监测方法和装置、工业控制系统和计算机可读介质制造方法及图纸

本发明专利技术提供一种用于监测工业控制系统的运行安全的监测方法、监测装置、工业控制系统和计算机可读介质。该监测方法包括：从所述工业控制系统的工业控制网络采集数据包；通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及基于所述物理特征量监测所述工业控制系统的运行异常。

【技术实现步骤摘要】
监测方法和装置、工业控制系统和计算机可读介质
本专利技术涉及工业控制领域，尤其涉及一种用于监测工业控制系统的运行安全的监测方法、监测装置、工业控制系统和计算机可读介质。
技术介绍
核电工业控制系统用于监测和控制核电厂的各个流程和设备，若其受到网络安全的威胁，则会影响核电厂的安全和性能，可能会导致流程异常和设备故障，甚至酿成严重事故。由于核电工业控制系统在控制实时性、运行连续性方面有较高的要求，且采用专用工控协议，因此信息系统的网络安全方法和策略无法直接应用于核电工控系统。监测审计方法作为一种对系统运行干扰小的网络安全方法，可以应用于核电工控系统。然而，现有的监测审计方法存在以下问题：1)现有工控网络安全监测审计的数据包解析方法一般仅得到网络特征量，个别方法可以根据特定的工控协议，分析得到工控协议中各个数据字段的值。上述方法均未结合具体的工艺过程还原出相关的物理特征量；2)现有的工控网络安全监测审计的异常判定方法只利用网络特征量或工控协议数据字段的值，没有利用工艺层面的物理特征量，无法应对网络特征量或工控协议数据结构正常、但控制行为异常的网络攻击。
技术介绍
部分的内容仅仅是专利技术人所知晓的技术，并不当然代表本领域的现有技术。
技术实现思路
针对现有技术存在问题中的一个或多个，本专利技术提供一种用于监测工业控制系统的运行安全的监测方法，包括：从所述工业控制系统的工业控制网络采集数据包；通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及基于所述物理特征量监测所述工业控制系统的运行异常。根据本专利技术的一个方面，还提供一种用于监测工业控制系统的运行的监测装置，包括：采集单元，被配置为从所述工业控制系统的工业控制网络采集数据包；获取单元，通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及监测单元，被配置为基于所述物理特征量监测所述工业控制系统的运行异常。根据本专利技术的一个方面，还提供一种工业控制系统，包括如上所述的监测装置。根据本专利技术的一个方面，还提供一种计算机存储介质，包括存储于其上的计算机可执行指令，所述可执行指令在被处理器执行时实施如上所述的监测方法。根据本专利技术的用于监测工业控制系统的运行的监测方法、监测装置、工业控制系统和计算机可读介质至少具有以下有益技术效果之一：能够通过对从网络获取的数据包进行解析获取工控数据，并利用工控系统的组态信息获取物理特征量；并且基于还原得到的物理特征量，扩展监测审计的数据来源，有助于识别更多更隐蔽的工控网络攻击，降低工控网络入侵检测的漏报率。附图说明附图用来提供对本专利技术的进一步理解，并且构成说明书的一部分，与本专利技术的实施例一起用于解释本专利技术，并不构成对本专利技术的限制。在附图中：图1示出了根据本专利技术的用于监测工业控制系统的运行安全的监测方法的示意图。图2示出了Modbus协议中、请求数据包及其对应的应答数据包的示例。图3示出了根据本专利技术实施例的监测装置的一种示例性结构的框图。图4示出了根据本专利技术的用于监测工业控制系统的运行安全的监测方法的一种示例性处理。图5是示出了可用来实现根据本专利技术实施例的用于监测工业控制系统的运行安全的监测方法和监测装置的一种可能的信息处理设备的硬件配置的结构简图。具体实施方式在下文中，仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样，在不脱离本专利技术的精神或范围的情况下，可通过各种不同方式修改所描述的实施例。因此，附图和描述被认为本质上是示例性的而非限制性的。在本专利技术的描述中，需要理解的是，术语"中心"、"纵向"、"横向"、"长度"、"宽度"、"厚度"、"上"、"下"、"前"、"后"、"左"、"右"、"竖直"、"水平"、"顶"、"底"、"内"、"外"、"顺时针"、"逆时针"等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。此外，术语"第一"、"第二"仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有"第一"、"第二"的特征可以明示或者隐含地包括一个或者更多个所述特征。在本专利技术的描述中，"多个"的含义是两个或两个以上，除非另有明确具体的限定。在本专利技术的描述中，需要说明的是，除非另有明确的规定和限定，术语"安装"、"相连"、"连接"应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接:可以是机械连接，也可以是电连接或可以相互通讯；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本专利技术中的具体含义。在本专利技术中，除非另有明确的规定和限定，第一特征在第二特征之"上"或之"下"可以包括第一和第二特征直接接触，也可以包括第一和第二特征不是直接接触而是通过它们之间的另外的特征接触。而且，第一特征在第二特征"之上"、"上方"和"上面"包括第一特征在第二特征正上方和斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征"之下"、"下方"和"下面"包括第一特征在第二特征正上方和斜上方，或仅仅表示第一特征水平高度小于第二特征。下文的公开提供了许多不同的实施方式或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开，下文中对特定例子的部件和设置进行描述。当然，它们仅仅为示例，并且目的不在于限制本专利技术。此外，本专利技术可以在不同例子中重复参考数字和/或参考字母，这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施方式和/或设置之间的关系。此外，本专利技术提供了的各种特定的工艺和材料的例子，但是本领域普通技术人员可以意识到其他工艺的应用和/或其他材料的使用。以下结合附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。根据本专利技术，提供一种用于监测工业控制系统的运行安全的监测方法，其通过对从工业控制网络获取的数据包进行解析来还原物理特征量，以通过物理特征量对工业控制系统的安全运行进行监测。图1示出了根据本专利技术的监测方法的示意图。如图1所示，本专利技术的监测方法可以包括：在步骤S11，从所述工业控制系统的工业控制网络采集数据包；在步骤S12，通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及在步骤S13，基于所述物理特征量监测所述工业控制系统的运行异常。根据本专利技术的一个实施例，在步骤S11，可以通过工业控制系统中的采集模块捕获工控网络上通信的数据包，并将捕获的数据包放入缓存；数据包采集模块可以使用例如旁路镜像的方式从工业控制网络中获取数据包。旁路镜像是一种常用的网络监控模式，通过端口镜像把交换机一个或多个端口的数据镜像到一个或多个端口。通过端口就可以获取网络中的数据流量而不影响原有的网络结构。在步骤S12，可以对在步骤S11采集到的数据包进行应用层解析，以获取工业控制系统的物理特征量。根据本专利技术的一个实施例，获取工业控制系统的物理特征量可以包括：通过对所述数据包进行应用层解析，以获取应用层信息；利用所述应用层信息，对所述数据包进行请求应答整合，以获取工控操作本文档来自技高网...

【技术保护点】
1.一种用于监测工业控制系统的运行安全的监测方法，包括：从所述工业控制系统的工业控制网络采集数据包；通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及基于所述物理特征量监测所述工业控制系统的运行异常。

【技术特征摘要】
1.一种用于监测工业控制系统的运行安全的监测方法，包括：从所述工业控制系统的工业控制网络采集数据包；通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及基于所述物理特征量监测所述工业控制系统的运行异常。2.如权利要求1所述的监测方法，其中，获取所述工业控制系统的物理特征量包括：通过对所述数据包进行应用层解析，以获取应用层信息；利用所述应用层信息，对所述数据包进行请求应答整合，以获取工控操作数据；以及根据所述工业控制系统的组态信息，对所述工控操作数据进行物理特征量匹配，以还原所述工业控制系统的物理特征量。3.如权利要求2所述的监测方法，其中，获取所述应用层信息包括：根据工控应用协议，对采集到的数据包进行解析，以获取包括功能码和数据在内的应用层信息；其中，获取工控操作数据优选包括：通过所述应用层信息中包括的功能码，将所采集到的数据包中执行请求的数据包与其对应的响应数据包进行匹配整合，从而获取所述工控操作数据，其中，所述工控操作数据优选包括：寄存器地址、寄存器值以及操作指令。4.如权利要求3所述的监测方法，其中，对所述工控操作数据进行物理特征量匹配包括对所述工控操作数据进行所述物理特征量的名称匹配和所述物理特征量的内容匹配，其中，对所述工控操作数据进行物理特征量名称匹配优选进一步包括：根据所述工业控制系统的组态信息，将所述工控操作数据中包括的寄存器地址转换为所述物理特征量的名称；和/或所述物理特征量的内容匹配优选进一步包括：根据所述工业控制系统的组态信息，将所述工控操作数据中包括的寄存器值转换为所述物理特征量的内容。5.如权利要求1-4中任一项所述的监测方法，其中，监测所述工业控制系统的运行异常包括：针对多个所述物理特征量中的至少一个，利用预定的第一事件规则，判断所述物理特征量是否构成事件；以及根据多个所述事件中的至少一个，基于预定的第一报警规则，判断所述工业控制系统是否存在运行异常。6.如权利要求1-4中任一项所述的监测方法，还包括：根据网络传输协议对所采集的数据包进行解析，以获取所述数据包的网络传输层数据作为网络特征量，其中，监测所述工业控制系统的运行异常还包括基于所述网络特征量，判断所述工业控制系统是否存在运行异常；其中，判断所述工业控制系统是否存在运行异常优选还包括：基于所述网络特征量和所述物理特征量，利用预定的第二事件规则，确定所述网络特征量和/或所述物理特征量是否构成事件；以及根据多个所述事件中的至少一个，基于预定的第二报警规则，判断所述工业控制系统是否存在运行异常。7.如权利要求1-6中任一项所述的监测方法，其中所述工业控制系统为核电工业控制系统。8.一种用于监测工业控制系统的运行的监测装置，包括：采集单元，被配...

【专利技术属性】
技术研发人员：李江海，司雯，郭超，黄晓津，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京,11