【技术实现步骤摘要】
工业控制系统控制行为检测防护方法和系统
本专利技术涉及工业控制安全领域
,特别涉及一种工业控制系统控制行为检测防护方法和系统。
技术介绍
工业控制系统允许操作员远程监督,工程师或分析人员基于获得的数据进行分析,然后决定发送命令或触发告警,工业控制系统包括可编程逻辑控制器(PLC),有时也可能是过程自动化控制器(PAC),PLC/PAC是执行预置逻辑程序的计算设备,基于传感器输入的数据来控制执行设备的输出,逻辑程序控制PLC的行为,称为控制逻辑,用户可以通过工程师工作站改变控制逻辑。工业控制系统中可以人为手动或机器自动完成与其相关的PLC维护工作,例如通过工程师工作站对PLC的控制操作等,这类活动称之为控制行为,典型的控制行为包括读取或写入:PLC固件、PLC逻辑、PLC配置参数、或PLC的状态等,典型的实现可以将PLC只连接在工程师工作站以避免其他电脑对PLC的访问。由于典型现代的工业控制系统基于标准的嵌入式系统平台,应用各种标准设备,例如路由器、调职解调器,经常利用或部分利用现成的软件,例如以太网、T...
【技术保护点】
1.一种工业控制系统控制行为检测防护方法,其特征在于:所述检测防护方法包括接收工业控制系统通信网络上的至少一个正在传输的数据包;/n通过至少一个正在传输的数据包的一个或多个特性检测到与至少一个数据包相关联的控制行为;/n对应至少一个正在传输的数据包及检测到的控制行为,确定至少一条防护规则;/n对数据包执行防护操作,所述数据包为对应防护规则的若干数据包之一,防护操作包括以下一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。/n
【技术特征摘要】
1.一种工业控制系统控制行为检测防护方法,其特征在于:所述检测防护方法包括接收工业控制系统通信网络上的至少一个正在传输的数据包;
通过至少一个正在传输的数据包的一个或多个特性检测到与至少一个数据包相关联的控制行为;
对应至少一个正在传输的数据包及检测到的控制行为,确定至少一条防护规则;
对数据包执行防护操作,所述数据包为对应防护规则的若干数据包之一,防护操作包括以下一个或多个操作:允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包。
2.根据权利要求1所述的检测防护方法,其特征在于:所述控制行为是对连接在工业控制系统通信网络上正在运行的PLC的维护或一台配置成与PLC交互的计算机设备的操作,控制行为包括:登陆计算机系统,从计算机设备登出,启动计算机设备的CPU、终止计算机设备的CPU、扫描PLC、读取PLC的逻辑,写入PLC逻辑,读取PLC配置值、写入PLC的配置值。
3.根据权利要求1所述的检测防护方法,其特征在于:所述数据包的特性包括数据包中一个或多个字段的值。
4.根据权利要求1所述的检测防护方法,其特征在于:至少一个数据包特性是无需通过解析数据包包头来确定字段。
5.根据权利要求4所述的检测防护方法,其特征在于:无需解析的数据包特性从组成数据包的一个字节的数值和组成数据包的载荷字节长度中选择。
6.根据权利要求3所述的检测防护方法,其特征在于:从一个或多个数据包字段提取的一个或多个字段值中选择对应被检测到的控制行为。
7.根据权利要求1所述的检测防护方法,其特征在于:数据包防护操作的发起对应着具有一系数据包序列特征的一系列防护规则,并且对应数据包序列中至少一个数据包,至少检测到一个控制行为。
...
【专利技术属性】
技术研发人员:李冀,
申请(专利权)人:物耀安全科技杭州有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。