【技术实现步骤摘要】
概括地说,本申请涉及过程或工业工厂通信系统,更具体地说,本申请涉及基于工厂通信网络中的业务检测和过滤来检测对控制和维护通信网络(例如,过程和工业控制系统中所使用的那些控制和维护通信网络)的入侵。
技术介绍
过程或工业控制和维护系统(例如,如在发电、化学、石油或其它制造过程中所使用的那些分布式或可升级的过程控制系统)通常包括一个或多个控制器,这些控制器彼此通信地耦合,经由过程控制网络耦合到至少一个主机或操作者工作站,并且经由模拟、数字或组合的模拟/数字总线耦合到一个或多个现场设备。现场设备(其可以是例如阀、阀定位器、开关及传送器(例如,温度、压力和流速传感器))执行过程或工厂内的功能,例如打开或关闭阀,接通和断开设备以及测量过程参数。控制器接收对现场设备所作出的过程或工厂测量进行指示的信号和/或关于现场设备的其它信息,使用该信息来实现一个或多个控制例程,并且然后生成控制信号,其中控制信号通过工厂网络的总线或通信信道发送给现场设备,以控制过程或工厂的操作。通常可以经由通信网络使来自现场设备和控制器的信息可用于由操作者工作站执行的一个或多个应用,以使得操作者或维护人员能够针对该过程或工厂执行任何期望的功能,例如查看工厂的当前状态、修改工厂的操作、校准设备、检测故障设备等。在操作期间,过程控制器(其通常位于过程工厂环境内)根据配置方案被配置为:周期性地或定期接收对现场设备所产生的或与现场设备相关联的过程测量或过程变量进行指示的信号和/或关于现场设备的其它信息,并且使用该信息来执行控制器应用。控制器应用实现例如不同的控制模块,这些控制模块做出过程控制决定、基于所接 ...
【技术保护点】
一种用于通信网络中的安全系统,所述通信网络具有经由通信链路通信地耦合的多个网络节点,所述安全系统包括:一个或多个消息模块接口,其中,所述消息模块接口中的每个消息模块接口在所述网络节点中的一个网络节点处在处理器上执行,以检测所述网络节点处的消息业务以及确定所述消息中的每个消息的一个或多个消息特征;规则存储器,所述规则存储器存储一个或多个逻辑规则;以及一个或多个过滤单元,所述一个或多个过滤单元存储在处理器中并在处理器上执行,并且耦合到所述规则存储器,所述过滤单元中的每个过滤单元包括:第一过滤模块,以及第二过滤模块,其中,所述第一过滤模块在所述处理器上执行,并且基于所述消息特征信息来应用存储在所述规则存储器中的一个或多个逻辑规则,以传递所述消息、暂停所述消息、或者将所述消息传递给所述第二过滤模块;其中,所述第二过滤模块对具有消息特征的特定集合的消息的数量进行计数以确定消息计数,并且基于所述消息计数来传递具有消息特征的所述特定集合的消息或暂停具有消息特征的所述特定集合的消息。
【技术特征摘要】
2015.05.22 US 14/719,9461.一种用于通信网络中的安全系统,所述通信网络具有经由通信链路通信地耦合的多个网络节点,所述安全系统包括:一个或多个消息模块接口,其中,所述消息模块接口中的每个消息模块接口在所述网络节点中的一个网络节点处在处理器上执行,以检测所述网络节点处的消息业务以及确定所述消息中的每个消息的一个或多个消息特征;规则存储器,所述规则存储器存储一个或多个逻辑规则;以及一个或多个过滤单元,所述一个或多个过滤单元存储在处理器中并在处理器上执行,并且耦合到所述规则存储器,所述过滤单元中的每个过滤单元包括:第一过滤模块,以及第二过滤模块,其中,所述第一过滤模块在所述处理器上执行,并且基于所述消息特征信息来应用存储在所述规则存储器中的一个或多个逻辑规则,以传递所述消息、暂停所述消息、或者将所述消息传递给所述第二过滤模块;其中,所述第二过滤模块对具有消息特征的特定集合的消息的数量进行计数以确定消息计数,并且基于所述消息计数来传递具有消息特征的所述特定集合的消息或暂停具有消息特征的所述特定集合的消息。2.根据权利要求1所述的安全系统,其中,所述消息计数包括在特定时间段内接收的具有消息特征的所述特定集合的特定数量的消息。3.根据权利要求1所述的安全系统,其中,所述规则存储器是只读存储器。4.根据权利要求1所述的安全系统,其中,所述规则存储器是读/写存
\t储器。5.根据权利要求1所述的安全系统,其中,所述规则存储器包括第一部分和第二部分,其中所述第一部分是只读存储器,所述第二部分是读/写存储器。6.根据权利要求1所述的安全系统,其中,所述规则存储器是闪存。7.根据权利要求6所述的安全系统,其中,所述规则存储器是能够拆卸的闪存。8.根据权利要求1所述的安全系统,还包括记录模块,所述记录模块耦合到所述第一过滤模块或所述第二过滤模块,所述记录模块在所述处理器上执行,以便接收关于一个或多个暂停的消息的信息,并且存储关于所述一个或多个暂停的消息的信息。9.根据权利要求8所述的安全系统,其中,所述记录模块还包括通信接口,所述通信接口向用户发送由暂停的消息构成的一个或多个日志。10.根据权利要求8所述的安全系统,其中,所述记录模块存储关于所述暂停的消息的元数据。11.根据权利要求1所述的安全系统,还包括耦合到所述第二过滤模块的告警生成模块,其中,所述告警生成模块在所述处理器上执行,以便当所述消息计数达到预先确定的等级时向用户发送告警。12.根据权利要求1所述的安全系统,还包括耦合到所述第二过滤模块的告警生成模块,其中,所述告警生成模块在所述处理器上执行,以便当所述消息计数达到预先确定的等级时将设备从所述通信网络断开。13.根据权利要求1所述的安全系统,其中,所述一个或多个过滤单元包括第一过滤单元和第二过滤单元,其中所述第一过滤单元接收并分析从所述通信链路进入所述网络节点的消息,所述第二过滤单元接收并分析所述网络节点中生成的并经由所述通信链路发送给另一个网络节点的消息。14.一种保护通信网络中的消息业务的安全的方法,包括:在连接到所述通信网络的设备处接收一系列消息;经由所述设备处的处理器来分析所述一系列消息中的每个消息,以确定所述消息中的每个消息的一个或多个消息特征;以及基于存储在所述设备处的逻辑规则集合,经由所述设备处的所述处理器来对所述消息中的每个消息进行过滤,所述过滤包括:传递具有消息特征的一个或多个第一集合的消息,暂停具有消息特征的一个或多个第二集合的消息,以及对具有消息特征的一个或多个第三集合的消息进行计数,并且所述过滤还包括:基于与消息特征的所述一个或多个第三集合相关联的计数,来传递或暂停具有消息特征的所述一个或多个第三集合的消息。15.根据权利要求14所述的方法,其中,对具有消息特征的一个或多个第三集合的消息进行计数包括:对在特定时间段内接收的具有消息特征的所述第三集合中的一个集合的消息的数量进行计数。16.根据权利要求14所述的方法,其中,对具有消息特征的一个或多个第三集合的消息进行计数包括:对在特定时间段内接收的具有消息特征的所述第三集合中的每个集合的消息的数量进行计数。17.根据权利要求14所述的方法,其中,对具有消息特征的一个或多个第三集合的消息进行计数包括:对具有消息特征的所述第三集合中的每个集合的消息的数量进行计数。18.根据权利要求14所述的方法,还包括:将所述逻辑规则存储在所
\t述设备中的只读存储器中。19.根据权利要求14所述的方法,还包括:将所述逻辑规则存储在所述设备中的读/写存储器中。20.根据权利要求14所述的方法,还包括:将所述逻辑规则的第一部分存储在只读存储器中,并且将所述逻辑规则的第二部分存储在读/写存储器中。21.根据权利要求14所述的方法,还包括:将所述逻辑规则的至少一部分存储在所述设备处的闪存中。22.根据权利要求14所述的方法,还包括:记录关于一个或多个暂停的消息的信息以创建一个或多个日志文件。23.根据权利要求22所述的方法,还包括:经由所述通信网络向用户传送具有所述记录信息的所述一个或多个日志文件。24.根据权利要求22所述的方法,其中,记录信息包括:将关于所述暂停的消息的元数据存储在所述设备处的存储器中。25...
【专利技术属性】
技术研发人员:V·S·拉亚佩塔,J·B·佩先斯基,W·E·贝内特,
申请(专利权)人:费希尔罗斯蒙特系统公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。