1、第 期(总第 期)年 月山西电子技术研究与探讨收稿日期:基金项目:山西省重点研发项目“基于 的工业网络安全管控系统”()作者简介:陈学丽()女河北衡水人工程师硕士研究生主要研究方向:计算机信息系统软件、信息系统集成、网络空间安全文章编号:()基于密钥传输的工业网络安全监控系统研究陈学丽 郑伟伟 申 伟(中国电子科技集团公司第三十三研究所 山西 太原)摘 要:根据工业网络安全的特点设计了工业网络安全防护监控系统该系统实现了对传输网络中所有的信息安全控制器进行统一的监控和管理实现信息传输加密、通信双方身份认证并实时监控网络中病毒、非法入侵等异常状态有效地实现了工业网络安全终端的实时监控关键词:传输
2、加密流量监控工业网络安全防护中图分类号:.文献标识码:(.):.:背景工业网络在迅速发展的同时其隐藏的安全问题也逐渐凸显出来由于网络攻击、网络病毒等导致生产中断、数据泄露等情况也愈加频繁安全问题成为企业亟需解决的重要问题 密码技术来作为信息安全最关键的防护技术通过认证和加密大大提高了数据传输的安全性广泛应用于网络信息安全保障针对工业信息安全不同于传统网络信息安全的特点研究建立以身份密码体制()为基础的综合安全保障与监管系统 本系统针对工业以太网等工业信息传输网络中信息泄漏、信息被篡改和非法信息入侵等安全问题基于身份密码体制()利用/等国密密码标准建立工业网络通信系统的安全保障系统实现密钥高效管
3、理、信息传输加密、通信双方身份认证并利用通讯协议深度解析进行工业网络流量监控集工业网络信息传输加密防护、工业网络设备身份认证、指令级恶意流量分析检测于一体的工业网络安全防护监控系统 系统概述系统用于对传输网络中所有的工业网络安全终端进行统一的监控和管理 网络防护监控系统具有:支持以太网、等多种总线及、等主流协议实现指令级工业控制安全监控功能对非法控制指令进行监测、报警和处置具备状态监控、报警信息等内容具有网络行为分析功能具备数据记录功能可以记录网络中的各种异常 年第 期陈学丽等:基于密钥传输的工业网络安全监控系统研究信息 工业网络安全终端传输加密 基于 密码体制和 标识密码公钥算法 对称密码算
4、法等国密标准算法对工业网络中传输的重要敏感数据做加密保护保护敏感数据不被泄露 工业网络安全终端身份认证 基于 密码体制和 标识密码公钥算法、摘要算法等国密标准算法对工业网络中信息传输双方设备进行身份认证保证通信双方身份不能被冒用以及通信过程中消息不能被篡改 软件系统是利用通讯协议深度解析进行工业网络流量监控对工控网络中的多个设备进行实时监测并对各个设备发送和收到的流量进行解析实时监测网络异常流量进行异常流量报警与处置 功能需求工业网络安全防护监控系统对工业网络中的终端设备进行流量监控与流量分析实时监测网络异常流量进行异常流量报警与处置 整体架构图如图 所示图 工业网络安全防护监控系统功能模块图
5、工业网络安全防护监控系统包括流量实时监控、设备在线监控、异常信息报警、流量查询、异常查询、报警查询以及实现工业终端设备安全接入、身份认证、权限管理、数据库管理等功能主要功能模块如图 所示图 工业网络安全防护监控系统功能模块图图 中系统在数据采集的过程中对异常流量信息进行实时监控分析每个信息点的网络行为确定是否为异常如果异常立即报警 系统实现异常流量及安全监控功能:)安全终端设计异常数据包处理功能 正常状态下信息点传输到信息安全适配器的信息是明文可以是任何格式而传输网络输入到信息安全适配器的信息是密文并且是使用同一个密钥加密而成的密文 如果安全控制器从传输网络接收到了非同一个密钥加密而成的密文或
6、无法得知格式的信息则认为这是异常数据包需丢弃以保证不对信息点造成影响)异常报警功能 如果从传输网络中收到了异常数据包则可认为有非法访问者接入了网络此时需记录其、端口及数据内容等信息并报警将报警信息传送到工业网络安全防护监控系统 系统设计.系统结构图系统采用集中式存储管理模式所有软件及数据全部部署在服务端 系统完成数据接收、数据处理和数据展示 其中数据接收是与频谱监测设备进行通讯实时采集频谱数据存放实时数据 数据处理子系统将实时数据进行统计分析生成小时报、日报、周报、月报的统计数据同时报警信息存放如数据库并生成态势图 本项目由四部分组成图 是系统的体系结构图图 系统结构图 数据接收:用于与现场终
7、端设备连接并从设备上采集数据并进行加解密处理存入数据库 数据处理:实现对采集的实时数据进行统计分析 数据展示:对流量数据、报警数据等进行态势展示 系统数据库:用于存储监测数据、统计数据及用户数据等.软件功能主要功能截图如图 所示.软件关键技术基于学习引擎与人工修正相结合的方法建立流量安全基线 系统采用统计分析法对长时间内各个工控设备的工业现场业务类型、设备类型、监测时间、上行流量、下行流量、流量阈值进行智能化学习分别形成各个设备小时、日、周、月的安全基线以此为基准通过合理判别流量是否异常的算法进行异常流量监测充分保证了安全基线的合理性 实验验证系统要求对工业网络异常流量监测响应时间 工业网络终
8、端通信加密时间 现这两项性能指标进行实验验证图 系统主要功能截图.实验环境表 工业网络安全防护系统实验环境类型描述硬件平台.计算机处理器:内存:硬盘:.工业网络终端 对.百兆交换机 台操作系统.操作系统:数据库:.嵌入式 .测试工具软件卓岚/调试助手(.).工业网络异常流量监测响应时间对工业网络异常流量监测响应时间 这项性能指标进行验证主要步骤如下:)服务器端打开 监听器:开启线程端口 不断监听 报文)在同一台电脑上模拟同一局域网内的 台终端设备每个设备每隔 向服务器端 端口不断发送异常流量数据(包括发送时间)服务器端接收数据获取发送的流量信息(包括接收时间)并对数据进行解密与解析存到数据库)
9、监听一段时间服务器端停止监听)将发送时间与接收时间的时间差作为流量监测响应时间服务器监听 共接收到 条异常流量记录这些记录的发送时间与接收时间的时间差(即流量监测响应时间)最大值为 最小值为 经计算均值为 满足工业网络异常流量监测响应时间 这一性能指标.工业网络终端通信加密对工业网络终端通信加密时间 这项性能指标进行验证主要步骤如下:)使用 台电脑连接 个工业网络终端通过交换机组成一个端对端传输网络 开始实验时两台电脑先在网上与北京时间进行时间同步)一台电脑安装 设置为 服务器端第二台电脑安装 设置为 客户端 服务器端开通 服务与客户端连接成功)不加密模式发送 个数据包(下转第 页)山 西 电
10、 子 技 术 年第 期:.():.():.():.:.():.(上接第 页)表 不加密模式接收时间 客户端发送 服务器接收计算接收时间/:.:!:.:.:.:!:.:.:.:!:.:.:.:!:.:.:.:!:.:.:计算平均接收时间().)加密模式发送 个同样的数据包表 加密模式接收时间 客户端发送 服务器接收计算接收时间/:.:!:.:.:.:!:.:.:.:!:.:.:.:!:.:.:.:!:.:.:计算平均接收时间().)工业网络终端通信加密时间即两种情况发送的时间差:.结果满足时间 的指标 结论系统实现异常流量及安全监控功能在安全终端设计异常数据包处理功能服务端设计异常流量报警功能
11、本系统针对工控网络进行安全防护具有网络通信加密、网络通信终端设备身份认证、网络信息加密、网络流量异常监控等功能且满足各项性能指标适用于各类工控网络环境参考文献 周友龙杨军武筠.工业控制网络的安全防护策略分析.软件():.宋利民宋晓锐.一种基于混合加密的数据安全传输方案的设计与实现.信息网络安全():.马俊明边杏宾刘佳等.一种基于标识密码的 工 业 网 络 安 全 通 信 系 统:中 国.郭庆宁玲玲.基于网络流量异常监测的工业控制系统安全技术研究.现代工业经济和信息化():.边杏宾马俊明胡志勇等.在泛在物联网中的应用研究.信息技术与网络安全():.马俊明.一种基于 的零信任安全解决方案.信息安全与通信保密():.方源鲍克赵一凡等.基于流量的工业控制系统入侵检测技术.物联网技术():.徐友洪李剑萍吴宏良.基于网络流量异常监测的工业控制系统安全技术研究.软件工程与应用():.山 西 电 子 技 术 年第 期
浙ICP备2021020529号-1 | 浙B2-20240490 
