[发明专利]用于工业控制系统的智能计算机物理入侵检测与防御系统和方法

权利要求书

1.一种工业控制系统的监控系统，包括：

装置监视部件，配置成测量控制系统行为；以及

入侵防御系统，以通信方式耦合至所述装置监视部件和通信网络，其中所述入侵防御系统包括：

控制系统分析部件，配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为；

网络分析部件，配置成对照第二规则集来分析由所述通信网络传输的通信分组的网络参数，通过比较包含在白名单和黑名单中的网络参数和数据以并且基于比较结果将所述通信划分为异常和入侵中的至少一个；

机器学习和相关分析部件，配置成：

使来自所述控制系统分析部件和网络分析部件的结果相关联；

确定出何时相关联的结果出现错误肯定或错误否定；以及，

当检测出错误肯定或错误否定时修改所述第一规则集和所述第二规则集。

2.如权利要求1所述的系统，包括网络分析部件，其配置成对照第二规则集来分析来自所述通信网络的网络数据以确定是否已经发生了异常。

3.如权利要求1所述的系统，其中所述控制系统行为包括当所述装置监视部件以通信方式耦合至控制器时所述控制器的行为。

4.如权利要求3所述的系统，其中控制器行为包括所述控制器中部件的功率使用、所述控制器中所述部件的温度、操作的定时、所述控制器的输入/输出、耦合至所述控制器的装置的遥测数据或其任何组合。

5.如权利要求3所述的系统，其中所述装置监视部件位于所述控制器中。

6.如权利要求3所述的系统，其中所述装置监视部件包括与所述控制器分离的装置。

7.如权利要求1所述的系统，其中所述入侵防御系统包括单独的装置。

8.如权利要求1所述的系统，其中所述系统是工业控制系统，所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。

9.一种有形的、非暂时性的计算机可读介质，其存储通过电子装置的处理器可执行的多个指令，所述指令包括：

运行模拟工业控制系统行为的模型，所述模型不包含指令；

确定运行所述模型时传输的通信分组的网络参数；

至少部分基于所述网络参数确定网络规则集；

确定运行所述模型时测量的控制系统参数；

至少部分基于所述控制系统参数生成控制系统规则集，其中所述控制系统规则集和所述网络规则集配置成用于检测在所述工业控制系统运行中是否出现入侵；

比较包含在白名单和黑名单中的网络参数和数据；

基于比较结果将所述通信分组归为入侵。

10.如权利要求9所述的介质，其中用于执行第一测试的所述指令包括对照存储在连网分析部件中的所述网络规则集来测试所述通信分组，并且用于执行第二测试的所述指令包括对照存储在控制系统分析部件中的所述控制系统规则集来测试所述控制系统测量。

11.如权利要求9所述的介质，其中用于接收通信分组的所述指令包括接收在控制器和监视站之间发送的通信分组。

12.如权利要求9所述的介质，其中所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。

13.如权利要求9所述的介质，所述介质包括当处于配置模式中时用于执行以下操作的指令：

在工业控制系统上运行模型操作；

接收通信分组；

接收控制系统测量；以及

至少基于接收的通信分组和接收的控制系统测量来创建所述网络规则集和所述控制系统规则集。