CN115102725B - 一种工业机器人的安全审计方法、装置及介质 - Google Patents
一种工业机器人的安全审计方法、装置及介质 Download PDFInfo
- Publication number
- CN115102725B CN115102725B CN202210635420.1A CN202210635420A CN115102725B CN 115102725 B CN115102725 B CN 115102725B CN 202210635420 A CN202210635420 A CN 202210635420A CN 115102725 B CN115102725 B CN 115102725B
- Authority
- CN
- China
- Prior art keywords
- protocol
- industrial robot
- audit
- determining
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012550 audit Methods 0.000 title claims abstract description 343
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000004458 analytical method Methods 0.000 claims abstract description 39
- 230000006854 communication Effects 0.000 claims abstract description 38
- 238000004891 communication Methods 0.000 claims abstract description 36
- 238000007726 management method Methods 0.000 claims description 52
- 230000006399 behavior Effects 0.000 claims description 27
- 230000014509 gene expression Effects 0.000 claims description 17
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 7
- 238000005520 cutting process Methods 0.000 claims description 4
- 230000002452 interceptive effect Effects 0.000 claims description 2
- 239000003795 chemical substances by application Substances 0.000 description 38
- 238000010586 diagram Methods 0.000 description 16
- 238000004519 manufacturing process Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 230000004044 response Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 238000011161 development Methods 0.000 description 9
- 238000007689 inspection Methods 0.000 description 7
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 238000009472 formulation Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000013178 mathematical model Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000005266 casting Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000003889 chemical engineering Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Manipulator (AREA)
Abstract
本申请适用于网络安全技术领域,提供了一种工业机器人的安全审计方法、装置及介质,所述方法包括:获取工业机器人产生的网络数据包和文档数据;对所述网络数据包进行解析,确定所述工业机器人使用的通讯协议,所述通讯协议具有对应的协议类型;基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果;基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果;根据所述协议审计结果和所述应用审计结果,生成所述工业机器人的审计报警信息。通过上述方法,能够实现对工业机器人的全面安全审计。
Description
技术领域
本申请属于网络安全技术领域,特别是涉及一种工业机器人的安全审计方法、装置及介质。
背景技术
随着工业互联网的发展,越来越多的工业设备连入互联网,比如工业机器人。工业机器人的联网一方面推动了生产效率的提高,另一方面也使工业机器人面临着各种各样的网络安全威胁。为了保障工业机器人的安全运行,可以对工业机器人进行安全审计。
安全审计是指对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价的一种行为。对工业机器人进行安全审计,有利于保障工业机器人的安全运行。
目前,在对工业机器人进行安全审计的过程中,不能做到对工业机器人的全面审计。
发明内容
有鉴于此,本申请实施例提供了一种工业机器人的安全审计方法、装置及介质,用以实现对工业机器人的全面安全审计。
本申请实施例的第一方面提供了一种工业机器人的安全审计方法,包括:
获取工业机器人产生的网络数据包和文档数据;
对所述网络数据包进行解析,确定所述工业机器人使用的通讯协议,所述通讯协议具有对应的协议类型;
基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果;
基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果;
根据所述协议审计结果和所述应用审计结果,生成所述工业机器人的审计报警信息。
本申请实施例的第二方面提供了一种工业机器人的安全审计装置,包括:
获取模块,用于获取工业机器人产生的网络数据包和文档数据;
确定模块,用于对所述网络数据包进行解析,确定所述工业机器人使用的通讯协议,所述通讯协议具有对应的协议类型;
协议审计模块,用于基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果;
应用审计模块,用于基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果;
生成模块,用于根据所述协议审计结果和所述应用审计结果,生成所述工业机器人的审计报警信息。
本申请实施例的第三方面提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的方法。
本申请实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面所述的方法。
本申请实施例的第五方面提供了一种计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述计算机设备执行上述第一方面所述的方法。
与现有技术相比,本申请实施例包括以下优点:
本申请实施例,在进行工业机器人的安全审计时,可以获取该工业机器人产生的数据包和文档数据;对数据包进行解析,可以确定工业机器人在通讯过程中使用的通讯协议,基于通讯协议,可以对工业机器人进行协议分析,从而获得协议审计结果;采用文档数据和预设的敏感数据库,对工业机器人进行应用审计,得到应用审计结果;基于协议审计结果和应用审计结果,可以确定工业机器人的审计报警信息。本申请实施例,可以基于数据包和文档数据,对工业机器人进行全面的审计。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种工业机器人的安全审计方法的步骤流程示意图;
图2是本申请实施例提供的一种采集网络数据包的流程示意图;
图3是本申请实施例提供的一种协议解析过程的示意图;
图4是本申请实施例提供的一种判断协议状态的流程示意图;
图5是本申请实施例提供的一种安全审计响应流程示意图;
图6是本申请实施例提供的一种安全审计规则生成的示意图;
图7是本申请实施例提供的一种审计代理注册与维护流程示意图;
图8是本申请实施例提供的一种工业机器人安全系统的示意图;
图9是本申请实施例提供的一种工业机器人的安全审计装置的示意图;
图10是本申请实施例提供的一种计算机设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域技术人员应当清楚,在没有这些具体细节的其他实施例中也可以实现本申请。在其他情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
下面通过具体实施例来说明本申请的技术方案。
参照图1,示出了本申请实施例提供的一种工业机器人的安全审计方法的步骤流程示意图,具体可以包括如下步骤:
S101,获取工业机器人产生的网络数据包和文档数据。
本实施例的执行主体为计算机设备,该计算机设备可以为与工业机器人相连的设备,用于对工业机器人进行管理和控制。本实施例中的方法可以应用于汽车制造、电子电气、橡胶及塑料工业、铸造、化工等各行业。
工业机器人是面向工业领域的多关节机械手或多自由度的机器人。工业机器人是自动执行工作的机器装置,是靠自身动力和控制能力来实现各种功能的一种机器。它可以接受指令,也可以按照预先编排的程序运行,现代的工业机器人还可以根据人工智能技术制定的规则行动。
工业机器人在进行工作的过程中,可以进行数据通讯,比如接收控制设备发送的操作指令等。在工业机器人与其他设备进行数据通讯时,一般需要网络数据包的参与。因此,可以基于网络数据包对工业机器人进行安全审计,确定其他设备是否对工业机器人进行攻击或者其他设备给工业机器人带来了安全隐患。
在采用网络数据包对工业机器人进行安全审计时,首先要获取工业机器人与其他网络设备在数据通讯过程中的网络数据包。在获取网络数据包时,可以通过交互机镜像端口汇聚至少一个数据包;确定至少一个数据包对应的设备列表;若设备列表中存在预设的网络设备,则获取网络设备对应的数据包为网络数据包,网络设备为与工业机器人存在网络连接的设备。
图2是本申请实施例提供的一种采集网络数据包的流程示意图。如图2所示,在进行网络数据包的采集时,可以创建捕获线程,该捕获线程用于执行捕获数据包的任务。之后,获取设备列表,设备列表中可以包括经过该交换机的设备的地址;从设备列表中需要先选出与工业机器人进行数据通讯的网络数设备,若设备列表中存在网络设备,则可以打开设备开始捕获,编译过滤规则,设置过滤规则;然后检测是否有数据包到达。当有数据包达到时,可以获取一个数据包,再创建数据包解析线程,通过数据包解析线程对数据包进行解析,得到数据的物理地址(MediaAccessControl,MAC)帧;基于MAC帧,可以判断数据包的通讯协议,从而基于不同的通讯协议对数据包进行解析,以便执行之后的协议分析步骤。在捕获网络数据包时,可以过滤掉无关的网络数据包,然后将网络数据包统一格式化,便于进行应用层协议安全审计分析模块。
上述文档数据可以为工业机器人产生的应用数据。例如,工业机器人在工作过程中可以通过内网向外部应用发送文档,该文档可以作为用于对工业机器人进行安全审查的文档数据。上述文档数据还可以为工业机器人产生的日志数据。对通过机器人应用往来的各类文档进行精细控制与深度检查,可以防止机密信息泄露。因此,本实施例通过工业机器人的文档数据对工业机器人进行安全审计。
采用文档数据对工业机器人进行应用审计之前,需要获取工业机器人的文档数据。在获取文档数据时,可以定期地获取工业机器人的日志数据,以及获取工业机器人通过应用发送的所有文件以及通过应用下载的所有文件。
S102,对所述网络数据包进行解析,确定所述工业机器人使用的通讯协议,所述通讯协议具有对应的协议类型。
上述网络数据包用于对工业机器进行协议审计。对工业机器人进行协议审计是针对机器人私有协议的通讯内容及操作行为进行审计。机器人协议可以包括Modbus、IEC104、DNP3、BACNET、HART-IP、GE-SRTP、S7、Fox、FINS、EtherNet/IP、MELSEC、PCWorx等。在进行协议审计时,首先要识别数据包的通讯协议。
为了识别数据包的通讯协议,可以对数据包进行解析。在一种可能的实现方式中,可以通过对网络数据包进行解析,得到网络数据包的数据头信息;然后基于数据头信息中的字段来确定该网络数据包对应的通讯协议。
此外,还可以确定网络数据包对应的端口,从而基于不同的端口确定网络数据包的通讯协议。
S103,基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果。
基于协议类型,可以从预设的协议描述库中选取通讯协议对应的正则表达式集;然后采用正则表达式集确定工业机器人当前所处的协议状态;再确定当前所处的协议状态对应的至少一个目标协议状态,目标协议状态为工业机器人在当前所处的协议状态下执行操作指令后对应的协议状态;当工业机器人接收到的操作指令与目标协议状态不匹配,则确定协议审计结果为工业机器人操作行为异常。
其中,正则表达式用于对协议进行描述,从而判断网络数据包是否符合对应协议的要求;或者正则表达式用于判断网络数据包的数据内容是否符合安全规定。对一个协议进行判断,可以采用多个正则表达式,多个正则表达式即上述正则表达式集。
在一种可能的实现方式中,基于协议进行协议分析时,需要确定网络数据包中的数据内容。此时,可以对网络数据包进行解析得到网络数据包的数据内容。图3是本申请实施例提供的一种协议解析过程的示意图。如图3所示,可以对网络数据包进行协议状态识别,然后针对不同的协议状态,采用不同的正则表达式对网络数据包进行解析,从而得到网络数据包的通讯内容。
大多数应用层机器人协议命令具有时间序列性,因此,可以将协议分成不同的状态,通过建立有限状态自动机,当一个新的协议命令到达时,协议分析通过当前所处的状态,判断下一个协议状态。当接收到当前状态下不可能出现的一个命令时,状态自动机会转向异常状态,这样系统在数据捕获阶段就可以很快发现异常行为。图4是本申请实施例提供的一种判断协议状态的流程示意图,如图4所示,可以根据协议类型从预设的协议描述库中选取正则表达式集,正则表达式集用于对协议进行描述。若从协议描述库中不存在对该协议描述,则在协议描述库中添加该协议行为描述。若存在该协议描述,则从正则表达式集中选取正则规则判断协议状态。若协议状态判断成功,则直接获取判断得到的协议状态;若协议状态判断失败,则修正状态正则表达式,然后重新进行协议状态判断。在采用图4中的方法确定工业机器人的当前的协议状态之后,相应地可以确定工业机器人的下一个可能的协议状态;若工业机器人接收到下一个命令对应的协议状态不在可能的协议状态中,则就可以判定出现异常行为,进行报警。
在一种可能的实现方式中,可以根据预设的审计规则对工业机器人进行协议审计。比如,可以设定针对端口的审计规则。工业机器人可以开放多个端口,各个端口可以用来接收不同的数据包。攻击者可能会利用这些端口对工业机器人进行攻击。例如,一种机器人可以通过可编程逻辑控制器(ProgrammableLogicController,PLC)逻辑控制机器人的电机使能,该机器人开放了502端口,存在modbus协议,攻击者可通过502端口构造数据包通过套接字socket服务对机器人502端口发送大量恶意数据,导致机器人502端口服务崩溃,机器人报警,从而达到机器人停止运行的状态。
基于此,可以对工业机器人协议进行分析,从网络数据包中提取出需要审计的内容。不同种类的工业机器人存在不同的协议。分析机器人协议,需要与常规安全审计不同的定制,安全审计代理可以快速获取到机器人存在的端口服务和潜在的被攻击面,从而提醒用户注意潜在危害,并提供相关防御手段和应急措施。本模块协议分析基于TCP/IP协议簇和由此封装的机器人协议,网络层和传输层协议格式均固定,分析比较简单,模块主要对应用层机器人协议进行分析。目前,应用层机器人协议种类繁多,并且呈持续增长趋势。大多数应用层机器人协议命令具有时间序列性,因此,可以将协议分成不同的状态,通过建立有限状态自动机,当一个新的协议命令到达时,协议分析通过当前所处的状态,判断下一个协议状态。当接收到当前状态下不可能出现的一个命令时,状态自动机会转向异常状态,这样系统在数据捕获阶段就可以很快发现异常行为。
S104,基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果。
对工业机器人的应用审计是针对工业机器人本体及产线自身的系统、固件、开发环境等整体应用的安全审计。应用审计主要通过对工业机器人内网发往外部应用的过程进行控制、审计审查和统计。对通过工业机器人应用往来的各类文档进行精细控制与深度检查,防止机密信息泄露。
例如,某种机器人在数据交互和通信方面采用明文传输,缺乏加密措施,导致敏感数据容易泄露。另外由于开放了不必要的端口服务,其中存在网页Web服务未授权访问,缺乏登录认证。新松机器人系统存在逻辑漏洞,可导致控制器Web崩溃,通过Websockets协议向控制器发送指定内容4412的payload数据包,使控制器系统Web服务崩溃,导致拒绝服务。在拒绝服务的情况下,无法通过示教器对机器人的运行进行控制,进而可能严重危害生产安全。
基于此,可以建立用于敏感信息审查的敏感数据库,敏感数据库中包括多个敏感词。例如,对于payload数据包,可以将指定内容4412作为敏感词。当接收到payload数据包时,若该数据包中包括指定内容4412,则可以及时进行工业机器人的安全响应,从而保障工业机器人的安全运行。
此外,敏感词可以包括保密信息,处于信息安全的要求,工业机器人不能将保密数据发送至外网。此时,可以从文档数据中,可以确定工业机器人从内网发往外部应用的目标数据;若目标数据中存在任一敏感词,则确定应用审计结果为工业机器人的数据发送异常。
基于文档数据对工业机器人进行应用审计,既包括了对接收到的数据内容进行应用审计,也包括了对发送到外网的数据内容进行应用审计。相当于,既能及时识别外界对工业机器人的攻击;又能保证信息安全。
S105,根据所述协议审计结果和所述应用审计结果,生成所述工业机器人的审计报警信息。
基于协议审计结果和应用审计结果,可以确定工业机器人的安全审计结果。若根据安全审计结果,工业机器人存在操作异常或数据异常时,可以生成工业机器人的审计报警信息,及时进行安全响应。
在一种可能的实现方式中,还可以确定工业机器人的开放端口;然后确定开放端口与经过开放端口的网络数据包是否匹配;若开放端口与经过开放端口的网络数据包不匹配,则确定该开放端口存在安全隐患。
在一种可能的实现方式中,可以根据机器人Web访问对机器人进行安全审计。一方面可以对网页浏览的内容进行审计,例如,URL地址的审计、网页标题审计以及网页页面文字内容的敏感信息审计等;另一方面可以对工业机器人对外互联的信息进行审计。
在一种可能的实现方式中,可以对机器人文件下载流量进行安全审计。机器人在运行过程中或用户使用过程中,会使用网络进行文件下载,需要占用很大的带宽,并且下载的文件同样存在安全隐患。因此可以对文件下载进行流量控制和审计,对文件内容进行安全审查。机器人文件下载流量主要针对机器人文件下载进行安全审查,解析还原机器人文件协议及文件内容,并对流量,文件类型,文本类文件内容进行安全审计。
在一种可能的实现方式中,可以根据不同的危险等级对工业机器人的危险信息进行不同的相应。可以根据审计报警信息,确定工业机器人的网络安全威胁等级;当网络安全威胁等级为高威胁等级时,确定工业机器人当前网络安全威胁所对应的危险连接设备;然后切断工业机器人与危险连接设备的网络连接;并向工业机器人的管控子系统发送审计报警信息。图5是本申请实施例提供的一种安全审计响应流程示意图,如图5所示,基于安全审计分析,可以确定工业机器人所面对的危险信息的事件危险等级。若事件危险等级为安全,则可以不记录该危险信息到审计信息库;若事件危险等级为低,则可以将该危险信息存入到审计报警信息库;若事件危险等级为中,则可以将该危险信息存入审计报警信息库并发出报警信息;若事件危险等级为高,则可以将该危险信息存入审计报警信息库并发出高危报警信息,然后判断是否需要阻断网络连接,若需要进行阻断,则可以采用SPI进行阻断。
在一种可能的实现方式中,可以每隔预设时间,基于审计报警信息,生成工业机器人的安全审计报告;然后采用多个安全审计报告生成工业机器人的审计规则,审计规则中包括安全行为数据库和危险行为数据库;再基于安全行为数据库和危险行为数据库,对工业机器人进行后续的安全审计。
图6是本申请实施例提供的一种安全审计规则生成的示意图,图6中的安全审计规则库中包括多个用于安全审计的规则,安全审计规则可以具有多个来源渠道,比如,可以由管理源统一设置;还可以基于响应反馈,然后系统管理员优化得到。还可以由安全审计事件进行数据挖掘分析得到;另外还可以由用户自定义审计规则。
本申请实施例中的方法,还可以通过审计代理来执行,工业机器人可以通过审计代理向管控子系统进行注册。图7是本申请实施例提供的一种审计代理注册与维护流程示意图;如图7所示,管控子系可以接收工业机器人通过审计代理发送的注册信息。若该注册信息允许注册,则可以发送确认信息,更新审计代理信息;然后接收在线报文。若该注册信息不允许注册,则可以返回安全审计代理注册失败信息。比如,若工业机器人在黑名单内,则管控子系统可以不允许对应注册信息的注册。
审计代理注册成功后,可以启动与审计管控子系统之间发送定时心跳报文任务,定时心跳报文任务每五分钟发送一次心跳报文,报文内容包含当前审计代理IP地址、审计代理状态,当审计管控子系统接收到审计代理心跳报文后,进行报文内容解析,并记录心跳信息。若当前接收到报文时间减去上一次报文发送时间结果大于预设还是件,比如6分钟,则进行页面展示预警。审计代理还可以基于预设的多个规则对工业机器人进行安全审计以及安全报警。
在本申请实施例中,可以通过网络数据包对工业机器人进行协议审计,通过文档数据对工业机器人进行应用审计,还可以基于Web访问、文件下载流量、实时邮件对工业机器人进行安全审计,实现对工业机器人的全面审计。还可以根据不同的安全审计结果,可以进行不同等级的响应,从而确保了工业机器人的稳定运行。
本实施例中的工业机器人安全审计方法可以对机器人及网络勿扰前提下进行数据采集,进一步对采集数据安全审计分析,通过对审计规则、策略管理与控制不断调整和强化审计规则,最后对安全审计结果响应,达到安全威胁闭环管理,进而保障机器人本体及产线信息安全对机器人本体及产线内部网络使用人员的网络行为和访问用户进行合理有效的审计。
需要说明的是,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
图8是本申请实施例提供的一种工业机器人安全审计系统的示意图,如图8所示,该系统可以包括:网络数据包捕获模块、安全审计分析模块、客户端管理和控制模块、审计规则与策略管理模块、审计响应模块、审计代理管理模块、审计报告查询模块和安全态势分析模块。
上述网络数据包捕获模块可以在Libnids开发包的基础上进行开发。Libnids基于Libpcap和Libnet而开发,是一个用于网络入侵检测开发的专业编程接口。Libnids除了具有Libpcap捕获IP数据包的功能,它还提供了TCP数据流重组的功能,所以能够分析基于TCP协议的各种应用层协议,同时,还提供了IP分片重组的功能,以及端口检测检测和异常数据包检测的功能。
上述安全审计分析模块主要从机器人协议、机器人应用、实时邮件、机器人Web应用和机器人文件下载流量等方面对工业机器人进行安全审计。
其中,机器人协议审计是针对机器人私有协议的通讯内容及操作行为进行审计,机器人协议包括Modbus、IEC104、DNP3、BACNET、HART-IP、GE-SRTP、S7、Fox、FINS、EtherNet/IP、MELSEC、PCWorx等。安全审计分析模块需要识别该协议并能深度解析机器人协议的指令集,并能上下关联判断该操作行为是否是异常行为。
机器人应用审计是针对机器人本体及产线自身的系统、固件、开发环境等整体应用的安全审计,机器人应用主要通过对内网发往外部应用的控制、审计审查、统计功能,对通过机器人应用往来的各类文档进行精细控制与深度检查,防止机密信息泄露。例如,一些机器人在数据交互和通信方面采用明文传输,缺乏加密措施,导致敏感数据泄露。一些机器人开放了不必要的端口服务,其中存在Web服务未授权访问,缺乏登录认证。机器人系统还可能存在逻辑漏洞,可导致控制器Web崩溃,通过Websockets协议向控制器发送指定内容4412的payload数据包,使控制器系统Web服务崩溃,导致拒绝服务。在拒绝服务的情况下,无法通过示教器对机器人的运行进行控制,进而可能严重危害生产安全。
实时邮件审计一般采用应用层协议分析和邮件内容还原机制来实现。同时,机器人应用还可以通过应用内容解析,完成应用内容提取解码,还原为可以阅读的正文内容。
机器人Web访问针对机器人安全审计主要分为两个方面,一方面对网页浏览的内容进行审计,例如,URL地址的审计,网页标题审计,网页页面文字内容的敏感信息审计等;另一方面对机器人对外互联的信息进行审计。
机器人文件下载流量审计是对机器人下载的文件以及下载文件时的带宽进行控制。机器人在运行过程中或用户使用过程中,会使用网络进行文件下载,需要占用很大的带宽,与此同时,下载的文件同样存在安全隐患,因此我们需要对文件下载进行流量控制和审计,对文件内容还应进行安全审查。机器人文件下载流量主要针对机器人文件下载进行安全审查,解析还原机器人文件协议及文件内容,并对文件流量、文件类型以及文本类文件内容进行安全审计。
基于安全审计分析模块可以得到审计事件,安全审计分析模块可以将审计事件发送至安全审计响应模块。
上述安全审计响应模块可以用于根据审计事件进行响应,从而及时地避免网络攻击,保障工业机器人安全运行。基于审计事件,可以确定对应的安全审计报警信息。
安全审计报警信息主要是对安全审计中存在危险信息的事件进行记录,安全审计报警日志直观反映了当前系统的安全情况,系统管理员可以通过报警日志可以对来自系统和网络的威胁做出相应的措施。因此,高效准确的报警日志将有效的保护工业机器人的安全。对于工业机器人的网络连接,工业机器人会在示教器日志中显示当前连接的状态、连接设备的信息。通过安全审计报警可以高效的监控工控环境中所有机器人的日志,从而高效准确的保护系统安全。
在进行安全审计报警之前,需要对安全报警日志制定统一的报警格式。报警日志主要记载发生威胁的时间,威胁程度,存在威胁信息的网络连接信息,发生威胁的计算机地址等信息。
审计事件经过安全审计分析之后,可以根据事件的不同危险等级采用不同的处理方法,低危险等级的安全审计事件由审计代理存入审计报警数据库,定时发送给管控子系统,由管控子系统结合多个机器人报警信息进行进一步分析,中高危险等级的安全审计事件在存入审计报警数据库的同时,必须实时的发送报警信息给管控子系统,另外,某些高危险等级的安全审计事件还需要进行主动阻断主机数据链接,防止危险加深或扩散至全网。
工业机器人安全审计系统可以同时对多个审计客户进行安全审计,在工业机器人安全审计系统中,可以通过客户端管理与控制模块实时查看当前各个审计客户的各个工业机器人安全审计状况。客户端管理与控制模块可对审计客户节点及其安全审计数据根据安全审计规则和策略所监控到的数据进行展示。针对数据进行分析,使用户能够快速对机器人系统整体的安全审计态势有全面的了解。客户端管理与控制模块可以对审计日志进行分析,通过数据统计和3D拓扑图展示审计异常的互联关系,并可以筛选条件对审计日志做TOP分析。
客户端管理与控制模块还可以针对客户节点产生的告警数据进行分析和展示,从审计日志、审计事件等维度对攻击态势进行多角度分析。同时,客户端管理和控制模块,可以通过管理端配置发送审计规则与策略,实现远程客户端规则策略的修改和编辑,实现动态的分布式统一审计规则管控。
上述审计报告查询模块为管理员提供了对安全审计事件的基本查询功能,包括根据日期范围、根据时间范围、根据计算机组、根据IP地址、根据应用类型查询等。
在审计报告查询模块中,管理员还可以进行关键字匹配高级查询。通过审计报告查询模块基本查询功能,管理员使用安全审计事件的属性筛选出相关的审计事件进行审查,然而这远远不能满足安全审计事件查询的要求,如果管理员希望通过报警信息中的关键字符来追踪相关的安全审计事件,查询互联了相关内容URL的用户和机器人设备等。这就需要采用多关键词检索技术,多关键词检索是一种基于后缀搜索的多关键词匹配算法,该算法借鉴了BM算法的跳跃思想,用块字符来计算不匹配字符的移动距离;在进行匹配的时候,用HASH表选择多关键词中的一个子集与当前文本进行匹配,减少无谓的匹配操作。
上述审计规则与策略管理模块可以用于审计策略制定与管理、审计规则制定与生成。
安全审计策略可以用于确定审计范围、时间和方向,并指导制定具体的安全审计规则。机器人本体及产线下安全审核策略可以包括九项,包括审核登录事件、审核对象访问、审核进程追踪、审核目录服务访问、审核系统事件、审核策略更改、审核特权使用、审核账户登录事件以及审核账户管理。模块根据机器人本体及产线下安全审核策略类型制定网络安全审计系统系统安全审计策略。大体上审核策略分为时间控制,权限控制、IP地址与端口限制,网络应用类型这几大类。
采用安全审计规则审查的方法需要建立一个安全审计规则库,审计规则与策略管理模块的安全审计规则库可以分为两个部分:一个是由系统管理员事先制定好的安全审计规则,这类审计规则准确率较高,对已知的危险事件行为处理较为有效;第二种是根据已有的安全审计事件进行关联规则学习,从中提取出正常的审计网络行为,这种基于异常的检测的审计规则能够对未知的事件行为进行推测,从中发掘出危险行为,但是这种方法应用具有一定的局限性,审计规则与策略管理模块主要针对应用层协议命令审计,采用该方法从中发掘出异常命令。
对于安全审计规则库,管理员可以通过手动更新与维护,比如进行新规则的添加、无用规则的删除与旧规则的更新,每一项审计策略都会制定相应的审计规则。
审计代理管理模块可以用于审计客户端注册与管理以及审计管控子系统与客户端通信机制。
安全审计代理工作在网内各机器人本体及产线设备上,由安全审计管控子系统统一管理,每台机器人本体及产线设备在开机启动之后都会自启动安全审计客户端代理,审计代理会发送本机信息给管控子系统,子系统收到来自主机的注册信息,查询黑名单库,如果该机器人本体及产线设备存在黑名单中,那么它将不予以注册,此时安全审计代理将阻止机器人本体及产线设备的一切外网连接行为,其它情况下将完成审计代理的工作。管控子系统更新审计代理地址列表,同时向安全审计代理发送确认报文,此时安全审计代理注册完成。
安全审计代理完成注册工作后,管控子系统就可以对其进行管理,向各安全审计代理下发安全审计策略和规则,以及敏感信息。由于安全审计代理在运行过程中,可能发生系统错误,导致审计代理失效。审计代理管理模块采用一种心跳策略,安全审计代理每隔一段时间,将向管控子系统发送一个在线消息,告知系统管理员审计代理工作正常,当管控子系统超过一段时间后没有收到审计代理的在线消息,将认定审计代理失效或者机器人本体及产线设备已经关机。
为了保证审计代理与审计管控子系统之间通信安全,必须制定一个良好的安全通信机制,审计代理管理模块使用安全套接层(SecureSocketsLayer,SSL)对应用层数据进行加密处理。SSL广泛应用于Web浏览器与服务器之间数据传输对用户与服务器进行认证,防止数据中途窃取,保证了数据的安全传输。审计代理管理模块使用开源软件包OpenSSL实现管控子系统与审计代理之间的数据安全传输,该软件库拥有较为全面的密码算法库,常用的密钥和证书管理功能以及SSL协议库。审计代理管理模块采用RSA和AES加密算法对传输数据进行加密,利用RSA算法对AES算法的种子密钥(32byte)进行加密传输,然后使用AES加密算法对应用层数据进行加解密,这样保证了应用层数据的加密传输。
上述安全态势分析模块:可以被用于安全审计态势评估和安全审计态势预测。
安全审计态势评估是根据安全审计事件,利用安全态势评估方法对整个网络的安全审计状态进行综合评估。安全审计态势评估方法根据实时的安全审计的告警信息,进行数据融合分析,另一方面根据历史数据,进行离线数据分析。这些方法大致可以分为三种:基于数学模型的方法、基于知识推理的方法和基于模式识别的方法。
安全审计态势预测在安全审计态势感知中处于最后阶段,它是建立在态势理解与态势评估基础上,根据现有的网络节点和网络信息,通过对安全审计态势评估历史数据进行分析,建立合理的数学模型来推测未来一段时间内安全审计变化情况,客观准确的对安全审计态势的发展进行预测,把握安全审计的发展趋势,对未来可能发生的安全审计事件进行预防,从而降低安全审计的风险。
相比安全审计评估方法,安全审计态势预测基于免疫理论的安全审计态势评估方法,并使用灰色理论进行预测,能反映安全审计态势的趋势。
在本申请提供的工业机器人安全审计系统中,网络数据包捕获模块捕获网络数据包并进行数据预处理后,可以将网络数据宝发送至安全审计分析模块;审计分析模块可以根据接受都爱的数据生成审计事件。审计响应模块在接收到审计事件后,可以进行审计响应,比如进行数据告警和阻断。客户端管理与控制模块可以用于呈现安全审计结果并调整审计规则和策略。基于审计规则与策略管理模块,可以针对不同的工业机器人进行针对性的审计。基于审计代理管理模块,可以向管控子系统进行注册,从而实现管控子系统对工业机器人的安全审计。基于审计报告查询模块,也可以更新审计规则与策略管理模块。基于安全态势分析模块,可以直观的了解工业机器人的当前安全状况,以及进行未来安全状态的预测。本实施例中的工业机器人安全审计系统,一方面可以提供对工业机器人的全面审计;另一方面可以基于不断改进的审计规则和策略,实现对工业机器人的针对性安全审计;还能够基于安全审计结果进行分级响应,保障了工业机器人的安全运行;同时可以对工业机器人进行安全态势分析,从而客观准确的对安全审计态势的发展进行预测,把握安全审计的发展趋势,对未来可能发生的安全审计事件进行预防,从而降低安全审计的风险。
参照图9,示出了本申请实施例提供的一种工业机器人的安全审计装置的示意图,具体可以包括获取模块91、确定模块92、协议审计模块93、应用审计模块94和生成模块95,其中:
获取模块91,用于获取工业机器人产生的网络数据包和文档数据;
确定模块92,用于对所述网络数据包进行解析,确定所述工业机器人使用的通讯协议,所述通讯协议具有对应的协议类型;
协议审计模块93,用于基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果;
应用审计模块94,用于基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果;
生成模块95,用于根据所述协议审计结果和所述应用审计结果,生成所述工业机器人的审计报警信息。
在一种可能的实现方式中,上述获取模块91包括:
汇聚子模块,用于通过交互机镜像端口汇聚至少一个数据包;
确定子模块,用于确定至少一个所述数据包对应的设备列表;
获取子模块,用于若所述设备列表中存在预设的网络设备,则获取所述网络设备对应的数据包为所述网络数据包,所述网络设备为与所述工业机器人存在网络连接的设备。
在一种可能的实现方式中,上述协议审计模块93包括:
选取子模块,用于基于所述协议类型,从预设的协议描述库中选取所述通讯协议对应的正则表达式集;
协议状态确定子模块,用于采用所述正则表达式集确定所述工业机器人当前所处的协议状态;
目标协议状态确定子模块,用于确定当前所处的所述协议状态对应的至少一个目标协议状态,所述目标协议状态为所述工业机器人在当前所处的所述协议状态下执行操作指令后对应的协议状态;
判断子模块,用于当所述工业机器人接收到的操作指令与所述目标协议状态不匹配,则确定所述协议审计结果为所述工业机器人操作行为异常。
在一种可能的实现方式中,所述敏感数据库中包括多个敏感词,上述应用审计模块94包括:
目标数据确定子模块,用于从所述文档数据中,确定所述工业机器人从内网发往外部应用的目标数据;
应用审计结果确定子模块,用于若所述目标数据中存在任一所述敏感词,则确定所述应用审计结果包括所述工业机器人的数据发送异常。
在一种可能的实现方式中,上述装置还包括:
开放端口确定模块,用于确定所述工业机器人的开放端口;
判断模块,用于确定所述开放端口与经过所述开放端口的网络数据包是否匹配;
端口报警模块,用于若所述开放端口与经过所述开放端口的网络数据包不匹配,则确定所述开放端口处于危险状态。
在一种可能的实现方式中,上述装置还包括:
威胁等级确定模块,用于根据所述审计报警信息,确定所述工业机器人的网络安全威胁等级;
危险连接设备确定模块,用于当所述网络安全威胁等级为高威胁等级时,确定所述工业机器人当前网络安全威胁所对应的危险连接设备;
切断模块,用于切断所述工业机器人与所述危险连接设备的网络连接;
审计报警模块,用于向所述工业机器人的管控子系统发送所述审计报警信息。
在一种可能的实现方式中,上述装置还包括:
报告生成模块,用于每隔预设时间,基于所述审计报警信息,生成所述工业机器人的安全审计报告;
审计规则生成模块,用于采用多个所述安全审计报告生成所述工业机器人的审计规则,所述审计规则中包括安全行为数据库和危险行为数据库;
安全审计模块,用于基于所述安全行为数据库和所述危险行为数据库,对所述工业机器人进行后续的安全审计。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述得比较简单,相关之处参见方法实施例部分的说明即可。
图10为本申请实施例提供的一种计算机设备的结构示意图。如图10所示,该实施例的计算机设备10包括:至少一个处理器1000(图10中仅示出一个)处理器、存储器1001以及存储在所述存储器1001中并可在所述至少一个处理器1000上运行的计算机程序1002,所述处理器1000执行所述计算机程序1002时实现上述任意各个方法实施例中的步骤。
所述计算机设备10可以是桌上型计算机、笔记本、掌上电脑及云端计算机设备等计算设备。该计算机设备可包括,但不仅限于,处理器1000、存储器1001。本领域技术人员可以理解,图10仅仅是计算机设备10的举例,并不构成对计算机设备10的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器1000可以是中央处理单元(CentralProcessingUnit,CPU),该处理器1000还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器1001在一些实施例中可以是所述计算机设备10的内部存储单元,例如计算机设备10的硬盘或内存。所述存储器1001在另一些实施例中也可以是所述计算机设备10的外部存储设备,例如所述计算机设备10上配备的插接式硬盘,智能存储卡(SmartMediaCard,SMC),安全数字(SecureDigital,SD)卡,闪存卡(FlashCard)等。进一步地,所述存储器1001还可以既包括所述计算机设备10的内部存储单元也包括外部存储设备。所述存储器1001用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器1001还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在计算机设备上运行时,使得计算机设备执行时实现可实现上述各个方法实施例中的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制。尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (8)
1.一种工业机器人的安全审计方法,其特征在于,包括:
获取工业机器人产生的网络数据包和文档数据;
对所述网络数据包进行解析,确定所述工业机器人使用的通讯协议,所述通讯协议具有对应的协议类型;
基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果;
基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果;
根据所述协议审计结果和所述应用审计结果,生成所述工业机器人的审计报警信息:
其中,所述基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果,包括:
将协议分成不同的状态,通过建立有限状态自动机,当一个新的协议命令到达时,协议分析通过当前所处的状态,判断下一个协议状态;
基于所述协议类型,从预设的协议描述库中选取所述通讯协议对应的正则表达式集;
采用所述正则表达式集确定所述工业机器人当前所处的协议状态;
确定当前所处的所述协议状态对应的至少一个目标协议状态,所述目标协议状态为所述工业机器人在当前所处的所述协议状态下执行操作指令后对应的协议状态;
当所述工业机器人接收到的操作指令与所述目标协议状态不匹配,则确定所述协议审计结果为所述工业机器人操作行为异常;
所述敏感数据库中包括多个敏感词,所述基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果,包括:
从所述文档数据中,确定所述工业机器人从内网发往外部应用的目标数据;
若所述目标数据中存在任一所述敏感词,则确定所述应用审计结果包括所述工业机器人的数据发送异常。
2.如权利要求1所述的方法,其特征在于,所述获取工业机器人产生的网络数据包和文档数据,包括:
通过交互机镜像端口汇聚至少一个数据包;
确定至少一个所述数据包对应的设备列表;
若所述设备列表中存在预设的网络设备,则获取所述网络设备对应的数据包为所述网络数据包,所述网络设备为与所述工业机器人存在网络连接的设备。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述工业机器人的开放端口;
确定所述开放端口与经过所述开放端口的网络数据包是否匹配;
若所述开放端口与经过所述开放端口的网络数据包不匹配,则确定所述开放端口处于危险状态。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述审计报警信息,确定所述工业机器人的网络安全威胁等级;
当所述网络安全威胁等级为高威胁等级时,确定所述工业机器人当前网络安全威胁所对应的危险连接设备;
切断所述工业机器人与所述危险连接设备的网络连接;
向所述工业机器人的管控子系统发送所述审计报警信息。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
每隔预设时间,基于所述审计报警信息,生成所述工业机器人的安全审计报告;
采用多个所述安全审计报告生成所述工业机器人的审计规则,所述审计规则中包括安全行为数据库和危险行为数据库;
基于所述安全行为数据库和所述危险行为数据库,对所述工业机器人进行后续的安全审计。
6.一种工业机器人的安全审计装置,其特征在于,包括:
获取模块,用于获取工业机器人产生的网络数据包和文档数据;
确定模块,用于对所述网络数据包进行解析,确定所述工业机器人使用的通讯协议,所述通讯协议具有对应的协议类型;
协议审计模块,用于基于所述协议类型,对所述工业机器人进行协议分析,得到所述工业机器人的协议审计结果;
应用审计模块,用于基于所述文档数据和预设的敏感数据库,确定所述工业机器人的应用审计结果;
生成模块,用于根据所述协议审计结果和所述应用审计结果,生成所述工业机器人的审计报警信息;
其中,所述协议审计模块还执行将协议分成不同的状态,通过建立有限状态自动机,当一个新的协议命令到达时,协议分析通过当前所处的状态,判断下一个协议状态;所述协议审计模块包括:
选取子模块,用于基于所述协议类型,从预设的协议描述库中选取所述通讯协议对应的正则表达式集;
协议状态确定子模块,用于采用所述正则表达式集确定所述工业机器人当前所处的协议状态;
目标协议状态确定子模块,用于确定当前所处的所述协议状态对应的至少一个目标协议状态,所述目标协议状态为所述工业机器人在当前所处的所述协议状态下执行操作指令后对应的协议状态;
判断子模块,用于当所述工业机器人接收到的操作指令与所述目标协议状态不匹配,则确定所述协议审计结果为所述工业机器人操作行为异常;
所述敏感数据库中包括多个敏感词,所述应用审计模块包括:
目标数据确定子模块,用于从所述文档数据中,确定所述工业机器人从内网发往外部应用的目标数据;
应用审计结果确定子模块,用于若所述目标数据中存在任一所述敏感词,则确定所述应用审计结果包括所述工业机器人的数据发送异常。
7.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-5任一项所述的方法。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210635420.1A CN115102725B (zh) | 2022-06-07 | 2022-06-07 | 一种工业机器人的安全审计方法、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210635420.1A CN115102725B (zh) | 2022-06-07 | 2022-06-07 | 一种工业机器人的安全审计方法、装置及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115102725A CN115102725A (zh) | 2022-09-23 |
| CN115102725B true CN115102725B (zh) | 2024-04-09 |
Family
ID=83288088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210635420.1A Active CN115102725B (zh) | 2022-06-07 | 2022-06-07 | 一种工业机器人的安全审计方法、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115102725B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119154938A (zh) * | 2024-11-14 | 2024-12-17 | 西安电子科技大学 | 卫星异常指令检测方法及装置、卫星、存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103124293A (zh) * | 2012-12-31 | 2013-05-29 | 中国人民解放军理工大学 | 一种基于多Agent的云数据安全审计方法 |
| CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
| CN112532614A (zh) * | 2020-11-25 | 2021-03-19 | 国网辽宁省电力有限公司信息通信分公司 | 一种用于电网终端的安全监测方法和系统 |
| CN113518071A (zh) * | 2021-04-13 | 2021-10-19 | 北京航空航天大学 | 一种机器人传感器信息安全增强装置与方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL243426A0 (en) * | 2015-12-31 | 2016-04-21 | Asaf Shabtai | A platform to protect small and medium enterprises from online threats |
| US20210035116A1 (en) * | 2019-07-31 | 2021-02-04 | Bidvest Advisory Services (Pty) Ltd | Platform for facilitating an automated it audit |
-
2022
- 2022-06-07 CN CN202210635420.1A patent/CN115102725B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103124293A (zh) * | 2012-12-31 | 2013-05-29 | 中国人民解放军理工大学 | 一种基于多Agent的云数据安全审计方法 |
| CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
| CN112532614A (zh) * | 2020-11-25 | 2021-03-19 | 国网辽宁省电力有限公司信息通信分公司 | 一种用于电网终端的安全监测方法和系统 |
| CN113518071A (zh) * | 2021-04-13 | 2021-10-19 | 北京航空航天大学 | 一种机器人传感器信息安全增强装置与方法 |
Non-Patent Citations (5)
| Title |
|---|
| Caché数据库通讯协议安全性分析系统;黎琳;李振寰;常晓林;韩臻;;信息网络安全;20180410(第04期);全文 * |
| 变电站巡检机器人替代人工测评方案_杨学志;杨学志等;机器人产业;20200630;全文 * |
| 基于改进正则表达式规则分组的内网行为审计方案;俞艺涵;付钰;吴晓平;;计算机应用;20160810(第08期);全文 * |
| 基于故障树的服务机器人信息安全测评系统模型;李梦玮等;工业技术创新;20200630;全文 * |
| 基于正则表达式的协议行为审计技术研究;张运明;王勇军;;现代电子技术;20101001(第19期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115102725A (zh) | 2022-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
| US20240073242A1 (en) | Cyber security appliance for an operational technology network | |
| US20240259405A1 (en) | Treating data flows differently based on level of interest | |
| Sabahi et al. | Intrusion detection: A survey | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN109739203B (zh) | 一种工业网络边界防护系统 | |
| Rosa et al. | A comprehensive security analysis of a SCADA protocol: From OSINT to mitigation | |
| CN112468460A (zh) | Http请求检测方法、装置、计算机设备及存储介质 | |
| CN113240116B (zh) | 基于类脑平台的智慧防火云系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| Di Sarno et al. | A novel security information and event management system for enhancing cyber security in a hydroelectric dam | |
| WO2023123530A1 (zh) | 一种基于可信计算的工控防御方法与系统 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| CN116760636A (zh) | 一种未知威胁的主动防御系统和方法 | |
| Brenner et al. | Better safe than sorry: Risk management based on a safety-augmented network intrusion detection system | |
| CN115102725B (zh) | 一种工业机器人的安全审计方法、装置及介质 | |
| CN114584366B (zh) | 电力监控网络安全检测系统及方法 | |
| CN115622726A (zh) | 基于opc ua的异常检测和恢复系统以及方法 | |
| Gao | Cyberthreats, attacks and intrusion detection in supervisory control and data acquisition networks | |
| Yang et al. | Cybersecurity analysis of wind farm industrial control system based on hierarchical threat analysis model framework | |
| Zhang et al. | Securing the Internet of Things: Need for a New Paradigm and Fog Computing | |
| CN116112295B (zh) | 一种外连类攻击结果研判方法及装置 | |
| Kruegel | Network alertness: towards an adaptive, collaborating intrusion detection system | |
| Conte de Leon et al. | Cybersecurity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Gong Xiao Inventor after: Li Mengwei Inventor after: Wan Binbin Inventor after: Zhao Zhengbin Inventor after: Cui Dengqi Inventor before: Wan Binbin Inventor before: Cui Dengqi Inventor before: Gong Xiao Inventor before: Li Mengwei Inventor before: Zhao Zhengbin |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |