一种基于通信安全的控制系统技术方案

本发明专利技术公开了一种基于通信安全的控制系统，涉及控制系统技术领域，包括相互通信的云平台服务模组、人机交互模组、主终端模组、远程终端模组和现场装置模组，云平台服务模组和人机交互模组均电性连接主终端模组、远程终端模组和现场装置模组，云平台服务模组电性连接有云端通信安全模组，云端通信安全模组包括用于防御外部通信攻击的第一攻击防御模块和用于识别通信漏洞的第一内部防御模块，人机交互模组电性连接有设备通信安全模组，设备通信安全模组包括用于防御外部通信攻击的第二攻击防御模块和用于识别通信漏洞的第二内部防御模块。本发明专利技术具有通信防御效果好和安全性高的优点。点。点。

【技术实现步骤摘要】
一种基于通信安全的控制系统


[0001]本专利技术涉及控制系统
，具体涉及一种基于通信安全的控制系统。

技术介绍

[0002]在过去几十年里，为了方便维护和管理，控制系统连接了越来越多的组件和设备，但是随着更加数字化、网络化和智能化，导致现有控制系统中存在很多通信安全威胁，同时，许多工作人员在家办公，他们需要使用家庭计算机通过VPN连接到控制系统，因此增加了对控制系统安全性的需求，因此控制系统中通信安全的检测手段和防御方案，是本领域技术人员的研究方向。

技术实现思路

[0003]针对现有技术中的缺陷，本专利技术提供一种基于通信安全的控制系统。
[0004]一种基于通信安全的控制系统，包括相互通信的云平台服务模组、人机交互模组、主终端模组、远程终端模组和现场装置模组，所述现场装置模组用于将作业过程中实时数据传输至主终端模组，所述主终端模组用于与远程终端模组交换实时数据和控制信号，所述远程终端模组用于向现场装置模组发送控制信号，所述人机交互模组用于实时显示实时数据并完成操作过程，所述云平台服务模组用于存储实时数据；其中，所述云平台服务模组和所述人机交互模组均电性连接所述主终端模组、远程终端模组和现场装置模组，所述云平台服务模组电性连接有云端通信安全模组，所述云端通信安全模组包括用于防御外部通信攻击的第一攻击防御模块和用于识别通信漏洞的第一内部防御模块；所述人机交互模组电性连接有设备通信安全模组，所述设备通信安全模组包括用于防御外部通信攻击的第二攻击防御模块和用于识别通信漏洞的第二内部防御模块。整个控制系统中，云平台服务模组器会通过软件程序实时收集来自众多传感器、执行器、远程终端单元和实时的控制信息等,例如CPU的温度、风扇的转速、门阀的位置等，人机交互模组对设备进行配置和操作,包括设备的运行、停止、更新、排除故障等，主终端模组负责从远程终端模组收集数据并传输到人机交互模组或云平台服务模组，远程终端模组通过现场总线或无线网络连接到传感器和执行器来收集实时信息,并操作和控制现场装置模组，现场装置模组是整个控制系统的数据来源，主要包括传感器和执行器，其中，通过云端通信安全模组对云平台服务模组进行通信安全防御，具体通过第一攻击防御模块防御外部通信攻击，通过第一内部防御模块来识别通信漏洞，从而全面地对云端通信安全模组的通信过程进行安全防御，同样的，通过人机交互模组对设备通信安全模组进行通信安全防御，具体通过第二攻击防御模块防御外部通信攻击，通过第二内部防御模块来识别通信漏洞，从而全面地对人机交互模组的通信过程进行安全防御，而整个控制系统的通信过程是围绕云平台服务模组和人机交互模组展开，因此能够大大提高整个控制系统的通信安全。
[0005]优选地，第一攻击防御模块包括API接口防御单元、数据泄露防御单元、服务劫持防御单元和账号盗用防御单元。针对整个云平台服务模组攻击手段有安全策略攻击、漏洞
攻击和恶意软件信息攻击等，而API接口防御单元、数据泄露防御单元、服务劫持防御单元和账号盗用防御单元能够分别对API接口攻击、数据泄露攻击、服务劫持攻击和账号盗用攻击等进行有效防御。
[0006]优选地，第一内部防御模块包括雾计算防御单元、蜜罐防御单元、防火墙检测防御单元和区块链数据备份单元。雾计算防御单元是一种水平的系统架构，将计算、存储、控制和网络功能分布到更接近用户的地方，雾节点可以放置在本地，当数据量特别大时，雾节点也可以作为外部云存储之间的中间件，对存储在云中的数据进行加、解密，可以缓解传统云计算模型中由于数据传输造成的高延迟问题，同时也有益于保持隐私数据及安全敏感数据的机密性；蜜罐可以收集恶意软件的有效载荷，可以帮助更好地理解通信漏洞的出现理由和出现策略；防火墙检测防御单元能够进行集中式HostIDS配置和管理、日志收集、系统审计、事件触发、监控分析以及日志和警报生成，充分提高通信安全防御能力；区块链数据备份单元能够采用高效的复制机制实现数据备份，使数据在遭遇漏洞后能够恢复，充分保证数据的完整性，提高防御性能。
[0007]优选地，第二攻击防御模块包括入侵防御单元、操作系统防御单元、应用程序防御单元和数据采集防御单元。入侵防御单元能够对直接与传感器和执行器交互的通信过程进行有效防御，可以通过反编译工具实现，从网络通信中捕获并重构攻击代码；操作系统防御单元和应用程序防御单元能够防止被勒索软件攻击后恶意激活操作系统和应用程序；数据采集防御单元能够避免各种数据采集终端比如传感器的可用性和完整性受损，防御基于数据自动化采集通信过程中产生的重大风险，比如拦截传感器测量值等。
[0008]优选地，第二内部防御模块包括通信协议防御单元、学习算法防御单元和流量与日志防御单元。通信协议防御单元利用特定应用程序操作的周期性，测量协议不同阶段执行中的偏差，以检测在工业控制系统体系结构中的各层次上的异常事件；学习算法防御单元利用各种及其学习算法来挖掘识别异常行为，比如利用用递归神经网络对工业控制系统的通信流量进行建模和预测,并用于通信异常检测；流量与日志防御单元可以通过内部通信流量和通信日志记录的信息分析评估恶意攻击产生的各种内部漏洞，并提出防御建议。
[0009]优选地，现场装置模组连接有装置硬件安全模组。装置硬件安全模组主要防御通信过程中直接对现场装置模组进行恶意修改。
[0010]优选地，装置硬件安全模组包括硬件漏洞防御模块、PLC分析防御模块和硬件安全更新模块。硬件漏洞防御模块主要通过防御输出模块将控制命令发送到物理设备执行器的通信过程之间被修改控制命令，最大限度地防止现场装置模组被破坏，防御现场装置模组大规模故障；PLC分析防御模块主要通过静态分析方法对现场装置模组分解多个独立文件并得到所有漏洞，比如通过执行静态程序分析通信事件和通信结果之间的因果关系，生成事件逻辑序列，可用于检测自动隐藏的违规漏洞。
[0011]优选地，远程终端模组包括总线模块和无线网络模块。远程终端模组可以通过总线模块和无线网络模块，对现场装置模组进行操作和控制。
[0012]优选地，现场装置模组包括传感器模块和执行器模块。传感器模块和执行器模块分别可以收集设备状态的数据和执行控制命令。
[0013]优选地，人机交互模组包括计算机模块和控制终端模块。
[0014]本专利技术的有益效果体现在：
[0015]本专利技术中，云平台服务模组器会通过软件程序实时收集来自众多传感器、执行器、远程终端单元和实时的控制信息等,例如CPU的温度、风扇的转速、门阀的位置等，人机交互模组对设备进行配置和操作,包括设备的运行、停止、更新、排除故障等，主终端模组负责从远程终端模组收集数据并传输到人机交互模组或云平台服务模组，远程终端模组通过现场总线或无线网络连接到传感器和执行器来收集实时信息,并操作和控制现场装置模组，现场装置模组是整个控制系统的数据来源，主要包括传感器和执行器，其中，通过云端通信安全模组对云平台服务模组进行通信安全防御，具体通过第一攻击防御模块防御外部通信攻击，通过第一内部防御模块来识别通信漏洞，从而全面地对本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于通信安全的控制系统，其特征在于，包括云平台服务模组、人机交互模组、主终端模组、远程终端模组和现场装置模组，所述现场装置模组用于将作业过程中实时数据传输至主终端模组，所述主终端模组用于与远程终端模组交换实时数据和控制信号，所述远程终端模组用于向现场装置模组发送控制信号，所述人机交互模组用于实时显示实时数据并完成操作过程，所述云平台服务模组用于存储实时数据；其中，所述云平台服务模组和所述人机交互模组均电性连接所述主终端模组、远程终端模组和现场装置模组；所述云平台服务模组电性连接有云端通信安全模组，所述云端通信安全模组包括用于防御外部通信攻击的第一攻击防御模块和用于识别通信漏洞的第一内部防御模块；所述人机交互模组电性连接有设备通信安全模组，所述设备通信安全模组包括用于防御外部通信攻击的第二攻击防御模块和用于识别通信漏洞的第二内部防御模块。2.根据权利要求1所述的基于通信安全的控制系统，其特征在于，所述第一攻击防御模块包括API接口防御单元、数据泄露防御单元、服务劫持防御单元和账号盗用防御单元。3.根据权利要求1所述的基于通信安全的控制系统，其特...

【专利技术属性】
技术研发人员：洪文雅，
申请(专利权)人：科威纳工业自动化有限公司，
类型：发明
国别省市：