用于工业控制系统的智能计算机物理入侵检测与防御系统和方法

摘要

本文描述的实施例包括系统和方法。在一个实施例中，系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件，其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。

说明书

背景技术

本公开涉及通过监视控制系统的物理行为来检测控制系统中的安全漏洞的入侵防御系统（IPS）。

通常，IPS可以配置成通过监视控制系统中的网络通信来检测和/或预防进入控制系统（例如工业控制系统）的数字入侵。特别地，网络IPS可以基于网络参数寻找入侵和/或异常的指示。例如，网络IPS可以监视例如网络业务、文件系统访问/修改或者操作系统/库调用的参数。然后，被监视的参数可以与规则集进行比较以确定控制系统中是否出现了入侵和/或异常。

安全漏洞（被称为入侵）可以使得未授权方能够访问控制系统（例如工业控制系统）并且引起系统内意想不到的行为。例如，入侵可以引起系统执行未被请求的过程。因为工业控制系统可以包括例如涡轮机、发电机、压缩机或燃烧器的装置，所以在网络参数之外改进工业控制系统中的安全性将是有益的。

发明内容

下面概述了与原始要求保护的发明同等范围的某些实施例。这些实施例不是用来限制要求保护的发明的范围的，而是这些实施例仅仅是用来提供本发明的可能形式的简短概要的。实际上，本发明可以包括可以与下面阐述的实施例类似或不同的各种形式。

第一实施例提供了一种系统，所述系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件，其配置成对照第一规则集来分析由装置监视部件测量的控制系统行为以确定是否出现了异常、入侵或两者。

第二实施例提供了一种有形的、非暂时性的计算机可读介质，所述计算机可读介质存储通过电子装置的处理器可执行的多个指令。指令包括用于接收通信分组的指令、用于执行第一测试的指令（其中对照网络规则集来测试通信分组）、用于接收控制系统测量的指令（其中控制系统测量表示控制系统行为）、用于执行第二测试的指令（其中对照控制系统规则来测试控制系统测量）、用于使来自第一测试和第二测试的结果相关的指令以及用于基于相关结果来确定工业控制系统中是否出现了异常、入侵或两者的指令。

第三实施例提供了一种系统，所述系统包括以通信方式耦合至控制器和监视站的入侵防御系统。入侵防御系统配置成接收在监视站和控制器之间发送的网络通信，并且至少部分地基于控制器的状态、工业控制系统的状态、连接到控制器的装置或其任何组合来确定是否出现了异常、入侵或两者。

根据本发明的一个方面，提供了一种系统，所述系统包括：

　　装置监视部件，配置成测量控制系统行为；以及

　　入侵防御系统，以通信方式耦合至所述装置监视部件和通信网络，其中所述入侵防御系统包括：

　　控制系统分析部件，配置成对照第一规则集来分析由所述装置监视部件测量的所述控制系统行为以确定是否出现了异常、入侵或两者。

　　所述系统包括网络分析部件，所述网络分析部件配置成对照第二规则集来分析来自所述通信网络的网络数据以确定是否已经发生了异常。

　　其中所述控制系统行为包括当所述装置监视部件以通信方式耦合至控制器时所述控制器的行为。

　　其中控制器行为包括所述控制器中部件的功率使用、所述控制器中所述部件的温度、操作的定时、所述控制器的输入/输出、耦合至所述控制器的装置的遥测数据或其任何组合。

　　其中所述装置监视部件位于所述控制器中。

　　其中所述装置监视部件包括与所述控制器分离的装置。

　　其中所述入侵防御系统包括单独的装置。

　　其中所述系统是工业控制系统，所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。

　　根据本发明的另一方面，提供了一种有形的、非暂时性的计算机可读介质，所述计算机可读介质存储通过电子装置的处理器可执行的多个指令，所述指令包括：

　　用于接收通信分组的指令；

　　用于执行第一测试的指令，其中对照网络规则集来测试所述通信分组；

　　用于接收控制系统测量的指令，其中所述控制系统测量表示工业控制系统的控制系统行为；

　　用于执行第二测试的指令，其中对照控制系统规则来测试所述控制系统测量；

　　用于使来自所述第一测试和所述第二测试的结果相关的指令；以及

　　用于基于相关结果来确定所述工业控制系统中是否出现了异常、入侵或两者的指令。

　　其中用于执行第一测试的所述指令包括对照存储在连网分析部件中的所述网络规则集来测试所述通信分组，并且用于执行第二测试的所述指令包括对照存储在控制系统分析部件中的所述控制系统规则集来测试所述控制系统测量。

　　其中用于接收通信分组的所述指令包括接收在控制器和监视站之间发送的通信分组。

　　其中所述工业控制系统包括燃气涡轮机系统、气化系统、蒸汽涡轮机系统、风力涡轮机系统、水力涡轮机系统、发电系统、电力网自动化系统或其任何组合。

　　所述介质包括当处于配置模式中时用于执行以下操作的指令：

　　在工业控制系统上运行模型操作；

　　接收通信分组；

　　接收控制系统测量；以及

　　至少基于接收的通信分组和接收的控制系统测量来创建所述网络规则集和所述控制系统规则集。

　　所述介质包括当处于维护模式中时用于执行以下操作的指令：

　　运行工业控制系统；

　　接收通信分组；

　　接收控制系统测量；以及

　　至少基于接收的通信分组和接收的控制系统测量来修改所述网络规则集和所述控制系统规则集。

　　根据本发明的又一方面，提供了一种系统，所述系统包括：

　　入侵防御系统，以通信方式耦合至控制器和监视站；

　　其中所述入侵防御系统配置成接收在所述监视站和所述控制器之间发送的网络通信，并且至少部分地基于所述控制器的状态、所述工业控制系统的状态、连接到所述控制器的装置或其任何组合来确定是否出现了异常、入侵或两者。

附图说明

当参考附图（其中整个附图中相同字符表示相同部分）阅读下面的具体实施方式时，本发明的这些和其它特征、方面以及优势将变得更好理解，其中：

图1是工业控制系统内入侵防御系统（IPS）的框图；

图2是来自图1的入侵防御系统（IPS）的实施例的框图；

图3是适合确定工业控制系统内是否已经发生了异常的过程的实施例的流程图；以及

图4是适合创建和/或修改入侵防御系统（IPS）中的规则集的过程的实施例的流程图。

具体实施方式

下面将描述本发明的一个或多个特定实施例。在努力提供这些实施例的简明描述的过程中，说明书中可以不描述实际实现的所有特征。应该领会在任何这样的实际实现的开发中，如在任何工程或设计项目中那样，必须进行许多实现特定的决定以实现开发者的特定目标，例如顺从系统有关的和商业有关的约束，其可能从一个实现到另一个实现是不同的。此外，应当领会，对于具有本公开的益处的普通技术人员来说，这样的开发努力可能是复杂且耗时的，但是将仍然是设计、制作和制造的常规任务。

当介绍本发明的各种实施例的要素时，冠词是用来指存在有要素中的一个或多个。术语“包含”、“包括”和“具有”规定为是包括在内的并且指可以存在有除列示的要素之外的附加要素。

本公开通常旨在布置在控制系统（例如工业控制系统）中的入侵防御系统（IPS），其可以配置成减少进入工业控制系统的入侵的可能性。如本文使用的，入侵指可进入工业控制系统的数字安全漏洞。当入侵进入工业控制系统时，它们可以引起工业控制系统内的异常。换句话说，入侵可以引起工业控制系统内意想不到的行为。例如，入侵可以引起工业控制系统通过网络连接传输未被请求的数据。因此，设计成减少入侵的系统可以配置成监视工业控制系统中的网络连接，例如网络业务、文件系统访问/修改或者操作系统/库调用。然而，可以监视工业控制系统中的附加参数以便改进工业控制系统的安全性。

因此，本公开提供了一种系统，该系统包括配置成测量控制系统行为的装置监视部件以及以通信方式耦合至装置监视部件和通信网络的入侵防御系统。入侵防御系统包括控制系统分析部件，其配置成对照规则集来分析由装置监视部件测量的控制系统行为以确定是否已经发生了异常。换句话说，除了监视网络参数以外，公开的技术还监视物理参数以便更好地理解工业控制系统并且更好地确定工业控制系统中是否出现了异常和/或入侵。

通过介绍的方式，图1图示了工业控制系统12内的入侵防御系统（IPS）10的实施例。工业控制系统12，例如自动化发电系统（例如燃气、蒸汽、风力或水力涡轮机、热回收蒸汽发生器（HRSG）、气化系统、燃烧系统、发电机、电力网自动化系统或类似的自动化发电系统）或自动化制造系统（例如化工厂、炼油厂或类似的制造系统），可包括监视站14、计算机（cyber）安全监视/响应系统15、控制器16、装置和通信网络18。

监视站14和控制器16可配置成通过通信网络18发送通信分组。具体地，通信分组可包括控制命令和/或数据。通信网络18可以使用各种协议，例如Modbus远程终端单元（RTU）、Profibus、Conitel、国际电工技术委员会（IEC）60870-5-101、IEC 60870-5-104、IEC 61850、分布式网络协议（DNP）3等等。协议中的一些可包括传输控制协议和因特网协议（TCP/IP）扩展，其可以使得工业控制系统能够通过因特网是可访问的。因此，进入工业控制系统12的入侵的一个进入点可以是在通信网络18中。

另外，控制器16可以配置成控制各种装置，例如涡轮机20、传感器22、致动器24和泵26。此外，在变电站配置中，控制器16可以是智能电子装置，其配置成为电力设备（例如变压器、断路器、开关、电机或发电机）提供保护、控制和计量功能。因此，控制器16可包括处理单元28、存储器30、存储装置32和配置成与装置通信的通信设备34。因此，入侵的另一个进入点可以直接进入装置。入侵的其它进入点可以直接进入控制器16或监视站14。

描绘的工业控制系统12还包括IPS 10。IPS 10可以在计算装置（例如计算机、服务器、膝上型计算机、平板电脑、蜂窝电话、移动装置或类似的处理或计算装置）中或者在机器可读介质（例如控制器16的存储器30、监视站14、控制器16的存储装置32或其组合）中存储的可执行的非暂时性计算机指令或代码中实现。除了监视网络参数，IPS 10可配置成还监视控制系统（即物理的）参数以确定是否出现了异常和/或入侵。IPS 10可配置成监视控制系统参数，例如与装置的通信、生热或功率使用，因为它们可以是工业控制系统12内发生的过程的准确表示。换句话说，控制系统参数通常基于可能更难以回避的物理定律。例如，因为处理器的温度可能与处理器正在执行的过程有关，所以监视温度使得IPS 10能够知道处理器是否正在执行附加过程，例如由入侵引起的那些过程。因此，IPS包括网络分析部件36和控制系统分析部件38。

网络分析部件36可配置成分析通过通信网络30发送的通信分组的网络参数，例如网络业务、文件系统访问/修改或者操作系统/库调用，以确定是否出现了异常和/或入侵。因此，网络分析部件38可耦合至通信网络18并且配置成接收通过通信网络18发送的通信分组。

类似地，控制系统分析部件38可配置成分析控制系统参数，例如与装置的通信、生热或功率使用，以确定是否已经发生了异常和/或入侵。因此，IPS 10还可包括装置监视部件40，其配置成监视控制器16和由控制器16控制的装置（例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27）的测量控制系统（即物理的）参数。因此，装置监视部件40可以以通信方式耦合至控制器16。在描绘的实施例中，装置监视部件40位于控制器16内并且直接耦合至处理单元28、存储器30、存储装置32和通信设备34。备选地，装置监视部件40可以在单独的计算装置中或者在机器可读介质（例如控制器16的存储器30、监视站14、控制器16的存储装置32或其组合）中存储的可执行的非暂时性计算机指令中实现。

如上面描述的，装置监视部件40可配置成测量控制系统（即物理的）参数。测量的控制系统（即物理的）参数是工业控制系统10的操作的物理结果。因此，它们可以提供工业控制系统10中发生的过程的指示。例如，装置监视部件40可以测量处理单元28的功率使用或温度、监视通信设备34和装置（例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27）之间的通信活动或者测量由控制器16执行的过程的定时。然后，可将测量的控制系统参数传输给控制系统分析部件10并且对照控制系统规则集来分析测量的控制系统参数以确定是否出现了异常和/或入侵。

如上面描述的，进入工业控制系统12的入侵可引起工业控制系统12中意想不到的行为或异常。当检测到异常时，IPS 10可以通过警报将异常传递给监视站14和/或计算机安全监视/响应系统15。监视站14和计算机安全监视/响应系统15可配置成充当中央系统来使报告的异常相关。此外，两者可包括使得操作者能够进一步检查异常的人机界面（HMI）。例如，计算机安全监视/响应系统15上的操作者可以确定异常实际上是错误肯定并且相应地改变网络规则集。此外，操作者可以确定对检测到的异常的响应。换句话说，操作者可以能够命令工业控制系统12采取行动来改善异常。在一些实施例中，响应可以被自动确定并且传递给工业控制系统12。

图2图示了图1中示出的入侵防御系统（IPS）10的一个实施例。在描绘的实施例中，网络分析部件36包括网络监视部件42和网络规则集处理部件44（其包括网络规则集46）。类似地，控制系统分析部件38包括控制系统监视部件48和控制系统规则集处理部件50（其包括控制系统规则集52）。

如上面描述的，IPS 10配置成接收来自通信网络18的通信分组以及来自装置监视部件40的控制系统测量。通信分组可以首先通过网络监视部件42进入IPS 10。网络监视部件42可以配置成充当到IPS 10的网关。然后，通信分组被传递给网络规则集处理部件44。网络规则集处理部件44可配置成对照网络规则集46来分析通信分组以确定是否出现了网络异常和/或入侵。类似地，控制系统测量首先通过控制系统监视部件48进入IPS 10并且然后被传递给控制系统规则集处理部件50。控制系统规则集处理部件50可配置成对照控制系统规则集52来分析控制系统测量以确定是否存出现了控制系统异常和/或入侵。

图3图示了由IPS 10用来确定是否出现了异常和/或入侵的过程54的一个实施例。过程54可以以网络监视部件42接收来自通信网络18的通信分组开始（块56）。如上面描述的，通信分组可包括监视站14和控制器16之间的控制命令和/或数据。控制命令可包括文件系统访问/修改、应用/过程调用、操作系统调用、库调用或其任何组合。数据可包括由耦合至控制器16的装置（例如传感器22）采取的测量。

接下来，网络规则集处理部件44可以对照网络规则集46来测试接收的分组（块58）以确定网络规则集处理部件44是否认为出现了网络异常和/或入侵。网络规则集46可配置成包括白名单和黑名单。白名单可以是IPS 10认为与入侵无关的通信分组的列表并且黑名单可以是IPS 10认为与入侵有关的通信分组的列表。在通信分组未落在白名单或黑名单内的实例中，它可以被分类为网络异常，因为IPS 10可能不确定是否出现了入侵。

此外，为了更好地表征通信分组，网络规则集处理部件44可配置成按照上下文地查看网络通信。换句话说，网络规则集处理部件44可配置成至少部分地查看控制器的状态、工业控制系统的状态、连接到控制器的装置或其任何组合。例如，当装置（例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27）处在受托状态中时，装置是操作的并且几乎不应当对配置进行改变。因此，当网络规则集处理部件44确定通信分组正试图改变配置（例如电气保护设置）时，通信分组可以被识别为网络异常。相当地，当装置处在配置状态中时，应当允许对配置进行更多改变以使得能够对装置进行配置。其它状态可包括维护状态、紧急状态或安全响应状态。类似地，如果通信分组打算供装置用，例如涡轮机20，但是涡轮机20不在工业控制系统12中，则网络规则集处理部件44可将通信分组识别为网络异常。

过程54可以继续控制系统监视部件48接收来自装置监视部件40的控制系统测量（块60）。如上面描述的，装置监视部件40可配置成在工业控制系统12上进行控制系统（即物理的）测量，例如控制器中部件的功率使用、控制器中部件的温度、操作的定时、控制器的输入/输出、耦合至控制器的装置的遥测数据或其任何组合。例如，装置监视部件40可以测量处理单元28的温度或功率使用、监视通信设备34和装置（例如涡轮机20、传感器22、致动器24、泵26或电气辅助装置27）之间的通信活动或测量由控制器16执行的过程的定时。此外，装置监视部件40可以测量装置的遥测数据，例如涡轮机20正在旋转的速度。应该领会测量的参数表示工业控制系统12内发生的过程。

接下来，控制系统规则集处理部件50可以对照控制系统规则集52来测试接收的测量（块62）以确定控制系统规则集处理部件50是否认为出现了控制系统异常和/或入侵。再一次，控制系统规则集52可配置成包括白名单和黑名单。白名单可包括当控制系统异常未出现时测量的参数的适当测量范围。黑名单可包括一旦满足就可以表示入侵的阈值。应该领会当测量值未落在白名单范围内或超过黑名单阈值时，它可以被分类为控制系统异常。

然后可以在IPS 10中的机器学习和相关分析部件68中使来自块58和块62的结果相关（块64）以确定是否出现了入侵和/或异常（块66）。如应该领会的，规则集（例如46和52）是不完善的并且可以返回错误肯定或完全漏掉异常（即错误否定）。因此，为了取得工业控制系统12的更准确的表示，机器学习和相关分析部件68可以使网络异常、控制系统异常和入侵相关以确定它是否认为出现了异常或入侵。因为使用两种规则集（例如46和52）可以降低错误肯定和漏掉的异常和/或入侵的可能性，所以取得了工业控制系统12的入侵和/或异常的更准确检测。因此，当检测到异常和/或入侵时，可以得到更多的余地，而不是严格遵循规则集（例如46和52）。

回到图2，当检测到异常时，除了由监视站14和/或计算机安全监视/响应系统15的响应之外，IPS 10本身还可以采取进一步行动。由网络规则集处理部件44和控制系统规则集处理部件50采取的下一个行动可取决于IPS 10处于什么模式。具体地，当IPS 10处于被动模式时，IPS 10配置成尽可能最小地干涉工业控制系统12的操作。因此，网络规则集处理部件44可配置成通过网络监视部件42发送警报给计算机安全监视/响应系统15。类似地，控制系统规则集处理部件50可配置成通过控制系统监视部件48发送警报给监视系统14。当IPS 10处于主动模式时，IPS 10配置成主动保护工业控制系统12。因此，网络规则集处理部件44可以配置成过滤是异常的通信分组并且控制系统规则集处理部件50可配置成发送控制系统。例如，如果控制系统规则集处理部件50确定检测到的异常将引起装置意想不到地行动，则控制系统规则集处理部件50可以发送控制信号来停止装置的操作。

如上面描述的，IPS 10还可包括机器学习和相关分析部件68。机器学习和相关分析部件54可配置成便于创建和修改规则集（例如46和52）。在描绘的实施例中，计算机安全监视/响应系统15和监视站14可配置成将错误肯定和错误否定传递给IPS 10。因此，机器学习和相关分析部件68可配置成修改规则集（例如46和52）。具体地，在描绘的实施例中，计算机安全监视/响应系统15将网络错误肯定和错误否定传递给网络规则集处理部件44，并且监视站14将控制系统错误肯定和错误否定传递给控制系统规则集处理部件50。然后，错误否定和错误肯定被传递给机器学习和相关分析部件68。

图4图示了配置成创建和/或维护规则集（例如46和52）的过程70的一个实施例。当IPS 10处于配置/训练模式时，可以基于模型来创建规则集（例如46和52）。因此，当IPS 10处于配置/训练模式时，可以通过运行模型（块72）来开始过程70。模型可以是其中未出现入侵的操作的已知集合。接下来，IPS 10读取网络参数（块74）。如上面描述的，网络参数可以包括在控制器16和监视站14之间传递的通信分组。类似地，IPS 10读取控制系统参数（块76）。如上面描述的，控制系统参数可包括来自装置监视部件40的测量，例如功率使用、温度、定时或装置（例如20、22、24、26或27）遥测。然后，读取的网络参数和控制系统参数可以用来创建规则集（例如46和52）（块78），因为它们表示其中未出现入侵和/或异常的预期参数。一旦创建了规则集（例如46和52），IPS 10可以监视工业控制系统12的操作并且基于规则集（例如46和52）来确定是否出现了异常和/或入侵。

如上面描述的，规则集（例如46和52）可能是不完善的。因此，然后，可以维护/修改规则集（例如46和52）以更好地检测异常和/或入侵。当IPS 10处于维护模式时（决定块82），可以修改规则集（例如46和52）。当IPS 10处于维护模式时，过程70可以检查来自计算机安全监视响应系统15和监视站14的错误肯定和/或错误否定。然后，IPS再次读取网络参数（块74）和控制系统参数（块76）。因此，可以基于错误肯定、错误否定、读取的网络参数和控制系统参数来修改规则集（例如46和52）。因为工业控制系统12可包含一些入侵和/或异常，所以IPS 10可以使用算法，例如贝叶斯（Bayesian）分类器、支持向量机、人工神经网络或进化/遗传算法。

公开的实施例的技术效果包括改进工业控制系统12中的安全性。具体地，公开的技术描述了配置成更好地理解工业控制系统12中发生的过程的入侵防御系统（IPS）10。例如，IPS 10配置成监视网络参数和控制系统参数两者，例如功率使用、温度、定时或遥测数据。此外，IPS 10可配置成监视工业控制系统12的更大的上下文中的网络参数。最后，IPS 10可配置成基于网络参数和控制系统参数两者来创建/修改规则集（例如46和52）。

本书面描述使用示例来公开本发明（包括最佳实施方式）并且还使得任何本领域技术人员能够实施本发明，包括制作和使用任何装置或系统以及执行任何合并的方法。本发明的可取得专利权的范围由权利要求来限定，并且可包括本领域技术人员想到的其它示例。这样的其它示例规定为在权利要求的范围内，如果它们具有与权利要求的字面语言并无不同的结构要素的话，或者如果它们包括与权利要求的字面语言并无实质差别的等同的结构要素的话。