CN107451468A - 一种控制设备的在线安全检测实现方法 - Google Patents

一种控制设备的在线安全检测实现方法 Download PDF

Info

Publication number
CN107451468A
CN107451468A CN201710577428.6A CN201710577428A CN107451468A CN 107451468 A CN107451468 A CN 107451468A CN 201710577428 A CN201710577428 A CN 201710577428A CN 107451468 A CN107451468 A CN 107451468A
Authority
CN
China
Prior art keywords
code
controller
network
detection device
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710577428.6A
Other languages
English (en)
Inventor
胡浩
何小梅
王晶
龚道冰
陈冬
罗丁元
陈钢
唐睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
Hangzhou Valley Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Valley Network Technology Co Ltd filed Critical Hangzhou Valley Network Technology Co Ltd
Priority to CN201710577428.6A priority Critical patent/CN107451468A/zh
Publication of CN107451468A publication Critical patent/CN107451468A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

一种控制设备的在线安全检测实现方法,一种控制器安全检测的方法,预装可信基准代码;请求工业控制网络中控制现场设备的控制器报告当前使用的代码;将控制器报告的代码与之前存储的可信基准代码比较;如果比较结果不一致,生成告警信息。本发明的优点是安全监测装置可以定时或随时检查控制网络中的控制器固件、应用程序和配置参数的代码是否正确,无论是通过网络还是本地直接对控制设备的入侵或人为造成的错误都能够监测出来,并且安全监测装置的代码基准版本能够及时更新来应对控制设备的更新,使得对控制设备的入侵监测达到全覆盖、无死角的程度。

Description

一种控制设备的在线安全检测实现方法
技术领域
本发明涉及控制领域安全检测技术领域,特别涉及一种控制网络中在线检测控制器入侵检测的方法。
背景技术
由于工业控制系统设计之初是一个与外界物理隔离的系统,因此传统的工业控制协议没有考虑信息安全和网络安全的问题。随着标准网络和互联网技术在工业控制系统的广泛应用,工业控制系统的安全威胁正日益加剧,尽管各种安全检测和管理手段不断完善,仍然不能完全覆盖所有的恶意攻击场景。
目前的对控制系统的安全监测方法一般是通过对控制网络流量的监视、破解、和分析来判断控制网络中的控制器等设备是否受到攻击,这解决了攻击通过网络进行的情况,但是如果攻击没有经过网络,而是直接将攻击电脑与被攻击设备直接连接或其它非网络连接方式,现有的方法不能解决问题。攻击者就可能直接植入经过修改的固件、应用程序和配置参数的代码到被攻击的设备上,被修改的固件、应用程序和配置参数可能会发送欺骗信息致使对网络信息的拦截、破解和分析不能了解设备运行的真实情况。在各种对工业控制系统的攻击实例来看,内部人员由于各种原因的破坏、有意或无意的错误都会造成对工业控制系统造成极大的损害,本发明就是针对这个问题提出解决方法。
发明内容
为此,本发明提供了一种基于预装可信基准代码的异常监测方法,用于周期性或按需监测控制网络中控制设备是否出现异常包括但不限于固件改变、应用程序改变和配置参数改变。
为达到上述目的,本发明的技术方案是这样实现的:
一种控制器安全检测的方法,其特征在于:预装可信基准代码;请求工业控制网络中控制现场设备的控制器报告当前使用的代码;将控制器报告的代码与之前存储的可信基准代码比较;如果比较结果不一致,生成告警信息。
优选的,所述请求控制器报告代码的方法包括模拟配置控制器的工程交互协议来实现。
优选的,所述控制器报告的代码与之前存储的可信基准代码的比较方法包括全文比较和摘要比较;所述控制器报告的代码类型包括控制器的固件、控制器应用程序和控制器配置参数。
优选的,所述控制器报告的代码包括控制器的固件、控制器应用程序和控制器配置参数的数字摘要信息。
优选的,还包括通过拦截所述控制器相关的代码更新网络交易数据来验证存储基准代码的版本;当确定拦截到的代码更新交易是非法时,生成告警信息;当确定拦截到的代码更新交易是合法的,利用拦截到的代码更新交易信息更新基准版本。
另外,本发明还提供了一种安全监测装置。
一个安全检测装置,包括,
处理器,用于负责所有设备的计算和管理,包括请求控制网络中的控制器报告当前使用的代码;
存储器,用于存储控制器的基准代码;
网络通信接口,负责安全监测装置与控制网络之间的通信;
数据匹配模块,用于比较接收到的所述控制器报告的代码与所述存储器内的基准代码;
异常处理模块,负责检测到代码不匹配异常状况的后处理工作。
优选的,所述请求控制器报告代码的方法包括处理器通过模拟配置控制器的工程交互协议来实现。
优选的,所述控制器报告的代码类型包括控制器的固件、控制器应用程序和控制器配置参数;所述控制器报告的代码包括控制器的固件、控制器应用程序和控制器配置参数的数字摘要信息;所述安全检测装置的数据匹配模块对控制器报告的代码与所述安全检测装置的存储器中的可信基准代码的进行比较,比较过程包括全文比较和摘要比较。
优选的,还包括所述安全检测装置的处理器通过与网络交换机的连接拦截所述控制器相关代码更新的网络交易数据来验证所述控制器的基准代码版本。
优选的,所述的验证已存储的基准版本的方法,当所述安全检测装置的处理器确定拦截到的代码更新交易是非法时,由所述安全检测装置的异常处理模块生成告警信息;当所述安全检测装置的处理器确定拦截到的代码更新交易是合法时,利用拦截到的代码更新的交易信息更新安全检测装置的基准版本,并存储在所述安全检测装置的存储器中。
本发明首先安全监测装置在安全在实际控制网络之前预装可信的控制器固件、应用程序和配置参数的代码的基准版本以及通过代码的基准版本计算的摘要等信息,安全监测装置通过现有控制网络的交换机,利用模拟工程交互协议访问控制网络中的控制器,并请求控制器将固件、应用程序、配置参数中的任意一种或几种类型的代码或者是代码的摘要发送给安全监测装置,安全监测装置将接收到的代码或代码摘要和预装的代码或代码摘要进行匹配,如果一致,安全监测装置则认为控制器的工作状态正常,若不一致,说明控制器的固件、应用程序、及配置参数发生了异常,安全监测装置将进行异常处理。
安全监测装置的代码基准版本是可以通过对网络流量的监测进行更新的,当发现网络流量中显示控制器的固件、应用程序和配置参数的代码版本与自身存储的代码基准版本不一致时,安全监测装置需要根据预先定义的原则判断新的代码是否时合法代码,不是合法代码,安全监测装置作异常处理,是合法代码,安全监测装置则需要更新代码基准版本。
本发明公开了工业控制系统安全检测的实现方法,包括检测装置要求工业控制网络中控制现场设备的控制器提交当前代码信息,然后将控制器提交的代码信息与已存储基准代码信息进行比对,若发现控制器提交的代码与基准代码出现差异时发出警示信息。本发明的优点和有益效果:安全监测装置可以定时或随时检查控制网络中的控制器固件、应用程序和配置参数的代码是否正确,无论是通过网络还是本地直接对控制设备的入侵或人为造成的错误都能够监测出来,并且安全监测装置的代码基准版本能够及时更新来应对控制设备的更新,使得对控制设备的入侵监测达到全覆盖、无死角的程度。
附图说明
图1是本发明具体实施例中安全监测装置的网络构成示意图
图2是本发明具体实施例中安全监测装置的结构示意图
图3是本发明具体实施例中安全监测流程
图4是是本发明具体实施例中安全监测装置验证更新代码基准版本流程。
附图标记:
10 控制网络
20 安装了安全监测装置的工业控制网络示例
100 安全监测装置,
110 处理器
120 存储器
130 网络通信接口
140 网络扫描模块
150 数据分析处理模块
160 异常处理模块模块
200:网络交换机
300:控制设备
400:现场设备
500:工作站
600:历史数据服务器
700:人机界面
800:外设
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。本发明安全监测方法具体实施例的网络构成示意图在图1中显示,图1中20是一个典型的工业控制网络,控制设备300和执行设备400构成现场层,工作站500、历史数据服务器600、人机界面700和外部设备800构成监控层、监控层和现场层通过网络交换机200形成的网络10连接起来,本发明中的安全监控装置100与网络交换机200相连,达到通过工业控制网络10访问现场层控制设备300的目的。
本发明的安全监测装置100是由处理器110、存储器120、网络通信接口130、数据匹配模块140、和异常处理模块150组成。处理器110负责所有安全监测装置100的计算和管理;存储器120存储监测对象,例如控制设备300的代码基准版本和代码基准版本摘要以及例如控制设备300的代码基准版本和代码基准版本摘要的更新版本;网络通信接口130负责安全监测装置100的对外网络通信;数据匹配模块140负责将接收到的监测对象当前使用代码或代码摘要与存储器中的代码基准版本或代码基准版本摘要作比较;异常处理模块是在数据匹配模块140的比较结果不一致时进行异常处理,包括但不限于生成和发出告警信息等。
本发明安全监测方法具体实施例的处理流程在图3和图4中说明,图3是安全监测装置主动请求控制器发送当前使用代码并进行比较的流程,如步骤S1,在启动安全监测之前,安全检测设备100应预装控制器固件、应用逻辑和参数的可信基准代码;如步骤2,启动安全监测装置100;如步骤S3,安全监测装置判断是否采用周期性监测;如步骤S4,当步骤S2判断是周期监测,则判断是否监测时间到;如步骤S5,当步骤S2判断不是周期监测,则判断是否有执行监测指令;如步骤6,无论是监测周期时间到,还是有执行监测的指令,安全监测装置处理器110通过网络通信接口模拟控制器工程协议请求控制器发送代码或代码摘要,请求的代码或代码摘要可以是固件、应用逻辑、及配置参数的任意一个类型或组合;如步骤S7,安全监测装置100通过网络通信接口模拟控制器工程协议接收控制器发送的代码或代码摘要;如步骤S8,数据匹配模块140将安全监测装置100接收到的代码或代码摘要与存储在存储器120中的代码基准版本或代码基准版本摘要做比较,如果比对结果一致则返回步骤2;如步骤S9,若比对结果不一致,数据匹配模块140通知异常处理模块150做异常处理,包括但不限于生成和发出告警信息等。
图4是安全监测装置更新代码基准版本的流程,如步骤11,安全监测装置100通过网络通信接口进行监视网络流量;如步骤S12,安全监测装置100的处理器110基于模拟控制器工程协议判断是否出现代码更新的信息,出现代码更新信息执行步骤13,否则返回步骤11;如步骤S13,处理器110判断代码更新是否合法,若合法,执行步骤S14,否则执行步骤15;如步骤S4,处理器110基于模拟控制器工程协议,请求更新控制器代码,并将代码存储在存储器120上作为更新的代码基准版本;如步骤15,处理器110通知异常处理模块150做异常处理,包括但不限于生成和发出告警信息等。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (10)

1.一种控制器安全检测的方法,其特征在于:预装可信基准代码;请求工业控制网络中控制现场设备的控制器报告当前使用的代码;将控制器报告的代码与之前存储的可信基准代码比较;如果比较结果不一致,生成告警信息。
2.根据权利要求1所述的控制器安全检测的方法,其特征在于,所述请求控制器报告代码的方法包括模拟配置控制器的工程交互协议来实现。
3.根据权利要求1所述的控制器安全检测的方法,其特征在于,所述控制器报告的代码与之前存储的可信基准代码的比较方法包括全文比较和摘要比较;所述控制器报告的代码类型包括控制器的固件、控制器应用程序和控制器配置参数。
4.根据权利要求1所述的控制器安全检测的方法,其特征在于,所述控制器报告的代码包括控制器的固件、控制器应用程序和控制器配置参数的数字摘要信息。
5.根据权利要求1所述的控制器安全检测的方法,还包括通过拦截所述控制器相关的代码更新网络交易数据来验证存储基准代码的版本;当确定拦截到的代码更新交易是非法时,生成告警信息;当确定拦截到的代码更新交易是合法的,利用拦截到的代码更新交易信息更新基准版本。
6.一个安全检测装置,包括,
处理器,用于负责所有设备的计算和管理,包括请求控制网络中的控制器报告当前使用的代码;
存储器,用于存储控制器的基准代码;
网络通信接口,负责安全监测装置与控制网络之间的通信;
数据匹配模块,用于比较接收到的所述控制器报告的代码与所述存储器内的基准代码;
异常处理模块,负责检测到代码不匹配异常状况的后处理工作。
7.根据权利要求6所述的安全检测装置,其特征在于,所述请求控制器报告代码的方法包括处理器通过模拟配置控制器的工程交互协议来实现。
8.根据权利要求6所述的安全检测装置,其特征在于,所述控制器报告的代码类型包括控制器的固件、控制器应用程序和控制器配置参数;所述控制器报告的代码包括控制器的固件、控制器应用程序和控制器配置参数的数字摘要信息;所述安全检测装置的数据匹配模块对控制器报告的代码与所述安全检测装置的存储器中的可信基准代码的进行比较,比较过程包括全文比较和摘要比较。
9.根据权利要求8所述的安全检测装置,其特征在于,还包括所述安全检测装置的处理器通过与网络交换机的连接拦截所述控制器相关代码更新的网络交易数据来验证所述控制器的基准代码版本。
10.根据权利要求8所述的安全检测装置,其特征在于,所述的验证已存储的基准版本的方法,当所述安全检测装置的处理器确定拦截到的代码更新交易是非法时,由所述安全检测装置的异常处理模块生成告警信息;当所述安全检测装置的处理器确定拦截到的代码更新交易是合法时,利用拦截到的代码更新的交易信息更新安全检测装置的基准版本,并存储在所述安全检测装置的存储器中。
CN201710577428.6A 2017-07-14 2017-07-14 一种控制设备的在线安全检测实现方法 Pending CN107451468A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710577428.6A CN107451468A (zh) 2017-07-14 2017-07-14 一种控制设备的在线安全检测实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710577428.6A CN107451468A (zh) 2017-07-14 2017-07-14 一种控制设备的在线安全检测实现方法

Publications (1)

Publication Number Publication Date
CN107451468A true CN107451468A (zh) 2017-12-08

Family

ID=60488687

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710577428.6A Pending CN107451468A (zh) 2017-07-14 2017-07-14 一种控制设备的在线安全检测实现方法

Country Status (1)

Country Link
CN (1) CN107451468A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109743174A (zh) * 2018-12-21 2019-05-10 积成电子股份有限公司 电力监测安全管控系统程序更新的监管方法
CN109788353A (zh) * 2018-12-05 2019-05-21 安徽站乾科技有限公司 一种机顶盒加密防复制方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1423766A (zh) * 2000-02-17 2003-06-11 通用仪器公司 提供安全控制软件或固件代码下载和接收下载代码的计算装置的安全操作的方法和装置
CN101218588A (zh) * 2005-05-05 2008-07-09 塞尔蒂卡姆公司 在固件上的更新认证
CN105303094A (zh) * 2015-05-07 2016-02-03 同方计算机有限公司 一种usb主控芯片的安全自验系统及自验方法
CN107124425A (zh) * 2017-05-26 2017-09-01 北京立思辰新技术有限公司 监测设备安全的方法及计算设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1423766A (zh) * 2000-02-17 2003-06-11 通用仪器公司 提供安全控制软件或固件代码下载和接收下载代码的计算装置的安全操作的方法和装置
CN101218588A (zh) * 2005-05-05 2008-07-09 塞尔蒂卡姆公司 在固件上的更新认证
CN105303094A (zh) * 2015-05-07 2016-02-03 同方计算机有限公司 一种usb主控芯片的安全自验系统及自验方法
CN107124425A (zh) * 2017-05-26 2017-09-01 北京立思辰新技术有限公司 监测设备安全的方法及计算设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109788353A (zh) * 2018-12-05 2019-05-21 安徽站乾科技有限公司 一种机顶盒加密防复制方法
CN109743174A (zh) * 2018-12-21 2019-05-10 积成电子股份有限公司 电力监测安全管控系统程序更新的监管方法

Similar Documents

Publication Publication Date Title
CN113016168B (zh) 工业系统事件检测和对应的响应
US10826684B1 (en) System and method of validating Internet of Things (IOT) devices
US8931096B2 (en) Detecting malicious use of computer resources by tasks running on a computer system
CN104991528B (zh) Dcs信息安全控制方法及控制站
US20110179488A1 (en) Kernal-based intrusion detection using bloom filters
CN106529282A (zh) 一种基于信任链的白名单执行系统及执行方法
CN112926048B (zh) 一种异常信息检测方法和装置
CN112866185B (zh) 网络流量监控设备和异常流量检测方法
CN106656987A (zh) 一种计算机信息安全管理系统
US9866577B2 (en) Method for detecting intrusions on a set of virtual resources
CN111698224B (zh) 水质监测终端用户验证方法、系统及水质监测物联终端
CN110620791A (zh) 一种带有预警功能的工业安全数据摆渡系统
GB2532630A (en) Network intrusion alarm method and system for nuclear power station
KR20180047935A (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
CN111556473A (zh) 一种异常访问行为检测方法及装置
CN109150853A (zh) 基于角色访问控制的入侵检测系统及方法
CN107451468A (zh) 一种控制设备的在线安全检测实现方法
CN107124425A (zh) 监测设备安全的方法及计算设备
WO2018035765A1 (zh) 网络异常的检测方法及装置
CN114625074A (zh) 一种用于火电机组dcs系统的安全防护系统及方法
CN108418697A (zh) 一种智能化的安全运维服务云平台的实现架构
CN113536306A (zh) 处理健康信息以确定是否发生异常
CN109785537B (zh) 一种atm机的安全防护方法及装置
CN112769815B (zh) 一种智能工控安全监控与防护方法和系统
KR102156359B1 (ko) 사전명령 전송을 통한 취약점 진단 명령어 실행여부 확인방법 및 그 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Sun Zhonghao

Inventor after: He Yueying

Inventor after: Zhang Xiaoming

Inventor after: Zhang Jiawei

Inventor after: Liu Zhongjin

Inventor after: Fang Zhejun

Inventor after: Bai Liang

Inventor after: Zhuo Zihan

Inventor after: Li Jianqiang

Inventor after: Hu Hao

Inventor after: He Xiaomei

Inventor after: Wang Jing

Inventor after: Gong Daobing

Inventor after: Chen Dong

Inventor after: Luo Dingyuan

Inventor after: Chen Gang

Inventor after: Tang Rui

Inventor before: Hu Hao

Inventor before: He Xiaomei

Inventor before: Wang Jing

Inventor before: Gong Daobing

Inventor before: Chen Dong

Inventor before: Luo Dingyuan

Inventor before: Chen Gang

Inventor before: Tang Rui

CB03 Change of inventor or designer information
TA01 Transfer of patent application right

Effective date of registration: 20180323

Address after: 310052 room S1, No. 475, Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, house 1330

Applicant after: Hangzhou Valley Network Technology Co., Ltd.

Applicant after: State Computer Network and Information Safety Management Center

Address before: 310052 room S1, No. 475, Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, house 1330

Applicant before: Hangzhou Valley Network Technology Co., Ltd.

TA01 Transfer of patent application right
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171208

WD01 Invention patent application deemed withdrawn after publication