一种针对变频矢量控制装置的工业信息安全防护系统制造方法及图纸

本发明专利技术提供一种针对变频矢量控制装置的工业信息安全防护系统，能够保证变频矢量控制装置的安全。所述系统包括：工业协议转换网关，用于获取EtherCAT总线数据，并重新封装成TCP协议数据包发送至入侵检测引擎，其中，所述EtherCAT总线数据包括：上位机下发的控制指令和变频矢量控制装置上传的参数；入侵检测引擎，用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突，若是，则判定为入侵行为，阻断所述TCP协议数据包并报警。本发明专利技术涉及网络信息安全技术领域。

An Industrial Information Security Protection System for Inverter Vector Control Device

The invention provides an industrial information security protection system for the frequency conversion vector control device, which can ensure the safety of the frequency conversion vector control device. The system includes: an industrial protocol conversion gateway for acquiring EtherCAT bus data and re-encapsulating the TCP protocol data packet to send to the intrusion detection engine, in which the EtherCAT bus data includes: control instructions issued by the host computer and parameters uploaded by the frequency vector control device; and an intrusion detection engine for judging whether the TCP protocol data packet is pre-programmed or not. Rules in the dynamic rule base conflict. If so, it is determined as an intrusion, blocking the TCP protocol packet and alarming. The invention relates to the technical field of network information security.

【技术实现步骤摘要】
一种针对变频矢量控制装置的工业信息安全防护系统
本专利技术涉及网络信息安全
，特别是指一种针对变频矢量控制装置的工业信息安全防护系统。
技术介绍
2010年，针对工业控制系统的“震网”病毒通过U盘入侵了伊朗布什尔核电站控制系统，使受控离心电机的转速发生剧烈变化，导致机体受损，核设施不能正常运行。随着其衍生病毒的不断涌现，这种针对特定国家的关键基础设施或者特定行业的工控系统的敏感信息获取与篡改，甚至摧毁关键基础设施的正常运行的网络攻击行为，为各国的工业基础设施带来了巨大隐患，引起了各国的高度重视。在当今技术高速发展，工业电机矢量控制系统结构日趋复杂，攻击手段不断翻新，尤其出现了高级可持续威胁的信息安全大背景下，想要把所有的攻击都阻拦在防护之外，已经是不可能的事情。因此，要保证工业电机控制系统的安全，必须采用纵深防御的安全理念，以被保护的工业控制系统为核心，构建起多层级的纵深防御体系。2016年初，绿盟梳理了应急响应流程并建立了相应的支撑系统，在2016年上半年出现的高危漏洞应急响应中基本达到了小时级的要求。百通赫思曼研发的工业交换机包含DoS防护，欺骗识别，NAT，LDAP，及VPN等功能。使用IPSec和L2TP技术及最新的OpenVPN，可在工业网络和远程设备之间创建加密的VPN通道。ORing公司推出的工业安全交换机拥有基于IP和MAC地址绑定的访问控制机制、RADIUS安全认证、SNMPv3加密认证和连接安全等，可最大化防御黑客攻击。但是目前的工业信息主动安全防御体系并没有针对大型变频矢量控制装置的完整防御策略，对异步电机的电机参数耦合性以及电机控制指令合理性都缺乏相应的针对性。
技术实现思路
本专利技术要解决的技术问题是提供一种针对变频矢量控制装置的工业信息安全防护系统，以解决现有技术所存在的没有针对变频矢量控制装置的防御策略的问题。为解决上述技术问题，本专利技术实施例提供一种针对变频矢量控制装置的工业信息安全防护系统，包括：工业协议转换网关，用于获取EtherCAT总线数据，并重新封装成TCP协议数据包发送至入侵检测引擎，其中，所述EtherCAT总线数据包括：上位机下发的控制指令和变频矢量控制装置上传的参数；入侵检测引擎，用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突，若是，则判定为入侵行为，阻断所述TCP协议数据包并报警。进一步地，所述系统还包括：镜像复制设备，用于将EtherCAT总线数据复制到所述工业协议转换网关中。进一步地，所述EtherCAT总线数据还包括：垃圾包；所述工业协议转换网关包括：异常检测模块，对获取的EtherCAT总线数据进行分类，根据分类结果，丢弃垃圾包，其中，分类结果包括：有效包和垃圾包，所述有效包包括：上位机下发的控制指令包和变频矢量控制装置上传的参数包；协议转换模块，用于对保留的有效包进行帧头、数据、帧尾拆解操作，并将有效包中的数据提取出来重新封装成TCP协议数据包。进一步地，所述系统还包括：规则库生成模块，用于采用有限状态集模型预测控制技术，构建异步电机转子磁场定向控制策略的物理模型；根据构建的异步电机转子磁场定向控制策略的物理模型，确定针对电机控制的过程参数裕量和电机控制指令；根据确定的针对电机控制的过程参数裕量和电机控制指令，生成动态规则库。进一步地，所述入侵检测引擎包括：流获取模块，用于将TCP协议数据包拆包处理后传递的数据流以队列的存储方式存入缓存中；流操作模块，用于逐条查找缓存队列中是否有新的数据流，若有，则判断所述新的数据流是否与预先生成的动态规则库中的规则相冲突，若是，则判定为入侵行为，阻断所述新的数据流。进一步地，所述流操作模块，用于根据所述TCP协议数据包中的目的地址，判断获取的EtherCAT总线数据是上位机下发的控制指令或变频矢量控制装置上传的参数；若是上位机下发的控制指令，则所述新的数据流与预先生成的动态规则库中的电机指令规则进行匹配，若匹配失败，则阻断所述新的数据流；若是变频矢量控制装置上传的参数，则所述新的数据流与预先生成的动态规则库中的电机模型参数进行比较，若超过预设的裕度，则阻断所述新的数据流。进一步地，所述入侵检测引擎还包括：流拒绝模块，用于对通信链路中的IPv4TCP、IPv6TCP、IPv4ICMP以及IPv6ICMP协议进行主动应答来拒绝被检测到的危险数据包。进一步地，所述入侵检测引擎还包括：日志输出模块，用于为被检测到的入侵攻击或流拒绝响应，输出相应的Json格式的日志。进一步地，所述系统还包括：身份认证模块，用于获取用户的登录信息，利用加密设备对获取的用户登录信息进行加密，将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对，若一致，则通过身份认证，否则，身份认证失败。进一步地，所述身份认证模块，具体用于获取用户的登录信息，判断获取的用户登录信息是否包含在预先确定的安全账户管理数据库中，若包含在预先确定的安全账户管理数据库中，则判断是否有加密设备，若有，则向所述加密设备发送认证请求，其中，所述认证请求包括：用户登录信息，利用所述加密设备对接收到的认证请求中的用户登录信息进行加密，将加密后的用户登录信息与所述加密设备预先绑定的用户密文信息进行比对，若一致，则身份认证通过，否则，则弹出对话框提示身份认证失败。本专利技术的上述技术方案的有益效果如下：上述方案中，通过工业协议转换网关获取EtherCAT总线数据，并将其重新封装成TCP协议数据包；入侵检测引擎判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突，若是，则判定为入侵行为，阻断所述TCP协议数据包并报警；这样，利用工业协议转换网关将工业用协议EtherCAT转换为应用更广泛的TCP协议，方便了将变频矢量控制装置的参数信息与互联网的对接，便于维护；入侵检测引擎利用预先生成的动态规则库对工业总线EtherCAT上的总线数据进行入侵检测，以便对工业总线通信链路上的工业网络攻击(例如，拒绝服务攻击、中间人攻击、重放攻击、欺骗攻击等)做出实时响应，从而保证变频矢量控制装置的安全。附图说明图1为本专利技术实施例提供的针对变频矢量控制装置的工业信息安全防护系统的结构示意图；图2为本专利技术实施例提供的针对变频矢量控制装置的工业信息安全防护系统详细结构示意图；图3为本专利技术实施例提供的工业协议转换网关的结构示意图；图4为本专利技术实施例提供的动态规则库建立流程示意图；图5为本专利技术实施例提供的流操作线程示意图；图6为本专利技术实施例提供的入侵检测引擎工作流程示意图；图7为本专利技术实施例提供的身份认证模块的工作流程示意图。具体实施方式为使本专利技术要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。本专利技术针对现有的没有针对变频矢量控制装置的防御策略的问题，提供一种针对变频矢量控制装置的工业信息安全防护系统。如图1所示，本专利技术实施例提供的针对变频矢量控制装置的工业信息安全防护系统，包括：工业协议转换网关11，用于获取EtherCAT总线数据，并重新封装成TCP协议数据包发送至入侵检测引擎12，其中，所述EtherCAT总线数据包括：上位机下发的控制指令和变频矢量控制装置上传的参数；入侵检测引擎12，用于判断所述TCP协议数据包是本文档来自技高网...

【技术保护点】
1.一种针对变频矢量控制装置的工业信息安全防护系统，其特征在于，包括：工业协议转换网关，用于获取EtherCAT总线数据，并重新封装成TCP协议数据包发送至入侵检测引擎，其中，所述EtherCAT总线数据包括：上位机下发的控制指令和变频矢量控制装置上传的参数；入侵检测引擎，用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突，若是，则判定为入侵行为，阻断所述TCP协议数据包并报警。

【技术特征摘要】
1.一种针对变频矢量控制装置的工业信息安全防护系统，其特征在于，包括：工业协议转换网关，用于获取EtherCAT总线数据，并重新封装成TCP协议数据包发送至入侵检测引擎，其中，所述EtherCAT总线数据包括：上位机下发的控制指令和变频矢量控制装置上传的参数；入侵检测引擎，用于判断所述TCP协议数据包是否与预先生成的动态规则库中的规则相冲突，若是，则判定为入侵行为，阻断所述TCP协议数据包并报警。2.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统，其特征在于，所述系统还包括：镜像复制设备，用于将EtherCAT总线数据复制到所述工业协议转换网关中。3.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统，其特征在于，所述EtherCAT总线数据还包括：垃圾包；所述工业协议转换网关包括：异常检测模块，对获取的EtherCAT总线数据进行分类，根据分类结果，丢弃垃圾包，其中，分类结果包括：有效包和垃圾包，所述有效包包括：上位机下发的控制指令包和变频矢量控制装置上传的参数包；协议转换模块，用于对保留的有效包进行帧头、数据、帧尾拆解操作，并将有效包中的数据提取出来重新封装成TCP协议数据包。4.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统，其特征在于，所述系统还包括：规则库生成模块，用于采用有限状态集模型预测控制技术，构建异步电机转子磁场定向控制策略的物理模型；根据构建的异步电机转子磁场定向控制策略的物理模型，确定针对电机控制的过程参数裕量和电机控制指令；根据确定的针对电机控制的过程参数裕量和电机控制指令，生成动态规则库。5.根据权利要求1所述的针对变频矢量控制装置的工业信息安全防护系统，其特征在于，所述入侵检测引擎包括：流获取模块，用于将TCP协议数据包拆包处理后传递的数据流以队列的存储方式存入缓存中；流操作模块，用于逐条查找缓存队列中是否有新的数据流，若有，则判断所述新的数据流是否与预先生成的动态规则库中的规则相冲突，若是，则判定为入侵行为，阻断所述新的数...

【专利技术属性】
技术研发人员：解仑，曹策，汪世鹏，王志良，王先梅，
申请(专利权)人：北京科技大学，
类型：发明
国别省市：北京,11