一种DNP协议异常流量检测装置的制作方法

本实用新型涉及工业控制系统信息安全领域，特别涉及一种DNP协议异常流量检测装置。

背景技术：

DNP3.0（Distributed Network Protocol Version 3.0）是一种适用于配电自动化系统的现场智能终端与控制主站之间的通信规约，广泛应用在电力系统中。DNP3.0协议的安全性对电力系统非常重要，由于DNP3.0是一种开放协议，它的报文结构和数据格式都是公开的，并且在没有足够的安全措施下，存在安全隐患，攻击者能够利用符合DNP3.0协议规则的数据报文实施欺骗性攻击，例如，攻击者能够在DNP3.0协议报文的传输过程中，利用符合DNP3.0协议规则的数据包，截取或者篡改DNP3.0数据报文，引起系统错误或造成重要信息的泄露甚至破坏，严重威胁了电力系统的安全性。若要防范此类欺骗性攻击，需要对DNP3.0数据内容本身的过滤，即对应用层进行深度包过滤。由于欺骗性攻击的数据包是符合DNP3.0协议规则的，而传统防火墙不能识别，因此无法防范此类攻击。

技术实现要素：

本实用新型的目的在于提供一种实现DNP3.0协议的流量记录功能以及流量审计功能，满足针对DNP3.0协议的信息安全检测的DNP协议异常流量检测装置。

本实用新型的目的是通过以下技术方案实现的：

一种DNP协议异常流量检测装置，其特征在于：包括壳体和设置在壳体内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块，还设置有电源模块为装置各部件供电；壳体上设置有协议信号接口、网络接口、拨码开关、运行状态灯和电源开关，协议信号接口与DNP3.0通信模块相连，网络接口与网络通信模块相连；看门狗模块监测主控制模块的运行状态，并控制管理Bypass模块和电源模块，Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置；所述拨码开关连接主控制模块配置运行模式。

所述主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz。具备两个工业千兆位以太网接口（10、100 和 1000Mbps）和多个UART通用异步收发接口。为了保证AM3358能够正常运行，扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据，同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。

所述DNP3.0通信模块包括至少两个RS485转换电路，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护。两个RS485转换电路支持终端匹配和无终端匹配两种模式

所述网络通信模块包括至少一个匹配RJ45类型接口的以太网转换电路。以太网通达模块和DNP3.0通信模块都具有保护功能，可防止意外高压对模块的冲击

所述看门狗模块包括看门狗处理器和扩展电路，看门狗模块接收来自主处理模块的脉冲信号，控制主处理模块的供电电路及Bypass模块。看门狗电路独立于其它模块电路，实时监测主处理模块的运行状态，发现主处理模块有异常时可以重启该模块并保证Bypass功能开启。

所述Bypass模块以通过特定的触发状态（断电或死机）让两个网络不通过网络安全设备的系统，而直接物理上导通，所以有了Bypass模块后，当网络安全设备故障以后，还可以让连接在这台设备上的网络相互导通，当然这个时候这台网络设备也就不会再对网络中的封包做处理了。

所述电源模块包括主控制模块供电及复位控制电路、看门狗供电电路和通信模块供电电路，分别输出+1.8V、+3.3V和+5V电压。电源模块向主控制模块提供复位信号，复位电路的输入源是看门狗处理器的输出。

本实用新型的有益效果如下：）

一、本实用新型提供的一种DNP协议异常流量检测装置，主控制模块承担了系统管理、DNP3.0协议报文解析、流量检测等功能；电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；Bypass模块用于保证装置断电或主控制模块异常的情况下DNP3.0信号能正常通过装置；存储模块主要用于存储通过设备的DNP3.0协议流量，同时也记录系统配置、系统日志等信息；DNP3.0通信模块的主要功能是DNP3.0协议的数据处理和RS485信号传输功能；以太网通信模块的主要功能是设备数据和状态的上传、设备调试指令的处理以及TCP/IP协议报文传输实现；拨码开关连接主控制模块配置运行模式；运行状态灯及时显示运行状态；针对电力、水处理等工业控制系统中广泛应用的DNP3.0协议实现了记录和审计功能；通过设计Bypass的功能，可以减轻装置对DNP3.0协议通信实时性和可靠性的不良影响。

二、本实用新型提供的一种DNP协议异常流量检测装置，主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz，在图像、图形处理、外设以及 EtherCAT 和 PROFIBUS 等工业接口选项方面得到了增强，允许单独操作和计时，以实现更高的效率和灵活性，支持更多外设接口，可以灵活地实现快速实时响应、专用数据处理操作以及自定义外设接口，并减轻 SoC 其他处理器内核的任务负载；DNP3.0通信模块包括至少两个RS485转换电路，构成DNP3.0协议信号第一接口和第二接口，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护，光耦隔离的方式以保护主控制模块不受到接口电压波动所带来的影响；网络通信模块包括至少一个匹配RJ45类型接口的以太网转换电路，以太网通达模块具有保护功能，可防止意外高压对模块的冲击；看门狗电路独立于其它模块电路，实时监测主处理模块的运行状态，发现主处理模块有异常时可以重启该模块并保证Bypass功能开启；电源模块包括主控制模块供电及复位控制电路、看门狗供电电路和通信模块供电电路，分别输出+1.8V、+3.3V和+5V电压，分路供电有利于保护各模块和减小整体崩溃的风险。

附图说明

图1是本实用新型一种优选方案的立体示意图；

图2是本实用新型一种优选方案的系统结构示意图；

图中：

1、壳体；2、信号接口；3、网络接口；4、拨码开关；5、运行状态灯；6、电源开关。

具体实施方式

以下通过几个具体实施例来进一步说明实现本实用新型目的的技术方案，需要说明的是，本实用新型的技术方案包含但不限于以下实施例。

实施例1

如图1和图2，一种DNP协议异常流量检测装置，包括壳体1和设置在壳体1内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块，还设置有电源模块为装置各部件供电；壳体1上设置有协议信号接口2、网络接口3、拨码开关4、运行状态灯5和电源开关6，协议信号接口2与DNP3.0通信模块相连，网络接口3与网络通信模块相连；看门狗模块监测主控制模块的运行状态，并控制管理Bypass模块和电源模块，Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置；所述拨码开关4连接主控制模块配置运行模式。

这是本实用新型的一种最基本实施方案。主控制模块承担了系统管理、DNP3.0协议报文解析、流量检测等功能；电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；Bypass模块用于保证装置断电或主控制模块异常的情况下DNP3.0信号能正常通过装置；存储模块主要用于存储通过设备的DNP3.0协议流量，同时也记录系统配置、系统日志等信息；DNP3.0通信模块的主要功能是DNP3.0协议的数据处理和RS485信号传输功能；以太网通信模块的主要功能是设备数据和状态的上传、设备调试指令的处理以及TCP/IP协议报文传输实现；拨码开关4连接主控制模块配置运行模式；运行状态灯5及时显示运行状态；针对电力、水处理等工业控制系统中广泛应用的DNP3.0协议实现了记录和审计功能；通过设计Bypass的功能，可以减轻装置对DNP3.0协议通信实时性和可靠性的不良影响。

实施例2

如图1和图2，一种DNP协议异常流量检测装置，包括壳体1和设置在壳体1内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块，还设置有电源模块为装置各部件供电；壳体1上设置有协议信号接口2、网络接口3、拨码开关4、运行状态灯5和电源开关6，协议信号接口2与DNP3.0通信模块相连，网络接口3与网络通信模块相连；看门狗模块监测主控制模块的运行状态，并控制管理Bypass模块和电源模块，Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置；所述拨码开关4连接主控制模块配置运行模式。

所述主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz。

这是本实用新型的一种优选的实施方案。主控制模块承担了系统管理、DNP3.0协议报文解析、流量检测等功能；电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；Bypass模块用于保证装置断电或主控制模块异常的情况下DNP3.0信号能正常通过装置；存储模块主要用于存储通过设备的DNP3.0协议流量，同时也记录系统配置、系统日志等信息；DNP3.0通信模块的主要功能是DNP3.0协议的数据处理和RS485信号传输功能；以太网通信模块的主要功能是设备数据和状态的上传、设备调试指令的处理以及TCP/IP协议报文传输实现；拨码开关4连接主控制模块配置运行模式；运行状态灯5及时显示运行状态；针对电力、水处理等工业控制系统中广泛应用的DNP3.0协议实现了记录和审计功能；通过设计Bypass的功能，可以减轻装置对DNP3.0协议通信实时性和可靠性的不良影响；主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz，在图像、图形处理、外设以及 EtherCAT 和 PROFIBUS 等工业接口选项方面得到了增强，允许单独操作和计时，以实现更高的效率和灵活性，支持更多外设接口，可以灵活地实现快速实时响应、专用数据处理操作以及自定义外设接口，并减轻 SoC 其他处理器内核的任务负载。

实施例3

如图1和图2，一种DNP协议异常流量检测装置，包括壳体1和设置在壳体1内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块，还设置有电源模块为装置各部件供电；壳体1上设置有协议信号接口2、网络接口3、拨码开关4、运行状态灯5和电源开关6，协议信号接口2与DNP3.0通信模块相连，网络接口3与网络通信模块相连；看门狗模块监测主控制模块的运行状态，并控制管理Bypass模块和电源模块，Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置；所述拨码开关4连接主控制模块配置运行模式。

所述主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz。

所述DNP3.0通信模块包括至少两个RS485转换电路，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护。

这是本实用新型的一种优选的实施方案。主控制模块承担了系统管理、DNP3.0协议报文解析、流量检测等功能；电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；Bypass模块用于保证装置断电或主控制模块异常的情况下DNP3.0信号能正常通过装置；存储模块主要用于存储通过设备的DNP3.0协议流量，同时也记录系统配置、系统日志等信息；DNP3.0通信模块的主要功能是DNP3.0协议的数据处理和RS485信号传输功能；以太网通信模块的主要功能是设备数据和状态的上传、设备调试指令的处理以及TCP/IP协议报文传输实现；拨码开关4连接主控制模块配置运行模式；运行状态灯5及时显示运行状态；针对电力、水处理等工业控制系统中广泛应用的DNP3.0协议实现了记录和审计功能；通过设计Bypass的功能，可以减轻装置对DNP3.0协议通信实时性和可靠性的不良影响；主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz，在图像、图形处理、外设以及 EtherCAT 和 PROFIBUS 等工业接口选项方面得到了增强，允许单独操作和计时，以实现更高的效率和灵活性，支持更多外设接口，可以灵活地实现快速实时响应、专用数据处理操作以及自定义外设接口，并减轻 SoC 其他处理器内核的任务负载；DNP3.0通信模块包括至少两个RS485转换电路，构成DNP3.0协议信号第一接口和第二接口，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护，光耦隔离的方式以保护主控制模块不受到接口电压波动所带来的影响。

实施例4

如图1和图2，一种DNP协议异常流量检测装置，包括壳体1和设置在壳体1内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块，还设置有电源模块为装置各部件供电；壳体1上设置有协议信号接口2、网络接口3、拨码开关4、运行状态灯5和电源开关6，协议信号接口2与DNP3.0通信模块相连，网络接口3与网络通信模块相连；看门狗模块监测主控制模块的运行状态，并控制管理Bypass模块和电源模块，Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置；所述拨码开关4连接主控制模块配置运行模式。

所述主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz。

所述DNP3.0通信模块包括至少两个RS485转换电路，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护。

所述网络通信模块包括至少一个匹配RJ45类型接口的以太网转换电路。

所述看门狗模块包括看门狗处理器和扩展电路，看门狗模块接收来自主处理模块的脉冲信号，控制主处理模块的供电电路及Bypass模块。

所述电源模块包括主控制模块供电及复位控制电路、看门狗供电电路和通信模块供电电路，分别输出+1.8V、+3.3V和+5V电压。

这是本实用新型的一种优选的实施方案。主控制模块承担了系统管理、DNP3.0协议报文解析、流量检测等功能；电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；Bypass模块用于保证装置断电或主控制模块异常的情况下DNP3.0信号能正常通过装置；存储模块主要用于存储通过设备的DNP3.0协议流量，同时也记录系统配置、系统日志等信息；DNP3.0通信模块的主要功能是DNP3.0协议的数据处理和RS485信号传输功能；以太网通信模块的主要功能是设备数据和状态的上传、设备调试指令的处理以及TCP/IP协议报文传输实现；拨码开关4连接主控制模块配置运行模式；运行状态灯5及时显示运行状态；针对电力、水处理等工业控制系统中广泛应用的DNP3.0协议实现了记录和审计功能；通过设计Bypass的功能，可以减轻装置对DNP3.0协议通信实时性和可靠性的不良影响；主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz，在图像、图形处理、外设以及 EtherCAT 和 PROFIBUS 等工业接口选项方面得到了增强，允许单独操作和计时，以实现更高的效率和灵活性，支持更多外设接口，可以灵活地实现快速实时响应、专用数据处理操作以及自定义外设接口，并减轻 SoC 其他处理器内核的任务负载；DNP3.0通信模块包括至少两个RS485转换电路，构成DNP3.0协议信号第一接口和第二接口，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护，光耦隔离的方式以保护主控制模块不受到接口电压波动所带来的影响；网络通信模块包括至少一个匹配RJ45类型接口的以太网转换电路，以太网通达模块具有保护功能，可防止意外高压对模块的冲击；看门狗电路独立于其它模块电路，实时监测主处理模块的运行状态，发现主处理模块有异常时可以重启该模块并保证Bypass功能开启；电源模块包括主控制模块供电及复位控制电路、看门狗供电电路和通信模块供电电路，分别输出+1.8V、+3.3V和+5V电压，分路供电有利于保护各模块和减小整体崩溃的风险。

实施例5

如图1和图2，一种DNP3.0协议审计记录装置，其特征在于，装置具有2个DB9形式的RS485接口（2个RS485接口分别是DNP3.0协议信号第一接口和第二接口），1个RJ45形式的以太网接口和1个拨码开关。以太网接口是设备访问端口。拨码开关用于配置设备的运行模式。装置具备运行状态灯，可显示装置运行状态。装置具备一个电源开关，用于控制装置启动。所述装置可通过DIN导轨进行安装。装置外观样图见图1。

所述装置的内部包括主控制模块、电源模块、看门狗模块、Bypass模块、存储模块、DNP3.0通信模块、以太网通信模块。主控制模块承担了系统管理、DNP3.0协议报文解析、流量检测等功能；电源模块为主控制模块及其它附属电路提供电源，并接收看门狗模块对电源输出的管理和控制；看门狗模块主要实现对主控制模块运行状态的监测以及Bypass模块和电源模块的管理功能；Bypass模块用于保证装置断电或主控制模块异常的情况下DNP3.0信号能正常通过装置；存储模块主要用于存储通过设备的DNP3.0协议流量，同时也记录系统配置、系统日志等信息；DNP3.0通信模块的主要功能是DNP3.0协议的数据处理和RS485信号传输功能；以太网通信模块的主要功能是设备数据和状态的上传、设备调试指令的处理以及TCP/IP协议报文传输实现。

所述DNP3.0通信模块负责控制DNP3.0协议信号第一接口和第二接口，其与主控制模块相连接，将DNP3.0协议的通信信号传输给主控制模块进行数据的分析和处理。所述DNP3.0也分别与Bypass模块相连接，Bypass模块保证装置断电或主控制模块异常的情况下DNP3.0通信信号依然可以正常地通过装置。看门狗模块监测主控制模块的状态，并控制Bypass模块和电源模块，以保证在主控制模块异常时保证DNP3.0通信正常通过装置并重启主控制模块。主控制模块与存储模块通过系统总线相连接，存储模块负责截获的DNP3.0流量信息，同时也存储装置的状态信息和配置信息。以太网通信模块与主控制模块相连，实现上位机对装置的访问功能。通过以太网通信模块，上位机可以读取装置的运行状态、截获的DNP3.0协议报文详情。同时，上位机可以通过该模块来对装置进行调试。模块图见图2。

主控制模块选用了基于ARM Cortex-A8处理器的AM3358，工作频率800MHz，具备两个工业千兆位以太网接口（10、100 和 1000Mbps）和多个UART通用异步收发接口。为了保证AM3358能够正常运行，扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据，同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。

以太网通信模块包括了1个匹配RJ45类型接口的以太网转换电路。DNP3.0通信模块包括了2个RS485转换电路，支持终端匹配和无终端匹配两种模式。两个通信模块与主控制模块之间采用光耦隔离的方式以保护主控制模块不受到接口电压波动所带来的影响。同时，以太网通达模块和DNP3.0通信模块都具有保护功能，可防止意外高压对模块的冲击。

看门狗模块包括看门狗处理器及扩展电路。看门狗接收来自主处理模块AM3358的GPIO喂狗信号，控制主处理模块的供电电路及Bypass模块。看门狗电路独立于其它模块电路，实时监测主处理模块的运行状态，发现主处理模块有异常时可以重启该模块并保证Bypass功能开启。

电源模块包括主控制模块供电及复位控制电路、看门狗供电电路、通信模块供电电路。电源模块可输出+5V、+3.3V和+1.8V电源电压，分别为RS485芯片、以太网芯片、看门狗处理器和AM3358处理器提供电源。电源模块向主控制模块提供复位信号，复位电路的输入源是看门狗处理器的输出。