(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111359067.0 (22)申请日 2021.11.16 (71)申请人 烟台海颐软件股份有限公司 地址 264006 山东省烟台市开发区珠 江路 32号 （III-5小区） (72)发明人 卢汉良　郇长武　陈本权　李锐　 于洋　王超　曲玉洁　 (74)专利代理 机构 烟台上禾知识产权代理事务 所(普通合伙) 37234 代理人 赵加鑫 (51)Int.Cl. H04L 41/12(2022.01) H04L 41/14(2022.01) H04L 9/40(2022.01) (54)发明名称 一种网络拓扑算法、 工控安全仿真方法及系 统 (57)摘要 本发明公开了一种网络拓扑算法， 判断父节 点模型属性， 获取预生成位置的集合， 遍历剩余 位置， 判断扩展方向， 在预生成位置创建新的模 型， 建立父子节点模型关系； 判断网络拓扑的大 小是否合适， 若不合适则调整网络拓扑大小； 判 断网络拓 扑的位置是否合适， 若不合适则调整网 络拓扑位置； 创建连线， 将拥有相同父节点的节 点模型连接。 本发明面向离散制造企业， 自定义 生成网络拓扑， 仿真离散制造企业现场网络环 境， 并可于网络拓扑上配置安全规则及报文， 模 拟工控现场安全 策略及威胁事件的发生， 通过安 全检测过滤， 展示告警信息， 为企业制定合理的 安全策略及工控安全产品提供依据。 本发明还公 开了一种工控安全仿真方法及系统。 权利要求书2页 说明书6页 附图3页 CN 114095375 A 2022.02.25 CN 114095375 A 1.一种网络 拓扑算法， 其特 征在于， 包括以下步骤： 步骤S11.判断父节点模型属性， 即所述父节点模型的IP、 所在位置、 类型， 所述位置包 括行号、 列号； 步骤S12.获取预生成位置的集合， 将父节点模型下方与它类型不同的其它节点模型与 所述父节点模型列号求差值， 根据差值获得左右 边界， 汇总两个边界间全部列号， 删除已使 用过的列号， 剩余列号即预生成位置集 合； 步骤S13.遍历剩余位置， 判断当前预生成位置所在列是否已存在节点模型， 若已存在 节点模型， 则判定 当前预生 成位置妨碍现有节点模 型， 则执行步骤S14,反之， 则判定不妨碍 现有节点模型， 执 行步骤S15； 步骤S14.判断扩展方向， 当前位置符合扩展方向， 则当前位置即预生成位置； 当前位置 不符合扩展方向， 则放弃当前位置， 继续遍历剩余位置； 当不存在空位时， 边界即预生成位 置， 同时向外侧移动被妨碍节点模型； 步骤S15.在预生成位置创建新的模型， 建立父子节点模型关系； 步骤S16.判断网络 拓扑的大小是否合 适， 若不合适则调整网络 拓扑大小； 步骤S17.判断网络 拓扑的位置是否合 适， 若不合适则调整网络 拓扑位置； 步骤S18.创建连线， 将拥有相同父节点的节点模型 连接。 2.根据权利要求1所述的一种网络 拓扑算法， 其特 征在于， 所述 求差值的方法为： 所述差值小于0的节点模型中， 差值最大的节点模型距离父节点模型最近， 其列号即为 左边界； 所述差值大于0的节点模型中， 差值最小的节点模型距离父节点模型最近， 其列号即为 右边界。 3.一种工控安全仿真方法， 其中利用权项1 ‑2之一所述的网络拓扑算法来生成仿真所 需的网络 拓扑结构， 其特 征在于， 包括以下步骤： 步骤S1.选择仿真模型库中的模型， 利用网络 拓扑生成算法进行网络 拓扑搭建； 步骤S2对网络拓扑中的模型参数进行配置， 所述模型参数包括模型IP地址、 单元标识 符； 步骤S3.根据网络 拓扑结构及参数生成路由规则； 步骤S4.对网络 拓扑中的下位机模型进行协议配置； 步骤S5.根据配置的协议， 进行工业报文发送配置； 步骤S6.设置 仿真模型规则； 步骤S7.启动网络通讯， 发送报文； 步骤S8.进行安全检测， 告警信息展示。 4.根据权利要求3所述的一种工控安全仿真方法， 其特征在于， 所述步骤3中路由规则 包括汇总路径池、 生成路由表； 所述汇总路径池， 路径池是网络拓扑中相邻两个IP的集合， 在网络拓扑中的模型参数修改后， 会更新路径池； 生成路由表步骤包括： 循环遍历节点模型 IP， 首先确定一对开始IP和结束IP， 然后递归遍历路径池， 以开始IP为起点， 查找相邻IP， 搜 索网络拓扑中的各个路径， 并记录查找过程中搜索过的路径， 直至找到结束IP； 若搜索的终 点不是结束IP， 则退回前一路径。 5.一种工控安全仿真系统， 其特征在于， 所述系统包括仿真模型库模块、 网络拓扑模权　利　要　求　书 1/2 页 2 CN 114095375 A 2块、 仿真模型发送配置模块、 仿真模型规则设置模块、 网络通讯模块、 仿真告警信息展示模 块； 所述仿真模型库模块用于集成系统所需的模型， 并用于为网络拓扑模块选取合适的模 型构建企业的网络 拓扑结构； 所述网络拓扑模块， 其使用所述仿真模型库模块中的模型， 利用网络拓扑生成算法来 生成仿真所需的网络拓扑结构； 并对网络拓扑中的模型参数进行配置； 根据网络拓扑结构 及参数生成路由规则； 所述仿真模型发送配置模块用于进行多种工业协议的配置， 并构造 工业报文； 所述仿真模型规则设置模块用于进行安全策略配置； 所述网络通讯模块用于实现系统的网络通讯， 并实现工业报文的流 转； 所述仿真告警信 息展示模块用于展示实时及历史告警信 息， 所述信 息包括但不限于时 间、 工业协议类型、 设备IP、 端口号、 告警类型、 告警描述、 工业报文。 6.根据权利要求5所述的一种工控安全仿真系统， 其特征在于， 所述仿真模型库模块包 括但不限于I nternet、 上位机、 下位机、 工业防火墙。 7.根据权利要求5所述的一种工控安全仿真系统， 其特征在于， 所述仿真模型发送配置 模块包括下位机支持协议配置和工业报文发送配置； 所述下位机支持协议配置， 用于多种工业协议的配置； 所述工业报文发送配置， 根据下位机支持协议配置中设置的支持协议类型， 构造工业 报文。 8.根据权利要求5所述的一种工控安全仿真系统， 其特征在于， 所述下位机支持协议配 置采用但不限于 ModbusTCP。 9.根据权利要求5所述的一种工控安全仿真系统， 其特征在于， 所述仿真模型规则设置 模块包括工业协议白名单规则配置、 ACL 规则配置； 所述工业协议 白名单规则配置， 将允许通过的工业协议数据包共有特征整合， 构建允 许通过的工业协议特 征； 所述ACL规则配置， 通过设置规则， 阻止非授权用户对重要资源的访问。权　利　要　求　书 2/2 页 3 CN 114095375 A 3