RU2012103480A - Способ ограничения объема сетевого трафика, поступающего на локальный узел, действующий согласно протоколу ethernet промышленного применения - Google Patents
Способ ограничения объема сетевого трафика, поступающего на локальный узел, действующий согласно протоколу ethernet промышленного применения Download PDFInfo
- Publication number
- RU2012103480A RU2012103480A RU2012103480/08A RU2012103480A RU2012103480A RU 2012103480 A RU2012103480 A RU 2012103480A RU 2012103480/08 A RU2012103480/08 A RU 2012103480/08A RU 2012103480 A RU2012103480 A RU 2012103480A RU 2012103480 A RU2012103480 A RU 2012103480A
- Authority
- RU
- Russia
- Prior art keywords
- data
- reception
- network traffic
- electronic device
- physical layer
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
1. Способ ограничения объема сетевого трафика, поступающего на электронное устройство, действующее по сетевому протоколу Ethernet и использующее сетевой стек, содержащий по меньшей мере один физический уровень (31), осуществляющий связь с по меньшей мере одним канальным уровнем (32), где принятые данные передаются на один или несколько более высоких уровней (33-37) упомянутого сетевого стека, при этом упомянутое электронное устройство соединено с сетью связи, в каковом способе упомянутый сетевой трафик фильтруется, и отфильтровывается прием нежелательных данных, адресованный на упомянутое электронное устройство, при этом способ дополнительно содержит этапы, на которых принимают (42) упомянутый сетевой трафик на по меньшей мере одном упомянутом физическом уровне (1) упомянутого электронного устройства, сравнивают упомянутый сетевой трафик с по меньшей мере одним перечнем управления доступом, обнаруживают (45) упомянутый прием нежелательных данных и посылают сигнал, обеспечивающий, что выбранный упомянутый прием нежелательных данных будет отвергнут и отброшен на канальном уровне или контроллере доступа к среде передачи (MAC) (2) прежде его поступления на другой более высокий уровень (33-37) упомянутого сетевого стека упомянутого электронного устройства, при этом способ отличается тем, что включают фильтрацию в зависимости от числа пакетов данных, принимаемых в единицу времени, и затем проверяют упомянутый сетевой трафик в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (MAC).2. Способ по п.1, отличающи
Claims (20)
1. Способ ограничения объема сетевого трафика, поступающего на электронное устройство, действующее по сетевому протоколу Ethernet и использующее сетевой стек, содержащий по меньшей мере один физический уровень (31), осуществляющий связь с по меньшей мере одним канальным уровнем (32), где принятые данные передаются на один или несколько более высоких уровней (33-37) упомянутого сетевого стека, при этом упомянутое электронное устройство соединено с сетью связи, в каковом способе упомянутый сетевой трафик фильтруется, и отфильтровывается прием нежелательных данных, адресованный на упомянутое электронное устройство, при этом способ дополнительно содержит этапы, на которых принимают (42) упомянутый сетевой трафик на по меньшей мере одном упомянутом физическом уровне (1) упомянутого электронного устройства, сравнивают упомянутый сетевой трафик с по меньшей мере одним перечнем управления доступом, обнаруживают (45) упомянутый прием нежелательных данных и посылают сигнал, обеспечивающий, что выбранный упомянутый прием нежелательных данных будет отвергнут и отброшен на канальном уровне или контроллере доступа к среде передачи (MAC) (2) прежде его поступления на другой более высокий уровень (33-37) упомянутого сетевого стека упомянутого электронного устройства, при этом способ отличается тем, что включают фильтрацию в зависимости от числа пакетов данных, принимаемых в единицу времени, и затем проверяют упомянутый сетевой трафик в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (MAC).
2. Способ по п.1, отличающийся тем, что
при упомянутой фильтрации проверяют упомянутый сетевой трафик в течение приема и передачи от по меньшей мере одного упомянутого физического уровня (1) на по меньшей мере один упомянутый канальный уровень (32), и сравнивают (44) упомянутый сетевой трафик с информацией из перечня управления доступом.
3. Способ по п.1, отличающийся тем, что обнаруживают упомянутый прием нежелательных данных и устанавливают управляющий сигнал (46) в контроллере доступа к среде передачи упомянутого электронного устройства путем переключения линии, шины или схемы на заранее заданный потенциал, с тем чтобы контроллер доступа к среде передачи (MAC) канального уровня (32) отверг упомянутый прием нежелательных данных, переданный от физического уровня (1).
4. Способ по п.1, отличающийся тем, что обнаруживают упомянутый прием нежелательных данных и добавляют управляющие данные (46) к приему, с тем чтобы управление доступом к среде передачи (MAC) канального уровня (2) отвергло упомянутый прием нежелательных данных, переданный от физического уровня (PHY).
5. Способ по п.3, отличающийся тем, что устанавливают линию управления (9) так, что контроллер доступа к среде передачи (MAC) обнаруживает ошибку приемника (RX_ERROR) и/или отрицание действительности данных (RX_DV) и/или другую линию управления, и отбрасывает целиком Ethernet-кадр, содержащий упомянутый прием нежелательных данных.
6. Способ по п.1, отличающийся тем, что регистрируют данные (47) относительно отбрасываемых пакетов нежелательных данных и записывают характеристики сетевого трафика.
7. Способ по п.1, отличающийся тем, что включают фильтрацию в зависимости от внешнего сигнала и затем проверяют упомянутый сетевой трафик в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (MAC).
8. Способ по п.1, отличающийся тем, что включают фильтрацию в зависимости от числа пакетов данных, принимаемых в единицу времени, в соответствии с по меньшей мере одним заранее заданным числом пакетов данных.
9. Способ по п.1, отличающийся тем, что выполняют проверку упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня (PHY), начиная проверку над данными, образующими частично принятый пакет данных.
10. Способ по п.1, отличающийся тем, что выполняют проверку упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня (PHY), начиная проверку в отношении приема полного пакета данных.
11. Способ по любому из предшествующему пунктов, отличающийся тем, что выполняют проверку упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (2), путем сравнения с данными в любом члене группы из: перечня допущенного трафика, информации на основе анализа трафика, перечня, обновленного процессором упомянутого электронного устройства, перечня недопущенного трафика, перечня управления доступом.
12. Электронное устройство, приспособленное для работы согласно сетевому протоколу Ethernet, используя сетевой стек, содержащий по меньшей мере один физический уровень (PHY) (31), и связь с по меньшей мере одним канальным уровнем (32) или контроллером доступа к среде передачи (2), причем блок фильтрации приспособлен фильтровать упомянутый сетевой трафик на упомянутое электронное устройство и отфильтровывать прием нежелательных данных, адресованный на упомянутое электронное устройство, при этом упомянутый блок (3) фильтрации подсоединен между упомянутыми по меньшей мере одним физическим уровнем (PHY) (1) и канальным уровнем или контроллером доступа к среде передачи (MAC) (2), причем блок (3) фильтрации выполнен с по меньшей мере одной переключаемой линией или шиной (11, 12) и управляющей логикой (8) для проверки упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня на по меньшей мере один упомянутый канальный уровень или контроллер доступа к среде передачи, и для сравнения упомянутого сетевого трафика с по меньшей мере одним перечнем управления доступом и для обнаружения упомянутого приема нежелательных данных, при этом блок (3) фильтрации приспособлен для посылки сигнала (9), обеспечивающего, что выбранный упомянутый прием нежелательных данных отвергается и отбрасывается по меньшей мере одним упомянутым канальным уровнем (32) или контроллером (2) доступа к среде передачи прежде его поступления на другой уровень (33-37) упомянутого сетевого стека, при этом устройство отличается тем, что содержит средство в управляющей логике (8) для определения числа пакетов данных, принимаемых в единицу времени.
13. Устройство по п.12, отличающееся тем, что блок (3) фильтрации приспособлен устанавливать ошибку линии управления посредством переключаемой линии или шины при обнаружении упомянутого приема нежелательных данных.
14. Устройство по п.12, отличающееся тем, что блок (3) фильтрации приспособлен добавлять управляющие данные при обнаружении упомянутого приема нежелательных данных.
15. Устройство по п.12, отличающееся тем, что блок (3) фильтрации выполнен по меньшей мере, частично, в виде схемы, реализованной аппаратно.
16. Устройство по п.12, отличающееся тем, что по меньшей мере один упомянутый канальный уровень (32) содержит контроллер (2) доступа к среде передачи (MAC), который приспособлен отвергать упомянутый прием нежелательных данных, переданный от физического уровня (PHY), так что он не проходит на другие уровни (33-37).
17. Устройство по п.13, отличающееся тем, что соединено с внешней схемой, от которой оно приспособлено принимать информацию для определения в управляющей логике (8) числа пакетов данных, принимаемых в единицу времени.
18. Устройство по п.13, отличающееся тем, что содержит средство для регистрации данных (47) относительно отбрасываемых пакетов нежелательных данных и/или записи характеристик сетевого трафика.
19. Компьютерная программа, предназначенная для ограничения объема сетевого трафика, поступающего на электронное устройство, действующее по сетевому протоколу Ethernet, и содержащая порции программного кода или машинного кода, чтобы предписать компьютеру или процессору выполнять все этапы способа по п.1.
20. Использование электронного устройства по п.12 в системе для мониторинга производственного процесса и управления таковым и/или для управления оборудованием и мониторинга такового в системе для выработки, передачи или распространения электроэнергии.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2009/058371 WO2011000429A1 (en) | 2009-07-02 | 2009-07-02 | A method of limiting the amount of network traffic reaching a local node operating according to an industrial ethernet protocol |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2012103480A true RU2012103480A (ru) | 2013-08-27 |
RU2517164C2 RU2517164C2 (ru) | 2014-05-27 |
Family
ID=41480070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2012103480/08A RU2517164C2 (ru) | 2009-07-02 | 2009-07-02 | СПОСОБ ОГРАНИЧЕНИЯ ОБЪЕМА СЕТЕВОГО ТРАФИКА, ПОСТУПАЮЩЕГО НА ЛОКАЛЬНЫЙ УЗЕЛ, ДЕЙСТВУЮЩИЙ СОГЛАСНО ПРОТОКОЛУ Ethernet ПРОМЫШЛЕННОГО ПРИМЕНЕНИЯ |
Country Status (5)
Country | Link |
---|---|
US (1) | US8842539B2 (ru) |
EP (1) | EP2449731B1 (ru) |
CN (1) | CN102474444B (ru) |
RU (1) | RU2517164C2 (ru) |
WO (1) | WO2011000429A1 (ru) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013026486A1 (en) * | 2011-08-25 | 2013-02-28 | Abb Technology Ag | Embedded network node |
DE102012012035A1 (de) | 2012-06-19 | 2013-12-19 | Ixxat Automation Gmbh | Netzwerk-Protokollfilter |
GB2508166B (en) * | 2012-11-21 | 2018-06-06 | Traffic Observation Via Man Limited | Intrusion prevention and detection in a wireless network |
CN104079444A (zh) * | 2013-03-27 | 2014-10-01 | 西门子公司 | 一种用于工业以太网数据帧深度检测的方法和装置 |
US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
KR101564644B1 (ko) * | 2014-07-03 | 2015-10-30 | 한국전자통신연구원 | 접근제어리스트 추출 방법 및 시스템 |
CN109155777B (zh) * | 2016-06-02 | 2021-09-14 | 瑞典爱立信有限公司 | 用于处置sctp分组的方法和网络节点 |
MX2019008936A (es) * | 2017-01-26 | 2019-09-11 | Walmart Apollo Llc | Sistemas y metodos para brindar comunicaciones seguras a proveedores de servicios en la nube. |
CN113671869B (zh) * | 2021-08-12 | 2023-03-21 | 江苏杰瑞信息科技有限公司 | 一种基于fpga工控协议的智能工控方法 |
DE102023104049A1 (de) * | 2022-02-18 | 2023-08-24 | Hirschmann Automation And Control Gmbh | Bedingte Filterung für zeitdeterministische Firewalls |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5608662A (en) * | 1995-01-12 | 1997-03-04 | Television Computer, Inc. | Packet filter engine |
FI100155B (fi) * | 1995-11-09 | 1997-09-30 | Nokia Telecommunications Oy | Liikenteen mittaus tietoliikennejärjestelmässä |
US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
US6434118B1 (en) | 1999-01-11 | 2002-08-13 | 3Com Corporation | Method for determining round trip time utilizing ATM traffic management mechanism |
RU2179738C2 (ru) * | 2000-04-24 | 2002-02-20 | Вильчевский Никита Олегович | Способ обнаружения удаленных атак в компьютерной сети |
TWI221560B (en) | 2003-04-07 | 2004-10-01 | Via Tech Inc | Integrated reduced media independent interface |
US7385985B2 (en) * | 2003-12-31 | 2008-06-10 | Alcatel Lucent | Parallel data link layer controllers in a network switching device |
US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
US7522521B2 (en) * | 2005-07-12 | 2009-04-21 | Cisco Technology, Inc. | Route processor adjusting of line card admission control parameters for packets destined for the route processor |
US7716729B2 (en) * | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
US20070143846A1 (en) * | 2005-12-21 | 2007-06-21 | Lu Hongqian K | System and method for detecting network-based attacks on electronic devices |
US8555373B2 (en) * | 2008-02-14 | 2013-10-08 | Rockwell Automation Technologies, Inc. | Network security module for Ethernet-receiving industrial control devices |
-
2009
- 2009-07-02 RU RU2012103480/08A patent/RU2517164C2/ru active
- 2009-07-02 WO PCT/EP2009/058371 patent/WO2011000429A1/en active Application Filing
- 2009-07-02 EP EP09780111.2A patent/EP2449731B1/en active Active
- 2009-07-02 CN CN200980160263.6A patent/CN102474444B/zh active Active
-
2012
- 2012-01-03 US US13/342,459 patent/US8842539B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP2449731A1 (en) | 2012-05-09 |
CN102474444A (zh) | 2012-05-23 |
EP2449731B1 (en) | 2016-06-01 |
RU2517164C2 (ru) | 2014-05-27 |
CN102474444B (zh) | 2014-10-15 |
WO2011000429A1 (en) | 2011-01-06 |
US20120140630A1 (en) | 2012-06-07 |
US8842539B2 (en) | 2014-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2012103480A (ru) | Способ ограничения объема сетевого трафика, поступающего на локальный узел, действующий согласно протоколу ethernet промышленного применения | |
US11509671B2 (en) | Anomaly detection in computer networks | |
KR20180127221A (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
CN101257388B (zh) | 非法外联检测方法、装置及*** | |
CN110011870B (zh) | 用于对多主访问总线进行测量和信号分析的节点和方法 | |
RU2013112912A (ru) | Управление сообщениями подтверждения из множества мест назначения для многопользовательских mimo-передач | |
RU2013120055A (ru) | Устройство связи для эксплуатируемой с избыточностью промышленной сети связи и способ эксплуатации устройства связи | |
JP2017112590A (ja) | 通信装置、通信方法、及び通信プログラム | |
CN103259699B (zh) | 测试方法、***及客户端和服务端 | |
CN110808873B (zh) | 一种检测链路故障的方法及装置 | |
CN104104488A (zh) | 一种无线传感器网络协议一致性测试***及方法 | |
CN102231687A (zh) | 一种链路故障探测方法及装置 | |
CN101179455A (zh) | 一种基于vlan的端口环路检测的实现方法及*** | |
CN110601919A (zh) | 一种环回检测方法及*** | |
CN103702348A (zh) | 一种家庭基站下网络质量的检测方法及装置 | |
CN102217257B (zh) | 丢包处理方法、目的网络节点设备及移动传输网络*** | |
US8904034B2 (en) | Method and apparatus for processing network congestion and core network entity | |
CN105245393A (zh) | 一种防火墙性能测试方法及装置 | |
CN101547526B (zh) | 一种故障处理方法、无线设备和通信*** | |
US20040037308A1 (en) | System and method for network connection detection | |
CN102724144B (zh) | 自适应网关装置及其传输数据的方法 | |
CN107509214A (zh) | 一种多射频链路无线路由器及故障诊断方法 | |
CN103812875A (zh) | 用于网关设备的数据处理方法和装置 | |
CN101299693B (zh) | 一种检测转发平面故障的方法和装置 | |
JP2010245589A (ja) | 通信システム、通信装置、被疑箇所の特定方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PC43 | Official registration of the transfer of the exclusive right without contract for inventions |
Effective date: 20200528 |
|
PC41 | Official registration of the transfer of exclusive right |
Effective date: 20220311 |