(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111360677.2 (22)申请日 2021.11.17 (71)申请人 杭州优稳自动化系统有限公司 地址 311101 浙江省杭州市余杭区仁和街 道临港路6号 申请人 浙江大学 (72)发明人 王文海　张晓东　张益南　孙优贤　 张奕楠　嵇月强　张稳稳　赵璐　 刘兴高　王智　张旭鸿　赵莹　 (74)专利代理 机构 杭州宇信联合知识产权代理 有限公司 3 3401 代理人 刘艳艳 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 适用于控制系统的EtherCAT安全监测装置 及方法 (57)摘要 本发明公开了一种适用于控制系统的 EtherCAT安全监测装置及方法， 监测装置包括： 协议深度解析模块， 被配置为用于捕捉Et herCAT 数据包， 将捕捉到的数据包经过上下文统筹分析 方法构建Et herCAT数据包深度解析框架； 关键点 监测模块， 被配置为用于至少通过逻辑地址映射 监测、 分布式时钟伪同步监测、 从站配置参数合 法合理性监测、 从站运行状态监测、 通信异常与 重试监测剖析EtherCAT协议中存在的脆弱点以 进行重点防护； 数据检测模块， 被配置为用于通 过监测分类频率， 判断Et herCAT网络 是否发生异 常。 本发明通过实现协议深度解析模块、 关键点 监测模块和数据检测模块， 可以实现异常行为的 识别、 定位、 预警， 解决了多维度、 深层次的安全 监测问题。 权利要求书2页 说明书5页 附图1页 CN 114157456 A 2022.03.08 CN 114157456 A 1.一种适用于控制系统的EtherCAT安全监测装置， 其特 征在于， 至少包括： 协议深度解析模块， 被配置为用于捕捉EtherCAT数据包， 将捕捉到的数据包经过上下 文统筹分析 方法构建EtherCAT数据包深度解析框架； 关键点监测模块， 被配置为用于至少通过逻辑地址映射监测、 分布式时钟伪同步监测、 从站配置参数合法合理性监测、 从站运行状态监测、 通信异常与重试监测剖析EtherCAT协 议中存在的脆弱点以进行重点防护； 以及， 数据检测模块， 被 配置为用于通过监测分类频率， 判断EtherCAT网络是否发生异常。 2.根据权利 要求1所述的适用于控制系统的EtherCAT安全监测装置， 其特征在于， 上下 文统筹分析 方法至少包括数据包初步 解析和数据帧功能解析。 3.根据权利 要求2所述的适用于控制系统的EtherCAT安全监测装置， 其特征在于， 数据 包初步解析用于将数据包解析成若干独立的数据帧， 然后根据EtherCAT数据帧格式， 至少 分析得出数据帧的命令、 操作对象和操作内容， 并进行初步的完整性和合法性校验。 4.根据权利要求2或3所述的适用于控制系统的EtherCAT安全监测装置， 其特征在于， 数据帧功能解析是在数据包初步解析 的基础上， 结合功能模型规则， 将结构化的数据包还 原为对物理地址、 实际功能的具体操作， 并提供操作的敏感性、 操作的场景、 权限、 合理频 率、 操作序列要求信息， 其中， 功能模型至少包括系统寄存器区功能模型、 用户存储区功能 模型和逻辑 地址映射功能模型。 5.根据权利 要求1所述的适用于控制系统的EtherCAT安全监测装置， 其特征在于， 关键 点监测模块中， 逻辑地址映射监测被配置为用于监测初始化或正常运行时逻辑地址映射是否符合映 射规则； 分布式时钟伪同步 监测被配置为利用分布时钟同步公式计算初始偏移量； 从站配置参数合法合理性监测被配置为通过监测初始化过程中对从站参数的配置， 校 验其合法性； 从站运行状态监测被配置为至少用于检测物 理层错误、 数据帧长度错误、 数据帧过长、 数据帧过短、 CRC校验错 误和非EtherCAT数据帧错 误； 通信异常与重试监测被 配置为通过跟踪重试报文， 并审核重试报文是否符合 规范。 6.根据权利要求1或2或3或5所述的适用于控制系统的EtherCAT安全监测装置， 其特征 在于， 数据包分为周期型、 触发型和 场景型三种类型， 数据检测模块对该三种类型的数据包 进行监测具体包括： 对周期型 数据包监测出现频次和通信周期随时间的变化趋势； 对触发型 数据包监测频率升高或触发条件未满足就已经触发； 对场景型数据包至少监测从站参数配置、 地址映射设置、 时钟参数配置和链路控制。 7.一种适用于控制系统的EtherCAT安全监测方法， 其特 征在于， 包括如下步骤： 捕捉Ethercat数据包； 对捕捉到的数据包进行初步解析， 将数据包解析成若干独立的数据帧， 再根据 EtherCAT数据帧格式， 至少分析 得出数据帧的命令、 操作对象和操作内容； 对初步解析后的数据帧进行功能解析， EtherCAT报文使用多种寻址方式操作设备内部 存储区， 实现多种通信服 务；权　利　要　求　书 1/2 页 2 CN 114157456 A 2深入分析EtherCAT协议， 至少通过逻辑地址映射监测、 分布式时钟伪同步监测、 从站配 置参数合法合理性监测、 从站运行状态监测、 通信异常与重试监测剖析EtherCAT协议中存 在的脆弱点以进行重点防护； 对数据帧的分类频率进行监测， 判断EtherCAT网络是否发生异常： 若是， 则进行预警； 否则， 则不作处 理。 8.根据权利要求7所述的适用于控制系统的EtherCAT安全监测方法， 其特征在于， EtherCAT数据帧类型码包括2字节的数据头和44~1498字节的数据区， 其中， 数据区包括若 干个EtherCAT子报文， 各子报文对应独立的设备或从站存储区， EtherCAT子报文包括子报 文头、 数据域和相应的工作计数器。 9.根据权利 要求8所述的适用于控制系统的EtherCAT安全监测方法， 其特征在于， 对初 步解析后的数据帧进行功能解析， EtherCAT报文使用多种 寻址方式操作设备内部存储 区， 实现多种通信服 务， 具体包括： EtherCAT子报文头内的32位地址分为16位从站设备地址和16位从站设备内部物理存 储空间地址， 以实现64K字节的本地 地址空间。 10.根据权利 要求7‑9任一项所述的适用于控制系统的EtherCAT安全监测方法， 其特征 在于， 数据包分为周期型、 触发型和 场景型三种类型， 三种不同类型的数据包的分类频率检 测方法具体为： 周期型数据包通过节奏 监测的方法进行检测； 触发型数据包通过 频次检测及触发条件监测的方法进行检测； 场景型数据包通过场景监测及场景匹配的方法进行检测。权　利　要　求　书 2/2 页 3 CN 114157456 A 3