一种控制代码异常检测方法及装置的制造方法
【技术领域】
[0001] 本发明设及工业控制领域,尤其设及一种控制代码异常检测方法及装置。
【背景技术】
[0002] 在工业化和信息化的背景之下,现代工业企业用于生产的控制系统已越来越多的 被连入到互联网之中,发挥信息系统的集成效益。但是随之而来的网络安全问题也日益明 显。并且因工业控制系统网络在设计或者部署初期对于网络安全的不够重视,也加剧了工 业控制系统的网络安全问题,一旦安全问题发生将出现比信息网络安全事件更大的损失。 例如著名的"震网stuxnet"病毒就是针对西口子控制系统进行的网络攻击。
[0003] 工业控制计算机(简称工控机),是一种采用总线结构,对生产过程及其机电设备、 工艺装备进行检测与控制的工具总称。它具有重要的计算机属性和特征,如:具有计算机 CPU、硬盘、内存、外设及接口,并有实时的操作系统、控制网络和协议、计算能力,友好的人 机界面等。工控机主要分为如下几类:IPC(PC总线工业电脑)、化C(可编程控制系统)、DCS (分散型控制系统)、FCS(现场总线系统)及CNC(数控系统)等。
[0004] 现阶段的工业系统安全防护中,通常采用防火墙、入侵检测系统等异常检测方法 来对工业控制计算机中的控制代码进行异常检测,所谓控制代码发生异常是指控制代码存 在被篡改、删除、增加等异常情况。但是运种异常检测方式只能检测到已知的攻击方式,无 法检测到那些未知的、新型的网络攻击方式。而且,由于现有的威胁检测方法是通过网络来 检测的,而发生在自控系统内部的攻击(例如利用U盘植入)会绕过网络进行攻击,所W现阶 段的威胁检测方式并不能检测到发生在自控系统内部的攻击。
【发明内容】
[0005]为了解决现有技术存在的由于检测不到来系统内部的攻击或无法识别未知的、新 型的网络攻击方法而导致影响工业控制计算机的安全性的技术缺陷,本发明提供了一种控 制代码异常检测方法和装置,能够在识别不出攻击方式或在系统内部存在攻击的情况下也 能使攻击失效,提高了工业控制计算机的安全性。
[0006] 本发明实施例提供了一种控制代码异常检测方法,所述方法包括:
[0007] 向工业控制计算机发送实时控制代码提取请求;
[0008]接收工业控制计算机发送的实时控制代码,并将所述实时控制代码与预存控制代 码进行比对,若不匹配,则向所述工业控制计算机发送所述预存控制代码,W使所述工业控 制计算机将所述实时控制代码替换为所述预存控制代码。
[0009]优选的,所述将所述实时控制代码与预存控制代码进行比对,若不匹配,则向所述 工业控制计算机发送所述预存控制代码,W使所述工业控制计算机将所述实时控制代码替 换为所述预存控制代码包括:
[0010] 将所述实时控制代码中的逻辑执行代码和所述预存控制代码中的逻辑执行代码 进行比对,若不一致,则向所述工业控制计算机发送所述预存控制代码,W使所述工业控制 计算机将所述实时控制代码中的逻辑执行代码替换为所述预存控制代码中的逻辑执行代 码。
[0011] 优选的,所述将所述实时控制代码与预存控制代码进行比对,若不匹配,则向所述 工业控制计算机发送所述预存控制代码,W使所述工业控制计算机将所述实时控制代码替 换为所述预存控制代码包括:
[0012] 将所述实时控制代码中运行数据的格式与所述预存控制代码中运行数据的格式 进行比对,若不一致,则向所述工业控制计算机发送所述预存控制代码,W使所述工业控制 计算机将所述实时控制代码中的运行数据的格式替换为所述预存控制代码中运行数据的 格式。
[0013] 优选的,所述将所述实时控制代码与预存控制代码进行比对,若不匹配,则向所述 工业控制计算机发送所述预存控制代码,W使所述工业控制计算机将所述实时控制代码替 换为所述预存控制代码包括:
[0014] 将所述实时控制代码中的数据符号和地址的对应关系,与所述预存控制代码中的 数据符号和地址的对应关系进行比对,若不一致,则向所述工业控制计算机发送所述预存 控制代码,W使所述工业控制计算机将所述实时控制代码中的数据符号和地址的对应关系 替换为所述预存控制代码中数据符号和地址的对应关系。
[0015] 优选的,所述工业控制计算机包括终端设备和/或控制器。
[0016] 本发明实施例提供了一种控制代码异常检测装置,所述装置包括:请求发送单元、 接收单元、比对单元和代码发送单元;
[0017] 其中,所述请求发送单元与所述接收单元连接,所述接收单元与所述比对单元连 接,所述比对单元与所述代码发送单元连接;
[0018] 所述请求发送单元,用于向工业控制计算机发送实时控制代码提取请求;
[0019] 所述接收单元,用于接收工业控制计算机发送的实时控制代码;
[0020] 所述比对单元,用于将所述实时控制代码与预存控制代码进行比对,若不匹配,贝U 激活所述代码发送单元;
[0021] 所述代码发送单元,用于向所述工业控制计算机发送所述预存控制代码,W使所 述工业控制计算机将所述实时控制代码替换为所述预存控制代码。
[0022] 优选的,所述比对单元具体用于:
[0023] 将所述实时控制代码中的逻辑执行代码和所述预存控制代码中的逻辑执行代码 进行比对,若不一致,则激活所述代码发送单元;
[0024] 所述代码发送单元,具体用于:
[0025] 向所述工业控制计算机发送所述预存控制代码,W使所述工业控制计算机将所述 实时控制代码中的逻辑执行代码替换为所述预存控制代码中的逻辑执行代码。
[00%]优选的,所述比对单元具体用于:
[0027] 将所述实时控制代码中运行数据的格式与所述预存控制代码中运行数据的格式 进行比对,若不一致,则激活所述代码发送单元;
[0028] 所述代码发送单元,具体用于:
[0029] 向所述工业控制计算机发送所述预存控制代码,W使所述工业控制计算机将所述 实时控制代码中的运行数据的格式替换为所述预存控制代码中运行数据的格式。
[0030]优选的,所述比对单元具体用于:
[0031]所述实时控制代码中的数据符号和地址的对应关系,与所述预存控制代码中的数 据符号和地址的对应关系进行比对,若不一致,则激活所述代码发送单元;
[0032]所述代码发送单元,具体用于:
[0033]向所述工业控制计算机发送所述预存控制代码,W使所述工业控制计算机将所述 实时控制代码中的数据符号和地址的对应关系替换为所述预存控制代码中数据符号和地 址的对应关系。
[0034] 优选的,所述工业控制计算机包括终端设备和/或控制器。
[0035]本发明提供的控制代码异常检测方法将工业控制计算机发送的将所述实时控制 代码与预存控制代码进行比对,若不匹配,则向所述工业控制计算机发送所述预存控制代 码,因此不管是来自网络的攻击,还是来自非网络的攻击,也不管攻击方式可W识别出来 的,还是识别不出来的,只要发生了攻击,所述实时控制代码就一定会发生变化,只要实时 控制代码被检测出来发生了变化,就用事先预存的控制代码去替换实时控制代码,W使攻 击失效,保证工业控制计算机的安全。
【附图说明】
[0036]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 申请中记载的一些实施例