一种基于下位机的行为模式安全防护方法与流程

本发明涉及工业控制安全领域技术领域，特别涉及一种基于下位机的行为模式安全防护方法。

背景技术：

由于控制系统设计之初是一个与外界物理隔离的系统，因此传统的控制协议没有考虑信息安全和网络安全的问题。随着标准网络和互联网技术在控制系统的广泛应用，特别是物联网技术在各个领域(例如智能家居)的扩展延伸，控制系统面临的安全威胁正日益加剧，现有的防火墙技术只能部分解决安全问题，比如访问控制列表(Access Control List)就不能解决无序数据包的问题；状态检测防火墙(SPI)只关心报文的前后关联性，对于那些合规，有关联性但对控制设备和现场设备有害的命令并不能阻止；再有深度包解析的防火墙尽管能够对应用数据包的内容进行解析，但是完全解码并在应用协议级别分析每个数据包需要额外的处理能力，深度包解析技术隐含着巨大的处理开销和网络延时，在典型的控制系统对实时性的要求很高的控制系统，使用全方位的深度包解析的应用场景并不普遍，这些外在的防护手段的局限性，无法有效的解决控制系统的安全行为。

技术实现要素：

为此，本发明提供了一种基于下位机的行为模式安全防护方法，用于解决在控制系统中的下位机在外界干扰或自身出现问题时发送不符合正常操作流程的操作指令，导致下位机或现场设备功能丧失所造成的危险问题等问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于下位机的行为模式安全防护方法，人机界面、上位机、防护设备通过路由器与下位机连接，包括如下两个步骤:

a.下位机发出一个控制指令，防护设备将所述控制指令与预定义控制流程行为模式进行比对；

b.若控制指令符合控制流程行为模式，则所述防护设备转发所述控制指令到现场设备；若所述控制指令不符合所述控制流程行为模式，所述防护设备发出告警和/或阻断所述控制指令。

配置管理设备与所述路由器连接，通过配置管理设备预定义所述控制流程行为模式，所述控制流程行为模式包括但不限于在给定的时间范围所允许执行的控制指令、控制程度、控制指令发生的频率和控制指令之间的关联关系。

所述路由器与现场设备连接；所述防护设备从所述路由器获得所述控制指令，并将获得的所述控制指令与预定义的控制流程行为模式进行比对。

若所述防护设备接收到的所述控制指令符合所述控制流程行为模式，所述防护设备准许所述控制指令的执行，然后继续处理下一条指令。

若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式，则所述防护设备发出可视、可闻的告警信息。

若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式，则所述防护设备将告警信息发送到所述配置管理设备，由所述配置管理设备记录并发出可闻、可视的告警信息。

所述防护设备与现场设备连接；所述防护设备从所述下位机获得所述控制指令，并将获得的所述控制指令与预定义的所述控制流程行为模式进行比对。

若所述防护设备接收到的所述控制指令符合所述控制流程行为模式，所述防护设备准许所述控制指令的执行，然后继续处理下一条指令。

若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式，所述防护设备发出可视、可闻的告警信息。

若所述防护设备接收到的所述控制指令不符合所述控制流程行为模式，所述防护设备可以将告警信息发送到所述配置管理设备，由所述配置管理设备记录并发出可闻、可视告警信息，和/或阻断所述控制指令。

本发明的有益效果：本发明能够使控制设备在接收到不符合标准控制流程的行为模式时，防护设备将发出告警或阻断控制命令。这样既可以避免内部人员的误操作，也可以有效阻止外部各种针对下位机及现场设备为目标的攻击行为。

附图说明

图1是工业控制系统中利用配置管理设备和防护设备实现对异常指令监控和告警的示意图，

图2是工业控制系统中利用配置管理设备和防护设备实现对异常指令监控、告警和阻断的示意图，

图3是本发明中防护设备的组成示意图，

图4是本发明中控制指令含义说明示例表，

图5是本发明配置管理设备对控制流程模式预定义的示例表，

图6是本发明操作流程示例。

附图标记：

100-工业控制系统， 102-下位机，

104-上位机， 106-人机界面，

108-现场设备， 110-路由器，

112-防护设备， 114-配置管理设备，

302-处理器， 304-控制指令分析模块，

306-控制流程存储模块， 308-外部设备。

具体实施方式

下面结合附图对本发明的较佳实施例进行详细阐述，参考标号是指本发明中的组件、技术，以便本发明的优点和特征在适合的环境下实现能更易于被理解。下面的描述是对本发明权力要求的具体化，并且与权利要求相关的其它没有明确说明的具体实现也属于权利要求的范围。

本发明提出了一个通过与预定义的控制流程行为模式比较的方法来决定是否执行/告警/阻断控制指令的安全防护方法，这种方法有效解决了设备的处理能力和网络延时造成的影响。

实施例一

在图1表示控制系统环境100中，上位机104与下位机102之间通过工业控制协议进行通信。下位机102和人机界面106之间存在一个应用程序接口，现场设备108通过与下位机102的接口来执行控制命令或反馈测量信息，包括但不限于温度、压力、转速等等，配置管理设备114用于对控制流程行为模式的预定义，并将预定义的控制流程行为模式数据通过与防护设备112的接口发送到各个防护设备112-1到112-N。防护设备112-1到112-N通过路由器110-1到110-N对发送到现场设备108的控制指令进行监测，即监测通信接口上发送的控制指令和数据，若控制指令和数据符合预定义的控制流程行为模式，防护设备112继续检测下一条指令，否则防护设备112产生可闻、可视的告警，同时也可以通过通信接口向配置管理设备114发出告警信息，由配置管理设备114记录并发出可闻、可视的告警信息，如图1中的网络结构示意图，本实施例中的防护设备112具有监控和告警的功能。

实施例二

在图2表示控制系统环境100中，上位机104与下位机102之间通过工业控制协议进行通信；下位机102和人机界面106之间存在一个应用程序接口；防护设备112与下位机102之间设置有能够相互通信的通信接口；现场设备108通过防护设备112与下位机102的通信接口来执行控制命令或反馈测量信息，包括但不限于温度、压力、转速等等；配置管理设备114用于对控制流程行为模式的预定义，并将预定义的控制流程行为模式数据通过与防护设备112的通信接口发送到各个防护设备112-1到112-N。同时通信接口还用于防护设备112向配置管理设备114发出告警信息。当防护设备112从下位机102接收到控制指令时，若控制指令和数据符合预定义的控制流程的行为模式，防护设备112转发该控制指令给现场设备108，并继续检测下一条指令，否则，防护设备112阻断该控制命令，同时产生可闻、可视的告警，或通过通信接口向配置管理设备114发出告警信息，由配置管理设备114记录并发出可闻、可视的告警信息，本实施例中的安全防护装置112同时具有监控、告警和阻断的功能。

图3是防护设备112系统组成的示意图，它们的基本组成是网络通信接口、处理器302，控制指令分析模块304、控制流程存储模块306以及外部设备308(例如喇叭、指示灯等)。其中通信接口通过特定的通信协议与外界通信，处理器302负责设备的计算和管理，控制指令分析模块304对接收到的控制指令与控制流程存储模块306中的控制流程行为模式进行比对，符合控制流程行为模式，则转发该控制指令，否则将阻断该指令并通过外部设备308发出可闻、可视告警，并将告警信息通过通信接口发送到配置管理设备114。

图4是控制指令数据与具体操作含义的映射关系示例，每一条控制指令与协议数据和操作数据一一对应，并且这种对应关系不是完全公开的，即每条控制指令对应通用的协议数据，这个指令所具体代表的操作内容是通过设计人员自行组织设定的。

图5是在配置管理设备114上对控制流程行为模式预定义的举例，其中包括但不限于时间范围，允许指令，允许数据范围，允许发生频次，允许涉及的现场设备108以及控制指令之间的关联限制等信息。

图6是本发明在防护设备112上的操作流程，当防护设备112开始从路由器110或下位机102读取一条控制指令时S1，控制指令分析模块304将这一条指令和控制流程存储模块306中的控制流程行为模式进行比较S2，判断是否符合控制流程S3，如果该指令符合预先定义的控制流程行为模式，则防护设备112结束该控制指令的监控，从路由器110或下位机102读取下一条控制指令，否则，控制指令分析模块304向外部设备发出可闻、可视告警/阻断S4，并且通过网络通信接口302向配置管理设备114发送告警信息。当防护设备112在系统中作为下位机102与现场设备108连接的中间设备时，系统结构如图2所示，防护设备112将阻断该条指令不能到达现场设备108。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

应该注意的是，上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。