技術領域

本發明涉及控制領域安全檢測技術領域，特別涉及一種控制網絡中在線檢測控制器入侵檢測的方法。

背景技術

由于工業控制系統設計之初是一個與外界物理隔離的系統，因此傳統的工業控制協議沒有考慮信息安全和網絡安全的問題。隨著標準網絡和互聯網技術在工業控制系統的廣泛應用，工業控制系統的安全威脅正日益加劇，盡管各種安全檢測和管理手段不斷完善，仍然不能完全覆蓋所有的惡意攻擊場景。

目前的對控制系統的安全監測方法一般是通過對控制網絡流量的監視、破解、和分析來判斷控制網絡中的控制器等設備是否受到攻擊，這解決了攻擊通過網絡進行的情況，但是如果攻擊沒有經過網絡，而是直接將攻擊電腦與被攻擊設備直接連接或其它非網絡連接方式，現有的方法不能解決問題。攻擊者就可能直接植入經過修改的固件、應用程序和配置參數的代碼到被攻擊的設備上，被修改的固件、應用程序和配置參數可能會發送欺騙信息致使對網絡信息的攔截、破解和分析不能了解設備運行的真實情況。在各種對工業控制系統的攻擊實例來看，內部人員由于各種原因的破壞、有意或無意的錯誤都會造成對工業控制系統造成極大的損害，本發明就是針對這個問題提出解決方法。

發明內容

為此，本發明提供了一種基于預裝可信基準代碼的異常監測方法，用于周期性或按需監測控制網絡中控制設備是否出現異常包括但不限于固件改變、應用程序改變和配置參數改變。

為達到上述目的，本發明的技術方案是這樣實現的：

一種控制器安全檢測的方法，其特征在于：預裝可信基準代碼；請求工業控制網絡中控制現場設備的控制器報告當前使用的代碼；將控制器報告的代碼與之前存儲的可信基準代碼比較；如果比較結果不一致，生成告警信息。

優選的，所述請求控制器報告代碼的方法包括模擬配置控制器的工程交互協議來實現。

優選的，所述控制器報告的代碼與之前存儲的可信基準代碼的比較方法包括全文比較和摘要比較；所述控制器報告的代碼類型包括控制器的固件、控制器應用程序和控制器配置參數。

優選的，所述控制器報告的代碼包括控制器的固件、控制器應用程序和控制器配置參數的數字摘要信息。

優選的，還包括通過攔截所述控制器相關的代碼更新網絡交易數據來驗證存儲基準代碼的版本；當確定攔截到的代碼更新交易是非法時，生成告警信息；當確定攔截到的代碼更新交易是合法的，利用攔截到的代碼更新交易信息更新基準版本。

另外，本發明還提供了一種安全監測裝置。

一個安全檢測裝置，包括，

處理器，用于負責所有設備的計算和管理，包括請求控制網絡中的控制器報告當前使用的代碼；

存儲器，用于存儲控制器的基準代碼；

網絡通信接口，負責安全監測裝置與控制網絡之間的通信；

數據匹配模塊，用于比較接收到的所述控制器報告的代碼與所述存儲器內的基準代碼；

異常處理模塊，負責檢測到代碼不匹配異常狀況的后處理工作。

優選的，所述請求控制器報告代碼的方法包括處理器通過模擬配置控制器的工程交互協議來實現。

優選的，所述控制器報告的代碼類型包括控制器的固件、控制器應用程序和控制器配置參數；所述控制器報告的代碼包括控制器的固件、控制器應用程序和控制器配置參數的數字摘要信息；所述安全檢測裝置的數據匹配模塊對控制器報告的代碼與所述安全檢測裝置的存儲器中的可信基準代碼的進行比較，比較過程包括全文比較和摘要比較。

優選的，還包括所述安全檢測裝置的處理器通過與網絡交換機的連接攔截所述控制器相關代碼更新的網絡交易數據來驗證所述控制器的基準代碼版本。

優選的，所述的驗證已存儲的基準版本的方法，當所述安全檢測裝置的處理器確定攔截到的代碼更新交易是非法時，由所述安全檢測裝置的異常處理模塊生成告警信息；當所述安全檢測裝置的處理器確定攔截到的代碼更新交易是合法時，利用攔截到的代碼更新的交易信息更新安全檢測裝置的基準版本，并存儲在所述安全檢測裝置的存儲器中。