本书从工业控制系统的网络安全生存能力出发，针对工控系统中典型的RS232、RS485 等串口,以太网接口、/0接口等设计了相应的接口电路,并对Modbus、CAN、Profbus、工业以太网等协议数据进行解析,设计了基于移动代理的分布式数据采集系统，并通过典型网络安全场景对上述数据进行采集实践  。

目录

第 1 章 控制系统概述

1.1 控制系统的含义

1.2 控制系统的组成

1.3 典型控制系统

1.4 控制系统常见接口

1.5 控制系统常见协议

1.5.1 现场总线协议

1.5.2 工业以太网协议

第 2 章 控制系统的安全性测试及其采集需求

2.1 安全性测试内容

2.2 安全性测试标准

2.3 安全性测试方法

2.3.1 测试数据采集

2.3.2 测评指标

2.3.3 测试评价过程

2.3.4 测评工具

2.4 安全性测试数据采集需求

第 3 章 控制系统总线数据采集

3.1 Modbus 总线数据采集

3.1.1 Modbus 概述

3.1.2 Modbus 协议结构

3.1.3 Modbus 总线采集方案设计

3.1.4 Modbus 总线网络数据采集接口设计与实现

3.2 Profibus 总线数据采集

3.2.1 Profibus 概述

3.2.2 Profibus 协议结构

3.2.3 Profibus 总线网络数据采集方案设计

3.2.4 Profibus 总线网络数据采集接口设计与实现

3.3 CAN 总线网络数据采集

3.3.1 CAN 概述

3.3.2 CAN 协议结构

3.3.3 CAN 总线采集方案设计

3.3.4 CAN 总线网络数据采集接口设计与实现

第 4 章 工业以太网数据采集

4.1 工业以太网概述

4.2 工业以太网数据采集方案设计

4.3 工业以太网数据采集接口设计与实现

第 5 章 I/O 数据采集

5.1 I/O 概述

5.2 I/O 数据采集方案设计

5.3 I/O 数据采集接口设计与实现

第 6 章 主机数据采集

6.1 工控主机数据采集方法

6.2 工控主机数据采集接口设计

6.2.1 CPU、内存、网卡、磁盘状态信息采集

6.2.2 鼠标、键盘、日志数据采集

6.2.3 软件、进程、注册表、系统服务等数据采集

6.2.4 文件信息采集

第 7 章 移动代理的动态迁移与协同优化技术

7.1 数据采集方式对比

7.2 移动代理系统结构

7.3 移动代理模型

7.4 移动代理关键技术

7.5 移动代理迁移轨迹优化

7.6 多移动代理协同优化

第 8 章 面向控制系统数据采集的移动代理系统设计与实现

8.1 移动代理系统总体设计

8.1.1 总体架构及基本工作机制

8.1.2 系统工作流程设计

8.1.3 系统部署方案

8.2 移动代理系统功能设计

8.2.1 功能模块设计

8.2.2 功能模块间交互关系设计

8.2.3 系统详细功能设计

8.2.4 功能模块具体实现

8.3 多移动代理协同优化设计

8.3.1 基于采集任务的驻留采集代理优化设计

8.3.2 基于网络拓扑的多信使代理优化设计

8.3.3 多约束条件下的多移动代理协同优化设计

8.4 移动代理软件使用

8.4.1 创建移动代理

8.4.2 派遣移动代理

8.4.3 召回移动代理

8.4.4 销毁移动代理

8.4.5 数据源信息定义

8.4.6 网络拓扑定义

8.4.7 制定采集任务

8.4.8 采集约束条件定义

8.4.9 采集主机参数配置

8.4.10 执行采集任务

8.4.11 查看数据采集结果

第 9 章 震网病毒安全数据采集验证

9.1 震网病毒攻击行为分析

9.2 震网病毒攻击行为检测方案

9.2.1 攻击行为检测方案总流程

9.2.2 震网病毒文件行为检测方案

9.2.3 震网病毒注册表行为检测方案

9.2.4 震网病毒进程行为检测方案

9.2.5 震网病毒网络行为检测方案

9.3 震网病毒攻击行为检测实现

9.3.1 震网病毒文件行为检测实现

9.3.2 震网病毒注册表行为检测实现

9.3.3 震网病毒进程行为检测实现

9.3.4 震网病毒网络行为检测实现

9.4 震网病毒检测实验

第 10 章 BlackEnergy 病毒安全数据采集测试

10.1 BlackEnergy 病毒攻击行为分析

10.2 BlackEnergy 病毒攻击行为检测方案

10.2.1 攻击行为检测方案总流程

10.2.2 BlackEnergy 病毒文件行为检测方案

10.2.3 BlackEnergy 病毒注册表行为检测方案

10.2.4 BlackEnergy 病毒进程行为检测方案

10.2.5 BlackEnergy 病毒网络行为检测方案

10.3 BlackEnergy 病毒攻击行为检测实现

10.3.1 BlackEnergy 病毒文件行为检测实现

10.3.2 BlackEnergy 病毒注册表行为检测实现

10.3.3 BlackEnergy 病毒进程行为检测实现

10.3.4 BlackEnergy 病毒网络行为检测实现

10.4 BlackEnergy 病毒检测实验

参考文献

 

前 言

随着计算机技术、网络通信技术、自动化技术的快速发展，自动化控制设备越来越多地出现在工业应用场景，控制系统也呈现出网络化、智能化、精确化等特点。控制系统通常包括现场控制层、过程监控层、制造执行层和企业信息网 4 层结构，相比于普通 IP 网络，其具有层次化、分布式、异构性、实时性等特点。无论是涉及数百人规模的交通治炼、汽车等工业制造企业，还是涉及一座城市或国家的电力、自来水、轨道交通、市政等基础设施，都包含着大量的控制系统。在严峻的网络安全形势下，这些控制系统一旦遭受攻击，就容易造成连锁反应，给国计民生造成极大的影响。

为提升控制系统的安全生存能力，对控制系统实施安全性测试是重要途径之一。安全性测试中需要对控制系统实施脆弱性分析、验证及监测，进而全面掌握控制系统的安全态势，需要与控制系统相匹配的数据采集技术为基础。数据采集技术是以传感器、信号测量与处理、微型计算机等技术为基础的一门综合应用技术。鉴于控制系统层次多、分布广、结构复杂、实时性要求高等特点，在安全性测试的各个环节，能否高效、实时地采集到安全测试数据，采集到的测试数据是否全面、有效、准确，成为影响控制系统安全的重要因子。本书通过研究采集对象、设计采集电路、编写采集程序等，从技术研究和实践应用两个方面实现了对安全数据的采集、存储和处理。

本书所论述的控制系统主要是指工业控制系统，也称为工控系统。本书共 10 章：第 1 章主要对控制系统的含义、组成、典型控制系统、控制系统常见接口和协议等进行介绍；第 2 章针对控制系统的特点，分析其安全性测试的内容、标准、方法，以及数据采集的需求；第 3 章对控制系统的几类常见总线数据采集进行设计与编程实现；第 4 章对控制系统工业以太网数据采集进行设计与编程实现；第 5 章对控制系统 I/O 数据采集进行设计与编程实现；第 6 章对主机状态数据采集进行设计与编程实现，针对分布式系统的数据采集，通过基于移动代理的数据采集技术可以实现采集的高效性和灵活部署；第 7 章对移动代理技术进行分析介绍；第 8 章设计实现面向控制系统数据采集的移动代理系统，对系统总体架构、工作流程、部署方案、各模块功能、多移动代理的优化等进行详细设计与实现；第 9、10 章分别针对工控系统中典型的震网病毒和 BlackEnergy 病毒的攻击进行行为分析、数据采集分析与检测方案实现。

本书从控制系统的网络安全生存能力出发，针对控制系统中典型的 RS-232、RS-485 等串口，以太网接口、I/O 接口形式设计相应的接口电路，并为常见的 Modbus 协议、CAN 协议、Profibus 协议、工业以太网协议等研究解析，实现对控制系统各关键节点的安全数据采集；并且为了提高数据采集的效率，设计实现基于移动代理的分布式数据采集系统；最后，通过模拟构建典型特征的控制系统安全测试场景对上述数据采集进行验证实现。

本书内容丰富，有较强的理论性和实用性，可供自动化、计算机应用、网络安全等专业的本科生、研究生以及从事控制系统研发的工程技术人员学习和参考。

本书由苗茹强、袁富童、袁学军提出全书结构并负责相关内容编写，吴迪、刘喆、王亮、石鹏飞负责编写主要章节内容，刘义、王震、樊永文、郭荣华、刘迎龙、陈绍文、孟庆业等同志参与编写部分内容。

在本书编写过程中参考了大量国内外文献和研究成果（列举在参考文献中），在此，对文献作者和研究人员表示真诚的感谢。

作者2025 年 4 月