用于工业控制基础设施的使用动态签名的安防系统技术方案

本公开涉及一种被强化以防止恶意活动的工业控制系统，其高度监视动态控制数据以产生动态指纹，可以对动态指纹进行评估以检测建议篡改或其他攻击的类型与正常行为的偏差。动态指纹的评估可以采用一组范围，所述一组范围限定正常操作并且反映动态变量之间的相互关系的已知模式。

Security system using dynamic signature for industrial control infrastructure

The invention relates to a be reinforced to prevent malicious activities of industrial control system, the dynamic control of height surveillance data to generate dynamic fingerprints on dynamic fingerprints were evaluated by the deviation type detection suggest tampering or other attacks with normal behavior. The evaluation of dynamic fingerprints can be based on a set of known patterns that define the normal operation and reflect the relationship between dynamic variables.

【技术实现步骤摘要】

本专利技术涉及控制工厂自动化和/或工业过程的工业控制器，并且具体地涉及为工业控制系统提供增强安防以防止恶意行为的系统。
技术介绍
在传统上，一直由用于保护工厂等的物理装备的相同保护措施来保护工业控制系统免受篡改或恶意活动，也就是说，限制对工业控制器及其相关联的装备的物理访问。采用分布式处理以及网络和互联网连接的现代工业控制系统很容易受到攻击。尽管这样的系统在物理上可能是安全的，但是必须为分布式系统中建立多个安防点，并且与互联网的网络连接会使物理安防无关。近期证据是富有经验且资金雄厚的外国国家或组织充分利用通过互联网对工业控制系统的访问。在一个示例中，美国工业控制系统网络应急响应小组(ICS-CERT)提供了关于对用于管理和控制工业装备的可编程逻辑控制器的人机接口(HMI)进行攻击的恶意软件(Black Energy)的警告。存在基于互联网直接成功攻击工业控制系统的传闻证据。不同于对标准计算机装备和服务器的攻击，对工业控制系统的攻击可以想象到会产生对实物财产的损害和对人类生命的危害。
技术实现思路
本专利技术提供了一种用于通过监视可能仅在工业控制系统的操作的动态改变模式下明显的可能篡改来本文档来自技高网...

【技术保护点】
一种工业控制系统，包括根据控制程序进行协调的多个互通工业控制设备，所述工业控制系统包括：(1)多个控制设备，每个控制设备提供：(a)设备网络端口，所述设备网络端口用于与所述工业控制系统的其他元件进行通信；(b)电连接器，所述电连接器用于接纳电导体，所述电导体与工业装备进行通信以从所述工业装备接收电信号或者向所述工业装备传送电信号用于控制工业过程；(c)控制设备处理器，所述控制设备处理器与所述设备网络端口和所述电连接器进行通信；(d)设备电子存储器系统，所述设备电子存储器系统能够由所述控制设备处理器访问并且所述设备电子存储器系统保存：操作软件，所述操作软件描述控制设备的操作；数据表，所述数据表保...

【技术特征摘要】
2015.06.02 US 14/728,1801.一种工业控制系统，包括根据控制程序进行协调的多个互通工业控制设备，所述工业控制系统包括：(1)多个控制设备，每个控制设备提供：(a)设备网络端口，所述设备网络端口用于与所述工业控制系统的其他元件进行通信；(b)电连接器，所述电连接器用于接纳电导体，所述电导体与工业装备进行通信以从所述工业装备接收电信号或者向所述工业装备传送电信号用于控制工业过程；(c)控制设备处理器，所述控制设备处理器与所述设备网络端口和所述电连接器进行通信；(d)设备电子存储器系统，所述设备电子存储器系统能够由所述控制设备处理器访问并且所述设备电子存储器系统保存：操作软件，所述操作软件描述控制设备的操作；数据表，所述数据表保存所述电连接器的电信号的表示；诊断程序，所述诊断程序提供用于监视所述控制设备的操作的输出，所述数据表和所述诊断程序的输出一起限定动态设备状态，其中，所述操作软件能够由所述控制设备处理器来执行，用于：(i)读取所述动态设备状态的至少一部分以生成动态签名；(ii)对所述动态签名进行加密；以及(iii)通过所述网络端口来传送所述动态签名；以及(2)安防控制器，所述安防控制器提供：(a)控制器网络端口，所述控制器网络端口用于与所述工业控制系统的其他元件进行通信；(b)安防控制器处理器，所述安防控制器处理器与所述控制器网络端口进行通信；以及(c)控制器电子存储器系统，所述控制器电子存储器系统能够由所述安防控制器处理器访问并且所述控制器电子存储器系统保存安防程序；其中，所述安防程序能够由所述安防控制器处理器来执行，用于：(i)通过所述网络端口从给定控制设备接收动态签名并且对所述动态签名进行解密；(ii)针对建立可接受动态签名值的多值范围的规则来分析所述动态签名；以及(iii)提供指示接收到的动态签名是否在所述可接受动态签名值的多值范围之外的输出。2.根据权利要求1所述的工业控制系统，其中，所述动态设备状态的所述部分包括指示所述电连接器的电信号的数据。3.根据权利要求1所述的工业控制系统，其中，所述安防程序执行用于通过所述网络端口从多个给定控制设备接收动态签名并且针对集成规则来分析所述动态签名，所述集成规则与组合的动态签名相关并且建立可接受动态签名值的多值范围。4.根据权利要求1所述的工业控制系统，其中，所述动态签名包括多个时间变化量，并且其中，所述规则建立关于每个量的多值范围。5.根据权利要求4所述的工业控制系统，其中，所述多值范围作为其他变化量的函数而变化。6.根据权利要求5所述的工业控制系统，其中，所述多值范围作为随机值的函数而变化。7.根据权利要求5所述的工业控制系统，其中，所述规则由利用来自正常操作工业控制系统的动态签名所训练的监督机器学习系统来应用。8.根据权利要求5所述的工业控制系统，其中，所述正常操作工业控制系统至少部分地由所述工业控制系统的历史操作来确定。9.根据权利要求1所述...

【专利技术属性】
技术研发人员：苏吉特·昌德，大卫·A·维斯科，蒂莫西·帕特里克·博普雷，大卫·A·斯奈德，亚历克斯·劳伦斯·尼科尔，布赖恩·麦克马伦，丹尼尔·B·塞格，约翰·B·达特，
申请(专利权)人：洛克威尔自动控制技术股份有限公司，
类型：发明
国别省市：美国;US