一种具有Bypass功能的ModBus协议入侵检测装置的制作方法
本实用新型涉及一种检测装置,具体涉及一种具有Bypass功能的ModBus协议入侵检测装置。
背景技术:
工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业。目前,工业控制系统广泛采用了先进的信息技术,开放的软硬件技术、协议标准的应用以及工业控制系统和信息系统的集成使工业控制系统具备了开放性很高的接口,打通了系统与外界的分隔,因此,工业控制系统可以受到来自信息系统网络攻击的不良影响。越来越多的案例表明,来自商业网络、因特网以及其它因素导致的信息安全问题正逐渐在工业控制系统中扩散,直接影响了工业稳定生产及人身安全。
ModBus协议是一种被广泛的应用于多种工业控制系统中的通讯协议,工业控制中现场采集信号和控制指令常常以明文的形式通过Modbus协议进行传输,因此,保证ModBus通讯的安全,具有重大的意义。
目前,工业控制网络常用的安全防护手段包括工业防火墙、工业隔离网闸和入侵检测装置等。工业防火墙和工业隔离网闸可以提供身份认证和访问控制,检测并隔离流经防护设备的异常信息流,阻断外界对重要设施的直接访问,可以极大程度减少系统风险,但是这种方法不能防止来自于内部的攻击,例如ModBus写线圈指令可被利用于带有危险操作控制命令,将会导致设备的运行出现异常甚至损坏。入侵检测装置将网络中捕获的流量与已知的攻击特征模式进行匹配,识别出攻击行为,可作为其他安全技术的有力补充,但是目前的入侵检测装置主要是针对标准TCP/IP族的以太网协议进行流量捕获和检测。
另外,已有的ModBus协议入侵检测方法主要面向ModBus TCP协议,没有以RS485/232为主的串行接口,无法实现对ModBus RTU协议的处理和检测。更为重要的是,已有的ModBus协议入侵检测装置未考虑信号Bypass功能,由于入侵检测装置以串联的方式接入网络之中,一旦装置发生故障或断电,会导致网络中断,严重影响工控设备的通信。
技术实现要素:
本实用新型的目的在于,针对现有技术中存在的问题,提出一种具有Bypass功能的ModBus协议入侵检测装置,以满足不同信号类型的ModBus协议的检测需要,同时在断电后网络依然畅通,满足入侵检测装置对ModBus接口的全覆盖且不影响工控设备正常通信的要求。
为了实现上述目的,本实用新型采用的技术方案为:
一种具有Bypass功能的ModBus协议入侵检测装置,包括:
主控制模块,主控制模块承担了系统管理,ModBus协议报文分析,和异常流量检测功能;
电源模块,电源模块为主控制模块及其它附属电路提供电源,并接收看门狗模块对电源输出的管理和控制;
Bypass模块,Bypass模块用于保证装置断电或主控制模块异常的情况下ModBus信号能正常通过装置;
ModBus TCP通信模块,ModBus TCP通信模块的主要功能是ModBus TCP协议的数据处理和以太网信号传输功能;
ModBus RTU通信模块,ModBus RTU通信模块的主要功能是ModBus RTU协议的数据处理和RS485信号传输功能。
还包括看门狗模块,看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能;
扩展存储模块,扩展存储模块主要用于存储异常流量特征信息、系统配置、系统日志等信息。
所述ModBus TCP通信模块分别与主控制模块和Bypass模块相连接,所述ModBus RTU通信模块分别与主控制模块和Bypass模块相连接,所述Bypass模块分别与ModBus TCP通信模块、ModBus RTU通信模块、主控制模块和看门狗模块相连接,所述看门狗模块分别与Bypass模块、主控制模块和电源模块相连接,所述电源模块分别与看门狗模块和主控制模块相连接,所述主控制模块分别电源模块、看门狗模块、Bypass模块、扩展存储模块、ModBus TCP通信模块和ModBus RTU通信模块相连接。
所述ModBus TCP通信模块包括两个以太网接口,分别为ModBus TCP第一接口和ModBus TCP第二接口;所述ModBus RTU通信模块包括2个RS485接口,分别为ModBus RTU第一接口和ModBus RTU第二接口。
所述Bypass模块包括一个逻辑与非门电路和一个继电器开关电路,逻辑与非门电路分别接收来自于主处理模块输出信号和看门狗模块输出信号,控制继电器开关电路的多个继电器开合;继电器开关位于ModBus TCP或RTU的第一接口和第二接口之间,实现ModBus信号在Bypass功能开启时ModBus TCP或RTU第一接口与第二接口之间的信号互通。
所述主控制模块与扩展存储模块通过系统总线相连接。
所述电源模块上还设置有运行状态灯。
由于采用了上述技术方案,本实用新型的有益效果是:
本实用新型能够满足不同信号类型的ModBus协议的检测需要,同时在断电后网络依然畅通,满足入侵检测装置对ModBus接口的全覆盖且不影响工控设备正常通信的要求,可以同时支持ModBus TCP协议和ModBus RTU协议的入侵检测。本实用新型支持以太网接口和RS485接口两种接口类型,覆盖ModBus TCP协议和ModBus RTU协议,通用性更强。同时,本实用新型所述的检测装置具有Bypass功能,允许装置断电或故障的情况下不影响ModBus通信的正常进行,保证ModBus通信不受装置故障的影响。因此,本实用新型比现有的入侵检测装置更加适用于工业控制环境中,减轻入侵检测装置对工业控制系统ModBus通信实时性和可靠性的不良影响。
附图说明
图1是本实用新型所述的检测装置外观示意图;
图2是本实用新型结构示意图;
图3是本Bypass模块内部电路示意图。
具体实施方式
下面结合附图,对本实用新型做详细的说明。
实施例1
作为本实用新型的一种较佳实施例,参照说明书附图1、附图2和附图3,本实施例公开了一种具有Bypass功能的ModBus协议入侵检测装置,本实施例包括:
一种具有Bypass功能的ModBus协议入侵检测装置,包括:
主控制模块,主控制模块承担了系统管理,ModBus协议报文分析,和异常流量检测功能;
电源模块,电源模块为主控制模块及其它附属电路提供电源,并接收看门狗模块对电源输出的管理和控制;
Bypass模块,Bypass模块用于保证装置断电或主控制模块异常的情况下ModBus信号能正常通过装置;
ModBus TCP通信模块,ModBus TCP通信模块的主要功能是ModBus TCP协议的数据处理和以太网信号传输功能;
ModBus RTU通信模块,ModBus RTU通信模块的主要功能是ModBus RTU协议的数据处理和RS485信号传输功能。
还包括看门狗模块,看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能;
扩展存储模块,扩展存储模块主要用于存储异常流量特征信息、系统配置、系统日志等信息。
所述ModBus TCP通信模块分别与主控制模块和Bypass模块相连接,所述ModBus RTU通信模块分别与主控制模块和Bypass模块相连接,所述Bypass模块分别与ModBus TCP通信模块、ModBus RTU通信模块、主控制模块和看门狗模块相连接,所述看门狗模块分别与Bypass模块、主控制模块和电源模块相连接,所述电源模块分别与看门狗模块和主控制模块相连接,所述主控制模块分别电源模块、看门狗模块、Bypass模块、扩展存储模块、ModBus TCP通信模块和ModBus RTU通信模块相连接。
所述ModBus TCP通信模块和ModBus RTU通信模块分别与主控制模块相连接,将ModBus协议的通信信号传输给主控制模块进行数据的分析和处理。所述ModBus TCP通信模块和ModBus RTU通信模块也分别与Bypass模块相连接,Bypass模块保证装置断电或主控制模块异常的情况下ModBus通信信号依然可以正常地通过装置。看门狗模块监测主控制模块的状态,并控制Bypass模块和电源模块,以保证在主控制模块异常时保证ModBus通信正常通过装置并重启主控制模块。主控制模块与扩展存储模块通过系统总线相连接,通过读取扩展存储模块中存储的异常流量特征来实现ModBus协议的入侵检测功能。
所述ModBus TCP通信模块包括两个以太网接口,分别为ModBus TCP第一接口和ModBus TCP第二接口;所述ModBus RTU通信模块包括2个RS485接口,分别为ModBus RTU第一接口和ModBus RTU第二接口。
所述Bypass模块包括一个逻辑与非门电路和一个继电器开关电路,逻辑与非门电路分别接收来自于主处理模块输出信号和看门狗模块输出信号,控制继电器开关电路的多个继电器开合;继电器开关位于ModBus TCP或RTU的第一接口和第二接口之间,实现ModBus信号在Bypass功能开启时ModBus TCP或RTU第一接口与第二接口之间的信号互通。
当看门狗模块未检测到主控制模块异常,且主处理模块已经做好报文读取和分析准备的情况下,看门狗模块输出和主处理模块GPIO输出均为真,与非门电路控制继电器开关打开,实现Bypass功能关闭,ModBus信号送入主处理模块进行入侵检测分析。除此以外的其它情况下,与非门电路控制继电器开关闭合,Bypass功能开启,ModBus信号将不会送入主处理模块。
所述主控制模块与扩展存储模块通过系统总线相连接。
所述电源模块上还设置有运行状态灯。
所述的运行状态灯为LED灯。
主控制模块选用了基于ARM Cortex-A8处理器的AM3358,工作频率800MHz,具备两个工业千兆位以太网接口(10、100 和 1000Mbps)和多个UART通用异步收发接口。为了保证AM3358能够正常运行,扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据,同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。同时,主控制模块还包含了1路RS232接口电路,用于装置功能调试。
ModBus TCP通信模块包括了2个匹配RJ45类型接口的以太网转换电路。ModBus RTU通信模块包括了2个RS485转换电路,支持终端匹配和无终端匹配两种模式。两个通信模块与主控制模块之间采用光耦隔离的方式以保护主控制模块不受到接口电压波动所带来的影响。同时,两个ModBus通信模块都具有保护功能,可防止意外高压对模块的冲击。
看门狗模块包括看门狗处理器及扩展电路。看门狗接收来自主处理模块AM3358的GPIO喂狗信号,控制主处理模块的供电电路及Bypass模块。看门狗电路独立于其它模块电路,实时监测主处理模块的运行状态,发现主处理模块有异常时可以重启该模块并保证Bypass功能开启。
电源模块包括主控制模块供电及复位控制电路、看门狗供电电路、通信模块供电电路。电源模块可输出+5V、+3.3V和+1.8V电源电压,分别为RS485芯片、以太网芯片、看门狗处理器和AM3358处理器提供电源。电源模块向主控制模块提供复位信号,复位电路的输入源是看门狗处理器的输出。
实施例2
作为本实用新型的一种较佳实施例,参照说明书附图1、附图2和附图3,本实施例公开了一种具有Bypass功能的ModBus协议入侵检测装置,本实施例包括:
一种具有Bypass功能的ModBus协议入侵检测装置,包括:
主控制模块,主控制模块承担了系统管理,ModBus协议报文分析,和异常流量检测功能;
电源模块,电源模块为主控制模块及其它附属电路提供电源,并接收看门狗模块对电源输出的管理和控制;
Bypass模块,Bypass模块用于保证装置断电或主控制模块异常的情况下ModBus信号能正常通过装置;
ModBus TCP通信模块,ModBus TCP通信模块的主要功能是ModBus TCP协议的数据处理和以太网信号传输功能;
ModBus RTU通信模块,ModBus RTU通信模块的主要功能是ModBus RTU协议的数据处理和RS485信号传输功能。
还包括看门狗模块,看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能;
扩展存储模块,扩展存储模块主要用于存储异常流量特征信息、系统配置、系统日志等信息。
所述ModBus TCP通信模块分别与主控制模块和Bypass模块相连接,所述ModBus RTU通信模块分别与主控制模块和Bypass模块相连接,所述Bypass模块分别与ModBus TCP通信模块、ModBus RTU通信模块、主控制模块和看门狗模块相连接,所述看门狗模块分别与Bypass模块、主控制模块和电源模块相连接,所述电源模块分别与看门狗模块和主控制模块相连接,所述主控制模块分别电源模块、看门狗模块、Bypass模块、扩展存储模块、ModBus TCP通信模块和ModBus RTU通信模块相连接。
以上所述实施例仅表达了本申请的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请技术方案构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!