技術領域

本實用新型涉及一種檢測系統，具體涉及一種針對ModBus協議的工控異常流量檢測系統。

背景技術

ModBus協議是一種被廣泛的應用于多種工業控制系統中的通訊協議，工業控制中現場采集信號和控制指令常常以明文的形式通過Modbus協議進行傳輸，因此，ModBus的通訊安全十分重要。近幾年來，工業控制系統越來越頻繁的遭受信息安全攻擊。越來越多的案例表明，來自商業網絡、因特網以及其它因素導致的信息安全問題正逐漸在工業控制系統中擴散，直接影響了工業穩定生產及人身安全。

目前，工業控制網絡常用的安全防護手段主要以TCP/IP為主的以太網通信網絡作為對象，提出了大量的防護和檢測的解決方案，而對以ModBus為代表的工業現場通信協議缺乏具體的防護和檢測手段。通過專利檢索，暫未發現針對ModBus協議的信息安全檢測系統或平臺的已有專利。

同時，已有研究主要針對ModBus TCP協議進行信息安全的相關研究，對基于傳統串口通信的ModBus RTU協議的研究是缺失的。通過文獻檢索，已有文獻主要研究了ModBus TCP的入侵檢測技術、異常檢測方法、防護技術和訪問控制方法，未對ModBus RTU的信息安全問題展開研究，同時也未給出ModBus協議異常流量的檢測系統或平臺的設計方法。

實用新型內容

本實用新型的目的在于，針對現有技術中存在的問題，提出一種針對ModBus協議的工控異常流量檢測系統，以實現對工業控制系統和設備ModBus通信的流量分析，解決工業控制系統信息安全的設備級檢測問題，防范基于ModBus的信息安全攻擊。

為了實現上述目的，本實用新型采用的技術方案為：

一種針對ModBus協議的工控異常流量檢測系統，包括模擬設備、ModBus流量檢測裝置、被測試設備和ModBus異常流量分析裝置，所述模擬設備用于模擬無信息安全隱患且無故障的正常設備，模擬ModBus主站或從站；所述ModBus流量監測裝置用于截獲模擬設備和被測試設備之間的ModBus通信流量；所述被測試設備是可能存在信息安全隱患的工業控制設備，可能會發送異常的ModBus通信報文到模擬設備的設備；所述ModBus異常流量分析裝置用于接收并顯示截獲的所有ModBus報文，并具有對比分析功能，可依據設定規則判斷所截獲的單條或多條報文為異常報文，從而判斷被測試設備是否具有信息安全隱患。

所述模擬設備與ModBus流量檢測裝置相連；所述ModBus流量檢測裝置與模擬設備、被測試設備和ModBus異常流量分析裝置分別相連；所述被測試設備分別與ModBus流量檢測裝置和ModBus異常流量分析裝置相連；所述ModBus異常流量分析裝置分別與被測試設備和ModBus流量檢測裝置相連。

所述被測試設備是具有ModBus通信功能的單一設備，例如單個PLC、現場儀表；所述模擬設備采用支持ModBus協議仿真的x86計算機；所述ModBus異常流量分析裝置采用x86架構的工業計算機。

所述被測試設備是由多種工業控制設備組成的具備ModBus通信功能的工業控制系統；所述模擬設備采用支持ModBus協議的已知工業控制設備；所述ModBus異常流量分析裝置采用x86架構的工業計算機。

所述ModBus流量檢測裝置包括：

主控制模塊，主控制模塊承擔了系統管理，ModBus協議報文分析，和異常流量檢測功能；

電源模塊，電源模塊為主控制模塊及其它附屬電路提供電源，并接收看門狗模塊對電源輸出的管理和控制；

Bypass模塊，Bypass模塊用于保證裝置斷電或主控制模塊異常的情況下ModBus信號能正常通過裝置；

ModBus TCP通信模塊，ModBus TCP通信模塊的主要功能是ModBus TCP協議的數據處理和以太網信號傳輸功能；

ModBus RTU通信模塊，ModBus RTU通信模塊的主要功能是ModBus RTU協議的數據處理和RS485信號傳輸功能；

看門狗模塊，看門狗模塊主要實現對主控制模塊運行狀態的監測以及Bypass模塊和電源模塊的管理功能；

擴展存儲模塊，擴展存儲模塊主要用于存儲異常流量特征信息、系統配置、系統日志等信息。