[发明专利]用于识别工业控制系统内的已泄密设备的系统和方法

权利要求书

1.一种用于识别工业控制系统内已泄密设备的方法，所述方法的至少一部分由包括至少一个处理器的计算设备来执行，所述方法包括：

监视网络内的网络流量，所述网络流量促进了用于包括至少一个工业设备的工业控制系统的通信；

至少部分地基于所述网络流量来创建用于所述工业设备的消息协议配置文件，所述消息协议配置文件描述了：

经由所述网络用于与所述工业设备通信的网络协议；

所述工业设备的正常通信模式；以及

所述工业设备的一或多个有效操作码；

检测所述网络内涉及所述工业设备和包括在所述工业控制系统中的至少一个其他计算设备的至少一条消息；

识别所述消息中的至少一个操作码；

通过将在所述消息中所识别的所述操作码与在所述消息协议配置文件中描述的所述工业设备的所述有效操作码进行比较来确定所述消息表示与所述工业设备的所述正常通信模式可疑地不一致的异常；以及

至少部分地基于表示所述异常的所述消息来确定所述其他计算设备可能已经泄密。

2.根据权利要求1所述的方法，还包括响应于确定所述其他计算设备可能已经泄密，相对于所述其他计算设备执行至少一个安全操作。

3.根据权利要求2所述的方法，其中所述安全操作包括以下项中的至少一者：

向至少一个附加计算设备发出所述其他计算设备已经泄密的警报通知；

从所述工业控制系统隔离所述其他计算设备，以防止所述其他计算设备与所述工业控制系统内的任何附加计算设备进行通信；

关闭所述其他计算设备，以防止所述其他计算设备与所述工业控制系统内的任何附加计算设备通信；

阻止所述其他计算设备和所述工业控制系统内的任何附加计算设备之间的所有消息；以及

通过将所述其他计算设备的至少一个计算任务传输到所述工业控制系统内的至少一个附加计算设备来替换所述工业控制系统内的所述其他计算设备。

4.根据权利要求1所述方法，其中在所述网络内监视所述网络流量包括：

检测所述网络内源自或去往所述工业设备的消息；以及

识别包括在所述消息的字段中的参数。

5.根据权利要求4所述的方法，其中为所述工业设备创建所述消息协议配置文件包括，从包括在所述消息的所述字段中的所述参数来构建所述工业设备的所述正常通信模式的基线表示。

6.根据权利要求5所述的方法，其中：

检测所述网络内源自或者去往所述工业设备的所述消息包括创建相对于所述工业设备具有某些共同特征的消息集合；以及

构建所述工业设备的所述正常通信模式的所述基线表示包括通过以下步骤构建所述工业设备的所述正常通信模式的所述基线表示：

对所述消息集合进行分析；以及

将所述消息字段中识别的所述参数的表示插入到所述基线表示中。

7.根据权利要求6所述的方法，其中检测所述网络内涉及所述工业设备和所述其他计算设备的所述消息包括确定所述消息和所述消息集合共享所述某些共同特征。

8.根据权利要求7所述的方法，其中确定所述消息表示所述异常包括：

识别包括在所述消息的至少一个字段中的至少一个参数；以及

确定在所述消息的所述字段中识别的所述参数与所述工业设备的所述正常通信模式的所述基线表示可疑地不一致。

9.根据权利要求5所述的方法，其中构建所述工业设备的所述正常通信模式的所述基线表示包括至少部分地基于在所述消息的所述字段中所识别的所述参数来形成一组策略规则，所述组策略规则表示所述工业设备的所述正常通信模式的参考。

10.根据权利要求9所述的方法，其中形成所述组策略规则包括在促进计算与所述工业设备通信的计算设备的风险评分的数学公式中对表示与违反所述组策略规则中的至少一个策略规则相关联的风险级别的数值进行加权。