一种针对工控协议的高性能处理平台

VPP系统是开源高性能包处理平台，在流量审计领域多有应用，在工控审计领域的使用鲜少看到。本文通过将VPP系统应用于高速审计工控协议报文，成功地构建了一种高性能的工控安全审计平台。在该平台上，深度解析了Modbus/TCP、MMS、S7、IEC104等多种常见工控协议报文。通过获取到的工控协议报文的关键信息，使用去I/O操作存储解析所得数据。经过测试仪表验证，基于VPP平台的工控解析方法，与传统Linux内核方法处理数据报文相比，小包性能提高9.563%，大包性能提高24.609%，与现有工业防火墙的吞吐相比，小包提升10.908%，大包提升35.595%，大幅提高了报文处理的效率，将有效满足现代工业控制环境下，针对安全审计系统所需的稳定性、实时性和高效性。     

工业以太网PROFINET安全隔离器的设计

随着智能制造技术的发展,工业控制网络的安全问题日益突出。基于工业通信网络诊断、隔离和安全防护技术,以应用前景广泛的PROFINET工业以太网为研究对象,设计了基于PROFINET的专用工业网络安全隔离器。安全隔离器主要作用于工业网络内部,具有通用的工业网络层防火墙功能。对PROFINET通信协议进行了深度解析,并识别相应的报文类型与关键数据。通过配置安全策略,并将其传输到安全隔离器,可以实时监控网络状态和PROFINET关键数据,阻断异常畸形报文,同时可以防止未授权设备的非法访问。针对以上情形产生的报警信息,将被实时发送到配置管理平台并进行报警显示。经测试表明,工业网络安全隔离器对正常工业控制网络无影响。配置策略可有效保护关键设备,从而保护工业控制网络的安全。     

核电厂仪控系统安全防护策略研究及应用

核能行业网络安全事件暴露了核电厂仪控系统缺少网络、主机、应用、数据等各方面的网络安全防护手段,一旦发生网络安全事件后果严重。基于对核电相关网络安全标准的分析,研究了白名单策略与黑名单策略的技术差异,提出了在核电厂场景应用白名单防护策略的工作方向。详细分析了程序白名单、外设白名单、工控协议白名单、工控行为白名单的基本概念、技术特点和实际应用场景;描述了白名单防护策略的具体实施方案,包括规划、设计、验证、实施和维护5个步骤,并在实际的核电站进行产品部署。经过在核电站的实践验证,采用白名单技术防护的网络区域可以有效防止恶意软件的破坏,阻止恶意报文的传输,从而保护核电厂仪控系统的安全。     

联网工业控制系统主动感知预警技术研究

针对日趋严峻的工业控制系统安全问题,通过主动感知、漏洞库关联匹配等技术手段,实现了对联网工控系统的事前预警,丰富了工业控制系统网络安全防护体系。在Modbus/TCP公有通信协议分析的基础上,开发专用扫描探测脚本,提取协议指纹特征,构建工控指纹库。并通过快速扫描机制发现联网工控设备IP及存活端口,利用工控资产原始报文与指纹库的模糊匹配技术,识别出工业控制系统设备资产。结合CNVD、CNNVD、CVE及中国电子科技网络信息安全有限公司自主工控漏洞库,对联网工控设备进行漏洞关联预警。该研究对推动建立国家层面的威胁感知预警平台具有积极的作用。     

火电工控系统网络安全防护方案设计

针对火电工控系统的网络安全问题进行了研究,对当前火电工控系统的网络架构、安全挑战、防护现状、风险来源等网络安全问题进行了分析总结,按照电力系统的安全防护总体原则及相关标准规范,针对电力生产网络的特点及安全要求,提出了以数据探针为组成单元的能够覆盖电厂工控网络各个层级并配置监测中心的安全防护架构,能够对多种工控协议进行深度解析,对已知和未知危险流量进行识别和学习,并将宏观网络态势以可视化的方式展示出来,实现了对电厂工控系统多层次、立体化、智能化的安全防护,能够深度有效的保护电厂生产网络系统。     

基于自适应深度检测的工控安全防护系统设计

为了解决工控防火墙及其他网络防护设备在接口流量过大、资源占用过多时,容易成为响应瓶颈的问题,研究一种基于自适应深度检测的工控安全防护系统。系统安装在被保护设备的上游,实现对工控协议的识别和深度解析,以及工控网络协议的深度检测过滤,并根据工控现场网络状态自适应动态调整深度检测算法级别。系统能够处理目前比较流行的各种工控协议,并对之进行深度解析,对工控现场网络起到保护作用。     

非标工业控制协议格式逆向方法研究

协议安全是工业控制系统信息安全中的一项重要内容,非标协议格式的正确识别是协议安全分析的基础。基于工控系统行业现状和工控协议的结构确定、传输重复、语义有限的特性,提出了基于网络流量的非标准工控协议逆向识别方法,通过单报文处理进行初步分词聚类,多报文处理进行报文序列比对,关键字段推断语义,最终得到协议格式。验证结果表明,该方法能较好地识别非标工控协议格式。     

智慧水务工控网络信息安全方案的设计与研究

针对目前水务工控网络存在的安全问题与风险,以及国家等级保护2.0的发布,提出并设计智慧水务工控网络信息安全方案。方案基于云平台的智慧水务系统工控网络信息安全架构体系,通过工业云平台实现感知与分析,通过防火墙及检测软件监控工控网络数据流量、工作站软件状态系统,解决原有水务系统的安全风险。该信息安全方案已在实际水务系统进行示范性实施,取得预期的成效。     

基于ZONE-BASE防火墙的HTTP协议过滤的研究和实践

随着互联网的发展,网络安全日益重要。如何借助防火墙保护网络内部信息的安全已经成为当前的重要课题。本文研究基于ZONE-BASE防火墙的配置实现应用层HTTP协议的网址过滤,实验结果表明,本文提出的配置方案能有效实施网址过滤,进而避免恶意网站对学校或公司内部造成的潜在安全威胁。     

针对Modbus协议的双重认证算法设计

随着现代化工业网络的不断发展,越来越多的工控网络安全问题层出不穷。在工控网络中Modbus协议应用最为普遍。然而Modbus工控网络却没有安全通信的机制,极易受到恶意攻击。根据文献追踪来看,目前还没有效的解决方案。为解决这些安全问题,提出了针对Modbus工控网络主从设备的认证模型、双重认证算法以及算法的配置方案。该算法利用了哈希链以及对称加密的一些特点,是针对Modbus工控网络主从设备有限的计算和存储能力而设计的轻量型认证算法。通过安全性分析可知,该认证算法能有效抵御常见Modbus工控网络的安全问题,并且算法的配置方案能有效减小认证算法对主从设备通信的干扰。     

远程监控系统中GSM网关的研究与开发

在开发设计铁路双电源远程监控系统中，通过GSM数传和短消息通信业务实现数据传输，并设计了一种GSM网关来处理现场采集的数据。该网关采用线程池技术进行SOAP和GSM数据及短消息协议之间的转换，实现了工业现场的远程监控，为监控网络和移动网络的一体化应用建立了统一平台。     

IPART: an automatic protocol reverse engineering tool based on global voting expert for industrial protocols

ABSTRACT

The industrial control system is an important part of many critical infrastructures and has a big influence on the security of them. With the rapid development of the industrial control system, there has been a significant increase for industrial control system to use the computer network, which has brought many security issues. Protocol security is one of the most important security issues. Many industrial protocols are unknown, which prevent firewall parsing and analysing network traffic, thus it brings a big challenge for intrusion detection, deep packet inspection and traffic management. One method to solve the problem is the reverse engineering technology. However, previous works are mainly for traditional network protocols and not very suitable for reversing industrial protocols. To address this problem, we propose IPART, an unsupervised tool for automatically reverse the format of the industrial protocol from network trace. IPART applies an extended voting expert algorithm to infer the boundaries of industrial protocol fields. Types of these fields are derived by statistical methods. It then classifies messages into sub-clusters by their field types and infers the format of each sub-cluster. Finally, IPART combines all results and gets the format tree of the protocol. We evaluate our work on three industrial protocols: Modbus, IEC104 and Ethernet/IP. Compared with some state-of-art approaches (lda model, Voting expert, netzob), our tool shows a better performance.

IPART reverse industrial protocols mainly by three stages. The tool firstly split raw packages into tokens and infer the fields of the protocol. Both fields property (offset, length, etc.) and semantic (length, transition id, etc.). It then class messages belong to the same format to a cluster and each cluster approximates a format. Finally, the tool combines all formats and get the protocol format tree.     

工业物联网网关的研究与实现

工业物联网是工业领域的物联网技术,是新一代信息技术的重要组成部分。在工业物联网体系架构中,感知层网络和工业互联网之间需要一个网关设备,实现工业互联网与传感层网络的互联互通。工业物联网网关旨在解决当前感知层网络设备的横向不关联,无法联动控制和统一管理的问题。网关以工业互联网为载体进行信息交换,把分散在各种工业现场的感知网络设备信息进行采集、存储、分析、管理。本文研究了一种工业物联网网关设计及实现方案。该方案设计基于ARM9平台,采用Linux操作系统,集成多种通用工控通讯协议、物联网通讯协议及互联网通讯协议,实现物联网感知层与工业互联网应用层之间的无缝对接。     

滑动窗口技术在智能仪表离线交易记录上传中的运用

RS485通信协议在工业数据通信领域中被广泛采用,它具有组网简单、抗干扰能力强、传输距离远等诸多优势。但RS485通信协议在传输层的实现没有统一标准,需要各个工业厂商自己定义,而大部分厂家采用的是单数据包的询问应答模式,导致信道利用效率低。当数据传输量小的时候,时间成本的浪费并不突出,然而但随着数字智能设备的不断发展,通信数据量的不断增大,RS485协议在实际的应用中也凸现一些弊端,如传输效率低,信道利用率不高等问题。TCP协议是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP滑动窗口技术是一种成熟可靠的传输层通信协议,它具有差错控制、流量控制、较高的数据传输效率等优势,将TCP滑动窗口技术应用于RS485通信协议必将极大的改善目前工业领域数据通信的现状。     

实时工业以太网无线通信节点的设计与实现

实时控制网络是新型网络化、智能化工业装备的重要支撑技术。在研究POWERLINK实时工业以太网协议的基础上,以FPGA为核心,设计和实现了一个实时无线通信嵌入式硬件节点。其中,以FPGA作为实时网络协议栈处理单元,采用并行接口与主控单元实现高速数据交互,并基于典型射频模块实现无线数据传输接口,可支持高速无线数据传输。通过所集成POWERLINK IP核的实时链路层管理机制,实现了工业网络中多节点间数据的无线实时传输。     

GPRS与ZigBee在智能家居安全防范中的应用

移动通信GPRS与无线网络通信ZigBee相结合,实现了智能家居安防设备的远程控制与监控.系统选用GPRS数传模块DL6200和满足ZigBee协议的CC2430模块.可通过GSM手机发送短信命令让安防设备执行其命令.当发生警报时,与GPRS绑定的手机也可收到报警信息.     

工业互联网云网关架构及实现

针对工业生产数据通信协议复杂、工业设备与云端通信困难的问题,提出一种工业互联网云网关架构。针对传输协议复杂多样的问题,提出了一种多协议数据解析方法,能够对多种协议下的数据进行解析,并转换为MQTT协议,实现数据统一协议并上传至云平台。针对协议转换中的实时可靠性问题,提出一种支持断点续传并可以快速处理并发任务的异步处理机制来保证协议转换的实时可靠性。在保证实时可靠的基础上,提出一种三层加密方式以提高数据传输的安全性。在软硬件上实现了上述云网关架构,并在工业过程控制设备上进行了实验。实验结果表明,该架构能够有效解决工业系统与云平台的数据融合问题。     

EPA的信息安全技术

针对基于EPA的工业测量与控制网络的特点，以工业控制为应用对象，在MAC层与网络层之间定义了EPA报文控制管理实体、在IP层定义了IP报文控制管理实体、在应用层定义了应用层安全管理实体，在网络物理区域采用安全网桥作为边界保护，从而保证与EPA控制网络连接的信息传输安全，使系统的安全损失减少到最小，并在受到攻击后能够迅速地恢复。经过组建网络测试，这些安全措施都能够有效地提高网络的安全性。     

Countering jamming attacks against an authentication and key agreement protocol for mobile satellite communications

The radio-based medium of satellite communication systems is vulnerable to interference on physical channels: unintentional interferences occur frequently and jamming attacks can be achieved using low-grade technology. While application layer security protocols cannot defend against denial of service (DoS) attacks where the attacker jams continuously, effective security protocols ensure that communication can continue after such interference has stopped.This paper analyses an authentication and key agreement protocol for satellite communications. The presented analysis reveals that the protocol is susceptible to a new DoS attack, where attackers jam a single message to achieve a permanent DoS condition. A new authentication and key agreement protocol is proposed that additionally addresses the scenario where messages send over the mobile satellite channel may not reach their intended recipient due to accidental or malicious interference. Analysis of the new protocol demonstrates that it is effective in countering the disruptive effects of jamming.     

基于行为基线的某钢铁行业工业控制系统信息安全解决方案

在早期,由于信息化发展水平有限,工业控制系统与信息管理层基本上处于隔离状态。因此,企业的信息化建设首先从信息层开始,经过10多年的建设积累,信息层的信息化建设已经有了较好的基础,涉及到了钢铁、勘探、加工、炼化、化工、储运等诸多工业领域,企业在管理层的指挥、协调和监控能力都有很大提升,提高了生产信息上传下达的实时性、完整性和一致性,相应的网络安全防护也有了较大提高。在信息管理层面,企业在生产领域大量引入IT技术,同时也包括各种如防火墙、IDS、VPN、防病毒等IT网络安全技术,这些技术主要面向商用网络应用层面,技术应用方面也相对成熟。