工厂安全系统中的可配置鲁棒性代理技术方案

一种通信网络安全系统，包括鲁棒性代理，该鲁棒性代理在网络的一个或多个节点处的设备的通信接口内进行操作，以便对来自或去往该网络的消息进行分析和过滤。在节点中的每个节点处，鲁棒性代理确定与通过该代理的消息中的每个消息相关联的消息特征的一个或多个集合，并且该代理被配置为：允许某些类型的消息(例如，具有某些预先确定的特征集合的消息)通过该代理，阻止具有其它预先确定的特征的消息通过该代理(例如通过暂停(丢弃或过滤)这些消息)，和/或将具有其它消息特征集合的其它消息传递到体量过滤器以便进行计数。体量过滤器对具有消息特征的特定集合的消息的数量进行计数，并且如果在特定时间段上检测到的这些消息的数量小于特定阈值，则传递这些消息；并且如果在特定时间段上经计数的消息的数量大于特定阈值，则过滤这些消息。

【技术实现步骤摘要】

概括地说，本申请涉及过程或工业工厂通信系统，更具体地说，本申请涉及基于工厂通信网络中的业务检测和过滤来检测对控制和维护通信网络(例如，过程和工业控制系统中所使用的那些控制和维护通信网络)的入侵。
技术介绍
过程或工业控制和维护系统(例如，如在发电、化学、石油或其它制造过程中所使用的那些分布式或可升级的过程控制系统)通常包括一个或多个控制器，这些控制器彼此通信地耦合，经由过程控制网络耦合到至少一个主机或操作者工作站，并且经由模拟、数字或组合的模拟/数字总线耦合到一个或多个现场设备。现场设备(其可以是例如阀、阀定位器、开关及传送器(例如，温度、压力和流速传感器))执行过程或工厂内的功能，例如打开或关闭阀，接通和断开设备以及测量过程参数。控制器接收对现场设备所作出的过程或工厂测量进行指示的信号和/或关于现场设备的其它信息，使用该信息来实现一个或多个控制例程，并且然后生成控制信号，其中控制信号通过工厂网络的总线或通信信道发送给现场设备，以控制过程或工厂的操作。通常可以经由通信网络使来自现场设备和控制器的信息可用于由操作者工作站执行的一个或多个应用，以使得操作者或维护人员能够针对该过程或工厂执行任何期望的功能，例如查看工厂的当前状态、修改工厂的操作、校准设备、检测故障设备等。在操作期间，过程控制器(其通常位于过程工厂环境内)根据配置方案被配置为：周期性地或定期接收对现场设备所产生的或与现场设备相关联的过程测量或过程变量进行指示的信号和/或关于现场设备的其它信息，并且使用该信息来执行控制器应用。控制器应用实现例如不同的控制模块，这些控制模块做出过程控制决定、基于所接收的信息生成控制信号、并与
现场设备(例如，和Fieldbus现场设备)中的控制模块或块协作。此外，再次根据配置方案，过程控制器中的控制模块通过通信链路或其它信号路径向现场设备发送控制信号，以便据此控制过程的操作。经由一个或多个受保护的过程控制或维护网络，通常还使来自现场设备和过程控制器的信息可用于工厂内部或外部的一个或多个其它硬件设备，例如，操作者工作站、维护工作站、服务器、个人计算机、手持设备、数据或事件历史记录、报告生成器、中央数据库等。通过过程控制或维护通信网络传送的信息使得操作者或维护人员能够针对过程执行期望的功能和/或查看工厂或工厂内的设备的操作。例如，控制信息允许操作者改变过程控制例程的设置，修改过程控制器或智能现场设备内的控制模块的操作，查看过程的当前状态或过程工厂内的特定设备的状态，查看由现场设备和过程控制器生成的警报和/或告警，出于训练人员或测试过程控制软件的目的来模拟过程的操作，诊断过程工厂内的问题或硬件故障等。现场设备和控制器通常通过一个或多个受保护的过程控制或维护通信网络(其可以例如实现为以太网配置的LAN)与其它硬件设备进行通信。过程控制或维护通信网络通过各种网络设备发送过程参数、网络信息和其它过程控制数据并发送给过程控制系统中的各个实体。典型的网络设备包括网络接口卡、网络交换机、路由器、服务器、防火墙、控制器、操作者工作站和数据库。网络设备通常通过控制路由、帧速率、超时和其它网络参数来促进通过网络的数据流动，但不改变过程数据本身。随着过程控制网络的规模和复杂性的增加，网络设备的数量和类型相应地增加。由于系统和网络的增长，这些复杂系统内的安全性及其管理变得越来越困难。然而，作为开始，这些网络通常与其它外部网络隔离，并且由一个或多个防火墙保护这些网络免受外部攻击。通常，在典型的工业控制系统中，为了限制对网络的入侵，工厂控制系统工作站/服务器策略性地放置在执行与工厂相关联的各种功能的外部工厂网络与控制系统内执行控制和数据获取功能的嵌入式控制设备(例如，控制器、PLC、RTU)之间。控制工作站/服务器的主要安全目标是阻止恶意软件进入控制和维护系统并对嵌入式设备造成不利影响，以及阻止恶意
软件改变存储在工厂过程控制数据库中的配置和历史数据。此外，这些工作站/服务器阻止对控制系统的未经授权的访问，以阻止对工厂配置的未经授权的改变、对工厂数据的未经授权的访问等。尽管多个安全特征(例如，防火墙、“反病毒”软件和“白名单”)可用于解决这些安全目标，但这些安全特征通常是不充分的。例如，反病毒软件无法防范“零日”病毒，并且白名单仅阻止未经授权的应用程序运行。此外，这些特征中的一些特征太有入侵性以致于在过程控制系统中在操作上是不可行的，这是因为这些安全特征会潜在地妨碍工厂操作者或经调度的控制操作的活动。在一般意义上，恶意软件(例如，处于零日攻击核心的恶意软件)通常经由到外部网络的授权的通信连接，通过应用或服务(其具有访问过程控制网络内的存储器设备、网络端口或直接数据链路的权限或授权)的操作引入受保护的控制系统网络。替代地，恶意软件可经由将被感染的便携式设备和/或介质连接到控制系统设备的本地人员引入受保护的控制系统网络。此后，恶意软件能够被传播到其它设备(例如，经由通信)和/或使用感染有恶意软件的应用或服务的安全权限在过程控制网络内的设备内执行。此外，恶意软件本身可以在本地持续存在，以允许其在联网设备重新启动之后再次执行。在一些情况下，恶意软件可以使用账户(在该账户下执行应用或服务)的权限来升级主机(例如，被感染的应用或服务)的权限，并且在这样做时，恶意软件能够执行过程控制设备或网络设备内的需要更高权限的动作或操作，因此通常对控制系统操作更加有害。当这些攻击扰乱工厂控制系统正在进行的操作时，这些攻击可在过程工厂内造成严重和潜在破坏性或者甚至致命的影响。已经有大量的研究活动来定义和构建硬件和软件配置，这些硬件和软件配置操作为阻止或限制对过程或工业控制和维护网络的攻击。然而，即使严密防御的工业控制系统(ICS)网络或监控与数据采集(SCADA)网络仍受到安全威胁，例如安全防御的错误配置、具有合法接入的用户恶意地进行活动、以及公众未知但恶意的软件代表外部袭击者进行活动。此外，一旦网络被感染，仅存在有限的能力来自动检测过程或工业控制设备内或工厂通信节点中病毒或恶意软件的存在。概括地说，一旦攻击在工厂环境中变得成功，则通常需要操作者、维护人员等来检测工厂通信节点或设备
被感染。尽管有可能在通信网络的每个节点处运行后台病毒扫描软件，但该软件耗费大量存储器和处理资源，需要定期更新(需要大量的网络维护资源和时间)，并且仍然不能够检测零日病毒。在许多情况下，工厂设备或网络节点处的病毒或未经授权的软件可以导致设备或网络的性能下降，可以充分地中断正常的工厂操作以足以导致在网络内的该节点或其它节点处生成错误或警报，或者可以导致其它严重和值得注意的问题。在其中一些情况下，对于操作者或其它工厂人员来说检测病毒的存在可能相对容易，但可能仍然难以检测病毒的位置。此外，在许多其它情况下，病毒或攻击可能在很长的时间段内在未被检测到的情况下进行操作，尽管其使网络操作稍微恶化，但对工厂操作的这种恶化或其它影响可能是可忽略的，并且因此可能非常难以检测。因此，在许多情况下，病毒可能在很长的时间段内未被检测到，在该时间期间，这些病毒可以操作为降低工厂效率，允许窃取工厂数据，实现更加严重的入侵，将网络设备暴露于严重的攻击或伤害本文档来自技高网...

【技术保护点】
一种用于通信网络中的安全系统，所述通信网络具有经由通信链路通信地耦合的多个网络节点，所述安全系统包括：一个或多个消息模块接口，其中，所述消息模块接口中的每个消息模块接口在所述网络节点中的一个网络节点处在处理器上执行，以检测所述网络节点处的消息业务以及确定所述消息中的每个消息的一个或多个消息特征；规则存储器，所述规则存储器存储一个或多个逻辑规则；以及一个或多个过滤单元，所述一个或多个过滤单元存储在处理器中并在处理器上执行，并且耦合到所述规则存储器，所述过滤单元中的每个过滤单元包括：第一过滤模块，以及第二过滤模块，其中，所述第一过滤模块在所述处理器上执行，并且基于所述消息特征信息来应用存储在所述规则存储器中的一个或多个逻辑规则，以传递所述消息、暂停所述消息、或者将所述消息传递给所述第二过滤模块；其中，所述第二过滤模块对具有消息特征的特定集合的消息的数量进行计数以确定消息计数，并且基于所述消息计数来传递具有消息特征的所述特定集合的消息或暂停具有消息特征的所述特定集合的消息。

【技术特征摘要】
2015.05.22 US 14/719,9461.一种用于通信网络中的安全系统，所述通信网络具有经由通信链路通信地耦合的多个网络节点，所述安全系统包括：一个或多个消息模块接口，其中，所述消息模块接口中的每个消息模块接口在所述网络节点中的一个网络节点处在处理器上执行，以检测所述网络节点处的消息业务以及确定所述消息中的每个消息的一个或多个消息特征；规则存储器，所述规则存储器存储一个或多个逻辑规则；以及一个或多个过滤单元，所述一个或多个过滤单元存储在处理器中并在处理器上执行，并且耦合到所述规则存储器，所述过滤单元中的每个过滤单元包括：第一过滤模块，以及第二过滤模块，其中，所述第一过滤模块在所述处理器上执行，并且基于所述消息特征信息来应用存储在所述规则存储器中的一个或多个逻辑规则，以传递所述消息、暂停所述消息、或者将所述消息传递给所述第二过滤模块；其中，所述第二过滤模块对具有消息特征的特定集合的消息的数量进行计数以确定消息计数，并且基于所述消息计数来传递具有消息特征的所述特定集合的消息或暂停具有消息特征的所述特定集合的消息。2.根据权利要求1所述的安全系统，其中，所述消息计数包括在特定时间段内接收的具有消息特征的所述特定集合的特定数量的消息。3.根据权利要求1所述的安全系统，其中，所述规则存储器是只读存储器。4.根据权利要求1所述的安全系统，其中，所述规则存储器是读/写存
\t储器。5.根据权利要求1所述的安全系统，其中，所述规则存储器包括第一部分和第二部分，其中所述第一部分是只读存储器，所述第二部分是读/写存储器。6.根据权利要求1所述的安全系统，其中，所述规则存储器是闪存。7.根据权利要求6所述的安全系统，其中，所述规则存储器是能够拆卸的闪存。8.根据权利要求1所述的安全系统，还包括记录模块，所述记录模块耦合到所述第一过滤模块或所述第二过滤模块，所述记录模块在所述处理器上执行，以便接收关于一个或多个暂停的消息的信息，并且存储关于所述一个或多个暂停的消息的信息。9.根据权利要求8所述的安全系统，其中，所述记录模块还包括通信接口，所述通信接口向用户发送由暂停的消息构成的一个或多个日志。10.根据权利要求8所述的安全系统，其中，所述记录模块存储关于所述暂停的消息的元数据。11.根据权利要求1所述的安全系统，还包括耦合到所述第二过滤模块的告警生成模块，其中，所述告警生成模块在所述处理器上执行，以便当所述消息计数达到预先确定的等级时向用户发送告警。12.根据权利要求1所述的安全系统，还包括耦合到所述第二过滤模块的告警生成模块，其中，所述告警生成模块在所述处理器上执行，以便当所述消息计数达到预先确定的等级时将设备从所述通信网络断开。13.根据权利要求1所述的安全系统，其中，所述一个或多个过滤单元包括第一过滤单元和第二过滤单元，其中所述第一过滤单元接收并分析从所述通信链路进入所述网络节点的消息，所述第二过滤单元接收并分析所述网络节点中生成的并经由所述通信链路发送给另一个网络节点的消息。14.一种保护通信网络中的消息业务的安全的方法，包括：在连接到所述通信网络的设备处接收一系列消息；经由所述设备处的处理器来分析所述一系列消息中的每个消息，以确定所述消息中的每个消息的一个或多个消息特征；以及基于存储在所述设备处的逻辑规则集合，经由所述设备处的所述处理器来对所述消息中的每个消息进行过滤，所述过滤包括：传递具有消息特征的一个或多个第一集合的消息，暂停具有消息特征的一个或多个第二集合的消息，以及对具有消息特征的一个或多个第三集合的消息进行计数，并且所述过滤还包括：基于与消息特征的所述一个或多个第三集合相关联的计数，来传递或暂停具有消息特征的所述一个或多个第三集合的消息。15.根据权利要求14所述的方法，其中，对具有消息特征的一个或多个第三集合的消息进行计数包括：对在特定时间段内接收的具有消息特征的所述第三集合中的一个集合的消息的数量进行计数。16.根据权利要求14所述的方法，其中，对具有消息特征的一个或多个第三集合的消息进行计数包括：对在特定时间段内接收的具有消息特征的所述第三集合中的每个集合的消息的数量进行计数。17.根据权利要求14所述的方法，其中，对具有消息特征的一个或多个第三集合的消息进行计数包括：对具有消息特征的所述第三集合中的每个集合的消息的数量进行计数。18.根据权利要求14所述的方法，还包括：将所述逻辑规则存储在所
\t述设备中的只读存储器中。19.根据权利要求14所述的方法，还包括：将所述逻辑规则存储在所述设备中的读/写存储器中。20.根据权利要求14所述的方法，还包括：将所述逻辑规则的第一部分存储在只读存储器中，并且将所述逻辑规则的第二部分存储在读/写存储器中。21.根据权利要求14所述的方法，还包括：将所述逻辑规则的至少一部分存储在所述设备处的闪存中。22.根据权利要求14所述的方法，还包括：记录关于一个或多个暂停的消息的信息以创建一个或多个日志文件。23.根据权利要求22所述的方法，还包括：经由所述通信网络向用户传送具有所述记录信息的所述一个或多个日志文件。24.根据权利要求22所述的方法，其中，记录信息包括：将关于所述暂停的消息的元数据存储在所述设备处的存储器中。25...

【专利技术属性】
技术研发人员：V·S·拉亚佩塔，J·B·佩先斯基，W·E·贝内特，
申请(专利权)人：费希尔罗斯蒙特系统公司，
类型：发明
国别省市：美国;US