[发明专利]工业控制系统控制行为检测防护方法和系统

权利要求书

1.一种工业控制系统控制行为检测防护方法，其特征在于：所述检测防护方法包括接收工业控制系统通信网络上的至少一个正在传输的数据包；

通过至少一个正在传输的数据包的一个或多个特性检测到与至少一个数据包相关联的控制行为；

对应至少一个正在传输的数据包及检测到的控制行为，确定至少一条防护规则；

对数据包执行防护操作，所述数据包为对应防护规则的若干数据包之一，防护操作包括以下一个或多个操作：允许数据包传输、阻断数据包传输、要求用户鉴权和记录数据包；

其中，还包括重新配置至少一个关联规则，用于确定随后接收到数据包的防护规则，进而确定防护操作，于是，在随后的重新配置触发不同的防护规则之前，对给定的数据包触发指定的防护操作。

2.根据权利要求1所述的检测防护方法，其特征在于：所述控制行为是对连接在工业控制系统通信网络上正在运行的PLC的维护或一台配置成与PLC交互的计算机设备的操作，控制行为包括：登陆计算机系统，从计算机设备登出，启动计算机设备的CPU、终止计算机设备的CPU、扫描PLC、读取PLC的逻辑，写入PLC逻辑，读取PLC配置值、写入PLC的配置值。

3.根据权利要求1所述的检测防护方法，其特征在于：所述数据包的特性包括数据包中一个或多个字段的值。

4.根据权利要求1所述的检测防护方法，其特征在于：至少一个数据包特性是无需通过解析数据包包头来确定字段。

5.根据权利要求4所述的检测防护方法，其特征在于：无需解析的数据包特性从组成数据包的一个字节的数值和组成数据包的载荷字节长度中选择。

6.根据权利要求3所述的检测防护方法，其特征在于：从一个或多个数据包字段提取的一个或多个字段值中选择对应被检测到的控制行为。

7.根据权利要求1所述的检测防护方法，其特征在于：数据包防护操作的发起对应着具有一系数据包序列特征的一系列防护规则，并且对应数据包序列中至少一个数据包，至少检测到一个控制行为。

8.根据权利要求1所述的检测防护方法，其特征在于：重新配置在预定时间段后被反转。

9.根据权利要求1所述的检测防护方法，其特征在于：重新配置是对应PLC写入逻辑相关确定的防护操作时，当接收到允许通过的数据包，随后接收到关联到PLC写入逻辑的数据包就被阻断。

10.一种工业控制网络控制行为检测防护的计算机系统，其特征在于：包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1-9任一一项所述的检测防护方法。

11.一种计算机可读存储介质，所述存储介质存储有计算机程序，该计算机程序被一个或多个处理器执行时用于实现权利要求1-9任一一项所述的检测防护方法的步骤。

12.一种用于监控工业控制系统通信网络上传输数据包的系统，所述工业控制系统包括至少一个传感器、至少一个终端设备、和至少一个可编程控制器，所述系统包括：

存储器，带有计算机可执行指令集的软件，包含用于数据包与防护操作关联规则的用户行为数据库，包含用于数据包与防护规则关联规则的防护规则数据库，包含对给定防护规则为特征的数据包与指定防护操作关联规则的防护操作数据库；

通信端口，用于接收数据包，所述通信端口配置为与工业控制系统通信网络部分相连接；

处理器根据指令集处理通过所述通信端口从工业控制系统通信网络部分接收到的数据包，处理过程包括如权利要求1-9任一一项的方法步骤。