本發(fā)明屬于通信，具體涉及一種工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)及其識(shí)別方法。

背景技術(shù)：

1、工業(yè)控制網(wǎng)絡(luò)信息多為短幀結(jié)構(gòu)，且交換頻繁；可靠性和安全性高；網(wǎng)絡(luò)協(xié)議簡(jiǎn)單實(shí)用；網(wǎng)絡(luò)結(jié)構(gòu)具有分散性；易于實(shí)現(xiàn)與信息網(wǎng)絡(luò)的集成，具有實(shí)時(shí)性和時(shí)間確定性；隨著計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題日益凸顯。為了加強(qiáng)工業(yè)控制系統(tǒng)的安全管理，防范黑客及惡意代碼等對(duì)工業(yè)控制系統(tǒng)中的攻擊侵害，保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，現(xiàn)有的工業(yè)控制網(wǎng)絡(luò)通常均采取網(wǎng)絡(luò)安全防護(hù)措施。

2、工業(yè)控制系統(tǒng)逐步走向開放、互聯(lián)、通用。很多工業(yè)控制協(xié)議逐漸運(yùn)行于工業(yè)以太網(wǎng)上，針對(duì)工業(yè)控制系統(tǒng)的攻擊也更加普遍。目前，網(wǎng)絡(luò)中未知設(shè)備檢測(cè)技術(shù)多使用tcp(transmission?control?protocol，傳輸控制協(xié)議）時(shí)間戳等相關(guān)信息對(duì)接入設(shè)備識(shí)別，根據(jù)時(shí)間戳與硬件設(shè)備偏差的相關(guān)性進(jìn)行未知設(shè)備檢測(cè)。在工業(yè)控制網(wǎng)絡(luò)中，協(xié)議?？赡鼙容^陳舊，并不支持相關(guān)的協(xié)議選項(xiàng)。例如，現(xiàn)場(chǎng)環(huán)境中大部分modbus（工業(yè)現(xiàn)場(chǎng)的總線協(xié)議）協(xié)議運(yùn)行的tcp/ip協(xié)議棧都不支持tcp的時(shí)間戳選項(xiàng)。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述技術(shù)問題，本發(fā)明提供一種工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)及其識(shí)別方法，以解決現(xiàn)有技術(shù)中在工業(yè)控制網(wǎng)絡(luò)中，協(xié)議?？赡鼙容^陳舊，并不支持相關(guān)的協(xié)議選項(xiàng)等問題。

2、為了實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

3、本發(fā)明提供了一種工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)，包括：

4、數(shù)據(jù)采集模塊，獲取工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)信息，并對(duì)獲取的數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)上傳；

5、數(shù)據(jù)劃分模塊，對(duì)數(shù)據(jù)采集模塊中采集到的相關(guān)信息進(jìn)行安全分析，利用工業(yè)控制的網(wǎng)絡(luò)一和網(wǎng)絡(luò)二，按照其工序進(jìn)行vlan劃分，同時(shí)基于網(wǎng)絡(luò)一和網(wǎng)絡(luò)二核心交換機(jī)的基礎(chǔ)上，建立每個(gè)vlan的網(wǎng)關(guān)；

6、通信加密模塊，用于選擇工業(yè)控制網(wǎng)絡(luò)中的任一通信信道對(duì)信道內(nèi)傳輸內(nèi)容進(jìn)行加密傳輸；

7、信息提取模塊，用于對(duì)接入的信息數(shù)據(jù)進(jìn)行提取，提取通信賬號(hào)信息，并且將提取到的通信賬號(hào)信息發(fā)送到管理人員手中。

8、本發(fā)明進(jìn)一步的改進(jìn)在于，數(shù)據(jù)采集中，根據(jù)被采集的對(duì)象運(yùn)行負(fù)荷以及當(dāng)前網(wǎng)絡(luò)的擁堵狀態(tài)，動(dòng)態(tài)調(diào)整數(shù)據(jù)采集的策略，若出現(xiàn)網(wǎng)絡(luò)擁塞的情況，則降低采集的頻率。

9、本發(fā)明進(jìn)一步的改進(jìn)在于，數(shù)據(jù)采集模塊包括安全數(shù)據(jù)采集單元和異常數(shù)據(jù)采集單元，其中：

10、安全數(shù)據(jù)采集單元包括基于工業(yè)控制網(wǎng)絡(luò)中的特定資產(chǎn)為采集目標(biāo)，并且建立在彈性數(shù)據(jù)采集策略的基礎(chǔ)上，進(jìn)行多種類的數(shù)據(jù)采集和多層次的數(shù)據(jù)采集，同時(shí)生成安全報(bào)文；

11、異常數(shù)據(jù)采集單元包括對(duì)安全數(shù)據(jù)采集生成的安全報(bào)文進(jìn)行配置基線檢測(cè)和控制操作一致檢測(cè)，并且數(shù)據(jù)異常檢測(cè)結(jié)果。

12、本發(fā)明進(jìn)一步的改進(jìn)在于，通信加密模塊包括通信密道分類單元、密鑰生成單元和信道加密單元，密鑰生成單元用于生成隨機(jī)密鑰，再利用加信道加密單元進(jìn)行信號(hào)信息的覆蓋和通信維護(hù)，在信道加密單元內(nèi)根據(jù)網(wǎng)絡(luò)通信需要，將需要通信的信息化節(jié)點(diǎn)和工業(yè)控制網(wǎng)絡(luò)節(jié)點(diǎn)建立基于應(yīng)用端口的密鑰訪問策略，其他通信全部拒絕，所述通信加密模塊還包括輸出數(shù)據(jù)加密子模塊和輸入數(shù)據(jù)解密子模塊，所述輸出數(shù)據(jù)加密子模塊對(duì)用戶通信模塊輸出的數(shù)據(jù)進(jìn)行加密保護(hù)，所述輸入數(shù)據(jù)解密子模塊對(duì)用戶通信模塊接收的數(shù)據(jù)進(jìn)行解密分析。

13、本發(fā)明進(jìn)一步的改進(jìn)在于，密鑰生成單元采用預(yù)定的哈希算法，對(duì)通信數(shù)據(jù)通道進(jìn)行加密，以獲取相應(yīng)的數(shù)據(jù)解密密令，并且對(duì)信道加密單元進(jìn)行數(shù)據(jù)解密密令的關(guān)聯(lián)上傳，信道加密單元判斷接收到的數(shù)據(jù)解密密令是否與關(guān)聯(lián)上傳的密令一致，若否，則判定接入失敗，所述通信密道分類單元是根據(jù)通信方式對(duì)所有信道進(jìn)行分類，并在不同的信道分類中選擇任意一個(gè)信道進(jìn)行信道加密。

14、本發(fā)明還提供了一種應(yīng)用于所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)的識(shí)別方法，包括：

15、獲取工業(yè)控制網(wǎng)絡(luò)中接入的業(yè)務(wù)數(shù)據(jù)信息，采集工業(yè)控制系統(tǒng)內(nèi)部監(jiān)測(cè)對(duì)象的相關(guān)信息；

16、對(duì)采集到的相關(guān)信息進(jìn)行安全分析，判斷該接入的數(shù)據(jù)信息是否授權(quán)，若授權(quán)，則直接進(jìn)入通信加密模塊，判斷識(shí)別結(jié)果，若未授權(quán)，則進(jìn)入數(shù)據(jù)劃分模塊；

17、獲取未授權(quán)數(shù)據(jù)信息的通信數(shù)據(jù)報(bào)文，控制操作一致性檢測(cè)針對(duì)關(guān)鍵操作命令在控制子網(wǎng)安全報(bào)文、監(jiān)管子網(wǎng)安全報(bào)文和業(yè)務(wù)子網(wǎng)安全報(bào)文之間建立關(guān)聯(lián)關(guān)系，并檢測(cè)被關(guān)聯(lián)報(bào)文中操作數(shù)據(jù)的一致性，如果操作數(shù)據(jù)存在不一致，則觸發(fā)操作異常報(bào)警。

18、本發(fā)明進(jìn)一步的改進(jìn)在于，獲取工業(yè)控制網(wǎng)絡(luò)中接入的業(yè)務(wù)數(shù)據(jù)信息，采集工業(yè)控制系統(tǒng)內(nèi)部監(jiān)測(cè)對(duì)象的相關(guān)信息，包括：根據(jù)被采集的對(duì)象運(yùn)行負(fù)荷以及當(dāng)前網(wǎng)絡(luò)的擁堵狀態(tài)，動(dòng)態(tài)調(diào)整數(shù)據(jù)采集的策略，若出現(xiàn)網(wǎng)絡(luò)擁塞的情況，則降低采集的頻率。

19、本發(fā)明進(jìn)一步的改進(jìn)在于，獲取工業(yè)控制網(wǎng)絡(luò)中接入的業(yè)務(wù)數(shù)據(jù)信息時(shí)，通信選擇方式為以太網(wǎng)通信方式和無線通信方式，選擇一種或者兩種通信方式。

20、本發(fā)明進(jìn)一步的改進(jìn)在于，根據(jù)選擇的通信方式進(jìn)行系統(tǒng)的通信和維護(hù)，若出現(xiàn)其中一種通信方式終端，則自動(dòng)切換到另一種通信方式中，并且對(duì)獲取到的工業(yè)控制網(wǎng)絡(luò)涉及到的與通信有關(guān)的配置進(jìn)行系統(tǒng)存儲(chǔ)。

21、本發(fā)明進(jìn)一步的改進(jìn)在于，判斷該接入的數(shù)據(jù)信息是否授權(quán)，是根據(jù)mac地址變更情況以及ip地址變更情況確定待檢測(cè)設(shè)備的接入授權(quán)情況，包括：

22、如果檢測(cè)到待檢測(cè)設(shè)備的mac地址發(fā)生了變更，和/或，若檢測(cè)到待檢測(cè)設(shè)備的ip地址發(fā)生了變更，則確定待檢測(cè)設(shè)備的接入未授權(quán)。

23、與現(xiàn)有技術(shù)相比，本發(fā)明至少具有以下有益的技術(shù)效果：

24、本發(fā)明提供的一種工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)及其識(shí)別方法，通過在不增加網(wǎng)絡(luò)設(shè)備的情況下，利用現(xiàn)有網(wǎng)絡(luò)設(shè)備，結(jié)合工業(yè)控制網(wǎng)絡(luò)與信息化網(wǎng)絡(luò)的技術(shù)特點(diǎn)，在保障工業(yè)控制網(wǎng)絡(luò)與信息化網(wǎng)絡(luò)安全的同時(shí)，綜合運(yùn)用vlan,stp根節(jié)點(diǎn)指定、靜態(tài)路由和基于通信加密模塊，實(shí)現(xiàn)兩網(wǎng)絡(luò)之間的安全、有效的數(shù)據(jù)交換。

25、本發(fā)明提供的一種工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)及其識(shí)別方法，不僅能夠從通信結(jié)果的角度上判斷網(wǎng)絡(luò)通信是否存在問題，而且無需對(duì)工業(yè)控制網(wǎng)絡(luò)現(xiàn)有的數(shù)據(jù)明文傳輸方式進(jìn)行調(diào)整，進(jìn)而有效地解決了現(xiàn)有工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)方式因側(cè)重通信過程檢測(cè)而無法實(shí)現(xiàn)通信數(shù)據(jù)的防篡改檢測(cè)的問題，以及有效地規(guī)避了現(xiàn)有工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)方式因需要對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行軟件系統(tǒng)升級(jí)或者硬件設(shè)備改造而可能影響系統(tǒng)后續(xù)穩(wěn)定運(yùn)行的問題。

技術(shù)特征：

1.一種工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)，其特征在于，數(shù)據(jù)采集中，根據(jù)被采集的對(duì)象運(yùn)行負(fù)荷以及當(dāng)前網(wǎng)絡(luò)的擁堵狀態(tài)，動(dòng)態(tài)調(diào)整數(shù)據(jù)采集的策略，若出現(xiàn)網(wǎng)絡(luò)擁塞的情況，則降低采集的頻率。

3.根據(jù)權(quán)利要求1所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)，其特征在于，數(shù)據(jù)采集模塊包括安全數(shù)據(jù)采集單元和異常數(shù)據(jù)采集單元，其中：

4.根據(jù)權(quán)利要求1所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)，其特征在于，通信加密模塊包括通信密道分類單元、密鑰生成單元和信道加密單元，密鑰生成單元用于生成隨機(jī)密鑰，再利用加信道加密單元進(jìn)行信號(hào)信息的覆蓋和通信維護(hù)，在信道加密單元內(nèi)根據(jù)網(wǎng)絡(luò)通信需要，將需要通信的信息化節(jié)點(diǎn)和工業(yè)控制網(wǎng)絡(luò)節(jié)點(diǎn)建立基于應(yīng)用端口的密鑰訪問策略，其他通信全部拒絕，所述通信加密模塊還包括輸出數(shù)據(jù)加密子模塊和輸入數(shù)據(jù)解密子模塊，所述輸出數(shù)據(jù)加密子模塊對(duì)用戶通信模塊輸出的數(shù)據(jù)進(jìn)行加密保護(hù)，所述輸入數(shù)據(jù)解密子模塊對(duì)用戶通信模塊接收的數(shù)據(jù)進(jìn)行解密分析。

5.根據(jù)權(quán)利要求4所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)，其特征在于，密鑰生成單元采用預(yù)定的哈希算法，對(duì)通信數(shù)據(jù)通道進(jìn)行加密，以獲取相應(yīng)的數(shù)據(jù)解密密令，并且對(duì)信道加密單元進(jìn)行數(shù)據(jù)解密密令的關(guān)聯(lián)上傳，信道加密單元判斷接收到的數(shù)據(jù)解密密令是否與關(guān)聯(lián)上傳的密令一致，若否，則判定接入失敗，所述通信密道分類單元是根據(jù)通信方式對(duì)所有信道進(jìn)行分類，并在不同的信道分類中選擇任意一個(gè)信道進(jìn)行信道加密。

6.一種應(yīng)用于權(quán)利要求1-5中任一項(xiàng)所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)的識(shí)別方法，其特征在于，包括：

7.根據(jù)權(quán)利要求6所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)的識(shí)別方法，其特征在于，獲取工業(yè)控制網(wǎng)絡(luò)中接入的業(yè)務(wù)數(shù)據(jù)信息，采集工業(yè)控制系統(tǒng)內(nèi)部監(jiān)測(cè)對(duì)象的相關(guān)信息，包括：根據(jù)被采集的對(duì)象運(yùn)行負(fù)荷以及當(dāng)前網(wǎng)絡(luò)的擁堵狀態(tài)，動(dòng)態(tài)調(diào)整數(shù)據(jù)采集的策略，若出現(xiàn)網(wǎng)絡(luò)擁塞的情況，則降低采集的頻率。

8.根據(jù)權(quán)利要求6所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)的識(shí)別方法，其特征在于，獲取工業(yè)控制網(wǎng)絡(luò)中接入的業(yè)務(wù)數(shù)據(jù)信息時(shí)，通信選擇方式為以太網(wǎng)通信方式和無線通信方式，選擇一種或者兩種通信方式。

9.根據(jù)權(quán)利要求8所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)的識(shí)別方法，其特征在于，根據(jù)選擇的通信方式進(jìn)行系統(tǒng)的通信和維護(hù)，若出現(xiàn)其中一種通信方式終端，則自動(dòng)切換到另一種通信方式中，并且對(duì)獲取到的工業(yè)控制網(wǎng)絡(luò)涉及到的與通信有關(guān)的配置進(jìn)行系統(tǒng)存儲(chǔ)。

10.根據(jù)權(quán)利要求6所述工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)的識(shí)別方法，其特征在于，判斷該接入的數(shù)據(jù)信息是否授權(quán)，是根據(jù)mac地址變更情況以及ip地址變更情況確定待檢測(cè)設(shè)備的接入授權(quán)情況，包括：

技術(shù)總結(jié)
本發(fā)明提供一種工業(yè)控制網(wǎng)絡(luò)中的接入識(shí)別系統(tǒng)及其識(shí)別方法，包括：數(shù)據(jù)采集模塊：獲取工業(yè)網(wǎng)絡(luò)的數(shù)據(jù)信息，并對(duì)獲取的數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)上傳；數(shù)據(jù)劃分模塊：對(duì)數(shù)據(jù)采集模塊中采集到的相關(guān)信息進(jìn)行安全分析，利用工業(yè)控制的網(wǎng)絡(luò)一和網(wǎng)絡(luò)二，按照其工序進(jìn)行VLAN劃分，同時(shí)基于網(wǎng)絡(luò)一和網(wǎng)絡(luò)二核心交換機(jī)的基礎(chǔ)上，建立每個(gè)VLAN的網(wǎng)關(guān)；本發(fā)明通過在不增加網(wǎng)絡(luò)設(shè)備的情況下，利用現(xiàn)有網(wǎng)絡(luò)設(shè)備，結(jié)合工業(yè)控制網(wǎng)絡(luò)與信息化網(wǎng)絡(luò)的技術(shù)特點(diǎn)，在保障工業(yè)控制網(wǎng)絡(luò)與信息化網(wǎng)絡(luò)安全的同時(shí)，綜合運(yùn)用VLAN,STP根節(jié)點(diǎn)指定、靜態(tài)路由和基于通信加密模塊，實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的安全、有效的數(shù)據(jù)交換。

技術(shù)研發(fā)人員：韋宣,姚尚辰,楊柏依,李默晗,趙亮,李曉博,董鵬,陳立元,王傲寒,章碩,張志杰
受保護(hù)的技術(shù)使用者：西安熱工研究院有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9