一种非侵入式工控网络安全状况的侦听系统及侦听方法

技术领域

本发明涉及一种数据侦听系统及侦听方法，尤其是一种非侵入式工控网络安全状况的侦听系统及侦听方法。

背景技术

网络攻击中有很大一部分会集中在PLC或DCS等控制设备的通讯协议应用层之中，当前绝大多数的工业网络入侵检测产品，都只能集中在IT层防护，如MAC、IP、TCP层等，不对工业控制通信的应用层进行解析和分析；目前采用的防护方式中，一种是通过自身软件转发两个目标设备的以太网数据包数据，并且从中截取信息实现侦听，对处理器的性能消耗过重，并且可能造成通讯时延；另一种是通过路由器镜像口侦听通信数据，造成数据量巨大；此外，在物理接入方式上，入侵检测系统本身存在被黑客控制的风险，进而成为工控系统网络攻击的源头。

发明内容

本发明所要解决的技术问题是提供一种保证数据高效传输的同时提升了数据传输安全性的非侵入式工控网络安全状况的侦听系统及侦听方法。

本发明解决上述技术问题所采用的技术方案为：一种非侵入式工控网络安全状况的侦听系统，包括数据获取模块、解析判断模块和安全监控模块，所述的数据获取模块用于从控制设备与工业交换机之间的传输线上分别获取控制设备发送给工业交换机的数据和工业交换机发送给控制设备的数据并作为初始侦听数据发送给所述的解析判断模块，所述的解析判断模块对所述的初始侦听数据进行解析分析后判断出初始侦听数据对应的最终工业协议种类，并根据最终工业协议种类解析出与初始侦听数据对应的数据段应用层信息，所述的安全监控模块根据预设的规则对数据段应用层信息中的参数进行安全判断并在判断为非正常时发出预警信息。

所述的解析判断模块包括初始解析模块、工业协议解析分类模块、特定协议应用层解析模块，所述的初始解析模块用于接收所述的数据获取模块获取的初始侦听数据并进行解析得到包括端口号和数据包大小的第一解析数据，所述的初始解析模块中设置有初筛模块和传输层协议判断模块，所述的初筛模块中预设有监测端口号和监测数据包大小范围，所述的初筛模块用于将第一解析数据的端口号和数据包大小与预设的监测端口号和监测数据包大小范围进行匹配，并将匹配成功的第一解析数据发送至所述的传输层协议判断模块，所述的传输层协议判断模块根据接收到的第一解析数据判断对应的传输层协议类别，再由所述的初始解析模块将匹配成功的第一解析数据和对应的传输层协议类别发送至所述的工业协议解析分类模块，所述的工业协议解析分类模块根据传输层协议类别对第一解析数据进行解析得到第二解析数据，再通过对第二解析数据进行标志位判断获取与第二解析数据对应的特定工业协议种类，最终将该特定工业协议种类作为与第二解析数据对应的最终工业协议种类，并由所述的工业协议解析分类模块将第二解析数据及最终工业协议种类发送至所述的特定协议应用层解析模块，所述的特定协议应用层解析模块根据最终工业协议种类解析第二解析数据的数据段应用层信息得到第三解析数据，再由所述的安全监控模块根据预设的规则对第三解析数据中的参数进行安全判断并在判断为非正常时发出预警信息。初始侦听数据的数据种类为未知，首先由初始解析模块对初始侦听数据并进行IP层的解析，获取端口号和数据包大小，再由初筛模块将端口号和数据包大小与预设的监测端口号和监测数据包大小范围不匹配的初始侦听数据剔除，该不匹配指端口号不属于预设的监测端口号或数据包大小超过监测数据包大小范围以外，对该类初始侦听数据不进行侦听，不影响安全监测，能够有效减小工作量；传输层协议判断模块根据匹配成功的第一解析数据判断对应的传输层协议类别是属于TCP协议还是UDP协议，工业协议解析分类模块根据判断出的传输层协议类别对第一解析数据进行解析得到第二解析数据，再通过对第二解析数据进行标志位判断获取与第二解析数据对应的特定工业协议种类，由于不同的工业协议种类对应不同的标志位数据，因此只需通过逐一比对各种工业协议种类对应的标志位上的数据与第二解析数据是否符合即可准确的判定第二解析数据对应的特定工业协议种类；再由特定协议应用层解析模块根据最终工业协议种类解析第二解析数据的数据段应用层信息得到第三解析数据，至此完成对初始侦听数据的完整解析过程，最后由安全监控模块根据预设的规则对第三解析数据中的参数进行安全判断并在判断为非正常时发出预警信息，该预警信息能够用于发送至上位机或者手持终端，从而方便监控人员及时进行相应的安全处理操作。

所述的数据获取模块包括第一网线接口、第二网线接口、第三网线接口、第四网线接口、第五网线接口、第六网线接口、PCB接线板、第一数据传输线、第二数据传输线、第三数据传输线、第四数据传输线、第一数据侦听线和第二数据侦听线，所述的第一网线接口、所述的第二网线接口、所述的第三网线接口及所述的第四网线接口分别固定设置在所述的PCB接线板上，所述的第一数据传输线的一端与所述的控制设备的数据发送接口连接，所述的第一数据传输线的另一端与所述的第一网线接口固定连接且分别与所述的第一数据侦听线的一端及所述的第二数据传输线的一端连接，所述的第二数据传输线的一端与所述的第二网线接口固定连接，所述的第二数据传输线的另一端与所述的工业交换机的数据接收接口连接，所述的第三数据传输线的一端与所述的控制设备的数据接收接口连接，所述的第三数据传输线的另一端与所述的第三网线接口固定连接且分别与所述的第二数据侦听线的一端及所述的第四数据传输线的一端连接，所述的第四数据传输线的一端与所述的第四网线接口固定连接，所述的第四数据传输线的另一端与所述的工业交换机的数据发送接口连接，所述的第一数据侦听线的另一端通过所述的第五网线接口与所述的初始解析模块的第一信号输入端连接，所述的第二数据侦听线的另一端与通过所述的第六网线接口与所述的初始解析模块的第二信号输入端连接。通过电气层的并联实现了只解惑读取当前并联设备的收发数据包，减少了数据包区分的性能消耗，通过电气层的并联不会影响本身传输时延等参数，等同于非侵入式监听，可以跳过传统的交换机一层，直接聚焦到最终端的设备；该种接线结构及方式能够有效获取控制设备与工业交换机之间相互传输的数据，且对原先结构改动不大，现场安装较为方便快速，从而增加控制设备与工业交换机之间数据传输的安全性；第五网线接口、第六网线接口处的数据只进不出，即侦听系统的结构本身不具有向外发送数据的功能，因此不会成为成为工控系统网络攻击的源头。

使用上述非侵入式工控网络安全状况的侦听系统的侦听方法，包括以下步骤：

步骤1）：数据获取模块从控制设备与工业交换机之间的传输线上分别获取控制设备发送给工业交换机的数据和工业交换机发送给控制设备的数据并作为初始侦听数据发送给初始解析模块；

步骤2）：初始解析模块接收数据获取模块获取的初始侦听数据，初始解析模块对接收到的初始侦听数据进行解析得到包括端口号和数据包大小的第一解析数据，初筛模块将第一解析数据的端口号和数据包大小与预设的监测端口号和监测数据包大小范围进行匹配，并将匹配成功的第一解析数据发送至传输层协议判断模块，传输层协议判断模块根据接收到的第一解析数据判断对应的传输层协议类别，再由初始解析模块将匹配成功的第一解析数据和对应的传输层协议类别发送至工业协议解析分类模块；

步骤3）：工业协议解析分类模块根据传输层协议类别对第一解析数据进行解析得到第二解析数据，再通过对第二解析数据进行标志位判断获取与第二解析数据对应的特定工业协议种类，最终将该特定工业协议种类作为与第二解析数据对应的最终工业协议种类，并由工业协议解析分类模块将第二解析数据及最终工业协议种类发送至特定协议应用层解析模块；

步骤4）：特定协议应用层解析模块根据最终工业协议种类解析第二解析数据的数据段应用层信息得到第三解析数据；

步骤5）：安全监控模块根据预设的规则对第三解析数据中的参数进行安全判断并在判断为非正常时发出预警信息。

与现有技术相比，本发明的优点在于数据获取模块直接从控制设备与工业交换机之间的传输线上获取相互传输的数据，不对原有数据通讯的时延产生任何负面影响，保证了数据高效传输的同时提升了数据传输安全性，且数据获取模块仅仅是获取数据，不具有发送功能，因此不会成为成为工控系统网络攻击的源头；初始侦听数据的工业协议种类初始未知，通过解析判断模块对初始侦听数据进行逐层解析分析后最终判断出初始侦听数据对应的最终工业协议种类，此时才能根据最终工业协议种类解析出与初始侦听数据对应的数据段应用层信息，并通过安全监控模块根据预设的规则对数据段应用层信息中的参数进行安全判断并在判断为非正常时发出预警信息，该预警信息能够用于发送至上位机或者手持终端，实际使用时，能够做到在最大延时1秒内上报，从而方便监控人员及时进行相应的安全处理操作。

附图说明

图1为本发明的原理框图；

图2为本发明中数据获取模块的结构示意图。

具体实施方式

以下结合附图实施例对本发明作进一步详细描述。

实施例一：一种非侵入式工控网络安全状况的侦听系统，包括数据获取模块1、解析判断模块和安全监控模块2，数据获取模块1用于从控制设备3与工业交换机4之间的传输线上分别获取控制设备3发送给工业交换机4的数据和工业交换机4发送给控制设备3的数据并作为初始侦听数据发送给解析判断模块，解析判断模块包括初始解析模块5、工业协议解析分类模块6、特定协议应用层解析模块7，这些模块开发并运行于具有linux系统的硬件芯片上，如X86芯片或ARM芯片，初始解析模块5用于接收数据获取模块1获取的初始侦听数据并进行解析得到包括端口号和数据包大小的第一解析数据，初始解析模块5中设置有初筛模块51和传输层协议判断模块52，初筛模块51中预设有监测端口号和监测数据包大小范围，初筛模块51用于将第一解析数据的端口号和数据包大小与预设的监测端口号和监测数据包大小范围进行匹配，并将匹配成功的第一解析数据发送至传输层协议判断模块52，传输层协议判断模块52根据接收到的第一解析数据判断对应的传输层协议类别，再由初始解析模块5将匹配成功的第一解析数据和对应的传输层协议类别发送至工业协议解析分类模块6，工业协议解析分类模块6根据传输层协议类别对第一解析数据进行解析得到第二解析数据，再通过对第二解析数据进行标志位判断获取与第二解析数据对应的特定工业协议种类，最终将该特定工业协议种类作为与第二解析数据对应的最终工业协议种类，并由工业协议解析分类模块6将第二解析数据及最终工业协议种类发送至特定协议应用层解析模块7，特定协议应用层解析模块7根据最终工业协议种类解析第二解析数据的数据段应用层信息得到第三解析数据，再由安全监控模块2根据预设的规则对第三解析数据中的参数进行安全判断并在判断为非正常时发出预警信息；初始侦听数据的数据种类为未知，首先由初始解析模块5对初始侦听数据并进行IP层的解析，获取端口号和数据包大小，再由初筛模块51将端口号和数据包大小与预设的监测端口号和监测数据包大小范围不匹配的初始侦听数据剔除，该不匹配指端口号不属于预设的监测端口号或数据包大小超过监测数据包大小范围以外，对该类初始侦听数据不进行侦听，不影响安全监测，能够有效减小工作量；传输层协议判断模块52根据匹配成功的第一解析数据判断对应的传输层协议类别是属于TCP协议还是UDP协议，工业协议解析分类模块6根据判断出的传输层协议类别对第一解析数据进行解析得到第二解析数据，再通过对第二解析数据进行标志位判断获取与第二解析数据对应的特定工业协议种类，由于不同的工业协议种类对应不同的标志位数据，因此只需通过逐一比对各种工业协议种类对应的标志位上的数据与第二解析数据是否符合即可准确的判定第二解析数据对应的特定工业协议种类；再由特定协议应用层解析模块7根据最终工业协议种类解析第二解析数据的数据段应用层信息得到第三解析数据，至此完成对初始侦听数据的完整解析过程，最后由安全监控模块2根据预设的规则对第三解析数据中的参数进行安全判断并在判断为非正常时发出预警信息，该预警信息能够用于发送至上位机或者手持终端，从而方便监控人员及时进行相应的安全处理操作。

数据获取模块1包括第一网线接口11、第二网线接口12、第三网线接口13、第四网线接口14、第五网线接口15、第六网线接口16、PCB接线板17、第一数据传输线81、第二数据传输线82、第三数据传输线83、第四数据传输线84、第一数据侦听线91和第二数据侦听线92，第一网线接口11、第二网线接口12、第三网线接口13及第四网线接口14分别固定设置在PCB接线板17上，第一数据传输线81的一端与控制设备3的数据发送接口连接，第一数据传输线81的另一端与第一网线接口11固定连接且分别与第一数据侦听线91的一端及第二数据传输线82的一端连接，第二数据传输线82的一端与第二网线接口12固定连接，第二数据传输线82的另一端与工业交换机4的数据接收接口连接，第三数据传输线83的一端与控制设备3的数据接收接口连接，第三数据传输线83的另一端与第三网线接口13固定连接且分别与第二数据侦听线92的一端及第四数据传输线84的一端连接，第四数据传输线84的一端与第四网线接口14固定连接，第四数据传输线84的另一端与工业交换机4的数据发送接口连接，第一数据侦听线91的另一端通过第五网线接口15与初始解析模块5的第一信号输入端连接，第二数据侦听线92的另一端与通过第六网线接口16与初始解析模块5的第二信号输入端连接。该种连接方式通过电气层的并联实现了只解惑读取当前并联设备的收发数据包，减少了数据包区分的性能消耗，通过电气层的并联不会影响本身传输时延等参数，等同于非侵入式监听，可以跳过传统的交换机一层，直接聚焦到最终端的设备。

实施例二：使用实施例一中非侵入式工控网络安全状况的侦听系统的侦听方法，包括以下步骤：

步骤1）：数据获取模块1从控制设备3与工业交换机4之间的传输线上分别获取控制设备3发送给工业交换机4的数据和工业交换机4发送给控制设备3的数据并作为初始侦听数据发送给初始解析模块5；

步骤2）：初始解析模块5接收数据获取模块1获取的初始侦听数据，初始解析模块5对接收到的初始侦听数据进行解析得到包括端口号和数据包大小的第一解析数据，初筛模块51将第一解析数据的端口号和数据包大小与预设的监测端口号和监测数据包大小范围进行匹配，并将匹配成功的第一解析数据发送至传输层协议判断模块52，传输层协议判断模块52根据接收到的第一解析数据判断对应的传输层协议类别，再由初始解析模块5将匹配成功的第一解析数据和对应的传输层协议类别发送至工业协议解析分类模块6；

步骤3）：工业协议解析分类模块6根据传输层协议类别对第一解析数据进行解析得到第二解析数据，再通过对第二解析数据进行标志位判断获取与第二解析数据对应的特定工业协议种类，最终将该特定工业协议种类作为与第二解析数据对应的最终工业协议种类，并由工业协议解析分类模块6将第二解析数据及最终工业协议种类发送至特定协议应用层解析模块7；

步骤4）：特定协议应用层解析模块7根据最终工业协议种类解析第二解析数据的数据段应用层信息得到第三解析数据；

步骤5）：安全监控模块2根据预设的规则对第三解析数据中的参数进行安全判断并在判断为非正常时发出预警信息。