一种针对工控协议的高性能处理平台

VPP系统是开源高性能包处理平台，在流量审计领域多有应用，在工控审计领域的使用鲜少看到。本文通过将VPP系统应用于高速审计工控协议报文，成功地构建了一种高性能的工控安全审计平台。在该平台上，深度解析了Modbus/TCP、MMS、S7、IEC104等多种常见工控协议报文。通过获取到的工控协议报文的关键信息，使用去I/O操作存储解析所得数据。经过测试仪表验证，基于VPP平台的工控解析方法，与传统Linux内核方法处理数据报文相比，小包性能提高9.563%，大包性能提高24.609%，与现有工业防火墙的吞吐相比，小包提升10.908%，大包提升35.595%，大幅提高了报文处理的效率，将有效满足现代工业控制环境下，针对安全审计系统所需的稳定性、实时性和高效性。     

工业以太网PROFINET安全隔离器的设计

随着智能制造技术的发展,工业控制网络的安全问题日益突出。基于工业通信网络诊断、隔离和安全防护技术,以应用前景广泛的PROFINET工业以太网为研究对象,设计了基于PROFINET的专用工业网络安全隔离器。安全隔离器主要作用于工业网络内部,具有通用的工业网络层防火墙功能。对PROFINET通信协议进行了深度解析,并识别相应的报文类型与关键数据。通过配置安全策略,并将其传输到安全隔离器,可以实时监控网络状态和PROFINET关键数据,阻断异常畸形报文,同时可以防止未授权设备的非法访问。针对以上情形产生的报警信息,将被实时发送到配置管理平台并进行报警显示。经测试表明,工业网络安全隔离器对正常工业控制网络无影响。配置策略可有效保护关键设备,从而保护工业控制网络的安全。     

核电厂仪控系统安全防护策略研究及应用

核能行业网络安全事件暴露了核电厂仪控系统缺少网络、主机、应用、数据等各方面的网络安全防护手段,一旦发生网络安全事件后果严重。基于对核电相关网络安全标准的分析,研究了白名单策略与黑名单策略的技术差异,提出了在核电厂场景应用白名单防护策略的工作方向。详细分析了程序白名单、外设白名单、工控协议白名单、工控行为白名单的基本概念、技术特点和实际应用场景;描述了白名单防护策略的具体实施方案,包括规划、设计、验证、实施和维护5个步骤,并在实际的核电站进行产品部署。经过在核电站的实践验证,采用白名单技术防护的网络区域可以有效防止恶意软件的破坏,阻止恶意报文的传输,从而保护核电厂仪控系统的安全。     

火电工控系统网络安全防护方案设计

针对火电工控系统的网络安全问题进行了研究,对当前火电工控系统的网络架构、安全挑战、防护现状、风险来源等网络安全问题进行了分析总结,按照电力系统的安全防护总体原则及相关标准规范,针对电力生产网络的特点及安全要求,提出了以数据探针为组成单元的能够覆盖电厂工控网络各个层级并配置监测中心的安全防护架构,能够对多种工控协议进行深度解析,对已知和未知危险流量进行识别和学习,并将宏观网络态势以可视化的方式展示出来,实现了对电厂工控系统多层次、立体化、智能化的安全防护,能够深度有效的保护电厂生产网络系统。     

联网工业控制系统主动感知预警技术研究

针对日趋严峻的工业控制系统安全问题,通过主动感知、漏洞库关联匹配等技术手段,实现了对联网工控系统的事前预警,丰富了工业控制系统网络安全防护体系。在Modbus/TCP公有通信协议分析的基础上,开发专用扫描探测脚本,提取协议指纹特征,构建工控指纹库。并通过快速扫描机制发现联网工控设备IP及存活端口,利用工控资产原始报文与指纹库的模糊匹配技术,识别出工业控制系统设备资产。结合CNVD、CNNVD、CVE及中国电子科技网络信息安全有限公司自主工控漏洞库,对联网工控设备进行漏洞关联预警。该研究对推动建立国家层面的威胁感知预警平台具有积极的作用。     

基于自适应深度检测的工控安全防护系统设计

为了解决工控防火墙及其他网络防护设备在接口流量过大、资源占用过多时,容易成为响应瓶颈的问题,研究一种基于自适应深度检测的工控安全防护系统。系统安装在被保护设备的上游,实现对工控协议的识别和深度解析,以及工控网络协议的深度检测过滤,并根据工控现场网络状态自适应动态调整深度检测算法级别。系统能够处理目前比较流行的各种工控协议,并对之进行深度解析,对工控现场网络起到保护作用。     

保障工业控制系统网络安全对策及措施

文章从工业控制系统(简称工控系统)网络安全、应用安全、数据安全、管理安全等层面,分析了工控系统安全现状以及面临的风险,以强化边界防火墙、行为审计、区域隔离、主机防护等措施,降低网络安全威胁,提升工控系统网络安全防护能力.     

非标工业控制协议格式逆向方法研究

协议安全是工业控制系统信息安全中的一项重要内容,非标协议格式的正确识别是协议安全分析的基础。基于工控系统行业现状和工控协议的结构确定、传输重复、语义有限的特性,提出了基于网络流量的非标准工控协议逆向识别方法,通过单报文处理进行初步分词聚类,多报文处理进行报文序列比对,关键字段推断语义,最终得到协议格式。验证结果表明,该方法能较好地识别非标工控协议格式。     

智慧水务工控网络信息安全方案的设计与研究

针对目前水务工控网络存在的安全问题与风险,以及国家等级保护2.0的发布,提出并设计智慧水务工控网络信息安全方案。方案基于云平台的智慧水务系统工控网络信息安全架构体系,通过工业云平台实现感知与分析,通过防火墙及检测软件监控工控网络数据流量、工作站软件状态系统,解决原有水务系统的安全风险。该信息安全方案已在实际水务系统进行示范性实施,取得预期的成效。     

基于5G的智慧机场网络安全方案设计与安全性分析

面向智慧机场网络安全方案的实际应用需求,提出了一种基于5G的智慧机场网络安全方案。该方案分析了智慧机场5G场景的安全特点及安全需求,从统一安全管控、网络切片安全、安全监测预警、边缘计算安全、物联网感知节点安全5方面总结了当前场景下存在的安全需求痛点,并设计了基于5G的智慧机场网络安全方案,其功能组成包括面向泛在网络的5G网络统一安全管控功能、轻量化的5G网络身份认证鉴权功能、面向多业务需求的5G网络切片安全防护、基于大数据分析的5G网络安全监测预警、基于边缘计算的一体化安全防护功能、基于设备行为分析的感知节点安全防护功能,构建了集业务加密、网络安全、终端可信、身份可信、安全管控于一体的安全平台。此外,分析了现有5G认证与密钥协商（AKA,authentication and key agreement）协议中潜在的伪造基站攻击。由于缺少对SN转发的消息的真实性验证,攻击者可以冒充真实的服务网络与用户设备和归属网络进行通信,从而进行基站伪装攻击。这种攻击可能会导致智慧机场网络数据泄露,并遭遇敌手的篡改、欺骗等问题。针对智慧机场网络安全需求和5G认证与密钥协商协议的安全问题,设计了抗攻击的...     

远程监控系统中GSM网关的研究与开发

在开发设计铁路双电源远程监控系统中，通过GSM数传和短消息通信业务实现数据传输，并设计了一种GSM网关来处理现场采集的数据。该网关采用线程池技术进行SOAP和GSM数据及短消息协议之间的转换，实现了工业现场的远程监控，为监控网络和移动网络的一体化应用建立了统一平台。     

IPART: an automatic protocol reverse engineering tool based on global voting expert for industrial protocols

ABSTRACT

The industrial control system is an important part of many critical infrastructures and has a big influence on the security of them. With the rapid development of the industrial control system, there has been a significant increase for industrial control system to use the computer network, which has brought many security issues. Protocol security is one of the most important security issues. Many industrial protocols are unknown, which prevent firewall parsing and analysing network traffic, thus it brings a big challenge for intrusion detection, deep packet inspection and traffic management. One method to solve the problem is the reverse engineering technology. However, previous works are mainly for traditional network protocols and not very suitable for reversing industrial protocols. To address this problem, we propose IPART, an unsupervised tool for automatically reverse the format of the industrial protocol from network trace. IPART applies an extended voting expert algorithm to infer the boundaries of industrial protocol fields. Types of these fields are derived by statistical methods. It then classifies messages into sub-clusters by their field types and infers the format of each sub-cluster. Finally, IPART combines all results and gets the format tree of the protocol. We evaluate our work on three industrial protocols: Modbus, IEC104 and Ethernet/IP. Compared with some state-of-art approaches (lda model, Voting expert, netzob), our tool shows a better performance.

IPART reverse industrial protocols mainly by three stages. The tool firstly split raw packages into tokens and infer the fields of the protocol. Both fields property (offset, length, etc.) and semantic (length, transition id, etc.). It then class messages belong to the same format to a cluster and each cluster approximates a format. Finally, the tool combines all formats and get the protocol format tree.     

工业物联网网关的研究与实现

工业物联网是工业领域的物联网技术,是新一代信息技术的重要组成部分。在工业物联网体系架构中,感知层网络和工业互联网之间需要一个网关设备,实现工业互联网与传感层网络的互联互通。工业物联网网关旨在解决当前感知层网络设备的横向不关联,无法联动控制和统一管理的问题。网关以工业互联网为载体进行信息交换,把分散在各种工业现场的感知网络设备信息进行采集、存储、分析、管理。本文研究了一种工业物联网网关设计及实现方案。该方案设计基于ARM9平台,采用Linux操作系统,集成多种通用工控通讯协议、物联网通讯协议及互联网通讯协议,实现物联网感知层与工业互联网应用层之间的无缝对接。     

滑动窗口技术在智能仪表离线交易记录上传中的运用

RS485通信协议在工业数据通信领域中被广泛采用,它具有组网简单、抗干扰能力强、传输距离远等诸多优势。但RS485通信协议在传输层的实现没有统一标准,需要各个工业厂商自己定义,而大部分厂家采用的是单数据包的询问应答模式,导致信道利用效率低。当数据传输量小的时候,时间成本的浪费并不突出,然而但随着数字智能设备的不断发展,通信数据量的不断增大,RS485协议在实际的应用中也凸现一些弊端,如传输效率低,信道利用率不高等问题。TCP协议是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP滑动窗口技术是一种成熟可靠的传输层通信协议,它具有差错控制、流量控制、较高的数据传输效率等优势,将TCP滑动窗口技术应用于RS485通信协议必将极大的改善目前工业领域数据通信的现状。     

实时工业以太网无线通信节点的设计与实现

实时控制网络是新型网络化、智能化工业装备的重要支撑技术。在研究POWERLINK实时工业以太网协议的基础上,以FPGA为核心,设计和实现了一个实时无线通信嵌入式硬件节点。其中,以FPGA作为实时网络协议栈处理单元,采用并行接口与主控单元实现高速数据交互,并基于典型射频模块实现无线数据传输接口,可支持高速无线数据传输。通过所集成POWERLINK IP核的实时链路层管理机制,实现了工业网络中多节点间数据的无线实时传输。     

GPRS与ZigBee在智能家居安全防范中的应用

移动通信GPRS与无线网络通信ZigBee相结合,实现了智能家居安防设备的远程控制与监控.系统选用GPRS数传模块DL6200和满足ZigBee协议的CC2430模块.可通过GSM手机发送短信命令让安防设备执行其命令.当发生警报时,与GPRS绑定的手机也可收到报警信息.     

工业互联网云网关架构及实现

针对工业生产数据通信协议复杂、工业设备与云端通信困难的问题,提出一种工业互联网云网关架构。针对传输协议复杂多样的问题,提出了一种多协议数据解析方法,能够对多种协议下的数据进行解析,并转换为MQTT协议,实现数据统一协议并上传至云平台。针对协议转换中的实时可靠性问题,提出一种支持断点续传并可以快速处理并发任务的异步处理机制来保证协议转换的实时可靠性。在保证实时可靠的基础上,提出一种三层加密方式以提高数据传输的安全性。在软硬件上实现了上述云网关架构,并在工业过程控制设备上进行了实验。实验结果表明,该架构能够有效解决工业系统与云平台的数据融合问题。     

Countering jamming attacks against an authentication and key agreement protocol for mobile satellite communications

The radio-based medium of satellite communication systems is vulnerable to interference on physical channels: unintentional interferences occur frequently and jamming attacks can be achieved using low-grade technology. While application layer security protocols cannot defend against denial of service (DoS) attacks where the attacker jams continuously, effective security protocols ensure that communication can continue after such interference has stopped.This paper analyses an authentication and key agreement protocol for satellite communications. The presented analysis reveals that the protocol is susceptible to a new DoS attack, where attackers jam a single message to achieve a permanent DoS condition. A new authentication and key agreement protocol is proposed that additionally addresses the scenario where messages send over the mobile satellite channel may not reach their intended recipient due to accidental or malicious interference. Analysis of the new protocol demonstrates that it is effective in countering the disruptive effects of jamming.     

EPA的信息安全技术

针对基于EPA的工业测量与控制网络的特点，以工业控制为应用对象，在MAC层与网络层之间定义了EPA报文控制管理实体、在IP层定义了IP报文控制管理实体、在应用层定义了应用层安全管理实体，在网络物理区域采用安全网桥作为边界保护，从而保证与EPA控制网络连接的信息传输安全，使系统的安全损失减少到最小，并在受到攻击后能够迅速地恢复。经过组建网络测试，这些安全措施都能够有效地提高网络的安全性。     

基于行为基线的某钢铁行业工业控制系统信息安全解决方案

在早期,由于信息化发展水平有限,工业控制系统与信息管理层基本上处于隔离状态。因此,企业的信息化建设首先从信息层开始,经过10多年的建设积累,信息层的信息化建设已经有了较好的基础,涉及到了钢铁、勘探、加工、炼化、化工、储运等诸多工业领域,企业在管理层的指挥、协调和监控能力都有很大提升,提高了生产信息上传下达的实时性、完整性和一致性,相应的网络安全防护也有了较大提高。在信息管理层面,企业在生产领域大量引入IT技术,同时也包括各种如防火墙、IDS、VPN、防病毒等IT网络安全技术,这些技术主要面向商用网络应用层面,技术应用方面也相对成熟。