一种基于镜像口解析的智能工控网络数据整合方法技术

本发明专利技术涉及一种基于镜像口解析的智能工控网络数据整合方法，首先，通过对交换机配置镜像功能来实现镜像口的抓包功能后，读取这些数据；然后再创建连接，将捕获到的这些数据聚集到连接，以TCP状态机或超时300S作为连接的超时标志；确定连接的客户端和服务端；比较协议头的特征值，确定协议类别；根据协议功能码，选择不同的协议解析算法；进行数据展示，数据存储。本发明专利技术有益效果为：该方法从网络层采集数据可避免上位机被攻击的情况；可同时采集多个PLC的实时数据，并可高效地进入同一数据平台，取代通过不同上位机采集不同PLC数据，再往外发送的现有方法，减少通讯链路，为工厂大数据的基础采集部分提供了可行性极强的新手段。

Data integration method of intelligent industrial control network based on mirror image analysis

The invention relates to a method of integration, intelligent industrial control network based on the analysis of the first data mirroring port, the switch configuration to achieve the mirror function image capture function, read the data; and then create a connection, will gather these data to capture the connection to the connection timeout, as indicated by the TCP state machine or timeout 300S; determine the connection of client and server; comparison protocol header characteristic value determination protocol categories; according to the protocol function code, select different protocol analysis algorithm for data display, data storage. The present invention has the advantages that the method of collecting data from the network layer can avoid the PC attack; real-time data can be collected at the same time more than PLC, and can effectively enter the same data platform, instead of collecting different PLC data through different PC, then send out the current method, reducing the communication link that provides a new strong feasibility based data acquisition part of the factory.

【技术实现步骤摘要】
一种基于镜像口解析的智能工控网络数据整合方法
本专利技术涉及工业控制网络大数据采集技术，尤其涉及一种基于镜像口解析的智能工控网络数据整合方法。
技术介绍
智能制造是基于新一代信息技术，贯穿设计、生产、管理、服务等制造活动各个环节，具有信息深度自感知、智慧优化自决策、精准控制自执行等功能的先进制造过程、系统与模式的总称。智能制造最核心的要素是从智能设计、智能控制、智能运营到智能决策，要通过联网的方式进行数据的相互关联。市场上现有的工控安全解决方案都有局限性，与用户的真实需求存在较大偏差。因此，每一个工厂都使用了大量的国外控制设备，这些控制设备所使用的通讯协议都不同，每一种通讯协议除了正常的工业数据通讯，还包含有设备的状态数据通讯以及可能存在的程序后门数据，这些协议文本只有少量地进行了公开，我们在使用这些设备时，考虑得仅仅是如何使用它的功能，并没有考虑其可能带来的隐患，因此一旦将这些工业控制设备暴露在互联网，势必对我国基础工业设施的安全带来极大的隐患。在互联网还不发达的时候，工厂设备一般都是物理隔离，没有联网，近些年，许多工厂需要将生产一线的数据传到集团决策部门，来进行高层次的生产调度，许多工厂在完成了基础自动化建设以后，往往需要进行各个平台数据的整合工作，由于上层系统与控制网相连，上层网络从上位机或者上位机的数据库取数据，这些基础的工业控制设备都开始直接或间接的联网，那么一旦发生网络攻击，上位机提供的数据将不可信，迫切需要一种既不影响业务开展、又能保证信息安全的数据整合方法。本案结合实际情况指出，针对以上方面，需要对现有技术进行有效创新。
技术实现思路
针对以上缺陷，本专利技术提供一种基于镜像口解析的智能工控网络数据整合方法，以解决现有技术的诸多不足。为实现上述目的，本专利技术采用以下技术方案：一种基于镜像口解析的智能工控网络数据整合方法，由以下步骤组成：⑴首先，捕获网络中的数据包，通过对交换机配置镜像功能来实现镜像口的抓包功能后，读取这些数据；⑵然后再创建连接，将捕获到的这些数据聚集到连接，以TCP状态机或超时300S作为连接的超时标志；⑶确定连接的客户端和服务端：即遵守三次握手协议的TCP连接，服务器端用来接收SYN包或发送SYN/ACK包；⑷比较协议头的特征值，确定协议类别；⑸然后，根据协议功能码，选择不同的协议解析算法；⑹进行数据展示，根据工控环境正在通讯的输入输出地址来进行匹配数据解析，将解析的数据以IP地址为数据库表名、寄存器地址为数据库地址字段名、寄存器值为数据库数值字段名，进行数据存储；⑺对外提供数据库访问接口，供工业大数据分析平台使用。步骤⑶的协议包括modbus协议，数据连接的发送端为服务端，并使用502端口作为服务端口，另一端则为客户端，每次重新建联时该协议会重新生成新的端口，这个端口值可通过解析tcp的RMI协商数据包来获得，最后将同一个服务端口，同样源IP、目的IP、源MAC、目的MAC的TCP包判断为是同一对客户端和服务端产生。步骤⑸的每个协议不同命令的功能码也不同，根据不同的功能码需要匹配不同的解析算法。本专利技术所述的基于镜像口解析的智能工控网络数据整合方法的有益效果为：⑴该方法从网络层采集数据可避免上位机被攻击的情况；⑵由于在网络层存在多种工业协议的数据往来，通过这种采集方式，可同时采集多个PLC的实时数据，并可高效地进入同一数据平台，取代了通过不同上位机采集不同PLC数据，再往外发送的现有方法，减少了通讯链路，为工厂大数据的基础采集部分提供了可行性极强的新手段。附图说明下面根据附图对本专利技术作进一步详细说明。图1是本专利技术实施例所述基于镜像口解析的智能工控网络数据整合方法的流程图；图2是本专利技术实施例所述基于镜像口解析的智能工控网络数据整合方法的算法部分示意图。具体实施方式如图1-2所示，本专利技术实施例所述的基于镜像口解析的智能工控网络数据整合方法，所采用的的镜像口数据是一种以基于TCP/IP协议作为工控网络的主要传输协议的集合，该数据集合由源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型及通信时间等八元组的双向包的通讯序列组成。通用的格式是：TCP/IP工控协议头协议数据段因此，在解析数据时，需先将TCP/IP的头剥掉，通过工控协议头将协议数据归类到某一协议，再进行协议数据段的解析。由以下步骤组成：⑴首先，捕获网络中的数据包，通过对交换机配置镜像功能来实现镜像口的抓包功能后，读取这些数据；⑵然后再创建连接，将捕获到的这些数据聚集到连接，以TCP状态机或超时300S作为连接的超时标志；⑶确定连接的客户端和服务端；包括，遵守三次握手协议的TCP连接，服务器端用来接收SYN包或发送SYN/ACK包。第一次Seq：0，第二次Seq：0，Ack：1，第三次Seq：1，Ack：1。例如，modbus协议，数据连接的发送端为服务端，并使用502端口作为服务端口，另一端则为客户端，每次重新建联时该协议会重新生成新的端口，这个端口值可以通过解析tcp的RMI协商数据包来获得，最后将同一个服务端口，同样源IP、目的IP、源MAC、目的MAC的TCP包判断为是同一对客户端和服务端产生的。⑷比较协议头的特征值，确定协议类别；⑸然后，根据协议功能码，选择不同的协议解析算法；每个协议不同命令的功能码也是不同的，例如，modbus协议的16功能码代表的是写多个寄存器，功能码是读多个寄存器，根据不同的功能码需要匹配不同的解析算法。⑹进行数据展示，根据工控环境正在通讯的输入输出地址来进行匹配数据解析，将解析的数据以IP地址为数据库表名、寄存器地址为数据库地址字段名、寄存器值为数据库数值字段名，进行数据存储；例如，一个4字节的16进制数，解析成整型是一个数，解析成浮点型又是另外一个数值，必须根据用户配置的数据类型来进行换算；有些协议对浮点数的解析还存在字节顺序变换的问题，例如，在配置modbus协议时，需要选择2143、4321、1234、3412这些不同的字节顺序，这样才可解析出正确的数值。⑺对外提供数据库访问接口，供工业大数据分析平台使用，例如，管理网的OA系统、MES系统等，这些系统都可访问工厂的生产数据，并且不会因此导致信息安全所引起的停产问题；通过搭建仿真工业平台，建立不同的业务运行环境，通过镜像口抓包，与实际环境的变量进行比对，最终解析出对应数据的含义，验证实际数值。以上本专利技术实施例所述的基于镜像口解析的智能工控网络数据整合方法，，其具体应用实例如下：例一，FINS协议中的一段数据帧：首先在上位机页面上对DW100的数据写入39，同时通过镜像口进行数据抓包，可以得到以下数据包：FINS协议头：46494e530000001e0000000200000000FINS数据段：80000200010000ef000001028200640000020000421c其中最重要的部分如下：内存写命令：0102区域码：82起始地址：0064对应数值：0000421C解析结果：0064转换为十进制为100，区域码对应的数据类型为Dword，0000421C通过float16进制解析算法得出39。该值在PLC中对应的仪表为温度，因此可以通过镜像口解析获得现场某个环境的温度数据。例2：S7协议中本文档来自技高网...

【技术保护点】
一种基于镜像口解析的智能工控网络数据整合方法，其特征在于，由以下步骤组成：⑴首先，捕获网络中的数据包，通过对交换机配置镜像功能来实现镜像口的抓包功能后，读取这些数据；⑵然后再创建连接，将捕获到的这些数据聚集到连接，以TCP状态机或超时300S作为连接的超时标志；⑶确定连接的客户端和服务端：即遵守三次握手协议的TCP连接，服务器端用来接收SYN包或发送SYN/ACK包；⑷比较协议头的特征值，确定协议类别；⑸然后，根据协议功能码，选择不同的协议解析算法；⑹进行数据展示，根据工控环境正在通讯的输入输出地址来进行匹配数据解析，将解析的数据以IP地址为数据库表名、寄存器地址为数据库地址字段名、寄存器值为数据库数值字段名，进行数据存储；⑺对外提供数据库访问接口，供工业大数据分析平台使用。

【技术特征摘要】
1.一种基于镜像口解析的智能工控网络数据整合方法，其特征在于，由以下步骤组成：⑴首先，捕获网络中的数据包，通过对交换机配置镜像功能来实现镜像口的抓包功能后，读取这些数据；⑵然后再创建连接，将捕获到的这些数据聚集到连接，以TCP状态机或超时300S作为连接的超时标志；⑶确定连接的客户端和服务端：即遵守三次握手协议的TCP连接，服务器端用来接收SYN包或发送SYN/ACK包；⑷比较协议头的特征值，确定协议类别；⑸然后，根据协议功能码，选择不同的协议解析算法；⑹进行数据展示，根据工控环境正在通讯的输入输出地址来进行匹配数据解析，将解析的数据以IP地址为数据库表名、寄存器地址为数据库地址字段名、寄存器值为数据库数值字...

【专利技术属性】
技术研发人员：刘慧芳，王朝栋，
申请(专利权)人：上海三零卫士信息安全有限公司，
类型：发明
国别省市：上海,31