种基于网络入侵检测的通信控制器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201720715089.9U CN206807485U (zh) | 2017-06-19 | 2017-06-19 | 一种基于网络入侵检测的通信控制器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN206807485U true CN206807485U (zh) | 2017-12-26 |
Family
ID=60748061
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201720715089.9U Active CN206807485U (zh) | 2017-06-19 | 2017-06-19 | 一种基于网络入侵检测的通信控制器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN206807485U (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
CN110417794A (zh) * | 2019-08-05 | 2019-11-05 | 南京轨道交通系统工程有限公司 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
-
2017
- 2017-06-19 CN CN201720715089.9U patent/CN206807485U/zh active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
CN110417794A (zh) * | 2019-08-05 | 2019-11-05 | 南京轨道交通系统工程有限公司 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105656883A (zh) | 一种适用于工控网络的单向传输内外网安全隔离网闸 | |
CN104917776A (zh) | 一种工控网络安全防护设备与方法 | |
CN205670253U (zh) | 一种工业控制系统的可信网关系统 | |
CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
CN206807485U (zh) | 一种基于网络入侵检测的通信控制器 | |
CN213521957U (zh) | 一种基于数字船舶网络安全的网络接入系统 | |
CN105208352B (zh) | 一种网络视频安全监控系统及物理隔离方法 | |
CN209627407U (zh) | 有限连通的安全隔离网闸 | |
CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
Zhang et al. | The security for power internet of things: Framework, policies, and countermeasures | |
CN113225313A (zh) | 一种用于dcs系统的信息安全防护系统 | |
CN206193795U (zh) | 一种计算机智能信息安全处理装置 | |
CN201936307U (zh) | 电力系统专用物理隔离装置 | |
CN112437043B (zh) | 基于双向访问控制的安全保障方法 | |
KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
CN104735043A (zh) | 一种阻止可疑数据包通过工业以太网攻击plc的方法 | |
CN207869150U (zh) | 一种基于虚拟沙箱技术的电力监控系统未知威胁发现系统 | |
CN210112051U (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 | |
CN206251134U (zh) | 基于安全应用网关的城市轨道交通车站设备控制器 | |
CN204425393U (zh) | 一种注解网络流量信息的装置 | |
Yina | Discussion on computer network security technology and firewall technology | |
CN103164891A (zh) | 一种多通道智能门禁管理系统及其工作方法 | |
CN110417794A (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 | |
Wang et al. | Research on network security subsystem based on digital signal | |
CN202535368U (zh) | 千兆物理隔离装置双机热备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant |