本发明专利技术公开了一种工业控制设备的内生安全防护方法及系统,包括:获取正常状态下工业控制设备控制器的内存信息,构建正常运行基线;基于控制器的驱动程序和协议规范,对控制器进行周期性问询,获取第一信息;其中,第一信息包括内存信息和日志信息;将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁。本发明专利技术构建工业控制设备本身正常运行的基线,实现设备运行异常的自动发现,能够及时发现安全风险、进行应急处置回溯分析,并有效防止攻击范围及危害的进一步扩大,实现安全威胁情报汇聚共享利用,对于工业控制系统的安全具有重大价值和意义。有重大价值和意义。有重大价值和意义。
【技术实现步骤摘要】
一种工业控制设备的内生安全防护方法及系统
[0001]本专利技术涉及工控安全
,具体涉及一种工业控制设备的内生安全防护方法及系统。
技术介绍
[0002]随着目前工控安全事件的高发,尤其是针对工业控制设备的攻击,攻击威胁呈现出定向性、精准性,技术手段复杂化、专业化,攻击行为组织化、周期长的显著特征。然而,由于工业控制设备大多来自国外、涉及应用领域和设备品类众多、且工业控制协议大多私有等特点,对于工业控制设备的安全威胁发现和防护更加困难。为应对国家级的多步骤、多层次的攻击和复杂多变的安全挑战,如何实现工业控制设备内生安全成为研究的重点。
[0003]通过对国内外论文、学术会议、科技文献、专利等数据库的检索发现,现阶段工控环境中控制设备的内生安全防护还处于探索阶段:
[0004]一是对于工业控制设备正常运行的基线缺少描述和建模;
[0005]二是缺乏对工业控制设备的运行状态进行监控比对,无法及时发现安全威胁并研判风险;
[0006]三是对于工业控制设备的安全如何防护,还处于探索阶段。
技术实现思路
[0007]针对现有技术中存在的上述问题,本专利技术提供一种工业控制设备的内生安全防护方法及系统。
[0008]本专利技术公开了一种工业控制设备的内生安全防护方法,包括:
[0009]获取正常状态下工业控制设备控制器的内存信息,构建正常运行基线;
[0010]基于控制器的驱动程序和协议规范,对控制器进行周期性问询,获取第一信息;其中,所述第一信息包括内存信息和日志信息;
[0011]将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁。
[0012]作为本专利技术的进一步改进,所述内存信息包括:控制器运行状态信息、内存功能块信息和内存程序块信息中的一种或多种。
[0013]作为本专利技术的进一步改进,所述将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁;具体包括:
[0014]当第一信息中的程序块相比于正常运行基线有增加,则识别控制器感染蠕虫病毒。
[0015]作为本专利技术的进一步改进,所述将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁;具体包括:
[0016]当第一信息中的日志信息中记录有非正常时间的重启,则识别控制器为异常,所述异常包括存在网络攻击或蠕虫感染。
[0017]作为本专利技术的进一步改进,还包括:
[0018]保存周期性问询获取的第一信息,以对控制器日志进行长期分析追溯,实现工业控制设备内生安全防护。
[0019]本专利技术还公开了一种工业控制设备的内生安全防护系统,包括:
[0020]采集模块,用于获取正常状态下工业控制设备控制器的内存信息,构建正常运行基线;
[0021]访问模块,用于基于控制器的驱动程序和协议规范,对控制器进行周期性问询,获取第一信息;其中,所述第一信息包括内存信息和日志信息;
[0022]比对模块,用于将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁。
[0023]作为本专利技术的进一步改进,所述内存信息包括:控制器运行状态信息、内存功能块信息和内存程序块信息中的一种或多种。
[0024]作为本专利技术的进一步改进,所述比对模块,具体用于:
[0025]当第一信息中的程序块相比于正常运行基线有增加,则识别控制器感染蠕虫病毒。
[0026]作为本专利技术的进一步改进,所述比对模块,具体用于:
[0027]当第一信息中的日志信息中记录有非正常时间的重启,则识别控制器为异常,所述异常包括存在网络攻击或蠕虫感染。
[0028]作为本专利技术的进一步改进,还包括:
[0029]存储模块,用于保存周期性问询获取的第一信息,以对控制器日志进行长期分析追溯,实现工业控制设备内生安全防护。
[0030]与现有技术相比,本专利技术的有益效果为:
[0031]本专利技术构建工业控制设备本身正常运行的基线,实现设备运行异常的自动发现,能够及时发现安全风险、进行应急处置回溯分析,并有效防止攻击范围及危害的进一步扩大,实现安全威胁情报汇聚共享利用,对于工业控制系统的安全具有重大价值和意义。
附图说明
[0032]图1为本专利技术一种实施例公开的工业控制设备的内生安全防护方法的流程图;
[0033]图2为本专利技术一种实施例公开的工业控制设备的内生安全防护系统的框架图;
[0034]图3为实际环境中通过问询获取的西门子PLC的内存信息。
具体实施方式
[0035]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0036]下面结合附图对本专利技术做进一步的详细描述:
[0037]如图1所示,本专利技术提供一种工业控制设备的内生安全防护方法,包括:
[0038]步骤1、获取正常状态下工业控制设备控制器的内存信息,构建正常运行基线;其中,
[0039]内存信息包括:控制器运行状态信息、内存功能块信息和内存程序块信息中的一种或多种。
[0040]步骤2、理解工业控制设备的驱动程序和协议规范,基于控制器的驱动程序和协议规范对控制器进行周期性问询,获取第一信息;其中,
[0041]问询的时间间隔可根据实际需求进行设计;
[0042]获取的第一信息包括内存信息和日志信息。
[0043]步骤3、将获取的第一信息与构建的正常运行基线进行比对,识别蠕虫病毒等安全威胁;例如:
[0044]当第一信息中的程序块相比于正常运行基线有增加,则识别控制器感染蠕虫病毒;
[0045]当第一信息中的日志信息中记录有非正常时间的重启,则识别控制器为异常,异常包括存在网络攻击或蠕虫感染。
[0046]步骤4、保存周期性问询获取的第一信息,以对控制器日志进行长期分析追溯,实现工业控制设备内生安全防护。
[0047]如图2所示,本专利技术提供一种工业控制设备的内生安全防护系统,包括:
[0048]采集模块,用于实现上述步骤1;
[0049]访问模块,用于实现上述步骤2;
[0050]比对模块,用于实现上述步骤3;
[0051]存储模块,用于实现上述步骤4。
[0052]实施例:
[0053]本专利技术提供一种工业控制设备的内生安全防护方法及系统,包括:
[0054]步骤1、通过相关程序或设备提前下载正常状态下工业控制设备PLC的内存信息,进行保存,并基于此内存信息构建正常运行基线;其中,
[0055]步骤2、利用PLC驱动和协议规范与PLC进行周期性通信问询,获取如下信息:PLC的运行状态信息、内存功能块信息、内存程序块信息本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业控制设备的内生安全防护方法,其特征在于,包括:获取正常状态下工业控制设备控制器的内存信息,构建正常运行基线;基于控制器的驱动程序和协议规范,对控制器进行周期性问询,获取第一信息;其中,所述第一信息包括内存信息和日志信息;将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁。2.如权利要求1所述的内生安全防护方法,其特征在于,所述内存信息包括:控制器运行状态信息、内存功能块信息和内存程序块信息中的一种或多种。3.如权利要求2所述的内生安全防护方法,其特征在于,所述将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁;具体包括:当第一信息中的程序块相比于正常运行基线有增加,则识别控制器感染蠕虫病毒。4.如权利要求2所述的内生安全防护方法,其特征在于,所述将获取的第一信息与构建的正常运行基线进行比对,识别安全威胁;具体包括:当第一信息中的日志信息中记录有非正常时间的重启,则识别控制器为异常,所述异常包括存在网络攻击或蠕虫感染。5.如权利要求1~4中任一项所述的内生安全防护方法,其特征在于,还包括:保存周期性问询获取的第一信息,以对控制器日志进行长期分析追溯,实现工业控制设备...
【专利技术属性】
技术研发人员:姜双林,周磊,饶志波,
申请(专利权)人:北京安帝科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。