[实用新型]一种DNP协议异常流量检测装置

说明书

技术领域

本实用新型涉及工业控制系统信息安全领域，特别涉及一种DNP协议异常流量检测装置。

背景技术

DNP3.0（Distributed Network Protocol Version 3.0）是一种适用于配电自动化系统的现场智能终端与控制主站之间的通信规约，广泛应用在电力系统中。DNP3.0协议的安全性对电力系统非常重要，由于DNP3.0是一种开放协议，它的报文结构和数据格式都是公开的，并且在没有足够的安全措施下，存在安全隐患，攻击者能够利用符合DNP3.0协议规则的数据报文实施欺骗性攻击，例如，攻击者能够在DNP3.0协议报文的传输过程中，利用符合DNP3.0协议规则的数据包，截取或者篡改DNP3.0数据报文，引起系统错误或造成重要信息的泄露甚至破坏，严重威胁了电力系统的安全性。若要防范此类欺骗性攻击，需要对DNP3.0数据内容本身的过滤，即对应用层进行深度包过滤。由于欺骗性攻击的数据包是符合DNP3.0协议规则的，而传统防火墙不能识别，因此无法防范此类攻击。

发明内容

本实用新型的目的在于提供一种实现DNP3.0协议的流量记录功能以及流量审计功能，满足针对DNP3.0协议的信息安全检测的DNP协议异常流量检测装置。

本实用新型的目的是通过以下技术方案实现的：

一种DNP协议异常流量检测装置，其特征在于：包括壳体和设置在壳体内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块，还设置有电源模块为装置各部件供电；壳体上设置有协议信号接口、网络接口、拨码开关、运行状态灯和电源开关，协议信号接口与DNP3.0通信模块相连，网络接口与网络通信模块相连；看门狗模块监测主控制模块的运行状态，并控制管理Bypass模块和电源模块，Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置；所述拨码开关连接主控制模块配置运行模式。

所述主控制模块为基于ARM Cortex-A8处理器的AM3358开发板，工作频率800MHz。具备两个工业千兆位以太网接口（10、100 和 1000Mbps）和多个UART通用异步收发接口。为了保证AM3358能够正常运行，扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据，同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。

所述DNP3.0通信模块包括至少两个RS485转换电路，DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护。两个RS485转换电路支持终端匹配和无终端匹配两种模式

所述网络通信模块包括至少一个匹配RJ45类型接口的以太网转换电路。以太网通达模块和DNP3.0通信模块都具有保护功能，可防止意外高压对模块的冲击

所述看门狗模块包括看门狗处理器和扩展电路，看门狗模块接收来自主处理模块的脉冲信号，控制主处理模块的供电电路及Bypass模块。看门狗电路独立于其它模块电路，实时监测主处理模块的运行状态，发现主处理模块有异常时可以重启该模块并保证Bypass功能开启。

所述Bypass模块以通过特定的触发状态（断电或死机）让两个网络不通过网络安全设备的系统，而直接物理上导通，所以有了Bypass模块后，当网络安全设备故障以后，还可以让连接在这台设备上的网络相互导通，当然这个时候这台网络设备也就不会再对网络中的封包做处理了。

所述电源模块包括主控制模块供电及复位控制电路、看门狗供电电路和通信模块供电电路，分别输出+1.8V、+3.3V和+5V电压。电源模块向主控制模块提供复位信号，复位电路的输入源是看门狗处理器的输出。

本实用新型的有益效果如下：）