[发明专利]监测设备安全的方法及计算设备

说明书

本发明涉及设备监测领域，尤其涉及在线设备入侵检测的方法及计算设备。

背景技术

早期，工业控制系统被布置在与外界物理隔离的环境下中，并不涉及网络安全问题。不过，随着互联网技术在工业控制系统中广泛应用，工业控制系统的网络安全问题日益加剧。

目前，应用在工业控制系统的安全监测方案，通常基于对网络流量的监视、破解、和分析来判断工业控制网络中的控制设备是否受到攻击。

然而，除了受到网络攻击，工业控制系统中各种控制设备还有可能被直接修改代码。例如，各种控制设备的固件、应用程序和配置参数被非正常修改或替换。被修改的固件、应用程序和配置参数可能会发送欺骗信息致使对网络信息的拦截、破解和分析不能了解设备运行的真实情况。

为此，本发明提出了一种新的在线设备入侵检测的技术方案。

发明内容

本发明提供了一种基于预装的可信基准代码的异常监测方法，用于周期性或按需监测控制网络中控制设备是否出现异常包括但不限于固件改变、应用程序改变和配置参数改变。

根据本发明的一个方面，提供一种监测设备安全的方法，适于在计算设备中执行。该计算设备中存储有关于被监测设备的基准版代码的信息。该方法包括下述步骤。获取被监测设备当前使用代码的信息。比较当前使用代码的信息与基准版代码的信息。在确定当前使用代码的信息与基准版代码的信息不一致时，生成相应的告警消息。

安全监测装置的代码基准版本是可以通过对网络流量的监测进行更新的，当发现网络流量中显示控制器的固件、应用程序和配置参数的代码版本与自身存储的代码基准版本不一致时，安全监测装置需要根据预先定义的原则判断新的代码是否时合法代码，不是合法代码，安全监测装置作异常处理，是合法代码，安全监测装置则需要根据被测设备的代码更新的网络交易数据更新自身的基准版本代码。

根据本发明的又一个方面，提供一种监测设备安全的计算设备，包括处理器、存储器、网络通信接口、数据匹配模块和异常处理模块。处理器适于请求控制网络中的控制器报告当前使用的代码，以及进行基准代码的升级。存储器适于存储控制器的基准代码。网络通信接口负责安全监测装置与控制网络之间的通信。数据匹配模块用于比较接收到的控制器报告的代码与存储器内的基准代码。异常处理模块负责检测到代码不匹配异常状况后的处理工作。

综上，根据本发明的监测设备安全的技术方案可以获取被监测设备(例如控制设备等)当前使用代码(固件、应用程序或配置参数)的信息。在此基础上，本发明的技术方案可以将所获取的信息与基准版代码的信息进行匹配判断。这样，本发明的技术方案可以及时发现被监测设备所执行代码的异常。换言之，本发明的技术方案可以发现被监测设备的代码异常。特别是，本发明的技术方案可以发现由于被监测设备由于本地入侵和破坏而引起的代码异常。另外，本发明的技术方案还可以针对代码异常进行告警和执行相应的异常处理操作。另外，本发明的技术方案还可以对网络数据包进行拦截和分析。这样，根据本发明的技术方案可以发现网络入侵引起的异常和本地入侵引起的异常，从而使得对被监测设备的入侵监测可以达到全覆盖无死角的程度。

附图说明

为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。

图1是本发明具体实施例中安全监测装置的网络构成示意图；

图2是本发明具体实施例中安全监测装置的结构示意图；

图3是本发明具体实施例中安全监测流程；以及

图4是是本发明具体实施例中安全监测装置验证更新代码基准版本流程。

附图标记：

10 控制网络

20 安装了安全监测装置的工业控制网络示例

100 安全监测装置，

110 处理器

120 存储器

130 网络通信接口

140 网络扫描模块

150 数据分析处理模块

160 异常处理模块

200：网络交换机

300：控制设备

400：现场设备

500：工作站

600：历史数据服务器

700：人机界面

800：外设

具体实施方式