烟草物流中心工业无线网络安全监测系统设计

摘要：文章设计实现了一套基于树莓派2作为硬件基础平台，适用于烟草商业物流配送中心生产环境内，进行工业无线网络信号数据实时采集，定位各类异常行为进行预警的监测系统。系统采用单无线网卡轮询无线频点的扫频监测方式，7*24小时不间断工作，每日可以支持采集分析超过1亿个无线数据通讯包。系统采用内存数据库实现本地快速匹配分析和及时数据预警。系统上线后运行稳定，对于物流生产环境中的无线网络中出现的各类异常波动如异常流量、频道干扰、生产系统响应延迟以及各类设备无线模块错误出现短暂心跳信号消失均可以第一时间进行预警。

关键词：树莓派；工业无线网络；无线网络信息监测；系统设计研发；系统集成

烟草商业单位物流分拣和手持射频枪扫码打码环节是物流生产的重要环节，该环节中需要通过无线通信设备完成与总控中心的的信息交换。由于市场上使用较广的商用无线WIFI（如无线办公网络）通讯协议安全隐患日益增高，存在攻击行为、无线网络信道干扰的可能性，如无线环境下的物流激光制导小车AGV（Automated Guided Vehicle）中央控制系统完全依靠无线网络完成对AGV的交通管理功能，如果无线网络间存在干扰或者出现假冒生产接入服务集标识SSID（Service Set Identifier），会造成AGV无法实时接收到上位机的指令，从而导致停车撞车的危险发生。为解决此问题，本文设计实现了一套适用于烟草物流配送中心高架库环境下进行空中WIFI信号数据实时监测，定位各类异常行为进行及时预警的监测系统。该系统解决了传统工业无线网络信号不易采集格式化分析的技术难题，将自动基线分析与阈值分析方法引入到信号分析研判，同时将内存数据库与最新版树莓派2设备作为系统的系统和数据分析的承载平台，解决了系统在高架库环境下的易用性和稳定性。

1.系统架构

1.1高架库无线环境对于安全监测的需求

某烟草物流配送中心面积约2万平方米，其中高架库现场车间面积约为3800平方米，已经完整实现物流AGV小车的在区域内自动行走工作，通过无线网络监控中心实时读取物流AGV小车的运行状态，及时读取到小车的故障和报警，并针对不同的状况控制物流AGV小车的具体动作。传统有线网络的网管监测软件已经应用成熟，但是对于无线网络环境下的通讯分析专业化软件相对减少，尤其是可以长时间持续监测工作的系统同时具备特定环境感知分析的系统，市场上更是难以寻觅成熟产品。随着工业网络安全风险形势愈加严峻，通过无线网络进行信息化管理的规模越来越大，有效填补无线网络监测分析预警，持续改善无线网络通讯质量，推进业务生产信息化精益管理，已经成为烟草商业单位的迫切需求，树莓派上运行的LINUX系统对于无线网络监测本身具有天然良好支撑特性，为设计开发一套可以高效智能的无线网络监测系统提供了较为理想的实现方案。

为充分满足烟草商业物流高架库现场工作环境需要，本文设计出一套在高架库环境下可以进行无线通讯数据持续监测的预警系统，通过该系统可以切实加强高架库环境下各类异常行为的分析感知。系统设计基本思路是：以异常行为分析模式库为核心，引入嵌入式系统开发实现全频道扫频采集分析，充分利用双数据库（内存实时数据库和关系型数据库）支撑高效分析实时数据，搭建高架库环境下无线数据的全频道扫描安全监测系统，实现对无线数据通信进行数据捕获，将数据进行本地格式化后并快速分析，通过提前预设监测黑、白名单、监测阈值和告警规则设置对可能出现的各类异常行为进行及时预警。

为了使系统架构较好的适应无线通讯网络信息分析的扩展性和集成性要求，系统体系结构采用B/s架构，分成了无线采集端、分析引擎端和集成监控展示端，同时后台配置有统一的监测分析策略库进行支撑（见图1）。数据采集端完成生产环境下的无线信号采集，无线监测分析引擎作为系统核心实现数据采集、实时格式化分析、关联分析和告警等关键功能，集中的监控展示提供了良好的人机交互界面，为一线生产车间运维人员提供了从实时监测到告警研判分析的处置界面。统一监测分析策略库则存储各类分析场景库和监测阈值信息，是系统关键的智能处置大脑核心。

2.技术实现

2.1高架库环境无线网络数据采集

生产环境的无线数据高效捕获是系统的核心能力，其难点在于目前市场没有相似成熟产品技术可以直接应用，对于无线通讯标准13个频道的轮询分析也无单无线网卡的实现技术方案。在本系统的设计研发中系统的无线数据采集工作借助于嵌入式LINUX平台，通过修改对应网卡LINUX驱动程序，在系统内核中增加并实现对无线网络数据捕获支持功能，在烟草物流高架库的工业网络环境工作频道一般为1-611三个频道，高架库内部署了3台工业无线AP进行通讯数据漫游。

无线局域网中所有的数据包均在空中传输，每个数据包中都包含应该接收该数据包的主机的MAC地址。在正常工作模式下，工作在链路层的网卡驱动程序根据该地址进行相应的处理，如果不是自己网卡的MAC地址，也不是广播地址，不论数据包中MAC地址是什么，网卡驱动程序直接抛弃，不向上层提交。但如果将无线网卡设为监听模式，主机上的处理程序就可以得到发往其他机器的数据包。 为了实现工业无线网路信号的捕获，系统设计自主实现了无线网络封包分析软件，在嵌入式设备工作环境下可以高效率的实现对于无线网络通讯数据的捕获和格式化分析。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

2.2监测过程建模分析

采集到工业控制系统的网络流量数据后，系统会针对工业控制系统的重要应用协议进行分析和内容还原，尤其是针对PLC或者通信服务器与控制中心进行通信的OPC，S7，Profinet三种协议进行实时同步分析和内容还原，研判还原内容中异常指令和指令序列异常等情况。

系统将实时监测的工业无线网络通讯信息数据自动格式化为来源和目的MAC、IP地址，并将协议类型、信号强度、数据包长度、通讯内容摘要信息等自动格式化。在系统设计过程中，通过对高架库生产环境中的WIFI数据进行了大量采集，并对WIFI数据的通讯协议和数据包长度大小进行了详细分析，最终采用从数据包大小、协议类型、协议动作、MAC或IP地址情况，设置黑白名单监测、阈值监测、威胁行为监测等机制，在数据实时采集过程中直接指定相关的监测阈值。

高架库工业无线网络在周围环境中信号量较大，一般独立的高架库在每分钟可以捕获5-15万个无线数据通讯包，这些数据包要在高速环境下完成数据甄别、去重、关联分析和模式匹配，同时数据本身又是明显的价值密度低数据，没有长时间保存的工作需求，传统企业关系型数据库无法适应其特殊的应用场景。

本系统设计引入的内存数据库是SQLite，sQLite是小型的C程序库，实现了独立可嵌入式，零配置的SOL数据库引擎。因为SQLite数据库几乎不需要管理，因此对于无人值守运行的嵌入式设备是一个非常好的选择。将前端在物流生产现场环境中捕获到的WIFI数据信号实时高速保存进入内存模式的SQLite数据库，同时利用内存数据库比传统数据库快出将近50倍的处理速度，实现系统的快速匹配分析和计算。

除了内存数据库外，系统里还设计一套传统关系型数据库，通过双数据库实现实时捕获数据在内存数据库中完成格式化和模式匹配功能，所有的告警数据、分析规则统一存放在后台的关系型数据库中。两套数据库搭配使用，使得系统具备了在扫频工作中即使持续监听2.4GHZ的14个通讯无线频道的业务数据，依然可以保持极高的捕获分析效率和监测告警命中能力。

2.3系统与嵌入式集成

3.应用效果

在该物流配送中心高架库进行了无线网络安全监测系统建设试点后，形成了配套的物流AQV小车通讯行为基础库。工业无线网络安全监测系统基于嵌入式和LINUX系统开发设计，最终实现的软硬件一体化设备只有手掌大小，4台设备组合工作可以实现近万平米的高架库车间无线网络信号的监听分析，便于各类工业无线网络生产环境的实施部署，集成化程度高，设备实现了即插即用、无特殊维护。通过内核程序调用脚本实现了单块无线网卡对全频道WIFI信号的实时扫频及数据捕获，捕获的WIFI数据包格式化后进入高速内存数据库进行分析研判，并将现场告警实时发出。通过无线网络安全监测系统的建设，对近万平米物流配送中心的无线网络进行了持续有效的监测预警管理，解决了物流配送中心对于无线数据通讯的监控手段的缺失，具备了及时发现和定位各类工业无线生产网络通讯异常事件的能力。

4.结语

通过嵌入式设备自主设计实现的物流配送中心工业无线网络安全监测系统，设备小巧性能稳定，填补了行业内工业无线网络监测领域的技术空白，未来在行业中具有极强的推广应用示范价值。未来工业无线网络技术在工业4.0发展战略中必然会占据更大应用份额，对于工业网络生产环境的通讯数据采集分析和安全研究十分必要，希望通过笔者的技术研究为行业探索该技术领域的提供有益实践。