CN115826508A - 机箱上背板入侵检测系统和连续威胁检测启用平台 - Google Patents
机箱上背板入侵检测系统和连续威胁检测启用平台 Download PDFInfo
- Publication number
- CN115826508A CN115826508A CN202211114792.6A CN202211114792A CN115826508A CN 115826508 A CN115826508 A CN 115826508A CN 202211114792 A CN202211114792 A CN 202211114792A CN 115826508 A CN115826508 A CN 115826508A
- Authority
- CN
- China
- Prior art keywords
- security
- backplane
- module
- data traffic
- security module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开了机箱上背板入侵检测系统和连续威胁检测启用平台。工业安全模块被设计成安装在工业控制器的背板上并且执行机箱上的背板级的安全监测,而无需将数据包复制或重新传输到外部安全监测系统。安全模块能够执行对控制器的背板上的数据流量的被动安全监测以及对连接至背板的设备的主动监测二者,从而确保可靠地检测潜在的安全威胁、入侵、设备篡改或禁止的设备重新配置。
Description
相关申请的交叉引用
本申请要求于2021年9月16日提交的且题为“ON-CHASSIS BACKPLANE INTRUSIONDETECTION SYSTEM AND CONTINUOUS THREAD DETECTION ENABLEMENT PLATFORM”的美国临时专利申请序列第63/244,891号的优先权,其全部内容通过引用并入本文中。
技术领域
本公开内容总体上涉及安全模块和执行安全监测的方法。
背景技术
本文中公开的主题一般地涉及工业自动化系统,并且更特别地,涉及工业环境中的安全威胁或入侵的检测和通知。
发明内容
下面给出了简要的概述,以提供对本文中描述的一些方面的基本理解。该概述既非广泛的综述,也不旨在标识关键/重要元素或划定本文中描述的各个方面的范围。它的唯一目的是以简化的形式呈现一些构思作为稍后呈现的更详细描述的前序。
在一个或更多个实施方式中,提供了一种安全模块,包括:背板接口部件,其被配置成将安全模块与工业控制器的背板对接;以及安全部件,其被配置成执行对背板上的数据流量的安全监测,并且响应于基于安全监测检测到数据流量的特性指示安全入侵而生成通知。
此外,一个或更多个实施方式提供了一种方法,包括:由包括处理器的安全模块与工业控制器的背板对接;由安全模块执行对跨背板的数据流量的安全监测;以及响应于基于安全监测确定数据流量的特性指示安全威胁,由安全模块生成针对一个或更多个客户端设备的通知。
此外,根据一个或更多个实施方式,提供了一种在其上存储有指令的非暂态计算机可读介质,指令响应于执行而使包括处理器的安全模块执行操作,操作包括:将安全模块与工业控制器的背板进行通信地对接;执行对跨背板的数据流量的安全监测;以及响应于基于安全监测确定数据流量的特性指示安全问题而生成针对一个或更多个客户端设备的通知。
为了实现上述及有关目的,在本文中结合以下描述和附图对某些示意性方面进行了描述。这些方面指示可以实践的各种方式,所有这些方式均旨在被涵盖在本文中。当结合附图考虑时,根据下面的详细描述,其他优点和新颖特征可以变得明显。
附图说明
图1是示例工业控制环境的图。
图2是示出电连接至工业控制器的I/O设备的架构的图。
图3是示出工业控制器机箱内的处理器模块与I/O模块之间的通信的图。
图4是示例安全模块的框图。
图5是其中已经安装安全模块的示例工业控制器的图。
图6是示出由安全模块的安全部件对背板数据流量的被动监测的图。
图7是示出由安全模块的安全部件执行的主动安全监测的图。
图8是描绘其中安全通知由安全模块生成和递送的示例架构的图。
图9是用于鉴于用户定义的安全规则或参数执行对工业控制器的背板上的数据流量的被动安全监测的示例方法的流程图。
图10是用于基于背板数据流量的学习的模式执行对工业控制器的背板上的数据流量的被动安全监测的示例方法的流程图。
图11是用于执行对连接至工业控制器的背板的设备的主动安全监测的示例方法的流程图。
图12是示例计算环境。
图13是示例网络环境。
具体实施方式
现在参照附图描述本公开内容,其中,贯穿全文使用相似的附图标记指代相似的元素。在以下描述中,出于说明的目的,阐述了许多具体细节以提供对本主题公开内容的透彻理解。然而,会明显的是,可以在没有这些具体细节的情况下实践本主题公开内容。在其他实例中,以框图的形式示出了公知的结构和设备以有助于对本主题公开内容的描述。
如在本申请中使用的,术语“部件”、“系统”、“平台”、“层”、“控制器”、“终端”、“站”、“节点”、“接口”旨在指代计算机相关实体、或与具有一个或更多个特定功能的操作装置相关的或作为该操作装置的一部分的实体,其中,这样的实体可以是硬件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以是但不限于:在处理器上运行的进程、处理器、硬盘驱动器、包括附接(例如,螺丝拧紧或螺栓固定)或可移除附接的固态存储驱动器的(光存储介质或磁存储介质的)多个存储驱动器;对象;可执行文件;执行的线程;计算机可执行程序和/或计算机。通过说明的方式,在服务器上运行的应用和服务器二者均可以是部件。一个或更多个部件可以驻留在执行的进程和/或线程内,并且部件可以位于一个计算机上以及/或者分布在两个或更多个计算机之间。此外,如本文所描述的部件可以从其上存储有各种数据结构的各种计算机可读存储介质来执行。部件可以经由本地和/或远程进程例如根据具有一个或更多个数据包的信号(例如,来自经由信号与本地系统、分布式系统中的另一部件和/或跨网络例如因特网与其他系统交互的一个部件的数据)进行通信。作为另一示例,部件可以是具有由被电气或电子电路系统操作的机械部件提供的特定功能的装置,该电气或电子电路系统由处理器执行的软件或固件应用来操作,其中,处理器可以在该装置的内部或外部并且执行软件或固件应用的至少一部分。作为又一示例,部件可以是通过电子部件在没有机械部件的情况下提供特定功能的装置,电子部件可以在其中包括处理器以执行至少部分地提供电子部件的功能的软件或固件。作为再一示例,接口可以包括输入/输出(I/O)部件以及相关联的处理器、应用或应用编程接口(API)部件。虽然前述示例针对部件的各方面,但是举例说明的方面或特征也适用于系统、平台、接口、层、控制器、终端等。
如本文中所使用的,术语“作出推断(to infer)”和“推断(inference)”一般是指根据经由事件和/或数据捕获的一组观察结果来推理或推断系统、环境和/或用户的状态的过程。例如,推断可以被用于标识特定的情境或动作,或者可以生成状态的概率分布。推断可以是概率性的,即,基于对数据和事件的考虑来计算关于感兴趣的状态的概率分布。推断还可以指代用于根据一组事件和/或数据构成较高级的事件的技术。这样的推断导致从一组观察到的事件和/或所存储的事件数据构造出新事件或动作,而不管这些事件在时间接近性上是否紧密相关,也不管事件和数据是否来自一个或若干个事件和数据源。
另外,术语“或”旨在表示包含性的“或”而不是排他性的“或”。也就是说,除非另有说明或者从上下文清楚得知,否则短语“X采用A或B”旨在意指任何自然的包含性排列。也就是说,以下实例中的任何实例满足短语“X采用A或B”:X采用A;X采用B;或X采用A和B二者。另外,除非另有说明或根据上下文清楚得知本申请和所附权利要求书中使用的冠词“一”和“一个”涉及单数形式,否则所述冠词通常应当被解释为意指“一个或更多个”。
此外,本文中采用的术语“集合”排除空集,例如其中没有元素的集合。因此,在本公开内容中的“集合”包括一个或更多个元素或实体。作为说明,控制器的集合包括一个或更多个控制器;数据资源的集合包括一个或更多个数据资源等。同样地,本文中所用的术语“组”是指一个或更多个实体的集合;例如,一组节点是指一个或更多个节点。
将根据可以包括多个设备、部件、模块等的系统来呈现各个方面或特征。应当理解并且认识到,各种系统可以包括附加的设备、部件、模块等,以及/或者可以不包括结合附图讨论的所有设备、部件、模块等。还可以使用这些方法的组合。
工业控制器、其相关联的I/O设备、马达驱动器和其他这样的工业设备对现代自动化系统的操作很重要。工业控制器与工厂车间(plant floor)的现场设备进行交互,以控制与诸如产品制造、材料处理、批处理、监督控制以及其他这样的应用的目标有关的自动化过程。工业控制器存储和执行用户定义的控制程序,以实现与受控过程有关的决策制定。这样的程序可以包括但不限于:梯形逻辑、顺序功能图、功能框图、结构化文本或其他这样的平台。
图1是示例工业环境100的框图。在该示例中,将多个工业控制器118部署在整个工业工厂环境中,以监测和控制与产品制造、加工、运动控制、批处理、材料处理或其他这样的工业功能有关的相应工业系统或过程。工业控制器118通常执行相应的控制程序以促进对组成受控工业资产或系统(例如,工业机器)的工业设备120进行监测和控制。一个或更多个工业控制器118还可以包括在个人计算机、刀片式服务器或其他硬件平台或云平台上执行的软控制器。一些混合设备还可以将控制器功能与其他功能(例如,可视化)进行组合。由工业控制器118执行的控制程序可以包括用于处理从工业设备120读取的输入信号以及控制由工业控制器生成的输出信号的任何可想到的类型的代码,包括但不限于梯形逻辑、顺序功能图、功能框图、结构化文本、C++、Python、Javascript等。
工业设备120可以包括输入设备、输出设备或者用作输入设备和输出设备二者的设备,输入设备向工业控制器118提供与受控工业系统有关的数据,输出设备对由工业控制器118生成的控制信号做出响应以控制工业系统的各方面。示例输入设备可以包括遥测设备(例如,温度传感器、流量计、物位传感器、压力传感器等)、手动操作者控制设备(例如按钮、选择器开关等)、安全监测设备(例如,安全垫、安全拉绳、光幕等)以及其他这样的设备。输出设备可以包括马达驱动器、气动致动器、信号设备、机器人控制输入、阀等。诸如工业设备120M的一些工业设备可以在不受工业控制器118控制的情况下在工厂网络116上自主地操作。
工业控制器118可以通过硬连线连接或者通过有线或无线网络与工业设备120通信地对接。例如,工业控制器118可以配备有与工业设备120进行通信以实现对设备的控制的本地硬连线输入端和输出端。本地控制器I/O可以包括:向现场设备发送离散电压信号以及从现场设备接收离散电压信号的数字I/O,或者向设备发送模拟电压或电流信号以及从设备接收模拟电压或电流信号的模拟I/O。控制器I/O可以通过背板(backplane)与控制器的处理器进行通信,使得数字信号和模拟信号可以被读入控制程序并由控制程序控制。工业控制器118还可以使用例如通信模块或集成的联网端口通过工厂网络116与工业设备120进行通信。示例性网络可以包括因特网、内联网、以太网、以太网/IP(EtherNet/IP)、设备网(DeviceNet)、控制网(ControlNet)、数据高速公路和数据高速公路+(DH/DH+)、远程I/O、现场总线(Fieldbus)、网络通讯协议(Modbus)、过程现场总线(Profibus)、无线网络、串行协议等。工业控制器118还可以存储可以由控制程序引用并且用于控制决策的持久数据值,其包括但不限于:表示受控机器或处理的操作状态的测量或计算的值(例如,罐物位、位置、警报等),或者在自动化系统的操作期间收集的捕获的时间序列数据(例如,多个时间点的状态信息、诊断发生等)。类似地,一些智能设备——包括但不限于马达驱动器、器械或状态监测模块——可以存储用于控制操作状态和/或使操作的状态可视化的数据值。这样的设备还可以捕获日志上的时间序列数据或事件以用于后续检索和查看。
工业自动化系统通常包括一个或更多个人机接口(HMI)114,其允许工厂人员查看与自动化系统相关联的遥测数据和状态数据并且控制系统操作的一些方面。HMI 114可以通过工厂网络116与工业控制器118中的一个或更多个进行通信,并且与工业控制器交换数据以便于在一个或更多个预开发的操作者接口屏幕上对与受控工业过程相关的信息进行可视化。HMI 114还可以被配置成允许操作者将数据提交至工业控制器118的存储器地址或指定的数据标签,从而为操作者提供向受控系统发布命令(例如,循环开启命令、设备致动命令等)、修改设定点值等的手段。HMI114可以生成一个或更多个显示画面,操作者通过一个或更多个显示画面与工业控制器118交互,并且从而与受控过程和/或系统交互。示例显示画面可以使用显示计量或计算的值的过程的图形表示来使工业系统或其相关联设备的当前状态可视化,采用基于状态的颜色或位置动画,呈现警报通知或者采用其他这样的技术以向操作者展现相关数据。以这种方式展现的数据由HMI 114从工业控制器118读取,并且根据由HMI开发者选择的显示格式被呈现在显示画面中的一个或更多个上。HMI可以包括固定位置设备或移动设备,其具有用户安装或预先安装的操作系统以及用户安装或预先安装的图形应用软件。
一些工业环境还可以包括与受控工业系统的特定方面有关的其他系统或设备。这些系统或设备可以包括例如一个或更多个数据历史装置(data historian)110,所述数据历史装置110聚合和存储从工业控制器118和其他工业设备收集的生产信息。
工业设备120、工业控制器118、HMI 114、相关联的受控工业资产、以及其他工厂车间系统例如数据历史装置110、视觉系统以及其他这样的系统在工业环境的操作技术(OT)级上操作。较高级的分析和报告系统可以在信息技术(IT)领域中的工业环境的较高企业级处操作;例如,在办公网络108上或在云平台122上操作。这样的较高级的系统可以包括例如企业资源规划(ERP)系统104,所述ERP系统104集成并总体地管理高级业务操作,例如财务、销售、订单管理、营销、人力资源或其他这样的业务功能。鉴于较高级的业务考虑,制造执行系统(MES)102可以监测和管理控制级上的控制操作。报告系统106可以从工厂车间上的工业设备收集操作数据,并生成总结受控工业资产的操作统计的每日或轮班报告。
由工业控制器118控制的工业设备120、过程或机器通常包括一个或更多个I/O设备,一个或更多个I/O设备经由控制器的I/O模块电连接至工业控制器118,如图2中所示。这些I/O设备202可以包括数字输入设备(例如,按钮、选择器开关、安全设备、接近开关、光电传感器等)、数字输出设备(例如,螺线管值、指示灯、马达接触器等)、模拟输入设备(例如,4mA至20mA遥测设备、0VDC至10VDC遥测设备或其他模拟测量设备)或模拟输出设备(例如,变频驱动器、流量控制阀、速度控制设备等)。通常,每个I/O设备202线连接至工业控制器118的适当I/O模块204的端子。I/O模块通常被分类为数字输入模块、数字输出模块、模拟输入模块或模拟输出模块以适应不同类型的I/O设备202。作为直接硬连线I/O的替选方案,在一些控制器配置中,I/O设备202可以线连接至位于相对于工业控制器118较远位置的远程I/O模块,并且控制器118可以经由I/O网络联网至远程I/O模块,该I/O网络提供用于在控制器118与远程I/O模块(及其相关联的设备202)之间交换I/O数据的通道。
为了满足每个特定控制应用的需要,一些工业控制器包括多插槽机箱,多插槽机箱允许将选定的I/O模块安装在机箱的每个插槽中。机箱的一个插槽通常专用于控制器的处理器模块206,尽管一些设计允许将处理器模块206插入机箱的任何插槽中。当处理器模块206、I/O模块204或其他类型的特殊功能模块(例如,联网模块或特殊功能模块)被安装在控制器的机箱中时,模块与安装在机箱的后部处的背板对接。背板用作电力总线和数据总线,电力总线和数据总线二者都向I/O模块提供电力——通常由安装在机箱304中的专用电力模块提供——并且还用作处理器模块206与I/O模块204之间的数据交换的路径。例如,数字输入模块和模拟输入模块经由背板将其测量的输入值提供给处理器模块,并且处理器模块经由背板将编程的数字值和模拟值发送至选定的数字输出模块或模拟输出模块以转换成电输出信号。
图3是示出工业控制器机箱304内的处理器模块206与I/O模块204之间的通信的图。I/O模块204的一个或更多个端子312经由现场连线310线连接至I/O设备(例如,I/O设备202),从而允许在I/O设备与I/O模块204之间交换电信号。如果I/O模块204是输入模块,则每个输入I/O设备经由现场连线310向I/O模块204提供离散(例如,24VDC)或模拟(例如,4mA至20mA或0VDC至10VDC)电信号,以供由处理器模块206处理。如果I/O模块204是输出模块,则I/O模块204根据由处理器模块206发出的命令经由现场连线310向I/O设备发送离散或模拟输出信号。处理器模块206执行用户定义的控制程序308(例如,梯形逻辑程序、顺序功能块程序等),控制程序308根据所接收的输入信号和用户定义的控制序列控制经由输出模块发送至输出现场设备的输出信号。I/O模块204经由背板的数据总线与处理器模块206交换该输入和输出数据,该背板位于机箱304的背部。通常,当I/O模块204或处理器模块206被插入到机箱304的插槽中时,模块的后侧的对接连接器被插入到背板中,从而提供在处理器模块206与I/O模块204之间进行数据交换的手段。背板还包括向I/O模块204和处理器模块206提供电力的电力总线。
工业OT环境——包括关键软件、固件、OT设备和工业物联网(IIoT)平台——仍然容易受到网络安全攻击。一些主流工业OT安全解决方案——例如入侵检测系统(IDS)和连续威胁检测(CTD)系统——被设计成评估尚未加密的OT数据流量,尽管现代OT以太网堆栈可以支持加密通信。此外,许多工业OT安全系统例如远程交换端口分析器(RSPAN)通过复制加密包并且将这些复制的包传输至单独的流量监测系统以供分析来操作。这样的解决方案会消耗过多的网络带宽,因为必须通过网络将被监测数据包的副本发送至流量监测系统。当数据从数据流量源移动到专用流量监测系统时,这种方法还会使复制的数据暴露于可能的拦截或篡改。此外,OT安全系统通常仅依赖于被动网络监测技术,这造成破坏这种被动监测的某些类型的网络攻击或入侵——例如,用携带恶意软件的不受信任的模块替换控制器模块——将不会被检测到的可能性。
为了解决这些和其他问题,本文中描述的一个或更多个实施方式提供了机箱内安全模块,该机箱内安全模块利用通用工业协议(CIP)安全性并且执行控制器背板的直接、机箱上工业安全监测,从而减少对包复制的需要。在一个或更多个实施方式中,可安装在工业控制器的背板上的安全模块被配置成执行对控制器的背板上的数据包的被动安全监测和主动安全监测二者。安全模块可以利用学习算法以及用户定义的安全参数来监测经由背板发送至控制器模块或从控制器模块发送的数据包,识别偏离预期特性的数据流量或流量模式,以及将该活动标记为潜在的安全问题。安全模块还可以周期性地查询连接至背板的设备或模块,以确定任何受信任的设备是否已经被可能携带恶意软件的不受信任的设备替换,或者确定恶意程序或例程是否已经被下载到控制器模块。
图4是实现机箱上背板入侵检测和连续威胁检测的示例安全模块402的框图。安全模块402可以被安装在工业控制器118的背板上,并且可以实现本文中描述的安全特征。
安全模块402可以包括背板接口部件404、安全部件406、客户端接口部件408、一个或更多个处理器420和存储器422。在各种实施方式中,背板接口部件404、安全部件406、客户端接口部件408、一个或更多个处理器420以及存储器422中的一个或更多个可以彼此电耦接和/或通信地耦接以执行安全模块402的功能中的一个或更多个。在一些实施方式中,部件404、406和408可以包括存储在存储器422上并且由处理器420执行的软件指令。安全模块402还可以与图4中未描绘的其他硬件和/或软件部件交互。例如,处理器420可以与诸如键盘、鼠标、显示监视器、触摸屏或其他这样的接口设备的一个或更多个外部用户接口设备进行交互。
背板接口部件404可以被配置成将安全模块402电连接和通信地连接至工业控制器118的背板(例如,安装在控制器机箱背部处的背板)。背板接口部件404可以包括例如插入到背板接口端口中或以其他方式与背板接口端口对接的背板连接器、以及与背板交换数据和从背板接收电力所需的任何电子器件或软件。
安全部件406可以部分地基于对控制器背板上的数据流量的监测来执行各种类型的安全监测和报告——例如CTD和IDS。这些特征将在下面更详细地描述。
客户端接口部件408可以被配置成和与安全模块402对接的客户端设备交换数据,或者和与安全模块402对接的工业控制器118的处理器模块交换数据。示例客户端设备包括台式计算机、膝上型计算机或平板计算机;诸如智能电话的移动设备;或其他这样的客户端设备。
一个或更多个处理器420可以执行本文中参考所公开的系统和/或方法描述的功能中的一个或更多个。存储器422可以是存储用于执行本文中参考所公开的系统和/或方法描述的功能的计算机可执行指令和/或信息的计算机可读存储介质。
图5是其中已经安装安全模块402的示例工业控制器的图。安全模块402可以被安装在控制器的机箱304的任何可用插槽中,并且可以被设计成与将使用模块402的控制器平台的类型兼容。在一些实施方式中,当安装安全模块402时,模块402背部的插头和与机箱的选定插槽相关联的背板端口对接,并且模块的背板接口部件404经由端口将安全模块402电对接和通信地对接至背板。取决于控制器的硬件平台,安全模块402的一些实施方式可以被设计成经由其他方式与背板物理地对接。
安全模块402可以使用对控制器背板上的数据流量的被动监测和对连接至背板的设备的主动查询二者来检测工业自动化控制系统(IACS)网络入侵、到安装在控制器118上的通信模块的恶意传输、禁止或意外的I/O模块的操纵以及禁止或意外的工业控制器的配置或编程的重新配置。图6是示出由安全模块的安全部件406对背板数据流量606的被动监测的图。如上所述,背板数据流量606可以包括由处理器模块206发送至连接至控制器的背板的其他模块602——例如,I/O模块、联网模块、远程I/O模块、特殊功能模块等——的加密或非加密数据包、由处理器模块206从那些模块602接收的数据包、从连接至控制器的客户端设备发送至其他模块602之一或处理器模块206的配置数据(例如,控制编程、配置参数、网络设置等)、或其他这样的数据流量。
安全模块402可以收集和监测该背板数据、以及发送至工业控制器的机箱304的数据。在安全模块402自身上执行背板数据包的安全分析。因此,不需要复制这些数据包并将其发送至远程安全系统以供分析。这消除了对容纳这些复制数据包的传输的复杂或高吞吐量网络的需要,并且消除了由于将复制数据包传输至远程监测系统而导致的数据完整性丢失或拒绝的风险。以这种方式,安全模块402融合了基于主机的IDS与基于网络的IDS二者的优点。
安全模块402可以使用机箱上分类、机器学习和威胁分析来实现机箱上威胁检测。为此,安全模块402可以执行学习算法610例如启发式机器学习算法,以学习根据监测的背板数据检测安全威胁。这可以包括学习背板上数据流量的模式,使得可以识别和报告与这些学习的模式的偏离。由安全模块402执行的安全算法可以利用定制背板二进制文件和其上安装有模块402的控制器平台的知识来开发启发式算法,所述启发式算法使威胁报告的准确性最大化。根据示例学习算法,安全模块402可以随着时间的推移独立地学习典型的操作行为——例如,背板上的典型数据包流量。一旦学习并建立了这些典型的数据流量行为,安全模块402就可以随后将与这些典型操作模式的偏离识别为潜在威胁。
在示例场景中,安全模块的安全部件406可以基于对背板数据流量606的监测来识别作为正常机器操作周期的函数的数据流量的周期性模式,由此跨背板的某些类型的模块间通信是预期在由工业控制器监测和控制的机器处于给定操作模式下时以规则间隔出现的。在学习并建立该模式之后,安全模块402可以监测背板数据流量606以得到与该模式的偏离,并且在检测到这样的偏离后生成通知。
在另一示例中,安全部件406可以基于对背板数据流量606的监测获悉,指示处理器模块206或附接至背板的其他设备的重新配置的数据流量通常不会在一天中的某些时间之间(其可能对应于下班时间)发生。这种模式可能由于工厂的政策,即人员不应该在下班时间期间编辑处理器模块的控制程序或配置参数。类似地,安全部件406可以获悉,背板数据流量606通常在某些下班时间之间保持低于特定数据速率或频率。一旦已经识别了这些模式,安全部件406就可以鉴于这些学习的模式执行背板数据流量606的连续安全监测,并且在确定数据流量606的监测模式偏离这些预期行为后生成通知。
上面讨论的背板数据流量模式仅旨在是示例性的,并且应该理解如下实施方式:安全模块402可以被训练成随着时间的推移基于对背板数据流量606的监测和分析来学习基本上任何类型的数据流量模式,并且使用这些模式来建立预期背板数据流量的基线。这些模式可以被定义为一天中的时间、一周中的一天、操作轮班、机器操作模式或其他这样的参数的函数。一旦建立了这些基线,安全模块402就可以继续监测背板数据流量606以得到与这些基线模式的偏离,并且在检测到这样的偏离后生成通知或报告。
除了基于学习的流量模式建立正常或预期背板数据流量的基线之外,安全模块402还可以基于用户定义的安全参数608或用户提交给模块402的数据流量规则来强制执行基于规则的安全监测。为了建立这些用户定义的参数608或规则,可以使用合适的客户端设备(例如膝上型计算机、台式计算机或平板计算机;移动智能设备;或其他类型的客户端设备)对安全模块402进行编程,所述合适的客户端设备直接经由模块的客户端接口部件408、经由网络连接或经由处理器模块206通信地连接至模块402。在一些实施方式中,客户端接口部件408可以将配置接口递送给客户端设备,所述配置接口引导用户完成定义安全参数608或要由安全模块402强制执行的规则的过程。
示例安全参数608或规则可以定义许可或禁止的数据流量的类型或数据流量模式、以及在其下强制执行安全规则的条件。示例安全规则可以指定由控制器的处理器模块206执行的控制程序308在指定的时间范围期间(例如,在下午4:00之后且次日下午8:00之前)或在一周中的指定几天不被编辑或替换。一旦建立了这种规则,模块的安全部件406就将对指示程序修改或下载新控制程序308的数据流量模式或数据的背板数据流量606进行监测,并且响应于确定这样的数据流量在由安全规则指定的禁止时间段内发生而生成通知。在一些场景中,不是将规则与指定的许可的(或不许可的)时间范围相关联,安全规则可以指定在指定的机器操作或其他生产活动期间要禁止某些类型的数据流量606。安全规则还可以指定在任何情况下禁止的数据流量606的类型,无论时间或当前生产活动如何。
除了控制器背板的被动监测之外,安全模块402还可以执行对连接至背板的设备的主动安全监测。图7是示出由安全模块的安全部件406执行的主动安全监测的图。根据主动监测,安全部件406生成针对健康或安全状态的主动查询702并将其发送至与工业控制器相关联的相应设备和应用。每个被查询的设备向其接收的查询702返回响应704,响应704传达关于其安全或健康状态的信息。如果设备响应704指示表明未经授权的篡改或入侵的状态,则安全模块402生成报告可疑设备状态的通知。安全部件406可以被配置成周期性地、或者响应于指定条件(例如,在对控制器加电后、在指定机器操作的开始之前等)发送这些主动查询702。这种主动监测可以实现对安装在控制器机箱304中的工业控制器的应用(例如,控制程序308)和所有相关联的模块602(例如,I/O模块、联网模块、特殊功能模块等)的机箱上完整性监测。
可以以这种方式主动监测的硬件和软件方面可以包括但不限于由处理器模块206执行的控制程序308、连接至控制器的背板的设备中的任何设备(例如,模块602或处理器模块206)的身份、安装在连接至背板的设备中的任何设备上的固件、安装在设备中的任何设备上的信任凭证、设备的配置参数设置的值或其他这样的设备特性。通过主动监测这些设备属性,安全模块402可以识别对控制器的硬件或软件的可能指示设备篡改或入侵的可疑变化,但是上面结合图6描述的被动背板数据监测无法检测到这些可疑变化。
在示例安全场景中,安装在控制器的背板上的联网模块(例如以太网模块)可能会被未经授权的人员移除,并且被其上安装恶意软件或不受信任的固件版本的类似联网模块替换。这种替换联网模块的行为可能不会在背板上引起数据流量,这可能会被由安全模块402执行的被动背板监测检测为安全问题。然而,作为由安全模块402执行的主动监测的一部分,安全部件406向联网模块发出周期性的主动查询702,主动查询702请求关于可以用于验证模块的真实性、健康或安全性的模块的信息。所请求的信息可以包括例如模块的唯一标识符(例如,媒体访问控制、或MAC、地址)、已经安装在原始联网模块上的信任凭证、安装在模块上的固件的版本号或其他这样的信息。响应于接收到主动查询702,模块以包括所请求信息的响应704进行回复。基于响应704的内容,安全部件406确定模块是否有效;例如,该模块是否是原始安装且受信任的模块,或者该模块是否包括将模块标识为受信任设备的有效信任凭证。如果设备响应704不满足这样的安全标准,则安全模块可以生成识别到可疑模块的通知。在一些实施方式中,响应于确定响应704不满足所有安全标准,安全模块402还可以禁用可疑模块,或将可疑模块与背板隔离。
主动查询702还可以用于确定背板连接的设备中的任何设备的配置参数是否已经被以被动监测未检测到的方式不许可地修改。这可以包括查询可软件配置或可硬件配置的背板连接的模块602中的任何一个和处理器模块206的相关参数。基本上配置参数中的任何一个都可以经由主动监测被验证。在一些实施方式中,用户可以配置安全模块402以仅查询出于安全性和安全原因被认为感兴趣的可用配置参数的指定子集。可以以这种方式主动监测的示例参数可以包括但不限于网络或通信设置、读取和写入许可、模拟I/O比例因子或其他这样的参数。
安全模块402可以周期性地向连接至背板的每个设备发出主动查询702。发送主动查询702的频率可以由用户指定。在一些实施方式中,安全部件可以基于连接至背板的设备的自动检测,通过读取处理器模块206的配置数据以识别处理器模块206当前被配置成与其通信的设备,或基于明确定义要查询哪些设备的用户配置数据来确定主动查询702要被发送到的设备。
在一些实施方式中,安全模块402还可以包括以太网端口,该以太网端口允许模块402检查远程I/O网络、设备级环(DLR)或其他网络以得到指示入侵或其他网络攻击的通信。
安全模块402的一些实施方式还可以参与和机箱上CDT和IDS相关的CIP安全和信任链包含。例如,安全模块402的一些实施方式可以集成到开放设备网络供应商协会(ODVA)CIP安全中而不违反信任链(也就是说,数据检查不需要修改和重新传输加密数据)。安全模块402还可以实现与其他OT入侵检测解决方案的连接,而无需附加的网络或基础设施负载(与RSPAN技术相反)。
如上所述,安全模块402可以基于前述示例中描述的被动或主动安全监测响应于检测到潜在入侵或安全威胁而生成安全通知。图8是描绘其中安全通知802由安全模块402生成和递送的示例架构的图。安全通知802的任何合适的格式都在本公开内容的一个或更多个实施方式的范围内。在一些实施方式中,在基于上述被动或主动监测的结果检测到潜在安全威胁后,安全模块402可以向驻留在工厂网络116或云平台上的通知系统804发送安全通知802。通知802可以包括可以被通知系统804利用以确定通知802的适当接收者的信息。例如,通知802可以包括控制器118的身份或受潜在安全威胁影响的生产区域,并且通知系统804可以使用该信息来识别分配给受影响的生产区域的维护职员或管理职员。然后通知系统804可以将通知802中继到与所识别的人员相关联的客户端设备(例如,到与所选择的接收者相关联的个人移动设备的文本通知、发送至所选择的接收者的电子邮件账户的电子邮件通知等)。
在另一示例实现方式中,安全模块402可以将通知802发送至HMI终端114以在HMI显示器上呈现。这可以提醒存在于被控制器118监测和控制的机器处的操作者潜在安全威胁或入侵。安全通知802还可以被发送至安全日志806或其他类型的数据库以被添加时间戳并存档以供后续检查。
安全通知802可以包括由安全模块402执行的被动或主动监测检测到的潜在威胁或入侵的概要信息。通知802中包括的示例威胁概要信息可以包括但不限于受检测到的威胁影响的设备(例如,处理器模块206、I/O模块等)的身份,对检测到的威胁的性质(例如,由主动监测检测到的修改的配置参数,由被动监测检测到的偏离预期流量模式或违反定义的安全参数608或规则的意外背板数据流量模式,由被动监测发现的指示潜在威胁或入侵的数据包的类型等)的描述,用于解决潜在威胁的推荐的对策或其他这样的信息。由于安全模块402在机箱上执行其安全监测并且仅输出基于监测结果的状态概要,而不是复制所有背板数据流量并将其传输到外部系统以供机箱外分析,因此保留了网络带宽并且通过网络传输控制器数据而使该数据不会暴露于潜在的拦截。
尽管上述示例假设被动和主动安全监测特征在可以安装在控制器机箱中并且直接连接至控制器背板的安全模块402上被实施,但是也设想了上述OT安全监测特征在通过网络或有线连接监测控制器背板的独立设备上被实现的实施方式。此外,在一些实施方式中,安全监测特征可以在处理器模块206本身上被实施,而不是在与处理器模块206分离的模块上被实施。
本文中描述的机箱上背板IDS和CDT监测系统提供工业控制器背板的可靠安全监测以检测:控制网络入侵;针对安装在控制器上的通信模块的恶意传输;控制器模块的重新配置、替换或意外操纵;以及控制器的意外重新编程。由于安全监测和分析是在机箱上而不是在控制器外部执行的,因此背板数据不需要被复制和迁移到外部安全监测系统以供分析,从而相对于其他OT安全监测解决方案保留了网络带宽。机箱上安全监测系统执行主动安全监测和被动安全监测二者,从而提供针对OT网络安全攻击的全面保护。
图9至图11示出了根据本主题申请的一个或更多个实施方式的示例方法。尽管出于简化说明的目的,本文中示出的方法被示出和描述为一系列动作,但是应理解和意识到,主题发明不受动作顺序的限制,因为一些动作可以据此以与本文中示出和描述的顺序不同的顺序和/或与其他动作同时发生。例如,本领域技术人员将理解和意识到,方法可以替选地被表示为一系列相互关联的状态或事件,例如以状态图表示。此外,可能不需要所有示出的动作来实现根据本发明的方法。此外,当不同的实体执行方法的不同部分时,交互图可以表示根据本主题公开内容的方法或方式。此外,所公开的示例方法中的两个或更多个可以彼此组合地被实现,以实现本文中描述的一个或更多个特征或优点。
图9示出了用于鉴于用户定义的安全规则或参数执行对工业控制器的背板上的数据流量的被动安全监测的示例方法900。最初,在902处,由被配置成安装在工业控制器的背板上的安全模块接收配置输入。安全规则区域适用于控制器背板上的数据流量,并且可以定义安全规则,例如许可或禁止的背板上数据流量的模式、许可或禁止的数据包的类型或其他这样的安全规则。规则中的一个或更多个可以被定义为一天中的时间、一周中的几天、工作轮班、正在执行的维护操作或其他这样的因素的函数。
在904处,由安全模块鉴于安全规则来监测跨背板的数据流量。在906处,基于在步骤904处执行的监测来做出关于背板数据流量是否符合在步骤902处定义的所有安全规则的确定。如果数据流量符合定义的安全规则(在步骤906处为是),则该方法返回至步骤904并且继续监测。如果数据流量违反了定义的安全规则中的一个或更多个(在步骤906处为否),则该方法进行到步骤908,在步骤908处,由安全模块基于数据流量与安全规则中的一个或更多个的偏离来生成潜在安全威胁的通知。该通知可以包括检测到的安全威胁的概要,检测到的安全威胁的性质是基于由数据流量违反的安全规则或偏离的性质推断的。通知概要还可以包括诸如其上检测到可疑数据流量的控制器的身份、检测到的安全规则违反的时间、检测到安全规则违反的生产区域或其他这样的信息的信息。
图10示出了用于基于背板数据流量的学习的模式执行对工业控制器的背板上的数据流量的被动安全监测的示例方法1000。最初,在1002处,由安装在工业控制器的背板上的安全模块监测跨背板的数据流量。该初始监测可以对应于训练阶段,在训练阶段期间,学习背板数据流量的预期模式。在1004处,学习算法被应用于所监测的数据流量以确定指示正常操作的背板数据流量的模式。这些学习的模式可以是一天中的时间、一周中的一天、由工业控制器监测和控制的机器所执行的生产操作的函数或其他这样的函数。
在1006处,由安全模块鉴于在步骤1004处学习的背板数据流量的预期模式监测跨背板的数据流量。在1008处,由安全模块基于在步骤1006处执行的监测做出关于背板数据流量是否偏离在步骤1004处学习的数据流量的预期模式的确定。如果没有检测到偏离(在步骤1008处为否),则该方法返回至步骤1006并且继续监测。可替选地,如果检测到偏离(在步骤1008处为是),则该方法进行到步骤1010,在步骤1010处,由安全模块基于检测到的偏离生成潜在安全威胁的通知(类似于方法900的步骤908)。
图11示出了用于执行对连接至工业控制器的背板的设备的主动安全监测的示例方法1100。最初,在1102处,连接至工业控制器的背板的安全模块生成查询并且将查询发送至连接至背板的设备。这些查询经由背板发送,并且请求与设备的安全状态有关的信息。请求的信息可以包括但不限于设备的信任凭证、设备的一个或更多个配置参数设置、控制程序的状态、安装在设备上的固件版本或其他这样的信息。这些查询可以被发送至工业控制器、直接安装在背板上的模块(例如,I/O模块、联网模块、特殊功能模块等)、或者经由远程I/O网络连接而连接至背板的远程模块。
在1104处,安全模块从相应的设备接收对查询的响应。在1106处,做出关于来自设备的响应是否指示设备的重新编程、设备替换或未经授权的重新配置的确定。该确定可以基于响应指示不正确的或丢失的信任凭证、不正确的固件版本、对配置参数或控制程序的未经授权的修改或者潜在安全威胁或未经授权的设备篡改的其他这样的指示的确定。如果来自设备的响应没有指示潜在的安全威胁(在步骤1106处为否),则该方法返回至步骤1102,并且重复步骤1102至步骤1106。在一些实施方式中,可以根据定义的频率周期性地重复步骤1102至步骤1106。
如果来自设备的响应建议潜在的安全威胁(在步骤1106处为是),则该方法进行到步骤1108,在步骤1108处,基于响应生成潜在安全威胁的通知。该通知可以包括检测到的威胁的概要,并且可以包括诸如以下的信息:其响应指示可能的安全威胁或篡改的设备的身份、威胁的性质(例如,不正确修改的控制程序或配置参数,利用未经授权的设备对授权设备的替换等)或其他这样的信息。
本文中描述的实施方式、系统和部件以及可以执行本主题说明书中阐述的各个方面的控制系统和自动化环境可以包括能够跨网络进行交互的计算机或网络部件,例如,服务器、客户端、可编程逻辑控制器(PLC)、自动化控制器、通信模块、移动计算机、用于移动车辆的车载计算机、无线部件、控制部件等。计算机和服务器包括一个或更多个处理器——采用电信号来执行逻辑操作的电子集成电路——被配置成执行存储在介质中的指令,所述介质例如是随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器以及可移除存储器设备,所述可移除存储器设备可以包括记忆棒、存储卡、闪存驱动器、外部硬盘驱动器等。
类似地,本文中所使用的术语PLC或自动化控制器可以包括可以跨多个部件、系统和/或网络共享的功能。作为示例,一个或更多个PLC或自动化控制器可以跨网络与各种网络设备进行通信和协作。这基本上可以包括经由网络进行通信的任何类型的控件、通信模块、计算机、输入/输出(I/O)设备、传感器、致动器和人机接口(HMI),该网络包括控制网络、自动化网络和/或公共网络。PLC或自动化控制器还可以与各种其他设备进行通信并且控制各种其他设备,各种其他设备例如是包括模拟、数字、编程/智能I/O模块的标准的或安全评级的I/O模块、其他可编程控制器、通信模块、传感器、致动器、输出设备等。
网络可以包括:诸如因特网的公共网络;内联网;以及诸如控制和信息协议(CIP)网络的自动化网络,自动化网络包括设备网(DeviceNet)、控制网(ControlNet)、安全网络以及以太网/IP。其他网络包括以太网、DH/DH+、远程I/O、现场总线、通讯总线(Modbus)、过程现场总线(Profibus)、CAN、无线网络、串行协议、开放平台通信统一架构(OPC-UA)等。另外,网络设备可以包括各种可能性(硬件和/或软件部件)。这些包括诸如以下的部件:具有虚拟局域网(VLAN)能力的交换机、LAN、WAN、代理、网关、路由器、防火墙、虚拟专用网(VPN)设备、服务器、客户端、计算机、配置工具、监测工具和/或其他设备。
为了提供所公开主题的各个方面的背景,图12和图13以及以下讨论旨在提供对可以实现所公开的主题的各个方面的合适环境的简要的一般性描述。尽管上面已经在可以在一个或更多个计算机上运行的计算机可执行指令的总体背景下描述了各实施方式,但是本领域技术人员将认识到,也可以结合其他程序模块以及/或者作为硬件和软件的组合来实现各实施方式。
通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构等。此外,本领域技术人员将理解的是,可以利用其他计算机系统配置来实践本发明的方法,其他计算机系统配置包括单处理器或多处理器计算机系统、小型计算机、大型计算机、物联网(IoT)设备、分布式计算系统、以及个人计算机、手持式计算设备、基于微处理器的或可编程的消费性电子产品等,上述中的每一个都可以可操作地耦接至一个或更多个相关联的设备。
也可以在分布式计算环境中实践本文中示出的实施方式,在分布式计算环境中,某些任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于本地存储器存储设备和远程存储器存储设备二者中。
计算设备通常包括各种介质,各种介质可以包括计算机可读存储介质、机器可读存储介质和/或通信介质,如下所述,这两个术语在本文中彼此不同地使用。计算机可读存储介质或机器可读存储介质可以是能够由计算机访问的任何可用存储介质,并且包括易失性介质和非易失性介质二者、可移除介质和不可移除介质二者。通过示例而非限制的方式,可以结合用于存储诸如计算机可读指令或机器可读指令、程序模块、结构化数据或非结构化数据的信息的任何方法或技术来实现计算机可读存储介质或机器可读存储介质。
计算机可读存储介质可以包括但不限于:可以用于存储期望信息的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、闪速存储器或其他存储器技术、致密盘只读存储器(CD-ROM)、数字多功能盘(DVD)、蓝光盘(BD)或其他光盘存储装置、磁带盒、磁带、磁盘存储装置或其他磁性存储设备、固态驱动器或其他固态存储设备、或其他有形和/或非暂态介质。在这点上,应当将本文中应用于存储装置、存储器或计算机可读介质的术语“有形”或“非暂态”理解为作为修饰语仅排除传播暂态信号本身,并且不放弃对并非仅传播暂态信号本身的所有标准存储装置、存储器或计算机可读介质的权利。
针对关于由介质存储的信息的多种操作,可以由一个或更多个本地或远程计算设备例如经由访问请求、查询或其他数据检索协议来访问计算机可读存储介质。
通信介质通常在诸如经调制的数据信号例如载波或其他传输机制的数据信号中体现计算机可读指令、数据结构、程序模块或其他结构化或非结构化的数据,并且包括任何信息递送或传输介质。术语“经调制的数据信号”或信号是指以将信息编码在一个或更多个信号中的方式设置或改变其特性中的一个或更多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质以及诸如声学、RF、红外和其他无线介质的无线介质。
再次参照图12,用于实现本文中描述的各方面的各个实施方式的示例环境1200包括计算机1202,计算机1202包括处理单元1204、系统存储器1206和系统总线1208。系统总线1208将系统部件耦接至处理单元1204,系统部件包括但不限于系统存储器1206。处理单元1204可以是各种市售处理器中的任何处理器。双微处理器架构以及其他多处理器架构也可以被用作处理单元1204。
系统总线1208可以是:还可以与存储器总线(具有或不具有存储器控制器的情况下)互连的若干类型的总线结构中的任何一种;外围总线;以及使用各种市售总线架构中的任何一种的本地总线。系统存储器1206包括ROM 1210和RAM 1212。基本输入/输出系统(BIOS)可以被存储在诸如ROM、可擦除可编程只读存储器(EPROM)、EEPROM的非易失性存储器中,该BIOS包含有例如在启动期间帮助在计算机1202内的元件之间传送信息的基本例程。RAM 1212还可以包括高速RAM,例如用于缓存数据的静态RAM。
计算机1202还包括内部硬盘驱动器(HDD)1214(例如,EIDE、SATA)、一个或更多个外部存储设备1216(例如,磁软盘驱动器(FDD)1216、存储棒或闪存驱动器读取器、存储卡读取器等)以及光盘驱动器1220(例如,其可以从CD-ROM盘、DVD、BD等进行读或写)。虽然内部HDD 1214被示出为位于计算机1202内,但是内部HDD 1214也可以被配置成用于在合适的机箱(未示出)的外部使用。另外,虽然在环境1200中未示出,但除了HDD 1214之外还可以使用固态驱动器(SSD)或者使用固态驱动器(SSD)代替HDD 1214。HDD 1214、外部存储设备1216以及光盘驱动器1220可以分别通过HDD接口1224、外部存储接口1226和光盘驱动器接口1228连接至系统总线1208。用于外部驱动器实现方式的接口1224可以包括通用串行总线(USB)和电气与电子工程师协会(IEEE)1394接口技术中的至少一者或二者。其他外部驱动器连接技术在本文描述的实施方式的构思之内。
驱动器及其相关联的计算机可读存储介质提供数据、数据结构、计算机可执行指令等的非易失性存储。对于计算机1202,驱动器和存储介质适应以适当的数字格式对任何数据的存储。尽管以上对计算机可读存储介质的描述是指各种类型的存储设备,但本领域技术人员应当理解的是,也可以在示例操作环境中使用计算机可读的其他类型的存储介质,无论所述存储介质是当前存在的还是将来要开发的,并且此外,任何这样的存储介质都可以包含用于执行本文所描述的方法的计算机可执行指令。
在驱动器和RAM 1212中可以存储多个程序模块,所述多个程序模块包括操作系统1230、一个或更多个应用程序1232、其他程序模块1234和程序数据1236。操作系统、应用、模块和/或数据的全部或部分也可以被缓存在RAM 1212中。可以使用各种市售的操作系统或操作系统的组合来实现本文中描述的系统和方法。
计算机1202可以可选地包括仿真技术。例如,管理程序(未示出)或其他中间物可以仿真用于操作系统1230的硬件环境,并且仿真的硬件可以可选地不同于图12中所示的硬件。在这样的实施方式中,操作系统1230可以包括在计算机1202处托管的多个虚拟机(VM)中的一个虚拟机。此外,操作系统1230可以为应用程序1232提供例如Java运行时环境或.NET框架的运行时环境。运行时环境是一致的执行环境,其允许应用程序1232在包括该运行时环境的任何操作系统上运行。类似地,操作系统1230可以支持容器,并且应用程序1232可以为容器的形式,其是轻量级的、独立的、可执行的软件包,所述软件包包括例如代码、运行时间、系统工具、系统库以及应用的设置。
此外,可以利用诸如可信处理模块(TPM)的安全模块来启用计算机1202。例如,利用TPM,引导部件在时间上散列(hash)接下来的引导部件,并且在加载接下来的引导部件之前等待结果与安全值的匹配。该过程可以发生在计算机1202的代码执行栈中的任何层处,例如在应用执行级或在操作系统(OS)内核级处应用,从而实现代码执行的任何级处的安全性。
用户可以通过一个或更多个有线/无线输入设备(例如,键盘1238、触摸屏1240和诸如鼠标1242的定点设备)将命令和信息输入到计算机1202中。其他输入设备(未示出)可以包括麦克风、红外(IR)遥控器、射频(RF)遥控器、或其他遥控器、操纵杆、虚拟现实控制器和/或虚拟现实耳机、游戏垫、触摸笔、图像输入设备(例如,摄像装置)、姿势传感器输入设备、视觉运动传感器输入设备、情绪或面部检测设备、生物特征输入设备(例如,指纹或虹膜扫描仪)等。这些输入设备以及其他输入设备通常通过可以耦接至系统总线1208的输入设备接口1244而连接至处理单元1204,但是也可以通过例如并行端口、IEEE 1394串行端口、游戏端口、USB端口、IR接口、
接口等的其他接口进行连接。
监视器1244或其他类型的显示设备也可以经由诸如视频适配器1246的接口连接至系统总线1208。除了监视器1244之外,计算机通常还包括其它外围输出设备(未示出),例如,扬声器、打印机等。
计算机1202可以经由至诸如远程计算机1248的一个或更多个远程计算机的有线和/或无线通信、使用逻辑连接在联网环境中进行操作。远程计算机1248可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐器具、对等设备或其他公共网络节点,并且通常包括关于计算机1202所描述的元件中的许多或所有,但是为了简洁起见,仅示出了存储器/存储设备1250。所描绘的逻辑连接包括与局域网(LAN)1252和/或更大的网络例如广域网(WAN)1254的有线/无线连接。这样的LAN和WAN联网环境在办公室和公司中很常见,并且促进诸如内部网的企业范围的计算机网络,所有这些都可以连接至诸如因特网的全球通信网络。
当在LAN联网环境中使用时,计算机1202可以通过有线和/或无线通信网络接口或适配器1256连接到本地网络1252。适配器1256可以促进与LAN 1252的有线或无线通信,LAN1252还可以包括布置在其上的用于以无线模式与适配器1256进行通信的无线接入点(AP)。
当在WAN联网环境中使用时,计算机1202可以包括调制解调器1258,或者可以经由用于通过WAN 1254建立通信的其他手段(例如通过因特网)连接至WAN 1254上的通信服务器。可以是内部设备或外部设备并且可以是有线设备或无线设备的调制解调器1258可以经由输入设备接口1242连接至系统总线1208。在联网环境中,关于计算机1202描绘的程序模块或程序模块的部分可以被存储在远程存储器/存储设备1250中。应当理解的是,所示出的网络连接是示例,并且可以使用在计算机之间建立通信链路的其他装置。
当在LAN或WAN联网环境中使用时,除了如上所述的外部存储设备1216之外,计算机1202还可以访问云存储系统或其他基于网络的存储系统;或者代替如上所述的外部存储设备1216,计算机1202可以访问云存储系统或其他基于网络的存储系统。通常,可以例如分别通过适配器1256或调制解调器1258通过LAN 1252或WAN 1254来建立计算机1202与云存储系统之间的连接。在将计算机1202连接至相关联的云存储系统后,外部存储接口1226可以在适配器1256和/或调制解调器1258的帮助下,如管理其他类型的外部存储一样管理由云存储系统提供的存储。例如,外部存储接口1226可以被配置成提供对云存储源的访问,就好像这些源被物理地连接至计算机1202一样。
计算机1202能够可操作成与可操作地以无线通信布置的任何无线设备或实体进行通信,所述任何无线设备或实体是例如打印机、扫描仪、桌上型计算机和/或便携式计算机、便携式数据助理、通信卫星、与无线地可检测的标签相关联的任何装备或位置(例如,信息亭、报摊、商店货架等)以及电话。这可以包括无线保真(Wi-Fi)和
无线技术。因此,通信可以是与常规网络一样的预定义结构或者仅是至少两个设备之间的自组织通信(ad hoc communication)。
图13是可以与所公开的主题交互的样本计算环境1300的示意性框图。样本计算环境1300包括一个或更多个客户端1302。客户端1302可以是硬件和/或软件(例如线程、进程、计算设备)。样本计算环境1300还包括一个或更多个服务器1304。服务器1304也可以是硬件和/或软件(例如,线程、进程、计算设备)。例如,服务器1304可以容纳线程以通过采用如本文中描述的一个或更多个实施方式来执行变换。客户端1302与服务器1304之间的一种可能的通信可以是适于在两个或更多个计算机进程之间传输的数据包的形式。样本计算环境1300包括通信框架1306,该通信框架1306可以被用来促进客户端1302与服务器1304之间的通信。客户端1302可操作地连接至可以被用于存储客户端1302本地的信息的一个或更多个客户端数据存储装置1308。类似地,服务器1304可操作地连接至可以被用于存储服务器1304本地的信息的一个或更多个服务器数据存储装置1310。
上面所描述的内容包括本主题创新的示例。当然,不可能为了描述所公开的主题而描述每个可设想到的组件或方法的组合,但是本领域普通技术人员可以认识到,本主题创新的许多另外的组合和排列是可能的。因此,所公开的主题旨在涵盖落入所附权利要求的精神和范围内的所有这样的变更、修改和变型。
尤其是关于由上面描述的部件、设备、电路、系统等执行的各种功能,除非另外指出,否则用于描述这样的部件的术语(包括对“装置”的提及)旨在对应于执行所描述的部件的指定功能的任何部件(例如,功能上等同的任何部件),即使该部件在结构上不等同于所公开的结构,但该部件仍然执行本文中示出的所公开主题的示例性方面中的功能。就这一点而言,还应当认识到,所公开的主题包括具有用于执行所公开的主题的各种方法的动作和/或事件的计算机可执行指令的计算机可读介质以及系统。
另外,虽然可能针对若干实现方式中的仅一个实现方式公开了所公开的主题的特定特征,但是这样的特征可以与其他实现方式的对于任何给定应用或特定应用而言可能是期望且有利的一个或更多个其他特征进行组合。此外,在详细描述或权利要求书使用术语“包含(includes)”和“包含(including)”及其变型方面而言,这些术语旨在以与术语“包括(comprising)”类似的方式包含在内。
在本申请中,使用词语“示例性”来表示用作示例、实例或说明。在本文中被描述为“示例性”的任何方面或设计不必被解释为比其他方面或设计优选或有利。更确切地,词语“示例性”的使用旨在以具体方式呈现构思。
可以使用标准编程和/或工程技术将本文中描述的各个方面或特征实现为方法、装置或制品。如本文中所使用的术语“制品”旨在包括能够从任何计算机可读设备、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于:磁存储设备(例如,硬盘、软盘、磁条......)、光盘[例如,致密盘(CD)、数字多功能盘(DVD)......]、智能卡和闪速存储器设备(例如,卡、棒、密钥驱动器......)。
Claims (20)
1.一种安全模块,包括:
存储可执行部件的存储器;以及
可操作地耦接至所述存储器的一个或更多个处理器,所述一个或更多个处理器执行所述可执行部件,所述可执行部件包括:
背板接口部件,所述背板接口部件被配置成将所述安全模块与工业控制器的背板对接;以及
安全部件,所述安全部件被配置成:执行对所述背板上的数据流量的安全监测,并且响应于基于所述安全监测检测到所述数据流量的特性指示安全入侵而生成通知。
2.根据权利要求1所述的安全模块,其中,指示所述安全入侵的所述数据流量的特性是以下中的至少之一:所述数据流量中存在的数据包的类型、禁止的连接至所述背板的各模块之间的数据通信、禁止的所述数据流量的速率的增加、禁止的对安装在所述工业控制器的处理器模块上的控制程序的编辑或禁止的新控制程序到所述处理器模块的下载。
3.根据权利要求1所述的安全模块,还包括客户端接口部件,所述客户端接口部件被配置成:从客户端设备接收配置输入,所述配置输入定义要由所述安全部件强制执行的各安全规则,
其中,所述各安全规则定义所述背板上的数据包的禁止类型或所述数据流量的禁止模式中的至少之一。
4.根据权利要求3所述的安全模块,其中,所述安全部件被配置成响应于基于所述安全监测确定所述数据流量违反所述各安全规则中的安全规则而生成所述通知。
5.根据权利要求1所述的安全模块,其中,所述安全部件被配置成:
随着时间的推移基于对所述数据流量的监测来学习正常数据流量的模式,以及
响应于在学习所述正常数据流量的模式之后确定所述数据流量偏离所述正常数据流量的模式而生成所述通知。
6.根据权利要求5所述的安全模块,其中,所述安全部件学习作为由所述工业控制器监测和控制的机器的操作模式、工作轮班、一周中的一天或一天中的时间中的至少之一的函数的所述正常数据流量的模式。
7.根据权利要求1所述的安全模块,其中,所述安全模块还被配置成:经由所述背板向连接至所述背板的各设备发送查询,并且响应于确定从所述各设备中的设备接收到的对所述查询的响应指示安全入侵而生成另一通知。
8.根据权利要求7所述的安全模块,其中,连接至所述背板的所述各设备包括以下中的至少之一:所述工业控制器的处理器模块、I/O模块、联网模块、特殊功能模块或远程I/O模块。
9.根据权利要求7所述的安全模块,其中,对所述查询的所述响应包括以下中的至少之一:所述设备的配置参数的值、安装在所述设备上的固件版本的指示、安装在所述设备上的信任凭证的身份、或所述设备的唯一标识符。
10.根据权利要求1所述的安全模块,其中,所述安全模块被配置成监测所述背板上的加密数据流量。
11.根据权利要求1所述的安全模块,其中,所述通知包括所述安全入侵的概要,并且所述概要包括以下中的至少之一:所述安全入侵所针对的设备、所述安全入侵的类型、用于解决所述安全入侵的推荐对策、所述工业控制器的身份、或检测到所述安全入侵的生产区域的指示。
12.一种方法,包括:
由包括处理器的安全模块与工业控制器的背板对接;
由所述安全模块执行对跨所述背板的数据流量的安全监测;以及
响应于基于所述安全监测确定所述数据流量的特性指示安全威胁,由所述安全模块生成针对一个或更多个客户端设备的通知。
13.根据权利要求12所述的方法,其中,指示所述安全威胁的所述数据流量的特性是以下中的至少之一:所述数据流量中存在的数据包的类型、禁止的连接至所述背板的各模块之间的数据通信、禁止的所述数据流量的速率的增加、禁止的对安装在所述工业控制器的处理器模块上的控制程序的编辑或禁止的新控制程序到所述处理器模块的下载。
14.根据权利要求12所述的方法,其中,
所述通知的生成包括响应于基于所述安全监测确定所述数据流量违反定义的安全规则而生成所述通知,以及
所述定义的安全规则指定所述背板上的数据包的禁止类型或所述数据流量的禁止模式中的至少之一。
15.根据权利要求12所述的方法,还包括:
由所述安全模块随着时间的推移基于对所述数据流量的监测来学习正常数据流量的模式,以及
由所述安全模块响应于在学习所述正常数据流量的模式之后确定所述数据流量偏离所述正常数据流量的模式而生成所述通知。
16.根据权利要求15所述的方法,其中,所述学习包括学习作为由所述工业控制器监测和控制的机器的操作模式、工作轮班、一周中的一天或一天中的时间中的至少之一的函数的所述正常数据流量的模式。
17.根据权利要求12所述的方法,还包括:
由所述安全模块经由所述背板向连接至所述背板的各设备发送查询,以及
由所述安全模块响应于确定从所述各设备中的设备接收到的对所述查询的响应指示安全威胁而生成另一通知。
18.根据权利要求17所述的方法,其中,对所述查询的所述响应包括以下中的至少之一:所述设备的配置参数的值、安装在所述设备上的固件版本的指示、安装在所述设备上的信任凭证的身份、或所述设备的唯一标识符。
19.一种非暂态计算机可读介质,其上存储有指令,所述指令响应于执行而使包括处理器的安全模块执行操作,所述操作包括:
将所述安全模块与工业控制器的背板进行通信地对接;
执行对跨所述背板的数据流量的安全监测;以及
响应于基于所述安全监测确定所述数据流量的特性指示安全问题而生成针对一个或更多个客户端设备的通知。
20.根据权利要求19所述的非暂态计算机可读介质,所述操作还包括:
经由所述背板向连接至所述背板的各设备发送查询,以及
响应于确定从所述各设备中的设备接收到的对所述查询的响应指示安全问题而生成另一通知。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163244891P | 2021-09-16 | 2021-09-16 | |
| US63/244,891 | 2021-09-16 | ||
| US17/517,179 | 2021-11-02 | ||
| US17/517,179 US20230079418A1 (en) | 2021-09-16 | 2021-11-02 | On-chassis backplane intrusion detection system and continuous thread detection enablement platform |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115826508A true CN115826508A (zh) | 2023-03-21 |
Family
ID=83319118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211114792.6A Pending CN115826508A (zh) | 2021-09-16 | 2022-09-14 | 机箱上背板入侵检测系统和连续威胁检测启用平台 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230079418A1 (zh) |
| EP (1) | EP4152192A1 (zh) |
| CN (1) | CN115826508A (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009084B2 (en) * | 2002-10-21 | 2015-04-14 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
| US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
| US8886746B2 (en) * | 2009-09-09 | 2014-11-11 | Rockwell Automation Technologies, Inc. | Diagnostic module for distributed industrial network including industrial control devices |
| US10855694B2 (en) * | 2017-05-30 | 2020-12-01 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment |
| US10678950B2 (en) * | 2018-01-26 | 2020-06-09 | Rockwell Automation Technologies, Inc. | Authenticated backplane access |
-
2021
- 2021-11-02 US US17/517,179 patent/US20230079418A1/en active Pending
-
2022
- 2022-09-05 EP EP22193866.5A patent/EP4152192A1/en active Pending
- 2022-09-14 CN CN202211114792.6A patent/CN115826508A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230079418A1 (en) | 2023-03-16 |
| EP4152192A1 (en) | 2023-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240073242A1 (en) | Cyber security appliance for an operational technology network | |
| CN113075909B (zh) | 工业数据服务平台 | |
| CN113625665B (zh) | 集中式安全事件生成策略 | |
| US20170237752A1 (en) | Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics | |
| CN113625664B (zh) | 通过零接触注册的自动端点安全策略分配 | |
| US20220353276A1 (en) | Utilizing a machine learning model to determine real-time security intelligence based on operational technology data and information technology data | |
| Mekala et al. | Cybersecurity for Industrial IoT (IIoT): Threats, countermeasures, challenges and future directions | |
| EP4311167A1 (en) | Systems and methods for artificial intelligence-based security policy development | |
| US10970369B2 (en) | Rapid file authentication on automation devices | |
| Gupta et al. | Integration of technology to access the manufacturing plant via remote access system-A part of Industry 4.0 | |
| US20240028011A1 (en) | Securing Access of a Process Control or Automation System | |
| US20240289264A1 (en) | Component testing framework | |
| EP4152192A1 (en) | On-chassis backplane intrusion detection system and continuous threat detection enablement platform | |
| Leander | Access Control Models to secure Industry 4.0 Industrial Automation and Control Systems | |
| Falk et al. | System Integrity Monitoring for Industrial Cyber Physical Systems | |
| US20240223609A1 (en) | Systems and methods for provisional policies in operational technology devices | |
| US20240223610A1 (en) | Systems and methods for policy undo in operational technology devices | |
| US20240291865A1 (en) | Systems and methods for scheduled policy deployment in operational technology networks | |
| KR102540904B1 (ko) | 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법 | |
| Keys et al. | Prioritizing ICS Beachhead Systems for Cyber Vulnerability Testing | |
| US20240303107A1 (en) | Systems and methods for chainable compute analytics container | |
| US20240064174A1 (en) | Systems and methods for enterprise-level security policy management tool | |
| US20240028006A1 (en) | Nebula Fleet Management | |
| Udayakumar et al. | Develop Security Strategy for IoT/OT with Defender for IoT | |
| Suhail et al. | Triple: A Blockchain-Based Digital Twin Framework for Cyber-Physical Systems Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |