一种DCS工控网络安全审计分析系统及其审计分析方法

摘要

本发明公开了一种DCS工控网络安全审计分析系统及方法，系统包括九元组解析模块、DCS协议解析模块、IT白名单模块、OT白名单模块、报文存储模块、流量转换模块、轮询模块、工艺点表模块、边缘计算模块和实时预警输出模块；方法包括：A：根据网络流量解析出九元组特征信息和DCS工控协议信息，轮询读取工艺参数；B：将九元组特征信息、DCS工控协议信息和工艺参数分别映射成点表信息；C：对点表信息进行审计分析，判断是否有网络入侵，有入侵则触发预警。本发明通过从以太网数据和工控指令两方面同时对工控网络的安全行为审计，能及时发出报警、直接触发能源装备紧急停机指令或触发超驰指令以提高工控系统的安全性。

说明书

技术领域

本发明属于工业自动化控制网络安全技术领域，具体涉及一种DCS工控网络安全审计分析系统及其审计分析方法，主要用于对锅炉、蒸汽轮机、燃气轮机、发电机等关键能源设备进行保护。

背景技术

电力系统能源装备主要由锅炉、蒸汽轮机、燃气轮机、发电机等核心设备组成，这些设备造价高昂、被损毁后短期难以恢复，其控制系统由分布式控制系统（DCS）组成，包括工程师站、操作员点、历史站、控制器等，但各站点均以明文通信，无可信验证，而在日常工业生产中，工程师、操作员会根据生产需求动态更改工业控制工艺，此时攻击者可伪造相应操作报文，随意破坏工业生产流程，安全风险高，一旦出现重大的网络安全事故,影响和损失无法估量。

随着《中华人民共和国网络安全法》的颁布，工控网络安全受到广泛重视，各类工控网络安全技术方案也相继推出。例如配置防火墙，通过设置ACL策略，管理可通过网络边界的合法端口、MAC、IP，但此技术方案仅审计以太网传输层，无法审计工控协议报文内容，攻击者可伪造MAC、IP绕过防火墙，释放危险能源装备操作指令，破坏能源装备。又如配置工业审计系统审计通用工控协议，如Modbus TCP、OPC、PROFINET等进行审计，但此技术方案很少涉及DCS专用工控协议通信，且审计范围并未覆盖DCS系统。再如配置日志审计系统，审计工程师站、操作员站、历史站等人机接口的日志，但此技术方案仅审计分析人机接口的操作系统日志（如Windows系统日志、Linux系统日志），对于DCS系统日志、业务日志，如工程师站对控制工艺变更、控制器状态变更以及操作员站下达生产指令等无法提供审计功能。

并且，由于能源装备无固定运行姿态，在不同工况下有不同的保护策略，而现有的工控网络安全审计方案无与被保护对象通信功能，无法获取能源装备状态参数，导致更无法精准地设置网络安全保护策略。进一步的，现有的工控网络安全审计大部分是采用事后审计的方法，即发生网络安全事故后，分析历史入侵记录，查找故事原因，但这种方法从根本上无法有效保护能源装备。即使能做到实时预警的，也是通过通信速率较慢（115.200Kbps）的URAT通信的方式送出预警信号，预警的实时性无法得到保障。

另外，公开号为CN112306019A的专利文献公开了一种基于协议深度分析的工控安全审计系统及其应用，其包括现场监控层、控制层、物理层、工控安全审计模块和安全防护管理平台，工业以太网和现场总线介于现场监控层和物理层之间，现场监控层通过工业以太网对控制层进行数据传输和行为控制，物理层通过传感器和执行器等与现场总线相连接，现场监控层主要用于对工业网络的异常检测。该系统可进行异常行为的针对性检测，物理层通过控制外部控制线路的接口，实现了有效物理阻断工控系统设备运行中的网络攻击和非法接入等恶意行为，且兼容性好、适用性更佳、设备增减方便、可灵活的更新告警规则库，提高防护能力。但该技术实际上仍然存在如下技术问题：

1、该技术虽然能深度解析工控协议（ModbusTCP或S7COM），获取工控网络中的工控过程数据，但上述协议为通用且公开的协议，进而导致无法解析专用DCS工控协议，以及无法应用于DCS架构的工控网络安全防御。

2、该技术仅采用被动地监听工业以太网、现场总线报文，无法主动与被保护控制器（DPU）通信，轮询被保护控制器（DPU）的工业过程数据，进而无法判断被保护工业设备是否处于危险运行姿态。

3、该技术通过设置工业过程行为基线，判断工控报文是否存在威胁，但不同工况下，工控过程行为往往是不一样，因而枚举工业过程行为不能充分保护工控设备。

发明内容

本发明的目的在于解决现有技术中存在的上述问题，提供了一种DCS工控网络安全审计分析系统及其审计分析方法，本发明通过从以太网数据和工控指令两方面同时对工控网络的安全行为进行审计，能够及时发出报警、直接触发能源装备紧急停机指令或触发超驰（备用控制系统接管被攻击控制系统并切除威胁源）指令以提高工控系统的安全性，同时通过对审计中发现的入侵原始网络报文进行存储以便于完整的还原整个攻击过程。

为实现上述目的，本发明采用的技术方案如下：

一种DCS工控网络安全审计分析系统，其特征在于包括：

九元组解析模块，用于解析网络流量中的九元组特征信息；

DCS协议解析模块，用于解析以太网数据包中的DCS工控协议信息；

IT白名单模块，用于管理工控网络中的合法资产及合法资产产生的IT层通信行为，并实时验证九元组解析模块解析的九元组特征信息，若验证成功，则不进行处理，若验证失败，则存储该条九元组特征信息所对应的原始通信报文；

OT白名单模块，用于管理工控网络在工业生产中各工程师站、操作员站的合法操作，并实时验证DCS工控协议信息中工程师站、操作员站的操作信息，若验证成功，则不进行处理，若验证失败，则存储该DCS工控协议信息所对应的原始通信报文；

报文存储模块，用于存储IT白名单模块和OT白名单模块验证失败时的原始通信报文；

流量转换模块，用于将九元组特征信息和DCS工控协议信息映射成边缘计算模块能识别的点表信息；

轮询模块，用于与DCS控制器通信，轮询读取DCS控制器中的工艺参数并映射成边缘计算模块能识别的点表信息；

工艺点表模块，用于根据能源装备运行机理建立网络安全保护策略；

边缘计算模块，用于根据工艺点表模块建立的网络安全保护策略对流量转换模块和轮询模块的点表信息进行审计分析，并判断是否有网络入侵，若有入侵，则输出预警信息；

实时预警输出模块，用于根据预警信息触发报警指令、能源装备紧急停机指令或超驰指令。

所述实时预警输出模块包括PCIe金手指电路、PCIe总线电路、单片机、状态指示电路、驱动电源电路、I/O电路和存储电路，所述PCIe金手指电路的输入接口与边缘计算模块连接，输出接口通过PCIe总线电路连接与单片机连接，用于边缘计算模块向单片机输入预警信息；所述单片机与状态指示电路和存储电路连接，用于单片机对板载资源控制；所述I/O电路分别与单片机和驱动电源电路与连接，用于单片机与外部设备触发报警指令、能源装备紧急停机指令或超驰指令。

所述PCIe总线电路包含PCIe总线接口芯片、非易失性存储芯片和稳压芯片，其中，稳压芯片的第3引脚接入PCIe金手指电路的第8、27、28引脚作为输入3.3V电源，稳压芯片的第2引脚输出1.8V稳压电源，用于提供PCIe总线接口芯片的传输电源；非易失性存储芯片的第5、6引脚通过SPI协议连接PCIe总线接口芯片，用于保存状态信息；所述PCIe金手指电路的第14和15引脚、第20和21引脚分别组成差分信号线，第11引脚作为唤醒信号线，第26引脚作为复位信号线，第23、24引脚作为时钟信号线，共同经过PCIe总线接口芯片解码后连接至单片机。

所述单片机的第12引脚接入25M晶振用于时钟信号，第14引脚接入复位芯片用于提供复位信号，第72、76引脚分别引出至排针用于提供SWD调试，PA0~PA7引脚连接PCIe总线接口芯片的数据引脚，用于PCIe总线通信的数据总线；PE0~PE15引脚连接PCIe总线接口芯片的地址引脚，用于PCIe总线通信的地址总线；PB11引脚连接至PCIe总线接口芯片的外部中断引脚，用于向PCIe总线接口芯片提供外部中断信号；PD8引脚连接至PCIe总线接口芯片用于提供单片机读写配置标志；PB3、PB4、PB5和PB6引脚分别连接至PCIe总线接口芯片的读写控制引脚，用于控制单片机与PCIe总线接口芯片的总线通信；PB15引脚连接PCIe总线接口芯片用于提供判忙信号输出。

所述状态指示电路包括红、黄、绿三色LED灯，三色LED灯的正极分别通过串联510R电阻连接至VCC_3.3V，用于提供LED驱动电压；三色LED灯的负极分别连接单片机的PB7、PB8和PB9引脚，用于控制LED状态指示。

所述存储电路包含用于存储单片机数据的存储芯片，存储芯片的第1、6引脚连接至单片机的PB12、PB13引脚，用于存储芯片的片选和时钟信号；第2、5引脚连接单片机的PB14、PB15引脚，用于配置SPI通讯，实现单片机与存储芯片的数据交换。

所述驱动电源电路包含用于向I/O电路提供5V和12V稳定驱动电源的第一电压稳定芯片和第二电压稳定芯片，第一电压稳定芯片和第二电压稳定芯的第1引脚同时经保险丝连接PCIe金手指电路的12V电源，第一电压稳定芯片和第二电压稳定芯的第6引脚分别输出5V和12V的稳压电源。

所述I/O电路包含牛角座、光耦芯片、继电器、场效应管和NMOS管，其中，光耦芯片的第1、3、5和7引脚接引自驱动电源电路12V稳压电源，第2、4、6和8引脚引自牛角座的第3、4、5和6引脚，第10、12、14和16引脚外接3.3V上拉电阻后连接单片机的PC0、PC1、PC2和PC3引脚，用于DI数据输入检测；继电器和场效应管共同组成三组干接点，场效应管的栅极连接自单片机的PD0、PD1和PD2引脚，用于接收单片机指令，继电器开接点连接至牛角座的第7和20引脚、第8和21引脚、第9和22引脚，用于输出干接点信号；光耦芯片和NMOS管共同组成三组输出信号，光耦芯片的第1引脚串联510欧电阻后引自3.3V稳压电源，第2引脚分别引自单片机的D3、D4和D5引脚，用于接收单片机指令；第3引脚分别连接至NMOS管的栅极，第4引脚通过上拉24V输入电源连接至NMOS管的漏级以及牛角座的第10、11和12引脚，用于输出24V电压信号。

一种DCS工控网络安全审计分析方法，其特征在于包括以下步骤：

步骤A：获取工控网络中的网络流量，并根据网络流量解析出九元组特征信息和太网数据包中的DCS工控协议信息，同时轮询读取DCS控制器中的工艺参数；

步骤B：将九元组特征信息、DCS工控协议信息和工艺参数分别映射成点表信息；

步骤C：建立网络安全保护策略，根据网络安全保护策略对步骤B得到的点表信息进行审计分析，并判断是否有网络入侵，若有入侵，则输出预警信息，触发报警指令、能源装备紧急停机指令或超驰指令。

步骤A中，所述的九元组特征信息包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源目的端口、协议号、服务类型和接口索引；所述DCS工控协议信息包括功能块号、功能块索引、功能块属性、模拟量工艺指令值、开关量工艺指令值、组态下装指令和控制状态变更指令。

步骤A中，分别预设IT白名单和OT白名单对九元组特征信息和DCS工控协议信息进行验证，若解析出的九元组特征信息位于IT白名单中，则表示验证成功不进行处理；若解析出的九元组特征信息不在IT白名单中，则存储该条九元组特征信息所对应的原始通信报文；若解析出的DCS工控协议信息位于OT白名单中，则表示验证成功不进行处理；若解析出的DCS工控协议信息不在OT白名单中，则存储该DCS工控协议信息所对应的原始通信报文。

采用上述技术方案，本发明的有益技术效果是：

1、本发明通过九元组解析模块、DCS协议解析模块、IT白名单模块、OT白名单模块、报文存储模块、流量转换模块、轮询模块、工艺点表模块、边缘计算模块和实时预警输出模块所构成的DCS工控网络安全审计分析系统及相应的审计分析方法，能够从以太网数据和工控指令两方面同时对工控网络的安全行为进行审计，在发现入侵时能够及时发出报警、直接触发能源装备紧急停机指令或触发超驰（备用控制系统接管被攻击控制系统并切除威胁源）指令，有效地提高了工控系统的安全性。同时，本发明在审计到非法入侵时，不仅记录非法入侵的审计结果，而且还会将该原始网络报文存进行存储，还原真实攻击过程，为网络安全事件取证提供数据支撑。

2、本发明通过九元组解析模块解析网络流量中的九元组特征信息，实现了九元组审计，增加了网络流量审计维度及细粒度，提高了工控网络的安全防护能力。

3、本发明通过DCS协议解析模块对专用DCS工控协议的识别，根据能源装备运行机理，订制与控制工艺紧密相关的网络安全审计策略，能够及时有效的发现通过伪造或篡改工业生产指令，破坏工艺生产流程的攻击行为，避免对能源装备造成不可挽回的损失。

4、本发明当异常的网络流量或者异常的工控指令触发网络安全策略时，在被攻击设备执行相关攻击指令之前，通过实时预警输出模块实时送出预警信号，及时预警或者直接干预被保护能源装备，让其安全停机。

5、本发明通过轮询模块与DCS控制器实时通信，轮询能源装备的运行状态参数，并映射到根据能源装备运行机理制订的安全防护策略中，通过边缘计算模块实时保护能源装备网络安全。工程师通过工艺点表模块、边缘计算模块随时动态调整能源装备网络安全防护策略，以适应工业生产调整。

6、本发明采用特定电路组成的实时预警输出模块，可通过金手指直接插接在所有PCIe接口的工控网络服务器上，通过PCIe协议差分信号传输，具有可移植性高，数据传输稳定的特点。且通过该实时预警输出模块能够根据预警信息解析异常原因（如工控系统IT报警、OT报警、工艺报警、超驰等），且解析出异常原因后还能够根据应急预案将组态指令向工业系统外送报警（如工业现场声光电报警装置）或直接下达工业设备应急响应指令（例如MFT停机、DEH故障停机、发电机保护动作、继电保护装置动作、重要主辅设备安全停机、工业应急设备投入等），或触发超驰指令，启用备用控制系统，接管被攻击控制系统，并切除威胁源，有效地满足了工业环境下对工控网络安全报警可组态、多元化的需求。

7、本发明所述实时预警输出模块同时具有4组数字量DI输入、3组干接点DO输出和3组MOSFET场效应管DO输出，DO输出能够满足工业控制环境的声光电报警，进一步的可以支持工业设备直接应急响应，能够满足工业环境下对工控网络安全报警可组态、多元化的需求。

8、本发明所述实时预警输出模块，常见PCIe 2.0 x1传输速率可达4000000Kbps,传输速率显著提升，高传速速率意味着具有充足时间解析、处理报警信息，满足工业设备对紧急情况快速反应。

9、本发明所述实时预警输出模块还包括状态指示电路，通过状态指示电路中的3组LED状态指示灯，能够根据系统运行情况调整指示状态。

10、本发明所述实时预警输出模块具备专用存储模块，记录工控网络安全关键业务数据，例如报警计数、超驰计数、I/O输入输出状态、应急响应组态指令等，支持掉电存储，上电数据恢复，消除工业环境下异常失电带来的不利影响，同时有助于事后追溯。

附图说明

图1为本发明的流程示意图；

图2为实时预警输出模块的电路框图；

图3为PCIe总线电路的电路图；

图4为PCIe金手指电路的电路图；

图5为单片机的电路图；

图6为状态指示电路的电路图；

图7为存储电路的电路图；

图8为驱动电源电路的电路图；

图9为I/O电路的电路图。

具体实施方式

实施例1

本发明提供了一种DCS工控网络安全审计分析系统，如图1所示，其包括九元组解析模块、DCS协议解析模块、IT白名单模块、OT白名单模块、报文存储模块、流量转换模块、轮询模块、工艺点表模块、边缘计算模块和实时预警输出模块，各模块的功能作用分别如下：

九元组解析模块，用于解析网络流量中的九元组特征信息，解析的九元组特征信息包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源目的端口、协议号、服务类型和接口索引，九元组解析模块的作用是将这9个特征信息从网络流量中分离出来。

DCS协议解析模块，用于通过网络流量解析以太网数据包中的DCS工控协议信息，解析的DCS工控协议信息包括功能块号、功能块索引、功能块属性、模拟量工艺指令值、开关量工艺指令值、组态下装指令和控制状态变更指令。

IT白名单模块，用于管理工控网络中的合法资产，如合法资产的九元组特征信息，如MAC地址、IP地址等，以及合法资产产生的IT层通信行为，如合法资产端口、服务类型、接口索引等，并实时验证九元组解析模块解析的九元组特征信息，当九元组解析模块解析的九元组特征信息，例如源MAC地址、目的MAC地址、源IP地址、目的IP地址、源目的端口、协议号、服务类型和接口索引等，与IT白名单模块中存储的九元组信息对比匹配一致时，表示验证成功。若对比匹配不一致时，表示验证失败，同时存储该条九元组特征信息所对应的原始通信报文。

OT白名单模块，用于管理工控网络在工业生产中各工程师站、操作员站的合法操作，如工艺指令、组态下装指令、控制状态变更指令，并实时验证DCS工控协议信息中工程师站、操作员站的操作信息，当DCS协议解析模块解析的DCS工控协议信息,例如画面操作、组态下装、参数设置与OT白名单模块中存储的工控设备操作授权信息对比匹配一致时，表示验证成功，若对比匹配不一致时，表示验证失败，同时存储该DCS工控协议信息所对应的原始通信报文。

报文存储模块，用于存储IT白名单模块和OT白名单模块验证失败时的原始通信报文，用于事后审计的入侵取证，以便于还原真实攻击过程，为网络安全事件取证提供数据支撑。

流量转换模块，用于将九元组特征信息和DCS工控协议信息映射成边缘计算模块能识别的点表信息，主要是将网络流量中的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源目的端口、协议号、服务类型、接口索引、功能块号、功能块索引、功能块属性、模拟量工艺指令值、开关量工艺指令值、组态下装指令和控制状态变更指令映射成边缘计算模块能识别的点表信息。

轮询模块，用于与被保护的DCS控制器通信，轮询读取DCS控制器中的工艺参数并映射成边缘计算模块能识别的点表信息；

工艺点表模块，用于网络运维工程师根据能源装备运行机理、网络安全脆弱性、工艺过程变量建立网络安全保护策略。

边缘计算模块，用于根据工艺点表模块建立的网络安全保护策略对流量转换模块和轮询模块的点表信息进行审计分析，并判断是否有网络入侵，若有入侵，则输出预警信息。具体来说就是，边缘计算模块根据生成的网络安全保护策略，通过接收来自于流量转换模块、轮询模块的数据，实时计算工控网络的安全状态，审计网络行为，并判断是否有网络入侵，若有入侵，则输出预警信息。

需要指出的是，边缘计算模块适用于建立重要能源装备网络安全保护策略模型，例如锅炉、汽轮机、发电机、给水泵、燃气轮机、风力发电机等，现以汽轮机网络安全策略模型为例进行具体说明，如下：

流量转换模块将DCS工控协议信息映射成边缘计算模块能够识别的点表信息并转发至边缘计算模块时，根据工艺点表模块建立的汽轮机网络安全模型策略，当边缘计算模块判断到点表信息中包含MTF停机保护切除、DEH故障保护切除以及电气故障保护切除任意一项控制指令时，边缘计算模块即送出设备紧急停机项攻击至实时预警输出模块；

轮询模块将读取到的DCS控制器中的工艺参数映射成边缘计算模块能够识别的点表信息并转发至边缘计算模块时，根据工艺点表模块建立的汽轮机网络安全模型策略，当边缘计算模块判断到点表信息中发电机解列状态、系统转速大于3000r/min且调门总指令大于百分之40时，边缘计算模块即送出蒸汽流量攻击至实时预警输出模块。

实时预警输出模块，用于接收边缘计算模块输出的预警信息，并将预警信息输出至工业生产集控室触发声光报警指令、能源装备紧急停机指令或超驰指令，使设备安全停机。

需要说明的是，本实施例对实时预警输出模块具体预警方式等不作限定，只要是具有能够接收边缘计算模块输出的预警信息，并将预警信息输出至工业生产集控室触发声光报警指令、能源装备紧急停机指令或超驰指令的相关技术或手段均可。

综合而言，本实施例能够从以太网数据和工控指令两方面同时对工控网络的安全行为进行审计，在发现入侵时能够及时发出报警、直接触发能源装备紧急停机指令或触发超驰指令（备用控制系统接管被攻击控制系统并切除威胁源），有效地提高了工控系统的安全性。

实施例2

在实施例1的基础上，为了更好地实现预警信息的输出以及声光报警指令、能源装备紧急停机指令或超驰指令的有效发出，本实施例对实时预警输出模块作了进一步限定，如图2所示，所述实时预警输出模块包括PCIe金手指电路、PCIe总线电路、单片机、状态指示电路、驱动电源电路、I/O电路和存储电路，所述PCIe金手指电路的输入接口与边缘计算模块连接，输出接口通过PCIe总线电路连接与单片机连接，PCIe金手指电路可直接插接在所有具有PCIe接口的工控网络服务器上，用于边缘计算模块向单片机输入预警信息；所述单片机与状态指示电路和存储电路连接，用于单片机对存储电路、状态指示电路、I/O电路等板载资源控制；所述I/O电路分别与单片机和驱动电源电路与连接，用于单片机与外部设备触发报警指令、能源装备紧急停机指令或超驰指令。

进一步的，各电路的具体结构及连接方式分别如下：

如图3所示，所述PCIe总线电路包含PCIe总线接口芯片、非易失性存储芯片和稳压芯片，其中，PCIe总线接口芯片优选采用型号为ch36x的芯片，非易失性存储芯片优选采用型号为24C02的芯片，稳压芯片优选采用型号为LM1117-1.8的芯片。其连接方式为：稳压芯片的第3引脚接入PCIe金手指电路的第8、27、28引脚作为输入3.3V电源，稳压芯片的第2引脚输出1.8V稳压电源，用于提供PCIe总线接口芯片的传输电源；非易失性存储芯片的第5、6引脚通过SPI协议连接PCIe总线接口芯片，用于保存状态信息，便于上电后自检程序。

如图4所示，所述PCIe金手指电路的第14和15引脚、第20和21引脚分别组成差分信号线，第11引脚作为唤醒信号线，第26引脚作为复位信号线，第23、24引脚作为时钟信号线，共同经过PCIe总线接口芯片解码后连接至单片机。

如图5所示，所述单片机优选采用STM32F407VE芯片。其中，STM32F407VE芯片的第12引脚接入25M晶振，用于提供STM32F407VE芯片时钟信号，第14引脚接入复位芯片MAX809REUR-T，用于提供STM32F407VE芯片复位信号，第72、76引脚分别引出至排针，用于提供STM32F407VE芯片SWD调试，PA0~PA7引脚连接PCIe总线接口芯片的数据引脚，用于PCIe总线通信的数据总线；PE0~PE15引脚连接PCIe总线接口芯片的地址引脚，用于PCIe总线通信的地址总线；PB11引脚连接至PCIe总线接口芯片的外部中断引脚，用于向PCIe总线接口芯片提供外部中断信号；PD8引脚连接至PCIe总线接口芯片用于提供单片机读写配置标志；PB3、PB4、PB5和PB6引脚分别连接至PCIe总线接口芯片的读写控制引脚，用于控制STM32F407VE芯片与PCIe总线接口芯片的总线通信；PB15引脚连接PCIe总线接口芯片，用于提供STM32F407VE芯片判忙信号输出。

如图6所示，所述状态指示电路包括红、黄、绿三色LED灯，三色LED灯的正极分别通过串联510R电阻连接至VCC_3.3V，用于提供LED驱动电压；三色LED灯的负极分别连接单片机的PB7、PB8和PB9引脚，用于控制LED状态指示。

如图7所示，所述存储电路包含用于存储单片机数据的存储芯片W25Q256，存储芯片W25Q256的第1、6引脚连接至单片机的PB12、PB13引脚，用于存储芯片W25Q256的片选和时钟信号；第2、5引脚连接单片机的PB14、PB15引脚，用于配置SPI通讯，实现单片机与存储芯片W25Q256的数据交换。

如图8所示，所述驱动电源电路包含第一电压稳定芯片和第二电压稳定芯片，第一电压稳定芯片的型号优选为B1205，第二电压稳定芯片的型号优选为B1212，第一电压稳定芯片和第二电压稳定芯片用于向I/O电路提供5V和12V的稳定驱动电源。其中，第一电压稳定芯片的第1引脚和第二电压稳定芯的第1引脚同时经保险丝连接PCIe金手指电路的12V电源，第一电压稳定芯片的第6引脚和第二电压稳定芯的第6引脚分别输出5V和12V的稳压电源。

如图9所示，所述I/O电路包含牛角座、光耦芯片、继电器、场效应管和NMOS管，牛角座的型号优选为DC3-26P，光耦芯片的型号优选为TLP281，继电器的型号优选为TR5VL-5VDC-S-Z，场效应管的型号优选为IRF_SI2312，NMOS管的型号优选为SUD06N10-225L-GE3。其中，光耦芯片的第1、3、5和7引脚接引自驱动电源电路12V稳压电源，第2、4、6和8引脚引自牛角座的第3、4、5和6引脚，第10、12、14和16引脚外接3.3V上拉电阻后连接单片机的PC0、PC1、PC2和PC3引脚，用于DI数据输入检测；继电器和场效应管共同组成三组干接点，场效应管的栅极连接自单片机的PD0、PD1和PD2引脚，用于接收单片机指令，继电器开接点连接至牛角座的第7和20引脚、第8和21引脚、第9和22引脚，用于输出干接点信号；光耦芯片和NMOS管共同组成三组输出信号，光耦芯片的第1引脚串联510欧电阻后引自3.3V稳压电源，第2引脚分别引自单片机的D3、D4和D5引脚，用于接收单片机指令；第3引脚分别连接至NMOS管的栅极，第4引脚通过上拉24V输入电源连接至NMOS管的漏级以及牛角座的第10、11和12引脚，用于输出24V电压信号。

本发明采用上述特定电路组成的实时预警输出模块后，能够根据预警信息解析异常原因（如工控系统IT报警、OT报警、工艺报警、超驰等），且解析出异常原因后还能够根据应急预案将组态指令向工业系统外送报警（如工业现场声光电报警装置）或直接下达工业设备应急响应指令（例如MFT停机、DEH故障停机、发电机保护动作、继电保护装置动作、重要主辅设备安全停机、工业应急设备投入等），或触发超驰指令，启用备用控制系统，接管被攻击控制系统，并切除威胁源，有效地满足了工业环境下对工控网络安全报警可组态、多元化的需求。

实施例3

本实施例提供了一种DCS工控网络安全审计分析方法，其包括以下步骤：

步骤A：获取工控网络中的网络流量，并根据网络流量解析出九元组特征信息和太网数据包中的DCS工控协议信息，同时轮询读取DCS控制器中的工艺参数。

其中，所述的九元组特征信息包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源目的端口、协议号、服务类型和接口索引；所述DCS工控协议信息包括功能块号、功能块索引、功能块属性、模拟量工艺指令值、开关量工艺指令值、组态下装指令和控制状态变更指令。

解析出九元组特征信息和DCS工控协议信息后，先分别预设IT白名单和OT白名单，再利用IT白名单和OT白名单分别对九元组特征信息和DCS工控协议信息进行验证，若解析出的九元组特征信息位于IT白名单中，则表示验证成功不进行处理；若解析出的九元组特征信息不在IT白名单中，则存储该条九元组特征信息所对应的原始通信报文；若解析出的DCS工控协议信息位于OT白名单中，则表示验证成功不进行处理；若解析出的DCS工控协议信息不在OT白名单中，则存储该DCS工控协议信息所对应的原始通信报文。

步骤B：将九元组特征信息、DCS工控协议信息和工艺参数分别映射成点表信息。

步骤C：建立网络安全保护策略，根据网络安全保护策略对步骤B得到的点表信息进行审计分析，并判断是否有网络入侵，若有入侵，则输出预警信息，触发报警指令、能源装备紧急停机指令或超驰指令。

优选的，本实施例可采用九元组解析模块解析九元组特征信息，可采用DCS协议解析模块解析DCS工控协议信息，可采用轮询模块轮询读取DCS控制器中的工艺参数并将工艺参数映射成点表信息，可采用IT白名单模块，可采用IT白名单模块和OT白名单模块分别预设IT白名单和OT白名单，并分别对九元组特征信息和DCS工控协议信息进行验证，可采用报文存储模块验证失败时的原始通信报文，可采用流量转换模块将九元组特征信息和DCS工控协议信息映射成边缘计算模块能识别的点表信息，可采用边缘计算模块进行审计分析，可采用工艺点表模块建立网络安全保护策略，可采用实时预警输出模块触发报警指令、能源装备紧急停机指令或超驰指令。需要说明的是，上述模块优选采用实施例1或实施例2中的模块，在此不再赘述。

本实施采用上述特定方法，分别从以太网数据和工控指令两方面同时对工控网络的安全行为进行审计，能够在发现入侵时及时发出报警、直接触发能源装备紧急停机指令或触发超驰（备用控制系统接管被攻击控制系统并切除威胁源）指令，有效地提高了工控系统的安全性。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。