用于检测基础设施的异常的方法和装置制造方法及图纸

提供了用于检测基础设施的异常的方法和装置。本发明专利技术涉及用于检测基础设施中的异常的方法，所述方法包括以下步骤：分析在电信系统中交换的每个数据分组（PD）；针对每个所分析的数据分组（PD）标识所使用的所有网络协议和每个协议的至少一个字段；针对每个交换数据分组（PD）并在所标识的协议和字段的基础上，生成基础设施（1）的虚拟表示；存储针对每个交换数据分组（PD）生成的虚拟表示；将所存储虚拟表示与至少一个比较要素进行比较，从而根据所存储虚拟表示和比较要素之间的差异和/或相似性来标识基础设施的至少一个关键状态；当在虚拟表示中标识出至少一个关键状态时，借助于计算机化数据处理构件来发信号通知基础设施的异常。

【技术实现步骤摘要】
用于检测基础设施的异常的方法和装置
本专利技术涉及基础设施、尤其是诸如自动化系统和工业生产系统之类的工业系统的物理基础设施的管理中的安全方法和安全系统的领域。具体地，本专利技术涉及用于检测基础设施的异常的方法。在另外的方面中，本专利技术涉及用于检测基础设施的异常的装置。
技术介绍
工业系统由配备有能够彼此物理交互以获得相同工业系统所要求的功能性的子系统和组件的物理基础设施限定。前述类型的系统例如是用于制造生产的工业系统、用于能量生成的工业系统、用于流体（水、油和气体）分布的基础设施、用于电力的生成和/或传输的基础设施以及用于输送管理的基础设施。工业系统或其子系统及组件的逻辑连接允许获得所谓的工业自动化系统，其中，可以对应在要控制的子系统或组件中操作控制，或者相反在系统占据的区域内的一距离处或甚至在该区域外远程地操作控制。用于物理基础设施的上述类型的工业自动化系统的限定暴露相同的巨大安全问题，这是由于工业系统的控制可能容易受到犯罪活动的影响。为了保护基础设施或控制它的自动化系统，所谓的分布式控制系统或SCADA在自本文档来自技高网...

【技术保护点】
1.一种用于检测物理基础设施（1）中的异常的方法，所述物理基础设施（1）配备有：/n-电气连接到一个或多个逻辑控制器（12,22,32）的一个或多个致动器（10,20）和/或传感器，其中在使用中所述逻辑控制器（12,22,32）控制涉及致动器（10,20）和/或传感器的物理状态的变量属性的值；/n-所述逻辑控制器（12,22,32）的至少一个监测单元（52）；/n-在所述逻辑控制器之间和/或在所述监测单元（52）与所述逻辑控制器（12,22,32）之间的电信系统，所述电信系统能够借助于网络通信协议来交换包括涉及物理状态的变量属性的所述值的数据分组（PD），/n所述方法包括以下步骤：/n-借助于...

【技术特征摘要】
1.一种用于检测物理基础设施（1）中的异常的方法，所述物理基础设施（1）配备有：
-电气连接到一个或多个逻辑控制器（12,22,32）的一个或多个致动器（10,20）和/或传感器，其中在使用中所述逻辑控制器（12,22,32）控制涉及致动器（10,20）和/或传感器的物理状态的变量属性的值；
-所述逻辑控制器（12,22,32）的至少一个监测单元（52）；
-在所述逻辑控制器之间和/或在所述监测单元（52）与所述逻辑控制器（12,22,32）之间的电信系统，所述电信系统能够借助于网络通信协议来交换包括涉及物理状态的变量属性的所述值的数据分组（PD），
所述方法包括以下步骤：
-借助于连接到所述电信系统的网络分析器（101）来分析在所述电信系统中交换的每个所述数据分组（PD）；
-针对每个所分析的数据分组（PD），借助于所述网络分析器（101）来标识所使用的所有网络协议和每个所述协议的至少一个字段；
-针对每个所述交换数据分组（PD）并在所标识的协议和字段的基础上，通过计算机化数据处理构件（102）来生成所述基础设施（1）的虚拟表示；
-在第一易失性存储构件（103）中存储针对每个所述交换数据分组（PD）生成的所述虚拟表示；
-借助于所述计算机化数据处理构件来将所存储的所述虚拟表示与至少一个比较要素进行比较，根据所存储的虚拟表示和所述比较要素之间的差异和/或相似性来标识所述基础设施的至少一个关键状态；
-当在所述虚拟表示中标识出所述关键状态中的至少一个时，借助于所述计算机化数据处理构件来发信号通知所述基础设施的异常。


2.根据权利要求1所述的方法，其中在所述标识步骤中标识使用的所有网络协议和每个协议的所有字段。


3.根据权利要求1或2所述的方法，其中所述比较要素包括所述基础设施的一个或多个所允许预限定表示，以及
其中当所存储的虚拟表示不同于所述所允许预限定表示时，所述比较步骤标识出所述关键状态中的至少一个。


4.根据从权利要求1至3中一项或多项所述的方法，其中所述比较要素包括涉及所述致动器和/或传感器的物理状态的变量属性的所述值的一个或多个阈值，以及
其中当所存储的虚拟表示的至少一个所述值超过相对阈值时，所述比较步骤标识出所述关键状态中的至少一个。


5.根据从权利要求1至4中一项或多项所述的方法，其中所述比较要素包括对于所述网络通信所不允许的一个或多个通信协议，以及
其中当所存储的虚拟表示包括对于所述网络通信所不允许的一个或多个通信协议时，所述比较步骤标识出所述关键状态中的至少一个。


6.根据从权利要求1至5中一项或多项所述的方法，其中所述比较要素包括对于所述通信协议所不允许的一个或多个字段，以及
其中当所存储的虚拟表示包括对于所述通信协议所不允许的一个或多个字段时，所述比较步骤标识出所述关键状态中的至少一个。


7.根据从权利要求1至6中一项或多项所述的方法，其中所述比较步骤还包括对接续生成的两个或更多个所述虚拟表示进行比较，以及
其中所述比较步骤在所述后续虚拟表示和所述比较要素之间的差异中标识所述基础设施的至少一个关键状态。


8.根据权利要求7所述的方法，其中所述比较要素包括两个或更多个所述后续虚拟表示之间的通信频率的阈值，以及
其中所述比较步骤还包括将接续生成的两个或更多个所述虚拟表示进行比较，从而标识在所述逻辑控制器之间和/或所述逻辑控制器与所述传感器或致动器之间和/或所述逻辑控制器与所述监测单元之间的通信频率，以及
其中通过针对所述通信频率的阈值来标识所述关键状态。


9.根据权利要求7或8所述的方法，其中所述方法还包括以下步骤：将接续生成的两个或更多个所述虚拟表示进行比较，并标识在所述逻辑控制器之间和/或所述逻辑控制器与所述监测单元之间和/或所述逻辑控制器与所述传感器或致动器之间的一个或多个通信序列，以及
其中所述关键状态包括不可允许的通信序列。


10.根据从权利要求1至9中一项或多项所述的方法，其中在所述比较步骤之前，所述方法包括限定所述关键状态的步骤，其中限定关键状态的所述步骤包括以下步骤：
-借助于连接到所述电信系统的所述网络分析器来分析在预定时间间隔中交换的每个所述数据分组；
-针对每个所分析的数据分组，借助于所述网络分析器来标识使用的网络协议和所述协议的至少一个字段；
-基于利用每个交换数据分组标识的所述协议和所述协议的字段，通过所述计算机化数据处理构件来在所述预定时间间隔中生成所述基础设施的聚合虚拟表示；...

【专利技术属性】
技术研发人员：A卡坎诺，M卡茹洛，
申请(专利权)人：诺佐米网络有限公司，
类型：发明
国别省市：瑞士;CH