本发明专利技术涉及一种系统,包括:具有至少一个网络装置(1a‑1d)的第一网络、具有云计算基础结构的第二网络,具有第一接口和第二接口的模块,而第一接口与第一网络通信并且第二接口与第二网络通信,而模块包括模拟至少一个网络装置(1a‑1d)的至少一个虚拟蜜罐(6a‑6d)。此外,本发明专利技术涉及一种云连接器和一种方法。
【技术实现步骤摘要】
工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法
工业自动化系统用于控制制造中的机器过程。工业自动化系统包括控制工业过程的多个计算机化装置。工业装置生成待监测的大量工业自动化系统数据。工业自动化系统的装置必须一起以协作方式并在执行操作中工作。本地控制算法也可执行本地数据分析(系统搭载的分析)。
技术介绍
已证明近年来保护自动化系统网络不受未授权入侵变得越来越困难。可使用或创建不希望的软件诸如恶意软件来干扰装置操作、收集敏感信息和/或获得对自动化系统的访问。不希望的软件可包括例如病毒、蠕虫、特洛伊木马、间谍软件、广告软件和/或其它恶意程序。各种技术逐渐妨碍从自动化系统内部和外部来识别这些攻击。目前,在诸如安全信息和事件管理的系统上设置检测,这些系统从所有附接的系统数据收集数据。随后将这些数据提交到特殊的工程。因此可收集相关数据。保护自动化系统安全的传统方法包括从部署入侵检测系统直到用于阻挡未授权网络流量的机制,即通过使用网络流量过滤器诸如“防火墙”。近来已经发展到部署现有技术中称为“蜜罐”的系统。蜜罐是被设计成易受一些潜在未知攻击者危害的系统。很遗憾的是,此种蜜罐非常难以以不危害网络中其它机器的安全性的方式部署、配置和管理。此外,此种蜜罐需要本地安装。
技术实现思路
因此,本专利技术的第一目的是明确一种具有更容易部署、配置和管理的、改良的蜜罐架构的系统。本专利技术的进一步目的是明确一种具有此种改良的蜜罐架构的方法。本专利技术的另一目的是明确一种云连接器。针对系统的目的创造性地通过以下系统来实现,该系统包括具有至少一个网络装置的第一网络、具有云计算基础结构的第二网络、具有第一接口和第二接口的模块,而第一接口与第一网络通信并且第二接口与第二网络通信,而模块包括模拟至少一个网络装置的至少一个虚拟蜜罐。针对连接器的目的创造性地通过以下云连接器实现,云连接器具有第一接口和第二接口,而第一接口与第一网络通信并且第二接口与第二网络通信,而第一网络包括至少一个网络装置,并且第二网络包括云计算基础结构,而云连接器包括模拟至少一个网络装置的至少一个虚拟蜜罐。针对方法的目的创造性地通过以下方法实现,方法包括:-提供具有至少一个网络装置的第一网络、具有云计算基础结构的第二网络;-提供具有第一接口和第二接口的模块,而第一接口与第一网络通信并且第二接口与第二网络通信,-以及在模块中提供模拟至少一个网络装置的至少一个虚拟蜜罐。根据本专利技术,认识到现今工业自动化系统相比于以前更容易受到来自网络世界的攻击。由于交联增加或者因为使用了多种技术而增加了复杂性所以造成这样的结果。复杂性需要未授权用户同样在工业自动化系统内变得更加活跃。这可能有意或无意触发攻击。来自内部和外部的攻击的数量因此增加。复杂的技术逐渐妨碍对这些攻击的识别。因此,可使用蜜罐。然而,蜜罐的配置和更新复杂。另一个缺点是本地安装和维护。现在通过本专利技术解决该问题。这里,提供精确模拟/仿真至少一个网络装置的虚拟蜜罐。虚拟蜜罐专利技术的集中虚拟安装和维护与本地安装相比会显著地降低成本。类似地,维护便宜得多。另外,可安装特别适于自动化系统的虚拟蜜罐。因此,可获得显著更高级的保护。因此,改善了蜜罐的优点。进一步,因此实现了对连接至云的工业自动化系统的攻击的集中和迅速检测。从属权利要求列出可按希望彼此组合以便实现其它优点的进一步有利措施。在优选实施方式中,模块被配置为云连接器。应注意的是,模块不限于云连接器。模块也可被配置为工业控制器或另一网关。模块可以是第二网络或第一网络的一部分,但不限于这些示例。优选地,第一网络为工业自动化系统。优选地,第二网络是云。网络装置因此为如上所述的现场装置。在一个示例中,由发送者例如攻击者创建的恶意流量由虚拟蜜罐接收。然后由虚拟蜜罐创建对恶意流量的虚假响应。该响应转发到发送者用于分散注意力。优选地,至少一个虚拟蜜罐监测和/或记录已创建由至少一个虚拟蜜罐接收的恶意流量的发送者的活动。通过虚拟蜜罐监测未授权入侵者的活动,网络管理员可识别攻击者使用的策略和工具。在另一优选实施例中,虚拟蜜罐作为模块上的虚拟机或虚拟工具执行。优选地,虚拟蜜罐不访问受保护的第二网络。因此,不需要在受保护的第二网络中本地安装蜜罐。在另一优选实施例中,至少一个网络装置包括参数配置文件,并且关于该参数配置文件从第一网络装置下载至少一个虚拟蜜罐。至少一个网络装置的配置文件也存储在模块中。可经由到第二网络的对应接口容易地更新虚拟蜜罐。在另一示例中,至少一个虚拟蜜罐包括弱或无安全(或安全性)特征。因此,攻击者会变得关注至少一个虚拟蜜罐。在另一优选实施例中,模块配置为软件代理。附图说明在关于附图的示例性实施例的以下描述中发现本专利技术的其它特征、性质和优点,在附图中:图1示出工业自动化系统的普通架构;图2示出根据本专利技术的第一实施例。具体实施方式尽管已参考优选的示例性实施例详述本专利技术,但本专利技术不限于所公开的示例,并且可在没有背离本公开的保护范围的情况下由本领域技术人员从这些示例得出其它变化。图1示出根据现有技术的具有现场装置1a-1d的普通工业自动化系统2。用于记录和/或修改过程变量的现场装置1a-1d频繁用于过程自动化系统技术以及制造自动化系统技术。测量装置或传感器诸如液位测量装置、流量计、压力和温度测量装置、pH氧化还原电位计、电导率计等用于记录相应过程变量诸如填充液位、流量、压力、温度、pH水平和电导率。致动器诸如例如阀或泵用来影响过程变量。因此,可通过致动器更改流体在管道节段中的流速或容器中的液位。现场装置1a-1d通常是指面向过程的和提供或编辑过程相关信息的所有装置。除上述测量装置/传感器和致动器之外,直接连接到现场总线并用于与上级单元通信的单元,诸如例如远程I/O、网关、链接装置和无线适配器等也通常称为现场装置。因为必须被监测和控制的系统变量数量大,工业自动化系统2经常生成巨量数据。此外,此类工业自动化系统2可基于二十四小时操作。可在云5中收集工业自动化系统数据,其中可经由云5累积工业自动化系统数据并且一个或多个用户可通过云5使用这些数据。在现场装置1a-1d按照地理环境分布的情况下,云5有利地提供用于从多个分布式现场装置1a-1d访问数据的设施。术语“云”指代具有云计算基础结构的网络装置。云5包括一个或多个通信网络,诸如例如互联网,并可进一步包括部分的工业通信网络,诸如局域网(LAN)或广域网(WAN)。在云计算中,计算过程可在一个或许多经连接的云计算机上同时运行。在云计算中,云5可在世界上任何地方作为主机并运行应用程序。进一步地,云5使得能够从任何地方访问应用程序。在一些示例中,云5包括用于存储所接收的工业自动化系统数据的一个或多个数据存储设施。云5接收来自工业自动化系统2的由云连接器3收集和传递的工业自动化系统数据,并积累和存储工业自动化系统数据。在一些示例中,云5处理和/或分析工业自动化系统数据。如果工业自动化系统2连接到云5,则必须首先确定、识别和分类自动化系统2的可连接的装置1a-1d。装置1a-1d收集数据,该数据然后通过云连接器3传递到云5上。云连接器3在其中需要链接或接口的每个地方起作用。云连接器3用作为基于云的应用程序和现有预置(on-premise)型系统之间的链接,例如工业本文档来自技高网...
【技术保护点】
一种系统,包括具有至少一个网络装置(1a‑1d)的第一网络,具有云计算基础结构的第二网络,具有第一接口和第二接口的模块,而所述第一接口与所述第一网络通信,并且所述第二接口与所述第二网络通信,其特征在于,所述模块包括至少一个虚拟蜜罐(6a‑6d),所述虚拟蜜罐模拟所述至少一个网络装置(1a‑1d)。
【技术特征摘要】
2016.08.31 EP 16186580.31.一种系统,包括具有至少一个网络装置(1a-1d)的第一网络,具有云计算基础结构的第二网络,具有第一接口和第二接口的模块,而所述第一接口与所述第一网络通信,并且所述第二接口与所述第二网络通信,其特征在于,所述模块包括至少一个虚拟蜜罐(6a-6d),所述虚拟蜜罐模拟所述至少一个网络装置(1a-1d)。2.根据权利要求1所述的系统,其特征在于,所述模块配置为云连接器(3)。3.根据权利要求1或2所述的系统,其特征在于,所述第一网络为工业自动化系统(3)。4.根据权利要求1至3中任一项所述的系统,其特征在于,由所述虚拟蜜罐(6a-6d)接收由发送者创建的恶意流量。5.根据权利要求4所述的系统,其特征在于,由所述虚拟蜜罐(6a-6d)创建对所述恶意流量的响应。6.根据权利要求5所述的系统,其特征在于,所述响应被转发到所述发送者。7.根据权利要求4至6中任一项所述的系统,其特征在于,所述至少一个虚拟蜜罐(6a-6d)监测和/或记录所述发送者的活动,所述发送者已经创建由所述至少一个虚拟蜜罐接收的所述恶意流量。8.根据权利要求1至7中任一项所述的系统,其特征在于,所述至少一个虚拟蜜罐(6a-6d)作为所述模块上的虚拟机或虚拟工具执行。9.根据权利要求1至8中任一项所述的系统,其特征在于,所述至少一个网络装置(1a-1d)包括参数配置文件,并且关于该参数配置文件从所述第一网络装置下载...
【专利技术属性】
技术研发人员:斯特凡·沃荣卡,
申请(专利权)人:西门子公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。