本發明涉及設備監測領域，尤其涉及在線設備入侵檢測的方法及計算設備。

背景技術

早期，工業控制系統被布置在與外界物理隔離的環境下中，并不涉及網絡安全問題。不過，隨著互聯網技術在工業控制系統中廣泛應用，工業控制系統的網絡安全問題日益加劇。

目前，應用在工業控制系統的安全監測方案，通常基于對網絡流量的監視、破解、和分析來判斷工業控制網絡中的控制設備是否受到攻擊。

然而，除了受到網絡攻擊，工業控制系統中各種控制設備還有可能被直接修改代碼。例如，各種控制設備的固件、應用程序和配置參數被非正常修改或替換。被修改的固件、應用程序和配置參數可能會發送欺騙信息致使對網絡信息的攔截、破解和分析不能了解設備運行的真實情況。

為此，本發明提出了一種新的在線設備入侵檢測的技術方案。

發明內容

本發明提供了一種基于預裝的可信基準代碼的異常監測方法，用于周期性或按需監測控制網絡中控制設備是否出現異常包括但不限于固件改變、應用程序改變和配置參數改變。

根據本發明的一個方面，提供一種監測設備安全的方法，適于在計算設備中執行。該計算設備中存儲有關于被監測設備的基準版代碼的信息。該方法包括下述步驟。獲取被監測設備當前使用代碼的信息。比較當前使用代碼的信息與基準版代碼的信息。在確定當前使用代碼的信息與基準版代碼的信息不一致時，生成相應的告警消息。

安全監測裝置的代碼基準版本是可以通過對網絡流量的監測進行更新的，當發現網絡流量中顯示控制器的固件、應用程序和配置參數的代碼版本與自身存儲的代碼基準版本不一致時，安全監測裝置需要根據預先定義的原則判斷新的代碼是否時合法代碼，不是合法代碼，安全監測裝置作異常處理，是合法代碼，安全監測裝置則需要根據被測設備的代碼更新的網絡交易數據更新自身的基準版本代碼。

根據本發明的又一個方面，提供一種監測設備安全的計算設備，包括處理器、存儲器、網絡通信接口、數據匹配模塊和異常處理模塊。處理器適于請求控制網絡中的控制器報告當前使用的代碼，以及進行基準代碼的升級。存儲器適于存儲控制器的基準代碼。網絡通信接口負責安全監測裝置與控制網絡之間的通信。數據匹配模塊用于比較接收到的控制器報告的代碼與存儲器內的基準代碼。異常處理模塊負責檢測到代碼不匹配異常狀況后的處理工作。

綜上，根據本發明的監測設備安全的技術方案可以獲取被監測設備(例如控制設備等)當前使用代碼(固件、應用程序或配置參數)的信息。在此基礎上，本發明的技術方案可以將所獲取的信息與基準版代碼的信息進行匹配判斷。這樣，本發明的技術方案可以及時發現被監測設備所執行代碼的異常。換言之，本發明的技術方案可以發現被監測設備的代碼異常。特別是，本發明的技術方案可以發現由于被監測設備由于本地入侵和破壞而引起的代碼異常。另外，本發明的技術方案還可以針對代碼異常進行告警和執行相應的異常處理操作。另外，本發明的技術方案還可以對網絡數據包進行攔截和分析。這樣，根據本發明的技術方案可以發現網絡入侵引起的異常和本地入侵引起的異常，從而使得對被監測設備的入侵監測可以達到全覆蓋無死角的程度。

附圖說明

為了實現上述以及相關目的，本文結合下面的描述和附圖來描述某些說明性方面，這些方面指示了可以實踐本文所公開的原理的各種方式，并且所有方面及其等效方面旨在落入所要求保護的主題的范圍內。通過結合附圖閱讀下面的詳細描述，本公開的上述以及其它目的、特征和優勢將變得更加明顯。遍及本公開，相同的附圖標記通常指代相同的部件或元素。

圖1是本發明具體實施例中安全監測裝置的網絡構成示意圖；

圖2是本發明具體實施例中安全監測裝置的結構示意圖；

圖3是本發明具體實施例中安全監測流程；以及

圖4是是本發明具體實施例中安全監測裝置驗證更新代碼基準版本流程。

附圖標記：

10 控制網絡

20 安裝了安全監測裝置的工業控制網絡示例

100 安全監測裝置，

110 處理器

120 存儲器

130 網絡通信接口

140 網絡掃描模塊

150 數據分析處理模塊

160 異常處理模塊

200：網絡交換機

300：控制設備

400：現場設備

500：工作站

600：歷史數據服務器

700：人機界面

800：外設

具體實施方式