相关申请的交叉引用
本申请是于2019年10月2日提交的标题为“METHODS AND APPARATUSES FORVULNERABILITY DETECTION AND MAINTENANCE PREDICTION IN INDUSTRIAL CONTROLSYSTEMS USING HASH DATA ANALYTICS”的美国专利申请16/590,793的部分继续申请并要求该美国专利申请的优先权,该美国专利申请的内容据此全文以引用方式并入本文。
技术领域
本发明的实施方案整体涉及以编程方式定义针对工业控制系统中外围设备的授权规则。
背景技术
在工业控制系统(ICS)和工业物联网(IIoT)环境中,识别运行在计算环境中的存在漏洞的工业计算产品历来是一个难题。在ICS中,用于漏洞分析的资源通常是有限的,例如,由于诸如缺乏互联网活动、互操作性问题、对计算资源(诸如中央处理单元(CPU)、存储器)的限制、输入/输出(I/O)约束等问题。此外,一般很少进行可能解决ICS中的潜在漏洞的定期维护检查,至少部分地因为这些维护检查通常涉及可能导致与ICS相关联的工业生产站点中的生产力损失的停机时间。
附图说明
因此,已经概括地描述了本公开,现在将参考附图,这些附图未必按比例绘制,并且其中:
图1是本公开的实施方案的系统架构图;
图2是根据本公开的一个实施方案的示例性计算实体的示意图;
图3是示出根据本公开的实施方案的用于检测漏洞并使用散列分析预测工业控制系统中的维护的操作的流程图;
图4A和图4B是示出根据本公开的实施方案的用于检测漏洞并使用散列分析来预测工业控制系统中的维护的操作的其他流程图;
图5是示出根据本公开的实施方案的用于基于所接收的一个或多个工业文件以编程方式构建ICS计算部件模型的操作的另一流程图;
图6是示出根据本公开的实施方案的用于以编程方式定义针对工业控制系统中外围设备的授权规则的操作的流程图;
图7示出了根据本公开的实施方案的示例性设备级数据;
图8示出了根据本公开的实施方案的示例性设备分类数据;并且
图9示出了根据本公开的实施方案的示例性通知。
具体实施方式
现在将具体地参考实施方案,这些实施方案的示例示于附图中。在以下具体实施方式中,阐述了很多具体细节,以便提供对各种所述实施方案的透彻理解。然而,本领域的普通技术人员应当理解,可以在没有这些具体细节的情况下实践各种所述的实施方案。在其他情况下,没有详细描述熟知的方法、程序、部件、电路和网络,以免使实施方案的各方面模糊不清。除非另外指明,否则术语“或”在另选和结合意义上均用于本文。术语“例示性”、“示例”和“示例性”是用于没有质量水平指示的示例。在全篇内容中,类似的标号指代类似的元件。
短语“在一个实施方案中”、“根据一个实施方案”等一般意指跟在该短语后的特定特征、结构或特性可以被包括在本公开的至少一个实施方案中,并且可以被包括在本公开的多于一个实施方案中(重要的是,此类短语不一定是指相同的实施方案)。
词语“示例性的”在本文用来指“用作示例、实例或例证”。本文描述为“示例性”的任何实施方式不一定被理解为比其他实施方式优选的或有利的。
如果说明书陈述了部件或特征“可以”、“能够”、“能”、“应当”、“将”、“优选地”、“有可能地”、“通常”、“任选地”、“例如”、“经常”或“可能”(或其他此类词语)被包括或具有特性,则特定部件或特征不是必须被包括或具有该特性。此类部件或特征可任选地包括在一个或多个实施方案中,或可排除在外。
企业系统通常采用支持一种或多种类型的访问控制和/或其他网络安全控制的专用计算网络来限制网络访问。例如,企业系统诸如但不限于工业控制系统、制造厂、制造设施、医院、其他医疗机构、分类网络区域等通常采用访问控制和/或其他网络安全控制来限制对企业系统的访问。另外,通常希望经由可移动介质(诸如便携式通用串行总线(USB)驱动器)将信息传输到安全网络中和/或传输出安全网络。例如,可移动介质通常用于将信息或文件(例如,应用程序补丁、诊断应用程序或文档)移动到与企业系统相关联的安全网络中和/或移动出与企业系统相关联的安全网络。然而,可移动介质提供了进入受保护系统的网络攻击的路径。例如,在许多情况下,可移动介质表示病毒和其他恶意软件通过其进入安全网络的主要入站路径中的一者。
另外,在工业环境中,网络安全越来越受关注,并且一般难以有效地确定与工业环境相关联的工业系统的潜在风险来源。现代控制系统一般包含外围设备,诸如闪存驱动器、智能卡、USB串行设备、复合设备、供应商定义的设备现场设备等。此外,外围设备通常是来自不同供应商的设备的混合。因此,一般难以获取对工业系统中所有设备的完全理解或清点。此外,外部实体(例如攻击者、黑客等)可利用相对于外围设备的设备模拟和/或未解决的安全漏洞来例如破坏工业系统中的生产或导致不安全状况。在某些场景中,当外围设备被引入工业系统时,这些外围设备被修改和/或感染计算机病毒,从而对工业系统造成威胁。例如,具有嵌入式固件的外围设备可能具有经修改的固件和/或恶意计算机代码,该恶意计算机代码被设计成产生工业系统的异常或意料不到的行为。
因此,为了解决这些和/或其他问题,提供了用于基于外围设备分类来定义针对外围设备的授权规则的方法和装置。本文所述的各种实施方案涉及理解外围设备接口和/或特征。除此之外或另选地,本文所述的各种实施方案涉及创建与外围设备知识和/或外围设备的特征相关的数据库。除此之外或另选地,本文所述的各种实施方案涉及定义一个或多个授权策略以例如允许外围设备访问企业系统、拒绝外围设备访问企业系统、基于附加授权过程有意识地授权外围设备访问企业系统等。本文所述的各种实施方案涉及与外围设备的授权相关联的规则创建模式。本文所述的各种实施方案涉及与外围设备的授权相关联的规则认证模式。此外,本文所述的各种实施方案限定哪些用户和/或组被授权连接到不同类型的外围设备。
在一个实施方案中,提供了一种用于基于外围设备的特征和/或设备分类信息来创建用于认证工业控制系统中外围设备的规则和/或策略的方法。根据各种实施方案,接收外围设备通信地耦接到工业控制系统的指示。在一个或多个实施方案中,该指示包括标识外围设备的设备标识符。根据各种实施方案,响应于该指示,从一个或多个工业控制文件中获取外围设备的设备级数据。在一个或多个实施方案中,基于设备标识符获取外围设备的设备级数据。根据各种实施方案,响应于该指示,基于设备级数据来定义针对外围设备的一个或多个授权规则。
在一个或多个实施方案中,定义一个或多个授权规则包括基于包括在设备级数据中的设备分类数据来定义该一个或多个授权规则。在一个或多个实施方案中,定义一个或多个授权规则包括基于工业控制系统的不同模式来定义该一个或多个授权规则。
在一个或多个实施方案中,该方法包括利用设备级数据和该一个或多个授权规则创建规则数据库散列文件。在一个或多个实施方案中,该方法包括将规则数据库散列文件存储在用于与工业控制系统相关联的安全媒体交换平台的数据库中。
在一个或多个实施方案中,该方法包括查询外围设备以获取该外围设备的设备分类数据。在一个或多个实施方案中,该方法包括从相对于工业控制系统的系统操作系统执行的模拟中获取设备级数据。
在一个或多个实施方案中,响应于接收到外围设备通信地耦接到工业控制系统的另一指示,该方法包括启用规则认证模式以确定是否授权该外围设备访问该工业控制系统。
在一个或多个实施方案中,响应于接收到外围设备通信地耦接到工业控制系统的另一指示,该方法包括针对由用户提供的附加认证层生成通知。
在另一个实施方案中,提供了用于检测工业控制系统中漏洞的方法。该方法包括从安全媒体交换节点接收散列查询。该散列查询包括在安全媒体交换节点处至少部分地基于在安全媒体交换节点处接收并与工业控制系统(ICS)中的一个或多个ICS计算部件中的至少一个ICS计算部件相关联的一个或多个工业控制文件生成的文件散列。该方法还包括基于散列查询来查询ICS计算部件散列信息数据库,以通过将散列查询与存储在ICS计算部件散列信息数据库中的一个或多个散列进行比较来生成与一个或多个ICS计算部件中的至少一个ICS计算部件相关联的一个或多个ICS计算部件信息项。该方法还包括基于该一个或多个ICS计算部件信息项生成关于工业控制系统的漏洞分析。该方法还包括将漏洞分析输出到与安全媒体交换节点相关联的安全媒体交换漏洞入口。
在一个或多个实施方案中,ICS计算部件散列信息数据库包括ICS计算部件威胁智能数据库,该ICS计算部件威胁智能数据库被配置为存储表示与一个或多个工业控制文件相关联的一个或多个安全威胁的至少一个或多个安全威胁散列。在一个或多个实施方案中,该方法还包括:利用散列查询来查询ICS计算部件威胁智能数据库;以及在确定散列查询中的文件散列匹配一个或多个安全威胁散列中的至少一个安全威胁散列时,生成将ICS系统中的一个或多个安全威胁表示为一个或多个ICS计算部件信息项的一个或多个威胁指示符。
在一个或多个实施方案中,该一个或多个安全威胁各自与一个或多个ICS计算部件中的一个ICS计算部件相关联。在一个或多个实施方案中,该一个或多个安全威胁为以下中的一者或多者:一个或多个已知安全漏洞、一个或多个病毒或者一个或多个木马。
在一个或多个实施方案中,ICS计算部件散列信息数据库包括ICS计算部件漏洞预测数据库,该ICS计算部件漏洞预测数据库被配置为存储与一个或多个工业控制文件相关联的一个或多个散列。在一个或多个实施方案中,该方法还包括:利用散列查询来查询ICS计算部件漏洞预测数据库;接收一个或多个预测指示符,该一个或多个预测指示符中的每个预测指示符与该一个或多个部件中的至少一个部件相关联;以及基于该一个或多个预测指示符生成漏洞分析。在一个或多个实施方案中,该一个或多个预测指示符包括以下中的一者或多者:与一个或多个工业控制文件中的至少一个工业控制文件相关联的版本号、与一个或多个工业控制文件中的至少一个工业控制文件相关联的更新的时间戳、或表示与该一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在该一个或多个工业控制文件中的过期文件标志。
在一个或多个实施方案中,安全媒体交换漏洞入口为安装在安全媒体交换节点上的基于网络的入口。
在一个或多个实施方案中,安全媒体交换漏洞入口与ICS计算部件散列信息数据库相关联。
在一个或多个实施方案中,当ICS在操作中时,一个或多个ICS计算部件不具有对万维网的访问权限。
在一个或多个实施方案中,该方法还包括基于散列查询来查询ICS计算部件散列信息数据库以识别一个或多个ICS计算部件中的至少一个部件,并且将所识别的部件存储在与ICS相关联的ICS计算部件模型中。
在另一个实施方案中,提供了被配置为以编程方式检测工业控制系统中漏洞的装置。该装置包括至少处理器,以及与其中具有计算机编码指令的处理器相关联的存储器,其中这些计算机编码指令被配置为在由处理器执行时使得该装置从安全媒体交换节点接收散列查询。该散列查询包括在安全媒体交换节点处至少部分地基于在安全媒体交换节点处接收并与工业控制系统(ICS)中的一个或多个ICS计算部件中的至少一个ICS计算部件相关联的一个或多个工业控制文件生成的文件散列。
在一个或多个实施方案中,计算机编码指令被进一步配置为在由处理器执行时使得该装置基于散列查询来查询ICS计算部件散列信息数据库,以通过将散列查询与存储在ICS计算部件散列信息数据库中的一个或多个散列进行比较来生成与一个或多个ICS计算部件中的至少一个ICS计算部件相关联的一个或多个ICS计算部件信息项。
在一个或多个实施方案中,计算机编码指令被进一步配置为在由处理器执行时使得该装置基于一个或多个ICS计算部件信息项生成关于工业控制系统的漏洞分析。
在一个或多个实施方案中,计算机编码指令被进一步配置为在由处理器执行时使得该装置将漏洞分析输出到与安全媒体交换节点相关联的安全媒体交换漏洞入口。
在一个或多个实施方案中,ICS计算部件散列信息数据库包括ICS计算部件威胁智能数据库,该ICS计算部件威胁智能数据库被配置为存储表示与一个或多个工业控制文件相关联的一个或多个安全威胁的至少一个或多个安全威胁散列。在一个或多个实施方案中,计算机编码指令被进一步配置为在由处理器执行时使得该装置:利用散列查询来查询ICS计算部件威胁智能数据库;并且在确定散列查询中的文件散列匹配一个或多个安全威胁散列中的至少一个安全威胁散列时,生成将ICS系统中的一个或多个安全威胁表示为一个或多个ICS计算部件信息项的一个或多个威胁指示符。
在一个或多个实施方案中,该一个或多个安全威胁各自与一个或多个ICS计算部件中的一个ICS计算部件相关联。
在一个或多个实施方案中,该一个或多个安全威胁为以下中的一者或多者:一个或多个已知安全漏洞、一个或多个病毒或者一个或多个木马。
在一个或多个实施方案中,ICS计算部件散列信息数据库包括ICS计算部件漏洞预测数据库,该ICS计算部件漏洞预测数据库被配置为存储与一个或多个工业控制文件相关联的一个或多个散列。在一个或多个实施方案中,计算机编码指令被进一步配置为在由处理器执行时使得该装置:利用散列查询来查询ICS计算部件漏洞预测数据库;接收一个或多个预测指示符,其中该一个或多个预测指示符中的每个预测指示符与该一个或多个部件中的至少一个部件相关联;并且基于该一个或多个预测指示符生成漏洞分析。
在一个或多个实施方案中,该一个或多个预测指示符包括以下中的一者或多者:与一个或多个工业控制文件中的至少一个工业控制文件相关联的版本号、与一个或多个工业控制文件中的至少一个工业控制文件相关联的更新时间戳,或者表示与一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在所述一个或多个工业控制文件中的过期文件标志。
在一个或多个实施方案中,安全媒体交换漏洞入口为安装在安全媒体交换节点上的基于网络的入口。在一个或多个实施方案中,安全媒体交换漏洞入口与ICS计算部件散列信息数据库相关联。在一个或多个实施方案中,当ICS在操作中时,一个或多个ICS计算部件不具有对万维网的访问权限。
在一个或多个实施方案中,计算机编码指令被进一步配置为在由处理器执行时使得该装置基于散列查询来查询ICS计算部件散列信息数据库以识别一个或多个ICS计算部件中的至少一个部件,并且将所识别的部件存储在与ICS相关联的ICS计算部件模型中。
因此,通过采用本文所公开的一种或多种技术,改善了工业控制系统的性能。除此之外或另选地,通过采用本文所公开的一种或多种技术改善了工业控制系统的安全性。此外,通过采用本文所公开的一种或多种技术,减少了与外围设备相对于工业控制系统的授权相关联的计算资源的数量、存储要求的数量和/或错误的数量。
术语“电路”应被广义地理解为包括硬件,并且在一个或多个实施方案中,包括用于配置硬件的软件。相对于装置的部件,如本文所用的术语“电路”因此应当被理解为包括被配置为执行与如本文所述的特定电路相关联的功能的特定硬件。例如,在一个或多个实施方案中,“电路”包括处理电路、存储介质、网络接口、输入/输出设备等。
如本文所用,术语“数据”、“内容”、“数字内容”、“数字内容对象”、“信息”和类似术语互换使用以指代能够根据本发明的实施方案传输、接收和/或存储的数据。因此,任何此类术语的使用不应被理解为限制本公开的实施方案的实质和范围。此外,在计算设备在本文中被描述为从另一个计算设备接收数据的情况下,应当理解,直接从另一个计算设备接收数据或经由一个或多个中间计算设备(诸如一个或多个服务器、继电器、路由器、网络接入点、基站、主机等,有时在本文中称为“网络”)间接地接收数据。此外,在计算设备在本文中被描述为将数据发送到另一个计算设备的情况下,应当理解,数据被直接传输到另一个计算设备,或者经由一个或多个中间计算设备(诸如一个或多个服务器、继电器、路由器、网络接入点、基站、主机、中继器等)被间接地传输。
术语“计算机可读存储介质”是指非暂态、物理或有形存储介质(例如,易失性或非易失性存储器),其不同于“计算机可读传输介质”,“计算机可读传输介质”是指电磁信号。
术语“工业控制系统”(ICS)是指包括一个或多个工业控制系统计算部件的计算系统,该一个或多个工业控制系统计算部件各自连接到工业系统中的设备或机器。例如,在一个或多个实施方案中,ICS是监督控制和数据采集系统,该系统包括分布在各种位置中的若干可编程逻辑控制器,这些可编程逻辑控制器通过集中式控制系统提供对现场站点的长距离监测和控制。在一个或多个实施方案中,ICS是分布式控制系统,该系统被配置为控制采取操作技术硬件和软件系统形式的各种ICS计算部件。在一个或多个实施方案中,采取操作技术硬件和软件系统形式的ICS计算部件被配置为控制工业生产过程的各种控制器。
术语“ICS计算部件”是指ICS中的计算硬件和软件系统。例如,在一个或多个实施方案中,ICS计算部件被配置为监视或控制工业控制系统中的物理设备的操作技术硬件和软件系统。示例性物理设备包括制造设备、监测设备(诸如存储或设备监测设备)、制造材料移动设备或工业生产站点中使用的其他设备。在一个或多个实施方案中,ICS计算部件被配置为可编程逻辑控制器,该可编程逻辑控制器提供通过反馈设备诸如传感器和致动器运行的过程的本地管理。在一个或多个实施方案中,ICS计算部件被配置为监督控制和数据采集系统中的主终端单元,该监督控制和数据采集系统被配置为向一个或多个远程终端单元、远程终端单元、人机接口、控制服务器、与工业系统中的另一物理设备相关联的智能电子设备等传输命令或从其接收信息。
术语“工业控制文件”是指由ICS计算部件生成、传输到ICS计算部件或待传输到ICS计算部件的文件。以举例的方式,示例性工业控制文件包括ICS中的工业控制系统驱动器、ICS中的过程信息、命令数据、由主终端单元或远程终端单元生成的数据、由控制服务器生成的数据、由传感器和致动器生成的数据、由与工业系统中的物理设备相关联的智能电子设备生成的数据、与生成或传输ICS计算部件的数据相关联的元数据。在一个或多个实施方案中,工业控制文件包括一个或多个信息项,该一个或多个信息项被指定为用于确定从中生成或向其传输工业控制文件的ICS计算部件是否可能存在漏洞。
术语“安全媒体交换节点”是指被配置为接收一个或多个工业控制文件并生成该一个或多个工业控制文件的文件散列的计算机硬件和/或软件。在一个或多个实施方案中,该一个或多个工业控制文件存储在安全媒体交换节点上。在一个或多个实施方案中,该一个或多个工业控制文件存储在通信地耦接到安全媒体交换节点的存储器或数据存储库上。在一个或多个实施方案中,该一个或多个工业控制文件存储在外围设备诸如即插即用便携式存储设备上。例如,在一个或多个实施方案中,该一个或多个工业控制文件存储在基于通用串行总线(USB)的存储设备或其他物理便携式存储设备诸如基于闪存的存储装置、基于存储卡的存储装置等上,以连接到与该一个或多个工业控制文件相关联的ICS计算部件。例如,在一个实施方案中,在基于USB的存储设备连接到ICS计算部件以将一个或多个工业控制文件传输到ICS计算部件之前,基于USB的存储设备连接到安全媒体交换节点。在一个或多个实施方案中,基于USB的存储设备存储由ICS计算部件生成的一个或多个工业控制文件,并且经由USB将该一个或多个工业控制文件传输到安全媒体交换节点。在一个或多个实施方案中,安全媒体交换节点是物理地位于ICS在其中操作的工业生产站点内的设备。
术语“漏洞分析”是指表示存在于一个或多个ICS计算部件中的一个或多个漏洞或潜在漏洞的文件或数据结构。例如,在一个或多个实施方案中,漏洞分析包括表示一个或多个已知安全威胁的数据和/或指示一个或多个ICS计算部件可能存在漏洞并且需要维护的数据。
术语“ICS计算部件信息项”是指由漏洞服务器基于从安全媒体交换节点接收的文件散列生成或接收的关于一个或多个ICS计算部件的数据。在一个或多个实施方案中,示例性ICS计算部件信息项包括表示一个或多个已知安全威胁的威胁指示符、表示与一个或多个工业控制文件中的至少一个工业控制文件相关联的版本号形式的潜在安全漏洞的预测指示符、与一个或多个工业控制文件中的至少一个工业控制文件相关联的更新时间戳,或者表示与一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在所述一个或多个工业控制文件中的过期文件标志。
术语“威胁指示符”是指由漏洞服务器基于从安全媒体交换节点接收的文件散列与存储在ICS计算部件散列信息数据库中的表示与安全媒体交换节点相关联的ICS中的潜在安全威胁的文件散列的匹配而生成的数据结构。
术语“预测指示符”是指用于预测与工业文件相关联的潜在漏洞的数据结构。在一个或多个实施方案中,预测指示符与工业文件的文件散列一起存储。在一个或多个实施方案中,以举例的方式,预测指示符包括以下中的一者或多者:与一个或多个工业控制文件中的至少一个工业控制文件相关联的版本号、与一个或多个工业控制文件中的至少一个工业控制文件相关联的更新时间戳、表示与一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在所述一个或多个工业控制文件中的过期文件标志,或者与一个或多个文件散列相关联的另一种形式的指示符。
术语“安全媒体交换漏洞入口”是指被配置为呈现包括在漏洞分析中的数据的接口。例如,在一个或多个实施方案中,安全媒体交换漏洞入口被配置为一个或多个计算实体能够访问的基于网络的入口。在一个或多个实施方案中,安全媒体交换漏洞入口呈现在安全媒体交换节点上。在一个或多个实施方案中,安全媒体交换漏洞入口呈现在另一设备上。
本公开的方法、装置和计算机程序产品由多种设备中的任何一种体现。例如,示例性实施方案的方法、装置和计算机程序产品由被配置为与一个或多个设备(诸如一个或多个安全媒体交换节点)通信的联网设备(例如,企业平台)(诸如服务器或其他网络实体)体现。除此之外或另选地,在一个或多个实施方案中,该计算设备包括固定计算设备,诸如个人计算机、平板电脑或计算机工作站。更进一步地,示例性实施方案由多种移动设备中的任何一种体现,诸如便携式数字助理(PDA)、移动电话、智能电话、膝上型计算机、平板电脑、可穿戴设备或上述设备的任何组合。除此之外或另选地,在一个或多个实施方案中,计算设备包括可编程逻辑控制器、微控制器、与工业系统中的物理设备相关联的智能电子设备,或者可用于体现ICS计算部件的其他计算设备。
图1示出了本公开的一个或多个实施方案的系统架构图。
在一个或多个实施方案中,安全媒体交换节点102体现为计算机、平板电脑等。安全媒体交换节点102被配置为接收从工业控制系统106生成的工业控制文件或接收待传输到工业控制系统106的工业控制文件。在一个或多个实施方案中,ICS 106包括一个或多个ICS计算部件106A至106C。在一个或多个实施方案中,ICS 106为未连接到通信网络104或连接到互联网的任何通信网络的计算系统。在一个或多个实施方案中,一个或多个工业控制文件存储在外围设备(例如,便携式存储设备)诸如基于USB的存储设备上,以连接到与该一个或多个工业控制文件相关联的ICS计算部件。例如,在一个或多个实施方案中,在基于USB的存储设备连接到ICS计算部件以将一个或多个工业控制文件传输到ICS计算部件之前,基于USB的存储设备连接到安全媒体交换节点。在一个或多个实施方案中,基于USB的存储设备存储由ICS计算部件生成的一个或多个工业控制文件,并且经由USB将该一个或多个工业控制文件传输到安全媒体交换节点。
在一个或多个实施方案中,安全媒体交换节点102经由通信网络104与漏洞预测服务器110通信。在一个或多个实施方案中,安全媒体交换节点102经由通信网络104将一个或多个工业控制文件的一个或多个散列传输到漏洞连接服务器110。在一个或多个实施方案中,安全媒体交换节点102是物理地位于ICS在其中操作的工业生产站点内的设备。在一个或多个实施方案中,安全媒体交换节点102体现为一台或多台计算机。在一个或多个实施方案中,安全媒体交换节点102不经由任何形式的连接网络直接连接到ICS 106。在此类实施方案中,安全媒体交换节点102经由基于USB的存储设备接收一个或多个工业控制文件。
漏洞预测服务器110利用从安全媒体交换节点102接收的文件散列查询来查询ICS计算部件散列信息数据库108。在一个或多个实施方案中,漏洞预测服务器110体现为一台或多台计算机。在一个或多个实施方案中,漏洞预测服务器110提供从各种来源(包括但不一定限于安全媒体交换节点102)接收电子数据。例如,在一个或多个实施方案中,漏洞预测服务器110被配置为向安全媒体交换节点102传输文件散列或从该安全媒体交换节点接收文件散列。在一个或多个实施方案中,漏洞预测服务器110通过通信网络104与ICS计算部件散列信息数据库108通信。
在一个或多个实施方案中,ICS计算部件散列信息数据库108包括一个或多个数据库,诸如ICS计算部件威胁智能数据库108A和/或ICS计算部件漏洞预测数据库108B。在一个或多个实施方案中,ICS计算部件散列信息数据库108存储一个或多个文件散列。在一个或多个实施方案中,在ICS计算部件散列信息数据库108中将该一个或多个文件散列标识为安全文件散列或安全威胁散列。在一个或多个实施方案中,该一个或多个文件散列除此之外或另选地与一个或多个ICS计算部件标识符、一个或多个预测指示符、一个或多个威胁指示符等相关联。
根据一个或多个实施方案,通信网络104包括任何有线或无线通信网络,包括例如有线或无线个人局域网(PAN)、局域网(LAN)、城域网(MAN)、广域网(WAN)等。例如,在各种实施方案中,本文描述的一个或多个通信网络104被配置为使用多种协议中的任一种,所述协议诸如通用分组无线电服务(GPRS)、通用移动电信系统(UMTS)、码分多址2000(CDMA2000)、CDMA20001X(1xRTT)、宽带码分多址(WCDMA)、全球移动通信系统(GSM)、增强型数据速率GSM演进(EDGE)、时分同步码分多址(TD-SCDMA)、长期演进(LTE)、演进型通用陆地无线电接入网络(E-UTRAN)、演进数据最优化(EVDO)、高速分组接入(HSPA)、高速下行链路分组接入(HSDPA)、IEEE802.11(Wi-Fi)、Wi-Fi Direct、802.16(WiMAX)、超宽带(UWB)、红外(IR)协议、近场通信(NFC)协议、蓝牙协议、无线通用串行总线(USB)协议和/或任何其他无线协议。
根据一个或多个实施方案,ICS计算部件散列信息数据库108体现为数据存储设备,诸如一个或多个网络附加存储(NAS)设备,或者一个或多个独立数据库服务器。ICS计算部件散列信息数据库108包括一个或多个工业文件的文件散列以及与这些文件散列相关联的数据。例如,在一个或多个实施方案中,ICS计算部件散列信息数据库108包括但不限于与文件散列相关联的过期文件标志、与文件散列相关联的更新的时间戳、与文件散列相关联的版本号、与文件散列相关联的预测指示符、与文件散列相关联的威胁指示符等。在一个或多个实施方案中,ICS计算部件散列信息数据库108包括ICS计算部件威胁智能数据库108A和/或ICS计算部件漏洞预测数据库108B。在一个或多个实施方案中,ICS计算部件漏洞预测数据库108B包括一个或多个安全威胁散列,该一个或多个安全威胁散列为具有已知安全威胁的工业控制文件的文件散列。在一个或多个实施方案中,ICS计算部件漏洞预测数据库108B包括与一个或多个文件散列相关联的一个或多个预测指示符。在一个或多个实施方案中,预测指示符包括以下中的一者或多者:与一个或多个工业控制文件中的至少一个工业控制文件相关联的版本号、与一个或多个工业控制文件中的至少一个工业控制文件相关联的更新的时间戳、表示与一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在所述一个或多个工业控制文件中的过期文件标志、表示指示维护的一个或多个工业文件的标志、与和维护相关的软件工具相关联的一个或多个工业文件和/或与一个或多个文件散列相关联的另一种形式的指示符。
在一个或多个实施方案中,ICS计算部件散列信息数据库108通过经由通信网络104与第三方威胁智能源112通信来周期性地更新。在一个或多个实施方案中,第三方威胁智能源112体现为由与管理安全媒体交换节点102的实体不同的实体管理的一个或多个独立数据库服务器。在一个或多个实施方案中,ICS计算部件散列信息数据库108存储一个或多个ICS系统模型,该一个或多个ICS系统模型包括关于一个或多个ICS计算部件以及ICS计算部件的不同模型之间的关联的信息。例如,在一个实施方案中,ICS系统模型指示制造商ACME制造的型号为89114的ICS计算部件被制造商ACME或不同制造商确定为与不同型号的一个或多个ICS计算部件相关联。在一个或多个实施方案中,周期性地更新存储在ICS计算部件散列信息数据库108中的ICS系统模型。
在一个或多个实施方案中,ICS计算部件散列信息数据库108通过通信网络104与漏洞预测服务器110通信。在一个或多个实施方案中,ICS计算部件散列信息数据库108包含在漏洞预测服务器110中。
在一个或多个实施方案中,安全媒体交换节点102或漏洞预测服务器110由一个或多个计算系统实现,并且包括图2所示的电路200中所示的一个或多个部件。根据一个或多个实施方案,电路200包括处理器202、存储器201、输入/输出电路203、通信电路205、漏洞分析电路204(用于漏洞预测服务器110)、文件散列生成电路206(用于安全媒体交换节点102)和/或规则引擎电路207(用于安全媒体交换节点102)。在一个或多个实施方案中,电路200还包括ICS计算部件散列信息数据库108。在一个或多个实施方案中,ICS计算部件散列信息数据库108存储在存储器201上。电路200被配置为执行本文所述的一个或多个操作。虽然相对于功能限制描述了这些部件110和201-207,但应当理解,特定的具体实施必定包括使用特定硬件。还应当理解,在某些实施方案中,这些部件110和201-207中的某些部件可包括类似或常见的硬件。例如,在一个实施方案中,两组电路均使用相同的处理器、网络接口、存储介质等执行其相关联的功能,使得每组电路均不需要重复的硬件。因此,应当理解,如本文相对于装置的部件所用的术语“电路”的使用包括被配置为执行与本文所述的特定电路相关联的功能的特定硬件。
术语“电路”应被广义地理解为包括硬件,并且在一个或多个实施方案中,包括用于配置硬件的软件。例如,在一个或多个实施方案中,“电路”包括处理电路、存储介质、网络接口、输入/输出设备等。在一个或多个实施方案中,电路200的其他元件提供或补充特定电路的功能。例如,在一个或多个实施方案中,处理器202提供处理功能,存储器201提供存储功能,通信电路205提供网络接口功能等。
在一个或多个实施方案中,处理器202(和/或协处理器或协助该处理器或以其他方式与该处理器相关联的任何其他处理电路)经由总线与存储器201通信,以用于在装置的部件之间传递信息。在一个或多个实施方案中,存储器201是非暂态的,并且包括例如一个或多个易失性和/或非易失性存储器。换句话讲,在一个或多个实施方案中,存储器201是电子存储设备(例如,计算机可读存储介质)。在一个或多个实施方案中,存储器201被配置为存储用于使装置能够根据本公开的示例性实施方案执行各种功能的信息、数据、内容、应用程序、指令、标识符、请求、通信等。
根据一个或多个实施方案,存储器201包括非易失性计算机可读存储介质诸如软盘、软磁盘、硬盘、固态存储器(SSS)(例如,固态驱动器(SSD)、固态卡(SSC)、固态模块(SSM))、企业闪存驱动器、磁带或任何其他非暂态磁性介质等。在一个或多个实施方案中,此类非易失性计算机可读存储介质还包括只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存存储器(例如,串行、NAND、NOR等)等。此外,在一个或多个实施方案中,非易失性计算机可读存储介质还包括导电桥接随机存取存储器(CBRAM)、相变随机存取存储器(PRAM)、铁电随机存取存储器(FeRAM)、非易失性随机存取存储器(NVRAM)、磁阻随机存取存储器(MRAM)、电阻式随机存取存储器(RRAM)、氧化硅-氮化物-氧化物-硅存储器(SONOS)、浮动结栅极随机存取存储器(FJG RAM)、千足虫存储器、跑道存储器等。
根据一个或多个实施方案,处理器202包括被配置为独立执行的一个或多个处理设备。除此之外或另选地,在一个或多个实施方案中,处理器202包括经由总线串联配置的一个或多个处理器,以实现指令、流水线和/或多线程的独立执行。应当理解,术语“处理电路”的使用理解为包括单核处理器、多核处理器、装置内部的多个处理器和/或远程或“云”处理器。
在示例性实施方案中,处理器202被配置为执行存储在存储器201中或能够以其他方式供该处理器访问的指令。除此之外或另选地,处理器202被配置为执行硬编码功能。因此,无论通过硬件方法或软件方法配置,还是通过它们的组合配置,处理器202均表示能够根据本公开的实施方案执行操作同时进行相应配置的实体(例如,以电路形式物理地体现)。另选地,又如,当处理器202体现为软件指令的执行器时,指令将处理器202专门配置为在执行指令时执行本文所述的算法和/或操作。
在一个或多个实施方案中,电路200包括与处理器202通信的输入/输出电路203,以向用户提供输出,并且在一个或多个实施方案中,接收用户输入的指示。在一个或多个实施方案中,输入/输出电路203包括用户界面、显示器、网络用户界面、移动应用、信息亭等。在一个或多个实施方案中,输入/输出电路203还包括键盘、鼠标、操纵杆、触摸屏、触摸区域、软键、麦克风、扬声器和/或其他输入/输出机构。在一个或多个实施方案中,处理器202和/或包括处理器202的用户界面电路被配置为通过存储在能够供处理器202访问的存储器(例如,存储器201等)上的计算机程序指令(例如,软件和/或固件)来控制一个或多个用户界面元素的一个或多个功能。
根据一个或多个实施方案,通信电路205为以硬件或者硬件和软件的组合体现的设备或电路,其被配置为自网络和/或与电路200通信的任何其他设备、电路或模块接收和/或向其传输数据。就这一点而言,在一个或多个实施方案中,通信电路205包括例如用于实现与有线或无线通信网络通信的网络接口。例如,在一个或多个实施方案中,通信电路205包括一个或多个网络接口卡、天线、总线、交换机、路由器、调制解调器和支持硬件和/或软件,或适用于经由网络实现通信的任何其他设备。除此之外或另选地,在一个或多个实施方案中,通信接口205包括用于与天线交互的电路以使得信号经由天线传输或处理经由天线接收的信号接收。
漏洞分析电路204包括被配置为生成漏洞分析的硬件。在一个或多个实施方案中,漏洞分析电路204利用处理电路诸如处理器202来执行这些动作。在一个或多个实施方案中,漏洞分析电路204发送和/或接收来自ICS计算部件散列信息数据库108的数据。在一些具体实施中,所发送和/或接收的数据包括文件散列、威胁指示符、预测指示符等。还应当理解,在一个或多个实施方案中,漏洞分析电路204包括独立处理器、专门配置的现场可编程门阵列(FPGA)或专用接口电路(ASIC)。
根据一个或多个实施方案,文件散列生成电路206包括被配置为生成所接收的一个或多个工业控制文件的一个或多个文件散列的硬件。在一个或多个实施方案中,文件散列生成电路206利用处理电路诸如处理器202来执行这些动作。还应当理解,在一个或多个实施方案中,漏洞分析电路204包括独立处理器、专门配置的FPGA或ASIC。
根据一个或多个实施方案,规则引擎电路207包括被配置为创建和/或管理用于认证通信地耦接到工业控制系统106的一个或多个外围设备的一个或多个规则和/或一个或多个策略的硬件。在一个或多个实施方案中,规则引擎电路207利用处理电路诸如处理器202来执行这些动作。还应当理解,在一个或多个实施方案中,规则引擎电路207包括独立处理器、专门配置的FPGA或ASIC。
如上所述并且基于本公开应当理解,本公开的一个或多个实施方案被配置为方法、移动设备、后端网络设备等。因此,一个或多个实施方案包括各种装置,这些装置包括完全硬件或者软件和硬件的任何组合。此外,一个或多个实施方案采取至少一个非暂态计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品具有体现在存储介质中的计算机可读程序指令(例如,计算机软件)。根据一个或多个实施方案,利用任何合适的计算机可读存储介质,包括例如非暂态硬盘、CD-ROM、闪存存储器、光存储设备或磁存储设备。
现在参见图3,提供了流程图以示出由用于体现图1所示各种部件(诸如漏洞预测服务器110)的装置的示例性实施方案执行的操作,这些操作用于以编程方式检测工业控制系统中的漏洞并且预测维护。除非本文另有说明,否则图3和本文中的其他流程图仅用于说明目的,并不构成限制。除非另有说明,否则图3和其他流程图中讨论的各种操作可用于本公开的相同或独立的实施方案中。
在一个或多个实施方案中,安全媒体交换节点102接收与工业控制系统中的一个或多个ICS计算部件中的至少一个ICS计算部件相关联的一个或多个工业控制文件。在一个或多个实施方案中,安全媒体交换节点102使用文件散列生成电路206以生成该一个或多个工业控制文件的一个或多个文件散列。另外,在一个或多个实施方案中,安全媒体交换节点102将包括该一个或多个文件散列的散列查询传输到漏洞预测服务器110。如图3的框300所示,漏洞预测服务器110被配置为从安全媒体交换节点102接收散列查询。
安全媒体交换节点102被配置为接收从工业控制系统中的一个或多个ICS计算部件中的至少一个ICS计算部件生成的工业控制文件,或者接收待传输到工业控制系统中的一个或多个ICS计算部件中的至少一个ICS计算部件的工业控制文件。在一个或多个实施方案中,工业控制系统为未连接到通信网络104或可连接到互联网的任何通信网络的计算系统。在一个或多个实施方案中,一个或多个工业控制文件存储在基于USB的存储设备上,以连接到与该一个或多个工业控制文件相关联的ICS计算部件。例如,在一个或多个实施方案中,在基于USB的存储设备连接到ICS计算部件以将一个或多个工业控制文件传输到ICS计算部件之前,基于USB的存储设备连接到安全媒体交换节点。在一个或多个实施方案中,基于USB的存储设备存储由ICS计算部件生成的一个或多个工业控制文件,并且经由USB将该一个或多个工业控制文件传输到安全媒体交换节点。在一个或多个实施方案中,安全媒体交换节点使用文件散列生成电路206来生成文件散列。
如图3的框310所示,漏洞预测服务器110被配置为基于散列查询来查询ICS计算部件散列信息数据库108。在一个或多个实施方案中,ICS计算部件散列信息数据库108包括一个或多个数据库,诸如ICS计算部件威胁智能数据库108A和ICS计算部件漏洞预测数据库108B。在一个或多个实施方案中,ICS计算部件散列信息数据库108存储一个或多个文件散列。在一个或多个实施方案中,该一个或多个文件散列在ICS计算部件散列信息数据库108中各自被标识为安全文件散列、与预测指示符相关联的文件散列或安全威胁散列。在一个或多个实施方案中,该一个或多个文件散列还可与一个或多个ICS计算部件标识符、一个或多个预测指示符、一个或多个威胁指示符等相关联。在一个或多个实施方案中,在ICS计算部件散列信息数据库108中未被标识的文件散列被认为是安全文件散列。
根据一个或多个实施方案,ICS计算部件散列信息数据库108体现为数据存储设备,诸如一个或多个网络附加存储(NAS)设备,或者一个或多个独立数据库服务器。ICS计算部件散列信息数据库108包括一个或多个工业文件的文件散列以及与这些文件散列相关联的数据。例如,在一个或多个实施方案中,ICS计算部件散列信息数据库108包括但不限于与文件散列相关联的过期文件标志、与文件散列相关联的更新的时间戳、与文件散列相关联的版本号、与文件散列相关联的预测指示符、与文件散列相关联的威胁指示符等。在一个或多个实施方案中,ICS计算部件散列信息数据库108包括ICS计算部件威胁智能数据库108A和/或ICS计算部件漏洞预测数据库108B。在一个或多个实施方案中,ICS计算部件漏洞预测数据库108B包括一个或多个安全威胁散列,该一个或多个安全威胁散列为具有已知安全威胁的工业控制文件的文件散列。在一个或多个实施方案中,ICS计算部件威胁智能数据库108A包括与一个或多个文件散列相关联的一个或多个预测指示符。在一个或多个实施方案中,预测指示符包括以下中的一者或多者:与一个或多个工业控制文件中的至少一个工业控制文件相关联的版本号、与一个或多个工业控制文件中的至少一个工业控制文件相关联的更新时间戳、表示与一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在所述一个或多个工业控制文件中的过期文件标志和/或与一个或多个文件散列相关联的另一种形式的指示符。
如图3的框320所示,漏洞预测服务器110被配置为将散列查询与存储在ICS计算部件散列信息数据库中的一个或多个散列进行比较。
如图3的框330所示,漏洞预测服务器110被配置为生成与一个或多个ICS计算部件中的至少一个ICS计算部件相关联的一个或多个ICS计算部件信息项。在一个或多个实施方案中,在确定散列查询匹配存储在ICS计算部件散列信息数据库中的一个或多个散列中的至少一个散列时,漏洞预测服务器110生成与一个或多个ICS计算部件中的至少一个ICS计算部件相关联的一个或多个ICS计算部件信息项。
如图3的框340所示,漏洞预测服务器110被配置为基于一个或多个ICS计算部件信息项生成关于工业控制系统的漏洞分析。在一个实施方案中,漏洞分析体现为表示存在于一个或多个ICS计算部件中的一个或多个漏洞或潜在漏洞的文件或数据结构。例如,在一个或多个实施方案中,漏洞分析包括表示一个或多个已知安全威胁的数据和/或指示一个或多个ICS计算部件可能存在漏洞并且需要维护的数据。
如图3的框350所示,漏洞预测服务器110被配置为将漏洞分析输出到与安全媒体交换节点102相关联的安全媒体交换漏洞入口。安全媒体交换漏洞入口是被配置为呈现包括在漏洞分析中的数据的接口。例如,在一个或多个实施方案中,安全媒体交换漏洞入口被配置为一个或多个计算实体能够访问的基于网络的入口。在一个或多个实施方案中,安全媒体交换漏洞入口呈现在安全媒体交换节点102上。在一个或多个实施方案中,接口包括与一个或多个安全威胁相关联的警告消息和/或指示ICS需要现场维护的消息。
现在参见图4A,提供了附加流程图以示出由用于体现图1所示各种部件(诸如漏洞预测服务器110)的装置的示例性实施方案执行的操作,这些操作用于以编程方式检测工业控制系统中的漏洞并且预测维护。
如图4A的框400所示,漏洞预测服务器110被配置为利用散列查询诸如如上所述的散列查询来查询ICS计算部件威胁智能数据库,该散列查询可从安全媒体交换节点102接收。如前所述,ICS计算部件威胁智能数据库被包括作为ICS计算部件散列信息数据库的一部分,并且被配置为存储表示与一个或多个工业控制文件相关联的一个或多个安全威胁的至少一个或多个安全威胁散列。在一个或多个实施方案中,该一个或多个安全威胁为安全威胁,诸如后窗、漏洞、病毒、木马等。在一个或多个实施方案中,关于该一个或多个安全威胁的信息存储在ICS计算部件威胁智能数据库中。
如图4A的框410所示,漏洞预测服务器110被配置为确定散列查询中的至少一个文件散列匹配一个或多个安全威胁散列中的至少一个安全威胁散列。在漏洞预测服务器110不确定散列查询与所述一个或多个安全威胁散列中的至少一个安全威胁散列匹配的一个或多个实施方案中,漏洞预测服务器110被配置为继续进行稍后结合图4B描述的工作流。
如图4A的框420所示,漏洞预测服务器110被配置为生成将一个或多个安全威胁表示为一个或多个ICS计算部件信息项的一个或多个威胁指示符。在一个或多个实施方案中,关于存储在ICS计算部件威胁智能数据库中的一个或多个安全威胁的信息由漏洞预测服务器110获取并包括在该一个或多个威胁指示符中。在一个或多个实施方案中,针对匹配安全威胁散列的每个文件散列生成独特威胁指示符。
现在参见图4B,提供了附加流程图以示出由用于体现图1所示各种部件(诸如漏洞预测服务器110)的装置的示例性实施方案执行的操作,这些操作用于以编程方式检测工业控制系统中的漏洞并且预测维护。
如图4B的框430所示,漏洞预测服务器110被配置为利用散列查询来查询ICS计算部件漏洞预测数据库。如前所述,ICS计算部件漏洞预测数据库是ICS部件散列信息数据库的一部分,并且包括与一个或多个文件散列相关联的一个或多个预测指示符。在一个或多个实施方案中,预测指示符包括以下中的一者或多者:与一个或多个工业控制文件中的至少一个工业控制文件相关联的版本号、与一个或多个工业控制文件中的至少一个工业控制文件相关联的更新的时间戳、表示与一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在所述一个或多个工业控制文件中的过期文件标志、表示指示维护的一个或多个工业文件的标志、与和维护相关的软件工具相关联的一个或多个工业文件和/或与一个或多个文件散列相关联的另一种形式的指示符。
如图4B的框440所示,漏洞预测服务器110被配置为从ICS计算部件漏洞预测数据库接收一个或多个预测指示符。
如图4B的框450所示,漏洞预测服务器110被配置为基于该一个或多个预测指示符生成漏洞分析。在一个或多个实施方案中,以举例的方式,通过将更新的时间戳与表示可能存在漏洞版本的预定义时间戳进行比较来生成漏洞分析。如果更新时间戳早于预定义时间戳,则生成漏洞分析以指示与更新时间戳相关联的工业文件可能存在漏洞。在另一个示例中,通过确定与所接收的工业文件相关联的一个或多个文件散列与过期文件标志相关联来生成漏洞分析,因为与预定义要与一个或多个工业控制文件中的至少一个工业控制文件相关联(例如,因为该一个或多个文件应与所接收的一个或多个工业控制文件一起存在于预定义的非存在漏洞版本中)的一个或多个工业控制文件中的至少一个工业控制文件相关联的一个或多个文件不在该一个或多个工业控制文件中。
在一个或多个实施方案中,通过将与该一个或多个工业控制文件相关联的版本号与预定义版本号进行比较来生成漏洞分析。如果与该一个或多个工业控制文件相关联的版本号指示该一个或多个工业控制文件的版本早于与预定义版本号相关联的版本,则漏洞分析指示该一个或多个工业控制文件可能存在漏洞。在一个或多个实施方案中,通过使用上述示例性方法中的一种或多种的组合来生成漏洞分析。在一个或多个实施方案中,基于预测指示符生成的漏洞分析指示ICS需要现场维护。
现在参见图5,提供了附加流程图以示出由用于体现图1所示的各种部件(诸如漏洞预测服务器110)的装置的示例性实施方案执行的操作,这些操作用于基于所接收的一个或多个工业文件以编程方式构建ICS计算部件模型。
如图5的框500所示,漏洞预测服务器110被配置为基于散列查询来查询ICS计算部件散列信息数据库以识别一个或多个ICS计算部件中的至少一个部件。
如图5的框510所示,漏洞预测服务器110被配置为将所识别的部件存储在与ICS相关联的ICS计算部件模型中。在一个或多个实施方案中,基于一个或多个ICS系统模型生成ICS计算部件模型,该一个或多个ICS系统模型包括关于一个或多个ICS计算部件以及ICS计算部件的不同模型之间的关联的信息。在一个或多个实施方案中,该一个或多个ICS系统模型存储在ICS计算部件散列信息数据库108中。例如,在一个实施方案中,ICS系统模型指示制造商ACME制造的型号为89114的ICS计算部件被制造商ACME或不同制造商确定为与不同型号的一个或多个ICS计算部件相关联。在一个或多个实施方案中,基于ICS计算部件模型周期性地更新该一个或多个ICS系统模型。
现在参见图6,提供了附加流程图以示出由用于体现图1所示各种部件(诸如漏洞预测服务器110)的装置的示例性实施方案执行的操作,这些操作用于以编程方式创建用于认证工业控制系统中外围设备的规则和/或策略。
在一个或多个实施方案中,漏洞预测服务器110和/或安全媒体交换节点102执行规则创建模式和/或规则认证模式,以便于认证工业控制系统106中的外围设备。
如图6的框600所示,漏洞预测服务器110被配置为接收外围设备通信地耦接到工业控制系统(例如,工业控制系统106)的指示,该指示包括标识外围设备的设备标识符。例如,在一个实施方案中,漏洞预测服务器110被配置为接收外围设备被插入工业控制系统的USB端口的指示。在另一个实施方案中,漏洞预测服务器110被配置为接收外围设备经由无线连接(例如,
如图6的框610所示,漏洞预测服务器110被配置为确定指示是否被处理。例如,漏洞预测服务器110被配置为确定外围设备是否被准确识别。除此之外或另选地,漏洞预测服务器110被配置为确定是否定位了一个或多个工业控制文件、一个或多个设备驱动器、一个或多个工业控制系统驱动器和/或一个或多个散列文件,以便于获取关于外围设备的信息。在一个或多个实施方案中,确定指示是否被处理提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能和/或提高提供给计算设备的数据的准确性。
如图6的框620所示,漏洞预测服务器110被配置为基于设备标识符从一个或多个工业控制文件中获取外围设备的设备级数据。在一个或多个实施方案中,该一个或多个工业控制文件与用于安全媒体交换节点102的操作系统的一个或多个工业控制驱动器(例如,一个或多个安全媒体交换驱动器)相关联,该操作系统与规则服务、规则数据库和/或一个或多个规则设置相关联。在一个或多个实施方案中,响应于外围设备通信地耦接到工业控制系统,该一个或多个工业控制驱动器通知规则引擎电路207该外围设备通信地耦接到工业控制系统。在一个或多个实施方案中,漏洞预测服务器110被配置为执行一种或多种机器学习技术以确定外围设备的设备类别分类。在一个或多个实施方案中,漏洞预测服务器110被配置为查询外围设备以确定外围设备的设备类别分类。在一个或多个实施方案中,获取设备级数据提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能和/或提高提供给计算设备的数据的准确性。
图7示出了设备级数据的一个示例。例如,在一个或多个实施方案中,设备级数据700包括供应商ID数据702、产品ID数据704、设备类别数据706、设备子类别数据708、动作数据710、最大计数数据712、启动时间数据714和/或用户组数据716。在一个或多个实施方案中,设备级数据700能够基于由规则引擎电路207提供的数据和/或由一个或多个用户经由用户界面提供的数据来配置。在一个或多个实施方案中,供应商ID数据702是外围设备的供应商标识符(例如,供应商_ID),产品ID数据702是外围设备的产品标识符(例如,产品_ID),设备类别数据706包括外围设备的类别数据,设备子类别数据708包括外围设备的子类别数据,动作数据710包括一个或多个动作(例如,接受、拒绝或启用附加认证层),最大计数数据712包括外围设备能够连接到工业控制系统的最大次数(例如,最大_计数数据),启动时间数据714包括关于动作数据710是工业控制系统的启动时间模式还是非启动时间模式的动作的指示,并且用户组数据716包括与外围设备相关联的用户的安全标识符。在一个示例性实施方案中,供应商ID数据702对应于外围设备的“413C”,产品ID数据702对应于外围设备的“2107”,设备类别数据706对应于“USB输入设备”,设备子类别数据708对应于“键盘”,动作数据710对应于“接受”外围设备对工业控制系统的访问,最大计数数据712对应于“10”,启动时间数据714对应于“假”,并且用户组数据716对应于“用户_1234”。
如图6的框630所示,漏洞预测服务器110被配置为基于设备级数据来定义针对外围设备的一个或多个授权规则。在一个或多个实施方案中,漏洞预测服务器110被配置为基于包括在设备级数据中的设备分类数据来定义一个或多个授权规则。在一个或多个实施方案中,漏洞预测服务器110被配置为基于工业控制系统的不同模式(例如,启动时间与非启动时间)来定义一个或多个授权规则。在一个实施方案中,漏洞预测服务器110被配置为基于设备级数据来定义允许外围设备访问工业控制系统的一个或多个部分的授权规则。在一个实施方案中,漏洞预测服务器110被配置为基于设备级数据来定义拒绝外围设备访问工业控制系统的一个或多个部分的授权规则。在一个实施方案中,漏洞预测服务器110被配置为基于设备级数据来定义启用外围设备的有意授权(例如,附加认证层)以访问工业控制系统的一个或多个部分的授权规则。在一个或多个实施方案中,定义一个或多个授权规则提供了一个或多个技术改进,诸如但不限于扩展计算设备(例如,工业控制系统)的功能和/或提高计算设备(例如,工业控制系统)的数据准确性。
图8示出了设备分类数据的一个示例。例如,在一个或多个实施方案中,设备分类数据800包括设备类别数据802和设备子类别数据804。在一个或多个实施方案中,设备类别数据802对应于包括在设备级数据700中的设备类别数据706,并且设备子类别数据804对应于包括在设备级数据700中的设备子类别数据708。在示例性实施方案中,设备类别数据802对应于“USB大容量存储设备”,并且设备子类别数据804对应于“闪存驱动器”、“超级软盘”、“CD/DVD”、“磁带”或“其他/供应商定义”。在另一个示例性实施方案中,设备类别数据802对应于“USB输入设备”,并且设备子类别数据804对应于“键盘”、“小键盘”、“指针”、“鼠标”、“消费者音频控制”、“系统控制”、“触摸板”、“触摸屏”或“供应商定义”。在一个或多个实施方案中,外围设备可包括设备类别数据802,但不包括设备子类别数据804。例如,在示例性实施方案中,设备类别数据802对应于“USB无线”,并且设备子类别数据804对应于“无”。
在一个或多个实施方案中,漏洞预测服务器110被配置为利用设备级数据和/或一个或多个授权规则创建规则数据库散列文件。在一个或多个实施方案中,规则数据库散列文件存储在ICS计算部件散列信息数据库108中。在一个或多个实施方案中,创建规则数据库散列文件提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能和/或提高提供给计算设备的数据的准确性。
在一个或多个实施方案中,漏洞预测服务器110被配置为将规则数据库散列文件存储在与工业控制系统相关联的安全媒体交换平台的数据库中。在一个或多个实施方案中,存储规则数据库散列文件提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能和/或提高提供给计算设备的数据的准确性。
在一个或多个实施方案中,漏洞预测服务器110被配置为查询外围设备以获取外围设备的设备分类数据。在一个或多个实施方案中,查询外围设备提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能和/或提高提供给计算设备的数据的准确性。
在一个或多个实施方案中,漏洞预测服务器110被配置为从相对于工业控制系统的系统操作系统执行的模拟中获取设备级数据。例如,在一个或多个实施方案中,漏洞预测服务器110被配置为采用一个或多个模拟来预测外围设备将如何被工业控制系统采用。在一个或多个实施方案中,除此之外或另选地,漏洞预测服务器110被配置为基于相对于工业控制系统的系统操作系统执行的模拟来确定是否和/或何时允许外围设备连接到工业控制系统。在一个或多个实施方案中,从模拟中获取设备级数据提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能和/或提高提供给计算设备的数据的准确性。
在一个或多个实施方案中,响应于接收到外围设备通信地耦接到工业控制系统的另一指示,漏洞预测服务器110被配置为启用规则认证模式以确定是否授权该外围设备访问该工业控制系统。例如,当外围设备经由未来连接连接到安全媒体交换节点102时,可采用规则数据库散列文件来确定外围设备的授权结果(例如,允许、拒绝或启用附加认证层)。在一个或多个实施方案中,规则认证模式向一个或多个工业控制系统驱动器提供授权结果和设备分类数据以便于对外围设备的授权。在一个或多个实施方案中,启用规则认证模式提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能、提高提供给计算设备的数据的准确性和/或相对于计算设备的必要交互。
在一个或多个实施方案中,响应于接收到外围设备通信地耦接到工业控制系统的另一指示,漏洞预测服务器110被配置为针对由用户提供的附加认证层生成通知。在一个实施方案中,附加认证层与授权代码相关联。在另一个实施方案中,附加认证层与数字密钥交换相关联。在另一个实施方案中,附加认证层与安全令牌相关联。在另一个实施方案中,附加认证层与面部识别过程相关联。在一个或多个实施方案中,附加认证层获取被允许授权外围设备的安全标识符列表。在一个或多个实施方案中,生成通知提供了一个或多个技术改进,诸如但不限于扩展计算设备的功能、提高提供给计算设备的数据的准确性和/或相对于计算设备的必要交互。
图9示出了针对附加认证层的通知的一个示例。例如,在一个或多个实施方案中,通知900包括设备级数据902、设备能力数据904、授权代码906和/或输入数据字段908。在示例性实施方案中,设备级数据902包括数据诸如供应商ID(例如,413C)、产品ID(例如,2107)、制造商(例如,制造商_A)、产品描述(例如,USB输入键盘、USB输入设备等)。此外,在示例性实施方案中,设备能力数据904包括用于外围设备的一个或多个能力(例如,输入、键盘等)。在示例性实施方案中,授权代码906是用于用户输入到输入数据字段908中的授权代码(例如,“247”)。在一个或多个实施方案中,通知900被配置用于经由计算设备(例如,安全媒体交换节点102)的用户界面(例如,电子用户界面、图形用户界面等)进行呈现。
尽管本说明书包含许多特定的具体实施细节,但这些细节不应解释为对任何公开或可要求保护内容的范围的限制,而应解释为对特定公开的特定实施方案而言是特定的特征的描述。在一个或多个实施方案中,本文在单独实施方案的上下文中描述的某些特征也在单个实施方案中组合实现。相反,在单个实施方案的上下文中描述的各种特征也分别在多个实施方案中或以任何合适的子组合来实现。此外,尽管特征可能在上文被描述为以某些组合形式起作用并且甚至最初是这样要求保护的,但在一个或多个实施方案中,从组合中除去来自所要求保护的组合的一个或多个特征,并且所要求保护的组合针对子组合或子组合的变型。
类似地,尽管在附图中以特定顺序描绘了操作,但这不应理解为要求以所示的特定次序或以顺序次序执行此类操作,或者执行所有的所示操作以达到期望的结果。在某些情况下,多任务和并行处理是有利的。此外,上述实施方案中的各种系统部件的分离不应被理解为在所有实施方案中要求此类分离,并且应当理解,所述程序部件和系统一般在单个软件产品中集成在一起或分组成多个软件产品。
因此,已经描述了本主题的特定实施方案。其他实施方案在以下权利要求书的范围内。在一些情况下,权利要求书中所述的动作以不同的顺序执行,并且仍然实现期望的结果。此外,附图中描绘的过程不一定需要所示的特定次序或顺序次序来实现期望的结果。在某些具体实施中,多任务和并行处理是有利的。
如上所述,图3、图4A、图4B、图5和图6示出了根据本发明的示例性实施方案的装置和方法的流程图。应当理解,流程图中的每个框、以及流程图中的各框的组合根据一个或多个实施方案通过各种装置(诸如硬件、固件、处理器、电路和/或与包括一个或多个计算机程序指令的软件的执行相关联的其他设备)来实现。例如,在一个或多个实施方案中,上述过程中的一者或多者的一些框通过计算机程序指令体现。应当理解,可将任何此类计算机程序指令加载到计算机或其他可编程装置(例如,硬件)上以产生机器,使得所得计算机或其他可编程装置实现流程图框中指定的功能。在一个或多个实施方案中,这些计算机程序指令还存储在计算机可读存储器中,该计算机可读存储器指示计算机或其他可编程装置以特定方式工作,使得存储在计算机可读存储器中的指令产生一种制品,这些指令的执行可实现流程图框中指定的功能。在一个或多个实施方案中,计算机程序指令还加载到计算机或其他可编程装置上,以使得在计算机或其他可编程装置上执行一系列操作,从而产生计算机实现的过程,使得在计算机或其他可编程装置上执行的指令提供用于实现流程图框中指定的功能的操作。
因此,流程图中的框支持用于执行指定功能的装置的组合以及用于执行指定功能的操作的组合。还将理解,在一个或多个实施方案中,流程图中的一个或多个框以及流程图中的框的组合由执行指定功能的基于硬件的专用计算机系统或者专用硬件和计算机指令的组合来实现。
在一个或多个实施方案中,修改或进一步放大了上述操作中的某些操作。此外,在一个或多个实施方案中,包括附加的任选操作。对上述操作的修改、添加或放大可以任何顺序和任何组合执行。
本发明所属领域的技术人员在受益于前述描述和相关附图中呈现的教导之后,将想到本文所阐述的本发明的许多修改和其他实施方案。因此,应当理解,本公开不限于所公开的特定实施方案,并且修改和其他实施方案旨在被包括在所附权利要求的范围内。尽管本文采用了特定术语,但它们仅以一般性和描述性意义使用,而不是出于限制的目的。
机译: 基于外围设备分类的外围设备定义授权规则的方法和装置
机译: 基于外围设备分类的外围设备定义授权规则的方法和装置
机译: 基于usb的外围设备和用于启动基于usb的外围设备的方法
