(例如Wi-Fi)、广 域网(WAN)(例如3G或4G)、蓝牙网络和/或另一种无线网络的一部分。
[0024] 如图1所图示,信号路径24可W禪合到控制系统网络16中的一个或多个服务器26 W及人机接口 28。服务器26可包含例如允许现场位置14数据的存储和/或取回的数据获取 服务器、提供数据库服务到其他计算机程序或计算机的数据库服务器和/或其他各种服务 器。另外,如先前所阐述的,控制系统网络16可包含一个或多个人机接口 28,其例如可包含 工作站和/或计算机。运个工作站或计算机可被利用例如来给用户显示与一个或多个现场 位置14有关的信息W允许存在于现场位置14的一个或多个中的元件的监测和/或控制。
[0025] 在一些实施例中,控制系统网络16可例如沿信号路径30禪合到计算机网络12。信 号路径30可W是物理连接或无线连接,类似于上面所描述的信号路径24。在一个实施例中, 信号路径30可将控制系统网络16禪合到计算机网络12中的防火墙32。运个防火墙32例如可 W是基于硬件或软件的网络安全系统,其通过分析所接收数据分组W确定所接收分组是否 被授权来控制入局和出局网络业务量。也就是说,防火墙32可预防对计算机网络12的信号 路径34W及与其禪合的一个或多个服务器36和人机接口 38的未授权访问。
[0026] 服务器36例如可包含允许电子消息的存储和/或交换的邮件服务器、提供数据库 服务到其他计算机程序或计算机的商业服务器和/或其他各种服务器。另外地,类似于控制 系统网络16,计算机网络12可包含一个或多个人机接口 38,其例如可包含工作站和/或计算 机。运个工作站或计算机可被利用,例如来允许一个或多个用户与服务器36的交互W及对 计算机网络12的各个部分的一般或规定访问。
[0027] 人机接口 38可W不仅与计算机网络12中的元件交互(例如经由内联网连接)。实际 上,人机接口 38( W及服务器36的一个或多个)也可与在计算机网络12外面的实体交互。运 可经由通过接口 40(其可W是一个或多个路由器和/或其他通信基础设施巧Ij互联网44的连 接来实现。接口 40也可在一些实施例中允许从备份控制中屯、42到控制系统网络16 (特别地 是信号路径24)的信号传送W允许一个或多个现场位置14的元件的次要监测和/或控制。在 一些实施例中,备份控制中屯、42可在问题引起控制系统网络16的部分失败时操作,因此降 低和/或消除各个现场位置14的元件的监测和/或控制。
[002引 W运样的方式,计算机网络12和控制系统网络16的各种元件可W互连。而且,W运 样的方式,对外面用户和网络的访问可实现。然而,具有也允许外部访问的网络也可引起增 加那些网络的安全的需求。增加计算机网络12和控制系统网络的安全的一种技术是要实现 侵入检测系统(IDS) JDS是允许网络或系统活动的监测的装置和/或软件应用(例如存储在 诸如存储器或存储装置的装置上)。特别地,IDS可捜索恶意活动、黑客行为尝试、政策违反 或其他可疑网络行为并且传送活动的指示(例如记录实例巧Ij管理站和/或系统(其例如可 位于服务器26和36中的一个或两者中)。
[00巧]为了帮助可疑和/或恶意网络使用的检测,IDS可包含IDS传感器46。运些IDS传感 器46可存在于计算机网络12的各个点处并且可操作W检查来自例如互联网44的攻击或不 希望的侵入。然而,攻击/恶意活动也可影响ICS 10。因此,IDS传感器46也可包含于例如各 个现场位置14W及控制系统网络16中。例如,IDS传感器46可位于控制系统20中和人机接口 28中。运些IDS传感器46的实施方式和操作W及整个IDS本身将结合下面所描述的附图来详 述。
[0030]图2图示图1的控制系统20。在一些实施例中,控制系统20可包含控制模块48W及 例如布置在插件架(card rack)中的一个或多个输入/输出(I/O)卡50。在一些实施例中,控 制模块可包含一个或多个处理器52和/或其他数据处理电路(例如通用中央处理单元 (CPU)、嵌入式CPU、片上系统(SOC)、专用处理器、专用集成电路(ASIC)、现场可编程口阵列 (FPGA) W及它们的组合),其可W可操作地禪合到存储器54W及运行用于执行目前所公开 的技术的指令。运些指令可编码在可由处理器52运行的程序中。指令可存储在制造商的包 含至少W集中方式存储运些指令或例程的至少一个有形计算机可读媒介(例如存储器54) 的任何适合物品中。
[0031] 存储器54可例如包含随机存取存储器、只读存储器、可重写存储器、闪速存储器 和/或其他物理存储装置。控制模块48也可包含输入/输出(I/O)接口 56。运个I/O接口 56可 将控制系统20连接到图1的接口 18W允许经由个域网(PAN)(例如蓝牙)、局域网(LAN)(例如 Wi-Fi )、广域网(WAN)(例如3G或LTE)、W太网连接和/或类似物的通信。因此,通过I/O接口 56,控制系统20可使用信号路径24通信例如来实现云存储、处理和/或与其他联网装置例如 服务器26和HMI 28的通信。
[0032] 控制系统20也可包含内部总线58,其将控制模块48禪合到I/O卡50的每一个,例如 来允许从I/O卡50到控制模块48的数据通信。另外,内部总线58可允许I/O卡50之间的卡间 通信。另外,如所图示的,I/O卡50的每一个可包含数字信号处理器(DSP)60、I/O接口62和存 储装置64dDSP 60可从I/O接口62接收与机器22的操作相关的信号。特别地,DSP 60可W是 电路或包含处理器66和存储器68(其可结合用来数字上过滤和/或处理从I/O接口 62所接收 的数据)的电路板上一个或多个电路。例如,处理器66可利用存储在存储器68(例如随机存 取存储器、只读存储器、闪速存储器或可W在DSP 60的板上的其他类型的存储器)中的软件 程序来数字上过滤和/或处理从I/O接口 62所接收的数据。运个所处理数据然后可传送到存 储装置64(随机存取存储器、只读存储器、可重写存储器、闪速存储器或其他物理存储装置) 用于例如由控制模块48取回。而且,尽管DSP 60被图示,但是可领会,代替DSP 60,可利用诸 如通用CPU、嵌入式CPU、S0C、专用处理器、ASIC、FPGA及其组合的其他类型的计算处理单元 连同它们的关联存储器装置。
[0033] 如先前所述,现场位置14可充当恶意进入ICS 10和/或计算机网络12的访问点。为 了帮助未授权访问的检测,可利用IDS传感器46。运些IDS传感器46可在I/O卡50的每一个中 和/或在控制模块48中找到。例如,ICS 10可将第一通信协议(例如协议A)用于机器22、控制 系统20和控制网络16之间的实际ICS数据的通信。在一个实施例中,第二通信协议(例如协 议B)可设置为虚拟协议,其可包含由处理器52或66所生成的伪造数据。运些通信协议A和B 可包含例如DM3串行通信信号、Mo化US通信信号、工业控制通信信号、自动通信信号和/或其 他通信协议。
[0034] 因此,DSP 60可生成使用协议B的虚拟通信并且与协议A的实际通信传送并行地传 送运些虚拟通信。因此,尽管使用协议A传送的信号可实际上对应于机器22的操作和ICS 10 的操作,但是使用协议B的信号不对应于ICS 10的任何实际操作。而是,使用协议B的信号包 含可用来确定访问ICS 10的恶意尝试是否正在发生的伪造数据。
[0035] 在一个实施例中,DSP 60的电路可生成使用协议B的运些信号。例如,运行存储在 存储器68中的软件程序的处理器66可生成协议B信号并且传送模仿通常将会从相应I/O卡 50传送的实际信号的伪造数据信号。结合使用协议A的信号,处理器66可生成运些使用通信 协议B的信号用于同时和/或顺序传送。
[0036] 另外地或备选地,控制模块48的电路可生成运些使用协议B的信号。例如,运行存 储在存储器54中的软件程序的处理器52可生成协议B信号并且传送模仿通常将会从控制模 块48传送的实际信号的伪造数据信号。结合使用协议A的信号,处理器52可生成运些使用通 信协议B的信号用于同时和/或顺序传送。
[0037] 此外,DSP 60和/或控制模块48(特别地是处理器66和52)可检测通信是否利用协 议B来启动。也就是说,如果恶意或讨厌的外面攻击者尝试使用包含或反映传送协议B的信 号来访问控制系统20,因为利用协议B的信号生成为虚拟信号,所W侵入者可被检测到。运 个过程将针对下面所描述的图5更详细地略述。W运样的方式,IDS传感器46存在于控制模 块20中,因为使用协议B的错误信号充当帮助检测对ICS 10的未授权访问的蜜端。
[0038] IDS传感器46也可存在于ICS 10的其他部分中。例如,ICS 10的人机接口 28可WW 实质上与上面针对控制系统20所描述的方式类似的方式包含IDS传感器。图3图示可包含运 个IDS传感器46的人机接口 28的详细框图。
[0039] 如图3中所图示的,人机接口 28包含处理器70和/或其他数据处理电路,其可W可 操作地禪合到存储器72和存储装置74W运行用于执行目前所公开的技术的指令。运些指令 可编码在程序中,程序由处理器70和/或其他数据处理电路(例如,通用CPU、嵌入式CPU、 S0C、专用处理器、ASIC、FPGAW及它们的组合)来运行。指令可存储在制造商的包含至少W 集中方式存储运些指令或例程的至少一个有形计算机可读媒介(例如存储器72或存储74) 的任何适合物品中。存储器7