CN111385252B - 用于检测基础设施的异常的方法和装置 - Google Patents
用于检测基础设施的异常的方法和装置 Download PDFInfo
- Publication number
- CN111385252B CN111385252B CN201811623568.3A CN201811623568A CN111385252B CN 111385252 B CN111385252 B CN 111385252B CN 201811623568 A CN201811623568 A CN 201811623568A CN 111385252 B CN111385252 B CN 111385252B
- Authority
- CN
- China
- Prior art keywords
- infrastructure
- virtual representation
- protocol
- communication
- logic controllers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000012545 processing Methods 0.000 claims abstract description 48
- 238000004891 communication Methods 0.000 claims description 91
- 238000012544 monitoring process Methods 0.000 claims description 70
- 238000003860 storage Methods 0.000 claims description 29
- 230000011664 signaling Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 description 14
- 238000007726 management method Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 239000012530 fluid Substances 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 229920001610 polycaprolactone Polymers 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
提供了用于检测基础设施的异常的方法和装置。本发明涉及用于检测基础设施中的异常的方法,所述方法包括以下步骤:分析在电信系统中交换的每个数据分组(PD);针对每个所分析的数据分组(PD)标识所使用的所有网络协议和每个协议的至少一个字段;针对每个交换数据分组(PD)并在所标识的协议和字段的基础上,生成基础设施(1)的虚拟表示;存储针对每个交换数据分组(PD)生成的虚拟表示;将所存储虚拟表示与至少一个比较要素进行比较,从而根据所存储虚拟表示和比较要素之间的差异和/或相似性来标识基础设施的至少一个关键状态;当在虚拟表示中标识出至少一个关键状态时,借助于计算机化数据处理构件来发信号通知基础设施的异常。
Description
技术领域
本发明涉及基础设施、尤其是诸如自动化系统和工业生产系统之类的工业系统的物理基础设施的管理中的安全方法和安全系统的领域。具体地,本发明涉及用于检测基础设施的异常的方法。
在另外的方面中,本发明涉及用于检测基础设施的异常的装置。
背景技术
工业系统由配备有能够彼此物理交互以获得相同工业系统所要求的功能性的子系统和组件的物理基础设施限定。
前述类型的系统例如是用于制造生产的工业系统、用于能量生成的工业系统、用于流体(水、油和气体)分布的基础设施、用于电力的生成和/或传输的基础设施以及用于输送管理的基础设施。
工业系统或其子系统及组件的逻辑连接允许获得所谓的工业自动化系统,其中,可以对应在要控制的子系统或组件中操作控制,或者相反在系统占据的区域内的一距离处或甚至在该区域外远程地操作控制。
用于物理基础设施的上述类型的工业自动化系统的限定暴露相同的巨大安全问题,这是由于工业系统的控制可能容易受到犯罪活动的影响。为了保护基础设施或控制它的自动化系统,所谓的分布式控制系统或SCADA在自动控制领域中是已知的。首字母缩写SCADA(监测控制和数据采集)与用于物理系统(诸如前面提及的基础设施及其子集和组件)的监视和监测的分布式系统精确相关,所述物理系统配备有允许上述物理系统到分布式控制系统或SCADA的对接的RTU(远程终端单元)。RTU监视数字和模拟字段参数并将数据传输到中央监视站(可能具有引导物理系统的可能性),因此允许SCADA类型系统监测、控制或远程控制以限制入侵到基础设施自身的自动化系统中的可能性。此外,SCADA类型系统允许通过其子集和组件的逻辑控制来监视基础设施的异常管理。
SCADA系统的典型方案涉及“拉取”模型的使用,其中利用远程访问数字配置每个RTU并且SCADA系统定期地执行RTU的轮询以实时获得数据。这类方案呈现一些关键问题。归因于轮询过程的性质,SCADA系统必须周期性地查询每个RTU以恢复数据,即使不存在交换数据——这可能在小型资源的监视期间发生。
此外,必须为要控制的每个组件或物理子系统提供RTU的需要显著地增大与分布式控制系统的实现相关联的成本。前面提及的成本可能快速地变得过高,尤其是如果在现场测量中存在小的或不频繁的变化的话,或者在必须对应于分布式控制系统或RTU的架构方面的改变的对物理基础设施的改变的情况下。同样地,如果采用很多RTU来进行轮询,则计算成本也可能变得非常高要求。
因此,具有能够限制分布式控制系统中的管理成本的方法将是期望的。此外,具有能够取决于要控制的物理架构及其随时间的改变来最大化管理能力的方法将是期望的。最后,将期望的是,具有能够有效控制物理架构、能够防止物理架构的连接到随机故障的或由不需要的侵入生成的异常管理情形的方法。
同样地,将期望的是,具有即使在复杂物理架构存在或物理架构经受频繁改变的情况下也能够限定具有低运行成本的用于物理架构的分布式控制系统的装置。
发明内容
本发明的目的是提供能够最小化前面提及的缺点的用于检测物理基础设施中的异常的方法,尤其是配备有以下的基础设施:
-电气连接到一个或多个逻辑控制器的一个或多个致动器和/或传感器,其中在使用中逻辑控制器控制涉及致动器和/或传感器的物理状态的变量属性值;
-逻辑控制器的至少一个监测单元;
-在逻辑控制器之间和/或在监测单元与逻辑控制器之间的电信系统,其中电信系统能够借助于网络通信协议来交换包括涉及物理状态的变量属性值的数据分组。
因此,根据本发明描述了一种用于检测基础设施的异常的方法,所述方法包括以下步骤:
-借助于连接到电信系统的网络分析器来分析在电信系统中交换的每个数据分组;
-针对每个所分析的数据分组,借助于网络分析器来标识所使用的所有网络协议和每个协议的至少一个字段;
-针对每个交换数据分组并在所标识的协议和字段的基础上,通过计算机化数据处理构件来生成基础设施的虚拟表示 ;
-在第一易失性存储构件中存储针对每个交换数据分组生成的虚拟表示;
-借助于计算机化数据处理构件来将所存储虚拟表示与至少一个比较要素进行比较,根据所存储虚拟表示和比较要素之间的差异和/或相似性来标识基础设施的至少一个关键状态;
-当在虚拟表示中标识出至少一个关键状态时,借助于计算机化数据处理构件来发信号通知基础设施的异常。
因此,根据本发明的方法允许每当交换数据分组时针对受监视的基础设施生成虚拟表示。所述方法呈现“推动”类型逻辑,其中通过交换数据分组生成虚拟表示,即如果在电信系统中不存在交换的数据分组,则不生成基础设施的虚拟表示。这允许最小化与物理基础设施的分析相关的计算成本。
优选地,在标识步骤中标识使用的所有网络协议和每个协议的所有字段。
以该方式,限定涉及与所允许的虚拟表示不一致的任何协议或协议字段的关键状态是可能的。
优选地,比较要素包括基础设施的一个或多个所允许预限定表示,以及
其中当所存储虚拟表示与所允许预限定表示不同时,比较步骤标识出至少一个关键状态。
优选地,比较要素包括涉及致动器和/或传感器的物理状态的变量属性值的一个或多个阈值,以及
其中,当所存储虚拟表示的至少一个值超过相对阈值时,比较步骤标识出至少一个关键状态。
优选地,比较要素包括对于网络通信所不允许的一个或多个通信协议,以及
其中,当所存储虚拟表示包括对于网络通信所不允许的一个或多个通信协议时,比较步骤标识出至少一个关键状态。
优选地,比较要素包括对于通信协议所不允许的一个或多个字段,以及
其中,当所存储虚拟表示包括对于通信协议所不允许的一个或多个字段时,比较步骤标识出至少一个关键状态。
通过限定所允许预限定表示、变量属性值的一个或多个阈值、不允许的一个或多个通信协议和/或对于协议所不允许的一个或多个字段,限定对要监视的基础设施的完全控制是可能的,所述完全控制将关键状态的生成的广泛可能性考虑在内。
优选地,比较步骤还包括对接续生成的两个或更多个虚拟表示的比较,以及
其中,比较步骤在后续虚拟表示和比较要素之间的差异中标识出基础设施的至少一个关键状态。
以该方式,根据包含在两个或更多个后续虚拟表示中的差异和/或相似性来标识关键状态是可能的,因此允许基于要控制的基础设施的状态演进来生成可能关键状态。
优选地,比较要素包括两个或更多个后续虚拟表示之间的通信频率的阈值,以及
其中,比较步骤还包括将接续生成的两个或更多个虚拟表示进行比较,标识在逻辑控制器之间和/或逻辑控制器与传感器或致动器之间和/或逻辑控制器与监测单元之间的通信频率,以及
其中通过针对通信频率的阈值来标识关键状态。
因此,可以例如通过控制器的查询频率或通过传感器和/或致动器的变量属性的改变频率来生成关键状态。
优选地,所述方法还包括以下步骤:将接续生成的两个或更多个虚拟表示进行比较,并标识在逻辑控制器之间和/或逻辑控制器与监测单元之间和/或逻辑控制器与传感器或致动器之间的一个或多个通信序列,以及
其中关键状态包括不可允许的通信序列。
以该方式,根据包含在两个或更多个后续虚拟表示中的差异和/或相似性来标识关键状态是可能的,因此允许基于在基础设施的电信系统内传送的数据分组的排序来生成可能关键状态。
优选地,在比较步骤之前,所述方法包括限定关键状态的步骤,其中限定关键状态的步骤包括以下步骤:
-借助于连接到电信系统的网络分析器来分析在预定时间间隔中交换的每个数据分组;
-针对每个所分析的数据分组,借助于网络分析器来标识使用的网络协议和协议的至少一个字段;
-基于利用每个交换数据分组标识的协议和协议的字段,通过计算机化数据处理构件来在预定时间间隔中生成基础设施的聚合虚拟表示;
-在永久类型的第二存储构件中存储聚合虚拟表示;
-将关键状态标识为未包括在聚合虚拟表示中的虚拟表示。
限定关键状态的这类步骤对应于学习步骤,在所述学习步骤中,自动地学习所允许虚拟表示并因此从未在前面提及的学习步骤期间生成的虚拟表示中标识任何关键状态是可能的。
优选地,在标识步骤中标识使用的所有网络协议和每个协议的所有字段。
优选地,所述方法还包括针对传感器和/或致动器和/或监测单元和/或值和/或通信协议和/或协议字段中的每个限定风险值的步骤,所述风险值存储在第一或第二存储构件上,
其中,生成虚拟表示的步骤包括将风险值与每个虚拟表示进行关联的另外步骤,从而生成风险的虚拟表示。
风险值的计算允许标识最关键组件,并因此根据与传感器和/或致动器和/或监测单元和/或值和/或通信协议和/或协议字段中的每个相关联的风险值来生成风险状态或相反地,不对风险状态进行分类。
优选地,所述方法还包括以下步骤:借助于计算机化数据处理构件在工业组件之间和/或监测单元之间和/或工业组件与监测单元之间的通信频率的基础上,和/或基于由所述网络分析器标识的变量属性值和/或所使用的协议和/或协议属性,来自动地计算风险值。
还可以根据通信频率来施行风险值的计算,因此将经受较大通信频率的那些标识为较大风险值的要素。
优选地,数据分组包括涉及发送方地址的至少一个协议字段和涉及接收方地址的至少一个协议字段,以及
其中通过将与地址相关的字段限定为节点、将发送方和接收方之间的连接限定为弧、并将从数据分组提取的剩余字段限定为节点和弧的值,来获得针对每个所分析的数据分组生成的虚拟表示。
通过用于检测基础设施中的异常的装置来进一步实现前面提及的目的,所述基础设施配备有:
-操作性地连接到一个或多个逻辑控制器的一个或多个致动器和/或传感器,其中在使用中逻辑控制器控制涉及致动器和/或传感器的物理状态的变量属性值;
-逻辑控制器的至少一个监测单元;
-在逻辑控制器之间和/或在监测单元与逻辑控制器之间的电信系统,其中电信系统能够借助于网络通信协议来交换数据分组,所述数据分组包括物理状态的变量属性值。
因此,根据本发明描述了一种用于检测基础设施的异常的装置,所述装置包括:
-能够连接到电信系统的网络分析器,其中网络分析器能够分析在电信系统中交换的每个数据分组并标识用于每个数据分组的网络协议以及至少一个协议字段;
-操作性地连接到网络分析器的计算机化数据处理构件,其中计算机化数据处理构件能够在网络分析器对每个交换数据分组所标识的协议和协议的字段的基础上生成基础设施的虚拟表示;
-操作性地连接到计算机化构件的第一易失性存储构件,其中第一存储构件存储针对每个交换数据分组生成的虚拟表示;
-操作性地连接到计算机化构件的第二永久存储构件,其中第二存储构件在其存储器中包括一个或多个比较要素;
其中,在使用中计算机化数据处理构件将虚拟表示与至少一个比较要素进行比较,以及
其中计算机化数据处理构件根据所存储虚拟表示和比较要素之间的差异和/或相似性来标识并发信号通知基础设施的至少一个关键状态。
如先前针对所述方法描述的,根据本发明的装置因此允许每当交换数据分组时针对受监视的基础设施生成虚拟表示。所述装置利用“推动”类型逻辑操作,其中通过交换数据分组生成虚拟表示,即如果在电信系统中不存在交换的数据分组,则不生成基础设施的虚拟表示。这允许最小化与物理基础设施的分析相关的计算成本。
优选地,在使用中计算机化数据处理构件将两个或更多个后续虚拟表示进行比较,
其中计算机化数据处理构件在后续虚拟表示和比较要素之间的差异中标识并发信号通知基础设施的至少一个关键状态。
优选地,网络分析器被适配为标识在逻辑控制器之间和/或逻辑控制器与传感器或致动器之间和/或逻辑控制器与监测单元之间的通信频率,
其中比较要素包括针对通信频率的阈值,以及
其中,当超过所检测通信频率的至少一个阈值时,计算机化数据处理构件标识出至少一个关键状态。
优选地,在使用中计算机化数据处理构件将接续生成的两个或更多个虚拟表示进行比较,并标识在逻辑控制器之间和/或逻辑控制器与监测单元之间和/或逻辑控制器与传感器或致动器之间的一个或多个通信序列,
其中比较要素包括不可允许的通信序列,以及
其中当至少一个所标识通信序列对应于不可允许的通信序列时,计算机化数据处理构件标识出至少一个关键状态。
附图说明
根据在附图中作为非限制性示例图示的优选实施例的公开,本发明的这些和另外的特征和优点将变得清楚,在附图中:
-图1示出了由用于加压流体分布的工业系统的物理架构所构成的基础设施的示意图;
-图2示出了用于图1的基础设施的物理架构控制的电气/电子架构的示意图;
-图3示出了根据本发明的用于检测图1和2的基础设施的异常的装置的示意图;
-图4示出了在图2的电气/电子架构中使用的协议的方案的示意图;
-图5A示出了图1和2中示出的基础设施的可允许虚拟表示的示意图;
-图5B示出了图1和2中图示的基础设施的多个可允许虚拟表示的示意图;
-图5C图示了在学习步骤中或在限定关键状态的步骤中获得的聚合虚拟表示的示意图。
具体实施方式
本发明涉及用于检测基础设施中、尤其是物理基础设施中的异常的方法。本发明还涉及用于检测基础设施的异常的装置。
根据本发明的方法和装置在物理基础设施或自动化系统中、尤其在工业自动化系统中找到有用的应用,所述工业自动化系统诸如是用于制造生产的工业过程、用于功率生成的工业过程、用于流体(水、油和气体)分布的基础设施、用于电力的生成和/或传输的基础设施、用于输送管理的基础设施。前面提及的自动化系统或物理基础设施采用在彼此交互的物理组件上操作或通过适当逻辑控制器操作的过程,用于管理相应的物理状态。特别地,物理状态的管理包括监视和对物理组件的调节两者,所述监视即出于观察的目的对物理状态的核实和监测,所述对物理组件的调节是为了相对于特定请求来修改和/或设置变量属性值。
在本发明中术语“物理组件”意指在自动化系统内物理交互的组件、或一般基础设施,并特别地标识诸如传感器和致动器的两种主要类型的组件。物理组件允许通常具有模拟类型结果的物理性能的检测和/或控制。特别地,传感器是能够检测量值、与量值交互的设备。取决于获取的量值,传感器可以例如与化学、物理和图像量值相关。由传感器所测量的量值通常后续被转换成模拟类型的电信号,所述电信号进而被发送到数据采集系统。另一方面,致动器是具有实现由控制系统所提供的命令的任务的设备,并且标识例如机械、电气、液压或气动致动器是可能的。
当与出于描述的方便而例示的物理基础设施交互时,以下描述将参考根据本发明的方法和装置,但是可以等同地采用任何类型的物理基础设施。特别地,图1图示了由用于分布加压流体(尤其是蒸汽)的工业系统的物理架构11组成的基础设施1。作为举例,由一些元件限定这类物理架构11,所述元件即彼此连接并对于允许完整描述本发明而言足够的物理组件。这类元件包括输送管30,在输送管30中蒸汽在从单个进口到单个出口的封闭回路中流动。将流体控制委托给流体连通地连接到输送管30的以电磁阀形式的两个致动器10、20。电磁阀10、20分别对应布置在输送管30的进口和出口中,分别限定拦截和调节蒸汽到输送管30中的引入的输入致动器10,以及拦截和调节蒸汽从该输送管30的流出的输出致动器20。
每个电磁阀或致动器10、20的物理状态由与可检测或可管理物理量值有关的变量属性限定。特别地,这类变量属性对应于穿过电磁阀10、20的流体通路的区段——本质上与由该电磁阀10、20保证的压力相关的变量属性。在其中描述的实施例中,这类变量属性可以在对应于电磁阀的通路区段的完全闭合的值“0”(即,零压力)和对应于电磁阀的通路区段的完全开放的值“100”(即,最大压力)之间变化。对于所述电磁阀10、20的物理状态的变量属性值的分布具有线性类型,即在值“50”处对应于等于与总开放对应的通路区段的一半的通路区段。
在示出的示例中,物理基础设施11仅包括致动器,但还可以等同地或排他地配备有适当的传感器。类似地,基础设施可以由作为传感器或致动器的单个组件组成。
由图2中示出的电气/电子架构21来辅助基础设施1的物理架构11,电气/电子架构21允许在监视和控制前面提及的物理状态方面对前面提及的物理状态的管理。电气/电子架构21是分布式控制类型的架构,其优选为SCADA,但可以等同地借助于可以允许对基础设施的物理架构11的管理的其他类型的工业架构或非工业架构来实现。电气/电子架构21由用于基础设施的电子监视的分布式计算机系统组成。因此,基础设施1配备有至少一个逻辑控制器监测单元。特别地,电气/电子架构21因此包括操作性地连接到例如主终端单元(MTU)之类的监测单元52的三个逻辑控制器12、22、32。前面提及的逻辑控制器的示例可以是远程终端单元(RTU)或可编程逻辑控制器(PLC)。在其中描述的实施例中,所使用的逻辑控制器具有工业PLC类型,诸如例如由ABB公司生产的商用PLC,型号AC800。
如图3中图示的,两个电磁阀10、20中的每个操作性地连接到不同逻辑控制器,并且特别地,输入电磁阀10电气连接到PLC 12,而输出电磁阀20电气连接到PLC 22。另一方面,PLC32未连接到物理基础设施11的任何电磁阀10、20。每个逻辑控制器12、22操作性地连接到相应的电磁阀10、20,因此控制涉及上述电磁阀10、20的物理状态的变量属性值,如先前描述的。因此,致动器和/或传感器(在这类情况下由电磁阀10、20限定)操作性地连接到一个或多个逻辑控制器(在这类情况下由PLC 12、22限定),所述一个或多个逻辑控制器在使用中控制涉及该致动器和/或传感器的物理状态的变量属性值。
其中,在本发明中并关于变量属性的术语“控制”意图是对该变量属性的监视和管理两者。
特别地,每个逻辑控制器12、22提供在对应的电气测量结果中以及后续优选地在数字数据中转换从监视导出的测量结果或与电磁阀10、20 或致动器的模拟类型的管理有关的设置。
借助于电信系统将三个逻辑控制器12、22、32与监测单元52连接(以连接图2和3中的每个组件的实线和虚线部分例示),所述电信系统利用已知类型的网络连接,其借助于也是已知类型的并因此将不再进一步描述的网络通信协议。在描述的实施例中,电信系统由以太网类型的本地网络组成,所述本地网络将每个逻辑控制器12、22、32物理连接到监测单元52但不直接将该控制器12、22、32彼此连接。电信系统还可以将前面提及的逻辑控制器彼此连接或分层地连接多个逻辑控制器。所述电信系统因此适于借助于上述网络通信协议来交换包括物理状态变量属性值的数据分组PD。
因此,在基础设施1中,逻辑控制器12、22中的每个控制其所电气连接到的相对电磁阀10、20,而监测单元52直接与控制器12、22进行通信以间接地控制前面提及的电磁阀10、20。特别地,监测单元52将数据分组PD发送至逻辑控制器12、22、32并从逻辑控制器12、22、32接收数据分组PD(如图4中图示的),其中数据分组PD由多个协议和相关封装数据限定,如下面所描述的。
在本发明中通过术语“数据分组”意图是由电信系统传输的数据的每个有限或独特序列。优选地,这些数据是以数字格式的并且由比特序列限定。特别地,根据本发明,每个个体数据分组包括多个协议数据单元(PDU),对于其中生成PDU的每个架构层有一个PDU。取决于通信协议的类型和电信系统中使用的传输系统,每个PDU将是不同的,但在任何情况下,它包括要传输的至少一个报头和数据主体。报头包含对于传输所必要的所有信息,特别地包括传输者地址和接收者地址。每个数据分组PD提供将它与从源设备交换到接收方设备的数据流的其他分组唯一地区分开的标识机制。
如在本发明中的多等级网络中,在由传输者生成的数据分组PD中,将较高等级的PDU插入或封装在较低等级的PDU中。类似地,由接收者接收的数据分组首先分析较低等级的PDU以访问插入在较低等级内的较高等级的PDU,直到标识出传感器和/或物理致动器的变量属性值。
参考ISO/OSI栈的每个等级将本实施例中使用的通信协议细分为用于物理、连接和网络等级的以太网或802.11协议,用于传输和会话等级的TCP/IP协议,用于表示和应用等级的Modbus协议。
根据先前所描述的,基础设施1因此呈现由逻辑控制器12、22、32和监测单元52组成的四个通信节点。允许经由电信系统进行通信的唯一地址和通信端口被分配给每个节点,例如分配给每个设备。如图2和3中示出的,逻辑控制器12、22、32和监测单元52分别对应于IP地址10.0.0.1、10.0.0.2、10.0.0.3和10.0.0.254。通信端口对于所有连接的设备是相同的并对应于TCP端口502。逻辑控制器12、22、32还分别配备有唯一标识符ID1、ID2和ID3。
下面说明了根据依据本发明的异常检测方法的异常检测装置100在其连接到的基础设施1的正常操作期间的操作。特别地,说明了装置100的操作,以及当先前已经限定并在下面更详细地描述的第二存储构件104内已经记录可容许表示时并在装置100所连接到的基础设施1的简化工作循环的执行期间根据本发明的方法的应用。根据本发明,基础设施1的所有组件使用Modbus通信协议进行网络连接。这允许监测单元52连接到基础设施1的组件的各种采集和设置系统,也就是说致动器10、20。特别地,通过经由TCP/IP从各种PCL12、22、32交换数据分组PD到监测单元52并反之亦然,来执行经由Modbus协议的通信。
在不同实施例中,还可以使用不同通信协议或者可以使用串行连接而不是以太网连接。
参考基础设施1,假设应当维持监视输送管30内的压力,其中优选的是,管道失去压力而不是增大压力以保证安全状况。对于物理基础设施的这类可接受表示与输出电磁阀20的开放到“值”字段的值的设置相关,所述“值”字段的值总是高于或至多等于针对输入电磁阀10设置的对应值。因此,假设其中基础设施1呈现具有设置在10的“值”字段的值的输入电磁阀以及设置为15的输出电磁阀20的对应值的初始情形是对输出电磁阀20的值“值”到20的设置的安全表示。
借助于根据本发明的异常检测装置100来获得在基础设施1的操作期间对可能的异常的监视和检测。在图3中利用块表示示意化了这类装置100,其中由点连接示意化了到基础设施1的剩余部分的连接。前面提及的装置100优选地具有被动类型,即它监视整个基础设施1而不用主动地连接到基础设施1。在所描述的实施例中,在监测单元52和逻辑控制器12、22、32之间的电信系统中布置装置100。根据未示出的另外的实施例,根据本发明的异常检测装置可以连接到将监测单元连接到逻辑控制器的路由器或交换机的合适镜像端口。
装置100包括也在图3中示意性地以块示出的多个组件,所述多个组件适于与基础设施1交互并检测其任何可能的异常。特别地,装置100包括可连接到电信系统的网络分析器101、连接到前面提及的网络分析器101的计算机化数据处理构件102、操作性地连接到计算机化数据处理构件102的易失性类型的第一存储构件103和永久类型的第二存储构件104。
作为装置100的部分的网络分析器101连接到基础设施1并被动地与电信系统交互。前面提及的网络分析器101能够分析在电信系统中交换的每个数据分组PD并针对每个数据分组标识网络协议和协议的至少一个字段。特别地,在本实施例中,网络分析器101能够拦截在监测单元52与连接到监测单元52的逻辑控制器12、22、32之间交换的每个数据分组PD。
在未示出的可替换实施例中,其中在该电信系统中个体逻辑控制器互相连接,网络分析器因此还能够拦截在该控制器之间交换的每个数据分组。
因此,根据本发明的异常检测方法包括借助于连接到电信系统的网络分析器101来分析在上述电信系统中交换的每个数据分组PD的步骤。
对于每个所分析的数据分组PD,由该网络分析器101来实现标识所使用的所有网络协议和每个协议的至少一个字段的下一步骤。
因此网络分析器101 使得能够施行整个基础设施网络1的被动拦截活动。特别地,前面提及的分析器101能够针对通过基础设施1的电信系统交换的每个分组数据PD标识所使用的网络协议和用于每个协议的至少一个字段。优选地,分析器101至少标识与表征每个组件的物理状态的变量属性值有关的字段,如先前描述的。特别地,在本实施例中,在标识步骤中,网络分析器101因此标识所使用的所有网络协议和每个协议的所有字段,以便提取关于基础设施1的所有数据。
图4中图示了根据本发明分析和标识的数据分组PD的示例性表示,其中作为举例示出了本发明的描述中使用的以上协议方案及其封装。在该表示中,最外数据分组PD的部分与物理协议的PDU1等级有关,所述PDU1配备有PDU11报头部分和PDU21数据部分,两者都未详述。PDU21部分封装数据分组PD与TCP/IP协议的PDU2等级有关的部分。PDU21部分还配备有PDU12报头部分和PDU22数据部分,并且特别地,报头部分PDU12包括以IP地址形式的发送方和接收者的标识数据以及用于通信的对应端口。最后,将数据分组PD与Modbus PDU3等级有关的部分封装在TCP/IP协议数据的PDU22部分内。特别地,分组PDU3的部分至少包括涉及以下的字段:依据要执行的动作的通信类型,由“功能代码”标识,所述“功能代码”可以根据要给定的命令而假设值“写入”或“读取”;数据分组所意图用于的逻辑控制器的标识符,由“ID”标识;要针对其施行动作的致动器或传感器的标识符,由“IR”标识;以及如果“功能代码”在“写入”模式中则要分配给致动器或传感器的物理状态的变量属性值,由“值”属性标识。
因此,在图5A和5B中图示的实施例中,电气连接到逻辑控制器12的输入电磁阀10假设由等于1的IR限定的(致动器的)特定标识符。以相同的方式,输出电磁阀20假设由等于2的IR限定的(致动器的)特定标识符。例如,为了命令与输入电磁阀10的物理状态有关的属性值读取,监测单元52必须发送数据分组PD,在所述数据分组PD中Modbus协议的PDU包含字段“功能代码”中的值“读取”、ID字段中的值1以及IR字段中的值1。在另外的示例中,与输出电磁阀20的物理状态有关的属性的读取命令将通过分组数据PD来实现,在所述分组数据PD中,Modbus协议的PDU包含字段“功能代码”中的值“读取”、ID字段中的值2以及IR字段中的值1。
本发明还包括不同于先前相对于说明的实施例所描述的那些的传输架构和相关协议的使用。
异常检测装置100还配备有操作性地连接到网络分析器101的合适的计算机化数据处理构件102。这类数据处理构件102使得能够对在电信系统中由网络分析器101所拦截的数据的处理。
因此,通过计算机化数据处理构件102,针对每个交换数据分组PD并在所标识的协议和字段的基础上实现生成基础设施1的虚拟表示的后续步骤。
特别地,在本发明中术语“虚拟表示”意指由在电信系统中交换的每个分组数据PD限定的节点和弧的表示。特别地,每个数据分组包括涉及发送方地址的至少一个协议字段和涉及接收方地址的至少一个协议字段。通过将与通信的发送方或接收方的(唯一)标识符相关的或与地址有关的数据分组协议的字段限定为节点来获得针对每个所分析的数据分组PD生成的虚拟表示,这类字段优选地与地址IP或与TCP/IP协议中的MAC地址有关。因此,由单个数据分组PD内的发送方和接收方之间的连接来确定每个弧,所述弧取向为从发送方到接收方。利用与构成交换的数据分组PD并限定每个弧和每个节点的值的所有协议的每个字段的所有属性相关的信息来完成虚拟表示。术语“虚拟表示”因此可以指代图形表示以及前面提及的图形表示潜在的而没有任何图形接口生成的仅数据管理两者。
在第一命令的先前示例中,有关数据分组PD限定具有监测单元52的IP地址的节点和具有意图针对其通信的逻辑控制器12的IP地址的另外的节点。因此从该通信推断连接两个节点的弧是可能的,所述弧取向为由监测单元52指向逻辑控制器12。此外,从构成数据分组PD的协议字段的提取,将适当的值分配给节点是可能的,例如对于两个节点的对应于值502的TCP连接端口,以及对于在连接到输入电磁阀10时对应于逻辑控制器12的节点的都等于值1的ID和IR两者。附加字段将限定与所生成的弧有关的值,以及特别地,在第一命令的情况下,这些将对应于功能代码字段的读取值,而值字段将不存在。
同样地,在第二命令的先前示例中,有关数据分组PD限定具有监测单元52的IP地址的节点和具有意图针对其通信的逻辑控制器22的IP地址的另外的节点。因此从该通信推断连接两个节点的弧是可能的,所述弧取向为由监测单元52指向逻辑控制器22。此外,如先前示例中那样,从构成数据分组PD的协议字段的提取,将适当的值分配给节点是可能的,例如对于两个节点的对应于值502的TCP连接端口,以及对于在连接到输出电磁阀20时对应于逻辑控制器22的节点的分别等于值1和2的ID和IR。此外,如先前示例中那样,附加字段将限定涉及所生成的弧的值,以及特别地,限定功能代码字段的读取值,而值字段将不存在。
然后网络分析器101分析经由电信系统交换的每个数据分组PD。在推动模式中施行对数据分组PD的分析,即,其每当通信发生时被施行而不论该通信之间的时间间隔如何。
由易失性类型的第一存储构件103来施行存储针对每个交换数据分组PD生成的虚拟表示的后续步骤。实际上借助于装置100的并操作性地连接到前面提及的计算机化构件102的合适第一存储构件103来记录针对每个所拦截数据分组PD而生成的每个虚拟表示。这些优选地具有易失性类型,即非永久存储。
永久类型的附加第二存储构件104形成装置100的部分并允许一个或多个比较要素的存储,由于它们允许将生成的虚拟表示与基础设施1的信号可能异常进行比较而这样限定。
就此而言,借助于计算机化数据处理构件102,还提供根据所生成和所存储虚拟表示与适当比较要素之间的差异和/或相似性来将所存储虚拟表示与标识基础设施1的一个关键状态的至少一个比较要素进行比较的步骤。
优选地,比较要素包括基础设施1的一个或多个所允许预限定表示。然后在比较步骤中,当所存储虚拟表示不同于所允许预限定表示时标识至少一个关键状态。在图5A中图示了所允许预限定表示的示例,其虽然具有很少的变量但被限定为复杂类型,这是由于可允许表示包括多个字段和变量属性,所述多个字段和变量属性特别地涉及输入电磁阀10以及输出电磁阀20,并涉及相关逻辑控制器12、22,并且涉及监测单元52。
比较要素还可以由与致动器和/或传感器的物理状态相关的变量属性值的一个或多个阈值构成,例如,如图5B中图示的,通过在单个表示中合成多个可允许预限定表示(通过将输出电磁阀20的“值”属性的值设置为大于或等于输入电磁阀10的对应值的值来表征多个可允许预限定表示),输出电磁阀20的“值”字段的值可以具有等于或大于输入电磁阀10的“值”字段的值的阈值。以相同方式,对于网络通信所不允许的一个或多个通信协议或对于通信协议所不允许的一个或多个字段可以限定利用其突出关键问题的比较要素。
另外的可允许表示可以具有简单类型(未示出),即由单个变量属性的变化来确定而不论表征通信的附加变量属性的变化如何。根据前面提及的假定的所允许预限定表示的示例可以与输出电磁阀20的“值”字段到等于100的值处的设置相关,这是由于对于该值,在任何情况下,基础设施1保持在安全状况中。
在图5A和5B中作为举例示出的示例性表示仅涉及数据分组PD与Modbus协议PDU和与TCP/IP协议相关的PDU报头有关的部分,如同数据分组仅由所述协议和协议的所述字段限定那样。完整表示必须包括用于所有等级的所有协议和所有字段,以及针对每个协议的它们的值。以相同的方式,可允许表示已经仅关于“值”变量属性的值的变化被限定,但可以由多个允许的协议和/或所述协议的属性和/或对于每个属性所允许的值来等同地限定,从而发起针对经受变化的每个前面提及的要素的所允许预限定表示。
在本发明中说明了在先前已经限定阈值并将阈值存储在第二存储构件104内时装置100的操作,但是比较要素还可以借助于操作者接口而被手动插入。为了该目的,操作者可以根据要控制的基础设施或表征要控制的基础设施的一个或多个参数来设计定制比较要素。此外,限定诸如虚拟化基础设施的部分之类的比较要素是可能的,所述虚拟化基础设施的部分即表示在电信系统中仅允许的节点、指向通信的可能的弧、允许的协议、对于每个协议所允许的字段以及对于协议的每个字段所允许的值。同样地,操作者可以从(一个或多个)可容许表示中排除与要监视的基础设施的正确操作不兼容的前面提及的要素中的一个或多个或其组合。
在优选实施例中,第二存储构件104允许在存储器内保持以上所允许预限定表示中的一个或多个,特别是将它们存储在非易失性支持部上。
最后,在发信号通知基础设施1的异常的另外步骤中,其在生成和存储的虚拟表示中标识出至少一个关键状态时借助于计算机化数据处理构件102而被施行。因此根据本发明的异常检测装置100允许将基础设施1的每个虚拟表示与限定的关键状态进行比较,从而标识归因于虚拟表示内的关键状态存在的问题。例如,在基础设施1中,异常可能在致动器10、20或电磁阀停止正确操作、从而生成至少对输送管30中的压力增大有潜在风险的操作活动的情况下发生,例如数据分组PD由以下字段表征:协议=Modbus;功能代码=写入;ID=2;IR=1;值=0,对应于等于0的变量属性值,即闭合,所述变量属性值对应于穿过输出电磁阀20的流体通路的区段。同样地,异常可能在以下情况下出现:第三方通过非法入口到电信系统中的入侵或攻击,或者在由逻辑控制器12、22、32构成的一个或多个节点中或来自监测单元54的恶意软件的使用,或者使用不同通信协议,诸如使用DNP3协议而不是Modbus。
因此,在正面关键问题评估的情况下,装置100能够借助于适当的图形接口或人机接口(HMI)将工业基础设施1的异常的存在发信号通知到可能的操作者。
在上述实施例中,构成检测装置100的所有组件是由分立的并如所描述的操作性地彼此连接的组件构成。在可替换实施例中,一些组件可以代替地由单个组件限定,或者虽然操作性地连接到装置100但仍然作为装置100自身外部的部分。
下面示出了这类不同实施例的示例。网络分析器和数据处理构件可以例如由单个设备构成,因此允许在处理系统的虚拟表示方面更快的速度。同样地,第一和第二存储构件也可以由单个设备实现,例如通过对单个存储设备进行分区并通过将对应的分区分配给两种不同用途。最后,单个设备可以包括一个或多个前面提及的元件,从而例如允许引线方面的显著减少。
根据本发明的装置100还优选地用在先前描述的操作步骤之前的学习步骤中,并且其中装置100用于发信号通知可能的异常。在前面提及的学习步骤或限定关键状态的步骤中,限定关键状态或限定作为非关键状态的准用(mutatis mutandis)的那些,并且网络分析器101通过分析在电信系统中传送的每个数据分组并针对每个数据分组标识所使用的协议和上述协议的至少一个字段——优选地标识所使用的所有网络协议和每个协议的所有字段,来执行上文描述的相同功能。
学习步骤的特殊特性是在其内执行前面提及的步骤的时间间隔的限定,即所分析和标识的数据分组仅是在前面提及的预限定时间间隔中生成的那些。可以由用户取决于要控制的基础设施的类型和/或根据其他变量来限定时间间隔的值,所述其他变量诸如通信频率、以及因此数据分组的生成或甚至存在的致动器或传感器的数量。通过增大时间间隔的值,施行分析和标识更大量数据分组的步骤将是可能的,因此增大装置100标识和限定可能异常的能力。
接着借助于计算机化数据处理构件来施行标识用于每个数据分组的协议和上述协议的至少一个字段的步骤,生成基础设施1的聚合虚拟表示的步骤。在利用预定时间间隔中交换的每个数据分组标识的协议和协议的字段的基础上执行这类聚合虚拟表示。
因此聚合虚拟标识对应于表征基础设施1并且已经在电信系统中被传送的一组信息。
在图5C中作为举例示出了上述类型的表示。在该表示中,假设在预定时间(例如等于12小时)中,具有下面描述的特征的传输的多个数据分组PD已经在电信系统中被传送。在监测单元52和连接到输入电磁阀10的逻辑控制器12之间限定的弧上,仅传输由以下字段表征的数据分组PD:协议=Modbus;功能代码=读取;ID=1;IR=1。实际上,逻辑控制器仅接收读取输入电磁阀10假设的变量属性值的请求。对应于输入电磁阀10的节点具有等于10-50;60-75的由值字段限定的假设变量属性值。在监测单元52和连接到输出电磁阀20的逻辑控制器22之间限定的弧上,仅传送由以下字段表征的数据分组PD:协议=Modbus;功能代码=读取;ID=2;IR=1和协议=Modbus;功能代码=写入;ID=2;IR=1;值=15-30;45-60;75-85。实际上,逻辑控制器接收读取输出电磁阀20假设的变量属性值的请求,但也接收针对利用假设在值15-30;45-60;75-85的范围中的值对上述变量属的设置的请求。对应于输出电磁阀20的节点具有等于10-40;45-60;65-90的由值字段限定的假设变量属性值。最后,由于在监测单元52和未连接到基础设施的任何致动器和/或传感器的逻辑控制器32之间还未存在数据分组PD的交换,因此在图5C的聚合虚拟表示中不存在前面提及的逻辑控制器32的表示。
例如根据图5C中所示出的存储聚合虚拟表示的另外步骤被记录在第二存储构件104中,所述第二存储构件104允许在存储器内将聚合虚拟表示保持在非易失性支持部上。这类聚合虚拟表示因此对应于多个可允许表示,并因此通过对先前聚合虚拟表示的补充或者通过将未包括在聚合虚拟表示中的虚拟表示标识为关键状态来施行标识关键状态的后续步骤。
优选地,当基础设施1未连接到网络时并在标准操作期间实现学习步骤,从而最小化来自外面的干扰的可能性并允许标识与基础设施1在正常操作状况下假设的状态有关的聚合虚拟表示。
在学习步骤之后,根据先前描述,异常检测装置100通过按照用于检测基础设施1的异常的方法分析在电信系统中交换的每个数据分组PD来继续操作以标识任何关键状态。因此,例如在其中由以下字段表征一个交换数据分组PD的情况下将标识出关键状态:协议=Modbus;功能代码=读取;ID=3;IR=1。这类表示对应于查询连接到逻辑控制器32的组件的物理状态,所述逻辑控制器32如先前描述的未操作性地连接到任何传感器和/或致动器并因此生成异常,即相对于学习步骤中所检测到的关键状态。同样地,在其中由以下字段表征一个交换数据分组PD的情况下将标识出关键状态:协议=Modbus;功能代码=写入;ID=1;IR=1;值=91:这类表示对应于输入电磁阀10的物理状态到等于91的值的设置,该值91先前在学习步骤期间未被标识。甚至更多地,例如在其中由以下字段表征一个交换数据分组PD的情况下将标识出关键状态:协议=DNP3;功能代码=写入;ID=1;IR=1;值=60。不像先前的表示,这类表示对应于输入电磁阀10的物理状态到等于60的值的正确设置,因此落入在学习步骤期间已经标识的值内,但是通过使用不正确的协议,这是由于该协议在学习步骤期间从未被标识。
因此,异常检测装置100允许将基础设施1的每个后续虚拟表示与限定的可允许表示进行比较,从而标识可能的不符。在正面关键问题评估的情况下,装置100因此借助于适当的图形接口或人机接口(HMI)将所述基础设施1的异常的存在发信号通知到可能的操作者。
根据另外的实施例,比较步骤还包括接续生成的两个或更多个虚拟表示的比较。在这类情况下,比较步骤在后续虚拟表示和比较要素之间的差异中标识基础设施的至少一个关键状态。为了这类目的,根据本发明的装置的计算机化数据处理构件在使用中将两个或更多个接续虚拟表示进行比较。该计算机化数据处理构件在后续虚拟表示和比较要素之间的差异中标识并发信号通知基础设施的至少一个关键状态。
在这类情况下,可以通过仅评估两个后续虚拟表示之间的差异来生成关键状态。例如,可以对与输入阀10的物理状态有关的值做出到落入如学习步骤中可容许值的范围内的值的设置,但如果在对连接到该设置的两个虚拟表示之间的差异的评估中,涉及阀的物理状态的前面提及的值之间的差异过高,则仍然可以生成关键状态。
仍然根据另外的实施例,比较要素可以包括两个或更多个后续虚拟表示之间的通信频率的阈值,在这类情况下,比较步骤还包括将接续生成的两个或更多个虚拟表示进行比较,从而标识在逻辑控制器之间和/或逻辑控制器与传感器或致动器之间和/或逻辑控制器与监测单元之间的通信频率。就此而言,由针对通信频率的阈值来标识关键状态。为了该目的,网络分析器被适配为标识在逻辑控制器之间和/或逻辑控制器与传感器或致动器之间和/或逻辑控制器与监测单元之间的通信频率,并且其中比较要素包括针对通信频率的阈值。同时,当超过所检测通信频率的至少一个阈值时,计算机化数据处理构件标识至少一个关键状态。
例如,数据分组PD的接续可以将输入电磁阀10的物理状态设置为后续减小的值,从而技术上对于基础设施1的状态而言是可接受的。然而,如果修改物理状态的前面提及的值的频率、即有关数据分组PD的频率太高,例如高于预限定值,则可以标识出关键状态。这类关键状态可以起因于基础设施1的物理过程不具有为了正确地遵守改变请求而达到的反应/适配时间的事实。
根据另外的方面,所述方法可以包括以下步骤:将接续生成的两个或更多个虚拟表示进行比较,并标识在逻辑控制器之间和/或逻辑控制器与监测单元之间和/或逻辑控制器与传感器或致动器之间的一个或多个通信序列。在这类情况下,关键状态包括不可允许的通信序列。为了该目的,计算机化数据处理构件在使用中将接续生成的两个或更多个虚拟表示进行比较,并标识在逻辑控制器之间和/或逻辑控制器与监测单元之间和/或逻辑控制器与传感器或致动器之间的一个或多个通信序列,并且其中比较要素包括不可允许的通信序列。因此,当至少一个所标识通信序列对应于不可允许的通信序列时,计算机化数据处理构件标识出至少一个关键状态。
对序列的评估可以对应于对要评估的变量之间的关联的评估,所述变量例如涉及输入电磁阀10和输出电磁阀20的物理状态。例如,序列可以生成关键状态,在所述关键状态中首先将输出电磁阀20的物理状态值设置为减小并且然后将输入电磁阀10的物理状态值后续设置为增大。
优选地,所述方法还包括针对传感器和/或致动器和/或监测单元和/或值和/或通信协议和/或协议字段中的每个限定风险值的步骤,所述风险值存储在第一或第二存储构件上,其中生成虚拟表示的步骤包括将风险值与每个虚拟表示进行关联的附加步骤,从而生成风险的虚拟表示。
针对每个组件标识风险或针对连接到该逻辑控制器或该监测单元的组件计算单个风险是可能的。例如,风险标识可以包括从1至10的值分配,其中增大的值对应于增大的风险,其中可以通过标识连接到逻辑控制器或监测单元的元件的最大风险值来执行针对逻辑控制器或监测单元的风险计算。
所述方法还包括以下步骤:借助于计算机化数据处理构件在工业组件之间和/或监测单元之间和/或工业组件与监测单元之间的通信频率的基础上,和/或基于由网络分析器标识的变量属性值和/或所使用的协议和/或协议属性,来自动地计算风险值。
优选地,借助于机器学习技术,例如通过评估逻辑控制器或监测单元内部的代码复杂度、通过评估连接到单个逻辑控制器的MTU的数量来施行风险值的自动计算。
Claims (18)
1.一种用于检测物理基础设施(1)中的异常的方法,所述物理基础设施(1)配备有:
-电气连接到一个或多个逻辑控制器(12,22,32)的一个或多个致动器(10,20)和/或传感器,其中在使用中所述逻辑控制器(12,22,32)控制涉及致动器(10,20)和/或传感器的物理状态的变量属性的值;
-所述逻辑控制器(12,22,32)的至少一个监测单元(52);
-在所述逻辑控制器之间和/或在所述监测单元(52)与所述逻辑控制器(12,22,32)之间的电信系统,所述电信系统能够借助于网络通信协议来交换包括涉及物理状态的变量属性的所述值的数据分组(PD),
所述方法包括以下步骤:
-借助于连接到所述电信系统的网络分析器(101)来分析在所述电信系统中交换的每个所述数据分组(PD);
-针对每个所分析的数据分组(PD),借助于所述网络分析器(101)来标识所使用的所有网络协议和每个所述协议的至少一个字段;
-针对每个交换数据分组(PD)并在所标识的协议和字段的基础上,通过计算机化数据处理构件(102)来生成所述物理基础设施(1)的虚拟表示,其中通过将与通信的发送方或接收方的标识符相关的或与地址有关的数据分组协议的字段限定为节点或通过将单个数据分组(PD)内的发送方和接收方之间的连接限定为弧,所述虚拟表示是由在电信系统中交换的每个分组数据(PD)限定的节点和弧的表示,所述弧取向为从发送方到接收方;
-在第一易失性存储构件(103)中存储针对每个交换数据分组(PD)生成的所述虚拟表示;
-借助于所述计算机化数据处理构件来将所存储的所述虚拟表示与至少一个比较要素进行比较,根据所存储的虚拟表示和所述比较要素之间的差异和/或相似性来标识所述基础设施的至少一个关键状态;
-当在所述虚拟表示中标识出所述关键状态中的至少一个时,借助于所述计算机化数据处理构件来发信号通知所述基础设施的异常。
2.根据权利要求1所述的方法,其中在所述标识步骤中标识使用的所有网络协议和每个协议的所有字段。
3.根据权利要求1或2所述的方法,其中所述比较要素包括所述基础设施的一个或多个所允许预限定表示,以及
其中当所存储的虚拟表示不同于所述所允许预限定表示时,所述比较步骤标识出所述关键状态中的至少一个。
4.根据权利要求1或2所述的方法,其中所述比较要素包括涉及所述致动器和/或传感器的物理状态的变量属性的所述值的一个或多个阈值,以及
其中当所存储的虚拟表示的至少一个所述值超过相对阈值时,所述比较步骤标识出所述关键状态中的至少一个。
5.根据权利要求1或2所述的方法,其中所述比较要素包括对于所述网络通信所不允许的一个或多个通信协议,以及
其中当所存储的虚拟表示包括对于所述网络通信所不允许的一个或多个通信协议时,所述比较步骤标识出所述关键状态中的至少一个。
6.根据权利要求1或2所述的方法,其中所述比较要素包括对于所述通信协议所不允许的一个或多个字段,以及
其中当所存储的虚拟表示包括对于所述通信协议所不允许的一个或多个字段时,所述比较步骤标识出所述关键状态中的至少一个。
7.根据权利要求1或2所述的方法,其中所述比较步骤还包括对接续生成的两个或更多个所述虚拟表示进行比较,以及
其中所述比较步骤在后续虚拟表示和所述比较要素之间的差异中标识所述基础设施的至少一个关键状态。
8.根据权利要求7所述的方法,其中所述比较要素包括两个或更多个所述后续虚拟表示之间的通信频率的阈值,以及
其中所述比较步骤还包括将接续生成的两个或更多个所述虚拟表示进行比较,从而标识在所述逻辑控制器之间和/或所述逻辑控制器与所述传感器或致动器之间和/或所述逻辑控制器与所述监测单元之间的通信频率,以及
其中通过针对所述通信频率的阈值来标识所述关键状态。
9.根据权利要求8所述的方法,其中所述方法还包括以下步骤:将接续生成的两个或更多个所述虚拟表示进行比较,并标识在所述逻辑控制器之间和/或所述逻辑控制器与所述监测单元之间和/或所述逻辑控制器与所述传感器或致动器之间的一个或多个通信序列,以及
其中所述关键状态包括不可允许的通信序列。
10.根据权利要求1或2所述的方法,其中在所述比较步骤之前,所述方法包括限定所述关键状态的步骤,其中限定关键状态的所述步骤包括以下步骤:
-借助于连接到所述电信系统的所述网络分析器来分析在预定时间间隔中交换的每个所述数据分组;
-针对每个所分析的数据分组,借助于所述网络分析器来标识使用的网络协议和所述协议的至少一个字段;
-基于利用每个交换数据分组标识的所述协议和所述协议的字段,通过所述计算机化数据处理构件来在所述预定时间间隔中生成所述基础设施的聚合虚拟表示;
-在永久类型的第二存储构件中存储所述聚合虚拟表示;
-将所述关键状态标识为未包括在所述聚合虚拟表示中的虚拟表示。
11.根据权利要求10所述的方法,其中在所述标识步骤中标识使用的所有网络协议和每个所述协议的所有字段。
12.根据权利要求10所述的方法,其中所述方法还包括针对所述传感器和/或致动器和/或监测单元和/或值和/或通信协议和/或协议字段中的每个限定风险值的步骤,所述风险值存储在所述第一易失性存储构件或第二存储构件上,
其中生成虚拟表示的所述步骤包括将所述风险值与每个虚拟表示进行关联的另外步骤,从而生成风险的虚拟表示。
13.根据权利要求12所述的方法,其中所述方法还包括以下步骤:借助于所述计算机化数据处理构件在工业组件之间和/或所述监测单元之间和/或所述工业组件与所述监测单元之间的通信频率的基础上,和/或基于由所述网络分析器所标识的变量属性的所述值和/或所使用的协议和/或所述协议的属性,来自动地计算所述风险值。
14.根据权利要求1或2所述的方法,其中所述数据分组(PD)包括涉及发送方地址的至少一个协议字段和涉及接收方地址的至少一个协议字段,以及
其中通过将与所述地址相关的所述字段限定为节点、将所述发送方和所述接收方之间的连接限定为弧、并将从所述数据分组提取的剩余字段限定为所述节点和弧的值,来获得针对每个所分析的数据分组(PD)所生成的所述虚拟表示。
15.一种用于检测基础设施(1)中的异常的装置(100),所述基础设施(1)配备有:
-操作性地连接到一个或多个逻辑控制器(12,22,32)的一个或多个致动器(10,20)和/或传感器,其中在使用中所述逻辑控制器(12,22,32)控制涉及所述致动器和/或传感器的物理状态的变量属性的值;
-所述逻辑控制器(12,22,32)的至少一个监测单元(52);
-在所述逻辑控制器之间和/或在所述监测单元(52)与所述逻辑控制器(12,22,32)之间的电信系统,所述电信系统能够借助于网络通信协议来交换包括物理状态的变量属性的所述值的数据分组(PD),
用于检测异常的所述装置(100)包括:
-能够连接到所述电信系统的网络分析器(101),其中所述网络分析器(101)能够分析在所述电信系统中交换的每个所述数据分组(PD)并标识用于每个交换数据分组(PD)的网络协议以及所述协议的至少一个字段;
-操作性地连接到所述网络分析器(101)的计算机化数据处理构件(102),所述计算机化数据处理构件(102)能够在所述网络分析器(101)对每个交换数据分组(PD)所标识的所述协议和所述协议的字段的基础上生成所述基础设施(1)的虚拟表示,其中通过将与通信的发送方或接收方的标识符相关的或与地址有关的数据分组协议的字段限定为节点或通过将单个数据分组(PD)内的发送方和接收方之间的连接限定为弧,所述虚拟表示是由在电信系统中交换的每个分组数据(PD)限定的节点和弧的表示,所述弧取向为从发送方到接收方;
-操作性地连接到计算机化数据处理构件(102)的第一易失性存储构件(103),所述第一易失性存储构件(103)存储针对每个交换数据分组(PD)生成的所述虚拟表示;
-操作性地连接到所述计算机化数据处理构件(102)的第二永久存储构件(104),所述第二永久存储构件(104)在其存储器中包括一个或多个比较要素;
其中在使用中所述计算机化数据处理构件将所述虚拟表示与至少一个所述比较要素进行比较,以及
其中计算机化数据处理构件根据所存储的虚拟表示和所述比较要素之间的差异和/或相似性来标识并发信号通知所述基础设施的至少一个关键状态。
16.根据权利要求15所述的装置,其中在使用中所述计算机化数据处理构件将两个或更多个后续虚拟表示进行比较,
其中所述计算机化数据处理构件在所述后续虚拟表示和所述比较要素之间的差异和/或相似性中标识并发信号通知所述基础设施的至少一个关键状态。
17.根据权利要求16所述的装置,其中所述网络分析器能够标识在所述逻辑控制器之间和/或所述逻辑控制器与所述传感器或致动器之间和/或所述逻辑控制器与所述监测单元之间的通信频率,
其中所述比较要素包括针对所述通信频率的阈值,以及
其中当超过所检测通信频率的至少一个阈值时,所述计算机化数据处理构件标识所述关键状态中的至少一个。
18.根据权利要求16或17所述的装置,其中在使用中所述计算机化数据处理构件将接续生成的两个或更多个所述虚拟表示进行比较,并标识在所述逻辑控制器之间和/或所述逻辑控制器与所述监测单元之间和/或所述逻辑控制器与所述传感器或致动器之间的一个或多个通信序列,
其中所述比较要素包括不可允许的通信序列,以及
其中当至少一个所标识通信序列对应于不可允许的通信序列时,所述计算机化数据处理构件标识出所述关键状态中的至少一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811623568.3A CN111385252B (zh) | 2018-12-28 | 2018-12-28 | 用于检测基础设施的异常的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811623568.3A CN111385252B (zh) | 2018-12-28 | 2018-12-28 | 用于检测基础设施的异常的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385252A CN111385252A (zh) | 2020-07-07 |
| CN111385252B true CN111385252B (zh) | 2023-10-24 |
Family
ID=71220465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811623568.3A Active CN111385252B (zh) | 2018-12-28 | 2018-12-28 | 用于检测基础设施的异常的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111385252B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103836347A (zh) * | 2014-03-07 | 2014-06-04 | 中国石油大学(华东) | 一种用于原油集输管道的泄漏监测装置及监测方法 |
| CN104780096A (zh) * | 2012-06-06 | 2015-07-15 | 瞻博网络公司 | 针对虚拟网络分组流的物理路径确定 |
| CN106502234A (zh) * | 2016-10-17 | 2017-03-15 | 重庆邮电大学 | 基于双轮廓模型的工业控制系统异常检测方法 |
| CN107829884A (zh) * | 2017-10-25 | 2018-03-23 | 西安锐益达风电技术有限公司 | 一种风力发电机塔筒健康状态监测方法和专用检测系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150035839A1 (en) * | 2013-08-01 | 2015-02-05 | Qualcomm Mems Technologies, Inc. | System and method for providing positive and negative voltages with a single inductor |
| US10015188B2 (en) * | 2015-08-20 | 2018-07-03 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
-
2018
- 2018-12-28 CN CN201811623568.3A patent/CN111385252B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104780096A (zh) * | 2012-06-06 | 2015-07-15 | 瞻博网络公司 | 针对虚拟网络分组流的物理路径确定 |
| CN103836347A (zh) * | 2014-03-07 | 2014-06-04 | 中国石油大学(华东) | 一种用于原油集输管道的泄漏监测装置及监测方法 |
| CN106502234A (zh) * | 2016-10-17 | 2017-03-15 | 重庆邮电大学 | 基于双轮廓模型的工业控制系统异常检测方法 |
| CN107829884A (zh) * | 2017-10-25 | 2018-03-23 | 西安锐益达风电技术有限公司 | 一种风力发电机塔筒健康状态监测方法和专用检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111385252A (zh) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9874869B2 (en) | Information controller, information control system, and information control method | |
| EP2068215A2 (en) | Apparatus and methods for protecting safety instrumented process control systems from intrusions | |
| CN109286606B (zh) | 针对过程控制系统中的加密业务的防火墙 | |
| JP5274667B2 (ja) | 安全ステップの判定方法および安全マネージャ | |
| Yau et al. | PLC forensics based on control program logic change detection | |
| US11765091B2 (en) | Configurable network switch for industrial control systems including deterministic networks | |
| EP3674823B1 (en) | Method and apparatus for detecting the anomalies of an infrastructure | |
| US10955831B2 (en) | Method and apparatus for detecting the anomalies of an infrastructure | |
| US11392115B2 (en) | Zero-trust architecture for industrial automation | |
| JP7299019B2 (ja) | インフラストラクチャの異常を検出するための方法および装置 | |
| KR101083925B1 (ko) | 보안 위협 방어 장치 및 방법, 그 기록 매체 | |
| CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
| Giraldo et al. | Hide and seek: An architecture for improving attack-visibility in industrial control systems | |
| CN111385252B (zh) | 用于检测基础设施的异常的方法和装置 | |
| CN108604084A (zh) | 用于监控安全系统的安全链中的数据处理和传输的方法和设备 | |
| KR102252887B1 (ko) | Ot 네트워크에서의 계층적 데이터 이상탐지 시스템 및 그 방법 | |
| CN106375273A (zh) | 用于监视数据包传输安全的自动化网络和方法 | |
| JP7081593B2 (ja) | 機器管理システム、モデル学習方法およびモデル学習プログラム | |
| TWI841652B (zh) | 用於檢測基礎設施的異常的方法和裝置 | |
| CA3028740A1 (en) | Method and apparatus for detecting the anomalies of an infrastructure | |
| AU2018286603A1 (en) | Method and apparatus for detecting the anomalies of an infrastructure | |
| Colelli et al. | Securing connection between IT and OT: the Fog Intrusion Detection System prospective | |
| US20240036557A1 (en) | Honeypot for a connection between an edge device and a cloud-based service platform | |
| CN114625075A (zh) | 过程控制环境中通信的变量级别完整性校验 | |
| BR102018077425A2 (pt) | método e aparelho para detectar anomalias em uma infraestrutura |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40029382 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |