The present invention discloses a method for identifying the computer implementation of a leaked device in an industrial control system, and the computer implemented method can include: monitoring network traffic in a (302) network, which promotes communication of industrial control systems including industrial equipment; at least partly based on the network traffic (304). Create a message protocol configuration file for the industrial equipment described, which describes a normal communication mode for communication with the industrial equipment and the industrial equipment, and the detection (306) involves the industrial equipment and at least one of the other computing devices in the industrial control system. At least one message is determined by comparing the message with the message protocol configuration file to determine (308) that the message is abnormal; and then at least partly based on the said message representing the exceptions (310) the other computing devices may have been leaked. Various other methods, systems, and computer-readable media are also disclosed.
【技术实现步骤摘要】
【国外来华专利技术】用于在工业控制系统内识别已泄密设备的系统和方法
技术介绍
工业控制系统常常用于控制在工业环境中执行制造和/或生产作业的设备和/或机器的功能。例如,核电站可实施和/或依靠工业控制系统来调节电力的生产和/或分配。该工业控制系统可包括传感器、致动器、控制器、控制阀、电机、机器人设备和/或计算设备的集合。在这个示例中,由于在系统故障和/或故障情况下受到严重破坏,核电站可表示恐怖袭击的主要目标。不幸的是,由于某些工业控制系统的高安全性需求,这些工业控制系统与之通信的网络协议很少有文档记录和/或为公众所用。结果,传统的安全技术可能无法有意义地监视工业控制系统内的网络流量,和/或检测到暗示特定设备可能已经泄密的可疑行为。因此,传统的安全技术在识别工业控制系统内的已泄密设备时可能在一定程度上是无效的,这可能使此类系统易于受到攻击。因而,本公开识别并解决了用于识别工业控制系统内的已泄密设备的改进系统和方法的需求。
技术实现思路
如将在下文更详细地描述的,本公开描述了用于在工业控制系统内识别已泄密设备的各种系统和方法。在一个示例中,用于识别工业控制系统内的已泄密设备的计算机实现的方法可包括:(1)监视网络内的网络流量,该网络流量促进了包括至少一个工业设备的工业控制系统的通信;(2)至少部分地基于该网络流量创建用于工业设备的消息协议配置文件,该消息协议配置文件描述了(A)经由该网络用于与工业设备通信的网络协议和(B)工业设备的正常通信模式;(3)检测该网络内涉及工业设备和包括在工业控制系统中的至少一个其他计算设备的至少一条消息;(4)通过将该消息与工业设备的消息协议配置文件进行比较来确定...
【技术保护点】
1.一种用于识别工业控制系统内已泄密设备的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备来执行,所述方法包括:监视网络内的网络流量,所述网络流量促进了用于包括至少一个工业设备的工业控制系统的通信;至少部分地基于所述网络流量来创建用于所述工业设备的消息协议配置文件,所述消息协议配置文件描述了:经由所述网络用于与所述工业设备通信的网络协议;所述工业设备的正常通信模式;检测所述网络内涉及所述工业设备和包括在所述工业控制系统中的至少一个其他计算设备的至少一条消息;通过将所述消息与所述工业设备的所述消息协议配置文件进行比较来确定所述消息表示与所述工业设备的所述正常通信模式可疑地不一致的异常;至少部分地基于表示所述异常的所述消息来确定所述其他计算设备可能已经泄密。
【技术特征摘要】
【国外来华专利技术】2015.11.25 US 14/9523441.一种用于识别工业控制系统内已泄密设备的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备来执行,所述方法包括:监视网络内的网络流量,所述网络流量促进了用于包括至少一个工业设备的工业控制系统的通信;至少部分地基于所述网络流量来创建用于所述工业设备的消息协议配置文件,所述消息协议配置文件描述了:经由所述网络用于与所述工业设备通信的网络协议;所述工业设备的正常通信模式;检测所述网络内涉及所述工业设备和包括在所述工业控制系统中的至少一个其他计算设备的至少一条消息;通过将所述消息与所述工业设备的所述消息协议配置文件进行比较来确定所述消息表示与所述工业设备的所述正常通信模式可疑地不一致的异常;至少部分地基于表示所述异常的所述消息来确定所述其他计算设备可能已经泄密。2.根据权利要求1所述的方法,还包括响应于确定所述其他计算设备可能已经泄密,相对于所述其他计算设备执行至少一个安全操作。3.根据权利要求2所述的方法,其中所述安全操作包括以下项中的至少一者:向至少一个附加计算设备发出所述其他计算设备已经泄密的警报通知;从所述工业网络隔离所述其他计算设备,以防止所述其他计算设备与所述工业控制系统内的任何附加计算设备进行通信;关闭所述其他计算设备,以防止所述其他计算设备与所述工业控制系统内的任何附加计算设备通信;阻止所述其他计算设备和所述工业控制系统内的任何附加计算设备之间的所有消息;通过将所述其他计算设备的至少一个计算任务传输到所述工业控制系统内的至少一个附加计算设备来替换所述工业网络内的所述其他计算设备。4.根据权利要求1所述方法,其中在所述网络内监视所述网络流量包括:检测所述网络内源自或者去往所述工业设备的消息;识别包括在所述消息字段中的参数。5.根据权利要求4所述的方法,其中为所述工业设备创建所述消息协议配置文件包括,从包括在所述消息的所述字段中的所述参数来构建所述工业设备的所述正常通信模式的基线表示。6.根据权利要求5所述的方法,其中:检测所述网络内源自或者去往所述工业设备的所述消息包括创建相对于所述工业设备具有某些共同特征的消息集合;构建所述工业设备的所述正常通信模式的所述基线表示包括通过以下步骤构建所述工业设备的所述正常通信模式的所述基线表示:对所述消息集合进行分析;将所述消息字段中识别的所述参数的表示插入到所述基线表示中。7.根据权利要求6所述的方法,其中检测所述网络内涉及所述工业设备和所述其他计算设备的所述消息包括确定所述消息和所述消息集合共享所述某些共同特征。8.根据权利要求7所述的方法,其中确定所述消息表示所述异常包括:识别包括在所述消息的至少一个字段中的至少一个参数;确定在所述消息的所述字段中识别的所述参数与所述工业设备的所述正常通信模式的所述基线表示可疑地不一致。9.根据权利要求4所述的方法,其中构建所述工业设备的所述正常通信模式的所述基线表示包括至少部分地基于在所述消息的所述字段中所识别的所述参数来形成一组策略规则,所述组策略规则表示所述工业设备的所述正常通信模式的参考。10.根据权利要求9所述的方法,其中形成所述组策略规则包括在促进计算与所述工业设备通信的计算设备的风险评分的数学公式中进行加权,所述数值表示与违反所述组策略规则中的至少一个策略规则相关联的风险级别。11.根据权利要求4所述的方法,其中包括在所述消息的所述字段中的所述参数包括以下中的至少一者:包括在源自或者去往所述工业设备的消息中的操作码;源自或者去往所述工业设备的消息的大小;源自或者去往所述工业设备的消息的结构;源自或者去往所述工业设备的消息的序号;识别源自或者去往所述工业设备的特定数量的消息的计数器;包括在源自或去往所述工业设备的消息中的事务标识符。12.一种用于识别工业...
【专利技术属性】
技术研发人员:I·B·科拉莱斯,A·托恩贡卡尔,
申请(专利权)人:赛门铁克公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。