CN110678864A - 危害和取证数据的plc指标的收集 - Google Patents

Abstract

本实施方式涉及监控和分析可编程逻辑控制器(PLC)的安全威胁。通过介绍，下面描述的本实施方式包括用于PLC的非侵入式监控和取证数据收集的装置和方法。提供安全监控和取证应用以执行PLC信息的安全收集、压缩和导出。安全监控和取证应用收集表示低级PLC数据和操作的数据，并提供取证环境来分析PLC数据和操作并执行取证模拟。

Description

危害和取证数据的PLC指标的收集

背景技术

网络攻击者越来越有兴趣通过危害工业自动化和控制系统来攻击关键基础设施。由于生产系统的垂直整合和价值链的水平整合，工业控制系统(ICS)和工业控制网络通常直接或间接连接到信息技术(IT)网络，诸如本地办公室和工厂网络以及互联网。这种垂直整合可能为网络攻击者提供了利用这些网络来利用已知和新发现的基础设施漏洞的机会。

与在传统IT网络上运行的计算机和其他计算装置不同，许多当前部署的ICS产品(例如，可编程逻辑控制器(PLC)、分布式控制系统(DCS)、运动控制器、监督控制和数据采集(SCADA)系统以及人机界面(HMI)是为过程控制功能而设计的，在许多情况下，根本没有真正考虑网络安全性。大多数过程控制系统网络(包括多个PLC、DCS装置、运动控制器、SCADA装置和HMI)也已集成在一起，而没有考虑潜在网络威胁。

工业控制系统的典型安全解决方案基于生产单元和装置与可访问网络隔离，从而防止网络攻击者访问关键系统。图1示出使用网络隔离保护PLC免受网络攻击的示例。例如，图1描绘一个在工厂底层具有五个生产单元的分段体系结构。每个生产单元的网络彼此隔离，并受到网络隔离(例如防火墙或虚拟专用网(VPN))的保护。该解决方案基于以下假设：网络攻击总是源自外部世界(例如，生产单元网络与办公室网络之间的通信链接)。尽管网络隔离，但网络攻击和其他恶意软件仍成功地将工业控制系统作为目标。

此外，工业控制系统可能需要经由内部网和互联网网络与业务和外部生产管理系统交换数据。当前用于工业控制系统的另一种安全解决方案基于纯粹的反应性安全对策。安全事件发生后，安全专家将分析受影响的系统，以对每个威胁进行检测和调查。执行手动步骤、代码逆向工程和动态恶意软件分析(例如，通过观察恶意软件行为等)的组合。特别是对于工业控制系统，手动代码逆向工程被大量利用，这取决于安全专家团队在压力条件下读取大量代码的情况。

发明内容

本实施方式涉及监控和分析用于安全威胁的可编程逻辑控制器(PLC)和相邻系统。通过介绍，下面描述的本实施方式包括用于PLC的非侵入式监控和取证数据收集的装置和方法。提供安全监控和取证应用以执行PLC信息的安全收集、压缩和导出。安全监控和取证应用收集与过程数据和PLC功能相关的低级PLC，并提供取证环境来分析此数据并执行取证模拟。

在第一方面，提供一种监控可编程逻辑控制器(PLC)的方法。该方法包括通过取证环境从安装在PLC上的监控应用中提取和存储安全相关的PLC数据和PLC过程数据，以及分析PLC安全数据和PLC过程数据。该方法还包括基于分析确定PLC的安全事件，并且由取证环境经由PLC取证应用(事后)启动PLC的取证数据收集。该方法还包括从PLC收集取证数据(例如安全事件)，并以取证合理的方式存储(例如，保存监管链)取证数据，以供PLC取证应用在取证环境中的后续处理。

在第二方面，提供了一种用于监控可编程逻辑控制器(PLC)操作的系统。该系统包括被配置为存储安全监控应用和安全取证应用的存储器以及处理器。处理器被配置为执行安全监控应用，以收集指示PLC操作的数据，并执行安全取证应用，以执行非侵入式取证证据收集。

在第三方面，提供了在可编程逻辑控制器(PLC)上执行取证的另一种方法。该方法包括定义多个用于监控的PLC操作，其中多个PLC操作指示安全事件。该方法还包括通过收集表示多个PLC操作、过程数据和PLC状态的当前生产数据，来监控活动PLC的多个PLC操作、过程数据和PLC状态，并分析安全事件的数据。该方法包括：检测和/或验证活动PLC的安全事件，以及响应于检测到的安全事件，部署活动PLC的取证数据收集。通过模拟活动PLC的预期行为并将活动PLC的预期行为与活动PLC的实际行为进行比较，对活动PLC执行取证。

本发明由所附权利要求限定，并且本部分中的任何内容均不应被视为对这些权利要求的限制。下面结合优选实施方式讨论本发明的其它方面和优点，并且之后可以独立地或组合地要求保护。

附图说明

部件和附图不一定按比例绘制，而是将重点放在说明实施方式的原理上。而且，在附图中，相同的附图标记表示在整个不同视图中的相应部件。

图1示出用于保护PLC免受网络攻击的现有技术解决方案的示例。

图2示出监控PLC的方法的实施方式的流程图。

图3示出用于监控PLC的部署模式的示例。

图4示出监控PLC的示例。

图5示出监控PLC的另一种方法的实施方式的流程图。

图6示出用于监控PLC的系统的实施方式。

具体实施方式

对PLC执行取证分析是为了了解、分析和响应针对工业控制系统的网络攻击和其他安全事件。由于缺乏促进数据收集的专用工具或PLC体系结构(例如，潜在的危害指标)，因此对于取证调查人员和/或安全专家而言，数据收集通常是一项艰巨的任务。此外，如果没有专门的工具或PLC体系结构来收集PLC数据以了解网络攻击的策略、技术和程序(TTP)，取证调查人员和安全专家可能要花费数周甚至数月才能解决安全事件。

本实施方式提供从分布式工业控制系统网络中的PLC装置快速和安全地收集和提取取证数据的方法。本实施方式可以在攻击之前对PLC软件堆栈和硬件进行测量，以快速检测网络攻击，诸如高级持久性威胁(APT)和其他恶意软件和安全威胁。测量提供了通过在网络攻击之前监控PLC来检测网络攻击的新方法、减少和/或最小化网络攻击对工业控制系统的不利影响的方法以及减少和/或最小化在工业控制系统上执行取证分析的时间和复杂性的方法。另外，动态取证分析可以在正在运行的(例如，活动的)生产环境中安全地执行，从而有助于立即检测网络攻击并启动相应的对策，从而避免了工业控制系统的代价高昂的停机时间。例如，提供取证基础设施作为虚拟和物理系统的集合，这些系统聚集了历史生产数据并利用系统集合的计算能力和存储装置来促进基于聚集的生产数据的历史比较。

本实施方式提供了用于监控和执行可编程逻辑控制器(PLC)的取证分析的系统和方法。例如，该系统和方法在安全事件的情况下，部署和/或利用一种或多种模式的PLC取证仪器来监控PLC并执行取证。例如，对控制器(例如，PLC)或另一装置(例如，工业个人计算机)进行测量，从而监控和记录PLC功能的低级跟踪。已执行的PLC代码和其他PLC操作在不同级别(诸如，固件、操作系统和/或应用级别)被监控和记录。安全监控应用提供非侵入性和安全的收集、压缩和导出PLC信息以供取证使用(例如，安全监控数据、危害指标、攻击指标等)。在确认/验证安全事件(例如，安全漏洞、网络攻击等)之后，部署安全取证应用。安全取证应用可促进非侵入式取证证据的收集(PLC操作、过程数据和PLC状态)，从而保留了取证信息的监管链。安全取证应用还有助于实时过程数据的非侵入式收集。

使用从安全监控和取证应用接收的数据，提供取证运行时环境中的集中式取证门户应用(例如，安全操作中心(SOC)到期)环境，以对工业控制系统进行取证分析。集中式取证门户应用还可以向安全监控应用发出请求(例如，对其他或不同数据的请求)。例如，取证门户应用通过利用实时生产数据对实时工业控制系统执行取证分析，从而增强安全性和取证分析。取证门户应用还结合使用现实世界中收集的数据和虚拟运行时环境(例如沙箱)来分析恶意应用。取证门户应用还包括大数据存储装置和用于机组(fleet)级别基准的分析基础设施、历史趋势分析和基于从许多不同工业控制系统记录和接收的数据的数据丰富化。

通过提供自动化收集PLC信息(例如，安全监控数据，危害指标等)和取证分析，可以提高PLC和工业控制系统的其他装置的网络安全性，诸如通过检测入侵和恶意更改、执行补救措施，从而缩短了取证分析所需的时间和精力。例如，为PLC提供了新的监控和取证应用(例如，允许安全应用在PLC装置上运行的运行时技术)，该应用将PLC信息上传到基于云的取证门户应用以供分析。在另一个示例中，工业个人计算机(IPC)设有新的监控和取证应用(例如，用于收集PLC和其他过程信息的加固型PC)。可替代地，修改现有PLC以执行新的监控和取证应用(例如，经由安装在PLC上的可注入固件代码)。此外，可以向新PLC、工业PC和/或经修改的PLC的组合提供监控和取证应用。实时收集和分析数据，以检测潜在的网络攻击。实时数据还可被用于实时PLC仿真，以激发和消除休眠的网络攻击。

图2示出了监控可编程逻辑控制器(PLC)的方法的实施方式的流程图。该方法由图6的系统(下面讨论)和/或不同的系统实现。另外，可以提供不同的或更少的动作。例如，可以省略图2中的动作205和207。该方法按所示顺序提供。可以提供其他顺序和/或可以重复动作。例如，可以针对多个安全事件重复动作205和207。此外，动作203、205和/或207可以作为并行动作同时执行。

在动作201处，定义多个PLC操作和/或PLC数据点以供监控。例如，选择可以指示安全事件的多个PLC操作和数据点。可以定义来自多个PLC的操作、过程数据点和PLC状态，并且可以使用来自多个PLC的操作和数据点之间的关系来确定是否发生安全事件。

在一实施方式中，PLC操作和PLC数据点为危害指示(IoC)。术语“危害指标”是指“留在系统或网络上的表明发生了已知的攻击威胁的构件”。(Fowler，Kevvie，“数据泄露处理和响应：泄露是确定的，影响不是”，Syngress，2016)。例如，定义操作和过程数据以监控系统或网络中的有效负载的痕迹或攻击中使用的特定漏洞的其他迹象。另外，还可以定义攻击指标(IoA)。定义IoA的目的是监控系统或网络中的利用系统后看到的活动痕迹。信息技术(IT)网络中使用的IoC包括病毒签名、互联网协议(IP)地址、恶意软件文件哈希、恶意UR、恶意域名等。可以定义和监控其他IoC。

在一实施方式中，用于工业控制系统的IoC被定义为包括基于PLC的指示。任何PLC操作、过程数据或PLC状态都可以被定义为PLC IoC。例如，PLC IoC可以包括以下一项或多项：循环程序处理(OB1)的组织块和其他时间驱动的组织块(OB)；PLC存储器的操作和使用；数据包在不同通信通道(例如以太网、现场总线等)上的往返通信时间；入站/出站通信模式；入站/出站通信模式的相关内部含义(例如，实时操作系统(RTOS)建立网络套接口至网络连接标识符)；通信伙伴(例如，工业控制系统中的其他计算机和装置)的IP地址；PLC块的读写模式；新下载或执行的PLC块(例如，组织块(OB)、功能块(FB)、功能(FC)、系统功能块(SFB)、系统功能(SFC)、数据块(DB)和系统数据块(SDB))；文件上传和下载操作；固件读/写操作；安全性专用的日志操作(例如，身份验证、加密、解密等)；PLC体系结构中的利用模式(例如，输入/输出(I/O)响应时间、缓存利用、驱动程序加载和操作利用时间、计时器访问和利用模式、应用加载/卸载、异常处理操作、中断利用模式、文件系统访问模式等)；引导程序操作和引导链序列；违反的安全性验证(例如，在线区块的签名等)；以及生产过程数据的其他选定关键性能指标(例如，传感器数据(诸如温度、压力、电流、速度、位置等)、生产率、能耗等)。前述PLC IoC的列表为示例性的，并且可以定义和监控其他PLC IoC。

在图2的动作203处，监控多个PLC操作、过程数据和/或PLC状态。例如，监控包括从PLC收集代表多个PLC操作的数据和其他过程数据。监控还包括分析收集的数据以用于检测安全事件。监控PLC可以由一个或多个装置执行，诸如，由运行在PLC上的应用、由运行在独立/相邻的PLC上的应用、和/或由运行在独立/相邻的装置上的应用，诸如由被配置为收集PLC数据的工业个人计算机(IPC)来执行。

图3示出用于监控PLC的部署模式的示例。部署模式中的一种或多种模式可被用于绿地(green field)部署(例如，新的工业控制系统)或棕地(brown field)部署(例如，现有或旧式工业控制系统)。图3描绘部署模式的三个示例：模式301；模式303；和模式305。可以使用其他部署模式，并且可以组合各部署模式，以监控生产/控制区域中或跨多个生产/控制区域的多个PLC。在每种部署模式下，监控多个PLC操作和/或PLC过程数据包括监控PLC固件、PLC操作系统和PLC应用。

在部署模式301中，新的PLC部署有运行时环境，该环境支持在实时生产过程期间的安全应用的部署和执行。在一个示例中，提供新的PLC，以在过程运行时并行地执行生产过程操作(例如，执行PLC代码)和安全操作(例如，执行安全和取证应用)。在部署模式301中，在PLC上运行的安全监控和取证应用被配置为监控PLC和相邻装置(例如，旧式PLC)，提供由于计算能力或内存空间限制而无法在相邻装置上支持或执行的取证和安全监控功能。运行时环境本身还支持高保真过程历史记录存储(例如，嵌入式历史数据记录)、数据压缩和短期分析。

在部署模式303中，工业个人计算机(IPC)被部署为安装有监控和取证应用。IPC在本地被部署在待监控的装置(例如，相邻装置，诸如旧式PLC)所在的控制区网络段(例如，控制区A)中。IPC本身还支持高保真过程历史记录存储(例如，嵌入式历史数据记录)、数据压缩和短期分析。

在部署模式305中，修改现有的PLC装置以执行监控和取证应用。例如，在现有PLC上执行修改(例如，低级固件、操作系统和/或软件修改)，从而为待由该装置执行的安全应用作准备。在一实现方式中，安全监控和其他过程被实现为安装在PLC装置上的可注入固件或应用代码。PLC数据由可注入的固件或应用代码监控和记录，并且可以对数据进行安全事件分析或将其提供给软件应用，以评估该数据对工业控制系统可能造成的威胁。

图4示出监控PLC的示例。图4描绘使用图3的部署模式301监控PLC。图3描绘一种分层体系结构，用于监控PLC的安全数据点和操作以及用于连续收集指示定义的PLC IoC的数据。所监控的PLC操作和过程数据存储在嵌入式过程历史数据记录401中。

如图4所示，对来自PLC的多个过程数据点和PLC状态进行监控和分析，以识别PLC的IoC。例如，监控来自分层体系结构的以下过程数据点和PLC状态：PLC固件(FW)A(例如，消息传递固件)；PLC过程映像B(例如，存储在PLC的CPU系统存储器中的输入(PII)和输出(PIQ))；运行时操作系统(RTOS)C；西门子管理程序D(例如，支持监控和取证应用的PLC的运行时环境)；引导加载程序E；Windows/Linux应用F；运行时数据库(RTDB)G；以及PLC应用H。参考A-F的数据图，对PLC数据的分析可以比较来自不同PLC层的数据，以识别潜在的安全事件。如图4所示，引导加载程序数据E的图与其他监控数据点A-D和F的数据不一致。这样，来自引导加载程序E的不一致数据可表示安全事件。在其他实施方式中，在一段时间内数据点与其自身的不一致可表示安全事件。

在一实施方式中，由安全监控应用执行监控多个PLC操作和/或PLC数据点。例如，取决于部署模式(如上所述)，安全监控应用可以由PLC、相邻的PLC、工业PC或其他装置执行。参考图4，安全监控应用403由PLC的应用容器执行。

安全监控应用在不同的监控点处收集数据，并以高保真度(例如，高频取证数据点)将数据连续保存到嵌入式过程历史数据记录中。可以在潜在安全事件之前(例如，在高安全风险环境中)部署安全应用，以允许在安全事件之前、期间和之后提取详细的取证数据。安全监控应用不断地在PLC体系结构的不同层(例如固件、操作系统和应用层)收集数据，从而使安全监控应用能够通过利用短期分析功能来执行连续的取证分析。例如，安全监控应用执行比较，这些比较将来自控制器体系结构不同层的数据关联起来并检查数据的一致性。

连续分析功能的示例包括数据来源分析、告警通知、易失性证据保存等。可以实现其他分析功能。数据来源分析在数据生成点(例如，在I/O写入/读取过程函数调用处以及来自其他装置(诸如其他PLC、HMI和MES)的数据块)处连续标记数据，以跟踪对数据的恶意操纵或错误的数据注入。告警通知(例如，对于关键变化)连续监控系统变量(例如，关键系统变量，诸如周期时间、系统时钟漂移、CPU利用、存储器使用等)的重要统计变化。可以通过将系统变量与过程历史数据记录中存储的先验值进行比较来识别统计变化。基于统计变化，告警、警报和历史数据可以由用户生成、记录和/或分发。

易失性证据保存会连续记录用户(例如，安全专家)定义或默认设置的数据。例如，特定测量的数据点被定义为取证分析的易变证据的来源。对于部署模式301，低级加密功能(例如，由TPM/HSM在硬件中实现)允许对易失证据进行验证(例如，使用TSP RFC 3161)，在源处进行签名和/或加密以维护监管链并为安全传输作准备。

再次参考图2，在动作205处，部署PLC的取证数据收集。例如，响应于由安全监控应用检测到安全事件或基于对由安全监控应用收集的数据的分析来执行取证数据收集。

在一实施方式中，取证数据收集由取证应用执行。取证数据收集可以由一个或多个装置执行，诸如通过运行在PLC上的应用，通过在独立/相邻的PLC上运行的应用和/或通过在独立/相邻的装置上运行的应用，诸如通过被配置用于取证数据收集的工业个人计算机(IPC)来执行。可以在怀疑、识别和/或确认/验证安全事件之前和/或之后(例如，事后)部署该取证应用。例如，在确认/验证安全事件后，从PLC收集、编译和提取取证数据。类似于安全监控应用(如上所述)，取证数据收集应用执行易失性证据保存、维护监管链并将取证数据安全地发送到中央服务中心(例如，基于本地或基于云服务器的取证平台等)。取证数据收集应用可以执行与安全监控应用类似的功能，或者可以将安全监控应用和取证应用一起实现为安全监控和取证应用。

除执行易失性证据保存外，取证应用还可执行其他取证功能，包括动态取证运行时环境(例如，用于交叉检查实时PLC和仿真PLC之间数据有效性的取证支持沙箱)，传入连接监控和告警、引导程序仿真等。可以实现其他和/或不同的取证功能。例如，动态取证支持沙箱提供允许安全注入取证运行时代码(例如，来自实时PLC的动态代码注入)以促进对安全威胁的动态分析的框架。动态取证支持沙箱提供取证运行时环境，其允许安全(例如，沙箱化、性能影响受限等)执行模拟或仿真的恶意软件行为，以触发或激发本地或邻居装置上的恶意休眠代码。传入连接监控和告警提供监控传入连接尝试和扫描的功能，并使已建立的网络套接口(例如，用于通信的概念性端点)的输出取证数据流(例如数据影子)能够用于PLC数据的取证和动态分析。引导程序仿真可以安全地调用装置初始化例程，以激发休眠的恶意软件行为，而无需重启装置(例如，停止生产过程等)。例如，大多数现代威胁都旨在保持休眠状态并做出反应，以逃避标准的取证步骤。引导程序仿真通过模拟当前过程来激发潜在的威胁。

在动作207处，执行自动化PLC安全响应操作。例如，基于分析由安全监控应用收集的数据或基于由取证应用收集的数据，响应于由安全监控应用检测到的安全事件来执行自动化响应。

例如，自动化的PLC安全响应操作可以将PLC设置为安全状态，或者将PLC恢复为先前的配置(例如，在安全事件之前)。自动化的PLC安全响应操作可以将生产线设置到安全速度，也可以安全地停止生产线。在另一示例中，自动化PLC安全响应操作在检测到更改的第一功能块时执行第二功能块，以替换更改的功能块。可以执行其他PLC代码来替换损坏的代码、应用等，诸如执行新功能图来替换已更改的功能块。

在一实施方式中，参考图3的部署模式301，PLC使用定义的IoC来使安全响应动作自动化，从而使检测到的网络攻击的不利影响最小化。例如，当检测到IoC时，PLC执行例程以安全速度运行生产线或以安全模式立即停止生产线。另外，PLC可以向中央服务中心、生产操作员、安全专业人员等发送警报消息。在另一示例中，当检测到功能块(FB)的签名发生更改时(例如，在线更改或实时更改)，PLC可以运行另一功能块(FB)或功能(FC)来替换被更改的功能块(FB)。这些方法可以减轻某些检测到的恶意攻击和/或最小化它们对生产和运营的不利影响。

图5示出监控PLC的方法的实施方式的流程图。该方法由图6的系统(下面讨论)和/或不同的系统实现。另外，可以提供不同的或更少的动作。例如，动作505-511可以被省略。该方法按所示顺序提供。可以提供其他顺序和/或可以重复动作。例如，可以针对多个安全事件重复动作505-511。此外，动作503-511可以作为并行动作同时执行。

在动作501处，接收PLC安全数据和PLC过程数据。例如，从运行在PLC上、运行在独立/相邻PLC上、工业PC或与PLC通信的其他装置上的PLC监控应用接收数据。PLC安全数据和PLC过程数据包括PLC固件数据、PLC操作系统数据和PLC应用数据(例如，来自PLC体系结构的不同层的数据)。可以接收在工业控制系统中联网在一起的多个PLC的数据。在空闲和运行实时过程时，接收PLC的数据。

在一实施方式中，PLC安全数据和PLC过程数据由实现取证环境的服务器接收。例如，可以将由安全监控应用收集的PLC数据导出并保存到安全服务中心中的嵌入式历史数据记录，该安全服务中心为网络安全取证分析提供取证环境。安全服务中心和取证环境被设置于联网的本地服务器、云服务器或其组合上。用户可利用PLC安全数据和PLC过程数据以及取证环境，诸如经由远程过程历史数据记录。例如，联网的工作站、个人计算机、膝上型计算机、平板计算机、移动装置或其他计算装置可经由web门户访问取证环境。

在一实施方式中，在云服务器上提供取证环境，其用于聚集来自多个不相关的工业控制系统(例如，具有私有大数据云、基于云的网络安全运营中心等)的PLC数据。例如，以ICS为中心的取证环境被配置为访问工业控制系统的过程主干。过程主干存储来自工业控制系统中所有装置的PLC和其他工业控制数据，诸如集中汇总的现有过程历史数据记录。取证环境可以从多个工业控制系统的过程主干中收集数据。取证环境可以提供大数据存储和分析基础设施，以使用来自不同工业控制系统的汇总数据对工业控制系统进行机组级别的基准测试，以及历史和趋势分析以及数据丰富化。例如，取证环境使用数据分析来识别在工业控制系统上常见的IoC和IoA，以及对于每个工业控制系统特定的其他IoC和IoA。

在动作503处，分析PLC安全数据和PLC过程数据。例如，数据由安全监控应用分析。安全监控应用通过监控在异常/入侵之前和之后的PLC来进行异常/入侵检测。安全监控应用收集与监控和检测正在进行的事件相关的数据。在怀疑异常/入侵之前和之后，安全监控应用仍处于活动状态。检查并分析PLC数据(包括内核级别的操作系统(OS)仪器、文件系统元数据、安全日志、数据包、数据流等)，以查找异常模式以及先前定义的IoC和IoA。在一实施方式中，取证环境监控接收到的PLC安全数据和PLC过程数据，并维护接收到的数据的时间线(例如，来自PLC和空闲过程的数据点、各种过程动作期间的数据点等)。接收到的数据的时间线可被用于直接比较不同时间点的数据点，并识别超出范围、与外部数据点不一致或指示PLC和/或工业控制系统异常运行的数据点。先前存储的数据点也可以被关联以利用接收到的数据。例如，使用先前从工业控制系统中的不同PLC或其他装置接收并存储在取证云安全中的数据，可以在各种数据点之间以及数据点与实际过程变量(例如，PLC输入和输出、传感器数据、过程设置等)之间建立关联。通过使用接收到的数据创建的相关性提供了安全性分析，其范围不仅限于监控安全日志和PLC操作。

在动作505处，验证了PLC的安全事件。例如，基于对接收到的PLC安全数据和PLC过程数据的分析，通过安全监控应用和/或通过取证环境来验证安全事件。该安全事件基于对实时过程的数据分析而实时验证。在一实施方式中，取证环境通过识别接收到的PLC安全数据或PLC过程数据与机组级别基准的偏差来验证安全事件已经发生。例如，再次参考图4，当从引导加载程序E接收到的数据被确定为在正常范围之外或与其他监控的数据点A-D和F不一致时，识别出安全事件。

在动作507处，开始PLC的取证数据收集。例如，在验证了安全事件之后，将开始取证数据收集以从PLC收集取证数据。执行取证数据收集以收集指示安全事件期间和/或之后的PLC状态的数据，和/或指示安全事件(例如，病毒、恶意软件、安全漏洞等)的数据。取证数据收集可以由取证应用执行，以维护网络攻击的证据，诸如通过维护监管链并提供调查网络攻击所需的其他信息。取证应用可以在确认可疑事件之后安装，也可以被安装以确认可疑事件。取证应用支持取证分析，并收集数据作为过去异常/入侵的潜在指标。取证应用只有在怀疑有异常/入侵后才能激活。取证数据收集由取证环境、由安全监控应用、用户手动启动等。例如，响应于监控装置和/或取证环境检测到的安全事件，启动取证数据收集并使用一个或多个取证应用(例如，安装在一个或多个PLC上)在PLC和/或工业控制系统上执行。

在动作509处，接收用于PLC的安全事件的取证数据。例如，收集、编译和安全提取PLC和/或安全事件的取证数据以供取证分析。例如，取证数据从取证应用中提取或发送到取证环境。取证应用维护取证数据的监管链，提供安全事件的书面证据，以用于调查事件和/或用于与安全事件相关的民事、刑事或其他诉讼程序。

在动作511处，在沙盒仿真中复制安全事件。例如，取证应用和/或取证环境在运行时环境(例如，沙箱)中复制PLC代码。使用运行时环境，将复制PLC代码，合并来自PLC的数据，诸如从安全监控和/或取证应用接收到的数据。沙盒模拟可能会在实时过程期间使用实时PLC和取证数据。沙盒模拟可以允许检测和分析恶意软件和其他安全威胁。例如，为了检测实时PLC上的威胁并进行取证分析，在沙盒模拟中仿真实时PLC代码的“干净”版本(例如，“仿真的干净PLC”)，以确定实时PLC的预期行为。来自实时PLC和/或实时传感器的实时生产数据以及实时PLC的其他输入将被提供给仿真的干净PLC，以基于现场当前观察到的情况确定预期行为。将仿真的干净PLC的预期行为与实时PLC的实际行为进行比较，以检测和分析安全威胁。在没有恶意软件或其他安全威胁的情况下，干净的PLC和实时PLC将以相同的方式运行(例如，运行相同的固件、软件和控制逻辑)，并在任何给定时刻提供相同的输出。相反，如果恶意软件或其他安全威胁处于活动状态，则实时PLC的行为和输出在任何给定时刻都将与仿真的干净PLC有所不同，从而检测到活动的安全威胁并为取证分析提供其他信息(例如，没有恶意软件或其他活动安全威胁的PLC的基线)。

在一实施方式中，运行时环境在虚拟环境中快速提取并复制运行的过程以供分析。例如，参考图3的部署模式301，使用映像的PLC(例如，包括PLC固件、操作系统、配置数据、安装的应用和所有其他数据)来复制虚拟机(VM)的副本。运行时环境可以复制多个PLC，并模拟运行时环境中的过程以进行动态分析。在该实施方式中，实时PLC数据由事后取证app连续发送(例如，包括生产过程数据、存储块以及来自其他ICS仪器的数据)。通过接收实时PLC数据，可以在沙箱环境中进行仿真，就好像它仍连接到实际过程环境一样(例如，基于从PLC提取的取证数据)。使用实时PLC数据避免由现代恶意软件程序采用的机制来检测和绕过沙箱(例如，使用语境感知、自毁/擦除或其他功能的恶意软件)。运行时环境可以用于检测现代恶意软件程序，这些恶意软件程序通过恶意和静默地操纵系统配置、运行内存内容、操作系统和关键文件和/或固件来部署复杂的安全威胁。

图6示出用于监控PLC操作的系统的实施方式。例如，系统600包括经由网络603联网的仪器601、服务器605和工作站607。可以提供另外的、不同的或更少的部件。例如，使用附加的仪器601、服务器605、网络603、工作站607和/或PLC 601E。在另一示例中，服务器605和工作站607直接连接，或在单个计算装置上实现。在又一示例中，仪器601和PLC 601E被实现为单个PLC装置。

仪器601被配置为监控PLC 601E的数据并从其收集数据。例如，仪器601包括被配置为存储监控应用601C和取证应用601D的存储器601A。处理器601D被配置为执行监控应用601C和取证应用601D，以监控PLC601E的数据并从其收集数据。例如，处理器601B被配置为执行安全监控应用601C，以收集指示PLC 601E操作的数据，并执行安全取证应用601D，以执行非侵入式取证证据收集。如以上关于图3所讨论的，仪器601可被配置为PLC、或工业PC、或另一装置、或它们的组合。

例如，仪器601为多个PLC中的一者。PLC可以配置有存储器601C和处理器601D，其用于执行安全监控应用601C和安全取证应用601D。安全监控应用601C和安全取证应用601D从多个PLC 601E(例如，包括被配置为仪器601的PLC和其他PLC 601E，诸如邻近旧式装置)收集数据和取证证据。在另一示例中，仪器601为工业个人计算机(PC)。在此示例中，工业PC本地地部署在安装有PLC 601E的控制生产/区域/单元网络段。工业PC被配置为执行安全监控应用601C和安全取证应用601D，以从多个PLC 601E收集数据和取证证据。在又一示例中，仪器601为PLC。在该示例中，安全监控应用601C和安全取证应用601D为存储在存储器601A中并由PLC的处理器601B执行的可注入固件代码。可以提供仪器601的另外的和不同的实施方式。

服务器605被配置为接收和分析从PLC 601E收集到的数据。该服务器可以被实现为云服务器、或本地服务器、或另一服务器、或其组合。服务器605提供取证环境605A。取证环境605A被实现为提供用于网络安全取证分析的中央服务中心的取证应用。服务器605和取证环境605A接收由仪器601的安全监控应用601C和/或取证应用601D收集的PLC和其他工业控制系统数据。在一实施方式中，服务器605被实现为云服务器，该云服务器从相同过程环境中的多个PLC接收数据并且在许多不同且不相关的过程环境中从PLC接收数据。取证环境605A使用来自不同PLC的存储数据以及应用于来自不同PLC的数据的分析，基于来自不同工业控制系统的汇总数据的历史和趋势分析，为过程环境生成机组级别的基准。例如，取证环境使用数据分析识别/验证在不同工业控制系统上常用的IoC和IoA，以及每个单独的工业控制系统特定的其他IoC和IoA。

工作站607被配置为经由网络603访问服务器605和仪器601。例如，经由工作站607提供用于访问取证环境605A的用户界面(诸如web门户)。取证环境可由联网的工作站607(诸如个人计算机、膝上型计算机、平板计算机、移动装置或其他计算装置)访问。工作站607包括用户界面和显示器。例如，用户界面可以包括一个或多个按钮、小键盘、键盘、鼠标、触控笔、轨迹球、摇杆开关、触摸板、语音识别电路或用于输入数据的另一装置或部件。显示器可以包括联接到计算机或服务器的外部监视器，或者可以被实现为膝上型计算机、平板电脑、移动装置或其他计算装置的一部分。在一实施方式中，服务器605被实现为本地服务器计算机，并且服务器605和工作站607被实现在包括用户界面和显示器的同一装置上。

网络603为有线或无线网络或其组合。网络603被配置为局域网(LAN)、广域网(WAN)、内联网、互联网或其它现在已知的或以后开发的网络配置。可以使用用于在仪器601、一个或多个PLC 601E、工作站607、服务器605和其他部件之间进行通信的任何网络或网络的组合。例如，可以提供多个网络，诸如一个或多个本地工厂网络(例如，内联网)和一个或多个向外的网络(例如，因特网)。可以提供其他网络和网络的组合。

本文描述的各种改进可以一起或分开使用。尽管已经参考附图描述了本发明的例示性实施方式，但是应理解，本发明不限于这些精确的实施方式，并且本领域的技术人员可以在不偏离本发明的范围或精神的情况下进行各种其它改变和修改。

Claims (20)

1.一种监控可编程逻辑控制器(PLC)的方法，所述方法包括：

由实现取证环境的服务器，从PLC或另一个PLC的PLC监控应用接收(501)PLC安全数据和PLC过程数据；

由所述取证环境中的所述服务器，分析(503)所述PLC安全数据和所述PLC过程数据；

由所述取证环境中的所述服务器，基于所述分析，验证(505)所述PLC的安全事件；

以所述取证环境由所述服务器经由PLC取证应用，启动(507)所述PLC的取证数据收集；以及

由所述服务器的所述取证环境、并且从所述PLC取证应用来接收(509)用于所述PLC的安全事件的取证数据。

2.根据权利要求1所述的方法，其中，针对多个PLC接收所述PLC安全数据和所述PLC过程数据，并且其中，基于接收的所述PLC安全数据和所述PLC过程数据，针对所述多个PLC中的每个确定机组级别基准。

3.根据权利要求2所述的方法，其中，验证(505)所述安全事件包括：识别接收的所述PLC安全数据或所述PLC过程数据与所述机组级别基准的偏差。

4.根据权利要求1所述的方法，其中，接收(501)所述PLC安全数据和所述PLC过程数据包括用于实时过程的数据，并且其中，基于对所述实时过程的数据分析，实时地验证(505)基于所述PLC的安全事件。

5.根据权利要求1所述的方法，其中，所述PLC安全数据和所述PLC过程数据包括PLC固件数据、PLC操作系统数据和PLC应用数据。

6.根据权利要求1所述的方法，其中，所述PLC取证应用针对所述PLC的安全事件维护所述取证数据的监管链。

7.根据权利要求1所述的方法，还包括：由所述取证环境使用接收的取证数据，复制(511)在沙盒模拟中检测到的安全事件。

8.根据权利要求7所述的方法，其中，所述沙盒模拟包括使用在实时过程期间从所述PLC取证应用接收到的实时取证数据。

9.一种用于监控可编程逻辑控制器(PLC)操作的系统，所述系统包括：

存储器(601A)，被配置为存储安全监控应用和安全取证应用；以及

处理器(601B)，被配置为：

执行所述安全监控应用(601C)以收集指示PLC操作的数据；以及

执行所述安全取证应用(601D)以执行非侵入式取证证据收集。

10.根据权利要求9所述的系统，其中，所述存储器(601A)和所述处理器(601B)被配置为多个PLC(601、601E)中的一者，其中，执行所述安全监控应用(601C)和所述安全取证应用(601D)包括从所述多个PLC(601E)中的每个收集数据和取证证据。

11.根据权利要求9所述的系统，其中，所述存储器(601A)和所述处理器(601B)被配置为工业计算机，其中，执行所述安全监控应用(601C)和所述安全取证应用(601D)包括从多个PLC(601E)收集数据和取证证据。

12.根据权利要求9所述的系统，其中，所述存储器(601A)和所述处理器(601B)被配置为PLC(601)，其中，所述安全监控应用(601C)和所述安全取证应用(601D)包括可注入的应用代码。

13.一种监控可编程逻辑控制器(PLC)的方法，所述方法包括：

定义(201)用于监控的多个PLC操作，所述多个PLC操作指示安全事件；

监控(203)所述多个PLC操作，所述监控包括：

收集代表所述多个PLC操作、过程数据和PLC状态的数据；

分析所述安全事件的数据；以及

验证所述安全事件；以及

响应于检测到的安全事件，部署(205)所述PLC的取证数据收集。

14.根据权利要求13所述的方法，其中，监控(203)所述多个PLC操作包括监控PLC固件操作、PLC操作系统操作和PLC应用操作。

15.根据权利要求13所述的方法，还包括：导出代表所述多个PLC操作的收集的数据和用于所述PLC的取证数据收集的数据。

16.根据权利要求15所述的方法，其中，将代表所述多个PLC操作的收集的数据和用于所述PLC的取证数据收集的数据导出到远程过程历史数据记录。

17.根据权利要求13所述的方法，还包括：响应于检测到的安全事件，执行(207)自动化的PLC安全响应操作。

18.根据权利要求17所述的方法，其中，所述自动化的PLC安全响应操作包括将生产线设置为安全速度或以安全模式停止所述生产线。

19.根据权利要求17所述的方法，其中，所述自动化的PLC安全响应操作包括：在检测到更改的第一功能块时，执行第二功能块以替换所述第一功能块。

20.根据权利要求17所述的方法，其中，所述自动化的PLC安全响应操作包括：在检测到更改的功能块时，执行功能图以替换所述功能块。

Images