CN106227160B - 用于工业控制基础设施的主动响应安防系统 - Google Patents
用于工业控制基础设施的主动响应安防系统 Download PDFInfo
- Publication number
- CN106227160B CN106227160B CN201610389212.2A CN201610389212A CN106227160B CN 106227160 B CN106227160 B CN 106227160B CN 201610389212 A CN201610389212 A CN 201610389212A CN 106227160 B CN106227160 B CN 106227160B
- Authority
- CN
- China
- Prior art keywords
- security protection
- fingerprint
- security
- equipment
- mismatch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004044 response Effects 0.000 title claims abstract description 49
- 230000004224 protection Effects 0.000 claims abstract description 126
- 238000000034 method Methods 0.000 claims description 88
- 230000006870 function Effects 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 20
- 230000009471 action Effects 0.000 claims description 17
- 238000004891 communication Methods 0.000 claims description 17
- 238000007906 compression Methods 0.000 claims description 13
- 230000006835 compression Effects 0.000 claims description 12
- 238000012423 maintenance Methods 0.000 claims description 11
- 238000004519 manufacturing process Methods 0.000 claims description 11
- 230000007613 environmental effect Effects 0.000 claims description 10
- 230000014509 gene expression Effects 0.000 claims description 5
- 238000005286 illumination Methods 0.000 claims description 2
- 230000002085 persistent effect Effects 0.000 claims description 2
- 230000002829 reductive effect Effects 0.000 abstract description 5
- 230000008859 change Effects 0.000 description 47
- 238000013515 script Methods 0.000 description 17
- 239000004020 conductor Substances 0.000 description 12
- 238000011144 upstream manufacturing Methods 0.000 description 11
- 230000003068 static effect Effects 0.000 description 10
- 238000003860 storage Methods 0.000 description 9
- 230000000694 effects Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000013475 authorization Methods 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006378 damage Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000007774 longterm Effects 0.000 description 4
- 241001269238 Data Species 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000004069 differentiation Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006116 polymerization reaction Methods 0.000 description 2
- 238000005549 size reduction Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- RAQQRQCODVNJCK-JLHYYAGUSA-N N-[(4-amino-2-methylpyrimidin-5-yl)methyl]-N-[(E)-5-hydroxy-3-(2-hydroxyethyldisulfanyl)pent-2-en-2-yl]formamide Chemical compound C\C(N(Cc1cnc(C)nc1N)C=O)=C(\CCO)SSCCO RAQQRQCODVNJCK-JLHYYAGUSA-N 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 231100000749 chronicity Toxicity 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001351 cycling effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000011038 discontinuous diafiltration by volume reduction Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000036299 sexual function Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
- 238000003466 welding Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25205—Encrypt communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/34—Director, elements to supervisory
- G05B2219/34465—Safety, control of correct operation, abnormal states
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/80—Management or planning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种防恶意攻击的工业控制器,其可以提供升级响应,该升级响应采用控制系统的元件来减少对控制系统、日志数据的访问并且基于任何检测到的安防问题的严重度的动态演变评估来通告侵扰。
Description
技术领域
本发明涉及控制工厂自动化和/或工业过程的工业控制器,并且具体地涉及为工业控制系统提供增强安防以防止恶意行为的系统。
背景技术
在传统上,一直由用于保护工厂等的物理装备的相同保护措施来保护工业控制系统免受篡改或恶意活动,也就是说,限制对工业控制器及其相关联的装备的物理访问。
采用分布式处理以及网络和互联网连接的现代工业控制系统很容易受到攻击。尽管这样的系统在物理上可能是安全的,但是必须为分布式系统中建立多个安防点,并且与互联网的网络连接会使物理安防无关。近期证据是富有经验且资金雄厚的外国国家或组织充分利用通过互联网对工业控制系统的访问。在一个示例中,美国工业控制系统网络应急响应小组(ICS-CERT)提供了关于对用于管理和控制工业装备的可编程逻辑控制器的人机接口(HMI)进行攻击的恶意软件(Black Energy)的警告。存在基于互联网直接成功攻击工业控制系统的传闻证据。
不同于对标准计算机装备和服务器的攻击,对工业控制系统的攻击可以想象到会产生对实物财产的损害和对人类生命的危害。
发明内容
本发明提供了一种工业控制系统,该工业控制系统可以评估潜在恶意攻击的严重度并且可以基于所评估的严重度来采取缓解动作,这包括例如使用控制系统的设备来减少对控制系统的访问以牵制(contain)损坏数据和日志数据。
具体地,在一个实施方式中,本发明提供了一种用于工业控制系统的安防控制器,该安防控制器具有:网络端口,其用于与工业控制系统的其他控制设备通信的;至少一个处理器,其与网络端口通信;电子存储器系统,其能够由处理器访问并且保存安防程序。安防程序执行从工业控制系统的至少一个其他给定控制设备接收安防指纹,该安防指纹提供给定控制设备的当前状态的加密压缩表示。针对所存储的基准指纹来分析安防指纹,所述基准指纹表示当给定控制设备正常操作时给定控制设备的安防指纹。当安防指纹与基准指纹不匹配时,安防程序评估所述失配以产生具有多值范围的严重度评估,并且基于严重度评估使用多值范围来实现从多个安防响应动作中选择的安防响应动作以响应失配。
因此,本发明的至少一个实施方式的特征是提供一种安防强化工业控制系统,其可以根据威胁的严重度来提供对安防威胁的升级响应。
工业控制系统的其他控制设备可以提供电子存储器,该电子存储器保存:操作软件,该操作软件描述控制设备的操作并且能够由处理器执行;配置数据,该配置数据限定控制设备的配置;以及环境数据,该环境数据限定控制设备的操作环境,其中,操作软件、配置数据以及环境数据一起限定控制设备状态,并且安防指纹可以是控制状态的至少一部分的压缩表示。
因此,本发明的至少一个实施方式的特征是提供一种通过基于机器的规则的对易受自动评估影响的可能的安防问题的全面指示。
电子存储器可以包括多个存储器子系统,所述存储器子系统包括易失性存储器、非易失性存储器以及寄存器值中的任一个或更多个。
因此,本发明的至少一个实施方式的特征是提供对从各种不同类型的存储器收集的控制设备状态的广泛评估。
安防指纹可以提供各自独立地受压缩的独立字段,并且可以逐字段地分析安防指纹以精确定位其中发生失配的字段,并且其中,严重度评估是根据其中发生失配的一个或更多个字段的精确定位来确定的。
因此,本发明的至少一个实施方式的特征是提供获得对可能的安防问题的详细理解同时使用高度压缩的状态信息来保存快速响应的能力。
安防程序可以执行安防响应以从给定控制设备请求附加信息,以隔离失配的起因。
因此,本发明的至少一个实施方式的特征是提供在安防响应方面的灵活性以在适当情况下获得附加信息。
附加信息可以是新的安防指纹,所述新的安防指纹提供给定控制设备的当前状态的一部分的不同子部分的独立压缩表示。
因此,本发明的至少一个实施方式的特征是使得能够将安防指纹定制为所需数据并且由此适合于特定的评估威胁。
附加信息可以是没有压缩的子部分的状态数据。
因此,本发明的至少一个实施方式的特征是使得能够在升级过程中在控制设备与安防程序之间传送原始数据。
失配的评估可以将失配与预定的权重值相链接,并且严重度评估可以是给定控制设备的权重值和同样经历失配的另一控制设备的至少一个权重值的函数。
因此,本发明的至少一个实施方式的特征是使得能够在整个分布式控制系统的背景下评估可能的安防威胁。
安防响应动作可以提供与个体名单中的给定个体的通信,在该个体名单中,个体被选择为严重度评估的函数。
因此,本发明的至少一个实施方式的特征是将安防问题快速且自动升级给适当的个体。
安防程序可以从分层列表中的个体接收电子通信,并且,根据是否响应于与列表中的给定个体进行通信的安防响应动作而接收到这样的通信,可以随时间修改严重度评估。
因此,本发明的至少一个实施方式的特征是提供一种自动系统,该自动系统响应于指定个体的参与的确认。
安防程序可以提供用于建立从其接收到通信的个体的真实性的认证协议。
因此,本发明的至少一个实施方式的特征是防止未经认证的个体干涉安防系统确认过程。
给定控制设备可以提供输出,所述输出可连接至工业设备以控制工业设备,并且安防响应动作可以是对给定控制设备的指令,以根据与给定控制设备相关联的输出的预定安全状态集合来设置给定控制设备的输出。
因此,本发明的至少一个实施方式的特征是使得能够由控制系统自动响应以缓解安防漏洞。
安全状态可以在工业控制系统的控制设备之间进行协调。
因此,本发明的至少一个实施方式的特征是通过协调控制系统的解协调来防止采用单个设备的安防状态使安防问题加剧。
产生安防评估的步骤可以重复,并且严重度评估可以是失配随时间的持久性的函数。
因此,本发明的至少一个实施方式的特征是提供一种可以与改变情况一起演变的动态安防评估。
安防响应动作可以包括:向工业过程提供输出以限制个体对工业控制系统的访问,该输出选自:锁定访问控制设备、禁用软件更新、以及控制工业控制的区域照明。访问控制设备可以包括例如光幕、压力垫以及阻断闸或门。
因此,本发明的至少一个实施方式的特征是将预先存在的控制设备用于控制系统的防御。
安防响应动作可以指示控制设备来使用控制设备的人机接口元件来提供本地警报,该本地警报选自例如点亮的信标、面板灯以及声音生成装备。
因此,本发明的至少一个实施方式的特征是利用控制系统的分布式硬件来向可能的安防漏洞的区域中的个体提供本地警报系统。
安防响应动作包括:指示控制设备开始来自工业控制过程中所用传感器的传感器数据的安防数据记录。
因此,本发明的至少一个实施方式的特征是将控制系统硬件用于取证数据的收集。
安防程序可以实现系统模式值,该系统模式值指示工业控制系统的操作模式,该操作模式包括配置、维护和运行时间的状态,并且,针对与配置和维护的状态相关的失配,可以相对于运行时间减小严重度评估。
可替代地或另外地,安防程序可以包括工业控制系统的维护的日历,该日历识别控制设备和维护时间,并且其中,针对与给定控制设备的定期维护相关的失配,根据日历来修改严重度评估。
因此,本发明的至少一个实施方式的特征是使在程序配置期间的误报警报最小化。
这些特定的目的和优点可以仅应用于在所述权利要求范围内的一些实施方式,从而并未限定本发明的范围。
附图说明
图1是简化的工业控制系统,示出了多个控制器、分布式控制模块、与互联网的连接、以及适于与本发明一起使用的监督系统;
图2是示出各种功能部件的示例性控制设备的功能图,各种功能部件的数据可以被并入到指纹中,所述指纹显示这些组件的安防状态;
图3是在管理由控制设备生成的安防签名中所使用的安防设备和安防模板的功能图;
图4是描绘从各种设备文件填充图3的安防模板的步骤的流程图;
图5是由图3的控制器执行的配置工具或在构成本发明的安防系统中的其他安防设备和安防处理程序的操作的流程图;
图6是在执行响应脚本时的配置之后由安防处理程序执行的步骤的流程图;
图7是用于对所检测到的错误的显著性进行分析的显著性矩阵的逻辑表示;
图8是通知树的逻辑表示,通知树根据显著性级别和来自所通知个体的响应来提供不同通知;
图9是类似于图2的示出动态指纹的发展的图。
图10是图1的工业控制系统的层次结构的逻辑表示,其示出了通过层次结构向上传递背景信息以用于动态指纹数据的处理;
图11是用于将本地变量名称转换为模板变量名称的转换表;
图12是用于分析动态指纹的监督机器学习系统的训练的流程图;
图13是授权协议的流程图,该授权协议用于防止控制硬件的未经授权的改变;以及
图14是安防状态的全局显示的简化描述。
具体实施方式
示例性控制系统
现在参照图1,适合本发明应用的工业控制系统10可以提供一个或更多个控制器12a、12b,所述一个或更多个控制器12a、12b被操作成执行控制程序以如在本领域中通常理解的那样对工业过程14进行控制。该工业过程例如可以协调在装配线等上的一组机器;或者与工厂加工材料的致动器和传感器进行交互以控制该过程;或者进行其他类似的控制应用。
工业控制器12可以在下游与一个或更多个控制设备16a至16c进行通信,其中,一个或更多个控制设备16a至16c向工业过程14提供了直接接口。这样的控制设备16可以通过非限制性示例的方式包括一个或更多个I/O模块16a,所述一个或更多个I/O模块16a提供与工业过程14交互的输入和输出线18,从而使得能够与传感器20和致动器22进行通信。其他示例性控制设备16可以是:电机控制器16b,其对施加于电动机23的电力进行控制;或者电机驱动器16c,其例如通过合成电力波形来向电机23提供更精密的电机控制。
工业控制器12可以借助于工业控制网络24诸如由美国密歇根州的标准组织ODVA管理的通用工业协议(CIPTM)、以太网/IPTM和DeviceNetTM、CompoNetTM以及ControlNetTM与控制设备16进行通信。这样的网络提供用于数据的实时高可靠性传送,并且可以提供例如通过对通信资源诸如网络带宽、网络缓冲区等进行预调度来保证及时递送的特征。
工业控制器12也可以在上游通过数据网络26(其可以是但不一定是工业控制网络)经由一个或更多个路由器或开关28来与中央计算机系统30进行通信。这后一种监督型计算机系统30可以进一步经由互联网32与远程设备34诸如计算机终端、移动无线设备等进行通信。可替代地,可以存在工业控制器12与互联网32之间的直接连接。
如本领域中通常理解的,控制设备16、工业控制器12、开关28、计算机系统30和远程设备34中的每一个可以提供一个或更多个电子处理器和相关联的电子存储器,该电子存储器保存由处理器可执行的程序,下面对其中的一些进行描述。
现在参照图1和图2,代表性控制设备16提供I/O导体36,例如与传感器20、致动器22、电机23等进行通信的导线。这些I/O导体36可以经由一个或更多个端子或连接器系统38例如螺丝端子而可释放地连接至控制设备16。连接器系统38又可以与连接管理电路40进行通信,该连接管理电路40能够例如通过以下方式来检测例如附接至连接器系统38的导体36的存在或不存在:监视电流回路或通过监视所施加的电压等、或导线断开、或通过监视的“停机(stuck at)”故障、以及经过预定的时间段或者在测试信号的应用期间信号状态不发生改变。
来自导体36的信号穿过连接器系统38和连接管理电路40并被获取并被存储在I/O表42中,该I/O表42是由易失性和非易失性存储器构成的机载计算机存储器45的一部分。从控制设备16输出的信号在传送到导体36上之前也可以被存储在I/O表42中。
在控制设备16内的处理器44可以执行如通过例如作为在非易失性存储器中所保存的固件的操作系统48介导(mediated)的例如在易失性存储器中所保存的控制程序46。控制程序46可以处理从导体36接收到的如存储在I/O表42中的输入。这些输入可以经由网络接口54被传送到工业控制器12,从而使得在通信网络24上的通信能够用于由在工业控制器12中所保存的控制程序进行处理。控制程序46和操作系统48可以被实施为固件或软件或者二者的组合。
相反,控制设备16的控制程序46还可以执行以:通过网络接口54接收来自工业控制器12的输出以生成输出值,该输出值被写入I/O表42并且最终经过导体36被输出。控制程序46还可以或可替选地执行一些控制逻辑,以根据所接收的输入来生成其自己的输出。
在本发明的一个实施方式中,控制设备16还在存储器45中保存了安防程序58,该安防程序58提供用于根据指纹表62和防御脚本64来生成“指纹”,所述指纹表62和防御脚本64这二者将在下文进一步讨论。
静态签名
控制设备16可以采用能够反映控制设备的状态、配置以及其程序的真实性的各种数据结构。
控制程序46和操作系统48可以包括信息诸如修订号和数字签名49,例如,操作系统48使用公钥或使得能够确定相关固件或软件来自受信任源或有效源的类似技术如非对称加密和加密安全散列函数。
一般地,修订号不一定是单个修订号,而是可以包括聚合的修订号集合,其表示例如与软件的部件不同或与附属软件不同或与连续修订的链不同的一组不同修订号。还可以如将在下面讨论的那样将修订号与所述设备的固件或硬件相关联。
此外,可以如将在下面描述的那样将控制程序46和操作系统48的整个数据集合推敲为或以其他方式分类(digested)为缩减尺寸的子指纹。此整理过程与压缩完全不同之处在于:压缩预期了解压缩或恢复步骤,但是如本文中所使用的,利用此区别理解将该分类过程通常称为分类和/或压缩。
(在易失性或非易失性存储器45中实现的和/或作为物理开关位置实现的)硬件配置寄存器50可以保存用于控制所述控制设备16的操作的设置,并且还可以提供与控制设备16有关的制造数据,其中制造数据包括例如序列号、模块功能类型、制造商名称、制造日期等。此外,硬件配置寄存器可以提供只读存储器,该只读存储器包括由生产商嵌入的用于指示硬件的真实性的加密认证码。硬件配置寄存器还可以为来自由操作系统48执行的一个或更多个诊断程序的输出数据提供存储位置,其中诊断程序例如是用于指示存储器故障或其他故障、指令执行速度、存储器容量或校验结果的诊断程序。在一个实施方式中,诊断程序输出CPU使用率、空闲存储器和堆栈深度。诊断程序还可以监视网络通信,这包括经过预定间隔的端口流量和/或平均端口流量的改变,诸如可以指示对服务型攻击的拒绝。
在存储器45中还保存的事务日志52可以记录会影响控制设备16的某些活动,例如新的控制程序46和/或操作系统48的上传行为或者在硬件寄存器50中所存储的开关设置的改变,并且事务日志52可以记录这些活动和这些活动在改变的源(例如包括对经授权个体的识别)中发生的时间。
仍参照图2,在控制设备16的操作期间,在安防程序58的控制下,数字操作指纹70可以被定期生成并传送至安防设备31例如工业控制器12或计算机系统30中之一。该操作指纹70理想地捕获以上所描述的数据结构的一部分,所述一部分可以用于确定它们是否以某种方式被篡改或被损坏。为了获得最大的灵活性,数字操作指纹70的内容可以根据指纹表62进行变化,该指纹表62提供各自与不同数字指纹70相关联的各种传送模式72,所述不同数字指纹70具有不同的信息量并且由此表示控制设备16的状态数据的缩减尺寸的不同程度。正因如此,这些不同的数字操作指纹70提供指纹细节与计算和传送负担之间的权衡。
一般地,针对指纹表62的每个模式72的操作指纹70指定一组特定的指纹源数据74,例如控制程序46、固件操作系统48、配置寄存器50、以及在控制设备16的各种部件中所保存的环境数据,所述环境数据包括连接管理电路40的导线连接状态、其在工厂环境中地址和/或位置(例如其被保存在通信模块或存储器模块中)、来自所分布的内部传感器的操作温度等。在一种示例性模式72中,例如使用循环冗余码或散列压缩将来自每个源的整个数据设置减小为分类,并且对这些压缩指示进行组合以生成一个或更多个数字操作指纹70。压缩过程可以是无损耗或有损耗的,但无需重建所分类的数据。
该数字操作指纹70然后被传送至远程安防监视设备,其中,将数字操作指纹70与所存储的对应指纹进行比较以根据其中控制设备16的源数据74还未被修改或篡改的汇集方案建立在合理概率内。
在不同的模式72下,可以减少在指纹表62中提供的数据量减少的量,或者对源数据74中的每一个源数据进行独立压缩,使得对操作指纹70的分析可以显示已改变或已损坏的特定源数据74。因此,例如,可以将控制程序46和操作系统48中的每一者独立压缩成子指纹78。在子指纹78与其在安防设备31处的相应副本之间的比较中的失配使得能够确定控制程序46和操作系统48的结构中的哪些结构已经改变为仅与这两种方案中的一个方案的改变相反。将在下面针对确定指纹的任何失配的显著性来说明这一点的显著性。类似地,连接管理电路40和硬件寄存器50的脱线信息可以未经压缩(例如作为未压缩的子指纹78)而被传送,因此任何检测到的子指纹78的改变立即指示哪些导线已断开或哪些硬件值发生改变。
操作指纹70还可以包括数字签名82,使得能够在已经从控制设备16传送操作指纹70之后检测该操作指纹70的篡改。在这方面,操作指纹70可以包括时间戳79、顺序值或随机生成值83,该顺序值或随机生成值83可以在接收安防设备31处同步地发展(例如,通过时钟或类似的算法),使得操作指纹70可以不被截取和替代,以使安防设备31相信已发送了操作指纹70或已发送了不同的操作指纹70。在操作指纹70中所编码的时间戳79和顺序值或随机生成值83可以防止在所截取的操作指纹70中的值的准备替代。操作指纹70还可以包括设备标识号71,该设备标识号71使得特定的控制设备16能够获知要明确确定的指纹。
已经仅关于控制设备16描述了操作指纹70,但是应当理解的是,控制系统10的每一个设备可以发展这些指纹,所述这些指纹可以被向上传递至安防设备31。因此,控制器12还可以在安防设备31为计算机系统30时生成指纹。指纹70的准确内容和压缩将是设备特定(device-specific)的。
现在参照图3,用于对操作指纹70的分析进行管理的安防设备31通常将包括网络接口卡84,该网络接口卡84与网络24进行通信以定期地(例如,如从控制设备16推送的或响应于来自安防设备31的轮询)接收操作指纹70。在一个实施方式中,定期地(例如从来自控制设备16的最后传送消息开始进行定时)完成来自安防设备31的轮询。以此方式,当在预定时间之后尚未执行轮询时,控制设备16还根据必要来评估系统的健康或安防。可以通过采用其中使用认证证书的公钥加密等来完成轮询,以防止该轮询过程的欺骗。
通常,安防设备31还包括:处理器系统86;存储器88,其保存安防处理程序90,如将要描述的那样;以及用于安防分析的填充后的安防表92。
填充后的安防表92可以为如由输入字段94指示的每个控制设备16提供条目。填充后的安防表92还可以为每个签名模式72提供指纹数据98,该指纹数据98包括针对该签名模式72所存储的指纹100、之前的有效指纹108、以及指纹图110。在安防表92或相关联的数据结构中可以存储有时间戳值102,用以指示来自给定控制设备16的有效操作指纹70的最新副本的接收时间,并且可以提供通知树104,该通知树104提供与安防问题的通知有关的联系信息,这将在下面进行讨论。
指纹图110通常可以通过源数据74的功能112(例如:操作系统48、控制程序46、硬件寄存器50)来确定每个子指纹78,并且指纹图110将给出权重114,该权重114指示所存储的指纹100与所接收的指纹70或子指纹78之间的可能失配的显著性。指纹图110还可以提供响应脚本118,该响应脚本118指示对所检测到的在操作指纹70与所存储的指纹100之间的失配的可能响应。明显地,子指纹78的数目将根据特定模式72进行变化,并且因此指纹图110的数目也将根据特定模式72进行变化。
现在参照图4,可以通过从许多标准安防模板120中进行选择来快速生成填充后的安防表92的信息,其中,标准安防模板120通常是针对不同的通用类型的控制系统10来定义的。例如,给定包装线(packaging line)——其提供用于相对标准的控制设备16——可以提供标准化的模板120。
每个模板120可以提供用于工业控制系统10的每个部件的通用程序121,该通用程序121包括:通用控制程序123,其用于一个或更多个控制器12;通用设备程序125;以及安防程序131,其用于一个或更多个相关联的控制设备16。通用程序121将使用通用名称来定义通用I/O点,该通用I/O点允许与工业过程14的传感器或致动器之间的电连通。如下面将要讨论的,这些通用I/O点可以由用户进行修改,以将通用I/O点链接到在所配置的工业控制系统中的实际物理I/O。此后,可以将经修改的通用控制程序123和经修改的设备程序125加载到相关联的物理部件中,以提供一种快速配置的安防系统。
标准化模板120也可以与安防监视程序129相关联,其中可以将安防监视程序129上传到(图1所示的)监视计算机系统30中从而使安防监视程序129与安防程序131进行通信以协调安防过程。
一旦选择了标准化模板120,则填充模板的生成可以在控制系统10的调试期间通过例如在计算机系统30或控制器12上所执行的模板制作程序126来执行,如由过程块130所指示的那样。每个标准化模板120将具有基于采用的基础过程的预填充要素,并且还需要用于特定工业过程14的附加信息。例如,预填充要素中的一些可以识别由模板120假定的类型的控制系统10所需的一般功能块。用户然后可以在表示特定控制设备16的特定设备文件124中选择例如给定型号的电机控制器,该电机控制器符合标准化模板120的功能块要求(例如通用电机控制器),但是提供关于特定设备的细节。通过过程块132来指示:将设备文件124并入到标准化模板120中。在一些实施方式中,特定设备文件124可以将他们自己的版本或修改或补丁提供给通用设备程序125或安防程序131。通常,硬件制造商可以提供必要的设备文件124。
标准化模板120还将包括如上所述的可以由安防监视程序129使用的安防表92的元素。可以在所提供的框架内由用户手动添加或编辑数据来补充安防表92的通用要素例如以创建通知树104,该通知树104指示在指纹失配的情况下将会通知人。一些预填充要素例如权重114——其归因于特定控制设备16或子指纹78——可以被修改或者可以从标准化模板120中采用默认值。由过程块134来指示这些编辑的改变。
参照图4和图11,如预先建立的安防模板120的上述次序所述的,以提供不仅与安防模板120的通用过程一起工作而且还与实际的控制过程一起工作的规则,向每个过程块134填充模板值的过程可以采用模板转换表208,该模板转换表208将通用控制设备的标准化模板设备名称220链接到工业控制系统10的实际控制装置16的实际设备名称218。可以在对由相应功能217引导的每个过程块136进行调试时执行该链接,其中相应功能217描述了与标准化设备名称220相关联的通用控制设备的功能。然后可以将如下所述的内置于与安防模板120相关联的预定义规则中的标准化模板设备名称220映射到实际设备名称218,使得安防模板120的预定义安防角色可以适于特定应用的设备,而不需要针对每个不同的应用开发规则。
此外,在过程块136处,可以例如通过在给定控制程序46中所使用的特定标记名称来识别由各种输入或输出变量实现的特定通用功能,使得安防设备31可以解释由特定导体36(导体36应当从连接器系统38断开)实现的功能,使得用户生成报告可以指示不仅仅任意导线编号丢失的功能。标准化安防模板120允许在许多设备和许多用户中利用:给定类型的控制系统的详细易损性分析的益处、可能识别故障、这些故障的显著性、以及对由失配指纹70指示的这些故障的响应。当在过程块137处完全填充标准化模板120时,可以将标准化模板120上传到激活的安防设备31和安防处理程序90。
现在参照图5,在工业控制系统10被投入使用之前,如由过程块140所指示的,可以对控制系统10进行配置,在此期间可以由网络24互连各种部件并且将必要的控制程序46加载到控制设备16和硬件寄存器值50以及在所安装的加载填充安防表92中初始化的其他部件中。
在过程块142处,可以创建公钥或类似的安防密钥诸如非对称加密并且将其分发给工业控制系统10的部件(例如控制设备16、控制器12等),以允许在上述关于指纹70的交换数据中附接数字签名。在过程块144处,将系统10的每个部件的所存储指纹100加载到为安防设备31生成的填充设备模板120。
在控制系统10的一般操作期间,如由过程块146所示的那样,从控制设备16向安防设备31请求指纹70或者由控制设备16将指纹70推送到安防设备31,其中,如判定块148所示的那样在适当模式72下将指纹70与所存储的指纹100进行比较。该比较是根据接收到操作指纹70的特定控制设备16。如果操作指纹70与所存储的指纹100相匹配,则在过程块150所示的延迟之后,重复该过程,使得可以近实时地确定控制设备16的任何潜在的篡改或故障。在所接收的指纹70与在填充安防表92中所存储的对应指纹100不匹配的情况下,则在判定块148处安防处理程序90前进至过程块154,并且可以实现来自响应脚本118中的多个不同响应中的一个响应。该检测可以是实时的,或者可以定期或随机调度地发生。
可以预期的是,还可以将所存储的指纹100与其他存储值如在第二存储位置中所保存的例如在较早时间的存储值定期地比较,以检测所存储的指纹100的可能篡改。也就是说,可以执行安防指纹100的历史的跟踪,并且在此跟踪时所检测到的任何失配也可以根据过程块154调用响应。
现在参照图6,在判定块148失配的情况下,安防处理程序90通常将实施可存储在填充安防表92中的响应脚本118。该响应脚本118可以执行许多不同的任务,任务包括:根据过程块156生成通知报告、根据过程块158执行额外数据采集、在过程块160处评估失配的显著性、以及在过程块162处采取缓解或防御动作。每个具体步骤是可选的,并且通过特定的响应脚本118来确定是否执行每个具体步骤。每个过程块156至162可以在循环中被重复,使得响应和分析不断地与系统中的附加信息以及其他可能改变一起演变。
过程块156的报告可以根据过程块164在图3的通知树104中向个体或群体提供通知。暂时参照图8,在一个实施方式中,通知树104可以提供均与失配的显著性级别166相关联的多个条目。将每个显著性级别链接到确认级别169和联系信息175。确认级别169可以指示联系个体是否已确认收到了该联系。一般地,联系信息175可以是网络地址、人机接口、以及电子邮件地址、移动设备联系号码、或者通信向个体或群体和/或其他设备传送问题的各种不同方法中的任一种方法,其中所述其他设备包括控制器12或工厂指标器诸如灯及信标。
向个体的通知可以是例如经由电子邮件或用作网页,并且可以提供例如(图14所示的)图形显示,该图形显示针对例如指纹70的误差、错误的严重度、错误的定时或顺序、以及缓解动作通过颜色指示工业控制系统10的每个功能设备300及其状态。还可以将该信息局部地显示在人机接口等上,以提供在受控装备附近的系统安防的直接快照。
对于第一失配,在过程块156至162的循环的第一次迭代处,在过程块160处,因为尚未确定显著性,所以显著性级别166将为零。该低显著性级别的背景可以限于负责日常维护等的个体或者简单地限于日志文件。例如,指纹或子指纹的较小失配可以仅报告到负责维护系统的技术人员并且可以被指示为低优先级,而较显著的失配可以向快速响应和监督者提供具有紧急指示的报告。随着附加的失配发生并且循环被多次执行,显著性级别166可以上升,并且用于识别要联系的个体的特定联系信息175将根据失配的显著性进行改变,并且一个或更多个参与者已经响应或确认是否收到了通知。在一个响应脚本118中,如果在给定时间段内没有参与者确认收到了该通知,则显著性级别166将上升,使得根据如在下面将讨论的潜在问题的严重度,可以增加附加的联系或者可以通知不同的人。
过程块156的报告还可以提供系统警报更新,该系统警报更新是可以由其他安防设备31读取以使得能够协调用力的全局可用系统安防值。由过程块167所示的该系统警报更新可以提供与失配有关的信息,所述信息包括失配部件、显著性级别166和正在采取的可能附加步骤的任何详细信息。如下面将要讨论的,针对设置特定失配的显著性级别166,还可以考虑来自其他安防设备31的或由其他控制设备16在不同的反应脚本118中所生成的系统警报状态。通过了解多个不同的失配,可以确定局部失配的显著性的更细致的视角。
在数据收集过程块158中,可以针对通常由显著性级别166驱动而且还通过失配的类型驱动的失配签名来收集附加数据。如由过程块168所示的,可以基于粗糙操作指纹70的识别来获得最显著性的较细粒度的操作指纹70(例如,更多的子指纹78)。因此,例如,如果操作指纹70具有非常低的粒度,则过程块168的细粒度数据收集将提供划分更细的子指纹78,使得可以更好地将特定失配的位置确定为例如特定的数据结构或设备,其中粒度指示仅数据结构的集合组的数据的失配。由指纹提供的细节的这种升级允许灵活设置与特定问题有关的知识与传送指纹所需的网络开销之间的权衡。
在数据采集过程块158的过程块170处,可以收集事务日志52以防止这些事务日志52的丢失或损害并且允许对事务日志52的分析使得可以指示错误的源(例如,在对系统做出改变的给定操作人员)。事务日志52还可以通知如将在下面所讨论的潜在缓解步骤,例如禁止某些人员改变控制设备16的软件。在过程块173处,可以读取系统显著性级别166以便获得经历签名失配的所有潜在控制设备16的理解(即在过程块167处上传系统警报)并且调整数据集合级别。
本发明设想到一些响应脚本将在“隐形”模式下进行操作,在该“隐形”模式下数据被收集并且可能被长时间存储在未证明警报或其他通知的活动中。该隐形模式满足在避免频繁误报和通知之间的权衡,同时确保仍然充分评估和处理长期趋势和较小偏差。还可以在由所讨论的响应脚本提供的类型的隐形模式下自动执行系统安防的微小改变,而无需必要的通知。
可以例如经过较长的时间段对在隐形模式期间所收集的数据单独地进行分析,仅仅因为异常检测的长期性或者因为可以根据长期数据收集所评估的附加信息,所以最终可以将长期的较低级别的警报升级到较高级别。例如,则可以聚合和报告或使用长期趋势或关联性(例如,与特定个体对装备的访问相关联的或在另一种模式下的安防问题)来触发较高级别响应。
在过程块160处确定对失配的显著性的评估,并且该评估允许使对指纹70的失配的任何响应适合于派生严重度。当失配的类型指示对控制系统10的操作的可能篡改或干扰时,通过向任意失配分配严重度级别,可以减少误报,同时快速升级响应,即使对于较小失配也如此。通常,显著性级别166将源自在过程块160处可能被研究的许多因素。例如,在过程块174处,可以使用失配的位置(例如,控制设备16的特定部件)来获得上述权重114,该权重114指示错误的抽象显著性。因此,例如,导线导体36的断开可以具有低权重,而控制程序46或操作系统48的实质性错误可以被赋予较高的权重,其中导线导体36提供来自冗余传感器的或向致动器提供对于工业控制系统10的操作不是关键的信息。
在过程块176处,可以分析系统状态的改变(例如,源自用于多个控制设备16的过程块167的系统提醒更新),以查看特定失配是否为贯穿控制系统10的失配的图案的一部分并且分析这些失配的任何趋势,使得由不断增加的失配构成的失配被赋予较大的权重。权重可以受失配的数目或表现出失配的不同结构的数目所影响。可以将对在不同的独立的控制设备16之间的失配的模式的分析并入到响应脚本中以识别特定的改变,所述特定的改变可能单独看起来为良性,但是一起暗示较多的显著性和较高的显著性级别166。
在过程块178处,例如使用冗余控制设备16或使用备份信息来对缓解选项进行评估以查看是否可以容易地缓解特定的失配,其中备份信息可以通过来自安防设备31的指令而被付诸实施。如果可以缓解失配,则可以分配较低的显著性级别166。
在过程块180处,针对例如在日历类型的应用中已向安防设备31预先登记的任何预定的改变,对当前指纹70与所存储的指纹100的失配进行比较。通常将与已预先登记的改变相关的失配的显著性级别分配给较低的显著性级别166。将在控制设备16处于配置或维护模式时发生的同样未预定的改变(如从控制设备16的控制面板中所设置的)可以被登记为与在运行时期间检测到相同的配置改变时相比没有那么严重。以此方式可以减少误报。
现在还参照图7,可以通过简单地将与每个失配相关联的指纹图110的权重114求和来实现用于评估当前指纹70与所存储的指纹100的失配的显著性级别166的过程块160。可替代地,可以通过一组规则来实现显著性级别166的计算,所述一组规则提供了权重和其他因素的较复杂的布尔组合(Boolean combination)。最一般地,可以开发显著性矩阵182以将多个条件184映射到特定的显著性级别166。因此,例如,可以将低显著性(例如为0)映射到条件,诸如仍然被指示为可信的或在预定的维护升级期间发生的失配控制程序46、或与以前的指纹108匹配的子指纹78。同样,被指示为低显著性功能的导线损耗可能也会得到较低的显著性级别166。可以建立用于指示例如通常为良性的改变或改变组合的白名单,例如硬件寄存器50的改变的预期模式可以被映射到低显著性级别166。在系统的低警报状态期间发生的改变可以被赋予低的显著性级别166。低警报状态可以起因于在不同的控制设备16处或在硬件上发生的未失配或低数目的失配或具有低显著性级别166的失配,所述失配是多余的并因此可以容易地缓解,或者当联系人已经利用其中高显著性不被保证或不应被重写的指示来确认失配的发生。此外,出于建立其他错误的重要性的目的,可以接收被确定为重要的特定输入或输出点或者严重故障的导致指示(或指示正确的操作)作为输入。
相反,由控制程序46或操作系统48引起的、同样失配之前的指纹108的、在未预定时间发生的、或者作为关键功能的由导线断开信号引起的失配可以被赋予高的显著性。正是因为可以建立白名单,所以被怀疑的、或暗示篡改而已预定的配置改变的黑名单可以产生高的显著性级别166。单独良性或低显著性的改变(但所述改变发生在其他高显著性级别166的环境中期间)或与其他类似的控制设备16的失配的预定模式相关联的改变也可以被提升到较高的显著性级别166。明显地其中没有可用的冗余硬件并且没有来自被联系的个体的响应的情况(其作为报告过程块156的部分)可以赋予较大的显著性。
暂时参照图13,控制设备16和控制器12中的每一个或任何一个可以在操作系统48的固件或软件中执行改变监督者190,该改变监督者190需要特定的步骤以便对工业控制器12或控制设备16进行修改。这些步骤可以在控制设备16自身上或被指定为网关的代理设备上被实现意用于这样的改变。在判定块192处,改变监督者190可以监视对经受指纹70(例如控制程序46、固件操作系统48和配置寄存器50)的部件中的任意者的改变的任何请求。当请求改变时,如由过程块194所示的那样,个体可以请求授权寻求进行改变。该授权可以是密码或多因素授权,例如请求口令信息和物理键等。在理想情况下,授权识别特定的责任个体。
在判定块196处,可以针对授权个体和/或个体间隙(individual clearance)的列表来比较所接收的授权。如果如由判定块196确定的那样授权级别不够,则如由过程块198所示的那样可以生成报告,并且如由过程块200所示的那样在事务日志52中记录该尝试。否则,如由过程块202所示的那样实现该改变,并且再次记录在过程块200的记录过程中记录该改变。
在过程块156处使用在过程块160处所确定的失配的显著性级别166的评估来生成报告,潜在地抑制了较小事项的报告的广泛传播,同时如已经讨论的那样使较高显著性级别166的事项的报告升级。由于循环通过过程块156至162,所以失配的显著性级别166也可以根据过程块162来驱动缓解动作。
现在参照图6,在所接收的指纹70与所存储的指纹100之间的失配的情况下执行缓解动作的过程块162可以修改改变监督者190作为由过程块204所示的一个潜在缓解动作。具体地,在失配的情况下,过程块204可以改变或增加特定操作所需的安防级别。例如,特别是在看起来可能发生大规模篡改的情况下,可以增加控制程序46或操作系统48的改变的安防级别。如在过程块170处收集的从与失配相关联的事务日志52所确定的特定个体可以将其授权撤销。在请求可在可控环境下发布的新密码的条件下,可以重置用于授权的密码值。
过程块162的缓解步骤还可以执行其他操作。如由过程块206所示的那样,可以锁定控制设备16的操作模式(例如,运行状态与编程状态)以防止执行等待程序改变。
一些类型的失配可以引起将指示从安防设备31发送至具有失配的控制设备16,其中,所述指令使控制设备16转变为安全状态并且一直保持。安全状态是可能安全的一组预定输入和输出值,即不会产生毁坏装备或用户的风险或者使风险最小化,并且使控制系统10的其他部件的故障传播最小化。安全状态可以是在上面讨论的标准安防模板120中预定义的。这样的安全状态可以是例如将装备等移动到安全位置并且可以禁用某些活动。
过程块162的缓解步骤的附加过程可以指示控制设备16运行以上所提到的防御脚本64,该防御脚本64支持各种传感器20和致动器22以用于防御目的。在一个示例中,防御脚本64可以使得与各种控制设备16相关联的相机被激活,以开始记录区域中的潜在可疑活动。通过控制设备16执行的照明控制可以被开启以显示侵入等。并且可以锁定由控制设备16控制的用于用户安全的通道闸(access gate)以防止访问装备或设备。
如由过程块209所示的,过程块162的缓解步骤方还可以指示冗余装备的激活,该冗余装备可以服务所危及的(compromised)控制设备16的功能。可替代地或另外地,缓解步骤可以指示控制设备16防止软件更新或者例如通过人机接口元件例如面板灯、信标、音频报警器等来向在控制设备16的区域中的操作员提供本地信号。
此外,过程块162的这些缓解活动中的每个活动可以由专门起草的一组规则来驱动或者更一般地通过以上关于过程块160所确定的显著性级别166来驱动。
动态数据
现在参照图9,上述说明涉及到获得基本上是“静态”的数据的签名(即,在正常操作期间缓慢改变或一点也没改变)或“准静态”(即,正在改变但具有基本上静态的状态表征)例如动态变量(不过其通常保持在预定范围内)。可以设想到,本发明可以扩展至例如如下“动态”数据:来自I/O表42的当前I/O数据,该当前I/O数据随控制设备16的操作而迅速改变;来自网络接口55的网络数据,该网络数据包计端口数、报文计数等以及实际接收的数据包;以及来自处理器44的处理器数据,例如处理器利用率百分比、处理器故障标志等。此外,该数据可以与时间戳79、数字签名80、设备标识号71和/或改变随机码83链接以提供在动态操作指纹70'的传送中的安防。
该动态操作指纹70'不易针对静态存储指纹来比较,但可以针对以下规则来比较,例如该规则建立其中操作指纹70'或基础数据应有所不同的值范围,或者可用于检测与正常模式的偏差和这些动态值的偏移的基础数据值之间的相关性。在此情况下,可以用较复杂的动态签名来替代以上所描述的所存储的指纹100,以提供如以上已经描述的所用到的失配的检测。现在参照图12,用于实施动态存储指纹100'的一种方法利用机器学习系统201等。如本领域中所理解的,可以将正常动态操作指纹70'的教学设置205与这些正常动态指纹70'或者用于执行假想篡改的方案的故意制造指纹的故意损坏一起使用来训练该机器学习系统201。在使用教学设置205对机器学习系统201进行训练之后,然后机器学习系统201接收实际动态指纹70'以产生输出203,该输出203可以由图5的判定块148使用。
动态存储指纹100'包括一组规则或者机器学习系统还可以用于静态指纹70的分析,例如以分析在工业控制系统所预期的静态工作状态中的较小演变(否则被适应为升级等)。
有时,动态存储指纹100'的规则可以允许在一定范围内演变,以便消除由控制系统的状态的自然演变所引起的误报。可以例如通过使用历史数据来产生用于不断更新动态存储指纹100'的新训练集合来提供这种演变。在此情况下,可以例如用较长的时间帧来执行动态存储指纹100'的分析的第二级别,以针对可被检测的潜在基本问题来评估动态存储指纹100'的演变以触发上述过程块154的响应脚本。
动态存储指纹100'的隐式规则还可以在范围阈值处随机地受扰动以改变精确阈值,在该精确阈值处过程块154的响应脚本被调用。该随机化可以帮助例如在独立的工业控制系统10上击败(defeat)对动态存储指纹100'的“探查”,其中,所述探查被用于收集用以击败其他工业控制系统10的信息。可以执行随机化:例如通过在教学设置的不同要素之间进行随机选择以提供由机器学习系统201生成的稍有不同的教学规则,或者通过随机地将用于评估动态存储指纹100'的规则的范围的阈值进行少量调节,这仍保证了针对超出范围条件进行测试的范围的功能仍大大满足。
参照图10,在本发明中可以通过提供分布式安防设备31来管理由许多动态变量占据的潜在大组合空间,在该分布式安防设备31中,由紧接着的上游设备针对下游设备分析根据(图5的)判定块148的失配,从而限制了动态指纹70'的传播。在一定程度上不能以其他方式压缩这些动态指纹70',用于动态值的局部分析——例如本地监督的机器学习系统的范围检查或使用——的这种分布可以用于将动态指纹转换70'转变为静态或准静态指纹70,以用于在安防设备31处使用如上所述的方法进行常规分析。可以通过将动态指纹70'与背景数据一起传送来提升用于精确地检测动态指纹70'的数据的复杂图案的能力,所述背景数据例如为与动态指纹70'相关的特定控制任务或本地时钟值,其使得能够将动态操作指纹70'聚集为可单独分析的有限子集,例如与时间接近度相关的子集或与特定控制任务相关的子集。
因此,可以通过由背景包络211(C)建立的背景来链接与给定控制任务相关联的分别由控制设备16a和16b生成的动态操作指纹70a'和动态操作指纹70b',其中背景包络211(C)用于包封动态指纹70a'和70b'并且与指纹70a'和70b'一起被传送。背景包络211可以将指纹70a'和70b'链接为与共同控制任务或相似的本地时钟存在相关。可以增加该背景包络作为附加指纹70c',将附加指纹70c'向上传递到安防设备31,最终使得接收到具有背景包络213的动态操作指纹,该背景包络213将背景包络211(C)中的动态指纹70a'和70b'收集到一起并且通过背景包络213(E)将背景包络211(C)与操作指纹70c'相连接。背景包络211和213的这种层级使得能够将专门的规则应用于每个单独的背景,从而使分析过程的复杂性最小化。
可以将类似的方法用于静态指纹70,其中,上游设备215b(例如控制器12)可以从下游设备215a(例如16)聚合静态指纹70,其中上游设备215b生成自身的静态指纹70,该静态指纹70是从下游设备215a接收到的指纹70的分类。然后,将这些新的静态指纹70进一步向上游转发至上游设备215c,并且此过程可以重复。指纹72与存储指纹100的初步匹配可以发生在中间的上游设备215b处,其中,仅这些匹配的结果(根据图5的判定块148)向上游发送至设备215c,假定在失配的情况下或在任何时间,较高级别的安防设备31可以请求:可以通过中间设备215b和215c来传递原始接收指纹70,而无需在较高级别处分类以进行分析。后一步骤有助于防止通过在中间设备215b和215c处攻击来篡改安防机构。安全监视
在监视工业控制系统免受恶意攻击的背景下提供了以上描述。应当理解的是,还可以使用上述系统的设备来检测工业控制系统的操作中的不规则,所述不规则不一定起源于恶意企图,但仍可能影响工业控制系统的操作的完整性和安全。
如本文所用的“安全”是指在其中人的安全要求控制系统的正常运转的环境中所使用的专门工业控制系统(“安全系统”)的操作。安全系统可以包括与紧急停止按钮、光幕以及其他机器封锁相管理的电子装置。传统上,已经通过与用于控制与安全系统相关联的工业过程的工业控制系统分离的一组冗余电路实现了安全系统。这样的安全系统是从开关和继电器“硬连线的(hardwired)”,该继电器包括专门的“安全继电器”,其提供了故障情况(诸如焊接接触或卡住接触)的冗余信号和内部检查。
可以使用例如由通过引用并入本文的美国专利6,631,476、6,701,198、6,721,900、6,891,850和6,909,923所教导的专门的计算机硬件和网络协议来实现当前的安全系统。美国专利7,027,880——其也通过引用并入本文并且已被转让给本发明的受让人——描述了一种安全系统,该安全系统使用由安全系统执行的软件的“签名”,其中可以将所述“签名”与相同软件的先前认证版本的签名进行比较。该比较过程使得安全系统能够进行快速重新认证(或适当认证的确定)。本发明可以通过使用上述的作为安全签名的安防签名来扩展此构思,该安全签名提供工业控制系统的改变的完整指示,所述控制系统的改变不仅包括操作软件的改变而且还包括配置数据和环境数据的改变,其中,操作软件、配置数据和环境数据一起限定工业控制器的控制状态。另外地或可替代地,来自控制设备的多个元件的安全签名的聚合使得能够更全面地保证由多个设备构成的安全系统的完整性。此外,如上所述,安全系统可以通过在故障的原因方面调整归零(zeroing in)以帮助纠正该故障来提供用于安全系统通常不存在的诊断。该调整归零是通过上述方式获得越来越详细的安全签名来完成的。
与来自工业控制系统的安全认证状态相关联的任何设备的安全信号和对应存储签名之间不配合可以使系统按照以上讨论的方式向适当人员发送警报,并且还使得该系统转变为安全状态(也如上所述)。
仅出于参考的目的,在本文中适用了某些术语,因此这些术语不旨在进行限制。例如,术语诸如“上”、“下”、“上方”和“下方”是指在所参照的附图中的方向。术语诸如“前”、“背”、“后”,“底”和“侧”在一致但任意的参考系内描述了所述部件的一部分的取向,这通过参考对所讨论部件进行描述的文本和相关附图而变得明确。这样的用语可以包括以上特别提到的词、它们的衍生词、以及类似含义的词。同样,除非在上下文中明确地指出,否则提及结构的术语“第一”、“第二”以及其他这样数字性的术语不暗示次序或顺序。
当介绍本公开内容和示例性实施方式的要素或特征时,冠词“一”、“一个”、“该”和“所述”旨在表示存在一个或更多个这样的要素或特征。术语“包括”、“包含”和“具有”旨在是包容性的,并且表示除了具体指出的要素或特之外还可以存在附加的要素或特征。还应当理解的是,除非明确地被确定为执行的顺序,否则本文中所描述的方法步骤、过程和操作不被解释为必需要求其以所讨论的或所示出的具体顺序执行。还应当理解的是,可以采用附加的或可替选的步骤。
所提及的“控制器”、“工业控制器”和“计算机”应当理解为包括适于所述功能的任何通用计算设备,包括相对于本发明的其他元件而言本地地或远程地操作的工作站、工业控制器、个人计算机或台式计算机、服务器、云计算机等。
所提及的“微处理器”和“处理器”或“该微处理器”和“该处理器”应当理解为包括一个或更多个微处理器,所述一个或更多个微处理器可以在独立环境和/或分布式环境中进行通信并且因此被配置为经由有线或无线通信来与其他处理器进行通信,其中,这样的一个或更多个处理器可以被配置为对一个或更多个处理器控制设备进行操作,所述一个或更多个处理器控制设备可以是类似的或不同的设备。此外,除非另有说明,否则所提及的存储器可以包括一个或更多个处理器可读和可访问的存储器元件和/或部件,其可以在处理器控制设备的内部、在处理器控制设备的外部并且可以通过有线或无线网络进行访问。
术语“网络端口”不应被解释为限于特定类型的网络或端口,而是旨在广泛地涵盖经由有线和无线端口、与分离媒介(诸如电缆和光纤以及底板)连接的端口的通信以及各种协议,所述各种协议包括但不限于RS-232/422、USB、IEEE1394和1756-EN2T协议。
旨在本发明不限于本文所包含的实施方式和图示,并且权利要求书应当被理解为包括下述实施方式的修改形式,所述实施方式包括在所附权利要求的范围内的实施方式的部分和不同实施方式的要素的组合。本文中所述的包括专利出版物和非专利出版物的所有出版物通过引用整体并入本文。
Claims (20)
1.一种用于工业控制系统的安防控制器,包括:
(a)网络端口,所述网络端口用于与所述工业控制系统的其他控制设备进行通信;
(b)至少一个处理器,所述至少一个处理器与所述网络端口进行通信;以及
(c)电子存储器系统,所述电子存储器系统能够由所述处理器访问并且保存安防程序,其中,所述安防程序在所述处理器上执行,用于:
(1)从所述工业控制系统的至少一个其他的给定控制设备接收安防指纹,所述安防指纹提供所述给定控制设备的当前状态的加密压缩表示;
(2)针对所存储的基准指纹来分析所述安防指纹,所述基准指纹表示当所述给定控制设备正常操作时所述给定控制设备的安防指纹;
(3)当所述安防指纹与所存储的基准指纹失配时,对所述失配进行评估以产生具有多值范围的严重度评估;以及
(4)基于所述严重度评估来实现在多个安防响应动作中所选择的安防响应动作以响应于所述失配。
2.根据权利要求1所述的安防控制器,其中,所述工业控制系统的其他控制设备保存:操作软件,所述操作软件描述能够由所述处理器执行的控制设备的操作;配置数据,所述配置数据限定所述控制设备的配置;以及环境数据,所述环境数据限定所述控制设备的操作环境,其中,所述操作软件、所述配置数据以及所述环境数据一起限定控制设备状态,并且其中,所述安防指纹是控制设备状态的至少一部分的压缩表示。
3.根据权利要求2所述的安防控制器,其中,所述电子存储器包括多个存储器子系统,所述多个存储器子系统选自易失性存储器、非易失性存储器以及寄存器值。
4.根据权利要求1所述的安防控制器,其中,所述安防指纹提供各自独立地经受压缩的独立字段,并且其中,所述安防指纹被逐字段地分析以精确定位其中发生失配的字段,并且其中,所述严重度评估是根据其中发生失配的一个或更多个字段的精确定位来确定的。
5.根据权利要求1所述的安防控制器,其中,所述安防程序还执行安防响应,用于从所述给定控制设备请求附加信息以隔离所述失配的起因。
6.根据权利要求5所述的安防控制器,其中,所述附加信息是新的安防指纹,所述新的安防指纹提供所述给定控制设备的当前状态的一部分的不同子部分的独立压缩表示。
7.根据权利要求6所述的安防控制器,其中,所述附加信息是没有压缩的子部分的状态数据。
8.根据权利要求1所述的安防控制器,其中,所述失配的评估将所述失配与预定的权重值相链接,并且其中,所述严重度评估是所述给定控制设备的权重值和同样经历失配的另一控制设备的至少一个权重值的函数。
9.根据权利要求1所述的安防控制器,其中,所述安防响应动作根据所述严重度评估来提供与分级列表中的个体的电子通信。
10.根据权利要求9所述的安防控制器,其中,所述安防程序能够从所述分级列表中的个体接收电子通信,并且其中,根据是否响应于与所述列表中的给定个体进行通信的安防响应动作而接收到这样的通信,随时间修改所述严重度评估。
11.根据权利要求10所述的安防控制器,其中,所述安防程序提供认证协议,所述认证协议用于建立从其接收到通信的个体的真实性。
12.根据权利要求1所述的安防控制器,其中,所述给定控制设备提供输出,所述输出能够连接至工业设备以控制所述工业设备,并且其中,所述安防响应动作是对所述给定控制设备的指令,以根据与所述给定控制设备相关联的输出的预定安全状态集合来设置所述给定控制设备的输出。
13.根据权利要求12所述的安防控制器,其中,所述预定安全状态在所述工业控制系统的控制设备之间进行协调。
14.根据权利要求1所述的安防控制器,其中,步骤(1)至(3)被重复,并且其中,所述严重度评估也是失配随时间的持久性的函数。
15.根据权利要求1所述的安防控制器,其中,所述安防响应动作包括向工业过程提供输出以限制个体对所述工业控制系统的访问,所述输出选自:锁定访问控制设备、禁用软件更新、以及控制工业控制的区域照明。
16.根据权利要求15所述的安防控制器,其中,所述安防响应动作指示所述控制设备使用所述控制设备的人机接口元件来提供本地警报,所述本地警报选自点亮的信标、面板灯以及声音生成装备。
17.根据权利要求15所述的安防控制器,其中,所述访问控制设备选自光幕、压力垫以及锁定门。
18.根据权利要求1所述的安防控制器,其中,所述安防响应动作包括指示控制设备开始来自工业控制过程中使用的传感器的传感器数据的安防数据记录。
19.根据权利要求1所述的安防控制器,其中,所述安防程序实现系统模式值,所述系统模式值指示所述工业控制系统的操作模式,所述操作模式包括配置、维护和运行时间的状态,并且其中,针对与配置和维护的状态相关的失配,相对于运行时间减小所述严重度评估。
20.根据权利要求19所述的安防控制器,其中,所述安防程序包括所述工业控制系统的维护的日历,所述日历识别控制设备和维护时间,并且其中,针对与所述给定控制设备的定期维护相关的失配,根据所述日历来修改所述严重度评估。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/728,255 | 2015-06-02 | ||
US14/728,255 US9904785B2 (en) | 2015-06-02 | 2015-06-02 | Active response security system for industrial control infrastructure |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106227160A CN106227160A (zh) | 2016-12-14 |
CN106227160B true CN106227160B (zh) | 2019-06-18 |
Family
ID=56096948
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610389212.2A Active CN106227160B (zh) | 2015-06-02 | 2016-06-02 | 用于工业控制基础设施的主动响应安防系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9904785B2 (zh) |
EP (1) | EP3101586B1 (zh) |
CN (1) | CN106227160B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL243825B (en) * | 2016-01-28 | 2021-05-31 | Verint Systems Ltd | A system and method for automated forensic investigation |
US10586077B2 (en) * | 2016-09-21 | 2020-03-10 | International Business Machines Corporation | Radio-assisted tamper protection of hardware |
WO2018079185A1 (ja) * | 2016-10-26 | 2018-05-03 | 株式会社 東芝 | 情報管理システム |
CN106599997B (zh) * | 2016-12-20 | 2021-07-02 | 浩鲸云计算科技股份有限公司 | 基于零动态的工控攻击检测识别方法与系统 |
CN106685990B (zh) | 2017-02-09 | 2020-07-14 | 北京东土科技股份有限公司 | 一种基于工业互联网操作系统的安全性检测方法及装置 |
EP3486825A1 (de) * | 2017-11-15 | 2019-05-22 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität |
US10176320B1 (en) * | 2017-12-04 | 2019-01-08 | Honeywell International Inc. | Using machine learning in an industrial control network to improve cybersecurity operations |
US10613505B2 (en) * | 2018-03-29 | 2020-04-07 | Saudi Arabian Oil Company | Intelligent distributed industrial facility safety system |
US11627151B2 (en) * | 2018-10-31 | 2023-04-11 | General Electric Company | Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger |
US10872175B2 (en) * | 2018-12-06 | 2020-12-22 | Fortanix, Inc. | Erasing a cryptographic item in a memory of a device in response to a change of an operating mode of the device |
CA3115123A1 (en) * | 2018-12-13 | 2020-06-18 | Andritz Inc. | Industrial plant controller |
DE102018132996A1 (de) * | 2018-12-19 | 2020-06-25 | Uniscon Universal Identity Control Gmbh | Verfahren zum Überwachen der Integrität eines physischen Objekts |
JP7138043B2 (ja) * | 2018-12-28 | 2022-09-15 | 日立Astemo株式会社 | 情報処理装置 |
US11626010B2 (en) * | 2019-02-28 | 2023-04-11 | Nortek Security & Control Llc | Dynamic partition of a security system |
EP3876047A1 (de) * | 2020-03-04 | 2021-09-08 | Siemens Aktiengesellschaft | Verfahren und sicherheitsgerichtete steuerungseinrichtung zur ermittlung und/oder auswahl eines sicheren zustands |
DE102020120300A1 (de) * | 2020-07-31 | 2022-02-03 | Endress+Hauser Flowtec Ag | Verfahren zum Detektieren einer etwaigen Manipulation einer Automatisierungskomponente |
EP3979011A1 (de) | 2020-09-30 | 2022-04-06 | Siemens Aktiengesellschaft | Ermitteln eines sicherheitszustands |
JP2022155174A (ja) * | 2021-03-30 | 2022-10-13 | 横河電機株式会社 | 診断装置、診断方法および診断プログラム |
CN114374528A (zh) * | 2021-11-24 | 2022-04-19 | 河南中裕广恒科技股份有限公司 | 一种数据安全检测方法、装置、电子设备及介质 |
CN116488909B (zh) * | 2023-04-26 | 2023-11-17 | 国网河南省电力公司信息通信分公司 | 一种基于数据维度层级拓展的电力物联网络安全防护方法 |
Family Cites Families (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5551053A (en) | 1994-02-28 | 1996-08-27 | Eaton Corporation | System and Method for assigning addresses to I/O devices in a control network and for verifying the assigned address of the devices |
US5867382A (en) | 1996-09-10 | 1999-02-02 | Mclaughlin; Michael G. | Generic control systems using a virtual rack module |
US6473824B1 (en) | 1998-10-14 | 2002-10-29 | International Business Machines Corporation | Dynamic association of input/output device with application programs |
US6788980B1 (en) | 1999-06-11 | 2004-09-07 | Invensys Systems, Inc. | Methods and apparatus for control using control devices that provide a virtual machine environment and that communicate via an IP network |
US6701198B1 (en) | 1999-12-22 | 2004-03-02 | Rockwell Automation Technologies, Inc. | Safety network for industrial controller allowing initialization on standard networks |
US6631476B1 (en) | 1999-12-22 | 2003-10-07 | Rockwell Automation Technologies, Inc. | Safety network for industrial controller providing redundant connections on single media |
US6909923B2 (en) | 1999-12-22 | 2005-06-21 | Rockwell Automation Technologies, Inc. | Safety communication on a single backplane |
US6891850B1 (en) | 1999-12-22 | 2005-05-10 | Rockwell Automation Technologies, Inc. | Network independent safety protocol for industrial controller |
US6721900B1 (en) | 1999-12-22 | 2004-04-13 | Rockwell Automation Technologies, Inc. | Safety network for industrial controller having reduced bandwidth requirements |
US20020183971A1 (en) * | 2001-04-10 | 2002-12-05 | Wegerich Stephan W. | Diagnostic systems and methods for predictive condition monitoring |
US7152105B2 (en) * | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US6901298B1 (en) * | 2002-09-30 | 2005-05-31 | Rockwell Automation Technologies, Inc. | Saving and restoring controller state and context in an open operating system |
US20040162996A1 (en) | 2003-02-18 | 2004-08-19 | Nortel Networks Limited | Distributed security for industrial networks |
US6970102B2 (en) | 2003-05-05 | 2005-11-29 | Transol Pty Ltd | Traffic violation detection, recording and evidence processing system |
US20070162957A1 (en) * | 2003-07-01 | 2007-07-12 | Andrew Bartels | Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications |
US7027880B2 (en) | 2003-09-30 | 2006-04-11 | Rockwell Automation Technologies, Inc. | Safety controller providing rapid recovery of safety program data |
US20090193211A1 (en) * | 2008-01-24 | 2009-07-30 | Broadcom Corporation | Software authentication for computer systems |
US8589343B2 (en) * | 2009-03-03 | 2013-11-19 | Bladelogic, Inc. | Systems and methods for digital file change monitoring |
JP5521736B2 (ja) * | 2010-04-23 | 2014-06-18 | 富士ゼロックス株式会社 | 通信制御装置、通信制御プログラム及び通信制御システム |
US8484474B2 (en) * | 2010-07-01 | 2013-07-09 | Rockwell Automation Technologies, Inc. | Methods for firmware signature |
US8904189B1 (en) * | 2010-07-15 | 2014-12-02 | The Research Foundation For The State University Of New York | System and method for validating program execution at run-time using control flow signatures |
CN103370716B (zh) * | 2010-11-03 | 2016-10-19 | 维吉尼亚技术知识产权公司 | 使用电力指纹监控基于计算机系统的完整性的方法和系统 |
US9094385B2 (en) * | 2011-08-05 | 2015-07-28 | Battelle Memorial Institute | Intelligent sensor and controller framework for the power grid |
DE102011081806A1 (de) | 2011-08-30 | 2013-02-28 | Siemens Aktiengesellschaft | Sicherer Motorstarter |
AU2013207274A1 (en) | 2012-01-08 | 2014-08-21 | Imagistar Llc | System and method for item self-assessment as being extant or displaced |
US8812466B2 (en) | 2012-02-10 | 2014-08-19 | International Business Machines Corporation | Detecting and combating attack in protection system of an industrial control system |
EP2672414A1 (en) | 2012-06-08 | 2013-12-11 | Sodge IT GmbH | Method for transferring configuration data to controller devices, a system and a computer program product |
US20140039806A1 (en) | 2012-08-02 | 2014-02-06 | Siemens Corporation | Estimating remaining useful life from prognostic features discovered using genetic programming |
DE102012217743B4 (de) * | 2012-09-28 | 2018-10-31 | Siemens Ag | Überprüfung einer Integrität von Eigenschaftsdaten eines Gerätes durch ein Prüfgerät |
KR101538424B1 (ko) | 2012-10-30 | 2015-07-22 | 주식회사 케이티 | 결제 및 원격 모니터링을 위한 사용자 단말 |
EP2972877B1 (en) | 2013-03-15 | 2021-06-16 | Power Fingerprinting Inc. | Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems |
US20140336795A1 (en) | 2013-05-09 | 2014-11-13 | Rockwell Automation Technologies, Inc. | Remote assistance via a cloud platform for industrial automation |
US10026049B2 (en) | 2013-05-09 | 2018-07-17 | Rockwell Automation Technologies, Inc. | Risk assessment for industrial systems using big data |
US20140337277A1 (en) * | 2013-05-09 | 2014-11-13 | Rockwell Automation Technologies, Inc. | Industrial device and system attestation in a cloud platform |
JP5895906B2 (ja) | 2013-07-24 | 2016-03-30 | 横河電機株式会社 | プロセス制御装置及びシステム並びにその健全性判定方法 |
-
2015
- 2015-06-02 US US14/728,255 patent/US9904785B2/en active Active
-
2016
- 2016-05-25 EP EP16171201.3A patent/EP3101586B1/en active Active
- 2016-06-02 CN CN201610389212.2A patent/CN106227160B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
EP3101586B1 (en) | 2019-11-13 |
CN106227160A (zh) | 2016-12-14 |
US9904785B2 (en) | 2018-02-27 |
US20160359825A1 (en) | 2016-12-08 |
EP3101586A1 (en) | 2016-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106227160B (zh) | 用于工业控制基础设施的主动响应安防系统 | |
CN106227159B (zh) | 用于工业控制基础设施的使用动态签名的安防系统 | |
CN106227161B (zh) | 用于工业控制基础设施的安防系统 | |
CN106227158B (zh) | 用于工业控制基础设施的快速配置安防系统 | |
CN113016168B (zh) | 工业系统事件检测和对应的响应 | |
US8793794B2 (en) | Systems and methods for detecting a security breach in a computer system | |
CN104991528B (zh) | Dcs信息安全控制方法及控制站 | |
CN102724040B (zh) | 检测设备构件违背真实性的方法、控制装置和系统 | |
US10354071B2 (en) | Method for updating process objects in an engineering system | |
ES2905268T3 (es) | Protección de un componente de automatización contra manipulaciones de programa mediante coincidencia de firmas | |
US11797890B2 (en) | Performance manager to autonomously evaluate replacement algorithms | |
US20220327219A1 (en) | Systems and methods for enhancing data provenance by logging kernel-level events | |
CN105074833A (zh) | 用于识别对核设施控制和调节单元的系统状态的未授权操控的装置和方法 | |
CN112261658B (zh) | 终端和终端使用的方法 | |
EP3726309A1 (de) | Verfahren und system zum überwachen eines aktuellen integritätszustandes eines verteilten automatisierungssystems | |
US11928203B2 (en) | Method and test environment for providing an application for a computer controlled component | |
Serhane et al. | Applied methods to detect and prevent vulnerabilities within PLC alarms code | |
EP4152192A1 (en) | On-chassis backplane intrusion detection system and continuous threat detection enablement platform | |
KR20230037743A (ko) | 클라우드 기반의 스마트 팩토리 플랫폼 제공 시스템 및 방법 | |
CN116843353A (zh) | 一种基于区块链和物联网的农产品溯源系统及方法 | |
Klimov et al. | Method of assessing the protection of computer-based control systems under information technology interference |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: ohio Applicant after: Rockwell automation technologies Address before: ohio Applicant before: Rockwell Automation Tech Inc. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |