[發明專利]PLC虛擬補丁和安全上下文的自動分發有效
| 申請號: | 201680087046.9 | 申請日: | 2016-06-24 |
| 公開(公告)號: | CN109690545B | 公開(公告)日: | 2023-08-11 |
| 發明(設計)人: | 魏東;萊安德羅·弗萊格德阿吉亞爾 | 申請(專利權)人: | 西門子股份公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F21/55;G06F21/57 |
| 代理公司: | 北京集佳知識產權代理有限公司 11227 | 代理人: | 高巖;楊林森 |
| 地址: | 德國*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | plc 虛擬 補丁 安全 上下文 自動 分發 | ||
1.一種用于工業生產環境中的安全漏洞的虛擬補丁的系統,所述系統包括:
執行一個或更多個控制程序的第一虛擬機;
執行虛擬補丁引擎安全應用的第二虛擬機,所述虛擬補丁引擎安全應用被配置成收集與所述一個或更多個控制程序有關的系統信息,并且將一個或更多個虛擬補丁應用于所述系統信息以識別一個或更多個安全攻擊;
內部通信信道,被配置成利于在所述第一虛擬機與所述第二虛擬機之間傳輸所述系統信息;以及
執行所述第一虛擬機和所述第二虛擬機的管理程序,
其中,所述虛擬補丁引擎安全應用執行由工業自動化設備執行的控制代碼的符號執行,以確定結合一個或更多個控制命令運行所述工業自動化設備的一個或更多個配置的未來后果的指示。
2.根據權利要求1所述的系統,其中,所述第二虛擬機還包括:
跨多個工業控制器并且存儲所述一個或更多個虛擬補丁的分布式數據庫的實例。
3.根據權利要求1所述的系統,其中,由所述虛擬補丁引擎安全應用從所述第一虛擬機中的嵌入式歷史記錄器中檢索由所述一個或更多個控制程序在操作期間生成的所述系統信息。
4.根據權利要求3所述的系統,其中,所述第二虛擬機包括應用容器,所述應用容器被配置成執行多個應用并且在所述應用容器中執行所述虛擬補丁引擎安全應用。
5.根據權利要求1所述的系統,其中,所述系統信息包括以下中的一個或更多個:執行讀操作或寫操作中的至少一個的存儲器塊;系統配置變化;警報狀態變化;在所述第一虛擬機上執行的進程;在所述第一虛擬機上執行的線程;由所述第一虛擬機使用的網絡連接;文件創建信息;以及文件修改信息。
6.根據權利要求1所述的系統,其中,如果所述未來后果的指示與(i)不安全的系統狀態或(ii)違反與所述工業生產環境相關聯的一個或更多個預定安全約束對應,則所述虛擬補丁引擎安全應用阻止所述一個或更多個控制命令的未來執行。
7.根據權利要求1所述的系統,其中,所述第二虛擬機執行:
利用與一個或更多個現場設備關聯的自動化系統生產數據根據掃描周期更新的過程映像;
網絡組件,所述網絡組件被配置成發送和接收與工廠地面網絡有關的自動化系統網絡數據。
8.根據權利要求7所述的系統,其中,所述第二虛擬機附加地執行包括嵌入式歷史記錄器的實時數據庫,所述嵌入式歷史記錄器被配置成存儲經由所述過程映像收集的所述自動化系統生產數據和經由所述網絡組件收集的所述自動化系統網絡數據。
9.根據權利要求8所述的系統,其中,由所述虛擬補丁引擎安全應用從所述嵌入式歷史記錄器中檢索由所述工業自動化設備在操作期間生成的所述系統信息。
10.根據權利要求2所述的系統,其中,所述虛擬補丁引擎安全應用還被配置成(i)接收由安全操作中心生成的一個或更多個新的虛擬補丁,以及(ii)將所述一個或更多個新的虛擬補丁存儲在所述分布式數據庫中。
11.根據權利要求10所述的系統,其中,所述虛擬補丁引擎安全應用還被配置成向所述安全操作中心發送所述一個或更多個安全攻擊的指示。
12.根據權利要求1所述的系統,其中,所述虛擬補丁引擎安全應用還被配置成:
識別與所述一個或更多個安全攻擊關聯的一個或更多個控制命令;
響應于識別出所述一個或更多個安全攻擊,確定是否啟用主動響應設置;
如果未啟用所述主動響應設置,則執行所述一個或更多個控制命令并且向與所述工業自動化設備關聯的操作者報告異常;以及
如果啟用所述主動響應設置,則阻止所述一個或更多個控制命令的執行。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西門子股份公司,未經西門子股份公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201680087046.9/1.html,轉載請聲明來源鉆瓜專利網。
