一種具有Bypass功能的ModBus協議入侵檢測裝置的製作方法
2023-08-11 18:15:51
本實用新型涉及一種檢測裝置,具體涉及一種具有Bypass功能的ModBus協議入侵檢測裝置。
背景技術:
工業控制系統廣泛應用於我國電力、水利、汙水處理、石油天然氣、化工、交通運輸、製藥以及大型製造行業。目前,工業控制系統廣泛採用了先進的信息技術,開放的軟硬體技術、協議標準的應用以及工業控制系統和信息系統的集成使工業控制系統具備了開放性很高的接口,打通了系統與外界的分隔,因此,工業控制系統可以受到來自信息系統網絡攻擊的不良影響。越來越多的案例表明,來自商業網絡、網際網路以及其它因素導致的信息安全問題正逐漸在工業控制系統中擴散,直接影響了工業穩定生產及人身安全。
ModBus協議是一種被廣泛的應用於多種工業控制系統中的通訊協議,工業控制中現場採集信號和控制指令常常以明文的形式通過Modbus協議進行傳輸,因此,保證ModBus通訊的安全,具有重大的意義。
目前,工業控制網絡常用的安全防護手段包括工業防火牆、工業隔離網閘和入侵檢測裝置等。工業防火牆和工業隔離網閘可以提供身份認證和訪問控制,檢測並隔離流經防護設備的異常信息流,阻斷外界對重要設施的直接訪問,可以極大程度減少系統風險,但是這種方法不能防止來自於內部的攻擊,例如ModBus寫線圈指令可被利用於帶有危險操作控制命令,將會導致設備的運行出現異常甚至損壞。入侵檢測裝置將網絡中捕獲的流量與已知的攻擊特徵模式進行匹配,識別出攻擊行為,可作為其他安全技術的有力補充,但是目前的入侵檢測裝置主要是針對標準TCP/IP族的乙太網協議進行流量捕獲和檢測。
另外,已有的ModBus協議入侵檢測方法主要面向ModBus TCP協議,沒有以RS485/232為主的串行接口,無法實現對ModBus RTU協議的處理和檢測。更為重要的是,已有的ModBus協議入侵檢測裝置未考慮信號Bypass功能,由於入侵檢測裝置以串聯的方式接入網絡之中,一旦裝置發生故障或斷電,會導致網絡中斷,嚴重影響工控設備的通信。
技術實現要素:
本實用新型的目的在於,針對現有技術中存在的問題,提出一種具有Bypass功能的ModBus協議入侵檢測裝置,以滿足不同信號類型的ModBus協議的檢測需要,同時在斷電後網絡依然暢通,滿足入侵檢測裝置對ModBus接口的全覆蓋且不影響工控設備正常通信的要求。
為了實現上述目的,本實用新型採用的技術方案為:
一種具有Bypass功能的ModBus協議入侵檢測裝置,包括:
主控制模塊,主控制模塊承擔了系統管理,ModBus協議報文分析,和異常流量檢測功能;
電源模塊,電源模塊為主控制模塊及其它附屬電路提供電源,並接收看門狗模塊對電源輸出的管理和控制;
Bypass模塊,Bypass模塊用於保證裝置斷電或主控制模塊異常的情況下ModBus信號能正常通過裝置;
ModBus TCP通信模塊,ModBus TCP通信模塊的主要功能是ModBus TCP協議的數據處理和乙太網信號傳輸功能;
ModBus RTU通信模塊,ModBus RTU通信模塊的主要功能是ModBus RTU協議的數據處理和RS485信號傳輸功能。
還包括看門狗模塊,看門狗模塊主要實現對主控制模塊運行狀態的監測以及Bypass模塊和電源模塊的管理功能;
擴展存儲模塊,擴展存儲模塊主要用於存儲異常流量特徵信息、系統配置、系統日誌等信息。
所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接,所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接,所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接,所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接,所述電源模塊分別與看門狗模塊和主控制模塊相連接,所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴展存儲模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。
所述ModBus TCP通信模塊包括兩個乙太網接口,分別為ModBus TCP第一接口和ModBus TCP第二接口;所述ModBus RTU通信模塊包括2個RS485接口,分別為ModBus RTU第一接口和ModBus RTU第二接口。
所述Bypass模塊包括一個邏輯與非門電路和一個繼電器開關電路,邏輯與非門電路分別接收來自於主處理模塊輸出信號和看門狗模塊輸出信號,控制繼電器開關電路的多個繼電器開合;繼電器開關位於ModBus TCP或RTU的第一接口和第二接口之間,實現ModBus信號在Bypass功能開啟時ModBus TCP或RTU第一接口與第二接口之間的信號互通。
所述主控制模塊與擴展存儲模塊通過系統總線相連接。
所述電源模塊上還設置有運行狀態燈。
由於採用了上述技術方案,本實用新型的有益效果是:
本實用新型能夠滿足不同信號類型的ModBus協議的檢測需要,同時在斷電後網絡依然暢通,滿足入侵檢測裝置對ModBus接口的全覆蓋且不影響工控設備正常通信的要求,可以同時支持ModBus TCP協議和ModBus RTU協議的入侵檢測。本實用新型支持乙太網接口和RS485接口兩種接口類型,覆蓋ModBus TCP協議和ModBus RTU協議,通用性更強。同時,本實用新型所述的檢測裝置具有Bypass功能,允許裝置斷電或故障的情況下不影響ModBus通信的正常進行,保證ModBus通信不受裝置故障的影響。因此,本實用新型比現有的入侵檢測裝置更加適用於工業控制環境中,減輕入侵檢測裝置對工業控制系統ModBus通信實時性和可靠性的不良影響。
附圖說明
圖1是本實用新型所述的檢測裝置外觀示意圖;
圖2是本實用新型結構示意圖;
圖3是本Bypass模塊內部電路示意圖。
具體實施方式
下面結合附圖,對本實用新型做詳細的說明。
實施例1
作為本實用新型的一種較佳實施例,參照說明書附圖1、附圖2和附圖3,本實施例公開了一種具有Bypass功能的ModBus協議入侵檢測裝置,本實施例包括:
一種具有Bypass功能的ModBus協議入侵檢測裝置,包括:
主控制模塊,主控制模塊承擔了系統管理,ModBus協議報文分析,和異常流量檢測功能;
電源模塊,電源模塊為主控制模塊及其它附屬電路提供電源,並接收看門狗模塊對電源輸出的管理和控制;
Bypass模塊,Bypass模塊用於保證裝置斷電或主控制模塊異常的情況下ModBus信號能正常通過裝置;
ModBus TCP通信模塊,ModBus TCP通信模塊的主要功能是ModBus TCP協議的數據處理和乙太網信號傳輸功能;
ModBus RTU通信模塊,ModBus RTU通信模塊的主要功能是ModBus RTU協議的數據處理和RS485信號傳輸功能。
還包括看門狗模塊,看門狗模塊主要實現對主控制模塊運行狀態的監測以及Bypass模塊和電源模塊的管理功能;
擴展存儲模塊,擴展存儲模塊主要用於存儲異常流量特徵信息、系統配置、系統日誌等信息。
所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接,所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接,所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接,所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接,所述電源模塊分別與看門狗模塊和主控制模塊相連接,所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴展存儲模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。
所述ModBus TCP通信模塊和ModBus RTU通信模塊分別與主控制模塊相連接,將ModBus協議的通信信號傳輸給主控制模塊進行數據的分析和處理。所述ModBus TCP通信模塊和ModBus RTU通信模塊也分別與Bypass模塊相連接,Bypass模塊保證裝置斷電或主控制模塊異常的情況下ModBus通信信號依然可以正常地通過裝置。看門狗模塊監測主控制模塊的狀態,並控制Bypass模塊和電源模塊,以保證在主控制模塊異常時保證ModBus通信正常通過裝置並重啟主控制模塊。主控制模塊與擴展存儲模塊通過系統總線相連接,通過讀取擴展存儲模塊中存儲的異常流量特徵來實現ModBus協議的入侵檢測功能。
所述ModBus TCP通信模塊包括兩個乙太網接口,分別為ModBus TCP第一接口和ModBus TCP第二接口;所述ModBus RTU通信模塊包括2個RS485接口,分別為ModBus RTU第一接口和ModBus RTU第二接口。
所述Bypass模塊包括一個邏輯與非門電路和一個繼電器開關電路,邏輯與非門電路分別接收來自於主處理模塊輸出信號和看門狗模塊輸出信號,控制繼電器開關電路的多個繼電器開合;繼電器開關位於ModBus TCP或RTU的第一接口和第二接口之間,實現ModBus信號在Bypass功能開啟時ModBus TCP或RTU第一接口與第二接口之間的信號互通。
當看門狗模塊未檢測到主控制模塊異常,且主處理模塊已經做好報文讀取和分析準備的情況下,看門狗模塊輸出和主處理模塊GPIO輸出均為真,與非門電路控制繼電器開關打開,實現Bypass功能關閉,ModBus信號送入主處理模塊進行入侵檢測分析。除此以外的其它情況下,與非門電路控制繼電器開關閉合,Bypass功能開啟,ModBus信號將不會送入主處理模塊。
所述主控制模塊與擴展存儲模塊通過系統總線相連接。
所述電源模塊上還設置有運行狀態燈。
所述的運行狀態燈為LED燈。
主控制模塊選用了基於ARM Cortex-A8處理器的AM3358,工作頻率800MHz,具備兩個工業千兆位乙太網接口(10、100 和 1000Mbps)和多個UART通用異步收發接口。為了保證AM3358能夠正常運行,擴展了256MB的DDR存儲以實時運行程序、1GB的FLASH來存儲入侵檢測程序和基礎數據,同時還擴展了一個4GB microSD卡用於存儲系統配置和異常流量特徵數據。同時,主控制模塊還包含了1路RS232接口電路,用於裝置功能調試。
ModBus TCP通信模塊包括了2個匹配RJ45類型接口的乙太網轉換電路。ModBus RTU通信模塊包括了2個RS485轉換電路,支持終端匹配和無終端匹配兩種模式。兩個通信模塊與主控制模塊之間採用光耦隔離的方式以保護主控制模塊不受到接口電壓波動所帶來的影響。同時,兩個ModBus通信模塊都具有保護功能,可防止意外高壓對模塊的衝擊。
看門狗模塊包括看門狗處理器及擴展電路。看門狗接收來自主處理模塊AM3358的GPIO餵狗信號,控制主處理模塊的供電電路及Bypass模塊。看門狗電路獨立於其它模塊電路,實時監測主處理模塊的運行狀態,發現主處理模塊有異常時可以重啟該模塊並保證Bypass功能開啟。
電源模塊包括主控制模塊供電及復位控制電路、看門狗供電電路、通信模塊供電電路。電源模塊可輸出+5V、+3.3V和+1.8V電源電壓,分別為RS485晶片、乙太網晶片、看門狗處理器和AM3358處理器提供電源。電源模塊向主控制模塊提供復位信號,復位電路的輸入源是看門狗處理器的輸出。
實施例2
作為本實用新型的一種較佳實施例,參照說明書附圖1、附圖2和附圖3,本實施例公開了一種具有Bypass功能的ModBus協議入侵檢測裝置,本實施例包括:
一種具有Bypass功能的ModBus協議入侵檢測裝置,包括:
主控制模塊,主控制模塊承擔了系統管理,ModBus協議報文分析,和異常流量檢測功能;
電源模塊,電源模塊為主控制模塊及其它附屬電路提供電源,並接收看門狗模塊對電源輸出的管理和控制;
Bypass模塊,Bypass模塊用於保證裝置斷電或主控制模塊異常的情況下ModBus信號能正常通過裝置;
ModBus TCP通信模塊,ModBus TCP通信模塊的主要功能是ModBus TCP協議的數據處理和乙太網信號傳輸功能;
ModBus RTU通信模塊,ModBus RTU通信模塊的主要功能是ModBus RTU協議的數據處理和RS485信號傳輸功能。
還包括看門狗模塊,看門狗模塊主要實現對主控制模塊運行狀態的監測以及Bypass模塊和電源模塊的管理功能;
擴展存儲模塊,擴展存儲模塊主要用於存儲異常流量特徵信息、系統配置、系統日誌等信息。
所述ModBus TCP通信模塊分別與主控制模塊和Bypass模塊相連接,所述ModBus RTU通信模塊分別與主控制模塊和Bypass模塊相連接,所述Bypass模塊分別與ModBus TCP通信模塊、ModBus RTU通信模塊、主控制模塊和看門狗模塊相連接,所述看門狗模塊分別與Bypass模塊、主控制模塊和電源模塊相連接,所述電源模塊分別與看門狗模塊和主控制模塊相連接,所述主控制模塊分別電源模塊、看門狗模塊、Bypass模塊、擴展存儲模塊、ModBus TCP通信模塊和ModBus RTU通信模塊相連接。
以上所述實施例僅表達了本申請的具體實施方式,其描述較為具體和詳細,但並不能因此而理解為對本申請保護範圍的限制。應當指出的是,對於本領域的普通技術人員來說,在不脫離本申請技術方案構思的前提下,還可以做出若干變形和改進,這些都屬於本申請的保護範圍。