CN113366476A - 状态变化管理方法、设备和计算机可读介质 - Google Patents
状态变化管理方法、设备和计算机可读介质 Download PDFInfo
- Publication number
- CN113366476A CN113366476A CN201980090995.6A CN201980090995A CN113366476A CN 113366476 A CN113366476 A CN 113366476A CN 201980090995 A CN201980090995 A CN 201980090995A CN 113366476 A CN113366476 A CN 113366476A
- Authority
- CN
- China
- Prior art keywords
- state
- group
- log
- state change
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000013070 change management Methods 0.000 title claims abstract description 24
- 230000008859 change Effects 0.000 claims abstract description 162
- 230000006399 behavior Effects 0.000 claims description 28
- 238000001514 detection method Methods 0.000 claims description 21
- 238000007726 management method Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 18
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提出了一种状态变化管理方法、设备和计算机可读介质,通过所述状态变化管理方法、设备和计算机可读介质,不需要从受监测网络传送敏感数据。由群组中的装置进行的状态变化管理方法(300)包括:检测(S304)所述装置的状态变化,验证(S305)所述状态变化。如果所述状态变化被验证为可信任的,则将包含所述状态变化的第一日志的节点添加(S306)到对应于所述装置的第一链,在所述群组中广播(S308)所述第一日志以验证(S309)所述状态变化。如果所述状态变化在所述群组中被验证为可信任的,则基于所述第一日志而生成(S311)所述状态变化的第二日志,并且将包含所述第二日志的节点添加(S312)到对应于所述群组的第二链。
Description
技术领域
本发明涉及安全技术,并且更具体地说,涉及状态变化管理方法、设备和计算机可读介质。
背景技术
对于系统的正常运行来说,安全性是至关重要的。旨在感染或非法更改系统配置的攻击,例如系统中的装置的DoS(拒绝服务),可能会引起装置的状态变化。因此,可以通过恰当的状态变化检测及时地检测到一些攻击,并且可以通过恰当的管理方法来避免对系统造成损害。
然而,并不是所有的状态变化都是由攻击引起的。还存在一些正常的软件更新、配置更新等,它们可能会引起装置的状态变化。因此,如何有效地验证装置的状态变化对于系统的正常运行也是非常重要的。
此外,一旦发生攻击,如何追溯根本原因也有助于预防未来的攻击。
发明内容
本公开提供一种状态变化管理方法、设备和计算机可读介质,通过所述方法、设备和计算机可读介质,即使没有第三方可信机构也能有效地检测和验证装置的状态变化。并且一旦发生攻击,就可以追溯根本原因以预防未来的攻击。
根据本公开的第一方面,呈现一种由群组中的装置执行的状态变化管理方法,所述方法包含:检测装置的状态变化并验证状态变化;并且如果状态变化被验证为局部可信任,则进行以下操作:将包含状态变化的第一日志的节点添加到第一链,其中第一链对应于装置;以及在群组中广播第一日志以验证状态变化,并且如果状态变化在群组中被验证为可信任的,则进行以下操作:基于第一日志而生成状态变化的第二日志;以及将包含第二日志的节点添加到第二链,其中第二链对应于群组。
根据本公开的第二方面,呈现一种状态变化管理设备,其包含状态检测代理和状态管理系统。状态检测代理包含:检测模块,其被配置成检测群组中的装置的状态变化;状态分析模块,其被配置成验证状态变化;第一链生成器,其被配置成在状态变化可信任的情况下将包含状态变化的第一日志的节点添加到第一链,其中第一链对应于装置。状态管理系统包含:通信模块,其被配置成在群组中广播第一日志以验证状态变化;第二链生成器,其被配置成:如果状态变化在群组中被验证为可信任的,则进行以下操作:生成状态变化的第二日志;以及将包含第二日志的节点添加到第二链,其中第二链对应于群组。
根据本公开的第三方面,呈现一种状态变化管理设备,其包含:至少一个存储器,其被配置成存储指令;以及至少一个处理器,其耦合到至少一个存储器,并且在执行可执行指令时被配置成:检测装置的状态变化;验证状态变化,并且如果状态变化是可信任的,则进行以下操作:将包含状态变化的第一日志的节点添加到第一链,其中第一链对应于装置;在群组中广播第一日志以验证状态变化,并且如果状态变化在群组中被验证为可信任的,则基于第一日志而生成状态变化的第二日志并且将包含第二日志的节点添加到第二链,其中第二链对应于群组。
根据本公开的第四方面,呈现一种计算机可读介质,其存储可执行指令,所述可执行指令在由计算机执行时使所述计算机能够执行第一方面的方法。
通过局部状态的第一链和群组状态的第二链,即使没有第三方可信机构也能有效地检测和验证装置的状态变化。并且一旦发生攻击,就可以通过记录在第一链和第二链中的日志来追溯根本原因以预防未来的攻击。本公开中提供的方案可以保护群组中的装置,例如工业控制系统中的控制装置,使其不被非法修改或恶意滥用系统资源。
在本公开的实施例中,验证装置的初始状态,并且如果初始状态是可信任的,则创建第一链的初始节点,并且将初始状态的日志记录在初始节点中。
初始状态验证可以检查装置的初始状态,并初步预防任何可能的攻击。
在本公开的实施例中,如果符合以下条件中的任一个或以下条件的任何组合,则状态变化可以被验证为可信任的:
-所述装置中引起第一状态变化的更新文件或组件由可信任的证书颁发机构签名;
-所述第一状态变化不需要进程行为、控制行为或网络行为;
-所述第一状态变化不会引起所述装置的配置的变化。
通过以上条件的定义,提供用于由装置验证局部状态变化的准则。
在本公开的实施例中,如果与装置处于同一虚拟群组中的所有其它装置将状态变化验证为可信任的,则状态变化在群组中被验证为可信任的,其中同一虚拟群组中的装置具有相同的安全属性。
具有相同安全属性的虚拟群组可在不同装置当中构建关联关系,这使得有可能选择相关装置来验证其它装置的状态变化。这可以提高状态变化验证的效率和精确度。
在本公开的实施例中,群组中的装置竞争成为群组中的记账装置,并且获胜装置生成状态变化的第二日志,并将包含第二日志的节点添加到第二链。任选地,与状态被验证为可信任的装置处于同一虚拟群组中的装置成为群组中的记账装置的机会相同,高于不与所述装置处于同一虚拟群组中的装置。
附图说明
通过参考以下结合附图进行的对本发明技术的实施例的描述,本发明技术的上述属性和其它特征及优点以及其实现方式将变得更显而易见,且本发明技术自身将得到更好理解,在附图中:
图1描绘了系统中的装置。
图2A描绘了本公开的第一链。
图2B描绘了本公开的第二链。
图3描绘了本公开的状态变化管理方法的流程图。
图4描绘了显示本公开的状态管理设备的示例性实施例的框图。
图5描绘了显示本公开的状态变化管理设备的示例性实施例的其它框图。
附图标记:
100,装置群组
10,群组100中的装置
20,虚拟群组
300,本公开的状态变化管理方法
400,500,本公开的状态变化管理设备
S301~S313,本公开的状态变化管理方法的步骤
411,检测模块
412,状态分析模块
413,第一链生成器
414,状态配置DB
415,第一链DB
421,基于群组的状态验证模块
422,通信模块
423,第二链生成器
424,群组链配置DB
425,状态收集模块
426,第二链DB
51,至少一个存储器
52,至少一个处理器
具体实施方式
如上所述,攻击给系统带来了威胁,这可能会造成破坏性的损害,因此如何检测攻击以确保安全对于系统的正常运行至关重要。
以工业控制系统为例,从历史上看,工业控制系统通常基于专有的工业协议并在隔离环境中运行,这些环境被认为与开放的因特网环境的网络连接有限。如今,随着例如云、大数据、AI(人工智能)等先进技术的发展,工业控制系统更常连接到开放网络,用于与远程站点通信,也用于远程诊断和分析。显然,随着以及机器和工厂的数字化和网络化程度的提高,网络攻击的风险也在增加。对于工业控制系统中的关键装置,例如控制工业过程的PLC(可编程逻辑控制器),必须采取适当的保护措施。
然而,大多数工业控制系统很难安装传统的黑名单反恶意软件,因为它们需要实时控制生产过程,并且没有足够的资源来执行此类反恶意软件。此外,应事先了解攻击的特征并记录下来,以便标识此类攻击。因此,这对于未知的恶意软件和攻击是无效的。已经提出了一些基于白名单的方案以在工业网络中提供高效的反恶意软件能力。但这种方法也仅对已知的组件或固件有效,难以预防恶意修改或更新工业控制组件、配置、重要数据文件或固件的攻击。并且白名单维护需要大量的人力。
本公开提供一种状态变化管理方法、设备和计算机可读介质,通过所述方法、设备和计算机可读介质,即使没有第三方可信机构也能有效地检测和验证装置的状态变化。举例来说,如果群组中的装置的文件或数据或进程的完整性被篡改,则装置自身无法检测攻击。同一群组中的其它装置可以收集此装置的状态变化的日志并进行分析,例如与自身的进程进行比较,以找出可能的异常和攻击。并且一旦发生攻击,就可以追溯根本原因以预防未来的攻击。
在下文中,详细描述本发明技术的上述特征和其它特征。参考图式描述各种实施例,其中相同的附图标记贯穿全文用于指代相同的元件。在以下描述中,出于解释的目的,阐述许多具体细节以便提供对一个或多个实施例的透彻理解。可注意到,所示出的实施例意图解释而非限制本发明。显而易见的是,可以在没有这些具体细节的情况下实践此类实施例。
当介绍本公开的各种实施例的要素时,冠词“一”和“所述”旨在表示存在所述要素中的一个或多个。术语“包括”、“包含”和“具有”既定是包含性的并且意味着可能存在除了所列元件之外的额外元件。
在下文中已参考图1至5详细描述了本发明技术。
作为介绍,图1描绘了群组中的装置。参考图1,群组100包含装置,例如装置10。群组100可以是系统的一部分或整个系统,例如工业控制系统。
参考图2A和图2B,本公开中呈现的状态管理方案是基于双链结构。
图2A所示的第一链将局部状态变化信息记录在装置10内。节点“局部状态1”、“局部状态2”、……、“局部状态n”中的每一个按时间顺序记录状态变化信息,n是正整数。一旦装置10局部检测到状态变化并且将其验证为可信任的,就将在第一链中添加节点,并且将状态变化的第一日志记录在第一链中新添加的节点中。任选地,对于群组100中的每一装置,存在对应的第一链以记录局部状态变化信息。
图2B所示的第二链记录群组100的整体状态变化信息。节点“整体状态1”、“整体状态2”、……、“整体状态m”中的每一个按时间顺序记录整体状态变化信息,m是正整数。将收集局部状态变化的第一日志并且将验证装置10的状态变化,如果可信任,则将生成装置10的状态变化的第二日志并且将在第二链中添加节点,并且将装置10的状态变化的第二日志记录在第二链中新添加的节点中。任选地,第二日志还可包含群组100中的其它装置的状态变化的信息。可以收集群组100中的装置的状态变化的日志,并且可以定期记录群组100中的装置的状态变化。
通过双链结构,可以局部地和在群组级别上验证装置10的状态变化。并且通过所记录的状态变化信息,可以追溯攻击的根本原因。
图3描绘了本公开的状态变化管理方法100的流程图。
在步骤S301中,装置10验证其初始状态。如果初始状态是可信任的,则装置10进行步骤S302和S303。
在步骤S302中,装置10创建第一链的初始节点。即,图2A中的“局部状态1”。
在步骤S303中,装置10将初始状态的日志记录在初始节点中。
任选地,可以在状态配置DB(例如:本公开的状态变化管理设备400中的状态配置DB 414)中定义装置的状态信息,所述状态配置DB可以包含以下对象:装置中的控制组件、在装置上运行的重要进程、与控制进程或应用程序相关的预定义重要文件(脚本、网页、数据文件)、装置和/或在装置上运行的应用程序的配置参数(例如连接到装置10的服务器的IP地址),装置的固件、装置的补丁状态信息,装置中的进程/控制组件/补丁的签名状态、装置的控制行为信息、装置的网络行为信息等。
初始状态的日志可以包含以下内容:装置10的对象描述(这里的对象包含在状态配置DB中定义的任何对象)、装置10的初始状态描述、时间戳、初始节点的信息、初始节点的节点序列号、初始节点的内容的哈希值等。
装置10进行步骤S304。
在步骤S304中,装置10检测装置10的状态变化。
在步骤S305中,装置10局部地验证状态变化,并且如果状态变化被验证为可信任的,则装置10继续进行步骤S306和S307;否则,装置10进行步骤S306'。
为了验证状态变化,装置10可以监测其状态,任何变化都将被分析。
任选地,如果符合以下条件中的任一个,则装置10可将状态变化验证为可信任的:
-装置10中引起状态变化的更新文件或组件由可信任的证书颁发机构签名;
-所述状态变化不需要进程行为、控制行为或网络行为;
-所述状态变化不会引起所述装置的配置的变化。
或者,如果符合以上条件的组合,则装置10可将状态变化验证为可信任的。举例来说,如果装置10中引起状态变化的更新文件或组件由可信任的证书颁发机构签名,并且状态变化不需要进程行为、控制行为或网络行为,则装置10将状态变化验证为可信任的。
以上条件可以存储在上述状态配置DB中,并且管理员可以修改或改变所述条件。
在步骤S306中,装置10将包含状态变化的第一日志的节点添加到第一链(如图2A所示)。
在步骤S304到S306中,装置10根据状态配置DB 414中的状态配置检测状态,并且如果状态变化,则生成最新状态报告,装置10分析状态变化是否可信任或无害,即验证状态变化,然后将组合状态变化的日志与第一链中的先前节点的哈希值以在第一链中生成新节点。第一链中的节点可以包含以下信息:状态变化日志:新的对象描述(这里的对象包含在状态配置DB中定义的任何对象)、新的状态描述、时间戳、节点信息、节点序列号、先前节点的哈希值、节点内容的哈希值等。状态变化的第一日志可以包含以下信息项的任何组合。然后,装置10进行步骤S307。
在步骤S306'中,装置10可以将警报广播到群组100中的所有其它装置和/或群组100的管理装置。其它装置和/或管理装置可以记录警报以稍后进行攻击标识和分析。
任选地,在步骤S307中,装置10将基于群组链配置DB(例如:本公开的状态变化管理设备400中的群组链配置DB 424)通过检查状态变化的日志来验证状态变化的信任级别。如果状态变化是可信任的,则装置10进行S308,否则装置10进行S308'。
在步骤S308中,装置10在群组100中广播状态变化的日志。然后,群组100中的其它装置获得状态变化的日志。
在步骤S309中,群组100中的其它装置基于群组链配置DB通过检查状态变化的日志来验证第二状态。群组100中的装置可访问同一群组链配置DB。或者,群组100中的每一装置中都存在群组链配置DB,并且所述群组链配置DB同步以确保其中的内容都相同。如果状态变化在群组中被验证为可信任的,则装置10进行步骤S310,否则装置10进行步骤S310'。
任选地,如果群组200中的所有其它装置都验证了状态变化,则可以认为状态变化在群组100中被验证为可信任的。或任选地,如果与装置10处于同一虚拟群组20中的所有其它装置将状态变化验证为可信任的,则可以认为状态变化在群组100中被验证为可信任的。
此处,同一虚拟群组中的装置具有相同的安全属性。
虚拟群组可以包含群组100中具有相同安全属性的装置。因此,可以基于装置的安全属性关联来构建虚拟群组。可以基于以下准则来构建虚拟群组:
1)如果装置处于相同进程中,则所述装置可在同一虚拟群组中。
2)如果装置正在运行相同的应用程序,则所述装置可在同一虚拟群组中。
3)如果装置属于同一类型。例如,工业控制系统中的逆变器可具有相同的安全属性。
4)如果定期用相同补丁更新装置。
5)如果装置针对进程/组件/补丁处于相同的签名状态下。
6)如果装置具有相同的控制行为。
7)如果装置具有相同的网络行为。
在步骤S310'中,装置10可以将警报广播到群组100中的所有其它装置和/或群组100的管理装置。其它装置和/或管理装置可以记录警报以稍后进行攻击标识和分析。
在步骤S310中,群组100中的装置竞争成为群组100中的记账装置。任选地,如果不处于同一虚拟群组20中的其它装置可证明其状态是可信任的,则与装置10处于同一虚拟群组20中的装置成为记账装置的优先级高于所述其它装置。并且,任选地,一个随机生成器将确定哪一个装置可以是记账装置以生成和记录第二链的新节点。如果装置10赢得竞争以成为记账节点,则装置10进行步骤S311和S312,否则程序300将进行到步骤S311'、S312'和S313。
在步骤S311中,装置10生成状态变化的第二日志。装置10可以从群组100中的其它装置收集状态变化的日志,并且基于所收集的日志和所述装置自身的状态变化的第一日志而生成状态变化的第二日志。
在步骤S312中,装置10将包含第二日志的节点添加到第二链。
任选地,第二链中的节点可以包含以下信息:状态变化日志(即,状态变化的第二日志)、变化状态的节点描述、时间戳、记账节点信息、随机数、先前节点的哈希值、此节点内容的哈希值等。
在步骤S311'中,群组100中的获胜记账装置从群组100中的装置收集状态变化日志(例如,状态变化的第一日志)。
在步骤S312'中,获胜记账装置基于所收集的日志而生成状态变化的第二日志。
在步骤S313中,获胜记账装置将包含第二日志的节点添加到第二链。
图4描绘了显示本公开的状态管理设备400的示例性实施例的框图。
参考图4,状态管理设备400可以包含状态检测代理41,其用于验证装置10的局部状态并维护对应于装置10的第一链。状态管理设备400还包含状态管理系统42,其用于验证群组100的整体状态并维护对应于群组100的第二链。
状态检测代理41可以包含以下模块:
-检测模块411,其被配置成检测群组中的装置的状态变化;
-状态分析模块412,其被配置成验证所述状态变化;
-第一链生成器413,其被配置成在所述状态变化可信任的情况下将包含所述状态变化的第一日志的节点添加到第一链,其中所述第一链对应于所述装置;
-状态配置DB 414,其被配置成定义装置10的状态信息;
-第一链DB 415,其被配置成存储第一链的节点的数据。
并且状态管理系统42可以包含以下模块:
-基于群组的状态验证模块421,其被配置成验证群组100中的其它装置的状态变化,任选地还被配置成基于上述群组链配置DB通过检查状态变化的日志来验证状态变化的信任等级。
-通信模块422,其被配置成在群组中广播第一日志以验证状态变化,还从群组中的其它装置接收状态日志。
-第二链生成器423,其被配置成在状态变化在群组中被验证为可信任的情况下生成状态变化的第二日志,并且将包含第二日志的节点添加到第二链,其中第二链对应于群组;
-群组链配置DB 424,可以基于其验证状态变化;
-第二链DB 426,其被配置成存储第二链的节点的数据。
-状态收集模块425,其被配置成收集状态变化的日志。
任选地,状态管理系统42、状态检测代理41和模块可以是包含可执行指令的软件模块。可执行指令在由计算机执行时使所述计算机能够执行本公开中呈现的任何方法。
任选地,状态分析模块412进一步被配置成验证装置10的初始状态。第一链生成器413进一步被配置成创建第一链的初始节点,并将初始状态的日志记录在初始节点中。
任选地,当验证状态变化时,状态分析模块412进一步被配置成在符合以下条件中的任一个或以下条件的任何组合的情况下将状态变化验证为可信任的:
-装置中引起状态变化的更新文件或组件由可信任的证书颁发机构签名;
-所述状态变化不需要进程行为、控制行为或网络行为;
-所述状态变化不会引起所述装置的配置的变化。
任选地,如果与装置10处于同一虚拟群组20中的所有其它装置将状态变化验证为可信任的,则状态变化在群组100中被验证为可信任的,其中同一虚拟群组20中的装置具有相同的安全属性。
任选地,在生成状态变化的第二日志和将包含第二日志的节点添加到第二链之前,所述第二链生成器(423)进一步被配置成竞争成为群组100中的记账装置。并且,当生成状态变化的第二日志并且将包含第二日志的节点添加到第二链时,第二链生成器423进一步被配置成:如果获胜,则生成状态变化的第二日志并且将包含第二日志的节点添加到第二链,作为群组100中的记账装置。
任选地,当竞争成为群组100中的记账装置时,第二链生成器423进一步被配置成:使装置10连同与装置10处于同一虚拟群组20中的其它装置(其状态被验证为可信任的)成为群组100中的记账装置的机会相同,高于不与装置10处于同一虚拟群组20中的装置,其中同一虚拟群组20中的装置具有相同的安全属性。
现在,结合示例性过程,将介绍以上模块的功能和其间的交互。
示例性工业场景如下:一些工程师站、操作站和应用程序服务器安装状态管理系统和状态检测代理,以检测状态并验证变化。管理员将在一个工业控制装置(例如PLC)中应用一个补丁。所述补丁已由可信任的CA签名,并由原始供应商发行。
在初始阶段中,装置10的状态检测代理41的检测模块411根据状态配置DB 414中的状态配置收集状态信息。检测模块411检测装置10的状态信息,装置10参与的控制进程、装置10的补丁和/或配置等。状态分析模块412根据状态配置数据库分析状态。举例来说,所述状态分析模块分析补丁的哈希值和签名以验证它是否可信任。如果初始状态是可信任的,则第一链生成器413创建将存储在第一链DB 415中的第一链的初始节点。
检测模块411监测装置10的状态变化并检测配置、补丁或软件的恶意或非法操纵。
当(例如:管理员)将补丁安装在装置中时,检测模块411将检测这种状态变化。所述检测模块可以检测补丁的签名,并且状态分析模块将验证补丁的签名。
如果补丁被验证为可信任的,则第一链生成器413将状态变化的第一日志发送到装置10的状态收集模块425。基于群组的状态验证模块421将用发行方的公钥验证补丁的签名。
如果基于群组的状态验证模块421将补丁验证为可信任的,则所述基于群组的状态验证模块将经由群组100中的通信模块422广播状态变化的第一日志和补丁的信息。如果群组100中的其它装置是与装置10处于同一虚拟群组20中的一个装置(这意味着所述装置具有相同的安全属性,例如安装相同补丁且具有对补丁签名的供应商的相同公钥),则所述其它装置的状态收集模块422将获得第一日志和补丁的信息,并基于群组链配置DB而验证所述第一日志和补丁的信息。
如果与装置10处于同一虚拟群组20中的所有装置都将状态变化验证为可信任的,则补丁将安装在装置10上。
群组100中的每一装置的状态管理系统42将进行竞争以记录状态变化的第二日志并在第二链中生成新节点。如果与装置10处于同一虚拟群组20中的装置可以证明其状态是可信任的,则所述装置成为记账节点的优先级将更高。对于同一虚拟群组中的那些可信任装置,一个随机生成器将计算一个随机数,并将所述随机数与装置的序列号(从1到n)进行比较。如果随机数除以装置总数的余数等于装置的序列号,则将所述装置选为记账装置。
记账装置将从补丁装置10获得第一状态的第一日志并在第二链中生成新节点。新节点将由第二链中的所有节点验证,然后新节点将在第二链中生效。
图5描绘了显示本公开的状态变化管理设备500的示例性实施例的其它框图。参考图5,状态变化管理设备500可以包含:至少一个存储器51,其被配置成存储指令;以及至少一个处理器52,其耦合到至少一个存储器51,并且在执行可执行指令时被配置成:检测装置10的状态变化,并验证所述状态变化。如果状态变化是可信任的,则至少一个处理器52进一步被配置成将包含状态变化的第一日志的节点添加到对应于装置10的第一链,并在群组100中广播第一日志以验证状态变化,并且如果状态变化在群组100中被验证为可信任的,则基于第一日志生成状态变化的第二日志,并将包含第二日志的节点添加到第二链,其中第二链对应于群组100。
任选地,至少一个处理器52在执行可执行指令时进一步被配置成:在基于状态变化配置DB将状态变化验证为可信任的之后,基于群组链DB通过检查状态变化的日志来验证状态变化的信任级别。如果状态变化是可信任的,则至少一个处理器52进一步被配置成广播第一日志并获得在群组100中验证的变化的状态。
任选地,至少一个处理器52在执行可执行指令时进一步被配置成:验证装置10的初始状态。如果初始状态是可信任的,则创建第一链的初始节点并将初始状态的日志记录在初始节点。
任选地,当验证状态变化时,至少一个处理器52在执行可执行指令时进一步被配置成:在符合以下条件中的任一个或以下条件的任何组合的情况下将状态变化验证为可信任的:
-装置中引起状态变化的更新文件或组件由可信任的证书颁发机构签名;
-所述状态变化不需要进程行为、控制行为或网络行为;
-所述状态变化不会引起所述装置的配置的变化。
任选地,如果与装置10处于同一虚拟群组20中的所有其它装置将状态变化验证为可信任的,则认为状态变化在群组100中被验证为可信任的,其中同一虚拟群组20中的装置具有相同的安全属性。
任选地,在生成状态变化的第二日志并且将包含第二日志的节点添加到第二链之前,至少一个处理器52在执行可执行指令时进一步被配置成:竞争成为群组100中的记账装置。并且,当生成状态变化的第二日志并且将包含第二日志的节点添加到第二链时,至少一个处理器52在执行可执行指令时进一步被配置成:如果获胜,则生成状态变化的第二日志并且将包含第二日志的节点添加到第二链,作为群组中的记账装置。
任选地,当竞争成为群组100中的记账装置时,至少一个处理器52在执行可执行指令时进一步被配置成:使装置10连同与装置10处于同一虚拟群组20中的其它装置(其状态被验证为可信任的)成为群组100中的记账装置的机会相同,高于不与装置10处于同一虚拟群组20中的装置,其中同一虚拟群组20中的装置具有相同的安全属性。
本公开中还提供一种存储可执行指令的计算机可读介质,所述可执行指令在由计算机执行时使所述计算机能够执行本公开中呈现的任何方法。
计算机程序正由至少一个处理器执行并且执行本公开中呈现的任何方法。
本公开提供一种状态变化管理方法、设备和计算机可读介质,通过所述方法、设备和计算机可读介质,即使没有第三方可信机构也能有效地检测和验证装置的状态变化。并且一旦发生攻击,就可以追溯根本原因以预防未来的攻击。
本公开中提供的方案可以保护群组中的装置,例如工业控制系统中的控制装置,使其不被非法修改或恶意滥用系统资源,所述方案具有以下优点:
群组中的每一装置具有两个子系统:状态管理系统和状态检测代理,其可在没有中央控制或监测的情况下检测非法更改或恶意滥用。装置的状态检测代理可以局部地验证任何变化,并且其它节点可以在群组级别上验证任何变化。
具有相同安全属性的虚拟群组可在不同装置当中构建关联关系,这使得有可能选择相关装置来验证其它装置的状态变化。这可以提高状态变化验证的效率和精确度。
记账节点的引入使得只有具有可信任状态的装置才有权记录新的状态并生成新节点,这可以确保节点不会对链进行恶意更改。这样可以提高群组的安全性。
即使状态管理系统和状态检测代理两者都受到攻击或非法更改,其它装置也能很容易地发现装置的状态不再安全。
虽然已参考某些实施例详细地描述了本发明技术,但应了解,本发明技术不限于那些精确的实施例。实际上,鉴于描述用于实践本发明的示例性模式的本公开内容,在不脱离本发明的范围和精神的情况下,所属领域的技术人员能进行许多修改和变化。因此,本发明的范围由所附权利要求书指示,而非由前文描述指示。落入权利要求书的等效含义和范围内的所有改变、修改和变化将被认为在权利要求书的范围内。
Claims (19)
1.一种由群组中的装置执行的状态变化管理方法(300),其包括:
-检测(S304)所述装置的状态变化;
-验证(S305)所述状态变化,并且如果所述状态变化被验证为可信任的,则进行以下操作:
-将包含所述状态变化的第一日志的节点添加(S306)到第一链,其中所述第一链对应于所述装置;
-在所述群组中广播(S308)所述第一日志以验证(S309)所述状态变化,并且
-如果所述状态变化在所述群组中被验证为可信任的,则进行以下操作:
-基于所述第一日志而生成(S311)所述状态变化的第二日志,以及
-将包含所述第二日志的节点添加(S312)到第二链,其中所述第二链对应于所述群组。
2.根据权利要求1所述的方法,其进一步包括:
-验证(S301)所述装置的初始状态;
-如果所述初始状态被验证为可信任的,则进行以下操作:
-创建(S302)所述第一链的初始节点,以及
-将所述初始状态的日志记录(S303)在所述初始节点中。
3.根据权利要求1或2所述的方法,其中验证(S305)所述状态变化包括:如果符合以下条件中的任一个或所述以下条件的任何组合,则将所述状态变化验证为可信任的:
-所述装置中引起第一状态变化的更新文件或组件由可信任的证书颁发机构签名;
-所述第一状态变化不需要进程行为、控制行为或网络行为;
-所述第一状态变化不会引起所述装置的配置的变化。
4.根据权利要求1至3中任一项所述的方法,其中,如果与所述装置处于同一虚拟群组中的所有其它装置将所述状态变化验证为可信任的,则所述状态变化在所述群组中被验证为可信任的,其中同一虚拟群组中的装置具有相同的安全属性。
5.根据权利要求1至4中任一项所述的方法,其中
-在生成(S311)所述状态变化的第二日志并且将包含所述第二日志的节点添加(S312)到第二链之前,所述方法包括:竞争(S310)成为所述群组中的记账装置,并且
-生成(S311)所述状态变化的第二日志并且将包含所述第二日志的节点添加(S312)到第二链进一步包括:如果获胜,则生成(S311)所述状态变化的第二日志并且将包含所述第二日志的节点添加(S312)到第二链,作为所述群组中的所述记账装置。
6.根据权利要求5所述的方法,其中竞争(S310)成为所述群组中的记账装置包括:如果所述装置的状态是可信任的,则进行以下操作:
-使所述装置成为所述群组中的记账装置的机会同与所述装置处于所述同一虚拟群组中的其它装置相同,并且成为所述群组中的记账装置的机会高于不与所述装置处于所述同一虚拟群组中的装置,其中同一虚拟群组中的装置具有相同的安全属性。
7.一种状态变化管理设备(400),其包括:
-状态检测代理(41),其包含:
-检测模块(411),其被配置成检测群组中的装置的状态变化;
-状态分析模块(412),其被配置成验证所述状态变化;
-第一链生成器(413),其被配置成在所述状态变化可信任的情况下将包含所述状态变化的第一日志的节点添加到第一链,其中所述第一链对应于所述装置;
-状态管理系统(42),其包含:
-通信模块(422),其被配置成在所述群组中广播所述第一日志以验证所述状态变化;
-第二链生成器(423),其被配置成:
-如果所述状态变化在所述群组中被验证为可信任的,则进行以下操作:
-基于所述第一日志而生成所述状态变化的第二日志,以及
-将包含所述第二日志的节点添加到第二链,其中所述第二链对应于所述群组。
8.根据权利要求7所述的设备(400),其中
-所述状态分析模块(412)进一步被配置成验证所述装置的初始状态;
-所述第一链生成器(413)进一步被配置成:如果所述初始状态被验证为可信任的,则进行以下操作:
-创建所述第一链的初始节点,以及
-将所述初始状态的日志记录在所述初始节点中。
9.根据权利要求7或8所述的设备(400),其中当验证所述状态变化时,所述状态分析模块(412)进一步被配置成在符合以下条件中的任一个或所述以下条件的任何组合的情况下将所述状态变化验证为可信任的:
-引起所述状态变化的更新文件或装置由可信任的证书颁发机构签名;
-所述状态变化不需要进程行为、控制行为或网络行为;
-所述状态变化不会引起所述装置的配置的变化。
10.根据权利要求7至9中任一项所述的设备(400),其中,如果与所述装置处于同一虚拟群组中的所有其它装置将所述状态变化验证为可信任的,则所述状态变化在所述群组中被验证为可信任的,其中同一虚拟群组中的装置具有相同的安全属性。
11.根据权利要求7至10中任一项所述的设备(400),其中
-在生成所述状态变化的第二日志并且将包含所述第二日志的节点添加到第二链之前,所述第二链生成器(423)进一步被配置成:竞争成为所述群组中的记账装置,并且
-当生成所述状态变化的第二日志并且将包含所述第二日志的节点添加到第二链时,所述第二链生成器(423)进一步被配置成:如果获胜,则生成所述状态变化的第二日志并且将包含所述第二日志的节点添加到第二链,作为所述群组中的所述记账装置。
12.根据权利要求11所述的设备(400),其中当竞争成为所述群组中的记账装置时,所述第二链生成器(423)进一步被配置成:如果所述装置的状态是可信任的,则使所述装置成为所述群组中的记账装置的机会同与所述装置处于所述同一虚拟群组中的其它装置相同,并且成为所述群组中的记账装置的机会高于不与所述装置处于所述同一虚拟群组中的装置,其中同一虚拟群组中的装置具有相同的安全属性。
13.一种状态变化管理设备(500),其包括:
-至少一个存储器(51),其被配置成存储可执行指令;
-至少一个处理器(52),其耦合到所述至少一个存储器(51),并且在执行所述可执行指令时被配置成:
-检测所述装置的状态变化;
-验证所述状态变化,并且如果所述状态变化是可信任的,则进行以下操作:
-将包含所述状态变化的第一日志的节点添加到第一链,其中所述第一链对应于所述装置;
-在群组中广播所述第一日志以验证所述状态变化,并且
-如果所述状态变化在所述群组中被验证为可信任的,则进行以下操作:
-基于所述第一日志而生成所述状态变化的第二日志,以及
-将包含所述第二日志的节点添加到第二链,其中所述第二链对应于所述群组。
14.根据权利要求13所述的设备(500),其中所述至少一个处理器(52)在执行所述可执行指令时进一步被配置成:
-验证所述装置的初始状态;
-如果所述初始状态被验证为可信任的,则进行以下操作:
-创建所述第一链的初始节点,以及
-将所述初始状态的日志记录在所述初始节点中。
15.根据权利要求13或14所述的设备(500),其中,当验证所述状态变化时,所述至少一个处理器(52)在执行所述可执行指令时进一步被配置成:如果符合以下条件中的任一个或所述以下条件的任何组合,则将所述状态变化验证为可信任的:
-引起所述状态变化的更新文件或装置由可信任的认证中心签名;
-所述状态变化不需要进程行为、控制行为或网络行为;
-所述状态变化不会引起所述装置的配置的变化。
16.根据权利要求13至15中任一项所述的设备(500),其中,如果与所述装置处于同一虚拟群组中的所有其它装置将所述状态变化验证为可信任的,则所述状态变化在所述群组中被验证为可信任的,其中同一虚拟群组中的装置具有相同的安全属性。
17.根据权利要求13至16中任一项所述的设备(500),其中
-在生成所述状态变化的第二日志并且将包含所述第二日志的节点添加到第二链之前,所述至少一个处理器(52)在执行所述可执行指令时进一步被配置成:竞争成为所述群组中的记账装置,并且
-当生成所述状态变化的第二日志并且将包含所述第二日志的节点添加到第二链时,所述至少一个处理器(52)在执行所述可执行指令时进一步被配置成:如果获胜,则生成所述状态变化的第二日志并且将包含所述第二日志的节点添加到第二链,作为所述群组中的所述记账装置。
18.根据权利要求17所述的设备(500),其中当竞争成为所述群组中的记账装置时,所述至少一个处理器(52)在执行所述可执行指令时进一步被配置成:如果所述装置的状态是可信任的,则使所述装置成为所述群组中的记账装置的机会同与所述装置处于所述同一虚拟群组中的其它装置相同,并且成为所述群组中的记账装置的机会高于不与所述装置处于所述同一虚拟群组中的装置,其中同一虚拟群组中的装置具有相同的安全属性。
19.一种存储可执行指令的计算机可读介质,所述可执行指令在由计算机执行时使所述计算机能够执行根据权利要求1至6中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/075047 WO2020164040A1 (en) | 2019-02-14 | 2019-02-14 | Status change management method, apparatus and computer-readable medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113366476A true CN113366476A (zh) | 2021-09-07 |
Family
ID=72044600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980090995.6A Pending CN113366476A (zh) | 2019-02-14 | 2019-02-14 | 状态变化管理方法、设备和计算机可读介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113366476A (zh) |
| WO (1) | WO2020164040A1 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180054491A1 (en) * | 2016-08-19 | 2018-02-22 | Ca, Inc. | Maintaining distributed state among stateless service clients |
| US20180089217A1 (en) * | 2016-09-29 | 2018-03-29 | Ricoh Company, Ltd. | System, method of generating operation monitoring information, information processing apparatus |
| CN108776616A (zh) * | 2018-06-06 | 2018-11-09 | 北京八分量信息科技有限公司 | 一种确定区块链节点可信状态的方法、区块链节点及系统 |
| CN108804909A (zh) * | 2018-06-13 | 2018-11-13 | 中链科技有限公司 | 一种用于对检测数据进行区块链存证处理的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8949257B2 (en) * | 2008-02-01 | 2015-02-03 | Mandiant, Llc | Method and system for collecting and organizing data corresponding to an event |
| US10042354B2 (en) * | 2015-06-02 | 2018-08-07 | Rockwell Automation Technologies, Inc. | Security system for industrial control infrastructure using dynamic signatures |
| US10129258B2 (en) * | 2016-11-30 | 2018-11-13 | Salesforce.Com, Inc. | Secure component-based web applications |
-
2019
- 2019-02-14 CN CN201980090995.6A patent/CN113366476A/zh active Pending
- 2019-02-14 WO PCT/CN2019/075047 patent/WO2020164040A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180054491A1 (en) * | 2016-08-19 | 2018-02-22 | Ca, Inc. | Maintaining distributed state among stateless service clients |
| US20180089217A1 (en) * | 2016-09-29 | 2018-03-29 | Ricoh Company, Ltd. | System, method of generating operation monitoring information, information processing apparatus |
| CN108776616A (zh) * | 2018-06-06 | 2018-11-09 | 北京八分量信息科技有限公司 | 一种确定区块链节点可信状态的方法、区块链节点及系统 |
| CN108804909A (zh) * | 2018-06-13 | 2018-11-13 | 中链科技有限公司 | 一种用于对检测数据进行区块链存证处理的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020164040A1 (en) | 2020-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11856106B2 (en) | Secure configuration of a device | |
| Lin et al. | Cyber attack and defense on industry control systems | |
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| Xu et al. | Alert correlation through triggering events and common resources | |
| Xie et al. | Using Bayesian networks for cyber security analysis | |
| US7941853B2 (en) | Distributed system and method for the detection of eThreats | |
| CN106529282A (zh) | 一种基于信任链的白名单执行系统及执行方法 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| CN110162978A (zh) | 一种终端安全风险评估管理方法、装置及系统 | |
| CN112015111B (zh) | 基于主动免疫机理的工业控制设备安全防护系统和方法 | |
| CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及系统 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
| Pasandideh et al. | Improving attack trees analysis using Petri net modeling of cyber-attacks | |
| CN113366476A (zh) | 状态变化管理方法、设备和计算机可读介质 | |
| Colajanni et al. | Selective and early threat detection in large networked systems | |
| Maloney et al. | Cyber-physical system security automation through blockchain remediation and execution (SABRE) | |
| Xu et al. | Identification of ICS Security Risks toward the Analysis of Packet Interaction Characteristics Using State Sequence Matching Based on SF‐FSM | |
| Yu et al. | Research on key technology of industrial network boundary protection based on endogenous security | |
| Whyte | Using a systems-theoretic approach to analyze cyber attacks on cyber-physical systems | |
| Wain et al. | Towards a distributed runtime monitor for ICS/SCADA systems | |
| Zhang et al. | Securing the Internet of Things: Need for a New Paradigm and Fog Computing | |
| CN114422162B (zh) | 一种用于火电机组的生产控制大区安全态势感知系统 | |
| US11457020B2 (en) | Method for integrity protection in a computer network | |
| Trivedi | Toward autonomic security for industrial control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210907 |
|
| WD01 | Invention patent application deemed withdrawn after publication |