一种面向工业控制网络的数据防篡改检测系统及方法技术方案

本发明专利技术提供一种面向工业控制网络的数据防篡改检测及方法。本发明专利技术的技术方案为：基于第一目标数据获取模块获取目标上位机收发的通信数据对应的五元组数据和数据指纹，基于第二目标数据获取模块获取目标下位机收发的通信数据对应的五元组数据和数据指纹，基于防篡改检测模块对所对应的五元组数据相同的两个数据指纹进行比对，以实现通信数据的防篡改检测。根据本发明专利技术，能够有效地解决现有工业控制网络的安全防护方式因侧重通信过程检测而无法实现通信数据的防篡改检测的问题，以及有效地规避现有工业控制网络的安全防护方式因需要对工业控制网络进行软件系统升级或者硬件设备改造而可能影响系统后续稳定运行的问题。设备改造而可能影响系统后续稳定运行的问题。设备改造而可能影响系统后续稳定运行的问题。

【技术实现步骤摘要】
一种面向工业控制网络的数据防篡改检测系统及方法


[0001]本专利技术属于工业控制网络安全领域，更具体地，涉及一种面向工业控制网络的数据防篡改检测系统及方法。

技术介绍

[0002]随着计算机和网络通信技术在工业控制系统中的广泛应用，工业控制系统的网络安全问题日益凸显。为了加强工业控制系统的安全管理，防范黑客及恶意代码等对工业控制系统中的攻击侵害，保障工业控制系统的安全稳定运行，现有的工业控制网络通常均采取网络安全防护措施。
[0003]现有工业控制网络的安全防护方式主要包括以下两种：
[0004]方式一、在工业控制网络环境内部署网络安全防护设备，例如工控防火墙、终端安全准入系统和入侵防御系统等。然而，这些网络安全防护设备虽然能够在一定程度上起到网络安全防护和异常入侵检测的作用，但是其原理均为根据预定的安全策略规则对通信过程进行安全检测，无法从通信结果的角度上判断通信是否存在问题，例如通信数据是否在传输的过程中被篡改。除此之外，上述网络安全防护设备还存在一定的误报率和漏报率，且其误报率和漏报率均与工业控制网络的复杂程度呈正相关。
[0005]方式二、数据加密传输，具体为升级工业控制系统，将工业控制系统的明文传输控制协议升级为加密传输控制协议；或者在工业控制系统的上位机与下位机之间串行部署加解密通信网关。然而，无论是软件系统的升级还是硬件设备的部署均会导致工业控制系统暂停运行，从而造成相应的经济损失。与此同时，升级后的软件系统以及新增部署的硬件设备的不稳定性可能会给工业控制系统带来未知的风险，影响工业控制系统的后续稳定运行。

技术实现思路

[0006]本专利技术的目的在于解决现有工业控制网络的安全防护方式因侧重通信过程检测而无法实现通信数据的防篡改检测，或者，因需要对工业控制网络进行软件系统升级或者硬件设备改造而可能影响系统后续稳定运行的问题。
[0007]为了实现上述目的，本专利技术提供一种面向工业控制网络的数据防篡改检测系统及方法。
[0008]根据本专利技术的第一方面，提供一种面向工业控制网络的数据防篡改检测系统，该数据防篡改检测系统包括以下功能模块：
[0009]第一目标数据获取模块，用于获取目标上位机发送和接收的工控通信数据报文，获取该工控通信数据报文包含的五元组数据以及该工控通信数据报文包含的通信数据对应的数据指纹，并对获取的五元组数据和数据指纹进行关联上传；
[0010]第二目标数据获取模块，用于获取目标下位机发送和接收的工控通信数据报文，获取该工控通信数据报文包含的五元组数据以及该工控通信数据报文包含的通信数据对
应的数据指纹，并对获取的五元组数据和数据指纹进行关联上传，
[0011]所述目标下位机与所述目标上位机之间具有通信关系；
[0012]防篡改检测模块，用于接收上传的五元组数据和数据指纹，并比对所关联的五元组数据相同的两个数据指纹是否一致，若否，则判定相应通信数据被篡改。
[0013]作为可选的是，所述第一目标数据获取模块部署于所述目标上位机的下游交换机；
[0014]所述第一目标数据获取模块进一步包括以下功能子模块：
[0015]第一通信数据报文采集子模块，用于基于所述下游交换机实时采集所述目标上位机发送和接收的通信数据报文；
[0016]第一工控通信数据报文识别子模块，用于识别并获取采集到的通信数据报文之中的工控通信数据报文；
[0017]第一数据报文解析子模块，用于对获取到的工控通信数据报文进行解析，以获取相应的五元组数据和通信数据；
[0018]第一数据指纹生成子模块，用于采用预定的哈希算法对获取到的通信数据进行加密，以获取相应的数据指纹；
[0019]第一数据关联上传子模块，用于对获取到的具有对应关系的五元组数据和数据指纹进行关联上传。
[0020]作为可选的是，所述下游交换机用于对其上传和下发的通信数据报文进行镜像，并将镜像得到的通信数据报文发送至所述第一通信数据报文采集子模块；
[0021]和/或，
[0022]第一数据关联上传子模块用于将具有对应关系的五元组数据和数据指纹以键值对的形式进行上传。
[0023]作为可选的是，所述第二目标数据获取模块部署于所述目标下位机的上游交换机；
[0024]所述第二目标数据获取模块进一步包括以下功能子模块：
[0025]第二通信数据报文采集子模块，用于基于所述上游交换机实时采集所述目标下位机发送和接收的通信数据报文；
[0026]第二工控通信数据报文识别子模块，用于识别并获取采集到的通信数据报文之中的工控通信数据报文；
[0027]第二数据报文解析子模块，用于对获取到的工控通信数据报文进行解析，以获取相应的五元组数据和通信数据；
[0028]第二数据指纹生成子模块，用于采用预定的哈希算法对获取到的通信数据进行加密，以获取相应的数据指纹；
[0029]第二数据关联上传子模块，用于对获取到的具有对应关系的五元组数据和数据指纹进行关联上传。
[0030]作为可选的是，所述上游交换机用于对其上传和下发的通信数据报文进行镜像，并将镜像得到的通信数据报文发送至所述第二通信数据报文采集子模块；
[0031]和/或，
[0032]第二数据关联上传子模块用于将具有对应关系的五元组数据和数据指纹以键值
对的形式进行上传。
[0033]作为可选的是，所述防篡改检测模块部署于所述目标上位机的下游交换机；
[0034]所述防篡改检测模块进一步包括以下功能子模块：
[0035]目标数据接收子模块，用于接收上传的相关联的五元组数据和数据指纹；
[0036]目标数据匹配及存储子模块，用于响应于当前接收的数据指纹，判断是否存在在先接收的待比对数据指纹，若否，临时存储当前接收的数据指纹及其关联的五元组数据，
[0037]所述待比对数据指纹为与当前接收的数据指纹关联相同的五元组数据的数据指纹；
[0038]数据指纹比对子模块，用于当存在在先接收的待比对数据指纹时，比对待比对数据指纹与当前接收的数据指纹是否一致，若是，则判定相应通信数据未被篡改，若否，则判定相应通信数据被篡改。
[0039]作为可选的是，所述第一目标数据获取模块进一步包括以下功能子模块：
[0040]第一接入配置子模块，用于将所述第一目标数据获取模块配置为接入所述防篡改检测模块；
[0041]和/或，
[0042]所述第二目标数据获取模块进一步包括以下功能子模块：
[0043]第二接入配置子模块，用于将所述第二目标数据获取模块配置为接入所述防篡改检测模块。
[0044]根据本专利技术的第二方面，提供一种面向工业控制网络的数据防篡改检测方法，该数据防篡改检测方法包括以下步骤：
[0045]获取目标上位机发送和接收的工控通信数据报文，获取该工控通信数据报文包含的五元组数据以及该工控通信数据报文包含的通信数据对应本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向工业控制网络的数据防篡改检测系统，其特征在于，包括：第一目标数据获取模块，用于获取目标上位机发送和接收的工控通信数据报文，获取该工控通信数据报文包含的五元组数据以及该工控通信数据报文包含的通信数据对应的数据指纹，并对获取的五元组数据和数据指纹进行关联上传；第二目标数据获取模块，用于获取目标下位机发送和接收的工控通信数据报文，获取该工控通信数据报文包含的五元组数据以及该工控通信数据报文包含的通信数据对应的数据指纹，并对获取的五元组数据和数据指纹进行关联上传，所述目标下位机与所述目标上位机之间具有通信关系；防篡改检测模块，用于接收上传的五元组数据和数据指纹，并比对所关联的五元组数据相同的两个数据指纹是否一致，若否，则判定相应通信数据被篡改。2.根据权利要求1所述的面向工业控制网络的数据防篡改检测系统，其特征在于，所述第一目标数据获取模块部署于所述目标上位机的下游交换机；所述第一目标数据获取模块包括：第一通信数据报文采集子模块，用于基于所述下游交换机实时采集所述目标上位机发送和接收的通信数据报文；第一工控通信数据报文识别子模块，用于识别并获取采集到的通信数据报文之中的工控通信数据报文；第一数据报文解析子模块，用于对获取到的工控通信数据报文进行解析，以获取相应的五元组数据和通信数据；第一数据指纹生成子模块，用于采用预定的哈希算法对获取到的通信数据进行加密，以获取相应的数据指纹；第一数据关联上传子模块，用于对获取到的具有对应关系的五元组数据和数据指纹进行关联上传。3.根据权利要求2所述的面向工业控制网络的数据防篡改检测系统，其特征在于，所述下游交换机用于对其上传和下发的通信数据报文进行镜像，并将镜像得到的通信数据报文发送至所述第一通信数据报文采集子模块；和/或，第一数据关联上传子模块用于将具有对应关系的五元组数据和数据指纹以键值对的形式进行上传。4.根据权利要求1所述的面向工业控制网络的数据防篡改检测系统，其特征在于，所述第二目标数据获取模块部署于所述目标下位机的上游交换机；所述第二目标数据获取模块包括：第二通信数据报文采集子模块，用于基于所述上游交换机实时采集所述目标下位机发送和接收的通信数据报文；第二工控通信数据报文识别子模块，用于识别并获取采集到的通信数据报文之中的工控通信数据报文；第二数据报文解析子模块，用于对获取到的工控通信数据报文进行解析，以获取相应的五元组数据和通信数据；第二数据指纹生成子模块，用于采用预定的哈希算法对获取到的通信数据进行加密，
以获取相应的数据指纹；第二数据关联上传子模块，用于对获取到的具有对应关系的五元组数据和数据指纹进行关联上传。5.根据权利要求4所述的面向工业控制网络的数据防篡改检测系统，其特征在于，所述上游交换机用于对其上传和下发的通信数据报文进行镜像，并将镜像得到的通信数据报文发送至所述第二通信数据报文采集子模块；和/或，第二数据关联上传子模块用于将具有对应关系的五元组数据和数据指纹以键值对的形式进行上传。6.根据权利要求1所述的面向工业控制网络的数据防篡改检测系统，其特征在于，所述防篡改检测模块部署于所述目标上位机的下游交换机；所述防篡改检测模块包括：目标数据接收子模块，用于接收上传的相关联的五元组数据和数据指纹；目标数据匹配及存储子模块，用于响应于当前接收的数据指纹，判断是否存在在先接收的待比对数据指纹...

【专利技术属性】
技术研发人员：顾铠羟，邓然，王永飞，
申请(专利权)人：中信数字创新上海科技有限公司，
类型：发明
国别省市：