最新中国发明专利
/
2021-03-30

基于虚拟运行和状态转换的工控系统网络攻击应对方法转让专利

申请号 : CN201910686702.2

文献号 : CN110505215B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 丁旭阳游新童谢盈张小松杜解王筱翔

申请人 : 电子科技大学

摘要 :

本发明提供了基于虚拟运行和状态转换的工控系统网络攻击应对方法,该方法在工控系统异常状态下,提出了一种基于状态转换的恢复机制,用于工控系统遭受攻击后及时恢复现场设备的正常运转;同时提出了一种基于虚拟运行的隔离机制,用于工控系统遭受攻击后隔离现场设备,避免遭受进一步恶意控制,这两种机制通过工控系统的内部数据交换中心和外部数据交换中心完成配合与触发。所述恢复机制保证了工控系统不会在发生异常后失去运行能力或是造成严重后果;所述隔离机制保证了工控系统的外部控制中心遭到网络入侵并被控制后,现场设备不会受到持续下达的错误指令的进一步影响,提高了工控系统的网络攻击应对能力。

权利要求 :

1.一种基于虚拟运行和状态转换的工控系统网络攻击应对方法,其特征在于:实现该网络攻击应对方法的所述工控系统主要包括以下组件:现场设备、外部控制中心、外部数据交换中心、内部数据交换中心、虚拟化设备、隔离监测器、恢复控制器和异常监测器;其中,所述现场设备、外部数据交换中心、内部数据交换中心、虚拟化设备、隔离监测器、恢复控制器和异常监测器位于现场,所述外部数据交换中心直接与所述虚拟化设备、所述隔离监测器以及所述内部数据交换中心相连接;所述内部数据交换中心与所述外部数据交换中心、所述恢复控制器、所述异常监测器以及所述现场设备相连接,并且所述内部数据交换中心直接采集现场设备运转产生的数字信号或模拟信号,并传递给与之相连接的其他组件;而外部控制中心是远程系统控制中心,使用RJ45或RS232网络总线与外部数据交换中心连接,获取所述现场设备运行产生的数据并下达控制指令给所述现场设备;

所述工控系统共有两种运行状态:所述现场设备正常运行的正常状态和所述现场设备发生异常的异常状态;

所述异常监测器具备状态转换功能,未发现所述现场设备发生异常时处于正常状态,一旦通过对所述现场设备运行产生的数据进行分析发现异常,立即切换为对应的现场设备发生异常的异常状态:

正常状态下,所述现场设备与所述内部数据中心联通,把所述现场设备运行产生的数据送到所述内部数据交换中心,所述内部数据交换中心收集到所述现场设备运行产生的数据后将所述现场设备运行产生的数据同时交给所述异常监测器和所述外部数据中心,其中,所述异常监测器分析所述现场设备运行产生的数据,判断是否存在异常,同时所述外部数据中心收到所述现场设备运行产生的数据后,使用Modbus/TCP网络通信协议传输给远程的外部控制中心,所述外部控制中心收到并分析所述现场设备运行产生的数据后,按照预设策略将相应的控制指令经所述外部数据交换中心和所述内部数据交换中心传递到所述现场设备完成对所述现场设备的控制,正常状态下,所述虚拟化设备和所述隔离监测器以及所述恢复控制器均不参与所述工控系统的运转;

异常状态下,主要通过恢复机制和隔离机制这两种机制对所述工控系统进行复原和保护,其中,所述恢复机制由所述恢复控制器和所述异常监测器这两个功能组件相互配合实现;所述隔离机制由所述虚拟化设备和所述隔离监测器这两个功能组件相互配合实现;两种机制的配合与触发依赖所述内部数据交换中心和所述外部数据交换中心两个数据交换中心的相互配合,具体包括如下步骤:

S1)所述异常监测器在送来的所述现场设备运行产生的数据中发现异常,立刻通知所述恢复控制器接管所述现场设备,触发恢复机制;同时通知所述隔离监测器异常情况,触发隔离机制,然后所述隔离监测器通过预设算法分析异常原因,提取出异常的特征,并转换到相应的异常状态,所述内部数据交换中心切断所述外部数据交换中心与所述现场设备的连接,将所述恢复控制器与所述现场设备联通并通知所述外部数据交换中心改变数据流向;

接着复原操作指令经过所述内部数据交换中心被送到所述恢复控制器;

S2)所述恢复控制器收到所述复原操作指令后依据所述复原操作指令执行相应操作,控制所述现场设备处理异常情况,完成所述现场设备的复原,所述异常监测器持续监测所述恢复控制器的执行情况,如果异常情况没有解决,则所述异常监测器指挥所述恢复控制器采取进一步措施,执行更强的恢复策略,直到异常不再存在,结束恢复机制,所述恢复控制器不再控制现场设备,所述异常监测器回到正常状态;

执行上述步骤S2)的同时,执行下述步骤S3)-S5):S3)所述外部数据交换中心切断与所述内部数据交换中心的数据交换,唤醒所述虚拟化设备,完成所述虚拟化设备的初始化,并将所述外部控制中心的控制指令送到所述虚拟化设备虚拟执行,将所述虚拟化设备的输出回送给所述外部控制中心,同时联通所述虚拟化设备与所述隔离监测器;

S4)所述隔离监测器在一个预设隔离周期内持续监测所述虚拟化设备的运行情况,并分析异常是否再次出现;

S5)如果一个预设隔离周期后,所述虚拟化设备保持正常运行,说明网络攻击已经停止,所述外部控制中心可以信任,所述隔离监测器将通知所述外部数据中心恢复所述外部控制中心与所述现场设备的连接,结束隔离机制,使所述工控系统回到正常状态;如果一个所述预设隔离周期后,所述虚拟化设备模拟运行得到的输出异常,说明网络攻击未结束,所述隔离监测器将重启所述虚拟化设备,并重复步骤S4)和步骤S5);

所述恢复机制负责在所述现场设备发生异常后分析异常状态并针对所述异常状态执行相应的恢复机制,完成对所述现场设备的复原;所述隔离机制负责隔离所述现场设备与所述外部控制中心,采用所述虚拟化设备替代所述现场设备对所述外部控制中心的控制指令进行测试和分析,判断所述控制指令是否存在问题;所述恢复机制保证了所述工控系统不会在发生异常后失去运行能力或是造成严重后果;所述隔离机制保证了所述外部控制中心遭到网络入侵并被控制后,所述现场设备不会受到持续下达的错误指令的进一步影响。

2.根据权利要求1所述的基于虚拟运行和状态转换的工控系统网络攻击应对方法,其特征在于,实现所述恢复机制的所述恢复控制器和所述异常监测器的设计基于所述工控系统现场设备异常情况的种类和恢复策略,并根据现场设备的升级或更换的情况对所述恢复控制器和所述异常监测器进行更新。

3.根据权利要求1所述的基于虚拟运行和状态转换的工控系统网络攻击应对方法,其特征在于,所述虚拟化设备完全模拟所述现场设备的运行,对于所述外部控制中心下达的控制指令,所述虚拟化设备的输出与所述现场设备一致。

4.根据权利要求2或3所述的基于虚拟运行和状态转换的工控系统网络攻击应对方法,其特征在于,所述预设隔离周期的时长与所述恢复控制器的恢复策略的时长相协调,并根据实际需求进行调整。

5.根据权利要求4所述的基于虚拟运行和状态转换的工控系统网络攻击应对方法,其特征在于,所述隔离监测器的预设算法和异常状态的设计与所述异常监测器的设计一致。

说明书 :

基于虚拟运行和状态转换的工控系统网络攻击应对方法

技术领域

[0001] 本发明涉及工控系统遭受网络攻击后控制损失的网络安全问题,具体涉及一种基于虚拟运行和状态转换的工控系统网络攻击应对方法。

背景技术

[0002] 工业控制系统(简称工控系统)是一种应用于能源、供水、工业自动化等工业领域中的自动化控制系统。工业控制系统基于从远程站点获取的数据,分析现场设备的运转情
况,并依据预先设计好的应对策略,把相应的控制指令送到现场设备,以监测和保障现场设
备的正常运行。如今,工业控制系统与以太网结合,并引入了通用的操作系统,工作效率和
开放性得到了显著的提升。与此同时,由于早先的工控系统往往运行在封闭、专门的环境
中,现在广泛应用的工业控制系统在设计上大都不会考虑刻意的攻击行为,既缺乏对攻击
的防范意识,也没有考虑遭受攻击后控制损失的手段,现有的各种工控协议和机制也存在
诸多漏洞。再加上工业控制系统对于实时性和性能的高要求以及对于错误的低容忍使得传
统的安全方案难以实施。这就导致了近十年间类似“震网”病毒等针对工业控制系统的网络
攻击事件频频发生,而由于工业控制系统的特殊性,这些攻击得手后往往造成昂贵设备、数
据、材料的损坏甚至人员伤亡等严重后果,引起了广泛关注。这些入侵事件进一步暴露出了
工业控制系统在信息安全方面的缺口和需求。
[0003] 针对工业控制系统在网络环境下的安全策略,现有方法大多集中在分析和降低工控系统遭受网络攻击的风险上,常见的方法包括对参数加密的各种方法、针对网络攻击的
入侵检测方法、改进的通信协议、白名单、内部管理监测和物理隔离手段等等。这些方法对
于防御网络攻击是具有一定效果的,但是由于只考虑了对网络攻击的监测和防御,对于一
旦防御被攻破,入侵者已经开始干扰现场设备的正常运转的情况下,如何有效地保护现场
设备尽可能少受损失以及免受连续的攻击危害则没有涉及。事实上,防御策略的作用往往
是有限的,一个工业控制系统在防御被攻破后如果没有有效的策略及时恢复和隔离系统,
那么很有可能会被入侵者掌握主动权或是通过连续的攻击进一步扩大损失。

发明内容

[0004] 为了克服当前工控系统网络安全方面的上述不足,本发明提出了一种基于虚拟运行和状态转换的工控系统网络攻击应对方法,该应对方法用于在工控系统已经受到入侵且
入侵者已经对工控系统的运转产生一定影响后,进行合理的应对。
[0005] 本发明提出的基于虚拟运行和状态转换的工控系统网络攻击应对方法,不仅可以及时控制和消除入侵带来的影响,还可以避免连续的网络攻击对工控系统造成持续性的破
坏。
[0006] 为了达成上述两个目的,本发明主要通过两种机制来对所述工控系统进行复原和保护,即恢复机制和隔离机制。
[0007] 实现该应对方法的所述工控系统主要包括:现场设备、外部控制中心、外部数据交换中心、内部数据交换中心、虚拟化设备、隔离监测器、恢复控制器和异常监测器。其中,外
部数据交换中心直接与虚拟化设备、隔离监测器以及内部数据交换中心连接;内部数据交
换中心与外部数据交换中心、恢复控制器、异常监测器以及现场设备连接。上述组件都位于
现场,其中,内部数据交换中心直接采集现场设备运转产生的数字信号或模拟信号,并传递
给与之相连接的其他组件;而外部控制中心是远程系统控制中心,使用网络总线(如RJ45,
RS232等)与外部数据交换中心连接,获取现场设备运转产生的数据并下达控制指令给现场
设备。所述工控系统共有两种运行状态:现场设备正常运行的正常状态和现场设备发生异
常的异常状态;
[0008] 所述恢复机制由所述恢复控制器和所述异常监测器这两个功能组件相互配合实现;所述隔离机制由所述虚拟化设备和所述隔离监测器这两个功能组件相互配合实现;两
种机制的配合与触发依赖所述内部数据交换中心和所述外部数据交换中心两个数据交换
中心的相互配合;
[0009] 所述异常监测器具备状态转换功能,未发现现场设备发生异常时处于正常状态,一旦通过数据分析发现异常,立即切换为对应的现场设备发生异常的异常状态:
[0010] 正常状态下,现场设备与内部数据中心联通,把现场设备运行产生的数据送到内部数据交换中心,内部数据交换中心收集到所述数据后同时交给异常监测器和外部数据中
心,其中,异常监测器分析所述数据,判断是否存在异常,同时外部数据中心收到所述数据
后使用Modbus/TCP等网络通信协议传输给远程的外部控制中心。收到并分析现场设备的数
据后,外部控制中心按照预设策略将相应的控制指令经外部数据交换中心和内部数据交换
中心传递到现场设备完成对现场设备的控制,正常状态下,虚拟化设备和隔离监测器以及
恢复控制器不参与所述工控系统运转;
[0011] 异常状态下,所述工控系统进行网络攻击的应对方法采用如下步骤:
[0012] S1)所述异常监测器在送来的数据中发现异常,立刻通知所述恢复控制器接管所述现场设备,触发恢复机制,同时通知所述隔离监测器异常情况,触发隔离机制,然后通过
预设算法分析异常原因,提取出异常的特征,并转换到相应的异常状态,接着把复原操作指
令经过所述内部数据交换中心送到所述恢复控制器,并持续分析设备恢复情况,如果恢复
失败则重新分析并执行更强的恢复策略;
[0013] S2)所述恢复控制器收到所述复原操作指令后依据所述复原操作指令执行相应操作,控制所述现场设备处理异常情况,完成现场设备的复原,所述异常监测器持续监测所述
恢复控制器的执行情况,如果异常情况没有解决,则所述异常监测器指挥所述恢复控制器
采取进一步措施,直到异常不再存在,结束恢复机制,所述恢复控制器不再控制现场设备,
所述异常监测器回到正常状态;
[0014] 与此同时,所述内部数据交换中心切断所述外部数据交换中心与所述现场设备的连接,将所述恢复控制器与所述现场设备联通并通知所述外部数据交换中心改变数据流
向,触发隔离机制;
[0015] S3)隔离机制触发,所述外部数据交换中心切断与所述内部数据交换中心的数据交换,唤醒所述虚拟化设备,并将所述外部控制中心的控制指令送到所述虚拟化设备虚拟
执行,将所述虚拟化设备的输出回送给所述外部控制中心,同时联通所述虚拟化设备与所
述隔离监测器;
[0016] S4)所述隔离监测器在一个预设隔离周期内持续监测所述虚拟化设备的运行情况,并分析异常是否再次出现;
[0017] S5)如果一个预设隔离周期后所述虚拟化设备保持正常运行,说明网络攻击已经停止,所述外部控制中心可以信任,所述隔离监测器将通知所述外部数据中心恢复所述外
部控制中心与所述现场设备的连接,结束隔离机制,使所述工控系统回到正常状态;如果所
述虚拟化设备模拟运行得到的输出异常,说明网络攻击未结束,网络隔离监测器将重启网
络虚拟化设备,并重复步骤S4)和步骤S5)。
[0018] 本发明提出的基于虚拟运行和状态转换的工控系统网络攻击应对方法,提出了一种基于状态转换的设备恢复机制,用于工业控制系统遭受攻击或者发生事故后及时恢复设
备的正常运转;同时提出了一种基于虚拟运行的设备隔离机制,用于工业控制系统遭受攻
击或者发生事故后隔离现场设备,避免系统和现场设备遭受进一步的恶意控制和破坏。两
种机制通过内部数据交换中心和外部数据交换中心两个数据交换中心完成配合与触发。所
述恢复机制保证了所述工控系统不会在发生异常后失去运行能力或是造成严重后果;所述
隔离机制保证了所述外部控制中心遭到网络入侵并被控制后,所述现场设备不会受到持续
下达的错误指令的进一步影响,提高了工业控制系统的网络攻击应对能力。

附图说明

[0019] 图1为本发明的系统结构示意图
[0020] 图2为本发明正常状态下的系统结构
[0021] 图3为本发明异常监测器的状态转换图
[0022] 图4为本发明异常状态下的系统结构
[0023] 图5为本发明流水线示意图

具体实施方式

[0024] 本发明通过增设恢复机制和隔离机制来改良工控系统在网络安全威胁下的稳定性。解决了现有技术难以对抗诸如连续网络攻击等复杂入侵的问题。下面将结合附图,并通
过具体实施例对本发明作进一步说明。
[0025] 本发明提出的基于虚拟运行和状态转换的工控系统共有两种运行状态:现场设备正常运行的正常状态和现场设备发生异常的异常状态。所述工控系统的主要结构如图1所
示,主要包括:现场设备、外部控制中心、外部数据交换中心、内部数据交换中心、虚拟化设
备、隔离监测器、恢复控制器和异常监测器组件。其中,外部数据交换中心直接与虚拟化设
备、隔离监测器以及内部数据交换中心连接;内部数据交换中心与外部数据交换中心、恢复
控制器、异常监测器以及现场设备连接。上述组件都位于现场,其中,内部数据交换中心直
接采集现场设备运转产生的数字信号或模拟信号,并传递给与之相连接的其他组件;而外
部控制中心是远程系统控制中心,使用网络总线(如RJ45,RS232等)与外部数据交换中心连
接,获取现场设备运转产生的数据并下达控制指令给现场设备。所述异常监测器具备如图3
所示的状态转换功能,未发现异常时处于正常状态,一旦通过数据分析发现异常,立即切换
为对应的异常状态。
[0026] 正常状态下,现场设备与内部数据中心联通,把现场设备运行产生的数据送到内部数据交换中心。内部数据交换中心收集到数据后交给异常监测器和外部数据中心,其中,
异常监测器分析数据判断是否存在异常,外部数据中心收到数据后使用Modbus/TCP等通信
协议传输给外部控制中心。同时,外部控制中心将控制指令经外部数据交换中心和内部数
据交换中心传递到现场设备完成对设备的控制。正常状态下,虚拟化设备和隔离监测器以
及恢复控制器不参与系统运转。具体连接情况如图2所示。
[0027] 异常监测器发现异常后,工控系统将会进入异常状态。在异常状态下,异常监测器指挥恢复控制器完成对设备的复原,并持续监测恢复的进度和状况,及时调整恢复策略,图
3中的复原操作在恢复策略工作的过程中会依据故障分析的结果产生变化,以正确推进恢
复过程;同时,外部数据交换中心与内部数据交换中心的数据交换将停止,外部控制中心送
来的控制指令将被外部数据交换中心送给虚拟化设备和隔离监测器。隔离监测器将持续监
测虚拟化设备的运行情况并同时分析外部控制中心的控制指令,如果没有发现异常指令且
虚拟化设备在一个隔离周期内的运行数据无异常,说明攻击或异常已结束,外部控制中心
可以信任,外部数据交换中心将与内部数据交换中心重新建立连接,虚拟化设备和恢复控
制器将切断与工控系统的连接,工控系统恢复到正常运转状态。异常状态下的工控系统结
构如图4所示。
[0028] 其中,虚拟化设备应完全模拟现场设备的运行,对于外部控制中心下达的控制指令,虚拟化设备的输出应与现场设备一致。并且虚拟化设备可以是隔离起来的,与现场设备
一致型号的真实设备;考虑成本原因,也可以是由相关算法实现的完全虚拟的设备。
[0029] 其中,恢复机制由恢复控制器和异常监测器两个功能组件实现:
[0030] a1.恢复控制器:负责执行恢复策略,在现场设备监测出异常后操控现场设备清除异常数据并重新配置现场设备;
[0031] b1.异常监测器:负责监测现场设备的运行数据,依据现场设备运行产生的数据以及预设的状态转换方式,异常检测器在异常发生后将会切换为相应的异常状态,并触发恢
复机制,指挥恢复控制器执行相应的恢复策略,同时把异常状态的具体情况发送给隔离监
测器触发隔离机制。异常监测器具有一个正常状态和数个异常状态,这些异常状态对应了
不同的异常原因和恢复策略,异常状态数量和恢复策略的具体内容取决于现场设备的具体
情况。
[0032] 其中,恢复机制的恢复控制器和异常监测器需要针对现场设备进行设计,应尽可能多地考虑异常情况的种类和恢复的方法,并根据设备的升级或是更换的情况对恢复控制
器和异常监测器进行更新。
[0033] 隔离机制由虚拟化设备和隔离监测器两个功能组件实现:
[0034] a2.虚拟化设备:负责模拟现场设备的运行情况,在隔离机制执行的情况下代替现场设备接受外部控制中心的控制指令并通过预设算法模拟现场设备的运行和输出;
[0035] b2.隔离监测器:负责在隔离机制执行期间监测虚拟化设备的运行情况,并
[0036] 每隔一个隔离周期重启虚拟化设备,如果虚拟化设备在一个隔离周期内运行正常,则通知工控系统回到正常状态。反之将维持隔离机制,以保护现场设备。隔离周期的长
度取决于现场设备处于哪一种异常状态。
[0037] 两种机制的配合与触发依赖内部数据交换中心和外部数据交换中心两个数据交换中心:
[0038] (1)内部数据交换中心:工控系统现场设备正常状态下,把外部数据交换中心传来的控制指令送到现场设备中,并把现场设备的输出数据送到异常监测器和外部数据交换中
心,同时关注异常监测器对现场设备的输出数据的分析反馈;若分析反馈得到异常状态,联
通现场设备和恢复控制器并切断现场设备与外部数据交换中心的数据流动。
[0039] (2)外部数据交换中心:工控系统现场设备正常状态下,把外部控制中心的控制指令送到内部数据交换中心,并把内部数据交换中心传来的输出数据送到外部控制中心;工
控系统现场设备异常状态下,且隔离机制触发后,切断外部控制中心与内部数据交换中心
的连接,将外部控制中心的控制指令送到虚拟化设备中,并联通隔离监测器与虚拟化设备,
同时关注隔离监测器的分析反馈。
[0040] 恢复机制负责在现场设备发生异常后分析异常状态并针对该异常状态执行相应的恢复机制;隔离机制负责隔离现场设备与外部控制中心,并虚拟运行外部控制中心下达
的控制指令,通过所述虚拟运行分析所述控制指令是否存在问题。恢复机制保证了所述工
控系统不会在发生异常后失去运行能力或是造成严重后果;隔离机制保证了外部控制中心
遭到网络入侵并被控制后,现场设备不会受到持续下达的错误指令的进一步影响。恢复机
制的触发涉及工控系统的状态转换,而恢复机制也会在触发的同时启动隔离机制。
[0041] 两种机制的功能组件通过两个数据交换中心参与到现场设备与外部控制中心的数据交换中,当异常情况发生时,外部控制中心与现场设备的数据流将被切断。恢复机制将
完成对现场设备的复原,隔离机制将替代现场设备对外部控制中心的控制指令进行测试和
分析,从而达到隔离现场设备以保证其安全的目的。
[0042] 两种机制都在异常状态下发挥作用。而工控系统受到攻击或发生异常时,进入异常状态的工作方式遵循如下步骤:
[0043] S1)异常监测器在送来的数据中发现异常,立刻通知恢复控制器接管现场设备,触发恢复机制,同时通知隔离监测器异常情况,触发隔离机制,然后通过预设算法分析异常原
因,提取出异常的特征,并转换到相应的异常状态,接着把复原操作指令经过内部数据交换
中心送到恢复控制器,并持续分析设备恢复情况,如果恢复失败则重新分析并执行更强的
恢复策略;
[0044] S2)恢复控制器收到复原操作指令后依据复原操作指令执行相应操作,控制现场设备处理异常情况,完成设备的复原。异常监测器持续监测恢复控制器的执行情况,如果异
常情况没有解决,则异常监测器指挥恢复控制器采取进一步措施,直到异常不再存在,恢复
机制即结束,恢复控制器不再控制现场设备,异常监测器回到正常状态;
[0045] 与此同时,内部数据交换中心切断外部数据交换中心与现场设备的连接,将恢复控制器与现场设备联通并通知外部数据交换中心改变数据流向,触发隔离机制;
[0046] S3)隔离机制触发,外部数据交换中心切断与内部数据交换中心的数据交换,唤醒虚拟设备,并将外部控制中心的控制指令送到虚拟化设备虚拟执行,将虚拟化设备的输出
回送给外部控制中心,同时联通虚拟化设备与隔离监测器;
[0047] S4)隔离监测器在一个预设隔离周期内持续监测虚拟化设备的运行情况,并分析异常是否再次出现;
[0048] S5)如果一个预设隔离周期后虚拟化设备保持正常运行,说明网络攻击已经停止,外部控制中心可以信任。隔离监测器将通知外部数据中心恢复外部控制中心与现场设备的
连接,结束隔离机制,使所述工控系统回到正常状态;如果虚拟化设备模拟运行得到的输出
异常,说明攻击未结束,隔离监测器将重启虚拟设备,并重复步骤S4)和步骤S5)。
[0049] 其中,隔离监测器只有在持续一段时间(即一个预设隔离周期)没有监测到虚拟化设备的异常后才会通知外部数据中心恢复外部控制中心与现场设备的连接,使系统回到正
常状态。每次监测到异常都会使隔离监测器在一个预设隔离周期后重启虚拟设备。预设隔
离周期的时长应该与恢复控制器的恢复策略的时长相协调,可以根据需求调整。隔离监测
器预设算法和异常状态的设计可以与异常监测器的设计一致,考虑到效率或是安全性的问
题,也可以采用新的方案。
[0050] 本实施例中,现场设备为某自动化包装流水线中的装箱部分,图5是该装箱部分的简单示意图。该装箱部分中,物料由传送带送达,自然掉落到挡板上,感应器1会感应物料的
存在并产生信号,感应器2会感应包装箱的位置并产生信号,控制装置会依据感应器1和感
应器2的信号控制挡板开合,使挡板上的物料恰好掉落到包装箱内,供后续流水线进行封
装。
[0051] 首先需要分析该现场设备可能出现的异常情况以设计异常监测器。本实施例中现场设备可能出现的异常状态包括传送带速度异常、挡板未能正确打开、包装箱位置异常、物
料数量异常等等,这些异常会导致物料堆积在挡板上,或是错误数量的物料被送进包装箱。
现场设备运行的输出数据来源于传送带的参数和两个感应器的测量结果,需要依据传送带
的参数和两个感应器的测量结果设计算法判断现场设备是否存在异常以及异常的类型,然
后再针对性地设计恢复策略,最后根据设计好的算法和恢复策略配置异常监测器、隔离监
测器和恢复控制器。由于设备较为简单且为了节省物料和方便配置,用模拟器作为虚拟化
设备,使用一段程序来模拟现场设备的运行。
[0052] 本实施例中假设入侵者通过中间人攻击获得了对现场设备的控制,强行阻止了挡板的打开,使得物料过多堆积在挡板上。首先异常监测器会发现感应器1的数据中,挡板受
到的压力超出标准值,于是通知恢复控制器接管现场设备,并通知隔离监测器触发隔离机
制。然后通过预设算法分析出异常的类型为物料堆积。
[0053] 于是异常监测器进入物料堆积的异常状态,按照恢复策略指挥恢复控制器向现场设备的控制装置下达打开挡板的强制指令将堆积的物料送到传送带上。并通知后续流水线
将这部分物料清除。随后,异常监测器会持续分析感应器1的数据,如果物料堆积情况没有
解决,则指挥恢复控制器采取进一步措施,直到异常不再存在,恢复机制即结束,恢复控制
器不再控制现场设备,异常监测器回到正常状态。
[0054] 与此同时,隔离监测器得到通知后会唤醒虚拟设备,完成其初始化,而外部数据交换中心在传递异常通知时也会立刻响应隔离机制,切断外部控制中心与内部数据中心的连
接,并将外部控制中心连接到虚拟化设备上,此时,虚拟化设备成为了外部控制中心的实际
控制设备,实际的流水线设备已被隔离。
[0055] 假设入侵者的入侵行为没有结束,入侵者企图通过持续发送攻击指令进一步破坏流水线的运转,造成更大损失。外部控制中心的指令全都被替换为了错误的指令,而这些指
令将被送到虚拟化设备上。随后,虚拟化设备的运行参数也会出现异常,隔离监测器发现异
常后将会维持隔离机制,并每隔一段时间(即一个隔离周期)重置虚拟化设备。直到入侵者
的攻击结束为止,虚拟化设备将一直代替现场设备接受攻击指令。而攻击结束后,也即虚拟
化设备不再发生异常、隔离监测器不再监测到虚拟化设备的运行异常后,隔离监测器将通
知外部数据交换中心,重新将外部控制中心接入到现场设备。此时恢复机制也已结束,工控
系统回归到正常状态。
[0056] 本发明提出的基于虚拟运行和状态转换的工控系统网络攻击应对方法,提出了一种基于状态转换的设备恢复机制,在所述现场设备发生异常后分析异常状态并针对所述异
常状态执行相应的恢复机制,完成对所述现场设备的复原;同时提出了一种基于虚拟运行
的设备隔离机制,负责隔离所述现场设备与所述外部控制中心,采用所述虚拟化设备替代
所述现场设备对所述外部控制中心的控制指令进行测试和分析,判断所述控制指令是否存
在问题。两种机制通过内部数据交换中心和外部数据交换中心两个数据交换中心完成配合
与触发。所述恢复机制保证了所述工控系统不会在发生异常后失去运行能力或是造成严重
后果;所述隔离机制保证了所述外部控制中心遭到网络入侵并被控制后,所述现场设备不
会受到持续下达的错误指令的进一步影响,提高了工业控制系统的网络攻击应对能力。
[0057] 尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围。凡采用等同替换或等效
替换,这些变化是显而易见,一切利用本发明构思的发明创造均在保护之列。