一种针对ModBus协议的工控异常流量检测系统的制作方法

本实用新型涉及一种检测系统，具体涉及一种针对ModBus协议的工控异常流量检测系统。

背景技术：

ModBus协议是一种被广泛的应用于多种工业控制系统中的通讯协议，工业控制中现场采集信号和控制指令常常以明文的形式通过Modbus协议进行传输，因此，ModBus的通讯安全十分重要。近几年来，工业控制系统越来越频繁的遭受信息安全攻击。越来越多的案例表明，来自商业网络、因特网以及其它因素导致的信息安全问题正逐渐在工业控制系统中扩散，直接影响了工业稳定生产及人身安全。

目前，工业控制网络常用的安全防护手段主要以TCP/IP为主的以太网通信网络作为对象，提出了大量的防护和检测的解决方案，而对以ModBus为代表的工业现场通信协议缺乏具体的防护和检测手段。通过专利检索，暂未发现针对ModBus协议的信息安全检测系统或平台的已有专利。

同时，已有研究主要针对ModBus TCP协议进行信息安全的相关研究，对基于传统串口通信的ModBus RTU协议的研究是缺失的。通过文献检索，已有文献主要研究了ModBus TCP的入侵检测技术、异常检测方法、防护技术和访问控制方法，未对ModBus RTU的信息安全问题展开研究，同时也未给出ModBus协议异常流量的检测系统或平台的设计方法。

技术实现要素：

本实用新型的目的在于，针对现有技术中存在的问题，提出一种针对ModBus协议的工控异常流量检测系统，以实现对工业控制系统和设备ModBus通信的流量分析，解决工业控制系统信息安全的设备级检测问题，防范基于ModBus的信息安全攻击。

为了实现上述目的，本实用新型采用的技术方案为：

一种针对ModBus协议的工控异常流量检测系统，包括模拟设备、ModBus流量检测装置、被测试设备和ModBus异常流量分析装置，所述模拟设备用于模拟无信息安全隐患且无故障的正常设备，模拟ModBus主站或从站；所述ModBus流量监测装置用于截获模拟设备和被测试设备之间的ModBus通信流量；所述被测试设备是可能存在信息安全隐患的工业控制设备，可能会发送异常的ModBus通信报文到模拟设备的设备；所述ModBus异常流量分析装置用于接收并显示截获的所有ModBus报文，并具有对比分析功能，可依据设定规则判断所截获的单条或多条报文为异常报文，从而判断被测试设备是否具有信息安全隐患。

所述模拟设备与ModBus流量检测装置相连；所述ModBus流量检测装置与模拟设备、被测试设备和ModBus异常流量分析装置分别相连；所述被测试设备分别与ModBus流量检测装置和ModBus异常流量分析装置相连；所述ModBus异常流量分析装置分别与被测试设备和ModBus流量检测装置相连。

所述被测试设备是具有ModBus通信功能的单一设备，例如单个PLC、现场仪表；所述模拟设备采用支持ModBus协议仿真的x86计算机；所述ModBus异常流量分析装置采用x86架构的工业计算机。

所述被测试设备是由多种工业控制设备组成的具备ModBus通信功能的工业控制系统；所述模拟设备采用支持ModBus协议的已知工业控制设备；所述ModBus异常流量分析装置采用x86架构的工业计算机。

所述ModBus流量检测装置包括：

主控制模块，主控制模块承担了系统管理，ModBus协议报文分析，和异常流量检测功能；

电源模块，电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；

Bypass模块，Bypass模块用于保证装置断电或主控制模块异常的情况下ModBus信号能正常通过装置；

ModBus TCP通信模块，ModBus TCP通信模块的主要功能是ModBus TCP协议的数据处理和以太网信号传输功能；

ModBus RTU通信模块，ModBus RTU通信模块的主要功能是ModBus RTU协议的数据处理和RS485信号传输功能；

看门狗模块，看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；

扩展存储模块，扩展存储模块主要用于存储异常流量特征信息、系统配置、系统日志等信息。

所述ModBus TCP通信模块分别与主控制模块和Bypass模块相连接，所述ModBus RTU通信模块分别与主控制模块和Bypass模块相连接，所述Bypass模块分别与ModBus TCP通信模块、ModBus RTU通信模块、主控制模块和看门狗模块相连接，所述看门狗模块分别与Bypass模块、主控制模块和电源模块相连接，所述电源模块分别与看门狗模块和主控制模块相连接，所述主控制模块分别电源模块、看门狗模块、Bypass模块、扩展存储模块、ModBus TCP通信模块和ModBus RTU通信模块相连接。

所述ModBus TCP通信模块包括两个以太网接口，分别为ModBus TCP第一接口和ModBus TCP第二接口；所述ModBus RTU通信模块包括2个RS485接口，分别为ModBus RTU第一接口和ModBus RTU第二接口。

所述Bypass模块包括一个逻辑与非门电路和一个继电器开关电路，逻辑与非门电路分别接收来自于主处理模块输出信号和看门狗模块输出信号，控制继电器开关电路的多个继电器开合；继电器开关位于ModBus TCP或RTU的第一接口和第二接口之间，实现ModBus信号在Bypass功能开启时ModBus TCP或RTU第一接口与第二接口之间的信号互通。

所述主控制模块与扩展存储模块通过系统总线相连接。

所述电源模块上还设置有运行状态灯。

由于采用了上述技术方案，本实用新型的有益效果是：

本实用新型提出了实际可行的ModBus异常流量检测方法，实现对工业控制系统和设备ModBus通信的流量分析，解决工业控制系统信息安全的设备级检测问题，防范基于ModBus的信息安全攻击。本实用新型结构简单，功能全面，运行稳定，能够满足不同信号类型的ModBus协议的检测需要，同时在断电后网络依然畅通，满足入侵检测装置对ModBus接口的全覆盖且不影响工控设备正常通信的要求，可以同时支持ModBus TCP协议和ModBus RTU协议的入侵检测，提高了ModBus的通讯安全性。

附图说明

图1是本实用新型所述的检测系统结构示意图；

图2是ModBus异常流量分析装置运行流程图；

图3是本实用新型所述的检测系统一实施例的结构示意图；

图4是本实用新型所述的检测系统另一实施例的结构示意图；

图5是ModBus流量检测装置外观示意图；

图6是ModBus流量检测装置结构示意图；

图7是Bypass模块内部电路示意图。

具体实施方式

下面结合附图，对本实用新型做详细的说明。

实施例1

作为本实用新型的一种较佳实施例，参照说明书附图1、附图2、附图3、附图5、附图6和附图7，本实施例公开了一种针对ModBus协议的工控异常流量检测系统，本实施例包括：

一种针对ModBus协议的工控异常流量检测系统，包括模拟设备、ModBus流量检测装置、被测试设备和ModBus异常流量分析装置，所述模拟设备用于模拟无信息安全隐患且无故障的正常设备，模拟ModBus主站或从站；所述ModBus流量监测装置用于截获模拟设备和被测试设备之间的ModBus通信流量；所述被测试设备是可能存在信息安全隐患的工业控制设备，可能会发送异常的ModBus通信报文到模拟设备的设备；所述ModBus异常流量分析装置用于接收并显示截获的所有ModBus报文，并具有对比分析功能，可依据设定规则判断所截获的单条或多条报文为异常报文，从而判断被测试设备是否具有信息安全隐患。

所述模拟设备与ModBus流量检测装置相连；所述ModBus流量检测装置与模拟设备、被测试设备和ModBus异常流量分析装置分别相连；所述被测试设备分别与ModBus流量检测装置和ModBus异常流量分析装置相连；所述ModBus异常流量分析装置分别与被测试设备和ModBus流量检测装置相连。

所述被测试设备是具有ModBus通信功能的单一设备，例如单个PLC、现场仪表；所述模拟设备采用支持ModBus协议仿真的x86计算机；所述ModBus异常流量分析装置采用x86架构的工业计算机。

所述ModBus流量检测装置包括：

主控制模块，主控制模块承担了系统管理，ModBus协议报文分析，和异常流量检测功能；

电源模块，电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；

Bypass模块，Bypass模块用于保证装置断电或主控制模块异常的情况下ModBus信号能正常通过装置；

ModBus TCP通信模块，ModBus TCP通信模块的主要功能是ModBus TCP协议的数据处理和以太网信号传输功能；

ModBus RTU通信模块，ModBus RTU通信模块的主要功能是ModBus RTU协议的数据处理和RS485信号传输功能；

看门狗模块，看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；

扩展存储模块，扩展存储模块主要用于存储异常流量特征信息、系统配置、系统日志等信息。

所述ModBus TCP通信模块分别与主控制模块和Bypass模块相连接，所述ModBus RTU通信模块分别与主控制模块和Bypass模块相连接，所述Bypass模块分别与ModBus TCP通信模块、ModBus RTU通信模块、主控制模块和看门狗模块相连接，所述看门狗模块分别与Bypass模块、主控制模块和电源模块相连接，所述电源模块分别与看门狗模块和主控制模块相连接，所述主控制模块分别电源模块、看门狗模块、Bypass模块、扩展存储模块、ModBus TCP通信模块和ModBus RTU通信模块相连接。

所述ModBus TCP通信模块包括两个以太网接口，分别为ModBus TCP第一接口和ModBus TCP第二接口；所述ModBus RTU通信模块包括2个RS485接口，分别为ModBus RTU第一接口和ModBus RTU第二接口。

所述Bypass模块包括一个逻辑与非门电路和一个继电器开关电路，逻辑与非门电路分别接收来自于主处理模块输出信号和看门狗模块输出信号，控制继电器开关电路的多个继电器开合；继电器开关位于ModBus TCP或RTU的第一接口和第二接口之间，实现ModBus信号在Bypass功能开启时ModBus TCP或RTU第一接口与第二接口之间的信号互通。

所述主控制模块与扩展存储模块通过系统总线相连接。

所述电源模块上还设置有运行状态灯。

所述被测试设备是具有ModBus通信功能的单一设备，例如单个PLC、现场仪表等。要求该设备具有以太网或串口形式的调试接口用以连接ModBus异常流量分析装置。ModBus异常流量分析装置通过访问该调试接口可以读取设备运行状态、系统配置、信号输入和控制输出等信息。

所述模拟设备采用支持ModBus协议仿真的x86计算机。该计算机通过MATLAB、OPNET、NS2等网络仿真软件，实现ModBus协议的仿真模拟。通信信号通过计算机的以太网卡或串口扩展卡传递给ModBus流量检测装置。

所述ModBus异常流量分析装置通过以太网与ModBus流量检测装置相连。同时，ModBus异常流量分析装置也可以通过以太网从被测试设备中获得被测试设备的状态信息和实时数据。

ModBus异常流量分析装置采用搭载了DNP3.0异常流量分析系统或软件的x86架构的工业计算机实现，该工业计算机具备2个以太网口和1个RS232串口。该计算机通过以太网与ModBus流量检测装置连接，通过以太网或串口与被测试设备的调试接口进行连接。

所述ModBus异常流量分析装置的工作流程如下：

1.访问ModBus流量检测装置，读取截获的ModBus协议双向数据包；

2.访问被测试设备，读取设备状态、输入输出数据、系统日志等信息；

3.通过机器学习算法（神经网络、决策树、支持向量机等）构建的流量分析模型来判断所截获的数据包与被测试设备的信息之间的匹配程度，若匹配程度大于90%，则判定为异常流量；

4.单独记录判定的异常流量以供后期分析。

所述ModBus流量检测装置截获仿真计算机和被测试设备之间的ModBus通信报文，并将截获的报文转发至ModBus异常流量分析装置中。

主控制模块选用了基于ARM Cortex-A8处理器的AM3358，工作频率800MHz，具备两个工业千兆位以太网接口（10、100 和 1000Mbps）和多个UART通用异步收发接口。为了保证AM3358能够正常运行，扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据，同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。同时，主控制模块还包含了1路RS232接口电路，用于装置功能调试。

ModBus TCP通信模块包括了2个匹配RJ45类型接口的以太网转换电路。ModBus RTU通信模块包括了2个RS485转换电路，支持终端匹配和无终端匹配两种模式。两个通信模块与主控制模块之间采用光耦隔离的方式以保护主控制模块不受到接口电压波动所带来的影响。同时，两个ModBus通信模块都具有保护功能，可防止意外高压对模块的冲击。

看门狗模块包括看门狗处理器及扩展电路。看门狗接收来自主处理模块AM3358的GPIO喂狗信号，控制主处理模块的供电电路及Bypass模块。看门狗电路独立于其它模块电路，实时监测主处理模块的运行状态，发现主处理模块有异常时可以重启该模块并保证Bypass功能开启。

电源模块包括主控制模块供电及复位控制电路、看门狗供电电路、通信模块供电电路。电源模块可输出+5V、+3.3V和+1.8V电源电压，分别为RS485芯片、以太网芯片、看门狗处理器和AM3358处理器提供电源。电源模块向主控制模块提供复位信号，复位电路的输入源是看门狗处理器的输出。

实施例2

作为本实用新型的一种较佳实施例，参照说明书附图1、附图2、附图4、附图5、附图6和附图7，本实施例公开了一种针对ModBus协议的工控异常流量检测系统，本实施例包括：

一种针对ModBus协议的工控异常流量检测系统，包括模拟设备、ModBus流量检测装置、被测试设备和ModBus异常流量分析装置，所述模拟设备用于模拟无信息安全隐患且无故障的正常设备，模拟ModBus主站或从站；所述ModBus流量监测装置用于截获模拟设备和被测试设备之间的ModBus通信流量；所述被测试设备是可能存在信息安全隐患的工业控制设备，可能会发送异常的ModBus通信报文到模拟设备的设备；所述ModBus异常流量分析装置用于接收并显示截获的所有ModBus报文，并具有对比分析功能，可依据设定规则判断所截获的单条或多条报文为异常报文，从而判断被测试设备是否具有信息安全隐患。

所述模拟设备与ModBus流量检测装置相连；所述ModBus流量检测装置与模拟设备、被测试设备和ModBus异常流量分析装置分别相连；所述被测试设备分别与ModBus流量检测装置和ModBus异常流量分析装置相连；所述ModBus异常流量分析装置分别与被测试设备和ModBus流量检测装置相连。

所述被测试设备是由多种工业控制设备组成的具备ModBus通信功能的工业控制系统；所述模拟设备采用支持ModBus协议的已知工业控制设备；所述ModBus异常流量分析装置采用x86架构的工业计算机。

所述ModBus流量检测装置包括：

主控制模块，主控制模块承担了系统管理，ModBus协议报文分析，和异常流量检测功能；

电源模块，电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；

Bypass模块，Bypass模块用于保证装置断电或主控制模块异常的情况下ModBus信号能正常通过装置；

ModBus TCP通信模块，ModBus TCP通信模块的主要功能是ModBus TCP协议的数据处理和以太网信号传输功能；

ModBus RTU通信模块，ModBus RTU通信模块的主要功能是ModBus RTU协议的数据处理和RS485信号传输功能；

看门狗模块，看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；

扩展存储模块，扩展存储模块主要用于存储异常流量特征信息、系统配置、系统日志等信息。

所述ModBus TCP通信模块分别与主控制模块和Bypass模块相连接，所述ModBus RTU通信模块分别与主控制模块和Bypass模块相连接，所述Bypass模块分别与ModBus TCP通信模块、ModBus RTU通信模块、主控制模块和看门狗模块相连接，所述看门狗模块分别与Bypass模块、主控制模块和电源模块相连接，所述电源模块分别与看门狗模块和主控制模块相连接，所述主控制模块分别电源模块、看门狗模块、Bypass模块、扩展存储模块、ModBus TCP通信模块和ModBus RTU通信模块相连接。

所述ModBus TCP通信模块包括两个以太网接口，分别为ModBus TCP第一接口和ModBus TCP第二接口；所述ModBus RTU通信模块包括2个RS485接口，分别为ModBus RTU第一接口和ModBus RTU第二接口。

所述Bypass模块包括一个逻辑与非门电路和一个继电器开关电路，逻辑与非门电路分别接收来自于主处理模块输出信号和看门狗模块输出信号，控制继电器开关电路的多个继电器开合；继电器开关位于ModBus TCP或RTU的第一接口和第二接口之间，实现ModBus信号在Bypass功能开启时ModBus TCP或RTU第一接口与第二接口之间的信号互通。

所述主控制模块与扩展存储模块通过系统总线相连接。

所述电源模块上还设置有运行状态灯。

所述被测试设备是由多种工业控制设备组成的具备ModBus通信功能的工业控制系统，例如DCS系统、SCADA系统等。被测试系统具有以太网或串口形式的调试接口用以连接ModBus异常流量分析装置。ModBus异常流量分析装置通过访问该调试接口可以读取系统运行状态、系统配置、系统组态信息、IO模块的输入输出、系统日志等信息。

所述模拟设备采用支持ModBus协议的已知工业控制设备，例如现场仪表、PLC、HMI等。各个工业控制设备通过工业串口或以太网交换机与ModBus流量检测装置相连接。

所述ModBus异常流量分析装置通过以太网与ModBus流量检测装置相连。同时，ModBus异常流量分析装置也可以通过以太网从被测试设备中获得被测试设备的状态信息和实时数据。

ModBus异常流量分析装置采用搭载了DNP3.0异常流量分析系统或软件的x86架构的工业计算机实现，该工业计算机具备2个以太网口和1个RS232串口。该计算机通过以太网与ModBus流量检测装置连接，通过以太网或串口与被测试设备的调试接口进行连接。

所述ModBus异常流量分析装置的工作流程如下：

1.访问ModBus流量检测装置，读取截获的ModBus协议双向数据包；

2.访问被测试设备，读取设备状态、输入输出数据、系统日志等信息；

3.通过机器学习算法（神经网络、决策树、支持向量机等）构建的流量分析模型来判断所截获的数据包与被测试设备的信息之间的匹配程度，若匹配程度大于90%，则判定为异常流量；

4.单独记录判定的异常流量以供后期分析。

所述ModBus流量检测装置截获仿真计算机和被测试设备之间的ModBus通信报文，并将截获的报文转发至ModBus异常流量分析装置中。

主控制模块选用了基于ARM Cortex-A8处理器的AM3358，工作频率800MHz，具备两个工业千兆位以太网接口（10、100 和 1000Mbps）和多个UART通用异步收发接口。为了保证AM3358能够正常运行，扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据，同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。同时，主控制模块还包含了1路RS232接口电路，用于装置功能调试。

ModBus TCP通信模块包括了2个匹配RJ45类型接口的以太网转换电路。ModBus RTU通信模块包括了2个RS485转换电路，支持终端匹配和无终端匹配两种模式。两个通信模块与主控制模块之间采用光耦隔离的方式以保护主控制模块不受到接口电压波动所带来的影响。同时，两个ModBus通信模块都具有保护功能，可防止意外高压对模块的冲击。

看门狗模块包括看门狗处理器及扩展电路。看门狗接收来自主处理模块AM3358的GPIO喂狗信号，控制主处理模块的供电电路及Bypass模块。看门狗电路独立于其它模块电路，实时监测主处理模块的运行状态，发现主处理模块有异常时可以重启该模块并保证Bypass功能开启。

电源模块包括主控制模块供电及复位控制电路、看门狗供电电路、通信模块供电电路。电源模块可输出+5V、+3.3V和+1.8V电源电压，分别为RS485芯片、以太网芯片、看门狗处理器和AM3358处理器提供电源。电源模块向主控制模块提供复位信号，复位电路的输入源是看门狗处理器的输出。

实施例3

作为本实用新型的一种较佳实施例，参照说明书附图1，本实施例公开了一种针对ModBus协议的工控异常流量检测系统，本实施例包括：

一种针对ModBus协议的工控异常流量检测系统，包括模拟设备、ModBus流量检测装置、被测试设备和ModBus异常流量分析装置，所述模拟设备用于模拟无信息安全隐患且无故障的正常设备，模拟ModBus主站或从站；所述ModBus流量监测装置用于截获模拟设备和被测试设备之间的ModBus通信流量；所述被测试设备是可能存在信息安全隐患的工业控制设备，可能会发送异常的ModBus通信报文到模拟设备的设备；所述ModBus异常流量分析装置用于接收并显示截获的所有ModBus报文，并具有对比分析功能，可依据设定规则判断所截获的单条或多条报文为异常报文，从而判断被测试设备是否具有信息安全隐患。

所述模拟设备与ModBus流量检测装置相连；所述ModBus流量检测装置与模拟设备、被测试设备和ModBus异常流量分析装置分别相连；所述被测试设备分别与ModBus流量检测装置和ModBus异常流量分析装置相连；所述ModBus异常流量分析装置分别与被测试设备和ModBus流量检测装置相连。

以上所述实施例仅表达了本申请的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请技术方案构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。