[发明专利]监测方法和装置、工业控制系统和计算机可读介质

权利要求书

1.一种用于监测工业控制系统的运行安全的监测方法，包括：

从所述工业控制系统的工业控制网络采集数据包；

通过对所述数据包进行应用层解析，获取所述工业控制系统的被控对象的物理特征量；

根据网络传输协议对所采集的数据包进行解析，以获取所述数据包的网络传输层数据作为网络特征量，以及

基于所述物理特征量和网络特征量监测所述工业控制系统的运行异常，

其中，获取所述工业控制系统的被控对象的物理特征量包括：

通过对所述数据包进行应用层解析，以获取应用层信息；

利用所述应用层信息，对所述数据包进行请求应答整合，以获取工控操作数据；以及

根据所述工业控制系统的组态信息，对所述工控操作数据进行物理特征量匹配，以还原所述工业控制系统的被控对象的物理特征量。

2.如权利要求1所述的监测方法，其中，获取所述应用层信息包括：根据工控应用协议，对采集到的数据包进行解析，以获取包括功能码和数据在内的应用层信息；

其中，获取工控操作数据优选包括：通过所述应用层信息中包括的功能码，将所采集到的数据包中执行请求的数据包与其对应的响应数据包进行匹配整合，从而获取所述工控操作数据，其中，所述工控操作数据优选包括：寄存器地址、寄存器值以及操作指令。

3.如权利要求2所述的监测方法，其中，对所述工控操作数据进行被控对象物理特征量匹配包括对所述工控操作数据进行所述被控对象物理特征量的名称匹配和所述被控对象物理特征量的内容匹配，

其中，对所述工控操作数据进行物理特征量名称匹配优选进一步包括：根据所述工业控制系统的组态信息，将所述工控操作数据中包括的寄存器地址转换为所述被控对象物理特征量的名称；和/或所述被控对象物理特征量的内容匹配优选进一步包括：根据所述工业控制系统的组态信息，将所述工控操作数据中包括的寄存器值转换为所述被控对象物理特征量的内容。

4.如权利要求1-3中任一项所述的监测方法，其中，监测所述工业控制系统的运行异常包括：

针对多个所述物理特征量中的至少一个，利用预定的第一事件规则，判断所述物理特征量是否构成事件；以及

根据多个所述事件中的至少一个，基于预定的第一报警规则，判断所述工业控制系统是否存在运行异常。

5.如权利要求1-3中任一项所述的监测方法，其中，判断所述工业控制系统是否存在运行异常还包括：基于所述网络特征量和所述物理特征量，利用预定的第二事件规则，确定所述网络特征量和/或所述物理特征量是否构成事件；以及根据多个所述事件中的至少一个，基于预定的第二报警规则，判断所述工业控制系统是否存在运行异常。

6.一种用于监测工业控制系统的运行的监测装置，包括：

采集单元，被配置为从所述工业控制系统的工业控制网络采集数据包；

获取单元，通过对所述数据包进行应用层解析，获取所述工业控制系统的被控对象的物理特征量，根据网络传输协议对所采集的数据包进行解析，以获取所述数据包的网络传输层数据作为网络特征量；以及

监测单元，被配置为基于所述物理特征量和网络特征量，监测所述工业控制系统的运行异常，

其中，所述获取单元被进一步配置为：

通过对所述数据包进行应用层解析，以获取应用层信息；

利用所述应用层信息，对所述数据包进行请求应答整合，以获取工控操作数据；以及

根据所述工业控制系统的组态信息，对所述工控操作数据进行物理特征量匹配，以还原所述工业控制系统的被控对象的物理特征量。

7.如权利要求6所述的监测装置，其中，所述获取单元被配置为根据工控应用协议，对采集到的数据包进行解析，以获取包括功能码和数据在内的应用层信息；

其中，所述获取单元优选被进一步配置为：通过所述应用层信息中包括的功能码，将所采集到的数据包中执行请求的数据包与其对应的响应数据包进行匹配整合，从而获取所述工控操作数据，其中，所述工控操作数据优选包括：寄存器地址、寄存器值以及操作指令。