本文描述的实施例包括系统和方法。在一个实施例中,系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件,其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。
【技术实现步骤摘要】
技术介绍
本公开涉及通过监视控制系统的物理行为来检测控制系统中的安全漏洞的入侵防御系统(IPS)。通常,IPS可以配置成通过监视控制系统中的网络通信来检测和/或预防进入控制系统(例如工业控制系统)的数字入侵。特别地,网络IPS可以基于网络参数寻找入侵和/或异常的指示。例如,网络IPS可以监视例如网络业务、文件系统访问/修改或者操作系统/库调用的参数。然后,被监视的参数可以与规则集进行比较以确定控制系统中是否出现了入侵和/或异常。安全漏洞(被称为入侵)可以使得未授权方能够访问控制系统(例如工业控制系统)并且引起系统内意想不到的行为。例如,入侵可以引起系统执行未被请求的过程。因为工业控制系统可以包括例如涡轮机、发电机、压缩机或燃烧器的装置,所以在网络参数之外改进工业控制系统中的安全性将是有益的。
技术实现思路
下面概述了与原始要求保护的专利技术同等范围的某些实施例。这些实施例不是用来限制要求保护的专利技术的范围的,而是这些实施例仅仅是用来提供本专利技术的可能形式的简短概要的。实际上,本专利技术可以包括可以与下面阐述的实施例类似或不同的各种形式。第一实施例提供了一种系统,所述系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件,其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。第二实施例提供了一种有形的、非暂时性的计算机可读介质,所述计算机可读介质存储通过电子装置的处理器可执行的多个指令。指令包括用于接收通信分组的指令、用于执行第一测试的指令(其中对照网络规则集来测试通信分组)、用于接收控制系统测量的指令(其中控制系统测量表示控制系统行为)、用于执行第二测试的指令(其中对照控制系统规则来测试控制系统测量)、用于使来自第一测试和第二测试的结果相关的指令以及用于基于相关结果来确定工业控制系统中是否出现了异常、入侵或两者的指令。第三实施例提供了一种系统,所述系统包括以通信方式耦合至控制器和监视站的入侵防御系统。入侵防御系统配置成接收在监视站和控制器之间发送的网络通信,并且至少部分地基于控制器的状态、工业控制系统的状态、连接到控制器的装置或其任何组合来确定是否出现了异常、入侵或两者。根据本专利技术的一个方面,提供了一种系统,所述系统包括:装置监视部件,配置成测量控制系统行为;以及入侵防御系统,以通信方式耦合至所述装置监视部件和通信网络,其中所述入侵防御系统包括:控制系统分析部件,配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为以确定是否出现了异常、入侵或两者。所述系统包括网络分析部件,所述网络分析部件配置成对照第二规则集来分析来自所述通信网络的网络数据以确定是否已经发生了异常。其中所述控制系统行为包括当所述装置监视部件以通信方式耦合至控制器时所述控制器的行为。其中控制器行为包括所述控制器中部件的功率使用、所述控制器中所述部件的温度、操作的定时、所述控制器的输入/输出、耦合至所述控制器的装置的遥测数据或其任何组合。其中所述装置监视部件位于所述控制器中。其中所述装置监视部件包括与所述控制器分离的装置。其中所述入侵防御系统包括单独的装置。其中所述系统是工业控制系统,所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。根据本专利技术的另一方面,提供了一种有形的、非暂时性的计算机可读介质,所述计算机可读介质存储通过电子装置的处理器可执行的多个指令,所述指令包括:用于接收通信分组的指令;用于执行第一测试的指令,其中对照网络规则集来测试所述通信分组;用于接收控制系统测量的指令,其中所述控制系统测量表示工业控制系统的控制系统行为;用于执行第二测试的指令,其中对照控制系统规则来测试所述控制系统测量;用于使来自所述第一测试和所述第二测试的结果相关的指令;以及用于基于相关结果来确定所述工业控制系统中是否出现了异常、入侵或两者的指令。其中用于执行第一测试的所述指令包括对照存储在连网分析部件中的所述网络规则集来测试所述通信分组,并且用于执行第二测试的所述指令包括对照存储在控制系统分析部件中的所述控制系统规则集来测试所述控制系统测量。其中用于接收通信分组的所述指令包括接收在控制器和监视站之间发送的通信分组。其中所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。所述介质包括当处于配置模式中时用于执行以下操作的指令:在工业控制系统上运行模型操作;接收通信分组;接收控制系统测量;以及至少基于接收的通信分组和接收的控制系统测量来创建所述网络规则集和所述控制系统规则集。所述介质包括当处于维护模式中时用于执行以下操作的指令:运行工业控制系统;接收通信分组;接收控制系统测量;以及至少基于接收的通信分组和接收的控制系统测量来修改所述网络规则集和所述控制系统规则集。根据本专利技术的又一方面,提供了一种系统,所述系统包括:入侵防御系统,以通信方式耦合至控制器和监视站;其中所述入侵防御系统配置成接收在所述监视站和所述控制器之间发送的网络通信,并且至少部分地基于所述控制器的状态、所述工业控制系统的状态、连接到所述控制器的装置或其任何组合来确定是否出现了异常、入侵或两者。附图说明当参考附图(其中整个附图中相同字符表示相同部分)阅读下面的具体实施方式时,本专利技术的这些和其它特征、方面以及优势将变得更好理解,其中:图1是工业控制系统内入侵防御系统(IPS)的框图;图2是来自图1的入侵防御系统(IPS)的实施例的框图;图3是适合确定工业控制系统内是否已经发生了异常的过程的实施例的流程图;以及图4是适合创建和/或修改入侵防御系统(IPS)中的规则集的过程的实施例的流程图。具体实施方式下面将描述本专利技术的一个或多个特定实施例。在努力提供这些实施例的简明描述的过程中,说明书中可以不描述实际实现的所有特征。应该领会在任何这样的实际实现的开发中,如在任何工程或设计项目中那样,必须进行许多实现特定的决定以实现开发者的特定目标,例如顺从系统有关的和商业有关的约束,其可能从一个实现到另一个实现是不同的。此外,应当领会,对于具有本公开的益处的普通技术人员来说,这样的开发努力可能是复杂且耗时的,但是将仍然是设计、制作和制造的常规任务。当介绍本专利技术的各种实施例的要素时,冠词是用来指存在有要素中的一个或多个。术语“包含”、“包括”和“具有”规定为是包括在内的并且指可以存在有除列示的要素之外的附加要素。本公开通常旨在布置在控制系统(例如工业控制系统)中的入侵防御系统(IPS),其可以配置成减少进入工本文档来自技高网...
【技术保护点】
一种系统,包括:装置监视部件,配置成测量控制系统行为;以及入侵防御系统,以通信方式耦合至所述装置监视部件和通信网络,其中所述入侵防御系统包括: 控制系统分析部件,配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为以确定是否出现了异常、入侵或两者。
【技术特征摘要】
2013.03.13 US 13/8014961. 一种系统,包括:
装置监视部件,配置成测量控制系统行为;以及
入侵防御系统,以通信方式耦合至所述装置监视部件和通信网络,其中所述入侵防御系统包括:
控制系统分析部件,配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为以确定是否出现了异常、入侵或两者。
2. 如权利要求1所述的系统,包括网络分析部件,其配置成对照第二规则集来分析来自所述通信网络的网络数据以确定是否已经发生了异常。
3. 如权利要求1所述的系统,其中所述控制系统行为包括当所述装置监视部件以通信方式耦合至控制器时所述控制器的行为。
4. 如权利要求3所述的系统,其中控制器行为包括所述控制器中部件的功率使用、所述控制器中所述部件的温度、操作的定时、所述控制器的输入/输出、耦合至所述控制器的装置的遥测数据或其任何组合。
5. 如权利要求3所述的系统,其中所述装置监视部件位于所述控制器中。
6. 如权利要求3所述的系统,其中所述装置监视部件包括与所述控制器分离的装置。
7. 如权利要求...
【专利技术属性】
技术研发人员:P迪克西特,D萨诺斯,
申请(专利权)人:通用电气公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。