[发明专利]用于检测对机器控制器的网络攻击的方法和系统

说明书

为了检测对机器控制器(CTL)的网络攻击，在安全访问域(SAD)中运行机器(M)的并发仿真(DT)。实际控制数据(CD)从机器控制器(CTL)被传输到机器(M)，并且所得到的监测数据(MD)被传输到监测设备(IOU)。此外，机器(M)的传感器数据(SM1、SM2)在第一安全传输路径(SP1)上被传输到并发仿真(DT)。基于传感器数据(SM1、SM2)，并发仿真(DT)对机器(M)的操作行为进行仿真，从而推断仿真监测数据(SMD)。然后，将仿真监测数据(SMD)与所得到的监测数据(MD)进行比较，并且取决于所述比较来触发警报信号。

如马达、动力装置(power plant)、生产装置(production plant)、涡轮机、内燃机引擎、电网(power grid)、加工工具或载具(vehicle)这小的复杂机器常常需要复杂的机器控制器，从而在有生产力的、稳定且安全的操作范围内操作该机器。如今，这种机器控制器通常由复杂的软件系统来驱动，该软件系统常常耦合到互联网或允许一些其他外部访问。然而，这种外部访问可能会带来(entail)机器控制器可能被恶意软件感染的风险，并且因此导致故障、机器损坏、或人身伤害。这种网络攻击可以修改控制数据来控制该机器，并且同时修改来自该机器的反馈数据，从而使该修改模糊。

为了应对对机器控制器的网络攻击的威胁，到目前为止采取了若干种措施。这些措施包括：将机器控制器与互联网或公司网络分离、监测网络活动、保护机器控制器免于外部访问、并入冗余的传感器测量、应用入侵检测系统、或者通过合理性(plausibility)分析来验证监测数据。

本发明的目的是提供一种用于检测对机器控制器的网络攻击的方法和系统，该方法和系统允许对网络攻击的更高效检测和/或允许对特定机器的更好适配。

该目的通过根据专利权利要求1的方法、根据专利权利要求10的系统、根据专利权利要求11的计算机程序产品、以及根据专利权利要求12的计算机可读存储介质来实现。

为了检测对控制机器的机器控制器的网络攻击，在安全访问域(secured accessdomain)中的计算机上运行机器的并发仿真(concurrent simulation)。特别地，机器可以是马达、动力装置、生产装置、涡轮机、内燃机引擎、电网、加工工具、载具或另一种技术系统。实际控制数据从机器控制器被传输到机器，并且所得到的监测数据被传输到监测设备。此外，机器的传感器数据在第一安全传输路径上被传输到并发仿真。基于传感器数据，并发仿真对机器的操作行为进行仿真，从而推断仿真监测数据。然后，将仿真监测数据与所得到的监测数据进行比较，并且取决于该比较来触发警报信号。

为了执行本发明的方法，提供了一种系统、计算机程序产品、以及非暂时性计算机可读存储介质。

本发明的方法和/或本发明的系统可以借助于一个或多个处理器、计算机、专用集成电路(ASIC)、数字信号处理器(DSP)、可编程逻辑控制器(PLC)和/或现场可编程门阵列(FPGA)来实现。

本发明允许对网络攻击的高效且可靠的检测，特别是如果实际机器控制和/或监测与期望操作不相符的话。此外，即使机器控制器受到网络攻击影响，也可以以特定于机器的方式来防止机器被损坏。

本发明的特定实施例由从属权利要求来指定。

根据本发明的有利实施例，并发仿真可以被实现为数字孪生体，该数字孪生体被连续地供应有正在运行的机器的传感器数据并且连续地仿真其操作行为。特别地，数字孪生体可以与正在运行的机器并行地运行机器的连续更新的仿真，从而优选地实时地或者甚至以预测性的方式表示它们的状态。此外，这种数字孪生体常常允许确定机器的实际物理参数，这些实际物理参数难以由传感器来测量或者不可能由传感器来测量。

根据本发明的进一步的有利实施例，所得到的监测数据可以包括正在运行的机器的传感器数据、实际控制数据和/或操作数据，优选地是如在机器控制器中存在或可用的数据。所得到的监测数据可以特别地包括易于被网络攻击损害的数据。这种损害然后可以通过与仿真监测数据的比较来检测。