[发明专利]监测方法和装置、工业控制系统和计算机可读介质

说明书

本发明提供一种用于监测工业控制系统的运行安全的监测方法、监测装置、工业控制系统和计算机可读介质。该监测方法包括：从所述工业控制系统的工业控制网络采集数据包；通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及基于所述物理特征量监测所述工业控制系统的运行异常。

技术领域

本发明涉及工业控制领域，尤其涉及一种用于监测工业控制系统的运行安全的监测方法、监测装置、工业控制系统和计算机可读介质。

背景技术

核电工业控制系统用于监测和控制核电厂的各个流程和设备，若其受到网络安全的威胁，则会影响核电厂的安全和性能，可能会导致流程异常和设备故障，甚至酿成严重事故。由于核电工业控制系统在控制实时性、运行连续性方面有较高的要求，且采用专用工控协议，因此信息系统的网络安全方法和策略无法直接应用于核电工控系统。监测审计方法作为一种对系统运行干扰小的网络安全方法，可以应用于核电工控系统。

然而，现有的监测审计方法存在以下问题：1)现有工控网络安全监测审计的数据包解析方法一般仅得到网络特征量，个别方法可以根据特定的工控协议，分析得到工控协议中各个数据字段的值。上述方法均未结合具体的工艺过程还原出相关的物理特征量；2)现有的工控网络安全监测审计的异常判定方法只利用网络特征量或工控协议数据字段的值，没有利用工艺层面的物理特征量，无法应对网络特征量或工控协议数据结构正常、但控制行为异常的网络攻击。

背景技术部分的内容仅仅是发明人所知晓的技术，并不当然代表本领域的现有技术。

发明内容

针对现有技术存在问题中的一个或多个，本发明提供一种用于监测工业控制系统的运行安全的监测方法，包括：从所述工业控制系统的工业控制网络采集数据包；通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及基于所述物理特征量监测所述工业控制系统的运行异常。

根据本发明的一个方面，还提供一种用于监测工业控制系统的运行的监测装置，包括：采集单元，被配置为从所述工业控制系统的工业控制网络采集数据包；获取单元，通过对所述数据包进行应用层解析，获取所述工业控制系统的物理特征量；以及监测单元，被配置为基于所述物理特征量监测所述工业控制系统的运行异常。

根据本发明的一个方面，还提供一种工业控制系统，包括如上所述的监测装置。

根据本发明的一个方面，还提供一种计算机存储介质，包括存储于其上的计算机可执行指令，所述可执行指令在被处理器执行时实施如上所述的监测方法。

根据本发明的用于监测工业控制系统的运行的监测方法、监测装置、工业控制系统和计算机可读介质至少具有以下有益技术效果之一：能够通过对从网络获取的数据包进行解析获取工控数据，并利用工控系统的组态信息获取物理特征量；并且基于还原得到的物理特征量，扩展监测审计的数据来源，有助于识别更多更隐蔽的工控网络攻击，降低工控网络入侵检测的漏报率。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1示出了根据本发明的用于监测工业控制系统的运行安全的监测方法的示意图。

图2示出了Modbus协议中、请求数据包及其对应的应答数据包的示例。

图3示出了根据本发明实施例的监测装置的一种示例性结构的框图。

图4示出了根据本发明的用于监测工业控制系统的运行安全的监测方法的一种示例性处理。

图5是示出了可用来实现根据本发明实施例的用于监测工业控制系统的运行安全的监测方法和监测装置的一种可能的信息处理设备的硬件配置的结构简图。

具体实施方式