RU2012103480A - Способ ограничения объема сетевого трафика, поступающего на локальный узел, действующий согласно протоколу ethernet промышленного применения - Google Patents

Способ ограничения объема сетевого трафика, поступающего на локальный узел, действующий согласно протоколу ethernet промышленного применения Download PDF

Info

Publication number
RU2012103480A
RU2012103480A RU2012103480/08A RU2012103480A RU2012103480A RU 2012103480 A RU2012103480 A RU 2012103480A RU 2012103480/08 A RU2012103480/08 A RU 2012103480/08A RU 2012103480 A RU2012103480 A RU 2012103480A RU 2012103480 A RU2012103480 A RU 2012103480A
Authority
RU
Russia
Prior art keywords
data
reception
network traffic
electronic device
physical layer
Prior art date
Application number
RU2012103480/08A
Other languages
English (en)
Other versions
RU2517164C2 (ru
Inventor
Кевин МАКГРАТ
Александер УОЛД
Original Assignee
Абб Рисерч Лтд
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Абб Рисерч Лтд filed Critical Абб Рисерч Лтд
Publication of RU2012103480A publication Critical patent/RU2012103480A/ru
Application granted granted Critical
Publication of RU2517164C2 publication Critical patent/RU2517164C2/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

1. Способ ограничения объема сетевого трафика, поступающего на электронное устройство, действующее по сетевому протоколу Ethernet и использующее сетевой стек, содержащий по меньшей мере один физический уровень (31), осуществляющий связь с по меньшей мере одним канальным уровнем (32), где принятые данные передаются на один или несколько более высоких уровней (33-37) упомянутого сетевого стека, при этом упомянутое электронное устройство соединено с сетью связи, в каковом способе упомянутый сетевой трафик фильтруется, и отфильтровывается прием нежелательных данных, адресованный на упомянутое электронное устройство, при этом способ дополнительно содержит этапы, на которых принимают (42) упомянутый сетевой трафик на по меньшей мере одном упомянутом физическом уровне (1) упомянутого электронного устройства, сравнивают упомянутый сетевой трафик с по меньшей мере одним перечнем управления доступом, обнаруживают (45) упомянутый прием нежелательных данных и посылают сигнал, обеспечивающий, что выбранный упомянутый прием нежелательных данных будет отвергнут и отброшен на канальном уровне или контроллере доступа к среде передачи (MAC) (2) прежде его поступления на другой более высокий уровень (33-37) упомянутого сетевого стека упомянутого электронного устройства, при этом способ отличается тем, что включают фильтрацию в зависимости от числа пакетов данных, принимаемых в единицу времени, и затем проверяют упомянутый сетевой трафик в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (MAC).2. Способ по п.1, отличающи

Claims (20)

1. Способ ограничения объема сетевого трафика, поступающего на электронное устройство, действующее по сетевому протоколу Ethernet и использующее сетевой стек, содержащий по меньшей мере один физический уровень (31), осуществляющий связь с по меньшей мере одним канальным уровнем (32), где принятые данные передаются на один или несколько более высоких уровней (33-37) упомянутого сетевого стека, при этом упомянутое электронное устройство соединено с сетью связи, в каковом способе упомянутый сетевой трафик фильтруется, и отфильтровывается прием нежелательных данных, адресованный на упомянутое электронное устройство, при этом способ дополнительно содержит этапы, на которых принимают (42) упомянутый сетевой трафик на по меньшей мере одном упомянутом физическом уровне (1) упомянутого электронного устройства, сравнивают упомянутый сетевой трафик с по меньшей мере одним перечнем управления доступом, обнаруживают (45) упомянутый прием нежелательных данных и посылают сигнал, обеспечивающий, что выбранный упомянутый прием нежелательных данных будет отвергнут и отброшен на канальном уровне или контроллере доступа к среде передачи (MAC) (2) прежде его поступления на другой более высокий уровень (33-37) упомянутого сетевого стека упомянутого электронного устройства, при этом способ отличается тем, что включают фильтрацию в зависимости от числа пакетов данных, принимаемых в единицу времени, и затем проверяют упомянутый сетевой трафик в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (MAC).
2. Способ по п.1, отличающийся тем, что
при упомянутой фильтрации проверяют упомянутый сетевой трафик в течение приема и передачи от по меньшей мере одного упомянутого физического уровня (1) на по меньшей мере один упомянутый канальный уровень (32), и сравнивают (44) упомянутый сетевой трафик с информацией из перечня управления доступом.
3. Способ по п.1, отличающийся тем, что обнаруживают упомянутый прием нежелательных данных и устанавливают управляющий сигнал (46) в контроллере доступа к среде передачи упомянутого электронного устройства путем переключения линии, шины или схемы на заранее заданный потенциал, с тем чтобы контроллер доступа к среде передачи (MAC) канального уровня (32) отверг упомянутый прием нежелательных данных, переданный от физического уровня (1).
4. Способ по п.1, отличающийся тем, что обнаруживают упомянутый прием нежелательных данных и добавляют управляющие данные (46) к приему, с тем чтобы управление доступом к среде передачи (MAC) канального уровня (2) отвергло упомянутый прием нежелательных данных, переданный от физического уровня (PHY).
5. Способ по п.3, отличающийся тем, что устанавливают линию управления (9) так, что контроллер доступа к среде передачи (MAC) обнаруживает ошибку приемника (RX_ERROR) и/или отрицание действительности данных (RX_DV) и/или другую линию управления, и отбрасывает целиком Ethernet-кадр, содержащий упомянутый прием нежелательных данных.
6. Способ по п.1, отличающийся тем, что регистрируют данные (47) относительно отбрасываемых пакетов нежелательных данных и записывают характеристики сетевого трафика.
7. Способ по п.1, отличающийся тем, что включают фильтрацию в зависимости от внешнего сигнала и затем проверяют упомянутый сетевой трафик в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (MAC).
8. Способ по п.1, отличающийся тем, что включают фильтрацию в зависимости от числа пакетов данных, принимаемых в единицу времени, в соответствии с по меньшей мере одним заранее заданным числом пакетов данных.
9. Способ по п.1, отличающийся тем, что выполняют проверку упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня (PHY), начиная проверку над данными, образующими частично принятый пакет данных.
10. Способ по п.1, отличающийся тем, что выполняют проверку упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня (PHY), начиная проверку в отношении приема полного пакета данных.
11. Способ по любому из предшествующему пунктов, отличающийся тем, что выполняют проверку упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня (PHY) на по меньшей мере один упомянутый канальный уровень (32) или контроллер доступа к среде передачи (2), путем сравнения с данными в любом члене группы из: перечня допущенного трафика, информации на основе анализа трафика, перечня, обновленного процессором упомянутого электронного устройства, перечня недопущенного трафика, перечня управления доступом.
12. Электронное устройство, приспособленное для работы согласно сетевому протоколу Ethernet, используя сетевой стек, содержащий по меньшей мере один физический уровень (PHY) (31), и связь с по меньшей мере одним канальным уровнем (32) или контроллером доступа к среде передачи (2), причем блок фильтрации приспособлен фильтровать упомянутый сетевой трафик на упомянутое электронное устройство и отфильтровывать прием нежелательных данных, адресованный на упомянутое электронное устройство, при этом упомянутый блок (3) фильтрации подсоединен между упомянутыми по меньшей мере одним физическим уровнем (PHY) (1) и канальным уровнем или контроллером доступа к среде передачи (MAC) (2), причем блок (3) фильтрации выполнен с по меньшей мере одной переключаемой линией или шиной (11, 12) и управляющей логикой (8) для проверки упомянутого сетевого трафика в течение приема от по меньшей мере одного упомянутого физического уровня на по меньшей мере один упомянутый канальный уровень или контроллер доступа к среде передачи, и для сравнения упомянутого сетевого трафика с по меньшей мере одним перечнем управления доступом и для обнаружения упомянутого приема нежелательных данных, при этом блок (3) фильтрации приспособлен для посылки сигнала (9), обеспечивающего, что выбранный упомянутый прием нежелательных данных отвергается и отбрасывается по меньшей мере одним упомянутым канальным уровнем (32) или контроллером (2) доступа к среде передачи прежде его поступления на другой уровень (33-37) упомянутого сетевого стека, при этом устройство отличается тем, что содержит средство в управляющей логике (8) для определения числа пакетов данных, принимаемых в единицу времени.
13. Устройство по п.12, отличающееся тем, что блок (3) фильтрации приспособлен устанавливать ошибку линии управления посредством переключаемой линии или шины при обнаружении упомянутого приема нежелательных данных.
14. Устройство по п.12, отличающееся тем, что блок (3) фильтрации приспособлен добавлять управляющие данные при обнаружении упомянутого приема нежелательных данных.
15. Устройство по п.12, отличающееся тем, что блок (3) фильтрации выполнен по меньшей мере, частично, в виде схемы, реализованной аппаратно.
16. Устройство по п.12, отличающееся тем, что по меньшей мере один упомянутый канальный уровень (32) содержит контроллер (2) доступа к среде передачи (MAC), который приспособлен отвергать упомянутый прием нежелательных данных, переданный от физического уровня (PHY), так что он не проходит на другие уровни (33-37).
17. Устройство по п.13, отличающееся тем, что соединено с внешней схемой, от которой оно приспособлено принимать информацию для определения в управляющей логике (8) числа пакетов данных, принимаемых в единицу времени.
18. Устройство по п.13, отличающееся тем, что содержит средство для регистрации данных (47) относительно отбрасываемых пакетов нежелательных данных и/или записи характеристик сетевого трафика.
19. Компьютерная программа, предназначенная для ограничения объема сетевого трафика, поступающего на электронное устройство, действующее по сетевому протоколу Ethernet, и содержащая порции программного кода или машинного кода, чтобы предписать компьютеру или процессору выполнять все этапы способа по п.1.
20. Использование электронного устройства по п.12 в системе для мониторинга производственного процесса и управления таковым и/или для управления оборудованием и мониторинга такового в системе для выработки, передачи или распространения электроэнергии.
RU2012103480/08A 2009-07-02 2009-07-02 СПОСОБ ОГРАНИЧЕНИЯ ОБЪЕМА СЕТЕВОГО ТРАФИКА, ПОСТУПАЮЩЕГО НА ЛОКАЛЬНЫЙ УЗЕЛ, ДЕЙСТВУЮЩИЙ СОГЛАСНО ПРОТОКОЛУ Ethernet ПРОМЫШЛЕННОГО ПРИМЕНЕНИЯ RU2517164C2 (ru)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2009/058371 WO2011000429A1 (en) 2009-07-02 2009-07-02 A method of limiting the amount of network traffic reaching a local node operating according to an industrial ethernet protocol

Publications (2)

Publication Number Publication Date
RU2012103480A true RU2012103480A (ru) 2013-08-27
RU2517164C2 RU2517164C2 (ru) 2014-05-27

Family

ID=41480070

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012103480/08A RU2517164C2 (ru) 2009-07-02 2009-07-02 СПОСОБ ОГРАНИЧЕНИЯ ОБЪЕМА СЕТЕВОГО ТРАФИКА, ПОСТУПАЮЩЕГО НА ЛОКАЛЬНЫЙ УЗЕЛ, ДЕЙСТВУЮЩИЙ СОГЛАСНО ПРОТОКОЛУ Ethernet ПРОМЫШЛЕННОГО ПРИМЕНЕНИЯ

Country Status (5)

Country Link
US (1) US8842539B2 (ru)
EP (1) EP2449731B1 (ru)
CN (1) CN102474444B (ru)
RU (1) RU2517164C2 (ru)
WO (1) WO2011000429A1 (ru)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013026486A1 (en) * 2011-08-25 2013-02-28 Abb Technology Ag Embedded network node
DE102012012035A1 (de) 2012-06-19 2013-12-19 Ixxat Automation Gmbh Netzwerk-Protokollfilter
GB2508166B (en) * 2012-11-21 2018-06-06 Traffic Observation Via Man Limited Intrusion prevention and detection in a wireless network
CN104079444A (zh) * 2013-03-27 2014-10-01 西门子公司 一种用于工业以太网数据帧深度检测的方法和装置
US20150033336A1 (en) * 2013-07-24 2015-01-29 Fortinet, Inc. Logging attack context data
KR101564644B1 (ko) * 2014-07-03 2015-10-30 한국전자통신연구원 접근제어리스트 추출 방법 및 시스템
CN109155777B (zh) * 2016-06-02 2021-09-14 瑞典爱立信有限公司 用于处置sctp分组的方法和网络节点
MX2019008936A (es) * 2017-01-26 2019-09-11 Walmart Apollo Llc Sistemas y metodos para brindar comunicaciones seguras a proveedores de servicios en la nube.
CN113671869B (zh) * 2021-08-12 2023-03-21 江苏杰瑞信息科技有限公司 一种基于fpga工控协议的智能工控方法
DE102023104049A1 (de) * 2022-02-18 2023-08-24 Hirschmann Automation And Control Gmbh Bedingte Filterung für zeitdeterministische Firewalls

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5608662A (en) * 1995-01-12 1997-03-04 Television Computer, Inc. Packet filter engine
FI100155B (fi) * 1995-11-09 1997-09-30 Nokia Telecommunications Oy Liikenteen mittaus tietoliikennejärjestelmässä
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
US6434118B1 (en) 1999-01-11 2002-08-13 3Com Corporation Method for determining round trip time utilizing ATM traffic management mechanism
RU2179738C2 (ru) * 2000-04-24 2002-02-20 Вильчевский Никита Олегович Способ обнаружения удаленных атак в компьютерной сети
TWI221560B (en) 2003-04-07 2004-10-01 Via Tech Inc Integrated reduced media independent interface
US7385985B2 (en) * 2003-12-31 2008-06-10 Alcatel Lucent Parallel data link layer controllers in a network switching device
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
US7522521B2 (en) * 2005-07-12 2009-04-21 Cisco Technology, Inc. Route processor adjusting of line card admission control parameters for packets destined for the route processor
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US20070143846A1 (en) * 2005-12-21 2007-06-21 Lu Hongqian K System and method for detecting network-based attacks on electronic devices
US8555373B2 (en) * 2008-02-14 2013-10-08 Rockwell Automation Technologies, Inc. Network security module for Ethernet-receiving industrial control devices

Also Published As

Publication number Publication date
EP2449731A1 (en) 2012-05-09
CN102474444A (zh) 2012-05-23
EP2449731B1 (en) 2016-06-01
RU2517164C2 (ru) 2014-05-27
CN102474444B (zh) 2014-10-15
WO2011000429A1 (en) 2011-01-06
US20120140630A1 (en) 2012-06-07
US8842539B2 (en) 2014-09-23

Similar Documents

Publication Publication Date Title
RU2012103480A (ru) Способ ограничения объема сетевого трафика, поступающего на локальный узел, действующий согласно протоколу ethernet промышленного применения
US11509671B2 (en) Anomaly detection in computer networks
KR20180127221A (ko) 사이버 공격에 대한 네트워크 보호 방법
CN101257388B (zh) 非法外联检测方法、装置及***
CN110011870B (zh) 用于对多主访问总线进行测量和信号分析的节点和方法
RU2013112912A (ru) Управление сообщениями подтверждения из множества мест назначения для многопользовательских mimo-передач
RU2013120055A (ru) Устройство связи для эксплуатируемой с избыточностью промышленной сети связи и способ эксплуатации устройства связи
JP2017112590A (ja) 通信装置、通信方法、及び通信プログラム
CN103259699B (zh) 测试方法、***及客户端和服务端
CN110808873B (zh) 一种检测链路故障的方法及装置
CN104104488A (zh) 一种无线传感器网络协议一致性测试***及方法
CN102231687A (zh) 一种链路故障探测方法及装置
CN101179455A (zh) 一种基于vlan的端口环路检测的实现方法及***
CN110601919A (zh) 一种环回检测方法及***
CN103702348A (zh) 一种家庭基站下网络质量的检测方法及装置
CN102217257B (zh) 丢包处理方法、目的网络节点设备及移动传输网络***
US8904034B2 (en) Method and apparatus for processing network congestion and core network entity
CN105245393A (zh) 一种防火墙性能测试方法及装置
CN101547526B (zh) 一种故障处理方法、无线设备和通信***
US20040037308A1 (en) System and method for network connection detection
CN102724144B (zh) 自适应网关装置及其传输数据的方法
CN107509214A (zh) 一种多射频链路无线路由器及故障诊断方法
CN103812875A (zh) 用于网关设备的数据处理方法和装置
CN101299693B (zh) 一种检测转发平面故障的方法和装置
JP2010245589A (ja) 通信システム、通信装置、被疑箇所の特定方法及びプログラム

Legal Events

Date Code Title Description
PC43 Official registration of the transfer of the exclusive right without contract for inventions

Effective date: 20200528

PC41 Official registration of the transfer of exclusive right

Effective date: 20220311