[发明专利]用于检测对网络的分布式现场总线的入侵的方法及其系统

权利要求书

1.一种用于探测对包含多个节点（101）的现场总线网络的入侵的方法，该方法包括：

通过在所述多个节点（101）中的第一节点内的入侵探测系统（103）接收多个消息信号（205），其中，所述第一节点被配置成发送所述多个消息信号（205）；

其特征在于：

通过使用所述多个消息信号（205）中的至少一个消息信号（205）执行哈希函数而由所述入侵探测系统（103）生成第一蜜罐信号（502），其中，哈希信号被生成以模拟所述消息信号（205），其中，所述第一蜜罐信号（502）连同所述多个消息信号（205）一起被发送至所述多个节点（101）中的第二节点；

通过对所生成的第一蜜罐信号（502）计算回声哈希函数而由所述入侵探测系统（103）生成参考蜜罐信号，其中，所述参考蜜罐信号被存储在与所述入侵探测系统（103）相关的存储器中；

由所述入侵探测系统（103）自所述第二节点接收第二蜜罐信号，其中，所述第二蜜罐信号是通过对所发送的第一蜜罐信号（502）执行所述回声哈希函数来生成的；和

由所述入侵探测系统（103）比较所述参考蜜罐信号与所述第二蜜罐信号以探测网络入侵。

2.根据权利要求1所述的方法，其中，所述多个消息信号（205）被存储在所述存储器（202）中，并且其中，所述多个消息信号（205）中的至少一个消息信号（205）被基于随机私钥、门函数和哈希函数所产生的堆栈索引访问以生成所述第一蜜罐信号（502）。

3.根据权利要求2所述的方法，其中，所述门函数基于所述随机私钥计算门序列以确定生成所述第一蜜罐信号（502）的时间间隔，所述门序列确定何时允许信号变化，所述门序列是二进制比特流，其中比特1代表此时第一蜜罐信号（502）的变化被允许，比特0代表第一蜜罐信号（502）的变化不被允许。

4.根据权利要求3所述的方法，其中，基于所述门序列和所述随机私钥生成所述堆栈索引是通过以下至少之一来进行的：

将所述门序列的数位和初始化至任意值，并确定源自针对消息周期所确定的所述门序列的所有布尔数位和之和的数。

5.根据权利要求1所述的方法，其中，所述第一蜜罐信号（502）和所述多个消息信号（205）被打包在协议数据单元（504，506）中，并且所述协议数据单元（504，506）被配置成在消息周期时间内发送。

6.根据权利要求1所述的方法，其中，在由所述第二节点计算所述第二蜜罐信号与发送所述第二蜜罐信号至所述第一节点的所述入侵探测系统（103）所耗用的时间量之间的时延被补偿以探测对分布式现场总线的入侵，对于每个消息周期，其中，通过与所述参考蜜罐信号的时间实例相比较来同步所述第二蜜罐信号的时间实例，所述第二蜜罐信号被时间补偿，并且其中，利用时间同步参数来执行时间同步，所述时间同步参数包含在所述第二节点上的生成所述第二蜜罐信号的所述回声哈希函数的时间同步常数、从所述第二节点至所述第一节点的周期性通信的时间同步常数、将来自所述发送方节点的所述第二蜜罐信号与来自所述第一节点的所述参考蜜罐信号相比较的验证逻辑的时间同步常数和所述第一蜜罐信号（502）的传输的时间实例。

7.根据权利要求6所述的方法，其中，基于计数诊断和积分诊断之一进行比较来探测对所述分布式现场总线的入侵。

8.根据权利要求4所述的方法，其中，计数诊断包括确定所述第二蜜罐信号与所述参考蜜罐信号相比在预定期间内的比特变化的次数，积分诊断包括确定所述第二蜜罐信号与所述参考蜜罐信号相比的变化量。