本發(fā)明涉及工業(yè)控制網(wǎng)絡(luò)大數(shù)據(jù)采集技術(shù)，尤其涉及一種基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法。

背景技術(shù)：

智能制造是基于新一代信息技術(shù)，貫穿設(shè)計、生產(chǎn)、管理、服務(wù)等制造活動各個環(huán)節(jié)，具有信息深度自感知、智慧優(yōu)化自決策、精準(zhǔn)控制自執(zhí)行等功能的先進制造過程、系統(tǒng)與模式的總稱。智能制造最核心的要素是從智能設(shè)計、智能控制、智能運營到智能決策，要通過聯(lián)網(wǎng)的方式進行數(shù)據(jù)的相互關(guān)聯(lián)。

市場上現(xiàn)有的工控安全解決方案都有局限性，與用戶的真實需求存在較大偏差。因此，每一個工廠都使用了大量的國外控制設(shè)備，這些控制設(shè)備所使用的通訊協(xié)議都不同，每一種通訊協(xié)議除了正常的工業(yè)數(shù)據(jù)通訊，還包含有設(shè)備的狀態(tài)數(shù)據(jù)通訊以及可能存在的程序后門數(shù)據(jù)，這些協(xié)議文本只有少量地進行了公開，我們在使用這些設(shè)備時，考慮得僅僅是如何使用它的功能，并沒有考慮其可能帶來的隱患，因此一旦將這些工業(yè)控制設(shè)備暴露在互聯(lián)網(wǎng)，勢必對我國基礎(chǔ)工業(yè)設(shè)施的安全帶來極大的隱患。

在互聯(lián)網(wǎng)還不發(fā)達(dá)的時候，工廠設(shè)備一般都是物理隔離，沒有聯(lián)網(wǎng)，近些年，許多工廠需要將生產(chǎn)一線的數(shù)據(jù)傳到集團決策部門，來進行高層次的生產(chǎn)調(diào)度，許多工廠在完成了基礎(chǔ)自動化建設(shè)以后，往往需要進行各個平臺數(shù)據(jù)的整合工作，由于上層系統(tǒng)與控制網(wǎng)相連，上層網(wǎng)絡(luò)從上位機或者上位機的數(shù)據(jù)庫取數(shù)據(jù)，這些基礎(chǔ)的工業(yè)控制設(shè)備都開始直接或間接的聯(lián)網(wǎng)，那么一旦發(fā)生網(wǎng)絡(luò)攻擊，上位機提供的數(shù)據(jù)將不可信，迫切需要一種既不影響業(yè)務(wù)開展、又能保證信息安全的數(shù)據(jù)整合方法。

本案結(jié)合實際情況指出，針對以上方面，需要對現(xiàn)有技術(shù)進行有效創(chuàng)新。

技術(shù)實現(xiàn)要素：

針對以上缺陷，本發(fā)明提供一種基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法，以解決現(xiàn)有技術(shù)的諸多不足。

為實現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案：

一種基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法，由以下步驟組成：

⑴首先，捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包，通過對交換機配置鏡像功能來實現(xiàn)鏡像口的抓包功能后，讀取這些數(shù)據(jù)；

⑵然后再創(chuàng)建連接，將捕獲到的這些數(shù)據(jù)聚集到連接，以tcp狀態(tài)機或超時300s作為連接的超時標(biāo)志；

⑶確定連接的客戶端和服務(wù)端：即遵守三次握手協(xié)議的tcp連接，服務(wù)器端用來接收syn包或發(fā)送syn/ack包；

⑷比較協(xié)議頭的特征值，確定協(xié)議類別；

⑸然后，根據(jù)協(xié)議功能碼，選擇不同的協(xié)議解析算法；

⑹進行數(shù)據(jù)展示，根據(jù)工控環(huán)境正在通訊的輸入輸出地址來進行匹配數(shù)據(jù)解析，將解析的數(shù)據(jù)以ip地址為數(shù)據(jù)庫表名、寄存器地址為數(shù)據(jù)庫地址字段名、寄存器值為數(shù)據(jù)庫數(shù)值字段名，進行數(shù)據(jù)存儲；

⑺對外提供數(shù)據(jù)庫訪問接口，供工業(yè)大數(shù)據(jù)分析平臺使用。

步驟⑶的協(xié)議包括modbus協(xié)議，數(shù)據(jù)連接的發(fā)送端為服務(wù)端，并使用502端口作為服務(wù)端口，另一端則為客戶端，每次重新建聯(lián)時該協(xié)議會重新生成新的端口，這個端口值可通過解析tcp的rmi協(xié)商數(shù)據(jù)包來獲得，最后將同一個服務(wù)端口，同樣源ip、目的ip、源mac、目的mac的tcp包判斷為是同一對客戶端和服務(wù)端產(chǎn)生。

步驟⑸的每個協(xié)議不同命令的功能碼也不同，根據(jù)不同的功能碼需要匹配不同的解析算法。

本發(fā)明所述的基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法的有益效果為：

⑴該方法從網(wǎng)絡(luò)層采集數(shù)據(jù)可避免上位機被攻擊的情況；

⑵由于在網(wǎng)絡(luò)層存在多種工業(yè)協(xié)議的數(shù)據(jù)往來，通過這種采集方式，可同時采集多個plc的實時數(shù)據(jù)，并可高效地進入同一數(shù)據(jù)平臺，取代了通過不同上位機采集不同plc數(shù)據(jù)，再往外發(fā)送的現(xiàn)有方法，減少了通訊鏈路，為工廠大數(shù)據(jù)的基礎(chǔ)采集部分提供了可行性極強的新手段。

附圖說明

下面根據(jù)附圖對本發(fā)明作進一步詳細(xì)說明。

圖1是本發(fā)明實施例所述基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法的流程圖；

圖2是本發(fā)明實施例所述基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法的算法部分示意圖。

具體實施方式

如圖1-2所示，本發(fā)明實施例所述的基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法，所采用的的鏡像口數(shù)據(jù)是一種以基于tcp/ip協(xié)議作為工控網(wǎng)絡(luò)的主要傳輸協(xié)議的集合，該數(shù)據(jù)集合由源mac地址、目的mac地址、源ip、目的ip、源端口、目的端口、協(xié)議類型及通信時間等八元組的雙向包的通訊序列組成。

通用的格式是：

tcp/ip工控協(xié)議頭協(xié)議數(shù)據(jù)段

因此，在解析數(shù)據(jù)時，需先將tcp/ip的頭剝掉，通過工控協(xié)議頭將協(xié)議數(shù)據(jù)歸類到某一協(xié)議，再進行協(xié)議數(shù)據(jù)段的解析。

由以下步驟組成：

⑴首先，捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包，通過對交換機配置鏡像功能來實現(xiàn)鏡像口的抓包功能后，讀取這些數(shù)據(jù)；

⑵然后再創(chuàng)建連接，將捕獲到的這些數(shù)據(jù)聚集到連接，以tcp狀態(tài)機或超時300s作為連接的超時標(biāo)志；

⑶確定連接的客戶端和服務(wù)端；

包括，遵守三次握手協(xié)議的tcp連接，服務(wù)器端用來接收syn包或發(fā)送syn/ack包。第一次seq：0，第二次seq：0，ack：1，第三次seq：1，ack：1。

例如，modbus協(xié)議，數(shù)據(jù)連接的發(fā)送端為服務(wù)端，并使用502端口作為服務(wù)端口，另一端則為客戶端，每次重新建聯(lián)時該協(xié)議會重新生成新的端口，這個端口值可以通過解析tcp的rmi協(xié)商數(shù)據(jù)包來獲得，最后將同一個服務(wù)端口，同樣源ip、目的ip、源mac、目的mac的tcp包判斷為是同一對客戶端和服務(wù)端產(chǎn)生的。

⑷比較協(xié)議頭的特征值，確定協(xié)議類別；

⑸然后，根據(jù)協(xié)議功能碼，選擇不同的協(xié)議解析算法；每個協(xié)議不同命令的功能碼也是不同的，例如，modbus協(xié)議的16功能碼代表的是寫多個寄存器，功能碼是讀多個寄存器，根據(jù)不同的功能碼需要匹配不同的解析算法。

⑹進行數(shù)據(jù)展示，根據(jù)工控環(huán)境正在通訊的輸入輸出地址來進行匹配數(shù)據(jù)解析，將解析的數(shù)據(jù)以ip地址為數(shù)據(jù)庫表名、寄存器地址為數(shù)據(jù)庫地址字段名、寄存器值為數(shù)據(jù)庫數(shù)值字段名，進行數(shù)據(jù)存儲；

例如，一個4字節(jié)的16進制數(shù)，解析成整型是一個數(shù)，解析成浮點型又是另外一個數(shù)值，必須根據(jù)用戶配置的數(shù)據(jù)類型來進行換算；有些協(xié)議對浮點數(shù)的解析還存在字節(jié)順序變換的問題，例如，在配置modbus協(xié)議時，需要選擇2143、4321、1234、3412這些不同的字節(jié)順序，這樣才可解析出正確的數(shù)值。

⑺對外提供數(shù)據(jù)庫訪問接口，供工業(yè)大數(shù)據(jù)分析平臺使用，例如，管理網(wǎng)的oa系統(tǒng)、mes系統(tǒng)等，這些系統(tǒng)都可訪問工廠的生產(chǎn)數(shù)據(jù)，并且不會因此導(dǎo)致信息安全所引起的停產(chǎn)問題；

通過搭建仿真工業(yè)平臺，建立不同的業(yè)務(wù)運行環(huán)境，通過鏡像口抓包，與實際環(huán)境的變量進行比對，最終解析出對應(yīng)數(shù)據(jù)的含義，驗證實際數(shù)值。

以上本發(fā)明實施例所述的基于鏡像口解析的智能工控網(wǎng)絡(luò)數(shù)據(jù)整合方法，，其具體應(yīng)用實例如下：

例一，fins協(xié)議中的一段數(shù)據(jù)幀：

首先在上位機頁面上對dw100的數(shù)據(jù)寫入39，同時通過鏡像口進行數(shù)據(jù)抓包，可以得到以下數(shù)據(jù)包：

fins協(xié)議頭：46494e530000001e0000000200000000

fins數(shù)據(jù)段：80000200010000ef000001028200640000020000421c

其中最重要的部分如下：

內(nèi)存寫命令：0102

區(qū)域碼：82

起始地址：0064

對應(yīng)數(shù)值：0000421c

解析結(jié)果：0064轉(zhuǎn)換為十進制為100，區(qū)域碼對應(yīng)的數(shù)據(jù)類型為dword，0000421c通過float16進制解析算法得出39。該值在plc中對應(yīng)的儀表為溫度，因此可以通過鏡像口解析獲得現(xiàn)場某個環(huán)境的溫度數(shù)據(jù)。

例2：s7協(xié)議中的一段數(shù)據(jù)幀：

首先在上位機頁面上對db2.dbd0的數(shù)據(jù)寫入13，同時通過鏡像口進行數(shù)據(jù)抓包，可以得到以下數(shù)據(jù)包：

s7協(xié)議頭：3201000c00000e00080501120a10

s7數(shù)據(jù)段：0200040002840000000004002041500000

其中最重要的部分如下：

功能碼類型：02

數(shù)據(jù)塊地址：0002

區(qū)域號：8400

數(shù)據(jù)偏移地址：0000

對應(yīng)數(shù)值：41500000

解析結(jié)果：0002解析為db2，偏移地址解析為0，對應(yīng)數(shù)值解析為13，該值在plc中對應(yīng)的儀表為液位高度，因此可以通過鏡像口解析獲得現(xiàn)場某個環(huán)境的液位數(shù)據(jù)。

上述對實施例的描述是為了便于該技術(shù)領(lǐng)域的普通技術(shù)人員能夠理解和應(yīng)用本案技術(shù)，熟悉本領(lǐng)域技術(shù)的人員顯然可輕易對這些實例做出各種修改，并把在此說明的一般原理應(yīng)用到其它實施例中而不必經(jīng)過創(chuàng)造性的勞動。因此，本案不限于以上實施例，本領(lǐng)域的技術(shù)人員根據(jù)本案的揭示，對于本案做出的改進和修改都應(yīng)該在本案的保護范圍內(nèi)。