用于威胁影响确定的系统和方法技术方案

提供了一种有助于威胁影响界定的系统(100)和方法。该系统可包括复制可编程逻辑控制器(PLC)(102)，其对应于生产系统(120)中的生产PLC(122)并且可配置为以生产PLC的处理速度的至少两倍快的加速处理速度来操作。该系统还可包括数据处理系统(132)，其配置为与在执行受恶意软件感染的PLC固件(112)时的复制PLC通信，并基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的生产系统的虚拟模型(142)来生成生产系统的模拟(146)。该模拟可包括基于与使用受恶意软件感染的PLC固件的复制PLC通信的、生产PLC的加速模拟。该数据处理系统还可监控：来自复制PLC和生产系统的模拟的输出，以确定由生产PLC执行受感染的PLC固件而不是未感染的PLC固件所造成的、对生产系统的硬件部件(124)的可能威胁；以及通过显示设备(152)指示可能威胁的输出数据。

【技术实现步骤摘要】
【国外来华专利技术】用于威胁影响确定的系统和方法
本公开主要涉及可编程逻辑控制器(PLC)。
技术介绍
安全系统可以监测信息活动和软件，以便检测针对工业和能源控制系统的恶意软件和网络攻击。安全系统可以因改进而受益。
技术实现思路
各种公开的实施例包括可用于促进工业和能源控制系统的威胁影响界定的数据处理系统和方法。在一个示例中，系统可包括至少一个复制可编程逻辑控制器(PLC)，其对应于包括多个PLC控制硬件部件的生产系统中的生产PLC。至少一个复制PLC可以配置为以生产系统中的生产PLC的处理速度的至少两倍快的加速处理速度操作。该系统还可包括至少一个数据处理系统，包括至少一个处理器，其配置为与在执行受恶意软件感染的PLC固件时的至少一个复制PLC通信。该至少一个数据处理系统还可基于以物理生产系统的处理速度至少两倍快的加速处理速度操作的生产系统的虚拟模型，生成生产系统的第一模拟。第一模拟可包括基于与使用受恶意软件感染的PLC固件的至少一个复制PLC的通信的、生产PLC的加速模拟。该至少一个数据处理系统还可以监测来自至少一个复制PLC和生产系统的第一模拟的输出，以确定由于生产PLC执行感染PLC固件而不是未感染的PLC固件所造成的、对该生产系统的至少一个硬件部件的至少一个可能威胁。此外，至少一个数据处理系统可通过至少一个显示设备输出指示至少一个可能威胁的数据。在另一个示例中，用于威胁影响界定的方法可以包括通过操作至少一个数据处理系统的至少一个处理器来执行的若干动作。这些动作可以包括当至少一个复制PLC正在执行受恶意软件感染的PLC固件，同时该至少一个复制PLC以生产系统中的生产PLC的处理速度的至少两倍快的加速处理速度操作时，与对应于包括多个PLC控制硬件部件的生产系统中的生产PLC的至少一个复制PLC通信。这些动作还可包含基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的生产系统的虚拟模型，生成生产系统的第一模拟，其中第一模拟包含基于与使用受恶意软件感染的PLC固件的至少一个复制PLC的通信的、生产PLC的加速模拟。这些动作还可以包含监测来自至少一个复制PLC和生产系统的第一模拟的输出，以确定由于生产PLC执行感染PLC固件而不是未感染的PLC固件所造成的、对该生产系统的至少一个硬件部件的至少一个可能威胁。另外，这些动作可以包含通过至少一个显示设备输出指示至少一个可能威胁的数据。其它的示例可以包含编码有可执行指令(诸如存储设备上的软件部件)的非暂时性计算机可读介质，其在被执行时使得至少一个处理器执行所描述的方法。另一个示例可以包含一种装置，该装置包含至少一个基于硬件、软件和/或固件的处理器、计算机、部件、控制器、装置、模块和/或单元，其配置为用于执行与所描述的方法相对应的功能。前面已经相当广泛地概述了本公开的技术特征，使得本领域技术人员可以更好地理解随后的具体描述。在下文中将描述形成权利要求书主题的本公开另外的特征和优点。本领域技术人员将理解，他们可以容易地使用所公开的概念和具体实施例作为修改或设计用于实现本公开的相同目的的其它结构的基础。本领域技术人员还将认识到，这种等价构造不脱离本公开的精神和范围的最广泛的形式。而且，在着手于下面的具体实施方式之前，应当理解，在本专利文件中提供了对某些词语和短语的各种定义，并且本领域普通技术人员将理解，这样的定义适用于许多、但不是大多数这样定义的单词和短语的先前和未来使用的实例。虽然一些术语可以包括各种各样的实施例，但是所附权利要求书可以将这些术语明确地限制于特定实施例。附图说明图1示出了有助于威胁影响界定的示例系统的功能框图。图2示出了威胁影响界定系统的示例实现的功能框图。图3示出了复制PLC的执行模型的功能框图。图4示出了近似于美国电力系统的IEEE57总线系统。图5示出了有助于威胁影响界定的示例性方法的流程图。图6示出了其中可以实现实施例的数据处理系统的框图。具体实施方式现在将参考附图描述与有助于威胁影响界定的系统和方法有关的各种技术，其中相同的附图标记始终表示相同的元件。以下讨论的附图和用于描述本专利文件中的本公开的原理的各种实施例仅是为了说明，而不应以任何方式解释为限制本公开的范围。本领域技术人员将理解，本公开的原理可以在任何适当布置的装置中实现。应当理解，被描述为由某些系统元件执行的功能可以由多个元件执行。类似地，例如，一个元件可以配置为执行描述为由多个元件执行的功能。将参考示例性非限制性实施例描述本申请的众多创新教导。电力网系统可能未设计为能够承受或快速从由对多个部件的同时信息攻击所造成的损害中恢复。这种攻击可以由富有知识的攻击者进行，几乎没有检测到或阻截的风险。恐怖主义分子进一步精心策划和协调的瘫痪几个变电站的攻击可能会使一个国家的较大地区的电力网系统至少部分地在数月无法使用。特别地，一种高风险硬件部件是变压器。使目标变压器发生系统性故障可以是一种可能的信息战策略，因为变压器成本高昂且不易更换。例如，许多变压器是定制的，可能需要很长的交付时间来更换或维修。在示例性网络攻击情况中，威胁方可以执行中间人攻击，劫持到变电站变压器的无线通信信道。威胁方可以使用该能力来禁用变压器冷却风扇并使设备过热。取决于变压器及其控制器，这可以通过直接命令或大幅提高油温设定点来完成。这可能导致关键变电站变压器的损坏和客户的电力损失。因此，快速理解复杂的互连电力系统中的网络攻击的预期影响的能力可能有助于总体威胁界定过程。遗憾的是，即使在详细相关的、低级控制系统取证数据(例如，记录的过程数据、控制命令、系统配置变更的内容)可用时，识别这种预期的影响可能需要专家进行人工分析，该专家需要能够对IT取证以及其到高级域(例如，电力网域)概念(例如，电气系统的硬件部件、需求/负载侧管理)的转换方面具有深入理解。使用诸如高级静态分析之类的技术来实现高级恶意软件的快速界定可能是不可能或不实际的，其可能过于昂贵、耗时并且在可扩展性方面受到限制。工业和能源控制系统的领域本质上是多种多样且复杂的。可能需要从使其易于管理的恶意软件分析和工具支持中获得深入的知识来界定这些域中的威胁。本文描述的示例实施例旨在解决估计复杂恶意软件攻击对能源控制系统或其他工业系统的影响的问题。示例实施例可包括威胁影响界定系统，其配置为将低级取证数据自动转换为适合于取证专业人员的高级影响界定概念，以快速理解由恶意软件攻击造成的对能源控制系统(和/或其他工业系统)的潜在影响或计划的影响。诸如系统可以执行威胁影响界定，其将经由来自可编程逻辑控制器(PLC)的低级仪表获得的性能指标相关联，以对过去(经由过程历史数据)和未来(经由模拟)的受恶意软件损害的能源控制系统或其他工业系统的预测的行为建模。参考图1，示出了有助于威胁影响界定的示例系统100的功能框图。该系统可以包含至少一个复制PLC102，其包括处理器104、存储器106、控制逻辑代码108以及与来自生产系统120中的生产PLC122的固件相对应固件110。这样的生产系统120可以对应于能源控制系统(例如，电力网系统)或使用PLC来控制和监测硬件部件124和过程的其它工业系统。在该示例中，复制PLC可以对应于实际物理PLC(具有物理处理器和存储器)。然而，应当理解，替代实施例可本文档来自技高网...

【技术保护点】
1.一种用于威胁影响界定的系统(100)，包括：至少一个复制可编程逻辑控制器(PLC)(102)，对应于包括多个PLC控制硬件部件(124)的生产系统(120)中的生产PLC(122)，并且其中至少一个复制PLC被配置为以所述生产系统中的所述生产PLC的处理速度的至少两倍快的加速处理速度操作，至少一个数据处理系统(132)，包括至少一个处理器(134)，所述至少一个处理器被配置为：与在执行受恶意软件感染的PLC固件(112)时的所述至少一个复制PLC通信；基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的所述生产系统的虚拟模型(142)，生成所述生产系统的第一模拟(146)，其中所述第一模拟包括基于与使用所述受恶意软件感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟；监测来自所述至少一个复制PLC和所述生产系统的所述第一模拟的输出，以确定由所述生产PLC执行受感染的PLC固件而不是未感染的PLC固件所造成的、对所述生产系统的至少一个硬件部件的至少一个可能威胁；并且通过至少一个显示设备(152)输出指示所述至少一个可能威胁的数据。

【技术特征摘要】
【国外来华专利技术】1.一种用于威胁影响界定的系统(100)，包括：至少一个复制可编程逻辑控制器(PLC)(102)，对应于包括多个PLC控制硬件部件(124)的生产系统(120)中的生产PLC(122)，并且其中至少一个复制PLC被配置为以所述生产系统中的所述生产PLC的处理速度的至少两倍快的加速处理速度操作，至少一个数据处理系统(132)，包括至少一个处理器(134)，所述至少一个处理器被配置为：与在执行受恶意软件感染的PLC固件(112)时的所述至少一个复制PLC通信；基于以物理生产系统的处理速度的至少两倍快的加速处理速度操作的所述生产系统的虚拟模型(142)，生成所述生产系统的第一模拟(146)，其中所述第一模拟包括基于与使用所述受恶意软件感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟；监测来自所述至少一个复制PLC和所述生产系统的所述第一模拟的输出，以确定由所述生产PLC执行受感染的PLC固件而不是未感染的PLC固件所造成的、对所述生产系统的至少一个硬件部件的至少一个可能威胁；并且通过至少一个显示设备(152)输出指示所述至少一个可能威胁的数据。2.根据权利要求1所述的系统，其中所述至少一个复制PLC包括注入所述至少一个复制PLC中的取证固件代码(116)，其中所述取证固件代码被配置为监控并向所述至少一个数据处理系统提供与所述至少一个复制PLC的至少一个内部操作相对应的数据，而不干扰所述受感染的PLC固件的操作，其中所述至少一个处理器被配置为使用由所述取证固件代码提供的数据来确定所述至少一个可能威胁，其中所述取证固件代码向所述至少一个数据处理系统提供数据所针对的所述至少一个内部操作包括扫描周期时间、抖动或它们的组合中的至少一个。3.根据权利要求1或2中任一项所述的系统，其中所述至少一个处理器被配置为确定并通过所述至少一个显示设备输出指示以下的数据：所述至少一个可能威胁在所述生产系统上的信息-物理影响；所述信息-物理影响的时间轴；所述信息-物理影响的一个或多个后果；或它们的组合。4.根据权利要求1到3中任一项所述的系统，其中所述至少一个处理器被配置为将从所述生产系统捕获的历史过程数据流与由所述第一模拟产生的数据过程流进行比较，以确定指示所述至少一个可能威胁的过程数据流之间的差异。5.根据权利要求1到4中任一项所述的系统，其中所述至少一个复制PLC对应于具有处理器(104)的PLC，该处理器超频并包括液体冷却系统(118)，以使得所述至少一个复制PLC能够在没有液体冷却系统而经由空气冷却时，以PLC的最大处理速度的至少两倍的速度操作。6.根据权利要求1到5中任一项所述的系统，其中所述生产系统对应于电力网，其中所述硬件部件包括至少一个变压器。7.根据权利要求1到6中任一项所述的系统，其中所述至少一个数据处理系统被配置为：与在执行未感染的PLC固件(114)时的所述至少一个复制PLC通信；生成以所述加速处理速度操作的所述生产系统的第二模拟(148)，所述第二模拟包括基于与使用所述未感染的PLC固件的所述至少一个复制PLC的通信的、所述生产PLC的加速模拟；执行至少一个比较，包括比较来自以下中的至少一个的输出：所述第一模拟与所述第二模拟；使用所述受感染的PLC固件和所述未感染的PLC固件时的所述至少一个复制PLC；或它们的组合；基于所述至少一个比较，确定模拟的生产系统、所述至少一个复制PLC、或它们的组合中的至少一个在所述第一模拟和所述第二模拟之间操作中的至少一个差异；并且基于所确定的所述至少一个差异，确定所述生产系统中的所述至少一个硬件部件与由所述受感染的PLC固件造成的可能损坏相关联，其中指示所述至少一个可能威胁的输出数据指定所述至少一个硬件部件。8.一种用于威胁影响界定的方法(500)，包括：通过操作至少一个数据处理系统(132)的至少一...

【专利技术属性】
技术研发人员：莱安德罗·普夫勒格·德·阿吉亚尔，阿基梅德斯·马丁内斯·卡内多，桑吉乌·斯里瓦斯塔瓦，
申请(专利权)人：西门子股份公司，
类型：发明
国别省市：德国,DE