The embodiment of the invention provides a condition monitoring system and a monitoring method for a variety of industrial Ethernet protocols, in which the system includes: Industrial Ethernet security policy configuration module, Industrial Ethernet protocol identification and processing module, and industrial Ethernet alarm generation module, in which the industrial Ethernet security policy configuration module is used to store security policy configuration information; and the Industrial Ethernet security policy configuration module is used to store security policy configuration information. The Ethernet protocol recognition module is used to parse the message, and process the message configuration information according to the security policy configuration information stored in the industrial Ethernet security policy configuration module. The industrial Ethernet alarm generation module is used to process the result based on the industrial Ethernet protocol recognition processing module and alarm the message that does not conform to the security policy configuration information. \u3002 The embodiment of the invention can monitor the operation status of various industrial Ethernet protocol devices and improve the safety of the industrial control system.
【技术实现步骤摘要】
一种面向多种工业以太网协议的状态监测系统及监测方法
本专利技术涉及工业自动化
,特别是涉及一种面向多种工业以太网协议的状态监测系统及监测方法。
技术介绍
工业控制系统现场设备通信正逐步由封闭的现场总线形式,向开放的工业以太网形式过渡,同时,工业控制系统的高效化和标准集成化也成为其重要发展方向。工业控制系统通常采用工业通信协议标准进行网络通信。现有的工业通信协议标准通常包括:ModbusTCP(一种由MODICON公司推出的工业通信协议标准);Profinet(一种由PROFIBUS国际组织推出的基于工业以太网技术的自动化总线标准);OPCUA(OPCUnifiedArchitecture,OPC统一架构)等。其中,ModbusTCP和Profinet作为典型的工业以太网标准,得到越来越广泛的应用,而OPCUA作为OPC基金会推出的集成标准架构,在工业控制网络中也将会发挥越来越重要的作用。然而,随着越来越多的工业控制系统产品采用通用的通信协议、通用的硬件以及通用的软件构建,并能够以多种通信方式与互联网等公共网络连接,由此导致的病毒、木马等威胁也正在向工业控制系统扩散,如果不能有效地对工业控制系统的通信状态进行监测,将会影响工业控制系统的安全性。
技术实现思路
本专利技术实施例的目的在于提供一种面向多种工业以太网协议的状态监测系统及监测方法,以提高工业控制系统的安全性。具体技术方案如下:第一方面,本专利技术实施例提供了一种面向多种工业以太网协议的状态监测系统,所述系统包括:工业以太网安全策略配置模块,工业以太网协议识别处理模块,以及工业以太网报警生成模块;其...
【技术保护点】
1.一种面向多种工业以太网协议的状态监测系统,其特征在于,所述系统包括:工业以太网安全策略配置模块,工业以太网协议识别处理模块,以及工业以太网报警生成模块;其中,所述工业以太网安全策略配置模块,用于存储安全策略配置信息;所述安全策略配置信息中包括:设备物理信息相关配置信息,设备相互关系相关配置信息,以及工艺相关配置信息;所述设备物理信息相关配置信息中包括:设备名称,设备媒体访问控制MAC地址,设备网络协议IP地址,设备端口号;所述设备相互关系相关配置信息中包括:MAC地址白名单信息,IP地址白名单信息,IP地址与MAC地址绑定信息,网络负载信息;其中,所述网络负载信息中包括:每秒访问次数限制信息以及网络带宽信息;所述工艺相关配置信息中包括:设备关键数据的上限信息,设备关键数据的下限信息,数据间的相互关系信息;所述工业以太网协议识别处理模块,用于对获取的基于工业以太网协议的报文进行解析,并根据所述工业以太网安全策略配置模块中存储的所述安全策略配置信息,对解析得到的所述报文中的配置信息进行处理;所述工业以太网报警生成模块,用于基于所述工业以太网协议识别处理模块的处理结果,对不符合所述安全策...
【技术特征摘要】
1.一种面向多种工业以太网协议的状态监测系统,其特征在于,所述系统包括:工业以太网安全策略配置模块,工业以太网协议识别处理模块,以及工业以太网报警生成模块;其中,所述工业以太网安全策略配置模块,用于存储安全策略配置信息;所述安全策略配置信息中包括:设备物理信息相关配置信息,设备相互关系相关配置信息,以及工艺相关配置信息;所述设备物理信息相关配置信息中包括:设备名称,设备媒体访问控制MAC地址,设备网络协议IP地址,设备端口号;所述设备相互关系相关配置信息中包括:MAC地址白名单信息,IP地址白名单信息,IP地址与MAC地址绑定信息,网络负载信息;其中,所述网络负载信息中包括:每秒访问次数限制信息以及网络带宽信息;所述工艺相关配置信息中包括:设备关键数据的上限信息,设备关键数据的下限信息,数据间的相互关系信息;所述工业以太网协议识别处理模块,用于对获取的基于工业以太网协议的报文进行解析,并根据所述工业以太网安全策略配置模块中存储的所述安全策略配置信息,对解析得到的所述报文中的配置信息进行处理;所述工业以太网报警生成模块,用于基于所述工业以太网协议识别处理模块的处理结果,对不符合所述安全策略配置信息的报文进行报警。2.根据权利要求1所述的系统,其特征在于,所述工业以太网协议识别处理模块,包括:设备相互关系识别处理子模块,ModbusTCP协议识别处理子模块,Profinet协议识别处理子模块,OPCUA协议识别处理子模块,以及额外网络协议识别处理子模块;其中,所述设备相互关系识别处理子模块,用于基于报文发送设备的物理信息加载所述设备物理信息相关配置信息,以及对解析得到的所述报文中的设备相互关系信息进行处理;所述ModbusTCP协议识别处理子模块,用于判断从ModbusTCP协议报文中解析得到的工艺关系配置信息,是否与所述安全策略配置信息中的工艺相关配置信息相符;所述Profinet协议识别处理子模块,用于判断从Profinet协议报文中解析得到的工艺关系配置信息,是否与所述安全策略配置信息中的工艺相关配置信息相符;所述OPCUA协议识别处理子模块,用于判断从OPCUA协议报文中解析得到的工艺关系配置信息,是否与所述安全策略配置信息中的工艺相关配置信息相符;所述额外网络协议识别处理子模块,用于判断从额外网络协议的报文中解析得到的工艺关系配置信息,是否与所述安全策略配置信息中的工艺相关配置信息相符;所述额外网络协议为:除所述ModbusTCP协议、所述Profinet协议和所述OPCUA协议外的网络协议。3.根据权利要求2所述的系统,其特征在于,所述设备相互关系识别处理子模块,具体用于:根据所述安全策略配置信息中的所述设备物理信息相关配置信息,识别所述报文的发送设备。4.根据权利要求1所述的系统,其特征在于,所述工业以太网报警生成模块,包括:报警信息生成子模块,远程报警子模块,以及报警报告生成子模块;其中,所述报警信息生成子模块,用于生成报警时间,报警设备名称,报警级别,报警内容以...
【专利技术属性】
技术研发人员:王进,韩丹涛,赵艳领,何跃鹰,摆亮,刘丹,
申请(专利权)人:国家计算机网络与信息安全管理中心,机械工业仪器仪表综合技术经济研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。