[发明专利]对可编程逻辑控制器的偏差工程修改的识别

说明书

实施例包括用于识别对可编程逻辑控制器的偏差工程修改的方法、网络安全计算机系统和计算机程序产品。各方面包括：由网络安全计算机的网络流量收集装置收集来自一个或多个工程站的网络流量数据，以及由网络流量数据存储装置存储收集的网络流量数据。每个工程站可包括一个或多个可编程逻辑控制器。该方法还可包括：由网络流量比较模块比较收集的网络流量数据，由异常检测模块检测对工程站中的可编程逻辑控制器的任何偏差工程修改；并且，由告警和校正模块生成针对对可编程逻辑控制器的偏差工程修改的一个或多个报告。告警和校正模块可生成一个或多个告警并阻止与偏差工程修改相关联的任何网络流量。

技术领域

本发明主要涉及网络安全，并且更具体地，涉及通过分析网络流量内容和定时模式来识别对可编程逻辑控制器的偏差工程修改的方法、系统和计算机程序产品。

背景技术

工业自动化控制网络是用于监测和控制工业环境中的物理设备的互连设备的系统。由于其操作的特定要求，这些网络与传统企业网络的差别很大。例如，具有可编程逻辑控制器的工程站之间的网络流量具有独特的格式、不同的特征和可识别的定时模式。尽管工业和企业网络之间存在功能差异，但两者之间的整合程度也在不断提高。

工业自动化控制网络日益互联，它们成为恶意软件和其他威胁的目标。可通过网络互连或通过用于封闭网络的USB闪存驱动器将恶意软件和其他威胁引入任何工业自动化控制网络。“Stuxnet”为通过USB闪存驱动器引入的恶意计算机恶意软件的典型示例。恶意计算机恶意软件可以破坏计算机操作、收集敏感信息、访问工业自动化控制网络、修改可编程逻辑控制器的计算机可执行指令、显示不需要的广告，有时还需要赎金。恶意威胁可能会产生一系列后果，从轻微的不便，到装置和工厂的损坏，到人身伤害甚至生命损失，到超出工业自动化网络本身范围的巨大破坏。因此，有必要开发检测可能对这种系统的完整性产生影响的行为的装置和方法。

因此，本领域仍然存在迄今未解决的、以解决上述缺陷和不足的需求。

发明内容

在一个方面，本发明涉及一种用于识别对可编程逻辑控制器的偏差工程修改的方法。在某些实施例中，该方法包括：由网络安全计算机的网络流量收集装置收集来自一个或多个工程站的网络流量数据，以及由网络安全计算机的网络流量数据存储装置存储收集的网络流量数据。每个工程站可以包括一个或多个可编程逻辑控制器。该方法还可以包括：由网络安全计算机的网络流量比较模块比较收集的网络流量数据，由网络安全计算机的异常检测模块检测对工程站中的可编程逻辑控制器的任何偏差工程修改；并且，由网络安全计算机的告警和校正模块生成针对对可编程逻辑控制器的偏差工程修改的一个或多个报告。

在另一方面，本发明涉及一种用于识别对可编程逻辑控制器的偏差工程修改的网络安全计算机。网络安全计算机包括：至少一个处理器，以及存储操作系统、网络安全程序和计算机可执行指令的非暂时性存储介质。当由至少一个处理器执行时，网络安全程序使处理器识别对可编程逻辑控制器的偏差工程修改。网络安全程序可以包括：网络流量收集装置、网络流量比较模块、网络流量数据存储装置、异常检测模块以及告警和校正模块。网络流量收集装置从一个或多个工程站收集网络流量数据。网络流量数据存储装置存储收集的网络流量数据和在工程时间期间收集的网络流量数据模板(基准数据)。网络流量比较模块比较收集的网络流量数据与工程时间期间收集的网络流量数据模板。异常检测模块检测对工程站中的可编程逻辑控制器的任何偏差工程修改。告警和校正模块生成对可编程逻辑控制器的偏差工程修改的一个或多个报告。