[发明专利]PLC虚拟补丁和安全上下文的自动分发

权利要求书

1.一种用于工业生产环境中的安全漏洞的虚拟补丁的系统，所述系统包括：

执行一个或更多个控制程序的第一虚拟机；

执行虚拟补丁引擎安全应用的第二虚拟机，所述虚拟补丁引擎安全应用被配置成收集与所述一个或更多个控制程序有关的系统信息，并且将一个或更多个虚拟补丁应用于所述系统信息以识别一个或更多个安全攻击；

内部通信信道，被配置成利于在所述第一虚拟机与所述第二虚拟机之间传输所述系统信息；以及

执行所述第一虚拟机和所述第二虚拟机的管理程序，

其中，所述虚拟补丁引擎安全应用执行由工业自动化设备执行的控制代码的符号执行，以确定结合一个或更多个控制命令运行所述工业自动化设备的一个或更多个配置的未来后果的指示。

2.根据权利要求1所述的系统，其中，所述第二虚拟机还包括：

跨多个工业控制器并且存储所述一个或更多个虚拟补丁的分布式数据库的实例。

3.根据权利要求1所述的系统，其中，由所述虚拟补丁引擎安全应用从所述第一虚拟机中的嵌入式历史记录器中检索由所述一个或更多个控制程序在操作期间生成的所述系统信息。

4.根据权利要求3所述的系统，其中，所述第二虚拟机包括应用容器，所述应用容器被配置成执行多个应用并且在所述应用容器中执行所述虚拟补丁引擎安全应用。

5.根据权利要求1所述的系统，其中，所述系统信息包括以下中的一个或更多个：执行读操作或写操作中的至少一个的存储器块；系统配置变化；警报状态变化；在所述第一虚拟机上执行的进程；在所述第一虚拟机上执行的线程；由所述第一虚拟机使用的网络连接；文件创建信息；以及文件修改信息。

6.根据权利要求1所述的系统，其中，如果所述未来后果的指示与(i)不安全的系统状态或(ii)违反与所述工业生产环境相关联的一个或更多个预定安全约束对应，则所述虚拟补丁引擎安全应用阻止所述一个或更多个控制命令的未来执行。

7.根据权利要求1所述的系统，其中，所述第二虚拟机执行：

利用与一个或更多个现场设备关联的自动化系统生产数据根据扫描周期更新的过程映像；

网络组件，所述网络组件被配置成发送和接收与工厂地面网络有关的自动化系统网络数据。

8.根据权利要求7所述的系统，其中，所述第二虚拟机附加地执行包括嵌入式历史记录器的实时数据库，所述嵌入式历史记录器被配置成存储经由所述过程映像收集的所述自动化系统生产数据和经由所述网络组件收集的所述自动化系统网络数据。

9.根据权利要求8所述的系统，其中，由所述虚拟补丁引擎安全应用从所述嵌入式历史记录器中检索由所述工业自动化设备在操作期间生成的所述系统信息。

10.根据权利要求2所述的系统，其中，所述虚拟补丁引擎安全应用还被配置成(i)接收由安全操作中心生成的一个或更多个新的虚拟补丁，以及(ii)将所述一个或更多个新的虚拟补丁存储在所述分布式数据库中。

11.根据权利要求10所述的系统，其中，所述虚拟补丁引擎安全应用还被配置成向所述安全操作中心发送所述一个或更多个安全攻击的指示。

12.根据权利要求1所述的系统，其中，所述虚拟补丁引擎安全应用还被配置成：

识别与所述一个或更多个安全攻击关联的一个或更多个控制命令；

响应于识别出所述一个或更多个安全攻击，确定是否启用主动响应设置；

如果未启用所述主动响应设置，则执行所述一个或更多个控制命令并且向与所述工业自动化设备关联的操作者报告异常；以及

如果启用所述主动响应设置，则阻止所述一个或更多个控制命令的执行。