[发明专利]用于工业控制系统的智能计算机物理入侵检测与防御系统和方法

说明书

本文描述的实施例包括系统和方法。在一个实施例中，系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件，其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。

背景技术

本公开涉及通过监视控制系统的物理行为来检测控制系统中的安全漏洞的入侵防御系统（IPS）。

通常，IPS可以配置成通过监视控制系统中的网络通信来检测和/或预防进入控制系统（例如工业控制系统）的数字入侵。特别地，网络IPS可以基于网络参数寻找入侵和/或异常的指示。例如，网络IPS可以监视例如网络业务、文件系统访问/修改或者操作系统/库调用的参数。然后，被监视的参数可以与规则集进行比较以确定控制系统中是否出现了入侵和/或异常。

安全漏洞（被称为入侵）可以使得未授权方能够访问控制系统（例如工业控制系统）并且引起系统内意想不到的行为。例如，入侵可以引起系统执行未被请求的过程。因为工业控制系统可以包括例如涡轮机、发电机、压缩机或燃烧器的装置，所以在网络参数之外改进工业控制系统中的安全性将是有益的。

发明内容

下面概述了与原始要求保护的发明同等范围的某些实施例。这些实施例不是用来限制要求保护的发明的范围的，而是这些实施例仅仅是用来提供本发明的可能形式的简短概要的。实际上，本发明可以包括可以与下面阐述的实施例类似或不同的各种形式。

第一实施例提供了一种系统，所述系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件，其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。

第二实施例提供了一种有形的、非暂时性的计算机可读介质，所述计算机可读介质存储通过电子装置的处理器可执行的多个指令。指令包括用于接收通信分组的指令、用于执行第一测试的指令（其中对照网络规则集来测试通信分组）、用于接收控制系统测量的指令（其中控制系统测量表示控制系统行为）、用于执行第二测试的指令（其中对照控制系统规则来测试控制系统测量）、用于使来自第一测试和第二测试的结果相关的指令以及用于基于相关结果来确定工业控制系统中是否出现了异常、入侵或两者的指令。

第三实施例提供了一种系统，所述系统包括以通信方式耦合至控制器和监视站的入侵防御系统。入侵防御系统配置成接收在监视站和控制器之间发送的网络通信，并且至少部分地基于控制器的状态、工业控制系统的状态、连接到控制器的装置或其任何组合来确定是否出现了异常、入侵或两者。

根据本发明的一个方面，提供了一种系统，所述系统包括：

装置监视部件，配置成测量控制系统行为；以及

入侵防御系统，以通信方式耦合至所述装置监视部件和通信网络，其中所述入侵防御系统包括：

控制系统分析部件，配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为以确定是否出现了异常、入侵或两者。

所述系统包括网络分析部件，所述网络分析部件配置成对照第二规则集来分析来自所述通信网络的网络数据以确定是否已经发生了异常。

其中所述控制系统行为包括当所述装置监视部件以通信方式耦合至控制器时所述控制器的行为。

其中控制器行为包括所述控制器中部件的功率使用、所述控制器中所述部件的温度、操作的定时、所述控制器的输入/输出、耦合至所述控制器的装置的遥测数据或其任何组合。

其中所述装置监视部件位于所述控制器中。

其中所述装置监视部件包括与所述控制器分离的装置。

其中所述入侵防御系统包括单独的装置。