CN109643092B - 用于威胁影响确定的系统和方法 - Google Patents
用于威胁影响确定的系统和方法 Download PDFInfo
- Publication number
- CN109643092B CN109643092B CN201680088601.XA CN201680088601A CN109643092B CN 109643092 B CN109643092 B CN 109643092B CN 201680088601 A CN201680088601 A CN 201680088601A CN 109643092 B CN109643092 B CN 109643092B
- Authority
- CN
- China
- Prior art keywords
- plc
- simulation
- firmware
- replica
- production
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14006—Safety, monitoring in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Programmable Controllers (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
提供了一种有助于威胁影响界定的系统(100)和方法。该系统可包括复制可编程逻辑控制器(PLC)(102),其对应于生产系统(120)中的生产PLC(122)并且可配置为以生产PLC的处理速度的至少两倍快的加速处理速度来操作。该系统还可包括数据处理系统(132),其配置为与在执行受恶意软件感染的PLC固件(112)时的复制PLC通信,并基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的生产系统的虚拟模型(142)来生成生产系统的模拟(146)。该模拟可包括基于与使用受恶意软件感染的PLC固件的复制PLC通信的、生产PLC的加速模拟。该数据处理系统还可监控:来自复制PLC和生产系统的模拟的输出,以确定由生产PLC执行受感染的PLC固件而不是未感染的PLC固件所造成的、对生产系统的硬件部件(124)的可能威胁;以及通过显示设备(152)指示可能威胁的输出数据。
Description
技术领域
本公开主要涉及可编程逻辑控制器(PLC)。
背景技术
安全系统可以监测信息活动和软件,以便检测针对工业和能源控制系统的恶意软件和网络攻击。安全系统可以因改进而受益。
发明内容
各种公开的实施例包括可用于促进工业和能源控制系统的威胁影响界定的数据处理系统和方法。在一个示例中,系统可包括至少一个复制可编程逻辑控制器(PLC),其对应于包括多个PLC控制硬件部件的生产系统中的生产PLC。至少一个复制PLC可以配置为以生产系统中的生产PLC的处理速度的至少两倍快的加速处理速度操作。该系统还可包括至少一个数据处理系统,包括至少一个处理器,其配置为与在执行受恶意软件感染的PLC固件时的至少一个复制PLC通信。该至少一个数据处理系统还可基于以物理生产系统的处理速度至少两倍快的加速处理速度操作的生产系统的虚拟模型,生成生产系统的第一模拟。第一模拟可包括基于与使用受恶意软件感染的PLC固件的至少一个复制PLC的通信的、生产PLC的加速模拟。该至少一个数据处理系统还可以监测来自至少一个复制PLC和生产系统的第一模拟的输出,以确定由于生产PLC执行感染PLC固件而不是未感染的PLC固件所造成的、对该生产系统的至少一个硬件部件的至少一个可能威胁。此外,至少一个数据处理系统可通过至少一个显示设备输出指示至少一个可能威胁的数据。
在另一个示例中,用于威胁影响界定的方法可以包括通过操作至少一个数据处理系统的至少一个处理器来执行的若干动作。这些动作可以包括当至少一个复制PLC正在执行受恶意软件感染的PLC固件,同时该至少一个复制PLC以生产系统中的生产PLC的处理速度的至少两倍快的加速处理速度操作时,与对应于包括多个PLC控制硬件部件的生产系统中的生产PLC的至少一个复制PLC通信。这些动作还可包含基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的生产系统的虚拟模型,生成生产系统的第一模拟,其中第一模拟包含基于与使用受恶意软件感染的PLC固件的至少一个复制PLC的通信的、生产PLC的加速模拟。这些动作还可以包含监测来自至少一个复制PLC和生产系统的第一模拟的输出,以确定由于生产PLC执行感染PLC固件而不是未感染的PLC固件所造成的、对该生产系统的至少一个硬件部件的至少一个可能威胁。另外,这些动作可以包含通过至少一个显示设备输出指示至少一个可能威胁的数据。
其它的示例可以包含编码有可执行指令(诸如存储设备上的软件部件)的非暂时性计算机可读介质,其在被执行时使得至少一个处理器执行所描述的方法。
另一个示例可以包含一种装置,该装置包含至少一个基于硬件、软件和/或固件的处理器、计算机、部件、控制器、装置、模块和/或单元,其配置为用于执行与所描述的方法相对应的功能。
前面已经相当广泛地概述了本公开的技术特征,使得本领域技术人员可以更好地理解随后的具体描述。在下文中将描述形成权利要求书主题的本公开另外的特征和优点。本领域技术人员将理解,他们可以容易地使用所公开的概念和具体实施例作为修改或设计用于实现本公开的相同目的的其它结构的基础。本领域技术人员还将认识到,这种等价构造不脱离本公开的精神和范围的最广泛的形式。
而且,在着手于下面的具体实施方式之前,应当理解,在本专利文件中提供了对某些词语和短语的各种定义,并且本领域普通技术人员将理解,这样的定义适用于许多、但不是大多数这样定义的单词和短语的先前和未来使用的实例。虽然一些术语可以包括各种各样的实施例,但是所附权利要求书可以将这些术语明确地限制于特定实施例。
附图说明
图1示出了有助于威胁影响界定的示例系统的功能框图。
图2示出了威胁影响界定系统的示例实现的功能框图。
图3示出了复制PLC的执行模型的功能框图。
图4示出了近似于美国电力系统的IEEE 57总线系统。
图5示出了有助于威胁影响界定的示例性方法的流程图。
图6示出了其中可以实现实施例的数据处理系统的框图。
具体实施方式
现在将参考附图描述与有助于威胁影响界定的系统和方法有关的各种技术,其中相同的附图标记始终表示相同的元件。以下讨论的附图和用于描述本专利文件中的本公开的原理的各种实施例仅是为了说明,而不应以任何方式解释为限制本公开的范围。本领域技术人员将理解,本公开的原理可以在任何适当布置的装置中实现。应当理解,被描述为由某些系统元件执行的功能可以由多个元件执行。类似地,例如,一个元件可以配置为执行描述为由多个元件执行的功能。将参考示例性非限制性实施例描述本申请的众多创新教导。
电力网系统可能未设计为能够承受或快速从由对多个部件的同时信息攻击所造成的损害中恢复。这种攻击可以由富有知识的攻击者进行,几乎没有检测到或阻截的风险。恐怖主义分子进一步精心策划和协调的瘫痪几个变电站的攻击可能会使一个国家的较大地区的电力网系统至少部分地在数月无法使用。
特别地,一种高风险硬件部件是变压器。使目标变压器发生系统性故障可以是一种可能的信息战策略,因为变压器成本高昂且不易更换。例如,许多变压器是定制的,可能需要很长的交付时间来更换或维修。
在示例性网络攻击情况中,威胁方可以执行中间人攻击,劫持到变电站变压器的无线通信信道。威胁方可以使用该能力来禁用变压器冷却风扇并使设备过热。取决于变压器及其控制器,这可以通过直接命令或大幅提高油温设定点来完成。这可能导致关键变电站变压器的损坏和客户的电力损失。
因此,快速理解复杂的互连电力系统中的网络攻击的预期影响的能力可能有助于总体威胁界定过程。遗憾的是,即使在详细相关的、低级控制系统取证数据(例如,记录的过程数据、控制命令、系统配置变更的内容)可用时,识别这种预期的影响可能需要专家进行人工分析,该专家需要能够对IT取证以及其到高级域(例如,电力网域)概念(例如,电气系统的硬件部件、需求/负载侧管理)的转换方面具有深入理解。
使用诸如高级静态分析之类的技术来实现高级恶意软件的快速界定可能是不可能或不实际的,其可能过于昂贵、耗时并且在可扩展性方面受到限制。工业和能源控制系统的领域本质上是多种多样且复杂的。可能需要从使其易于管理的恶意软件分析和工具支持中获得深入的知识来界定这些域中的威胁。
本文描述的示例实施例旨在解决估计复杂恶意软件攻击对能源控制系统或其他工业系统的影响的问题。示例实施例可包括威胁影响界定系统,其配置为将低级取证数据自动转换为适合于取证专业人员的高级影响界定概念,以快速理解由恶意软件攻击造成的对能源控制系统(和/或其他工业系统)的潜在影响或计划的影响。诸如系统可以执行威胁影响界定,其将经由来自可编程逻辑控制器(PLC)的低级仪表获得的性能指标相关联,以对过去(经由过程历史数据)和未来(经由模拟)的受恶意软件损害的能源控制系统或其他工业系统的预测的行为建模。
参考图1,示出了有助于威胁影响界定的示例系统100的功能框图。该系统可以包含至少一个复制PLC 102,其包括处理器104、存储器106、控制逻辑代码108以及与来自生产系统120中的生产PLC 122的固件相对应固件110。这样的生产系统120可以对应于能源控制系统(例如,电力网系统)或使用PLC来控制和监测硬件部件124和过程的其它工业系统。在该示例中,复制PLC可以对应于实际物理PLC(具有物理处理器和存储器)。然而,应当理解,替代实施例可以使用经由工作站、服务器或云环境中的软件模拟的复制PLC。
至少一个复制PLC 102可以配置为以在生产系统120中操作时的生产PLC 102的处理速度的至少两倍快的加速处理速度操作。例如,可以缩短PLC周期时间配置和/或可以对复制PLC的处理器104(以及可选地存储器106和其它部件)进行超频以更快地运行。应当理解,加速处理速度可以对应于比PLC的供应处理速度(当空气冷却时)更快的其它速度,诸如快25%、快50%、快三倍、快四倍或任何其它高于或低于这些值的加速的速度。还应当理解,经由仿真执行的复制PLC也可以配置为以这些描述的加速处理速度操作。
当超频时,可以将附加冷却系统118增加到复制PLC 102(与生产PLC 122相比)上以消散由复制PLC的处理器产生的额外的热量。用于复制PLC的示例冷却系统可以采用额外的或更大的散热器、液体冷却(水或氮)、导热管、相变冷却和/或任何其它基于处理器的冷却技术,其使得生产PLC能够比由制造商配置的供应生产PLC操作得更快。例如,复制PLC102可以经由水、液氮或其它类型的液体冷却系统冷却,该系统能够使得PLC以比在生产环境中操作的相应生产PLC 122的处理速度更快的处理速度操作。
示例系统100可还包含至少一个数据处理系统132(诸如服务器、工作站),包含至少一个处理器134、至少一个存储器136以及一个或多个应用软件部件138。数据处理系统132可以配置为与至少一个复制PLC接合(即,从其接收通信并向其发送通信)(经由通信线路144),以便模仿PLC与生产环境交互的方式。例如,可以经由合适的软件和硬件配置数据处理系统132,以便向PLC提供数字和模拟输入,这些输入模拟由传感器或其它部件提供给生产PLC的数据。数据处理系统132还可以配置为发送引导PLC的活动的控制消息。
在示例实施例中,与复制PLC接合的至少一个数据处理系统132的应用软件部件138可以包括由至少一个处理器134执行的模拟软件140。用于模拟电力网生产系统的这种模拟软件140的示例包括由加拿大蒙特利尔的OPAL-RT科技提供的OPAL-RT电力网模拟器。模拟软件140可以配置为对实际电力网系统(即,生产系统120)建模并创建虚拟网格模型(即,虚拟生产系统模型142)。该虚拟网格模型142可以由模拟软件140使用,以执行对电力网网络(即,生产系统120)的全部或部分的一个或多个模拟146、148。这种模拟146、148可以以在模拟中包括至少一个虚拟PLC的方式执行,该模拟经由通信链路144上与至少一个物理复制PLC 102进行通信来控制。因此,在该示例中,复制PLC配置为与模拟电力网的其它部分接合或执行生产系统的模拟。
在一个示例中,虚拟生产系统模型142的模拟146、148可以由模拟软件140以对应于至少一个复制PLC的加速处理速度的加速速率来执行。因此,复制PLC 102和作为一组工作的虚拟生产系统模型的组合可以在加速的时间框架中生成数据,该框架可以比具有相同配置的执行相同的生产任务的物理生产的实时时间框架更快地进行评估(诸如,取决于所使用的超频倍数,为时间框架的一半)。
这种加速模拟使得能够将所描述的系统100在比尝试监测受恶意软件感染的PLC在实际生产系统上的影响所用的更少时间内用于评估受恶意软件感染的PLC固件与未感染的PLC固件相比的影响。以下描述提供了如何使用复制PLC评估这种受恶意软件感染的PLC固件的示例。然而应当理解,本文描述的原理和特征也可以用于使用复制PLC评估对PLC的其它恶意修改,包括恶意修改PLC系统配置、PLC存储器块(例如,FC、SFC、OB、DB)和/或PLC中的恶意修改固件、存储器或配置的任意组合。
例如,当在实际生产系统(诸如电力网系统中)中的实际生产PLC中检测到确认的或怀疑的受感染的PLC固件时,可以从生产PLC中提取这种受感染的固件并注入(即,安装)复制PLC。然后可以操作数据处理系统来执行以加速处理速度操作的生产系统的第一模拟146,其包括基于使用受感染的PLC固件与复制PLC的通信的生产PLC的加速模拟。
应当理解,由模拟软件执行的虚拟生产系统模型能够产生与生产系统的硬件部件124的特性以及正在由被模拟的生产系统执行的过程相对应的过程数据流。这种过程数据流可以捕获来自传感器的测量值以及其中随时间经由PLC控制硬件部件的方式。
该至少一个数据处理系统的应用软件部件还可以包括评估软件150,其用于评估由第一模拟产生的过程数据流。例如,评估软件可以配置为将从生产系统120捕获的历史过程数据流与由第一模拟146产生的数据过程流进行比较,以确定指示对生产系统的至少一个可能威胁的过程数据流之间的差异。
在示例实施例中,生产系统120可以包括一个或多个数据处理系统126,其包括过程历史软件128,该软件配置为从生产系统捕获和存储过程数据流并将它们存储在一个或多个数据存储中。这种软件的一个示例包括由德国西门子公司生产的SIMATIC过程历史软件。然而应当理解,示例实施例可以配置为从由其它归档软件和系统捕获的过程数据流生成模拟。
另外,生产系统120可以配置为使得本文所描述的模拟能够响应于来自生产系统中的实际传感器的传感器数据而操作,以便利用在实际生产系统中获取的实际数据来增强取证分析。
在示例实施例中,生产系统120可以包括一个或多个数据处理系统126,其包括控制逻辑历史软件130,其配置为捕获并存储随时间由PLC使用的控制逻辑的变化。所描述的模拟软件140可以配置为生成所描述的模拟,其中一个或多个PLC根据由控制逻辑历史软件130针对生产系统捕获的控制逻辑历史的变化来操作。
还可以操作至少一个数据处理系统132来执行以加速处理速度操作的生产系统的第二模拟148,其包括基于与也使用未感染的PLC固件的复制PLC的通信的、生产PLC的加速模拟。
在示例实施例中,可以顺序地执行使用相同复制PLC但具有不同固件(受感染和未感染)的这些第一和第二模拟。然而还应当理解,系统可以采用两个(或更多个)复制PLC,一个具有并且一个不具有受感染的PLC。因此,数据处理系统(或者两个或更多个数据处理系统)可以使用相应的第一和第二复制同时地执行第一和第二模拟,以便减少生成比较数据所花费的时间的量。
评估软件150可以评估来自一个或多个复制PLC以及生产系统的第一和第二模拟的过程数据流,以确定由生产PLC执行受感染的PLC固件而不是未感染的PLC固件所造成的对生产系统的可能威胁。例如,评估软件可以配置为比较第一和第二模拟之间的虚拟硬件部件的特性,以确定两个模拟之间的偏差。这种偏差可以对应于虚拟生产系统模型能够监测的生产系统硬件的温度、压力、速度、时间和/或任何其它特性的偏差。
对生产系统的这些威胁可以对应于例如生产系统的硬件部件124的损坏、由生产系统执行的过程的劣化,和/或生产系统生产的产品的劣化。因此,应当理解,与威胁相关联的硬件部件124可以包括经由PLC控制的实际硬件(诸如冷却剂泵),以及不直接由PLC控制但可能通过固件感染的PLC操作的方式受威胁的其它硬件部件(例如,经由PLC控制泵所提供的冷却剂进行冷却的部件)。
另外地或替代地,评估软件可以配置为在第一和第二模拟之间执行复制PLC的低级操作特性的比较,以确定可以指示潜在机制的操作特性之间的差异,通过该机制生产系统可受到受感染的固件的威胁。
为了从复制PLC获取这种低级操作特性,可以将取证固件代码116注入到至少一个复制PLC中。这样的取证固件代码可以配置为监测并向至少一个数据处理系统132提供与至少一个复制PLC的内部操作相对应的操作数据,而不干扰受感染的PLC固件112或未感染的PLC固件114的操作。
这种取证固件可用于监测和捕获对应于PLC的内部操作的数据,诸如扫描周期时间、抖动、自动化任务、硬件配置或它们的任何组合。评估软件150可以配置为使用由取证固件代码提供的数据来确定对生产系统的可能威胁。
在示例实施例中,评估软件150可以配置为执行至少一个比较,包括比较来自以下中的至少一个的输出:第一模拟与第二模拟;使用受感染的PLC固件和未感染的PLC固件时的至少一个复制PLC;或它们的组合。评估软件150还可以配置为基于该至少一个比较来确定在模拟生产系统、至少一个复制PLC或它们的组合中的至少一个在第一和第二模拟之间操作中的至少一个差异。另外,评估软件150可以配置为基于所确定的至少一个差异来确定生产系统中的至少一个硬件部件与由受感染的PLC固件造成的可能损坏相关联。
可以经由评估软件配置至少一个数据处理系统132,来通过输出指示本文所描述的比较和确定的结果数据的显示设备152(诸如LCD显示屏)输出标记。这种确定可以包括生产系统中的多个硬件部件124中的哪一个可能经历或已经经历过威胁(诸如对硬件部件的损坏)。这种数据处理系统可以进一步经由评估软件配置,以响应于来自一个或多个输入设备154(例如,鼠标、键盘、触摸屏)的输入来处理数据。
在示例实施例中,评估软件150可以通过显示设备152生成图形用户界面,其使得用户能够将由数据处理系统132产生的数据标记为对应于对生产系统的可能威胁。响应于这种标记,至少一个数据处理系统132可以配置为执行其它模拟,其着重于产生了标记的可能威胁的生产系统的方面。例如,可以在第一和第二模拟系统中重复执行与标记的可能威胁相关联的生产系统的特定过程,以近似得到由受感染的固件造成的关于标记的可能威胁的对生产系统中的硬件部件的长期影响。
另外,取证固件116可以被注入到在生产系统中操作的生产PLC 122中。可以由评估软件评估取证固件的输出,以标记对生产系统的可能威胁。然后可以执行所描述的复制PLC的模拟,以加速与标记的可能威胁相对应的行为,从而确定受恶意软件感染的固件可能对生产系统具有的可能的长期影响。
应当理解,由所描述的系统经由所描述的模拟确定(并且通过显示设备输出)的数据可以不仅反映对生产系统的特定硬件部件的威胁,而且还可以示出至少一个可能威胁对生产系统的总体信息-物理影响。此外,可以关于时间并对应于信息-物理影响的时间轴确定总体信息-物理影响,和/或总体信息-物理影响可以代表一个或多个后果(或者随着时间的推移,信息-物理影响的一系列后果)。
例如,系统可能能够确定对特定类型的硬件部件(诸如泵)的威胁。系统还能够确定泵(或其它硬件)的操作如何随时间劣化并且随时间影响生产系统的总体操作。例如,泵的初始劣化可能导致其快速地移动冷却剂或处理液体,并且随时间加快。在泵的操作中随着时间的这种加速可能不仅会损坏泵,而且还可能损坏系统中的其它部件、改变制造产品的过程,和/或导致整个生产系统或其部分关闭。所描述的模拟可以随时间揭示这些后果中的每一个,并且所描述的系统可以配置为输出代表这些对于生产系统的后果的标记。
现在参考图2,示出了所描述的威胁影响界定系统200的示例实现。在该示例中,系统200可以包括执行先前描述的评估软件150的不同方面的两个部件。这些部件可以包括:动态恶意软件分析(DMA)软件部件202和电力网影响分析(PGIA)软件部件204。DMA部件202可以配置为与PLC取证监测可注入固件代码(PFIF代码)210通信,其对应于先前描述的取证固件116的一部分,用于从PLC收集通过其它方式不可访问的信息。由于电力网系统对时间要求严格,因此PFIF代码可以配置为对于PLC是非侵入式的,以满足这些部件的硬实时要求。在该示例中,复制PLC 102可以对应于商用现货PLC,其代表能源自动化行业中使用的PLC类型(诸如SIMATIC S7-1500系列控制器或由西门子工业自动化或任何其它PLC供应商提供的其它PLC)。
DMA部件202还可以配置为使用来自过程历史软件130的信息(诸如过程历史(Process Historian)软件)和来自控制逻辑变化历史软件128的变更日志/差异来执行对来自受恶意软件感染的固件的威胁及其影响的分析。
PGIA部件204还可以使用来自过程历史软件130的历史数据、与复制PLC 102的通信以及来自可疑恶意软件感染的PLC的控制逻辑108来执行过去影响的估计(基于与受感染的固件结合的历史控制逻辑)和未来影响的估计(基于与受感染的固件结合的当前控制逻辑)。对于过去和未来影响的估计这两者,可以使用先前描述的模拟电力网的模拟软件140(例如,OPAL-RT电力网模拟器)来生成模拟。
DMA部件202可以由与基于PC/服务器的硬件206相对应的数据处理系统执行。然而,在替代实施例中,公共或私有云服务可以用于托管DMA部件。DMA部件的主要作用可能是聚合和关联先行于历史过程数据流、控制逻辑变化历史和PFIF代码提供的数据流的数据,以便识别合法和恶意修改的固件之间的在对电力网造成影响方面的关键差异。然而应当理解,对DMA部件202使用措辞“动态恶意软件分析”并不旨在暗示提供了动态恶意软件分析的所有典型特征和步骤(例如,调试器、可执行解压缩),以及用于调查IT安全恶意软件事件的环境。相反地,DMA可能着重于观察动态交互而不是反汇编的代码的功能。
PGIA部件204还可以由与基于PC/服务器的硬件208相对应的数据处理系统和/或能够执行模拟软件140的服务器来执行。PGIA可以配置为在PLC控制的输出方面使用来自DMA部件的信息,以在给定时间点执行给定控制逻辑代码期间模拟过去和/或将来的对电力网模型的影响(具有和不具有恶意修改的固件)。可以将对物理电力网硬件部件(诸如变压器、断路器或保护设备)损坏的预计影响情况记录到数据存储器中,以便由取证团队稍后确认过去可能发生或可能在将来仍会发生的成功攻击的条件。
所描述的系统使得工业控制系统特定取证证据(过程历史、控制逻辑变化、恶意固件)可以快速关联,以便快速识别关于潜在攻击者意图对电力系统造成破坏的灾难性情况。所描述的系统还能够选择性地和快速地确定生产环境中指示对生产系统的威胁的相关时隙。
在所描述的示例中,PFIF代码210(即,取证固件代码116的一部分)可以对应于编译的二进制PLC固件代码提取,其可以无缝地注入并且稍后在取证固件(对应恶意软件检测模块212)的另一个部分检测到PLC固件中的异常(例如,存在受恶意软件感染的固件)时被调用。PFIF代码210和恶意软件检测模块212都可以独立于PLC固件操作,并且可以不干扰PLC固件的操作。
在PLC的正常操作期间,除了轻量级事件监测器之外,PFIF代码可以在PLC中保持休眠状态。PFIF代码可以由来自取证固件的恶意软件检测模块212部分的异常事件触发。然后,触发的PFIF代码可以从PLC的各种性能指标(例如,周期时间、负载)收集数据,并且可以将该取证数据发送到DMA部件。如下面更详细地讨论的,PFIF代码可以在PLC的扫描周期中的空闲时间的一部分中执行,以确保PLC的实时保证能够实现。
PFIF代码可以配置为从PLC收集通过标准PLC通信不能收集的低级取证信息。低级取证信息的收集还可以包括创建定时/调度器行为的统计数据,并且可以包括监测在固件级别实现的其它时间敏感操作。向实现的系统200提供PFIF代码可以包括在复制PLC的所选版本/模型上工作的二进制可注入代码提取(不是源代码)。
现在参考图3,示出了复制PLC的执行模型300。应当理解,PLC是硬实时系统,设计用于通过制药、制造、能源和汽车工业中的传感器和致动器与物理过程交互并控制物理过程。PLC的计算模型通常基于自动化任务形式的控制逻辑,其等同于通用编程语言中的函数。自动化任务是在称为周期或扫描周期时间304的规则且等距的时间间隔上周期执行控制程序。扫描周期时间可以是用户可配置的,并且其长度由受控物理系统的频率确定。在扫描周期内,典型的PLC执行两个逻辑动作:(1)来自/去到传感器和致动器的输入/输出(I/O)通信306,以及(2)控制逻辑程序代码308的执行。I/O事件触发对过程映像(PI)存储器310的写/读操作,以分别更新致动器312和读取传感器314的状态,它们分别由PLC控制和监测。
PI是可寻址的存储区域,其用作控制系统和与其连接的传感器314和致动器213之间的接口,并提供传感器和致动器的状态的“快照”。在整个周期的执行过程中可以访问PI。在一个周期内读取输入、写入输出并且执行程序代码所需的实际时间称为执行时间316。如果程序代码的执行在下一个周期触发之前完成(即,执行时间316小于扫描周期时间304),则程序在空闲时间318内被设置为空闲状态。还应当理解,由PLC执行的自动化任务通常可以用各种各样的编程语言(诸如IEC 61131-3)编程和配置。
PLC固件管理PLC硬件以确保计算模型符合实时要求。这包括在扫描周期时间304、中断处理、网络和自动化任务抢占内执行I/O 306和执行308阶段。
在示例实施例中,PFIF代码302可以配置为在扫描周期时间304的空闲时间318中操作。然后,先前描述的DMA部件可以在运行时监测复制PLC的性能参数,以将PFIF代码提供的低级取证信息与PLC特定行为相关联,并生成关于受恶意软件感染的固件的高级取证信息。
在示例实施例中,PFIF代码可以配置为监测复制PLC中的扫描周期时间和抖动。扫描周期时间可能是PLC的有用性能度量,因为其确定了它的实时特性。扫描周期时间的延迟称为抖动。抖动可能是PLC的另一个有用的性能度量,因为扫描周期时间的任何延迟都会直接影响PLC的精度,并从而影响PLC的控制的质量。受恶意软件感染的固件对这两个参数中的任何一个的恶意更改可能会在生产系统中造成灾难性后果,并从而可能会成为PFIF代码的监测目标。
PFIF代码还可以配置为监测PLC中的自动化任务配置。自动化任务配置指定了诸如任务的优先级、扫描周期时间、何时编译、在PLC上下载以及是否存在任何问题(例如,超过扫描周期时间)的参数。PFIF代码也可以配置为监测自动化任务,它们是PLC的程序代码(控制逻辑)。PFIF代码可以监测程序代码的变化,以便检测不太复杂的攻击类型,诸如当恶意用户在PLC中注入新的函数块或数据块时。
PFIF代码还可以配置为监测PLC中的硬件配置。硬件配置对应于PLC与之通信的工业控制系统(ICS)网络中的其它PLC、传感器、致动器、I/O模块和其它硬件(诸如人机界面(HMI))的类型和数量。PFIF代码可以监测硬件配置,以确定是否已经从PLC的工业控制系统信息添加或删除了新设备。
在所描述的系统的示例实施例中,DMA部件可以包括威胁影响界定引擎,其配置为控制和同步来自多个源的总体数据关联过程。与使用动态恶意软件分析技术(诸如可执行解压缩和调试)相反,DMA部件可以配置为着重于由过程历史软件128记录的过程输入的快速执行,同时连续监测来自记录的历史数据和由具有受恶意软件感染的固件的复制PLC所提供的控制逻辑的执行结果这两者的相应过程输出。
利用该配置,DMA部件可以监测和评估修改的固件、可能下载的控制逻辑的不同版本,以及输入(PII)和输出(PIQ)所得到的生成的过程映像之间的交互。在执行期间,DMA部件可以使用来自PFIF代码的过程数据馈送来标记数据库时隙,其很可能含有对生产系统(例如,诸如能源输送电力网系统)具有潜在影响的安全相关事件。这些标记可以对应于用作检查点的数据,以指令PGIA部件和/或模拟软件(对于虚拟生产系统模型)来计算影响。应当注意,复制PLC的加速操作使DMA部件能够以高速操作(这允许检查、关联和标记大量过程历史数据流),以便使模拟器软件能够选择性地执行更可能含有有影响力的变化的情况。
如先前所讨论的,示例实施例可以界定对诸如电力网的生产系统的威胁。为了应对现有电力网系统不断增加的负载,系统控制变得更加“智能”,以便补偿稳定裕度的降低。这种智能系统控制在采用光纤和其它高带宽媒体的信息上使用越来越多的自动化和广域通信。除了在此过程中使用的硬件的脆弱性之外,通信网络本身也存在越来越多的信息威胁,由此黑客可能会获得对重要控制和保护设置和命令的访问权。为了理解对电力网部件网络攻击的后果以及开发和验证本文提出的方法,PGIA部件204(参考图2描述)可以使用“虚拟”电力网系统(IEEE标准系统),以使用模拟软件140(诸如OPAL-RT电力网模拟器)对电力网操作执行一个或多个模拟。
模拟软件可以具有对实际电力网系统建模并创建虚拟网格模型的能力。这种虚拟电力网模型能够模拟发电厂、升压输电站、高压输电线、降压输电变电站、配电变电站、变压器、住宅/商业/工业负载和/或其它包含实际电力网的电气系统。该虚拟网格模型可用于运行电力信息的一部分的模拟,其由一个或多个复制PLC通过通信链路控制。先前描述的DMA部件202和取证固件116可用于监测复制PLC,同时用于控制模拟虚拟网格模型的多个部分。
由所描述的系统200执行的模拟可以提供真实的平台,在该平台上可以模拟攻击情况以估计可能在系统中实现的潜在后果。可以使用模拟软件开发用于不同电气设备和系统的模型,以使得示例系统能够执行具有复杂电气系统的含控制器-硬件(CHIL)实验。可以在非常接近预期的实际应用的条件下在虚拟模型中操作和测试复制PLC。受恶意软件感染的PLC对虚拟模型的动态和瞬态影响可能作为CHIL实验的自然结果显现出来。
此外,如先前所讨论的,模拟软件能够以比实时模拟执行得更快,这意味着模拟系统计算推进的一个模拟实时时刻比在实际的实时系统中发生的相同时刻的时间更短。如前所述,与模拟接合的复制PLC同样将以更快的处理速度操作,该速度对应于模拟的更快处理速度。
如前所述,复制PLC的处理器可以超频并且可以用液体冷却系统冷却,以便跟上比实时模拟更快的速度。复制PLC的处理器的这种超频可以用于缩短PLC的扫描周期时间并且使得更快地执行程序代码、固件和取证固件。
然而应当理解,在其它示例中,PLC可以在没有进行超频的情况下更快地操作。例如,可以减少复制PLC的扫描周期时间,以将实时模拟加速为比实时更快的模拟,同时继续提供100%的代码执行覆盖。
可以被模拟以与示例实施例一起使用的电力网系统的示例包括IEEE57总线系统400,其在图4中示出。IEEE 57总线系统400近似代表美国电力系统,并包括57个总线、7个发电机以及42个负载。在该电力网系统的虚拟模型中的所选节点/位置处,可以包括用于模拟的安装在电力网络或变电站(输电和配电)中的配电馈线以及保护和控制设备的更详细的模型。可以在模拟中建模并经由复制PLC控制的这些设备的示例包括:基于PLC的发电厂控制;断路器;智能电子设备(IED);继电器;变压器控制;远程终端单元(RTU);VOLT/VAR设备及控制;以及分布式能源(DER)及控制。在一些示例中,一些保护设备的控制可以直接与模拟接合,并且可以在模拟中模拟其它保护设备。
还应当理解,用于PLC的受恶意软件感染的固件的创建者可以对受感染的固件进行编程以尝试检测受感染的固件何时在复制PLC中操作。在这种情况下,受感染的固件可能放弃旨在对生产系统的硬件部件造成损害的活动,以便使取证专家更难以确定在何处会发生对生产系统的可能损坏。
为了在受恶意软件感染的固件中对抗这种编程,可以修改和/或欺骗复制PLC的特征(诸如PLC自身上的传感器),以防止它们提供指示PLC正在按所描述的复制PLC进行操作的信息。例如,可以修改PLC上的温度传感器,从而避免指示指示了处理器使用液体冷却的冷却器温度,诸如经由将传感器重新定位到PLC上的较热部分和/或用热源加热传感器,来模仿在生产系统环境中操作的PLC的操作温度。在进一步的示例中,取证固件本身可以修改传感器读数和/或PLC存储器中的任何其它参数,以指示其为生产PLC而不是复制PLC。
前面描述的示例着重于PLC。然而应当理解,生产系统(诸如电力网)可以包括可以以类似于PLC的方式(例如,经由受恶意软件感染的固件)恶意修改的其它类型的控制器。可以执行所描述的系统的替代的实施例,其包括对应于这种生产控制器的复制控制器,以代替所描述的复制PLC或者在所描述的复制PLC之外附加。在所描述的系统中可以针对使用复制控制器的这种控制器的一个示例包括远程终端单元(RTU)。
现在参考图5,示出和描述了各种示例方法。虽然这些方法被描述为按序列执行的一系列动作,但是应当理解,方法可以不受序列顺序的限制。例如,一些动作可以以与本文描述的顺序不同的顺序发生。另外,一个动作可能与另一个动作同时发生。此外,在某些情况下,并非所有动作都可能需要实现本文所描述的方法。
重要的是应当注意,尽管本公开包括在全功能系统和/或一系列动作的上下文中的描述,但是本领域技术人员将理解,本公开的机制和/或描述的动作的至少一部分能够以包含在任何各种形式的非暂时性机器可用、计算机可用或计算机可读介质中的计算机可执行指令的形式进行分发,并且本公开同样适用,而无论用于实际执行分发的特定类型的指令或数据承载介质或存储介质如何。非暂时性机器可用/可读或计算机可用/可读介质的示例包括:ROM、EPROM、磁带、硬盘驱动器、SSD、闪存、CD、DVD和蓝光光盘。计算机可执行指令可以包括例程、子例程、程序、应用程序、模块、库和/或类似物。仍进一步地,方法的动作的结果可以存储在计算机可读介质中、显示在显示设备上和/或类似的。
现在参考图5,示出了方法500,其有助于威胁影响界定。该方法可以从502处开始,并且可以包括通过至少一个处理器的操作执行的若干动作。
这些动作可以包括,当至少一个复制PLC正在执行受恶意软件感染的PLC固件同时该至少一个复制PLC以生产系统中生产PLC的处理速度的至少两倍快的加速处理速度操作时,与对应于包括多个PLC控制的硬件部件的生产系统120的生产PLC122的至少一个复制PLC进行通信的动作504。另外,该方法可以包括基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的生产系统的虚拟模型,生成生产系统的第一模拟的动作506。第一模拟可以包括基于与使用受恶意软件感染的PLC固件的至少一个复制PLC的通信的、生产PLC的加速模拟。而且,该方法可以包括监测来自至少一个复制PLC和生产系统的第一模拟的输出,以确定由于生产PLC执行感染PLC固件而不是未感染的PLC固件所造成的、该生产系统的至少一个硬件部件的至少一个可能威胁的动作508。此外,该方法可以包括通过至少一个显示设备输出指示至少一个可能威胁的数据的动作510。在512处,该方法可以结束。
应当理解,方法500可以包括先前关于处理系统132讨论的其它动作和特征。例如,该方法可以还包括将取证固件代码注入至少一个复制PLC的动作。该取证固件代码可以配置为监测并向至少一个数据处理系统提供与至少一个复制PLC的内部操作相对应的数据,而不干扰受感染的PLC固件的操作。至少一个处理器可以使用由取证固件代码提供的数据来确定至少一个威胁。在一些示例中,向至少一个数据处理系统提供数据的取证固件代码所针对的至少一个内部操作可以包括扫描周期时间、抖动或它们的任何组合中的至少一个。
所描述的方法500还可以包括从生产PLC中提取受感染的PLC固件的动作,以及将受感染的PLC固件加载到至少一个复制PLC中的动作。另外,该方法可以包括确定以下并通过显示设备输出指示以下的数据:至少一个可能威胁在生产系统上的信息-物理影响;信息-物理影响的时间轴;信息-物理影响的一个或多个后果;或它们的组合。
在其它的示例中,该方法可以包括执行通过至少一个数据处理系统的操作将从生产系统捕获的历史过程数据流与由第一模拟产生的数据过程流进行比较,以确定指示至少一个可能威胁的过程数据流之间的差异的动作。
另外,该方法可以包括对至少一个复制PLC的处理器进行超频并且对PLC采用液体冷却系统,以使得至少一个复制PLC能够在没有液体冷却系统而经由空气冷却时以PLC的最大处理速度的至少两倍速度操作的动作。
该方法还可以包括通过至少一个数据处理系统的操作执行的附加动作。这些动作可以包括在执行未感染的PLC固件时与至少一个复制PLC通信。这些动作还可以包括生成以加速处理速度操作的生产系统的第二模拟,其包括基于与使用未感染的PLC固件的至少一个复制PLC的通信的、生产PLC的加速模拟。进一步地,这些动作可以包括执行至少一个比较,包括比较来自以下中的至少一个的输出:第一模拟与第二模拟;使用受感染的PLC固件和未感染的PLC固件时的至少一个复制PLC;或它们的组合。而且,这些动作可以包括基于该至少一个比较来确定在模拟生产系统、至少一个复制PLC或它们的组合中的至少一个在第一和第二模拟之间操作中的至少一个差异。此外,这些动作可以包括基于所确定的至少一个差异来确定生产系统中的至少一个硬件部件与由受感染的PLC固件造成的可能损坏相关联。而且,指示至少一个可能威胁的输出数据可以指定至少一个硬件部件。
如先前所讨论的,可以由一个或多个处理器执行与这些方法相关联的动作(除了任何所描述的手动动作之外)。这样的处理器可以包括在一个或多个数据处理系统中,例如,它们执行可操作以使这些动作由一个或多个处理器执行的软件部件(诸如所描述的应用软件部件)。在示例实施例中,这样的软件部件可以包含与例程、子例程、程序、应用程序、模块、库和执行的线程和/或类似物相对应的计算机可执行指令。此外,应当理解,软件部件可以由软件环境/语言/框架(诸如Java、JavaScript、Python、C、C#、C++)或能够产生配置为执行本文描述的动作和特征的部件和图形用户界面的任何其它软件工具编写和/或生成。
图6示出了数据处理系统600(也称为计算机系统)的框图,其中可以实现先前描述的数据处理系统的实施例。所描绘的数据处理系统包括至少一个处理器602(例如,CPU),其可以连接到一个或多个桥/控制器/总线604(例如,北桥、南桥)。例如,总线604之一可以包括一个或多个I/O总线,诸如PCI Express总线。在所描绘的示例中还连接到各种总线的可以包括主存储器606(RAM)和图形控制器608。图形控制器608可以连接到一个或多个显示设备610。还应当注意,在一些实施例中,一个或多个控制器(例如,图形、南桥)可以与CPU集成(在同一芯片或管芯上)。CPU架构的示例包括IA-32、x86-64和ARM处理器架构。
连接到一个或多个总线的其它外围设备可以包括用于连接到局域网(LAN)、广域网(WAN)、蜂窝网络和/或其它有线或无线网络614的通信控制器612(以太网控制器、WiFi控制器、蜂窝控制器)或通信设备。
连接到各种总线的其它部件可以包括一个或多个I/O控制器616,诸如USB控制器、蓝牙控制器和/或专用音频控制器(连接到扬声器和/或麦克风)。还应当理解,各种外围设备可以连接到I/O控制器(经由各种端口和连接),包括输入设备618(例如,键盘、鼠标、指示器、触摸屏、触摸板、绘图板、轨迹球、按钮、小键盘、游戏控制器、游戏手柄、相机、麦克风、扫描仪、捕获运动手势的运动感测设备)、输出设备620(例如,打印机、扬声器)或可操作以向数据处理系统提供输入或从数据处理系统接收输出的任何其它类型的设备。而且应当理解,被称为输入设备或输出设备的许多设备都可以与数据处理系统通信来提供输入并接收输出。例如,处理器602可以集成到壳体(诸如平板电脑)中,该壳体包括用作输入和显示设备的触摸屏。此外,应当理解,一些输入设备(诸如膝上型计算机)可以包括多种不同类型的输入设备(例如,触摸屏、触摸板和键盘)。而且应当理解,连接到I/O控制器616的其它外围硬件622可以包括配置为与数据处理系统通信的任何类型的设备、机器或部件。
连接到各种总线的附加部件可以包括一个或多个存储控制器624(例如,SATA)。存储控制器可以连接到存储设备626(诸如一个或多个存储驱动器和/或任何相关联的可移动介质),其可以是任何合适的非暂时性机器可用或机器可读存储介质。示例包括非易失性设备、易失性设备、只读设备、可写设备、ROM、EPROM、磁带存储、软盘驱动器、硬盘驱动器、固态驱动器(SSD)、闪存、光盘驱动器(CD、DVD、蓝光),以及其它已知的光学、电学或磁性存储设备驱动器和/或计算机媒体。同样在一些示例中,诸如SSD的存储设备可以直接连接到诸如PCI Express总线的I/O总线604。
根据本公开的实施例的数据处理系统可以包括操作系统628、软件/固件630和数据存储632(它们可以存储在存储设备626和/或存储器606上)。这种操作系统可以采用命令行界面(CLI)式shell和/或图形用户界面(GUI)式shell。GUI式shell允许在图形用户界面中同时呈现多个显示窗口,并且每个显示窗口提供到不同应用程序或同一应用程序的不同实例的接口。用户可以通过诸如鼠标或触摸屏之类的指示设备来操纵图形用户界面中的光标或指示器。可以改变光标/指示器的位置和/或可以产生诸如点击鼠标按钮或触摸触摸屏之类的事件以驱控所需的响应。可以在数据处理系统中使用的操作系统的示例可以包括Microsoft Windows、Linux、UNIX、iOS和Android操作系统。而且,数据存储器的示例包括数据文件、数据表、关系型数据库(例如,Oracle、Microsoft SQL Server)、数据库服务器,或者能够存储数据的任何其它结构和/或设备,其可由处理器检索。
通信控制器612可以连接到信息614(不是数据处理系统600的一部分),其可以是本领域技术人员已知的任何公共或私有数据处理系统网络或网络的组合,包括互联网。数据处理系统600可以通过网络614与一个或多个其它数据处理系统(诸如服务器634(也不是数据处理系统600的一部分))通信。然而,替代的数据处理系统可以对应于作为分布式系统的一部分实现的多个数据处理系统,其中与多个数据处理系统相关联的处理器可以通过一个或多个信息连接进行通信,并且可以共同执行由单个数据处理系统执行的所描述的任务。因此应当理解,当提及数据处理系统时,这种系统可以横跨组织在分布式系统中的多个数据处理系统来实现,经由网络彼此通信。
此外,术语“控制器”指的是控制至少一个操作的任何设备、系统或它们的部分,无论这种设备是以硬件、固件、软件还是其中至少两个的某种组合来实现的。应当注意,与任何特定控制器相关联的功能可以是集中的或分布式的,无论是本地的还是远程的。
另外应当理解,数据处理系统可以实现为虚拟机架构或云环境中的虚拟机。例如,处理器602和相关联的部件可以对应于在一个或多个服务器的虚拟机环境中运行的虚拟机。虚拟机体系架构的示例包括VMware ESCi、Microsoft Hyper-V、Xen和KVM。
本领域普通技术人员将理解,针对数据处理系统描绘的硬件可以针对特定实现而变化。例如,在该示例中的数据处理系统600可以对应于控制器、计算机、工作站、服务器、PC、笔记本计算机、平板电脑、移动电话和/或与本文所述的数据处理系统、计算机、处理器和/或控制器的操作相关联的、可操作以处理数据和执行本文所述的功能和特征的任何其它类型的装置/系统。提供所示出的示例仅是为了解释的目的,并不意味着暗示对于本公开的架构限制。
而且,应当注意,本文描述的处理器可以位于远离本文描述的显示和输入设备的服务器上。在这样的示例中,所描述的显示设备和输入设备可以包括在客户端设备中,其通过有线或无线网络(其可包括因特网)与服务器(和/或在服务器上执行的虚拟机)通信。在一些实施例中,这种客户端设备例如可执行远程桌面应用程序或者可以对应于与服务器执行远程桌面协议的便携式设备,以便将输入从输入设备发送到服务器并接收来自服务器的视觉信息以通过显示设备显示。这种远程桌面协议的示例包括Teradici的PCoIP、Microsoft的RDP和RFB协议。在另一个示例中,这样的客户端设备可以对应于运行web浏览器或瘦客户端应用程序的计算机。来自用户的输入可以从web浏览器或瘦客户端应用程序传输,以在服务器上评估、由服务器提交,并且向客户端计算机发送回由web浏览器或瘦客户端应用程序显示的图像(或一系列图像)。同样在一些示例中,本文描述的远程处理器可对应于在服务器的物理处理器中执行的虚拟机的虚拟处理器的组合。
如本文所用,术语“部件”和“系统”旨在包含硬件、软件,或硬件和软件的组合。因此例如,系统或部件可以是进程、在处理器上执行的进程或处理器。另外,部件或系统可以位于单个设备上或分布在多个设备上。
而且,如本文所用的,处理器对应于经由硬件电路、软件和/或固件配置以处理数据的任何电子设备。例如,本文描述的处理器可以对应于微处理器、CPU、FPGA、ASIC或任何其它集成电路(IC)或能够处理数据处理系统中的数据的其它类型的电路中的一个或多个(或组合),其可以具有控制器板、计算机、服务器、移动电话和/或任何其它类型的电子设备的形式。
本领域技术人员将认识到,为了简单和清楚起见,本文没有描绘或描述适用于本公开的所有数据处理系统的完整结构和操作。相反地,仅描绘和描述了本公开所独有的或者对于理解本公开所必需的数量的数据处理系统。数据处理系统600的其余构造和操作可以与本领域中已知的各种当前实现和实践中的任何一个兼容。
而且应当理解,除非在一些示例中明确限制,否则应当广义地解释本文中使用的词语或短语。例如,术语“包括”和“包含”以及它们的衍生物,意味着无限制地包括。除非上下文另有明确说明,否则单数形式“一”、“一个”和“该”也包括复数形式。此外,本文使用的术语“和/或”是指并包含一个或多个相关的所列项目的任何和所有可能的组合。除非上下文另有明确说明,否则术语“或”是包含性的,意味着“和/或”。短语“与...相关联”和“与其相关联”及其衍生词意味着包括、包括在内、与...互连、含有、含有在内、连接到或与...连接、耦接到或与...耦接、与...可通信、与...合作、交错、并置、接近于、绑定到或与...绑定、具有、具有...的性质、或类似的。
而且,尽管本文可以使用术语“第一”、“第二”、“第三”等来描述各种元件、功能或动作,但是这些元件、功能或动作不应受这些术语的限制。相反地,这些数字形容词用于区分彼此不同的元件、功能或动作。例如,第一元件、功能或动作可以被称为第二元件、功能或动作,并且类似地,第二元件、功能或动作可以被称为第一元件、功能或动作,而不脱离本公开的范围。
另外,诸如“处理器配置为”执行一个或多个功能或过程,其可以意味着处理器操作地配置为或可操作地配置为经由软件、固件和/或有线电路执行功能或过程。例如,配置为执行功能/过程的处理器可以对应于执行软件/固件的处理器,其编程为使得处理器执行功能/过程和/或可以对应于在存储器或存储设备中具有软件/固件的处理器,其可由处理器执行以执行功能/过程。还应当注意,“配置为”执行一个或多个功能或过程的处理器也可以对应于专门制造或“连线”以执行功能或过程的处理器电路(例如,ASIC或FPGA设计)。此外,在配置为执行多于一个功能的元件(例如,处理器)之前的短语“至少一个”可以对应于每个执行功能的一个或多个元件(例如,处理器)并且还可以对应于分别执行一个或多个不同功能中的不同一个的两个或更多个元件(例如,处理器)。
此外,术语“与...相邻”可以表示:元件相对接近但不与另外的元件接触;或者该元件与另外部分接触,除非上下文另有明确说明。
尽管已经详细描述了本公开的示例性实施例,但是本领域技术人员将理解,在以最广泛的形式不脱离本公开的精神和范围的情况下,可以对本文的公开进行各种改变、替换、变化和改进。
本申请中的描述都不应被理解为暗示任何特定元素、步骤、动作或功能是必要元素且其必须包括在权利要求的范围内:仅由允许的权利要求定义的专利主题的范围。此外,这些权利要求中没有一个旨在援引装置加功能要求构造,除非确切的词语“用于...的装置”后面跟着分词。
Claims (23)
1.一种用于威胁影响界定的系统(100),包括:
至少一个复制可编程逻辑控制器PLC(102),对应于包括多个PLC控制硬件部件(124)的生产系统(120)中的生产PLC(122),并且其中至少一个复制PLC被配置为以所述生产系统中的所述生产PLC的处理速度的至少两倍快的加速处理速度操作,
至少一个数据处理系统(132),包括至少一个处理器(134),所述至少一个处理器被配置为:
与在执行受恶意软件感染的PLC固件(112)时的所述至少一个复制PLC通信;
基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的所述生产系统的虚拟模型(142),生成所述生产系统的第一模拟(146),其中所述第一模拟包括基于与使用所述受恶意软件感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟;
监测来自所述至少一个复制PLC和所述生产系统的所述第一模拟的输出,以确定由所述生产PLC执行受感染的PLC固件而不是未感染的PLC固件所造成的、对所述生产系统的至少一个硬件部件的至少一个可能威胁;并且
通过至少一个显示设备(152)输出指示所述至少一个可能威胁的数据。
2.根据权利要求1所述的系统,其中所述至少一个复制PLC包括注入所述至少一个复制PLC中的取证固件代码(116),其中所述取证固件代码被配置为监控并向所述至少一个数据处理系统提供与所述至少一个复制PLC的至少一个内部操作相对应的数据,而不干扰所述受感染的PLC固件的操作,其中所述至少一个处理器被配置为使用由所述取证固件代码提供的数据来确定所述至少一个可能威胁,其中所述取证固件代码向所述至少一个数据处理系统提供数据所针对的所述至少一个内部操作包括扫描周期时间、抖动或它们的组合中的至少一个。
3.根据权利要求1或2中任一项所述的系统,其中所述至少一个处理器被配置为确定并通过所述至少一个显示设备输出指示以下的数据:所述至少一个可能威胁在所述生产系统上的信息和物理影响;所述信息和物理影响的时间轴;所述信息和物理影响的一个或多个后果;或它们的组合。
4.根据权利要求1或2所述的系统,其中所述至少一个处理器被配置为将从所述生产系统捕获的历史过程数据流与由所述第一模拟产生的数据过程流进行比较,以确定指示所述至少一个可能威胁的过程数据流之间的差异。
5.根据权利要求3所述的系统,其中所述至少一个处理器被配置为将从所述生产系统捕获的历史过程数据流与由所述第一模拟产生的数据过程流进行比较,以确定指示所述至少一个可能威胁的过程数据流之间的差异。
6.根据权利要求1或2所述的系统,其中所述至少一个复制PLC对应于具有处理器(104)的PLC,该处理器超频并包括液体冷却系统(118),以使得所述至少一个复制PLC能够在没有液体冷却系统而经由空气冷却时,以PLC的最大处理速度的至少两倍的速度操作。
7.根据权利要求5所述的系统,其中所述至少一个复制PLC对应于具有处理器(104)的PLC,该处理器超频并包括液体冷却系统(118),以使得所述至少一个复制PLC能够在没有液体冷却系统而经由空气冷却时,以PLC的最大处理速度的至少两倍的速度操作。
8.根据权利要求1或2所述的系统,其中所述生产系统对应于电力网,其中所述硬件部件包括至少一个变压器。
9.根据权利要求7所述的系统,其中所述生产系统对应于电力网,其中所述硬件部件包括至少一个变压器。
10.根据权利要求1或2所述的系统,其中所述至少一个数据处理系统被配置为:
与在执行未感染的PLC固件(114)时的所述至少一个复制PLC通信;
生成以所述加速处理速度操作的所述生产系统的第二模拟(148),所述第二模拟包括基于与使用所述未感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟;
执行至少一个比较,包括比较来自以下中的至少一个的输出:所述第一模拟与所述第二模拟;使用所述受感染的PLC固件和所述未感染的PLC固件时的所述至少一个复制PLC;或它们的组合;
基于所述至少一个比较,确定模拟的生产系统、所述至少一个复制PLC、或它们的组合中的至少一个在所述第一模拟和所述第二模拟之间操作中的至少一个差异;并且
基于所确定的所述至少一个差异,确定所述生产系统中的所述至少一个硬件部件与由所述受感染的PLC固件造成的可能损坏相关联,其中指示所述至少一个可能威胁的输出数据指定所述至少一个硬件部件。
11.根据权利要求9所述的系统,其中所述至少一个数据处理系统被配置为:
与在执行未感染的PLC固件(114)时的所述至少一个复制PLC通信;
生成以所述加速处理速度操作的所述生产系统的第二模拟(148),所述第二模拟包括基于与使用所述未感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟;
执行至少一个比较,包括比较来自以下中的至少一个的输出:所述第一模拟与所述第二模拟;使用所述受感染的PLC固件和所述未感染的PLC固件时的所述至少一个复制PLC;或它们的组合;
基于所述至少一个比较,确定模拟的生产系统、所述至少一个复制PLC、或它们的组合中的至少一个在所述第一模拟和所述第二模拟之间操作中的至少一个差异;并且
基于所确定的所述至少一个差异,确定所述生产系统中的所述至少一个硬件部件与由所述受感染的PLC固件造成的可能损坏相关联,其中指示所述至少一个可能威胁的输出数据指定所述至少一个硬件部件。
12.一种用于威胁影响界定的方法(500),包括:
通过操作至少一个数据处理系统(132)的至少一个处理器(134):
当至少一个复制可编程逻辑控制器PLC(102)正在执行受恶意软件感染的PLC固件(112),同时所述至少一个复制PLC以生产系统(120)中的生产PLC(122)的处理速度的至少两倍快的加速处理速度操作时,与对应于包括多个PLC控制硬件部件(124)的所述生产系统中的所述生产PLC的所述至少一个复制PLC通信(504);
基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的所述生产系统的虚拟模型(142),生成所述生产系统的第一模拟(146),其中所述第一模拟包括基于与使用所述受恶意软件感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟;
监控来自所述至少一个复制PLC和所述生产系统的所述第一模拟的输出,以确定由所述生产PLC执行受感染的PLC固件而不是未感染的PLC固件所造成的、对所述生产系统的至少一个硬件部件的至少一个可能威胁;并且
通过至少一个显示设备(152)输出指示所述至少一个可能威胁的数据。
13.根据权利要求12所述的方法,还包括:
将取证固件代码(116)注入所述至少一个复制PLC,其中所述取证固件代码被配置为监控并向所述至少一个数据处理系统提供与所述至少一个复制PLC的至少一个内部操作相对应的数据,而不干扰所述受感染的PLC固件的操作,
其中所述至少一个处理器使用由所述取证固件代码提供的数据来确定至少一个威胁,其中所述取证固件代码向所述至少一个数据处理系统提供数据所针对的所述至少一个内部操作包括扫描周期时间、抖动或它们的组合中的至少一个。
14.根据权利要求12或13中任一项所述的方法,还包括:
从所述生产PLC中提取所述受感染的PLC固件;
将所述受感染的PLC固件加载到所述至少一个复制PLC中;并且
确定并通过所述至少一个显示设备输出指示以下的数据:所述至少一个可能威胁在所述生产系统上的信息和物理影响;所述信息和物理影响的时间轴;所述信息和物理影响的一个或多个后果;或它们的组合。
15.根据权利要求12或13所述的方法,还包括通过操作所述至少一个数据处理系统,将从所述生产系统捕获的历史过程数据流与由所述第一模拟产生的数据过程流进行比较,以确定指示所述至少一个可能威胁的过程数据流之间的差异。
16.根据权利要求14所述的方法,还包括通过操作所述至少一个数据处理系统,将从所述生产系统捕获的历史过程数据流与由所述第一模拟产生的数据过程流进行比较,以确定指示所述至少一个可能威胁的过程数据流之间的差异。
17.根据权利要求12或13所述的方法,还包括超频所述至少一个复制PLC的处理器(104)并且对PLC采用液体冷却系统(118),以使得所述至少一个复制PLC能够在没有液体冷却系统而经由空气冷却时,以PLC的最大处理速度的至少两倍的速度操作。
18.根据权利要求16所述的方法,还包括超频所述至少一个复制PLC的处理器(104)并且对PLC采用液体冷却系统(118),以使得所述至少一个复制PLC能够在没有液体冷却系统而经由空气冷却时,以PLC的最大处理速度的至少两倍的速度操作。
19.根据权利要求12或13所述的方法,其中所述生产系统对应于电力网,其中所述硬件部件包括变压器。
20.根据权利要求18所述的方法,其中所述生产系统对应于电力网,其中所述硬件部件包括变压器。
21.根据权利要求12或13所述的方法,还包括通过操作所述至少一个数据处理系统:
与在执行未感染的PLC固件(114)时的所述至少一个复制PLC通信;
生成以所述加速处理速度操作的所述生产系统的第二模拟(148),所述第二模拟包括基于与使用所述未感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟;
执行至少一个比较,包括比较来自以下中的至少一个的输出:所述第一模拟与所述第二模拟;使用所述受感染的PLC固件和所述未感染的PLC固件时的所述至少一个复制PLC;或它们的组合;
基于所述至少一个比较,确定模拟的生产系统、所述至少一个复制PLC、或它们的组合中的至少一个在所述第一模拟和所述第二模拟之间操作中的至少一个差异;
基于所确定的所述至少一个差异,确定所述生产系统中的所述至少一个硬件部件与由所述受感染的PLC固件造成的可能损坏相关联,其中指示所述至少一个可能威胁的输出数据指定所述至少一个硬件部件。
22.根据权利要求20所述的方法,还包括通过操作所述至少一个数据处理系统:
与在执行未感染的PLC固件(114)时的所述至少一个复制PLC通信;
生成以所述加速处理速度操作的所述生产系统的第二模拟(148),所述第二模拟包括基于与使用所述未感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟;
执行至少一个比较,包括比较来自以下中的至少一个的输出:所述第一模拟与所述第二模拟;使用所述受感染的PLC固件和所述未感染的PLC固件时的所述至少一个复制PLC;或它们的组合;
基于所述至少一个比较,确定模拟的生产系统、所述至少一个复制PLC、或它们的组合中的至少一个在所述第一模拟和所述第二模拟之间操作中的至少一个差异;
基于所确定的所述至少一个差异,确定所述生产系统中的所述至少一个硬件部件与由所述受感染的PLC固件造成的可能损坏相关联,其中指示所述至少一个可能威胁的输出数据指定所述至少一个硬件部件。
23.一种编码有可执行指令(630)的非暂时性计算机可读介质(626),其在执行时使至少一个处理器(134、602)执行根据权利要求12至22中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/048374 WO2018038718A1 (en) | 2016-08-24 | 2016-08-24 | System and method for threat impact determination |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109643092A CN109643092A (zh) | 2019-04-16 |
| CN109643092B true CN109643092B (zh) | 2021-07-27 |
Family
ID=56926264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680088601.XA Active CN109643092B (zh) | 2016-08-24 | 2016-08-24 | 用于威胁影响确定的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11328067B2 (zh) |
| EP (1) | EP3475774B1 (zh) |
| CN (1) | CN109643092B (zh) |
| WO (1) | WO2018038718A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018079424A1 (ja) * | 2016-10-24 | 2018-05-03 | パナソニックIpマネジメント株式会社 | 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法 |
| WO2018217191A1 (en) * | 2017-05-24 | 2018-11-29 | Siemens Aktiengesellschaft | Collection of plc indicators of compromise and forensic data |
| US11378929B2 (en) * | 2017-06-28 | 2022-07-05 | Si-Ga Data Security (2014) Ltd. | Threat detection system for industrial controllers |
| US11943236B2 (en) * | 2018-04-26 | 2024-03-26 | Hitachi Energy Ltd | Technologies for detecting cyber-attacks against electrical distribution devices |
| EP3579376B1 (en) | 2018-06-08 | 2020-05-13 | Ovh | Methods and systems for identifying a connection path between a power source and a load |
| US20220291652A1 (en) * | 2019-08-23 | 2022-09-15 | Siemens Aktiengesellschaft | Aspect-oriented programming based programmable logic controller (plc) simulation |
| US12079333B2 (en) * | 2019-11-22 | 2024-09-03 | Pure Storage, Inc. | Independent security threat detection and remediation by storage systems in a synchronous replication arrangement |
| US11483318B2 (en) * | 2020-01-07 | 2022-10-25 | International Business Machines Corporation | Providing network security through autonomous simulated environments |
| US11316886B2 (en) * | 2020-01-31 | 2022-04-26 | International Business Machines Corporation | Preventing vulnerable configurations in sensor-based devices |
| US11300950B2 (en) * | 2020-02-03 | 2022-04-12 | Rockwell Automation Technologies, Inc. | Systems and methods for automatic configuration of intelligent electronic devices |
| US11157057B1 (en) * | 2020-05-28 | 2021-10-26 | Ovh | Systems and methods for electric systems monitoring and/or failure detection |
| WO2022015246A1 (en) * | 2020-07-15 | 2022-01-20 | Singapore University Of Technology And Design | Method and system for characterising a programmable logic controller (plc) and/or attack detection in a networked control system |
| US20220066798A1 (en) * | 2020-08-30 | 2022-03-03 | Timothy L. Kelly | Remote Support Device |
| CN112231687A (zh) * | 2020-10-23 | 2021-01-15 | 中国航天系统工程有限公司 | 一种可编程工业控制器的安全验证系统及方法 |
| CN113075915A (zh) * | 2021-03-31 | 2021-07-06 | 西安建筑科技大学 | 基于em-plant的虚拟仿真实现方法、系统及设备 |
| US11489553B1 (en) | 2021-04-13 | 2022-11-01 | Ovh | System and method for identifying a connection between a power distribution unit and an electric device |
| CN113778054B (zh) * | 2021-09-09 | 2022-06-14 | 大连理工大学 | 一种针对工业控制系统攻击的双级检测方法 |
| US20230281310A1 (en) * | 2022-03-01 | 2023-09-07 | Meta Plataforms, Inc. | Systems and methods of uncertainty-aware self-supervised-learning for malware and threat detection |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101655699A (zh) * | 2008-08-22 | 2010-02-24 | 通用电气公司 | 用于模拟装置操作的系统和方法 |
| CN102496309A (zh) * | 2011-12-15 | 2012-06-13 | 江苏省交通规划设计院股份有限公司 | 船闸闸门防撞预警系统及其预警方法 |
| US8474040B2 (en) * | 2010-02-19 | 2013-06-25 | International Business Machines Corporation | Environmental imaging |
| CN104503366A (zh) * | 2014-11-24 | 2015-04-08 | 上海拓璞数控科技有限公司 | 一种六坐标系运动的动态互斥控制方法 |
| EP2940541A3 (en) * | 2014-04-28 | 2015-12-16 | Honeywell International Inc. | Legacy device securitization within a microgrid system |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6981279B1 (en) * | 2000-08-17 | 2005-12-27 | International Business Machines Corporation | Method and apparatus for replicating and analyzing worm programs |
| US8135567B2 (en) * | 2000-09-29 | 2012-03-13 | Ford Global Technologies, Llc | Method of emulating machine tool behavior for programmable logic controller logical verification system |
| US6947409B2 (en) * | 2003-03-17 | 2005-09-20 | Sony Corporation | Bandwidth management of virtual networks on a shared network |
| US8694296B2 (en) * | 2010-10-22 | 2014-04-08 | Agile Planet, Inc. | Method and apparatus for integrated simulation |
| US9203859B2 (en) | 2012-02-01 | 2015-12-01 | The Boeing Company | Methods and systems for cyber-physical security modeling, simulation and architecture for the smart grid |
-
2016
- 2016-08-24 EP EP16766116.4A patent/EP3475774B1/en active Active
- 2016-08-24 CN CN201680088601.XA patent/CN109643092B/zh active Active
- 2016-08-24 WO PCT/US2016/048374 patent/WO2018038718A1/en unknown
- 2016-08-24 US US16/320,242 patent/US11328067B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101655699A (zh) * | 2008-08-22 | 2010-02-24 | 通用电气公司 | 用于模拟装置操作的系统和方法 |
| US8474040B2 (en) * | 2010-02-19 | 2013-06-25 | International Business Machines Corporation | Environmental imaging |
| CN102496309A (zh) * | 2011-12-15 | 2012-06-13 | 江苏省交通规划设计院股份有限公司 | 船闸闸门防撞预警系统及其预警方法 |
| EP2940541A3 (en) * | 2014-04-28 | 2015-12-16 | Honeywell International Inc. | Legacy device securitization within a microgrid system |
| CN104503366A (zh) * | 2014-11-24 | 2015-04-08 | 上海拓璞数控科技有限公司 | 一种六坐标系运动的动态互斥控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| Identity fraud: the stealth threat to UK plc;Porter D;《Computer Fraud & Security》;20040731;全文 * |
| 对工业控制系统网络安全的思考;郭春梅, 毕学尧;《信息安全与通信保密》;20131231;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3475774C0 (en) | 2023-07-12 |
| CN109643092A (zh) | 2019-04-16 |
| EP3475774B1 (en) | 2023-07-12 |
| US20190243977A1 (en) | 2019-08-08 |
| WO2018038718A1 (en) | 2018-03-01 |
| US11328067B2 (en) | 2022-05-10 |
| EP3475774A1 (en) | 2019-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109643092B (zh) | 用于威胁影响确定的系统和方法 | |
| Eckhart et al. | Digital twins for cyber-physical systems security: State of the art and outlook | |
| US11960807B2 (en) | Proving whether software functionality has changed following a software change | |
| Zonouz et al. | Detecting industrial control malware using automated PLC code analytics | |
| JP5665188B2 (ja) | ソフトウエア更新を適用した情報処理装置を検査するシステム | |
| CN110678864A (zh) | 危害和取证数据的plc指标的收集 | |
| JP2020064670A (ja) | 産業用制御システムを防護するためのシステムおよび方法 | |
| Ahmed et al. | Generating combinatorial test cases using Simplified Swarm Optimization (SSO) algorithm for automated GUI functional testing | |
| Zubair et al. | PEM: Remote forensic acquisition of PLC memory in industrial control systems | |
| US20170154136A1 (en) | Simulation of virtual processors | |
| Choi et al. | Probabilistic attack sequence generation and execution based on mitre att&ck for ics datasets | |
| US20130318018A1 (en) | Neural network-based turbine monitoring system | |
| Cook et al. | A survey on industrial control system digital forensics: challenges, advances and future directions | |
| Liu et al. | ShadowPLCs: A novel scheme for remote detection of industrial process control attacks | |
| Awad et al. | Towards generic memory forensic framework for programmable logic controllers | |
| Redwood | Cyber physical system vulnerability research | |
| Tauber et al. | Enabling security and safety evaluation in industry 4.0 use cases with digital twins | |
| Iber et al. | The potential of self-adaptive software systems in industrial control systems | |
| Thevenon et al. | iMRC: Integrated Monitoring & Recovery Component, a Solution to Guarantee the Security of Embedded Systems. | |
| Rajput | Hardware-Assisted Non-Intrusive Security Controls for Modern Industrial Control Systems | |
| Werth et al. | A digital twin internal to a PLC to detect malicious commands and ladder logic that potentially cause safety violations | |
| Werth et al. | Intrusion prevention for payloads against cyber-physical systems by predicting potential impacts | |
| Rrushi | Timing Performance Profiling of Substation Control Code for IED Malware Detection | |
| CN116861418B (zh) | 面向32位Windows沙盒的渗透测试方法、装置、设备及存储介质 | |
| Keliris | Automated formulation of attack vectors for industrial control systems security assessment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |