数控网络系统协议如何深入学习系统 本文关键词:系统,数控,协议,学习,网络
数控网络系统协议如何深入学习系统 本文简介:【摘要】网络安全中,特别是工业控制网络中,由于网络设备的特殊性,用户往往不能及时为系统漏洞添加补丁。工控网络分布式保护方案可以有效提高网络的安全性。在网络中,设备之间的通讯是通过多种网络协议实现的。为了对网络行为进行有效的监控,其安全规则往往基于深度数据包解析,包含多种复杂的数据包信息。同时,由于网
数控网络系统协议如何深入学习系统 本文内容:
【摘要】网络安全中,特别是工业控制网络中,由于网络设备的特殊性,用户往往不能及时为系统漏洞添加补丁。工控网络分布式保护方案可以有效提高网络的安全性。在网络中,设备之间的通讯是通过多种网络协议实现的。为了对网络行为进行有效的监控,其安全规则往往基于深度数据包解析,包含多种复杂的数据包信息。同时,由于网络的复杂性,传统的人工定义网络安全规则的方法复杂度高,需要消耗大量的人力物力资源,必须对网络协议和网络行为有深刻的了解,而生成的安全规则往往不够全面,会产生大量的错报、误报的情况。因此用户很难自己定义整套的安全规则以满足系统正常工作的需要。
【关键词】协议;数控网络;深入学习
1安全规则学习方法
针对现有技术的上述缺陷与不足,本研究的目的在于提供一种高效的安全规则学习方法及系统,提高网络安全规则部署的全面性、系统性和准确性。所述安全规则学习方法包括如下步骤:(a1)在深度数据包解析的基础上,通过数据采集器收集网络中传输的数据包信息,并将该信息存储到数据存储部件中,以响应学习引擎对数据的查询;(a2)安全规则学习引擎分析数据包信息,并生成安全规则。步骤(a1)中,深度数据包解析是指通过对原始数据包的分析,提取关键性的信息,这些数据包信息包含但不限于数据包的源地址,目标地址,协议名,端口号,数据详细信息。步骤(a2)中,与数据包信息类似,安全规则包含源地址、目标地址、规则细节、应对措施等内容。在安全规则学习过程中,用户可以通过手工或自动的方式,将设备进行分类,学习引擎根据设备类别学习安全规则,这样可以控制安全规则项数量,缩短安全规则学习时间。在安全规则学习过程中,用户可以根据自身的需要定义工控网络行为模块,也可以通过机器学习的方法,自动将不同的网络行为归结为某些行为模块。对于不符合所有安全规则数据包,学习引擎定义了默认的应对措施。这些应对措施可以是针对所有的设备和网络协议,也可以是针对某些设备或网络协议,当监测/保护设备没有发现任何匹配的安全规则项时,则按照默认的应对措施处理该数据包。
2研究方法及过程
通过监听正常工作状态下网络中的数据包,以此为基准自动定义网络的行为规范。其核心功能在于安全系统自动学习设备的网络行为,并把学习到的行为定义为安全规则。对于不符合所有安全规则的网络行为,则通过定义默认安全规则的方式进行处理(报警或阻断等)。如图1所示的安全规则学习系统,其中监听设备4和用户设备N用作系统中的数据采集器,5为数据存储部件,6为学习引擎。首先,数据采集器4收集网络中传输的数据包,并利用深度数据包解析技术将网络数据包中的关键信息解析为设备的网络行为,例如Modbus中的操作码,读写操作的地址等。数据包信息传输并存储在数据存储部件5中。通过深度数据包解析所获取的数据包信息如表1所示。获得并存储上述数据包信息之后,学习引擎6询问数据存储部件5并使用数据包信息,结合设备类别信息及网络行为模块信息,自动生产一套安全行为。原则上,学习是基于网络正常工作状态下的网络数据。因此,安全规则项的应对措施为【允许】,即系统应该允许与安全规则项相匹配的数据包通过。用户可以对所生成的规则项进行修改,例如将【Modbus_File_Access】相关规则项的应对措施改为【报警】。对于未出现的数据行为,学习引擎通过默认规则进行控制。图1所示的安全规则学习系统可以应用到分布式网络安全系统中,实现安全规则的学习及部署从而保证用户网络的安全。在安全规则学习系统与分布式网络安全系统的结合中,检测/保护设备作为数据采集器,收集网络中传输的数据包,并利用深度数据包解析技术将网络数据包中的关键信息解析为设备的网络行为。数据存储部件及学习引擎集成在中央管理平台中,因此在中央管理系统中完成数据包信息的存储及安全规则的学习,。中央管理系统将安全规则通过网络作为检测/保护设备的配置文件部署到检测/保护设备上。检测/保护设备1、2接受到安全规则并依据该安全规则与通过检测/保护设备的数据包进行匹配,并按照规则项的应对措施控制数据包。如果数据包与所有的规则项均不匹配,则按照默认的应对措施处理该数据包,即【报警】。
3Wireshark分析报文
针对数控机床的厂家比如西门子,发那科,其开发了自己的私有协议,不对外开放。需要通过抓包分析私有协议的格式,解析各个字段。在分析协议格式可以通过wireshark分析报文,获取一些有关报文的知识,当无法满足需求时再考虑进行代码逆向。通过wireshark,使用flowtcpstream功能查看报文内容。可见是明文传输,而且有SHOW/GEPOS这种类似命令的字符串,把上述字符串做命令,主要的工作就是对消息进行划分。通过hex方式查看报文,常见的tcp应用协议,消息主要通过tlv或特殊的序列分隔消息,在上述报文中可以明显地看到0x0d0a(/r/n)。综合以上两点,可以把hexagon解析成如下形式:(1)消息明文形式传输,以/r/n分隔完整消息(2)消息中开头的明文作为关键命令通过以上协议逆向工作,可以清晰地看到每一个操作:显示相关信息,获取位置信息,或者修改相关参数等。
4FOCAS协议
FOCAS协议逆向的难点在于通过报文分析得不到有用的信息。使用专业的协议逆向工具对FANUCSDK提供的DLL进行逆向,分析发包程序的具体底层逻辑是怎样的。摸清楚发包的逻辑后,我们利用SDK编写应用程序来发包,进一步实现简单的协议交互(比如修改相关的参数),通过样包比对,以及和实际的FANUC机床面板操作做结果比较,以此来验证。
5结语
随着工业控制系统信息安全的重要程度的不断提高,数控网络协议的深度学习和挖掘也显得愈发重要,数控网络协议学习系统的研究,能很大程度上不断满足工业设备网络防护的日益增长的需求,对工业控制系统的安全防护技术水平的提升起到积极的作用。
【参考文献】
[1]陈戈.嵌入式网络数控系统和技术的分析[J].自动化与仪器仪表,2015(09):71-73.
[2]韩昊铮.数控机床关键技术与发展趋势[J].中国战略新兴产业,2017(04):118-120+124.
[3]刘世豪,杜彦斌,姚克恒,唐敦兵.面向智能制造的数控机床多目标优选法研究[J].农业机械学报,2017,48(03):396-404.
[4]张耀,黄文广,张思齐,金济民.基于中小企业的数控设备网络系统应用研究[J].机电工程,2017,34(11):1243-1248.
[5]蔡锐龙,李晓栋,钱思思.国内外数控系统技术研究现状与发展趋势[J].机械科学与技术,2016,35(04):493-500.
作者:丁立国 单位:中车戚墅堰机车有限公司信息管理部