本實用新型涉及一種檢測裝置，具體涉及一種具有Bypass功能的ModBus協(xié)議入侵檢測裝置。

背景技術(shù)：

工業(yè)控制系統(tǒng)廣泛應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業(yè)。目前，工業(yè)控制系統(tǒng)廣泛采用了先進(jìn)的信息技術(shù)，開放的軟硬件技術(shù)、協(xié)議標(biāo)準(zhǔn)的應(yīng)用以及工業(yè)控制系統(tǒng)和信息系統(tǒng)的集成使工業(yè)控制系統(tǒng)具備了開放性很高的接口，打通了系統(tǒng)與外界的分隔，因此，工業(yè)控制系統(tǒng)可以受到來自信息系統(tǒng)網(wǎng)絡(luò)攻擊的不良影響。越來越多的案例表明，來自商業(yè)網(wǎng)絡(luò)、因特網(wǎng)以及其它因素導(dǎo)致的信息安全問題正逐漸在工業(yè)控制系統(tǒng)中擴散，直接影響了工業(yè)穩(wěn)定生產(chǎn)及人身安全。

ModBus協(xié)議是一種被廣泛的應(yīng)用于多種工業(yè)控制系統(tǒng)中的通訊協(xié)議，工業(yè)控制中現(xiàn)場采集信號和控制指令常常以明文的形式通過Modbus協(xié)議進(jìn)行傳輸，因此，保證ModBus通訊的安全，具有重大的意義。

目前，工業(yè)控制網(wǎng)絡(luò)常用的安全防護(hù)手段包括工業(yè)防火墻、工業(yè)隔離網(wǎng)閘和入侵檢測裝置等。工業(yè)防火墻和工業(yè)隔離網(wǎng)閘可以提供身份認(rèn)證和訪問控制，檢測并隔離流經(jīng)防護(hù)設(shè)備的異常信息流，阻斷外界對重要設(shè)施的直接訪問，可以極大程度減少系統(tǒng)風(fēng)險，但是這種方法不能防止來自于內(nèi)部的攻擊，例如ModBus寫線圈指令可被利用于帶有危險操作控制命令，將會導(dǎo)致設(shè)備的運行出現(xiàn)異常甚至損壞。入侵檢測裝置將網(wǎng)絡(luò)中捕獲的流量與已知的攻擊特征模式進(jìn)行匹配，識別出攻擊行為，可作為其他安全技術(shù)的有力補充，但是目前的入侵檢測裝置主要是針對標(biāo)準(zhǔn)TCP/IP族的以太網(wǎng)協(xié)議進(jìn)行流量捕獲和檢測。

另外，已有的ModBus協(xié)議入侵檢測方法主要面向ModBus TCP協(xié)議，沒有以RS485/232為主的串行接口，無法實現(xiàn)對ModBus RTU協(xié)議的處理和檢測。更為重要的是，已有的ModBus協(xié)議入侵檢測裝置未考慮信號Bypass功能，由于入侵檢測裝置以串聯(lián)的方式接入網(wǎng)絡(luò)之中，一旦裝置發(fā)生故障或斷電，會導(dǎo)致網(wǎng)絡(luò)中斷，嚴(yán)重影響工控設(shè)備的通信。

技術(shù)實現(xiàn)要素：

本實用新型的目的在于，針對現(xiàn)有技術(shù)中存在的問題，提出一種具有Bypass功能的ModBus協(xié)議入侵檢測裝置，以滿足不同信號類型的ModBus協(xié)議的檢測需要，同時在斷電后網(wǎng)絡(luò)依然暢通，滿足入侵檢測裝置對ModBus接口的全覆蓋且不影響工控設(shè)備正常通信的要求。

為了實現(xiàn)上述目的，本實用新型采用的技術(shù)方案為：

一種具有Bypass功能的ModBus協(xié)議入侵檢測裝置，包括：

主控制模塊，主控制模塊承擔(dān)了系統(tǒng)管理，ModBus協(xié)議報文分析，和異常流量檢測功能；

電源模塊，電源模塊為主控制模塊及其它附屬電路提供電源，并接收看門狗模塊對電源輸出的管理和控制；

Bypass模塊，Bypass模塊用于保證裝置斷電或主控制模塊異常的情況下ModBus信號能正常通過裝置；

ModBus TCP通信模塊，ModBus TCP通信模塊的主要功能是ModBus TCP協(xié)議的數(shù)據(jù)處理和以太網(wǎng)信號傳輸功能；

ModBus RTU通信模塊，ModBus RTU通信模塊的主要功能是ModBus RTU協(xié)議的數(shù)據(jù)處理和RS485信號傳輸功能。

還包括看門狗模塊，看門狗模塊主要實現(xiàn)對主控制模塊運行狀態(tài)的監(jiān)測以及Bypass模塊和電源模塊的管理功能；

擴展存儲模塊，擴展存儲模塊主要用于存儲異常流量特征信息、系統(tǒng)配置、系統(tǒng)日志等信息。

所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接，所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接，所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接，所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接，所述電源模塊分別與看門狗模塊和主控制模塊相連接，所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴展存儲模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。

所述ModBus TCP通信模塊包括兩個以太網(wǎng)接口，分別為ModBus TCP第一接口和ModBus TCP第二接口；所述ModBus RTU通信模塊包括2個RS485接口，分別為ModBus RTU第一接口和ModBus RTU第二接口。

所述Bypass模塊包括一個邏輯與非門電路和一個繼電器開關(guān)電路，邏輯與非門電路分別接收來自于主處理模塊輸出信號和看門狗模塊輸出信號，控制繼電器開關(guān)電路的多個繼電器開合；繼電器開關(guān)位于ModBus TCP或RTU的第一接口和第二接口之間，實現(xiàn)ModBus信號在Bypass功能開啟時ModBus TCP或RTU第一接口與第二接口之間的信號互通。

所述主控制模塊與擴展存儲模塊通過系統(tǒng)總線相連接。

所述電源模塊上還設(shè)置有運行狀態(tài)燈。

由于采用了上述技術(shù)方案，本實用新型的有益效果是：

本實用新型能夠滿足不同信號類型的ModBus協(xié)議的檢測需要，同時在斷電后網(wǎng)絡(luò)依然暢通，滿足入侵檢測裝置對ModBus接口的全覆蓋且不影響工控設(shè)備正常通信的要求，可以同時支持ModBus TCP協(xié)議和ModBus RTU協(xié)議的入侵檢測。本實用新型支持以太網(wǎng)接口和RS485接口兩種接口類型，覆蓋ModBus TCP協(xié)議和ModBus RTU協(xié)議，通用性更強。同時，本實用新型所述的檢測裝置具有Bypass功能，允許裝置斷電或故障的情況下不影響ModBus通信的正常進(jìn)行，保證ModBus通信不受裝置故障的影響。因此，本實用新型比現(xiàn)有的入侵檢測裝置更加適用于工業(yè)控制環(huán)境中，減輕入侵檢測裝置對工業(yè)控制系統(tǒng)ModBus通信實時性和可靠性的不良影響。

附圖說明

圖1是本實用新型所述的檢測裝置外觀示意圖；

圖2是本實用新型結(jié)構(gòu)示意圖；

圖3是本Bypass模塊內(nèi)部電路示意圖。

具體實施方式

下面結(jié)合附圖，對本實用新型做詳細(xì)的說明。

實施例1

作為本實用新型的一種較佳實施例，參照說明書附圖1、附圖2和附圖3，本實施例公開了一種具有Bypass功能的ModBus協(xié)議入侵檢測裝置，本實施例包括：

一種具有Bypass功能的ModBus協(xié)議入侵檢測裝置，包括：

主控制模塊，主控制模塊承擔(dān)了系統(tǒng)管理，ModBus協(xié)議報文分析，和異常流量檢測功能；

電源模塊，電源模塊為主控制模塊及其它附屬電路提供電源，并接收看門狗模塊對電源輸出的管理和控制；

Bypass模塊，Bypass模塊用于保證裝置斷電或主控制模塊異常的情況下ModBus信號能正常通過裝置；

ModBus TCP通信模塊，ModBus TCP通信模塊的主要功能是ModBus TCP協(xié)議的數(shù)據(jù)處理和以太網(wǎng)信號傳輸功能；

ModBus RTU通信模塊，ModBus RTU通信模塊的主要功能是ModBus RTU協(xié)議的數(shù)據(jù)處理和RS485信號傳輸功能。

還包括看門狗模塊，看門狗模塊主要實現(xiàn)對主控制模塊運行狀態(tài)的監(jiān)測以及Bypass模塊和電源模塊的管理功能；

擴展存儲模塊，擴展存儲模塊主要用于存儲異常流量特征信息、系統(tǒng)配置、系統(tǒng)日志等信息。

所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接，所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接，所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接，所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接，所述電源模塊分別與看門狗模塊和主控制模塊相連接，所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴展存儲模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。

所述ModBus TCP通信模塊和ModBus RTU通信模塊分別與主控制模塊相連接，將ModBus協(xié)議的通信信號傳輸給主控制模塊進(jìn)行數(shù)據(jù)的分析和處理。所述ModBus TCP通信模塊和ModBus RTU通信模塊也分別與Bypass模塊相連接，Bypass模塊保證裝置斷電或主控制模塊異常的情況下ModBus通信信號依然可以正常地通過裝置?？撮T狗模塊監(jiān)測主控制模塊的狀態(tài)，并控制Bypass模塊和電源模塊，以保證在主控制模塊異常時保證ModBus通信正常通過裝置并重啟主控制模塊。主控制模塊與擴展存儲模塊通過系統(tǒng)總線相連接，通過讀取擴展存儲模塊中存儲的異常流量特征來實現(xiàn)ModBus協(xié)議的入侵檢測功能。

所述ModBus TCP通信模塊包括兩個以太網(wǎng)接口，分別為ModBus TCP第一接口和ModBus TCP第二接口；所述ModBus RTU通信模塊包括2個RS485接口，分別為ModBus RTU第一接口和ModBus RTU第二接口。

所述Bypass模塊包括一個邏輯與非門電路和一個繼電器開關(guān)電路，邏輯與非門電路分別接收來自于主處理模塊輸出信號和看門狗模塊輸出信號，控制繼電器開關(guān)電路的多個繼電器開合；繼電器開關(guān)位于ModBus TCP或RTU的第一接口和第二接口之間，實現(xiàn)ModBus信號在Bypass功能開啟時ModBus TCP或RTU第一接口與第二接口之間的信號互通。

當(dāng)看門狗模塊未檢測到主控制模塊異常，且主處理模塊已經(jīng)做好報文讀取和分析準(zhǔn)備的情況下，看門狗模塊輸出和主處理模塊GPIO輸出均為真，與非門電路控制繼電器開關(guān)打開，實現(xiàn)Bypass功能關(guān)閉，ModBus信號送入主處理模塊進(jìn)行入侵檢測分析。除此以外的其它情況下，與非門電路控制繼電器開關(guān)閉合，Bypass功能開啟，ModBus信號將不會送入主處理模塊。

所述主控制模塊與擴展存儲模塊通過系統(tǒng)總線相連接。

所述電源模塊上還設(shè)置有運行狀態(tài)燈。

所述的運行狀態(tài)燈為LED燈。

主控制模塊選用了基于ARM Cortex-A8處理器的AM3358，工作頻率800MHz，具備兩個工業(yè)千兆位以太網(wǎng)接口（10、100 和 1000Mbps）和多個UART通用異步收發(fā)接口。為了保證AM3358能夠正常運行，擴展了256MB的DDR存儲以實時運行程序、1GB的FLASH來存儲入侵檢測程序和基礎(chǔ)數(shù)據(jù)，同時還擴展了一個4GB microSD卡用于存儲系統(tǒng)配置和異常流量特征數(shù)據(jù)。同時，主控制模塊還包含了1路RS232接口電路，用于裝置功能調(diào)試。

ModBus TCP通信模塊包括了2個匹配RJ45類型接口的以太網(wǎng)轉(zhuǎn)換電路。ModBus RTU通信模塊包括了2個RS485轉(zhuǎn)換電路，支持終端匹配和無終端匹配兩種模式。兩個通信模塊與主控制模塊之間采用光耦隔離的方式以保護(hù)主控制模塊不受到接口電壓波動所帶來的影響。同時，兩個ModBus通信模塊都具有保護(hù)功能，可防止意外高壓對模塊的沖擊。

看門狗模塊包括看門狗處理器及擴展電路?？撮T狗接收來自主處理模塊AM3358的GPIO喂狗信號，控制主處理模塊的供電電路及Bypass模塊?？撮T狗電路獨立于其它模塊電路，實時監(jiān)測主處理模塊的運行狀態(tài)，發(fā)現(xiàn)主處理模塊有異常時可以重啟該模塊并保證Bypass功能開啟。

電源模塊包括主控制模塊供電及復(fù)位控制電路、看門狗供電電路、通信模塊供電電路。電源模塊可輸出+5V、+3.3V和+1.8V電源電壓，分別為RS485芯片、以太網(wǎng)芯片、看門狗處理器和AM3358處理器提供電源。電源模塊向主控制模塊提供復(fù)位信號，復(fù)位電路的輸入源是看門狗處理器的輸出。

實施例2

作為本實用新型的一種較佳實施例，參照說明書附圖1、附圖2和附圖3，本實施例公開了一種具有Bypass功能的ModBus協(xié)議入侵檢測裝置，本實施例包括：

一種具有Bypass功能的ModBus協(xié)議入侵檢測裝置，包括：

主控制模塊，主控制模塊承擔(dān)了系統(tǒng)管理，ModBus協(xié)議報文分析，和異常流量檢測功能；

電源模塊，電源模塊為主控制模塊及其它附屬電路提供電源，并接收看門狗模塊對電源輸出的管理和控制；

Bypass模塊，Bypass模塊用于保證裝置斷電或主控制模塊異常的情況下ModBus信號能正常通過裝置；

ModBus TCP通信模塊，ModBus TCP通信模塊的主要功能是ModBus TCP協(xié)議的數(shù)據(jù)處理和以太網(wǎng)信號傳輸功能；

ModBus RTU通信模塊，ModBus RTU通信模塊的主要功能是ModBus RTU協(xié)議的數(shù)據(jù)處理和RS485信號傳輸功能。

還包括看門狗模塊，看門狗模塊主要實現(xiàn)對主控制模塊運行狀態(tài)的監(jiān)測以及Bypass模塊和電源模塊的管理功能；

擴展存儲模塊，擴展存儲模塊主要用于存儲異常流量特征信息、系統(tǒng)配置、系統(tǒng)日志等信息。

所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接，所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接，所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接，所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接，所述電源模塊分別與看門狗模塊和主控制模塊相連接，所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴展存儲模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。

以上所述實施例僅表達(dá)了本申請的具體實施方式，其描述較為具體和詳細(xì)，但并不能因此而理解為對本申請保護(hù)范圍的限制。應(yīng)當(dāng)指出的是，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本申請技術(shù)方案構(gòu)思的前提下，還可以做出若干變形和改進(jìn)，這些都屬于本申請的保護(hù)范圍。