工业控制系统中控制报文的检测方法及装置制造方法及图纸

本申请公开了一种工业控制系统中控制报文的检测方法及装置。该方法在获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数后，根据配置的通信协议参数、通信环境参数与最大存在时长，以及至少一个控制指令参数，生成至少一个控制指令参数对应的报文规则；接收目标监控主机在当前业务要求下发送的当前实际控制报文；采用预设报文推演规则，对至少一个报文规则和存储的上一次发送的实际控制报文的报文可变信息进行推演，获取至少一个待匹配报文，并根据其与当前实际控制报文的匹配检测结果，确定当前实际控制报文是否为正常控制报文。该方法避免了恶意代码对工控协议内容的修改，提高了工业控制系统对控制报文的检测准确率。

Detection method and device of control message in industrial control system

【技术实现步骤摘要】
工业控制系统中控制报文的检测方法及装置
本申请涉及工业控制系统的安全领域，尤其涉及一种工业控制系统中控制报文的检测方法及装置。
技术介绍
根据ISA99普渡参考模型可将工业企业系统分为企业资源层、生产管理层、过程监控层、现场控制层、现场设备层。企业资源层、生产管理层、过程监控层为传统的信息技术(InformationTech，IT)架构，一般是非实时数据。现场控制层、现场设备层为操作技术(OperationalTech，OT)，一般是实时系统。工业控制系统由过程监控层、现场控制层、现场设备层组成，过程监控层和现场控制层之间成为跨越IT与OT的桥梁，出现了安全威胁相互渗透的趋势，如何在过程监控层和现场控制层之间建立一条可信信道来阻止安全威胁是需要解决的问题。如图1所示，在传统的工业控制系统防护技术方案中，工业防火墙串联在过程监控层与工业交换机，工业交换机与现场控制层相连，工业入侵检测装置与工业交换机相连，镜像流经工业交换机的业务流量，并将该业务流量发送至安全管理中心。在工业防火墙中配置安全规则，可以对过程监控层与现场控制层之间传输本文档来自技高网...

【技术保护点】
1.一种工业控制系统中控制报文的检测方法，其特征在于，所述方法包括：/n获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数；/n根据配置的通信协议参数、通信环境参数与最大存在时长，以及获取的至少一个控制指令参数，生成所述至少一个控制指令参数对应的报文规则，并存储在报文规则库；/n接收所述目标监控主机在所述当前业务要求下发送的当前实际控制报文；/n采用预设报文推演规则，对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演，获取至少一个待匹配报文；/n根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果，确定...

【技术特征摘要】
1.一种工业控制系统中控制报文的检测方法，其特征在于，所述方法包括：
获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数；
根据配置的通信协议参数、通信环境参数与最大存在时长，以及获取的至少一个控制指令参数，生成所述至少一个控制指令参数对应的报文规则，并存储在报文规则库；
接收所述目标监控主机在所述当前业务要求下发送的当前实际控制报文；
采用预设报文推演规则，对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演，获取至少一个待匹配报文；
根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果，确定所述当前实际控制报文是否为正常控制报文。


2.如权利要求1所述的方法，其特征在于，采用预设报文推演规则，对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演，获取至少一个待匹配报文，包括：
获取所述通信协议参数对应的报文结构，以及存储的报文可变信息对应的当前报文可变信息；
根据所述预设报文推演规则，对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演，获取至少一个待匹配报文。


3.如权利要求1所述的方法，其特征在于，确定所述当前实际控制报文是否为正常控制报文之前，所述方法还包括：
将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。


4.如权利要求3所述的方法，其特征在于，将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测，包括：
若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功，则确定所述当前实际控制报文为正常控制报文；
若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容，则确定所述当前实际控制报文为异常控制报文。


5.如权利要求4所述的方法，其特征在于，确定所述当前实际控制报文为正常控制报文之后，所述方法还包括：
删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。


6.如权利要求4所述的方法，其特征在于，所述方法还包括：
若所述异常控制报文与预设的异常特征信息匹配成功，则根据所述预设的异常特征信息对应的异常类型，确定所述异常控制报文的异常类型；
若所述异常控制报文与预设的异常特征信息匹配失败，则确定所述异常控制报文的异常类型为未知异常类型；
生成第一告警信息，所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。


7.如权利要求1所述的方法，其特征在于，所述方法还包括：
若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长，则将所述报文规则确定为异常报文规则，并在所述报文规则库中删除所述报文规则。


8.如权利要求7所述的方法，其特征在于，所述方法还包括：
生成第二告警信息，所述第二告警信息包括所述报文规则为异常报文规则的信息。


9.如权利要求1所述的方法，其特征在于，获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数之前，所述方法还包括：
获取工业控制系统的初始通信信息，所述初始通信信息包括过程监控层中目标监控主机的标识、现场控制层中目标控制器的标识以及通信配置信息；
根据所述通信配置信息、所述目标监控主机的标识和所述目标控制器的标识，建立所述目标监控主机和所述目标控制器间的通信连接；
确定所述当前实际控制报文是否为正常控制报文之后，所述方法还包括：
若所述当前实际控制报文为正常控制报文，则向所述目标控制器输出所述正常控制报文。


10.一种工业控制系统中控制报文的检测装置，其特征在于，所述装置包括：获取单元、生成单元、接收单元和确定单...

【专利技术属性】
技术研发人员：胡斌，尹亮，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11