概括地說(shuō)，本申請(qǐng)涉及過(guò)程或工業(yè)工廠通信系統(tǒng)，更具體地說(shuō)，本申請(qǐng)涉及基于工廠通信網(wǎng)絡(luò)中的業(yè)務(wù)檢測(cè)和過(guò)濾來(lái)檢測(cè)對(duì)控制和維護(hù)通信網(wǎng)絡(luò)(例如，過(guò)程和工業(yè)控制系統(tǒng)中所使用的那些控制和維護(hù)通信網(wǎng)絡(luò))的入侵。

背景技術(shù)：

過(guò)程或工業(yè)控制和維護(hù)系統(tǒng)(例如，如在發(fā)電、化學(xué)、石油或其它制造過(guò)程中所使用的那些分布式或可升級(jí)的過(guò)程控制系統(tǒng))通常包括一個(gè)或多個(gè)控制器，這些控制器彼此通信地耦合，經(jīng)由過(guò)程控制網(wǎng)絡(luò)耦合到至少一個(gè)主機(jī)或操作者工作站，并且經(jīng)由模擬、數(shù)字或組合的模擬/數(shù)字總線耦合到一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備?，F(xiàn)場(chǎng)設(shè)備(其可以是例如閥、閥定位器、開(kāi)關(guān)及傳送器(例如，溫度、壓力和流速傳感器))執(zhí)行過(guò)程或工廠內(nèi)的功能，例如打開(kāi)或關(guān)閉閥，接通和斷開(kāi)設(shè)備以及測(cè)量過(guò)程參數(shù)。控制器接收對(duì)現(xiàn)場(chǎng)設(shè)備所作出的過(guò)程或工廠測(cè)量進(jìn)行指示的信號(hào)和/或關(guān)于現(xiàn)場(chǎng)設(shè)備的其它信息，使用該信息來(lái)實(shí)現(xiàn)一個(gè)或多個(gè)控制例程，并且然后生成控制信號(hào)，其中控制信號(hào)通過(guò)工廠網(wǎng)絡(luò)的總線或通信信道發(fā)送給現(xiàn)場(chǎng)設(shè)備，以控制過(guò)程或工廠的操作。通?？梢越?jīng)由通信網(wǎng)絡(luò)使來(lái)自現(xiàn)場(chǎng)設(shè)備和控制器的信息可用于由操作者工作站執(zhí)行的一個(gè)或多個(gè)應(yīng)用，以使得操作者或維護(hù)人員能夠針對(duì)該過(guò)程或工廠執(zhí)行任何期望的功能，例如查看工廠的當(dāng)前狀態(tài)、修改工廠的操作、校準(zhǔn)設(shè)備、檢測(cè)故障設(shè)備等。

在操作期間，過(guò)程控制器(其通常位于過(guò)程工廠環(huán)境內(nèi))根據(jù)配置方案被配置為：周期性地或定期接收對(duì)現(xiàn)場(chǎng)設(shè)備所產(chǎn)生的或與現(xiàn)場(chǎng)設(shè)備相關(guān)聯(lián)的過(guò)程測(cè)量或過(guò)程變量進(jìn)行指示的信號(hào)和/或關(guān)于現(xiàn)場(chǎng)設(shè)備的其它信息，并且使用該信息來(lái)執(zhí)行控制器應(yīng)用?？刂破鲬?yīng)用實(shí)現(xiàn)例如不同的控制模塊，這些控制模塊做出過(guò)程控制決定、基于所接收的信息生成控制信號(hào)、并與 現(xiàn)場(chǎng)設(shè)備(例如，和Fieldbus現(xiàn)場(chǎng)設(shè)備)中的控制模塊或塊協(xié)作。此外，再次根據(jù)配置方案，過(guò)程控制器中的控制模塊通過(guò)通信鏈路或其它信號(hào)路徑向現(xiàn)場(chǎng)設(shè)備發(fā)送控制信號(hào)，以便據(jù)此控制過(guò)程的操作。

經(jīng)由一個(gè)或多個(gè)受保護(hù)的過(guò)程控制或維護(hù)網(wǎng)絡(luò)，通常還使來(lái)自現(xiàn)場(chǎng)設(shè)備和過(guò)程控制器的信息可用于工廠內(nèi)部或外部的一個(gè)或多個(gè)其它硬件設(shè)備，例如，操作者工作站、維護(hù)工作站、服務(wù)器、個(gè)人計(jì)算機(jī)、手持設(shè)備、數(shù)據(jù)或事件歷史記錄、報(bào)告生成器、中央數(shù)據(jù)庫(kù)等。通過(guò)過(guò)程控制或維護(hù)通信網(wǎng)絡(luò)傳送的信息使得操作者或維護(hù)人員能夠針對(duì)過(guò)程執(zhí)行期望的功能和/或查看工廠或工廠內(nèi)的設(shè)備的操作。例如，控制信息允許操作者改變過(guò)程控制例程的設(shè)置，修改過(guò)程控制器或智能現(xiàn)場(chǎng)設(shè)備內(nèi)的控制模塊的操作，查看過(guò)程的當(dāng)前狀態(tài)或過(guò)程工廠內(nèi)的特定設(shè)備的狀態(tài)，查看由現(xiàn)場(chǎng)設(shè)備和過(guò)程控制器生成的警報(bào)和/或告警，出于訓(xùn)練人員或測(cè)試過(guò)程控制軟件的目的來(lái)模擬過(guò)程的操作，診斷過(guò)程工廠內(nèi)的問(wèn)題或硬件故障等。

現(xiàn)場(chǎng)設(shè)備和控制器通常通過(guò)一個(gè)或多個(gè)受保護(hù)的過(guò)程控制或維護(hù)通信網(wǎng)絡(luò)(其可以例如實(shí)現(xiàn)為以太網(wǎng)配置的LAN)與其它硬件設(shè)備進(jìn)行通信。過(guò)程控制或維護(hù)通信網(wǎng)絡(luò)通過(guò)各種網(wǎng)絡(luò)設(shè)備發(fā)送過(guò)程參數(shù)、網(wǎng)絡(luò)信息和其它過(guò)程控制數(shù)據(jù)并發(fā)送給過(guò)程控制系統(tǒng)中的各個(gè)實(shí)體。典型的網(wǎng)絡(luò)設(shè)備包括網(wǎng)絡(luò)接口卡、網(wǎng)絡(luò)交換機(jī)、路由器、服務(wù)器、防火墻、控制器、操作者工作站和數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)設(shè)備通常通過(guò)控制路由、幀速率、超時(shí)和其它網(wǎng)絡(luò)參數(shù)來(lái)促進(jìn)通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流動(dòng)，但不改變過(guò)程數(shù)據(jù)本身。隨著過(guò)程控制網(wǎng)絡(luò)的規(guī)模和復(fù)雜性的增加，網(wǎng)絡(luò)設(shè)備的數(shù)量和類型相應(yīng)地增加。由于系統(tǒng)和網(wǎng)絡(luò)的增長(zhǎng)，這些復(fù)雜系統(tǒng)內(nèi)的安全性及其管理變得越來(lái)越困難。然而，作為開(kāi)始，這些網(wǎng)絡(luò)通常與其它外部網(wǎng)絡(luò)隔離，并且由一個(gè)或多個(gè)防火墻保護(hù)這些網(wǎng)絡(luò)免受外部攻擊。

通常，在典型的工業(yè)控制系統(tǒng)中，為了限制對(duì)網(wǎng)絡(luò)的入侵，工廠控制系統(tǒng)工作站/服務(wù)器策略性地放置在執(zhí)行與工廠相關(guān)聯(lián)的各種功能的外部工廠網(wǎng)絡(luò)與控制系統(tǒng)內(nèi)執(zhí)行控制和數(shù)據(jù)獲取功能的嵌入式控制設(shè)備(例如，控制器、PLC、RTU)之間?？刂乒ぷ髡?服務(wù)器的主要安全目標(biāo)是阻止惡意軟件進(jìn)入控制和維護(hù)系統(tǒng)并對(duì)嵌入式設(shè)備造成不利影響，以及阻止惡意 軟件改變存儲(chǔ)在工廠過(guò)程控制數(shù)據(jù)庫(kù)中的配置和歷史數(shù)據(jù)。此外，這些工作站/服務(wù)器阻止對(duì)控制系統(tǒng)的未經(jīng)授權(quán)的訪問(wèn)，以阻止對(duì)工廠配置的未經(jīng)授權(quán)的改變、對(duì)工廠數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)等。盡管多個(gè)安全特征(例如，防火墻、“反病毒”軟件和“白名單”)可用于解決這些安全目標(biāo)，但這些安全特征通常是不充分的。例如，反病毒軟件無(wú)法防范“零日”病毒，并且白名單僅阻止未經(jīng)授權(quán)的應(yīng)用程序運(yùn)行。此外，這些特征中的一些特征太有入侵性以致于在過(guò)程控制系統(tǒng)中在操作上是不可行的，這是因?yàn)檫@些安全特征會(huì)潛在地妨礙工廠操作者或經(jīng)調(diào)度的控制操作的活動(dòng)。

在一般意義上，惡意軟件(例如，處于零日攻擊核心的惡意軟件)通常經(jīng)由到外部網(wǎng)絡(luò)的授權(quán)的通信連接，通過(guò)應(yīng)用或服務(wù)(其具有訪問(wèn)過(guò)程控制網(wǎng)絡(luò)內(nèi)的存儲(chǔ)器設(shè)備、網(wǎng)絡(luò)端口或直接數(shù)據(jù)鏈路的權(quán)限或授權(quán))的操作引入受保護(hù)的控制系統(tǒng)網(wǎng)絡(luò)。替代地，惡意軟件可經(jīng)由將被感染的便攜式設(shè)備和/或介質(zhì)連接到控制系統(tǒng)設(shè)備的本地人員引入受保護(hù)的控制系統(tǒng)網(wǎng)絡(luò)。此后，惡意軟件能夠被傳播到其它設(shè)備(例如，經(jīng)由通信)和/或使用感染有惡意軟件的應(yīng)用或服務(wù)的安全權(quán)限在過(guò)程控制網(wǎng)絡(luò)內(nèi)的設(shè)備內(nèi)執(zhí)行。此外，惡意軟件本身可以在本地持續(xù)存在，以允許其在聯(lián)網(wǎng)設(shè)備重新啟動(dòng)之后再次執(zhí)行。在一些情況下，惡意軟件可以使用賬戶(在該賬戶下執(zhí)行應(yīng)用或服務(wù))的權(quán)限來(lái)升級(jí)主機(jī)(例如，被感染的應(yīng)用或服務(wù))的權(quán)限，并且在這樣做時(shí)，惡意軟件能夠執(zhí)行過(guò)程控制設(shè)備或網(wǎng)絡(luò)設(shè)備內(nèi)的需要更高權(quán)限的動(dòng)作或操作，因此通常對(duì)控制系統(tǒng)操作更加有害。當(dāng)這些攻擊擾亂工廠控制系統(tǒng)正在進(jìn)行的操作時(shí)，這些攻擊可在過(guò)程工廠內(nèi)造成嚴(yán)重和潛在破壞性或者甚至致命的影響。

已經(jīng)有大量的研究活動(dòng)來(lái)定義和構(gòu)建硬件和軟件配置，這些硬件和軟件配置操作為阻止或限制對(duì)過(guò)程或工業(yè)控制和維護(hù)網(wǎng)絡(luò)的攻擊。然而，即使嚴(yán)密防御的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)或監(jiān)控與數(shù)據(jù)采集(SCADA)網(wǎng)絡(luò)仍受到安全威脅，例如安全防御的錯(cuò)誤配置、具有合法接入的用戶惡意地進(jìn)行活動(dòng)、以及公眾未知但惡意的軟件代表外部襲擊者進(jìn)行活動(dòng)。此外，一旦網(wǎng)絡(luò)被感染，僅存在有限的能力來(lái)自動(dòng)檢測(cè)過(guò)程或工業(yè)控制設(shè)備內(nèi)或工廠通信節(jié)點(diǎn)中病毒或惡意軟件的存在。概括地說(shuō)，一旦攻擊在工廠環(huán)境中變得成功，則通常需要操作者、維護(hù)人員等來(lái)檢測(cè)工廠通信節(jié)點(diǎn)或設(shè)備 被感染。盡管有可能在通信網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)處運(yùn)行后臺(tái)病毒掃描軟件，但該軟件耗費(fèi)大量存儲(chǔ)器和處理資源，需要定期更新(需要大量的網(wǎng)絡(luò)維護(hù)資源和時(shí)間)，并且仍然不能夠檢測(cè)零日病毒。

在許多情況下，工廠設(shè)備或網(wǎng)絡(luò)節(jié)點(diǎn)處的病毒或未經(jīng)授權(quán)的軟件可以導(dǎo)致設(shè)備或網(wǎng)絡(luò)的性能下降，可以充分地中斷正常的工廠操作以足以導(dǎo)致在網(wǎng)絡(luò)內(nèi)的該節(jié)點(diǎn)或其它節(jié)點(diǎn)處生成錯(cuò)誤或警報(bào)，或者可以導(dǎo)致其它嚴(yán)重和值得注意的問(wèn)題。在其中一些情況下，對(duì)于操作者或其它工廠人員來(lái)說(shuō)檢測(cè)病毒的存在可能相對(duì)容易，但可能仍然難以檢測(cè)病毒的位置。此外，在許多其它情況下，病毒或攻擊可能在很長(zhǎng)的時(shí)間段內(nèi)在未被檢測(cè)到的情況下進(jìn)行操作，盡管其使網(wǎng)絡(luò)操作稍微惡化，但對(duì)工廠操作的這種惡化或其它影響可能是可忽略的，并且因此可能非常難以檢測(cè)。因此，在許多情況下，病毒可能在很長(zhǎng)的時(shí)間段內(nèi)未被檢測(cè)到，在該時(shí)間期間，這些病毒可以操作為降低工廠效率，允許竊取工廠數(shù)據(jù)，實(shí)現(xiàn)更加嚴(yán)重的入侵，將網(wǎng)絡(luò)設(shè)備暴露于嚴(yán)重的攻擊或傷害等等。

技術(shù)實(shí)現(xiàn)要素：

一種控制系統(tǒng)(例如，工業(yè)或過(guò)程工廠控制或維護(hù)系統(tǒng))實(shí)現(xiàn)通信網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)，該通信網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)提供對(duì)通過(guò)網(wǎng)絡(luò)發(fā)送的通信的魯棒分析和過(guò)濾，以防范潛在被感染的網(wǎng)絡(luò)節(jié)點(diǎn)。概括地說(shuō)，該分析系統(tǒng)包括魯棒性(robustness)代理，其在節(jié)點(diǎn)設(shè)備(例如，控制器、用戶接口、交換機(jī)等)與通信網(wǎng)絡(luò)之間的接口處進(jìn)行操作，其中，所述魯棒性代理對(duì)來(lái)自或去往所述網(wǎng)絡(luò)的消息進(jìn)行分析和過(guò)濾，以確定流動(dòng)通過(guò)所述魯棒性代理的消息的類型或關(guān)于所述消息的信息。魯棒性代理可以被配置為：允許某些類型的消息(例如，具有某些預(yù)先確定的特征的消息)通過(guò)所述代理去往所述網(wǎng)絡(luò)或去往所述設(shè)備，可以阻止具有其它預(yù)先確定的特征的消息通過(guò)所述代理(例如通過(guò)丟棄或過(guò)濾這些消息)，和/或可以將具有其它特征的其它消息傳遞到體量(volume)過(guò)濾器以便進(jìn)行計(jì)數(shù)。體量過(guò)濾器可以操作為：對(duì)特定類型(或具有消息特征的特定集合)的消息的數(shù)量進(jìn)行計(jì)數(shù)，并且體量過(guò)濾器可以操作為：如果特定時(shí)間段上的這些檢測(cè)到的消息的數(shù)量小于特定閾值，則傳遞這些消息，但是如果特定時(shí)間段上的經(jīng)計(jì) 數(shù)的消息的數(shù)量大于特定閾值，則可以過(guò)濾這些消息。概括地說(shuō)，魯棒性代理可以被配置為使得該魯棒性代理的過(guò)濾操作可以基于對(duì)網(wǎng)絡(luò)作出的改變而隨時(shí)間改變，可以針對(duì)不同類型的網(wǎng)絡(luò)或針對(duì)不同工廠中的網(wǎng)絡(luò)來(lái)調(diào)整或建立，并且通常可以被配置為：與任何特定網(wǎng)絡(luò)(其中魯棒性代理或具有多個(gè)魯棒性代理的安全系統(tǒng)在該特定網(wǎng)絡(luò)中進(jìn)行操作)的預(yù)期操作相匹配。

在一般意義上，使用一個(gè)或多個(gè)這種魯棒性代理的安全系統(tǒng)阻止可能因傳遞具有某種類型或具有很可能與入侵相關(guān)聯(lián)的特征的消息而受感染的節(jié)點(diǎn)，并且阻止可能因發(fā)送與對(duì)網(wǎng)絡(luò)的入侵相關(guān)聯(lián)的大量消息的而被感染的節(jié)點(diǎn)。此外，該系統(tǒng)有助于阻止受到來(lái)自被感染的節(jié)點(diǎn)(其因從網(wǎng)絡(luò)接受或接收可能與入侵相關(guān)聯(lián)或由入侵引起的大量消息而被感染)的攻擊的節(jié)點(diǎn)。具體而言，安全系統(tǒng)的魯棒性代理查看出站(outbound)消息(來(lái)自節(jié)點(diǎn)的)，以便基于網(wǎng)絡(luò)的配置來(lái)確定這些消息是否與網(wǎng)絡(luò)上的期望類型的消息一致，例如，以便確定出站消息是否是具有根據(jù)配置的網(wǎng)絡(luò)通信內(nèi)的預(yù)期的特征集合的消息。在一些情況下，安全系統(tǒng)可以被配置為：傳遞具有某些類型(或具有某些特征集合)的所有消息，這些消息可以包括具有被認(rèn)為對(duì)網(wǎng)絡(luò)操作來(lái)說(shuō)是需要的或必要的類型的消息。在其它情況下，安全系統(tǒng)可以被配置為：拒絕或過(guò)濾掉具有某些類型或具有某些特征的所有消息，這些消息不應(yīng)當(dāng)在根據(jù)配置的網(wǎng)絡(luò)的正常操作期間出現(xiàn)，并且因此這些消息可能是由系統(tǒng)內(nèi)的惡意軟件或被感染的節(jié)點(diǎn)生成的。在第三種情況下，安全系統(tǒng)可以被設(shè)置為：有條件地傳遞具有某些類型或具有某些特征集合的消息，直到某個(gè)體量或等級(jí)為止，然后以某種方式對(duì)那些消息進(jìn)行過(guò)濾。在這種情況下，有可能根據(jù)配置預(yù)期某個(gè)有限數(shù)量的第三類型的消息在網(wǎng)絡(luò)內(nèi)出現(xiàn)，但是這些消息是可疑的，因?yàn)閮H預(yù)期某個(gè)等級(jí)或體量的這些消息。在特定時(shí)間段期間存在超過(guò)某個(gè)等級(jí)或體量的這種類型的消息因此可以指示這些消息是由惡意軟件或另一類型的感染或?qū)W(wǎng)絡(luò)的入侵生成的。如果檢測(cè)到該體量，則魯棒性代理可對(duì)所有這些消息進(jìn)行過(guò)濾，或者可傳遞這些消息中有限數(shù)量的消息同時(shí)過(guò)濾其它消息以使體量保持在某個(gè)等級(jí)以下，可以通知用戶，可以運(yùn)行入侵檢測(cè)軟件，和/或可以將生成消息的設(shè)備從網(wǎng)絡(luò)鏈路斷開(kāi)以阻止被感染的設(shè)備接入網(wǎng)絡(luò)。

在任何情況下，安全系統(tǒng)的魯棒性模塊中的每個(gè)魯棒性模塊可被配置為使用配置文件來(lái)進(jìn)行操作，其中配置文件指定了要傳遞、要過(guò)濾或要傳遞給體量過(guò)濾器的消息的類型或特征，體量過(guò)濾器中各種類型的消息的特別允許的體量，當(dāng)達(dá)到或超過(guò)體量閾值時(shí)魯棒性代理將采取的動(dòng)作等等。該配置或與其相關(guān)聯(lián)的規(guī)則可以存儲(chǔ)在附接到魯棒性代理或魯棒性代理在其中操作的設(shè)備的只讀閃存中，這使得配置數(shù)據(jù)在魯棒性代理的操作期間不可改變；或者可以存儲(chǔ)在讀/寫(xiě)存儲(chǔ)器中，這使得配置是可更改，并且因此在網(wǎng)絡(luò)操作期間更加魯棒，從而允許安全系統(tǒng)在操作期間基于對(duì)網(wǎng)絡(luò)作出的改變而重新配置。然而，在后一種情況下，配置文件可能更容易受到惡意軟件(其可操作為感染配置文件)的感染。在一些情況下，規(guī)則中的某些部分可以存儲(chǔ)在閃存中，而規(guī)則中所使用的一些數(shù)據(jù)或列表可以用可配置的方式存儲(chǔ)在其它類型的存儲(chǔ)器中。

概括地說(shuō)，魯棒性代理的配置可以基于每個(gè)魯棒性代理所附接到的網(wǎng)絡(luò)位置和設(shè)備而變化。此外，通信網(wǎng)絡(luò)中可以提供任意數(shù)量的魯棒性代理以組成網(wǎng)絡(luò)安全系統(tǒng)。盡管在一些情況下這可能是令人期望的，但是網(wǎng)絡(luò)中的每個(gè)設(shè)備擁有其自己的魯棒性代理并非總是必要的。同樣地，由于網(wǎng)絡(luò)節(jié)點(diǎn)的相對(duì)靜態(tài)的配置，以及工廠或工廠控制網(wǎng)絡(luò)中所使用的過(guò)程或工業(yè)控制或維護(hù)系統(tǒng)配置的先驗(yàn)性質(zhì)，因此每個(gè)魯棒性代理的配置可以被設(shè)置為充分地進(jìn)行操作。

在一個(gè)或多個(gè)實(shí)施例中，一種用于通信網(wǎng)絡(luò)中的安全系統(tǒng)，所述通信網(wǎng)絡(luò)具有經(jīng)由通信鏈路通信地耦合的多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，所述安全系統(tǒng)包括一個(gè)或多個(gè)消息模塊接口，其中，所述消息模塊接口中的每個(gè)消息模塊接口在所述網(wǎng)絡(luò)節(jié)點(diǎn)中的一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)處在處理器上執(zhí)行，以檢測(cè)所述網(wǎng)絡(luò)節(jié)點(diǎn)處的消息業(yè)務(wù)以及確定所述消息中的每個(gè)消息的一個(gè)或多個(gè)消息特征。所述安全系統(tǒng)還包括規(guī)則存儲(chǔ)器，所述規(guī)則存儲(chǔ)器存儲(chǔ)一個(gè)或多個(gè)邏輯規(guī)則，并且所述安全系統(tǒng)包括一個(gè)或多個(gè)過(guò)濾單元，所述一個(gè)或多個(gè)過(guò)濾單元存儲(chǔ)在處理器中并在處理器上執(zhí)行，并且耦合到所述規(guī)則存儲(chǔ)器，所述過(guò)濾單元中的每個(gè)過(guò)濾單元包括：第一過(guò)濾模塊，以及第二過(guò)濾模塊。在該情況下，所述第一過(guò)濾模塊在所述處理器上執(zhí)行，并且基于所述消息特征信息來(lái)應(yīng)用存儲(chǔ)在所述規(guī)則存儲(chǔ)器中的一個(gè)或多個(gè)邏輯規(guī)則，以傳遞所 述消息、暫停所述消息、或者將所述消息傳遞給所述第二過(guò)濾模塊。此外，所述第二過(guò)濾模塊對(duì)具有消息特征的特定的集合的消息的數(shù)量進(jìn)行計(jì)數(shù)以確定消息計(jì)數(shù)，并且基于所述消息計(jì)數(shù)來(lái)傳遞具有消息特征的所述特定集合的消息或暫停具有消息特征的所述特定集合的消息。

如果期望的話，所述消息計(jì)數(shù)可以包括在特定時(shí)間段內(nèi)接收的具有消息特征的所述特定集合的特定數(shù)量的消息。此外，所述規(guī)則存儲(chǔ)器可以是只讀存儲(chǔ)器、讀/寫(xiě)存儲(chǔ)器、或者包括第一部分和第二部分的存儲(chǔ)器，其中所述第一部分是只讀存儲(chǔ)器，所述第二部分是讀/寫(xiě)存儲(chǔ)器。此外，所述規(guī)則存儲(chǔ)器可以是閃存，例如能夠拆卸的閃存。

此外，所述安全系統(tǒng)可以包括記錄模塊，所述記錄模塊耦合到所述第一過(guò)濾模塊和/或所述第二過(guò)濾模塊，所述記錄模塊在所述處理器上執(zhí)行，以便接收關(guān)于一個(gè)或多個(gè)暫停的消息的信息，并且將關(guān)于所述一個(gè)或多個(gè)暫停的消息的信息存儲(chǔ)在日志或日志文件中。所述記錄模塊可以包括通信接口，所述通信接口向用戶發(fā)送由暫停的消息構(gòu)成的一個(gè)或多個(gè)日志，并且可以存儲(chǔ)關(guān)于所述暫停的消息的元數(shù)據(jù)。所述安全系統(tǒng)還可以或替代地包括耦合到所述第二過(guò)濾模塊的告警生成模塊，其中，所述告警生成模塊在所述處理器上執(zhí)行，以便當(dāng)所述消息計(jì)數(shù)達(dá)到預(yù)先確定的等級(jí)時(shí)向用戶發(fā)送告警。所述告警生成模塊還可以操作為：當(dāng)所述消息計(jì)數(shù)達(dá)到預(yù)先確定的等級(jí)時(shí)，將設(shè)備(例如，在所述網(wǎng)絡(luò)上的生成大量的特定類型的消息或者具有特征的特定集合的消息的任何設(shè)備)從所述通信網(wǎng)絡(luò)斷開(kāi)。此外，所述一個(gè)或多個(gè)過(guò)濾單元可以包括第一過(guò)濾單元和第二過(guò)濾單元，其中所述第一過(guò)濾單元接收并分析從所述通信鏈路進(jìn)入所述網(wǎng)絡(luò)節(jié)點(diǎn)的消息，所述第二過(guò)濾單元接收并分析所述網(wǎng)絡(luò)節(jié)點(diǎn)中生成的并經(jīng)由所述通信鏈路發(fā)送給另一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的消息。

在一個(gè)或多個(gè)其它實(shí)施例中，一種保護(hù)通信網(wǎng)絡(luò)中的消息業(yè)務(wù)的安全的方法，包括：在連接到所述通信網(wǎng)絡(luò)的設(shè)備處接收一系列消息；以及經(jīng)由所述設(shè)備處的處理器來(lái)分析所述一系列消息中的每個(gè)消息，以確定所述消息中的每個(gè)消息的一個(gè)或多個(gè)消息特征。所述方法還包括：基于存儲(chǔ)在所述設(shè)備處的邏輯規(guī)則集合，經(jīng)由所述設(shè)備處的所述處理器來(lái)對(duì)所述消息中的每個(gè)消息進(jìn)行過(guò)濾，所述過(guò)濾包括：傳遞具有消息特征的一個(gè)或多個(gè) 第一集合的消息，暫停具有消息特征的一個(gè)或多個(gè)第二集合的消息，以及對(duì)具有消息特征的一個(gè)或多個(gè)第三集合的消息進(jìn)行計(jì)數(shù)。此外，所述方法還包括：基于與消息特征的所述一個(gè)或多個(gè)第三集合相關(guān)聯(lián)的計(jì)數(shù)，來(lái)傳遞或暫停具有消息特征的所述一個(gè)或多個(gè)第三集合的消息。

在另外的一個(gè)或多個(gè)實(shí)施例中，一種通信網(wǎng)絡(luò)包括：通信鏈路以及多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，其中，所述網(wǎng)絡(luò)節(jié)點(diǎn)中的每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)包括耦合到所述通信鏈路的網(wǎng)絡(luò)設(shè)備，并且具有處理器和通信棧，其中所述通信棧在所述處理器上執(zhí)行，以便對(duì)來(lái)自和去往所述通信鏈路的消息進(jìn)行處理。此外，所述多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)中的每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)還包括一個(gè)或多個(gè)消息模塊接口，其中，所述消息模塊接口中的每個(gè)消息模塊接口在網(wǎng)絡(luò)節(jié)點(diǎn)處在處理器上執(zhí)行，以檢測(cè)來(lái)自所述通信棧或來(lái)自所述通信鏈路的消息業(yè)務(wù)，以便確定所述消息中的每個(gè)消息的一個(gè)或多個(gè)消息特征。所述多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)中的每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)還包括規(guī)則存儲(chǔ)器并且包括過(guò)濾模塊，其中所述規(guī)則存儲(chǔ)器存儲(chǔ)一個(gè)或多個(gè)邏輯規(guī)則，所述過(guò)濾模塊存儲(chǔ)在處理器中并在處理器上執(zhí)行并且耦合到所述規(guī)則存儲(chǔ)器，所述過(guò)濾模塊使用存儲(chǔ)在所述規(guī)則存儲(chǔ)器中的邏輯規(guī)則集合來(lái)傳遞具有消息特征的一個(gè)或多個(gè)第一集合的消息，暫停具有消息特征的一個(gè)或多個(gè)第二集合的消息，以及對(duì)具有消息特征的一個(gè)或多個(gè)第三集合的消息進(jìn)行計(jì)數(shù)。所述過(guò)濾模塊基于與消息特征的所述一個(gè)或多個(gè)第三集合相關(guān)聯(lián)的計(jì)數(shù)，來(lái)進(jìn)一步傳遞或暫停具有消息特征的一個(gè)或多個(gè)第三集合的消息。

附圖說(shuō)明

圖1描繪了可以用于過(guò)程控制網(wǎng)絡(luò)中以限制對(duì)網(wǎng)絡(luò)的入侵的影響的可配置魯棒性代理。

圖2是其中可以實(shí)現(xiàn)一個(gè)或多個(gè)基于魯棒性代理的安全系統(tǒng)的、具有多個(gè)互連通信網(wǎng)絡(luò)的過(guò)程或工業(yè)工廠的示例性框圖。

圖3是圖2的工廠網(wǎng)絡(luò)中的一個(gè)工廠網(wǎng)絡(luò)的示例圖，其具有分布式過(guò)程控制系統(tǒng)和過(guò)程自動(dòng)化網(wǎng)絡(luò)的形式，具有包括操作者和維護(hù)工作站、服務(wù)器以及控制器節(jié)點(diǎn)的各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，其中，使用圖1的魯棒性代理的安全系統(tǒng)操作為限制被感染或被損壞的節(jié)點(diǎn)的影響以及潛在地檢測(cè)被感染或 被損壞的節(jié)點(diǎn)。

具體實(shí)施方式

概括地說(shuō)，本文所描述的網(wǎng)絡(luò)安全系統(tǒng)通過(guò)以下操作來(lái)實(shí)現(xiàn)威脅檢測(cè)和威脅修復(fù)：對(duì)進(jìn)入和/或退出通信網(wǎng)絡(luò)上的一個(gè)或多個(gè)設(shè)備的網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行分析，以便基于一個(gè)或多個(gè)消息特征(例如，消息類型、發(fā)送方、接收方、發(fā)送方/接收方對(duì)等)來(lái)確定是否應(yīng)當(dāng)傳遞、過(guò)濾還是進(jìn)一步處理該消息，均出于執(zhí)行網(wǎng)絡(luò)安全的目的。在一些情況下，進(jìn)一步處理可以包括：在特定時(shí)間段內(nèi)對(duì)具有特定類型(或其它特征集合)的消息的體量進(jìn)行計(jì)數(shù)或檢測(cè)。進(jìn)一步處理可引起具有特定類型或其它特征集合的消息被傳遞或隔離(例如，刪除)，和/或可以引起采取某種其它動(dòng)作，例如在節(jié)點(diǎn)處運(yùn)行入侵檢測(cè)軟件，使設(shè)備脫離網(wǎng)絡(luò)以保護(hù)網(wǎng)絡(luò)不受設(shè)備內(nèi)的感染等。本文所描述的安全系統(tǒng)有效地執(zhí)行，這是因?yàn)楣I(yè)系統(tǒng)或過(guò)程控制網(wǎng)絡(luò)配置的先驗(yàn)性質(zhì)使得基本消息業(yè)務(wù)能夠基于預(yù)期的或從特定網(wǎng)絡(luò)配置得到的已知的業(yè)務(wù)統(tǒng)計(jì)來(lái)進(jìn)行分析(并且能夠是相對(duì)已知和靜態(tài)的)。也就是說(shuō)，過(guò)程控制、工業(yè)系統(tǒng)或工廠自動(dòng)化網(wǎng)絡(luò)中的網(wǎng)絡(luò)通信的配置通常是在通信網(wǎng)絡(luò)的實(shí)現(xiàn)或操作之前相當(dāng)?shù)毓?，并且因此網(wǎng)絡(luò)業(yè)務(wù)的基本配置往往不會(huì)在這些網(wǎng)絡(luò)的使用或操作期間顯著改變。相反，網(wǎng)絡(luò)通信業(yè)務(wù)往往在通信網(wǎng)絡(luò)的操作期間是相當(dāng)?shù)仂o態(tài)的(在統(tǒng)計(jì)意義上)，并且因此網(wǎng)絡(luò)消息或消息模式的類型或特征的改變(尤其是在統(tǒng)計(jì)意義上)可以指示對(duì)網(wǎng)絡(luò)的入侵(該入侵并非原始或期望配置的一部分)。

概括地說(shuō)，具有例如以太網(wǎng)接口的工業(yè)控制系統(tǒng)設(shè)備經(jīng)受可能對(duì)設(shè)備行為產(chǎn)生不利影響的各種網(wǎng)絡(luò)業(yè)務(wù)模式和狀況。如本文所描述的安全系統(tǒng)能夠利用指定網(wǎng)絡(luò)上的特定消息業(yè)務(wù)模式(例如，進(jìn)入或退出網(wǎng)絡(luò)上的設(shè)備)的規(guī)則來(lái)配置或更新。然而，控制系統(tǒng)操作者需要面對(duì)異常業(yè)務(wù)時(shí)魯棒的設(shè)備，并且因此本文所描述的安全系統(tǒng)可以在運(yùn)行中(on the fly)被配置為：恰當(dāng)?shù)氐貦z測(cè)和處理業(yè)務(wù)以阻止不利的設(shè)備行為。在一些情況下，規(guī)則可以是動(dòng)態(tài)可配置的，規(guī)則可具有基于狀況或其它規(guī)則的依賴性以提供預(yù)測(cè)性保護(hù)，規(guī)則可動(dòng)態(tài)地調(diào)用其它規(guī)則以提供高效、魯棒的操作，并且規(guī)則可以適于特定安裝中特定的業(yè)務(wù)模式。此外，本文所描述的安全系 統(tǒng)可以自動(dòng)地創(chuàng)建規(guī)則，以在網(wǎng)絡(luò)操作時(shí)防范動(dòng)態(tài)發(fā)現(xiàn)的不利業(yè)務(wù)模式和/或狀況。此外，在一些情況下，安全系統(tǒng)能夠通過(guò)分析退出這些設(shè)備的出口業(yè)務(wù)并丟棄不符合所允許的業(yè)務(wù)規(guī)則或消息類型的異常業(yè)務(wù)，來(lái)識(shí)別和阻止來(lái)自被損壞的控制系統(tǒng)設(shè)備或節(jié)點(diǎn)的攻擊，從而阻止使用控制系統(tǒng)中的這些設(shè)備來(lái)啟動(dòng)惡意網(wǎng)絡(luò)攻擊。

更具體地說(shuō)，本文所描述的安全系統(tǒng)包括可配置魯棒性代理，其位于通信網(wǎng)絡(luò)(在該通信網(wǎng)絡(luò)上執(zhí)行安全性)的一個(gè)或多個(gè)節(jié)點(diǎn)處。在一般意義上，可配置魯棒性代理操作為基于以下理論來(lái)管理(例如，限制)進(jìn)入和/或退出通信節(jié)點(diǎn)的消息業(yè)務(wù)流：具有特定類型的、具有某些預(yù)先定義的特征的消息流或模式可以指示在節(jié)點(diǎn)中進(jìn)行操作的(或者在某個(gè)其它節(jié)點(diǎn)中并攻擊該節(jié)點(diǎn)的)惡意軟件，或者可以以其它方式指示該節(jié)點(diǎn)上或來(lái)自該節(jié)點(diǎn)的攻擊。魯棒性代理操作為：通過(guò)對(duì)流入或流出節(jié)點(diǎn)的消息中的每個(gè)消息進(jìn)行分析以確定消息是否具有(1)預(yù)期的，(2)非預(yù)期的，或者(3)預(yù)期達(dá)到某個(gè)程度但僅處于有限的體量或等級(jí)的特征，來(lái)限制這種攻擊的影響。如果傳入消息具有網(wǎng)絡(luò)通信中預(yù)期的特征集合(例如，消息類型、某個(gè)發(fā)送方或接收方或發(fā)送方/接收方對(duì)等)，則魯棒性代理可簡(jiǎn)單地傳遞消息(當(dāng)消息是來(lái)自網(wǎng)絡(luò)的傳入消息時(shí)將消息傳遞到節(jié)點(diǎn)中；或者當(dāng)消息是來(lái)自節(jié)點(diǎn)的傳出消息時(shí)，將消息傳遞到網(wǎng)絡(luò)鏈路上)。如果傳入消息具有接收或發(fā)送設(shè)備處的網(wǎng)絡(luò)通信中非預(yù)期的特征集合(例如，消息類型、某個(gè)發(fā)送方或接收方或發(fā)送方/接收方對(duì)等)，則魯棒性代理可以刪除、過(guò)濾或隔離消息，以阻止消息到達(dá)節(jié)點(diǎn)中的通信棧的較高等級(jí)(當(dāng)消息是來(lái)自網(wǎng)絡(luò)的傳入消息時(shí))或者阻止消息放置在網(wǎng)絡(luò)鏈路上(當(dāng)消息是來(lái)自節(jié)點(diǎn)的傳出消息時(shí))。如果傳入消息具有網(wǎng)絡(luò)通信中在某種程度上預(yù)期的但僅處于有限的等級(jí)或體量的特征集合(例如，消息類型、某個(gè)發(fā)送方或接收方或發(fā)送方/接收方對(duì)等)，則魯棒性代理可以對(duì)該類型或具有該特征集合的消息進(jìn)行計(jì)數(shù)，以確定特定時(shí)間段上通過(guò)魯棒性代理的該類型或具有該特征集合的消息的數(shù)量。

在這種情況下，如果體量低于特定等級(jí)，則魯棒性代理可以傳遞消息；并且如果體量高于特定等級(jí)或閾值，則魯棒性代理可以阻擋或隔離消息。此外，如果體量超過(guò)特定等級(jí)(其指示節(jié)點(diǎn)受到攻擊或具有正在攻擊網(wǎng)絡(luò) 的惡意軟件或感染)，則魯棒性代理可采取進(jìn)一步動(dòng)作來(lái)保護(hù)通信網(wǎng)絡(luò)。例如，當(dāng)魯棒性代理所在的節(jié)點(diǎn)正在向網(wǎng)絡(luò)發(fā)出特定類型的大量消息時(shí)，魯棒性代理可以將該魯棒性代理所在的節(jié)點(diǎn)斷開(kāi)。替代地，當(dāng)魯棒性代理檢測(cè)到來(lái)自另一個(gè)節(jié)點(diǎn)的攻擊(基于來(lái)自該另一個(gè)節(jié)點(diǎn)的可疑消息的數(shù)量或體量)時(shí)，魯棒性代理可向該另一個(gè)節(jié)點(diǎn)發(fā)送信號(hào)或消息(例如，通過(guò)通信網(wǎng)絡(luò))，以使得該另一個(gè)節(jié)點(diǎn)將其自身從網(wǎng)絡(luò)斷開(kāi)。在這些或其它情況下，魯棒性代理可以向用戶或操作者通知潛在攻擊以及攻擊的一些細(xì)節(jié)，可以調(diào)用網(wǎng)絡(luò)的一個(gè)或多個(gè)節(jié)點(diǎn)處的惡意軟件或入侵檢測(cè)應(yīng)用，以確定在這些節(jié)點(diǎn)處是否存在病毒、惡意軟件或其它入侵，或者可以采取任何其它期望的動(dòng)作。

如果期望的話，魯棒性代理可以是可配置的，以使得魯棒性代理能夠更適合于其所在的特定網(wǎng)絡(luò)環(huán)境，其所在的特定節(jié)點(diǎn)等。具體而言，魯棒性代理可以是基于進(jìn)入和退出特定節(jié)點(diǎn)的預(yù)期消息業(yè)務(wù)可配置的，其中預(yù)期消息業(yè)務(wù)可以基于節(jié)點(diǎn)類型(例如，控制器節(jié)點(diǎn)、用戶接口節(jié)點(diǎn)、數(shù)據(jù)庫(kù)節(jié)點(diǎn)等)、基于節(jié)點(diǎn)的位置等而變化或不同。此外，魯棒性代理的可配置性質(zhì)可以使得魯棒性代理能夠基于節(jié)點(diǎn)處檢測(cè)到的消息業(yè)務(wù)的統(tǒng)計(jì)數(shù)據(jù)，或者響應(yīng)于通信系統(tǒng)中的一個(gè)或多個(gè)節(jié)點(diǎn)的配置的改變來(lái)更好地進(jìn)行操作(例如，被配置)。

圖1示出了可用于通信網(wǎng)絡(luò)中以執(zhí)行上面所描述的功能的示例性魯棒性代理或模塊10。具體而言，魯棒性模塊10設(shè)置在網(wǎng)絡(luò)節(jié)點(diǎn)(例如，網(wǎng)絡(luò)設(shè)備)和網(wǎng)絡(luò)鏈路12的物理層的接口處。更具體地說(shuō)，魯棒性模塊10可耦合在連接到網(wǎng)絡(luò)鏈路12的網(wǎng)絡(luò)驅(qū)動(dòng)器(例如，以太網(wǎng)驅(qū)動(dòng)器14)與網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)通信棧16的較高層之間。如圖1中所示，魯棒性模塊10可以包括入站(in-bound)語(yǔ)法過(guò)濾器模塊20和入站體量過(guò)濾器模塊22，其中入站語(yǔ)法過(guò)濾器模塊20和入站體量過(guò)濾器模塊22耦合在驅(qū)動(dòng)器14與網(wǎng)絡(luò)棧16之間，以對(duì)從網(wǎng)絡(luò)鏈路12發(fā)送給網(wǎng)絡(luò)設(shè)備的消息進(jìn)行處理。魯棒性模塊10還可以包括出站語(yǔ)法過(guò)濾器模塊30和出站體量過(guò)濾器模塊32，其中出站語(yǔ)法過(guò)濾器模塊30和出站體量過(guò)濾器模塊32耦合在網(wǎng)絡(luò)棧16與驅(qū)動(dòng)器14之間，以對(duì)從網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)通信棧16)發(fā)送給網(wǎng)絡(luò)鏈路12的消息進(jìn)行處理。魯棒性模塊10還包括：丟棄消息記錄塊40，其連接到模塊 20、22、30和32中的每個(gè)模塊；規(guī)則存儲(chǔ)器42，其存儲(chǔ)可由模塊20、22、30和32中的一個(gè)或多個(gè)模塊實(shí)現(xiàn)的配置規(guī)則(例如，邏輯規(guī)則)；以及規(guī)則構(gòu)建器塊44，其可用于構(gòu)建(例如，建立或改變)規(guī)則存儲(chǔ)器42中的規(guī)則。此外，魯棒性模塊10可以包括告警生成器46，其可以操作為：當(dāng)體量過(guò)濾器22或32中的一個(gè)體量過(guò)濾器檢測(cè)到特定類型的消息(例如，具有特征的特定集合)的極大體量時(shí)，向用戶提供告警。告警生成器46還可以或替代地執(zhí)行其它動(dòng)作，例如啟動(dòng)設(shè)備或網(wǎng)絡(luò)的不同節(jié)點(diǎn)處的惡意軟件或病毒檢測(cè)軟件，將設(shè)備從網(wǎng)絡(luò)斷開(kāi)，或者向網(wǎng)絡(luò)的另一個(gè)節(jié)點(diǎn)處的魯棒性代理發(fā)送消息以使該節(jié)點(diǎn)將其自身從網(wǎng)絡(luò)斷開(kāi)等。

在操作期間，從通信鏈路12接收消息，并在驅(qū)動(dòng)器14處對(duì)消息進(jìn)行處理，以便例如確定鏈路12上的消息中的每個(gè)消息是否尋址到特定網(wǎng)絡(luò)設(shè)備或者尋址到該設(shè)備內(nèi)或與該設(shè)備相關(guān)聯(lián)的地址或應(yīng)用。當(dāng)然，驅(qū)動(dòng)器14可以是任何已知或期望類型的網(wǎng)絡(luò)驅(qū)動(dòng)器(例如，如圖1所示的以太網(wǎng)驅(qū)動(dòng)器)，并且可以任何已知的方式操作。與網(wǎng)絡(luò)設(shè)備關(guān)聯(lián)的消息然后傳遞到入站語(yǔ)法過(guò)濾器模塊20的輸入49，其中入站語(yǔ)法過(guò)濾器模塊20對(duì)這些消息進(jìn)行分析以確定消息的一個(gè)或多個(gè)特征。這些特征可以包括：消息的類型(例如，UDP、TCP等)、與消息相關(guān)聯(lián)的發(fā)送方和/或接收方、消息長(zhǎng)度、奇偶校驗(yàn)、安全類型、消息的優(yōu)先級(jí)、發(fā)送或接收消息的端口、或者任何其它期望的信息特征。這些一個(gè)或多個(gè)消息特征通?？稍谙⒌膱?bào)頭和/或報(bào)尾或者其它封裝部分中的信息中找到或根據(jù)所述信息來(lái)確定，雖然消息的有效載荷或數(shù)據(jù)部分的特征也可被檢查和用于過(guò)濾。

概括地說(shuō)，入站語(yǔ)法過(guò)濾器模塊20將確定每個(gè)消息的特征的一個(gè)或多個(gè)集合(這些特征的集合可存儲(chǔ)在規(guī)則存儲(chǔ)器42中或由規(guī)則存儲(chǔ)器42提供，或者其可硬編碼到語(yǔ)法模塊過(guò)濾器20中)。在確定了與消息相關(guān)聯(lián)的特征的一個(gè)或多個(gè)集合之后，語(yǔ)法過(guò)濾器模塊20然后將應(yīng)用一個(gè)或多個(gè)邏輯規(guī)則(其基于這些所確定的特征來(lái)操作)來(lái)確定如何進(jìn)一步處理消息。具體而言，基于所確定的消息特征和規(guī)則存儲(chǔ)器42中的規(guī)則，語(yǔ)法過(guò)濾器模塊20可以將消息(被認(rèn)為是安全的或預(yù)期的消息)從輸出50直接傳遞到魯棒性模塊10的輸出，并因此傳遞到網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)通信棧16的下一層上，在該處，將以任何標(biāo)準(zhǔn)的方式對(duì)消息進(jìn)行解碼、處理并傳遞到網(wǎng)絡(luò) 設(shè)備中的恰當(dāng)接收方。在其它情況下，基于所確定的消息特征和規(guī)則存儲(chǔ)器42中的規(guī)則，語(yǔ)法過(guò)濾器模塊20可以將消息(被認(rèn)為是不安全的或絕不允許在網(wǎng)絡(luò)中的)從輸出52傳遞到丟棄業(yè)務(wù)記錄塊40，其中丟棄業(yè)務(wù)記錄塊40可以記錄該消息、關(guān)于該消息的元數(shù)據(jù)、或者關(guān)于該消息的其它信息，以便將來(lái)用于分析網(wǎng)絡(luò)入侵、改變規(guī)則存儲(chǔ)器42中的規(guī)則，以執(zhí)行更好或更精確的過(guò)濾等。在其它情況下，基于所確定的消息特征和規(guī)則存儲(chǔ)器42中的規(guī)則，語(yǔ)法過(guò)濾器模塊20可以將消息(被認(rèn)為是潛在不安全的)從輸出54傳遞到入站體量過(guò)濾器模塊22的輸入55。

概括地說(shuō)，入站體量過(guò)濾器模塊22對(duì)具有指示這些消息可能但并不一定合法的特征的消息進(jìn)行處理，這是因?yàn)檫@些消息可能具有某種類型或者具有用于合法網(wǎng)絡(luò)業(yè)務(wù)并且也由典型的惡意軟件或病毒用來(lái)(尤其是大量地)攻擊網(wǎng)絡(luò)的特征。入站體量過(guò)濾器模塊22接收這些消息(如由入站語(yǔ)法過(guò)濾器模塊20檢測(cè)到的)并對(duì)這些消息進(jìn)行計(jì)數(shù)(使用一個(gè)或多個(gè)計(jì)數(shù)器)，并且另外可以跟蹤在特定時(shí)間段上或者在過(guò)去的特定長(zhǎng)度的時(shí)間上接收了多少此類消息。因此，入站體量過(guò)濾器模塊22確定具有消息特征的某個(gè)集合的消息的消息業(yè)務(wù)的體量(例如，特定時(shí)間段上或特定時(shí)間段中的消息的數(shù)量)。當(dāng)然，入站體量過(guò)濾器模塊22可以跟蹤針對(duì)消息特征的任意數(shù)量的不同集合的消息的體量。

在任何情況下，如果某一消息類型(即，具有特征的特定集合的消息)的當(dāng)前體量在預(yù)先確定的閾值(該閾值可存儲(chǔ)在規(guī)則存儲(chǔ)器42中)以下，則入站體量過(guò)濾器模塊22可以經(jīng)由輸出56將消息傳遞給棧16以用于網(wǎng)絡(luò)設(shè)備中的處理。另一方面，如果某一消息類型(即，具有特征的特定集合的消息)的當(dāng)前體量在預(yù)先確定的閾值(該閾值可存儲(chǔ)在規(guī)則存儲(chǔ)器42中)以上，則入站體量過(guò)濾器模塊22可以通過(guò)例如經(jīng)由輸出57將消息提供給丟棄業(yè)務(wù)記錄塊40來(lái)阻擋或丟棄該消息。這里，塊40再次可以記錄消息和/或關(guān)于消息的元數(shù)據(jù)，以確定關(guān)于這些被阻擋的消息的統(tǒng)計(jì)數(shù)據(jù)。此外，入站體量過(guò)濾器模塊22可以將某一消息類型的當(dāng)前體量與多個(gè)閾值進(jìn)行比較，或者可以使用多個(gè)閾值來(lái)確定要采取的動(dòng)作。例如，當(dāng)在體量過(guò)濾器模塊22處接收到消息并且當(dāng)前檢測(cè)到的該類型的消息的體量在第一(例如，較低)閾值以下，則體量過(guò)濾器模塊22可將該消息傳遞到網(wǎng)絡(luò)設(shè)備的棧16。 然而，當(dāng)在體量過(guò)濾器模塊22處接收到消息并且當(dāng)前檢測(cè)到的該類型的消息的體量大于第一(例如，較低)閾值但小于第二(例如，較高)閾值，則體量過(guò)濾器模塊22可以通過(guò)將消息發(fā)送給記錄塊40來(lái)阻擋該消息。然而，當(dāng)在體量過(guò)濾器模塊22處接收到消息并且當(dāng)前檢測(cè)到的該類型的消息的體量大于第二(例如，較高)閾值，則體量過(guò)濾器模塊22可以阻擋該消息(通過(guò)將該消息發(fā)送給記錄塊40)，并且還可以執(zhí)行某種進(jìn)一步的動(dòng)作來(lái)保護(hù)網(wǎng)絡(luò)。例如，當(dāng)超過(guò)第二或較高的體量閾值時(shí)，體量過(guò)濾器22可以與告警生成器46進(jìn)行通信，其中告警生成器46可以向用戶發(fā)送指示網(wǎng)絡(luò)設(shè)備上的潛在攻擊的告警，可以將網(wǎng)絡(luò)設(shè)備從網(wǎng)絡(luò)鏈路12斷開(kāi)以保護(hù)設(shè)備不受攻擊，可以向另一個(gè)設(shè)備(例如，正在發(fā)送消息的設(shè)備)發(fā)送消息以使該設(shè)備將其自身從網(wǎng)絡(luò)斷開(kāi)以保護(hù)網(wǎng)絡(luò)，可以啟動(dòng)設(shè)備內(nèi)的惡意軟件或病毒檢測(cè)軟件等。當(dāng)然，可建立任意數(shù)量的不同的體量等級(jí)閾值，以提供或使得告警生成器46在網(wǎng)絡(luò)中采取不同的動(dòng)作。

如圖1中所示，魯棒性模塊10還包括由出站語(yǔ)法過(guò)濾器模塊30和出站體量過(guò)濾器模塊32限定的出站過(guò)濾路徑。在這種情況下，出站語(yǔ)法過(guò)濾器模塊30與入站語(yǔ)法過(guò)濾器模塊20類似地操作，并且出站體量過(guò)濾器模塊32與入站體量過(guò)濾器模塊22類似地操作，除了模塊30和32對(duì)從通信棧16接收的經(jīng)由網(wǎng)絡(luò)鏈路12發(fā)送給另一個(gè)設(shè)備的出站消息進(jìn)行操作。此外，雖然模塊30和32可以分別使用與模塊20和22所使用的規(guī)則相同的規(guī)則，但模塊30和32可以使用不同的規(guī)則，以允許對(duì)出站消息的與應(yīng)用于入站消息的過(guò)濾操作不同的過(guò)濾操作。因此，模塊30和32以與上文針對(duì)模塊20和22(模塊20和22對(duì)入站消息進(jìn)行操作)所描述的基本相同的方式，一起對(duì)出站消息進(jìn)行操作，以便由此保護(hù)網(wǎng)絡(luò)上的其它設(shè)備不受位于魯棒性模塊10所在的節(jié)點(diǎn)或設(shè)備中的潛在惡意軟件和感染的影響。出站模塊30和32因此可以操作為檢測(cè)位于與魯棒性代理10相關(guān)聯(lián)的設(shè)備中的惡意軟件、病毒或其它入侵源的存在，并且可以操作為與告警生成器46進(jìn)行通信，以便當(dāng)例如體量過(guò)濾器32檢測(cè)到從設(shè)備發(fā)送預(yù)先確定的等級(jí)或體量的特定類型或配置的出站消息時(shí)，使告警生成器向用戶發(fā)送告警和/或?qū)⒃撛O(shè)備從網(wǎng)絡(luò)斷開(kāi)。

在操作期間，記錄塊40可以操作為接收、分析和跟蹤丟棄的消息。具 體而言，記錄塊40可確定關(guān)于所丟棄的消息中的每個(gè)消息的各種元數(shù)據(jù)，包括定時(shí)、發(fā)送方/接收方、消息類型、消息長(zhǎng)度、消息在語(yǔ)法或體量過(guò)濾器模塊處被丟棄的原因等，并且可為消息創(chuàng)建日志。塊40可以為傳入和傳出的消息，為每種類型的消息，為消息的每個(gè)發(fā)送方/接收方等創(chuàng)建單獨(dú)的日志。當(dāng)然，記錄塊40可以創(chuàng)建任何其它類型的日志，并且可以根據(jù)請(qǐng)求、周期性地、日志變成了某個(gè)長(zhǎng)度、或響應(yīng)于任何其它期望的觸發(fā)事件來(lái)向用戶接口、數(shù)據(jù)庫(kù)設(shè)備或任何其它設(shè)備發(fā)送這些日志。此外，如果期望的話，記錄塊40可以基于預(yù)先配置和硬編碼的規(guī)則或基于來(lái)自規(guī)則列表42的規(guī)則，來(lái)記錄信息和/或發(fā)送關(guān)于所丟棄的消息的經(jīng)記錄的信息。以此方式，所丟棄的消息的記錄也可以是可配置的。如果期望的話，記錄塊42可以通過(guò)網(wǎng)絡(luò)鏈路12輸出日志，或者可以經(jīng)由任何其它到魯棒性模塊10的通信連接(例如，本地連接)來(lái)輸出日志。

同樣地，如上文所指示的，可配置的規(guī)則列表42可存儲(chǔ)用于入站語(yǔ)法過(guò)濾器模塊20、入站體量過(guò)濾器模塊22、出站語(yǔ)法過(guò)濾器模塊30、出站體量過(guò)濾器模塊32、記錄塊40和告警生成器46中的每一個(gè)的規(guī)則。這些規(guī)則是經(jīng)由規(guī)則構(gòu)建器模塊44可配置的，其中規(guī)則構(gòu)建器模塊44可以與另一個(gè)應(yīng)用進(jìn)行通信(經(jīng)由網(wǎng)絡(luò)鏈路12或經(jīng)由到魯棒性模塊10的任何其它通信連接，例如藍(lán)牙連接、無(wú)線互聯(lián)網(wǎng)連接、來(lái)自手持設(shè)備的間歇性硬接線連接等)，以接收用于構(gòu)建存儲(chǔ)在規(guī)則列表42中的規(guī)則的一個(gè)或多個(gè)規(guī)則集合。另一個(gè)應(yīng)用可以是規(guī)則構(gòu)建器應(yīng)用，其存儲(chǔ)在網(wǎng)絡(luò)鏈路12上的用戶接口(例如，配置接口)中，或存儲(chǔ)在經(jīng)由例如硬接線或無(wú)線通信連接等間歇性地連接到模塊10的手持設(shè)備中。如果期望的話，規(guī)則構(gòu)建器44可以是到模塊10的通信接口，以實(shí)現(xiàn)對(duì)存儲(chǔ)在規(guī)則列表42中的規(guī)則的在線或運(yùn)行時(shí)配置，以便由此使得魯棒性模塊10能夠根據(jù)網(wǎng)絡(luò)上的新配置、消息業(yè)務(wù)的變化的統(tǒng)計(jì)數(shù)據(jù)等來(lái)進(jìn)行重新配置。然而，如果期望的話，規(guī)則構(gòu)建器44可以是寫(xiě)保護(hù)的閃存，其可以在設(shè)備內(nèi)部或者可以插入設(shè)備(魯棒性模塊10位于該設(shè)備中)的接口(例如，USB端口或其它外部存儲(chǔ)器端口)。由于這樣的閃存在使用期間不是可寫(xiě)的，因此存儲(chǔ)在閃存上的規(guī)則不能被改變，這保護(hù)魯棒性模塊10不能經(jīng)由規(guī)則列表42的改變而被感染。也就是說(shuō)，為了改變規(guī)則列表42，需要移除閃存44并且利用其上的新規(guī)則 來(lái)替換以用于魯棒性模塊10。雖然規(guī)則列表42的這種配置使得魯棒性模塊10在面對(duì)入侵時(shí)更加安全，但其也使系統(tǒng)的運(yùn)行時(shí)可配置性較差。當(dāng)然，如果期望的話，規(guī)則存儲(chǔ)器42可以被并入與規(guī)則構(gòu)建器44相同的模塊中。在一種情況下，規(guī)則列表42中的規(guī)則中的一些規(guī)則可以存儲(chǔ)在閃存中，并且因此不是可配置的，而這些規(guī)則可以使用存儲(chǔ)在存儲(chǔ)器中(例如規(guī)則列表42中)的列表，其在操作期間可以改變，以便由此允許魯棒性模塊10的某種運(yùn)行時(shí)配置。僅出于示例的目的，下面的表1提供了可以用于魯棒性模塊的入站和出站語(yǔ)法和體量過(guò)濾器中的每一個(gè)的示例性規(guī)則集合。表1還針對(duì)每個(gè)規(guī)則定義了該規(guī)則是否存儲(chǔ)在閃存中，該規(guī)則是否是可配置的，該規(guī)則是否使用視窗操作系統(tǒng)實(shí)現(xiàn)方式，以及該規(guī)則是否用于網(wǎng)絡(luò)中的嵌入式設(shè)備(例如，控制器)。當(dāng)然，表1僅提供了可用于特定魯棒性模塊10的規(guī)則集合的單個(gè)示例，并且任何其它類型和數(shù)量的規(guī)則可用于任何特定的魯棒性模塊10。

表1

僅通過(guò)舉例的方式，圖2和圖3示出了示例性工廠網(wǎng)絡(luò)，其中可以安裝和使用由圖1的魯棒性模塊10中的一個(gè)或多個(gè)魯棒性模塊組成的網(wǎng)絡(luò)安全系統(tǒng)。具體而言，圖2示出了工廠或工業(yè)通信系統(tǒng)110，其包括多個(gè)不同但互連的通信網(wǎng)絡(luò)112、114、116和118，其中每個(gè)通信網(wǎng)絡(luò)具有各種網(wǎng)絡(luò)節(jié)點(diǎn)。圖2的通信網(wǎng)絡(luò)112可以是商業(yè)通信網(wǎng)絡(luò)，其包括由通信總線124互連的多個(gè)節(jié)點(diǎn)122A-122H，其中通信總線124可以是例如以太網(wǎng)總線或者任何其它有線或無(wú)線通信總線或網(wǎng)絡(luò)。節(jié)點(diǎn)122A、122B可以包括例如商業(yè)應(yīng)用或程序在其上運(yùn)行的計(jì)算機(jī)、服務(wù)器、工作站等，并且節(jié)點(diǎn)122C可以是例如數(shù)據(jù)庫(kù)，其存儲(chǔ)了商業(yè)數(shù)據(jù)、工業(yè)工廠配置數(shù)據(jù)、或者關(guān)于工廠 的任何其它期望數(shù)據(jù)。同樣地，節(jié)點(diǎn)122D、122E和122F可以是網(wǎng)關(guān)節(jié)點(diǎn)，其將網(wǎng)絡(luò)112分別連接到其它通信網(wǎng)絡(luò)114、116、118，并且允許網(wǎng)絡(luò)間通信。此外，節(jié)點(diǎn)122G可以是將網(wǎng)絡(luò)112連接到互聯(lián)網(wǎng)、云、或者其它廣域網(wǎng)以使得網(wǎng)絡(luò)112能夠與遠(yuǎn)程服務(wù)器、工廠或其它計(jì)算機(jī)進(jìn)行通信的網(wǎng)關(guān)節(jié)點(diǎn)。

在該示例中，網(wǎng)絡(luò)114、116和118是工廠(例如，過(guò)程工廠或工業(yè)工廠)控制網(wǎng)絡(luò)，其包括由有線或無(wú)線通信總線或網(wǎng)絡(luò)鏈路互連的各種節(jié)點(diǎn)。工廠控制網(wǎng)絡(luò)114、116、118中的每個(gè)工廠控制網(wǎng)絡(luò)在其節(jié)點(diǎn)處可以包括各種類型的設(shè)備中的任意設(shè)備。例如，工廠控制網(wǎng)絡(luò)114和116被示出為有線通信網(wǎng)絡(luò)，其均包括一個(gè)或多個(gè)用戶接口設(shè)備130、數(shù)據(jù)庫(kù)或歷史數(shù)據(jù)132(其可以存儲(chǔ)用于網(wǎng)絡(luò)114和/或116的工廠控制網(wǎng)絡(luò)配置數(shù)據(jù))、經(jīng)由通信總線136(在該例子中，具有以太網(wǎng)通信總線的形式)互連的一個(gè)或多個(gè)過(guò)程控制器節(jié)點(diǎn)134、以及一個(gè)或多個(gè)服務(wù)器或處理器節(jié)點(diǎn)138。過(guò)程控制節(jié)點(diǎn)134可以包括一個(gè)或多個(gè)過(guò)程控制器，其經(jīng)由一個(gè)或多個(gè)有線或無(wú)線子網(wǎng)140通信地耦合到其它設(shè)備，例如輸入/輸出(I/O)和現(xiàn)場(chǎng)設(shè)備(例如，傳感器、閥、受控設(shè)備等)。子網(wǎng)140中的現(xiàn)場(chǎng)設(shè)備可以采取例如閥、傳感器、變送器或其它測(cè)量或控制設(shè)備(其對(duì)工廠中的某種參數(shù)或過(guò)程變量進(jìn)行測(cè)量，或者執(zhí)行與工廠內(nèi)的材料操作或材料流相關(guān)的某種物理控制動(dòng)作)的形式?，F(xiàn)場(chǎng)設(shè)備子網(wǎng)140可以例如使用任何期望的過(guò)程控制通信協(xié)議或范式，例如高速可尋址遠(yuǎn)程變送器協(xié)議、Fieldbus協(xié)議、Profibus協(xié)議，CAN協(xié)議等。此外，現(xiàn)場(chǎng)設(shè)備子網(wǎng)140可以實(shí)現(xiàn)為有線或無(wú)線網(wǎng)絡(luò)(例如，網(wǎng)絡(luò))。網(wǎng)絡(luò)114和116還可以包括節(jié)點(diǎn)122D、122E處的網(wǎng)關(guān)設(shè)備，這些網(wǎng)關(guān)設(shè)備將網(wǎng)絡(luò)114和116連接到網(wǎng)絡(luò)112，連接到互聯(lián)網(wǎng)或其它WAN等。當(dāng)然，這些網(wǎng)關(guān)設(shè)備可以提供防火墻和其它安全特征或應(yīng)用。

以類似的方式，通信網(wǎng)絡(luò)118被示出為可以使用無(wú)線通信協(xié)議(例如，無(wú)線以太網(wǎng)協(xié)議、協(xié)議、ISA100無(wú)線協(xié)議等)的無(wú)線通信網(wǎng)絡(luò)。通信網(wǎng)絡(luò)118被示出為包括各種設(shè)備，例如用戶接口設(shè)備或工作站130、數(shù)據(jù)庫(kù)132、過(guò)程控制器134、服務(wù)器136、現(xiàn)場(chǎng)設(shè)備子網(wǎng)140、網(wǎng)關(guān)設(shè)備139等。當(dāng)然，任意數(shù)量的這些類型和其它類型的設(shè)備可以位于通信 網(wǎng)絡(luò)114、116和118的各個(gè)節(jié)點(diǎn)處。將理解的是，網(wǎng)絡(luò)112、114、116、118內(nèi)的任何或所有網(wǎng)絡(luò)設(shè)備可以包括一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)器和處理器，在其上可以存儲(chǔ)和執(zhí)行各種軟件模塊，包括與圖1和本文所描述的魯棒性模塊10相關(guān)聯(lián)的模塊中的任意模塊。

重要的是，可以在圖2的網(wǎng)絡(luò)112、114、116和118中的任何和所有網(wǎng)絡(luò)中實(shí)現(xiàn)本文所描述的安全系統(tǒng)，以限制對(duì)這些網(wǎng)絡(luò)的入侵(具有例如在這些網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)中運(yùn)行的惡意軟件或其它未經(jīng)授權(quán)的應(yīng)用的形式)的影響。概括地說(shuō)，針對(duì)網(wǎng)絡(luò)112、114、116和118中的每個(gè)網(wǎng)絡(luò)，或者甚至針對(duì)網(wǎng)絡(luò)112、114、116、118中的任何網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)，可以存在單獨(dú)的基于魯棒性模塊的安全系統(tǒng)。另一方面，在一些情況下，可以使用單個(gè)安全系統(tǒng)來(lái)覆蓋網(wǎng)絡(luò)112-118中的多個(gè)網(wǎng)絡(luò)，例如網(wǎng)絡(luò)114和116，或者網(wǎng)絡(luò)112和114等。

舉例而言，如圖2的網(wǎng)絡(luò)114、116和118中大體上示出的，基于魯棒性模塊的安全系統(tǒng)包括：位于這些網(wǎng)絡(luò)中每個(gè)網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)的接口處(例如，在通信棧中)的魯棒性模塊210以及這些網(wǎng)絡(luò)附接到的通信鏈路。這里，魯棒性模塊210(在本文中也被稱為運(yùn)輸中(in transit)業(yè)務(wù)分析代理)可以具有上述圖1的魯棒性模塊或代理10的形式。另外，雖然圖2示出了每個(gè)網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)處的魯棒性模塊，但在所保護(hù)的網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)中提供單獨(dú)的魯棒性模塊可能不是必要的。相反，本文所描述的安全系統(tǒng)可以使用網(wǎng)絡(luò)中的一個(gè)或多個(gè)魯棒性模塊，而不必具有位于網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)處的魯棒性模塊。例如，安全系統(tǒng)可以包括網(wǎng)絡(luò)的嵌入式設(shè)備(例如，控制器)的網(wǎng)絡(luò)接口處的魯棒性模塊210，而在更加復(fù)雜的設(shè)備(例如，用戶接口設(shè)備)處不具有魯棒性模塊210。在任何情況下，魯棒性模塊210可以以任何期望的方式安裝在網(wǎng)絡(luò)中的任何期望的設(shè)備處，并且使用這些魯棒性模塊的安全系統(tǒng)不限于本文中具體描述的示例。此外，安全系統(tǒng)可以包括配置和用戶接口支持模塊211，其位于網(wǎng)絡(luò)112、114、116和118的節(jié)點(diǎn)中的一個(gè)或多個(gè)節(jié)點(diǎn)中。用戶接口支持和配置應(yīng)用211存儲(chǔ)在計(jì)算機(jī)可讀存儲(chǔ)器中，并在這些設(shè)備的處理器上執(zhí)行，以便向用戶提供對(duì)魯棒性模塊210中的任意魯棒性模塊的規(guī)則列表42中的規(guī)則進(jìn)行配置的能力，可以使得用戶能夠查看所保護(hù)的網(wǎng)絡(luò)的魯棒性模塊210中的任意或所有魯棒性模塊的 所丟棄的業(yè)務(wù)日志，可以使得用戶能夠看到什么設(shè)備或節(jié)點(diǎn)離線或當(dāng)前圍繞發(fā)送或接收大量可疑的消息業(yè)務(wù)而受懷疑，并且可以提供使得用戶能夠?qū)︳敯粜阅K210中的任意魯棒性模塊進(jìn)行配置以提供更好或增強(qiáng)的安全性的環(huán)境。

概括地說(shuō)，魯棒性模塊210中的每個(gè)魯棒性模塊根據(jù)該模塊內(nèi)的規(guī)則來(lái)查看或分析入站和出站消息，以便允許消息傳遞、阻擋可疑消息和/或?qū)ο⑦M(jìn)行計(jì)數(shù)和執(zhí)行體量過(guò)濾。魯棒性模塊210可以獨(dú)立地操作，或者可以在特定的網(wǎng)絡(luò)中或者甚至跨越網(wǎng)絡(luò)進(jìn)行協(xié)作，以提供經(jīng)協(xié)作的消息過(guò)濾。

舉另一個(gè)示例，圖3更加詳細(xì)地示出了圖2的通信網(wǎng)絡(luò)114。在該示例中，通信網(wǎng)絡(luò)114包括有線以太網(wǎng)總線200，有線以太網(wǎng)總線200可以包括一個(gè)或多個(gè)交換機(jī)202，其互連各種設(shè)備，例如網(wǎng)關(guān)設(shè)備(例如，到其它網(wǎng)絡(luò)的網(wǎng)關(guān)226、到外部系統(tǒng)(例如，到互聯(lián)網(wǎng))的網(wǎng)關(guān)228)、一個(gè)或多個(gè)用戶接口設(shè)備或工作站230、配置數(shù)據(jù)庫(kù)232、服務(wù)器233、以及兩個(gè)過(guò)程控制節(jié)點(diǎn)234A和234B。這里，第一過(guò)程控制節(jié)點(diǎn)234A包括一個(gè)或多個(gè)冗余過(guò)程控制器260，其經(jīng)由輸入/輸出(I/O)卡236和238通信地連接到有線現(xiàn)場(chǎng)設(shè)備215-222，并且經(jīng)由無(wú)線網(wǎng)關(guān)235和網(wǎng)絡(luò)主干200通信地連接到無(wú)線現(xiàn)場(chǎng)設(shè)備240-258。在這種情況下，無(wú)線網(wǎng)關(guān)235是網(wǎng)絡(luò)114的第二控制節(jié)點(diǎn)234B。然而，在另一個(gè)實(shí)施例中，節(jié)點(diǎn)234A處的控制器260可以使用不同于主干200的通信網(wǎng)絡(luò)(例如通過(guò)使用另一個(gè)有線或無(wú)線通信鏈路或I/O模塊)通信地連接到無(wú)線網(wǎng)關(guān)235。

控制器260(舉例而言，其可以是由艾默生過(guò)程管理公司(Emerson Process Management)出售的DeltaV^TM控制器)可以操作為：使用現(xiàn)場(chǎng)設(shè)備215-222和240-258中的至少一些現(xiàn)場(chǎng)設(shè)備來(lái)實(shí)現(xiàn)一個(gè)或多個(gè)批處理過(guò)程或連續(xù)過(guò)程、維護(hù)應(yīng)用，安全系統(tǒng)應(yīng)用等?？刂破?60可以使用例如與標(biāo)準(zhǔn)4-20ma設(shè)備協(xié)議和/或任何智能通信協(xié)議(例如，F(xiàn)ieldbus協(xié)議、協(xié)議、協(xié)議等)相關(guān)聯(lián)的任何期望的硬件和軟件通信地連接到現(xiàn)場(chǎng)設(shè)備215-222和240-258。另外地或替代地，控制器260可以經(jīng)由輸入/輸出(I/O)卡236、238，經(jīng)由其它類型的連接與現(xiàn)場(chǎng)設(shè)備215-222和240-258中的至少一些現(xiàn)場(chǎng)設(shè)備通信地連接。在圖3中所示出的網(wǎng)絡(luò)114中，控制器260、現(xiàn)場(chǎng)設(shè)備215-222和I/O卡236、238是有線設(shè)備， 并且現(xiàn)場(chǎng)設(shè)備240-258是無(wú)線現(xiàn)場(chǎng)設(shè)備。當(dāng)然，有線現(xiàn)場(chǎng)設(shè)備215-222和無(wú)線現(xiàn)場(chǎng)設(shè)備240-258可以符合任何其它期望的標(biāo)準(zhǔn)或協(xié)議，例如任何有線或無(wú)線協(xié)議，包括將來(lái)開(kāi)發(fā)的任何標(biāo)準(zhǔn)或協(xié)議。

圖3的控制器260包括處理器270，處理器270實(shí)現(xiàn)或監(jiān)督(存儲(chǔ)在存儲(chǔ)器272中的)一個(gè)或多個(gè)過(guò)程控制例程(其可以包括控制環(huán)路)。處理器270可以與現(xiàn)場(chǎng)設(shè)備215-222和240-258以及與通信地連接到網(wǎng)絡(luò)主干或鏈路200的其它節(jié)點(diǎn)進(jìn)行通信，以便執(zhí)行控制活動(dòng)或其它活動(dòng)，例如維護(hù)、監(jiān)測(cè)和安全系統(tǒng)活動(dòng)。應(yīng)當(dāng)注意的是，如果期望的話，控制例程或模塊中的任何控制例程或模塊在其中可以具有由不同的控制器或其它設(shè)備來(lái)實(shí)現(xiàn)或執(zhí)行的部分。同樣地，要在過(guò)程控制系統(tǒng)內(nèi)實(shí)現(xiàn)的控制例程或模塊可采取任何形式，包括軟件、固件、硬件等?？刂评炭梢杂萌魏纹谕能浖袷絹?lái)實(shí)現(xiàn)，例如使用面向?qū)ο蟮木幊?、梯形邏輯、順序功能圖、功能塊圖、或者使用任何其它軟件編程語(yǔ)言或設(shè)計(jì)范式?？刂评炭梢源鎯?chǔ)在任何期望類型的存儲(chǔ)器(例如，隨機(jī)存取存儲(chǔ)器(RAM)或只讀存儲(chǔ)器(ROM))中。同樣地，控制例程可硬編碼到例如一個(gè)或多個(gè)EPROM、EEPROM、專用集成電路(ASIC)或者任何其它硬件或固件元件中。因此，控制器260可以被配置為以任何期望的方式來(lái)實(shí)現(xiàn)控制策略或控制例程。

在一些實(shí)施例中，控制器260使用通常被稱為功能塊的對(duì)象來(lái)實(shí)現(xiàn)控制策略，其中每個(gè)功能塊是整個(gè)控制例程的對(duì)象或其它部分(例如，子例程)，并且結(jié)合其它功能塊來(lái)操作(經(jīng)由被稱為鏈路的通信)，以實(shí)現(xiàn)過(guò)程控制系統(tǒng)內(nèi)的過(guò)程控制環(huán)路?；诳刂频墓δ軌K通常執(zhí)行以下功能中的一個(gè)功能：輸入功能(例如與變送器、傳感器或其它過(guò)程參數(shù)測(cè)量設(shè)備相關(guān)聯(lián)的輸入功能)、控制功能(例如與執(zhí)行比例、積分、微分(PID)、模糊邏輯等的控制的控制例程相關(guān)聯(lián)的控制功能)、或者輸出功能(其控制某個(gè)設(shè)備(例如，閥)的操作以執(zhí)行過(guò)程控制系統(tǒng)內(nèi)的某種物理功能)。當(dāng)然，存在混合類型和其它類型的功能塊。功能塊可存儲(chǔ)在控制器260中并且由控制器260執(zhí)行，當(dāng)這些功能塊用于標(biāo)準(zhǔn)4-20ma設(shè)備和一些類型的智能現(xiàn)場(chǎng)設(shè)備(例如HART設(shè)備)或者與這些設(shè)備相關(guān)聯(lián)時(shí)情況通常如此；或者可以存儲(chǔ)在現(xiàn)場(chǎng)設(shè)備自身中并且由現(xiàn)場(chǎng)設(shè)備自身來(lái)實(shí)現(xiàn)，F(xiàn)ieldbus設(shè)備的情況就是如此?？刂破?60可以包括可實(shí)現(xiàn)一個(gè)或多個(gè)控制環(huán)路的一個(gè)或多個(gè) 控制例程280。每個(gè)控制環(huán)路通常被稱為控制模塊，并且可以通過(guò)執(zhí)行這些功能塊中的一個(gè)或多個(gè)功能塊來(lái)執(zhí)行。

有線現(xiàn)場(chǎng)設(shè)備215-222可以是任何類型的設(shè)備，例如傳感器、閥、變送器、定位器等，而I/O卡236和238可以是符合任何期望的通信或控制器協(xié)議的任何類型的I/O設(shè)備。在圖3中所示出的實(shí)施例中，現(xiàn)場(chǎng)設(shè)備215-218是通過(guò)模擬線路或組合的模擬和數(shù)字線路與I/O卡226進(jìn)行通信的標(biāo)準(zhǔn)4-20ma設(shè)備或HART設(shè)備，而現(xiàn)場(chǎng)設(shè)備219-222是使用Fieldbus通信協(xié)議通過(guò)數(shù)字總線與I/O卡238進(jìn)行通信的智能設(shè)備(例如，F(xiàn)ieldbus現(xiàn)場(chǎng)設(shè)備)。但是在一些實(shí)施例中，有線現(xiàn)場(chǎng)設(shè)備215-222中的至少一些有線現(xiàn)場(chǎng)設(shè)備和/或I/O卡236、238中的至少一些I/O卡可以使用大數(shù)據(jù)網(wǎng)絡(luò)與控制器260進(jìn)行通信。在一些實(shí)施例中，有線現(xiàn)場(chǎng)設(shè)備215-222中的至少一些有線現(xiàn)場(chǎng)設(shè)備和/或I/O卡236、238中的至少一些I/O卡可以是過(guò)程控制系統(tǒng)網(wǎng)絡(luò)114的節(jié)點(diǎn)。

在圖3中所示出的實(shí)施例中，無(wú)線現(xiàn)場(chǎng)設(shè)備240-258使用無(wú)線協(xié)議(例如協(xié)議)在無(wú)線網(wǎng)絡(luò)290中進(jìn)行通信。這種無(wú)線現(xiàn)場(chǎng)設(shè)備240-258可以直接地與網(wǎng)絡(luò)114中的也被配置為無(wú)線地進(jìn)行通信(例如，使用無(wú)線協(xié)議)的一個(gè)或多個(gè)其它節(jié)點(diǎn)進(jìn)行通信。為了與未被配置為無(wú)線地進(jìn)行通信的一個(gè)或多個(gè)其它節(jié)點(diǎn)通信，無(wú)線現(xiàn)場(chǎng)設(shè)備240-258可以使用連接到通信主干200或連接到另一個(gè)過(guò)程控制通信網(wǎng)絡(luò)的無(wú)線網(wǎng)關(guān)235。在一些實(shí)施例中，無(wú)線現(xiàn)場(chǎng)設(shè)備240-258中的至少一些無(wú)線現(xiàn)場(chǎng)設(shè)備可以是過(guò)程控制系統(tǒng)網(wǎng)絡(luò)114的節(jié)點(diǎn)。

無(wú)線網(wǎng)關(guān)235提供無(wú)線設(shè)備240-258、有線設(shè)備215-222、和/或過(guò)程控制網(wǎng)絡(luò)114的其它節(jié)點(diǎn)之間的通信耦合。在一些情況下，無(wú)線網(wǎng)關(guān)235通過(guò)在有線和無(wú)線協(xié)議棧的較低層中使用路由、緩存和定時(shí)服務(wù)(例如，地址轉(zhuǎn)換、路由、分組分段、優(yōu)先化等)、同時(shí)隧穿有線和無(wú)線協(xié)議棧的一個(gè)或多個(gè)共享層，來(lái)提供通信耦合。在其它情況下，無(wú)線網(wǎng)關(guān)235可在不共享任何協(xié)議層的有線和無(wú)線協(xié)議之間轉(zhuǎn)換命令。除了協(xié)議和命令轉(zhuǎn)換之外，無(wú)線網(wǎng)關(guān)235還可以提供由與無(wú)線網(wǎng)絡(luò)290中實(shí)現(xiàn)的無(wú)線協(xié)議相關(guān)聯(lián)的調(diào)度方案的時(shí)隙和超幀(在時(shí)間上相等間隔的通信時(shí)隙的集合)所使用的同步時(shí)鐘。此外，無(wú)線網(wǎng)關(guān)235可以為無(wú)線網(wǎng)絡(luò)290提供網(wǎng)絡(luò)管理和管理性 功能，例如資源管理、性能調(diào)整、網(wǎng)絡(luò)故障緩解、監(jiān)控業(yè)務(wù)、安全性等。

類似于有線現(xiàn)場(chǎng)設(shè)備215-222，無(wú)線網(wǎng)絡(luò)290的無(wú)線現(xiàn)場(chǎng)設(shè)備240-258可以執(zhí)行過(guò)程工廠內(nèi)的物理控制功能，例如，打開(kāi)或關(guān)閉閥，或者對(duì)過(guò)程參數(shù)進(jìn)行測(cè)量，或者執(zhí)行其它功能。然而，無(wú)線現(xiàn)場(chǎng)設(shè)備240-258被配置為使用網(wǎng)絡(luò)290的無(wú)線協(xié)議來(lái)進(jìn)行通信。因此，無(wú)線現(xiàn)場(chǎng)設(shè)備240-258、無(wú)線網(wǎng)關(guān)235和無(wú)線網(wǎng)絡(luò)290的其它無(wú)線節(jié)點(diǎn)通常是無(wú)線通信分組的生產(chǎn)者和消耗者。

在某些場(chǎng)景中，無(wú)線網(wǎng)絡(luò)290可以包括非無(wú)線設(shè)備。例如，圖3的現(xiàn)場(chǎng)設(shè)備248可以是傳統(tǒng)4-20mA設(shè)備，并且現(xiàn)場(chǎng)設(shè)備250可以是傳統(tǒng)有線HART設(shè)備。為了在網(wǎng)絡(luò)290內(nèi)進(jìn)行通信，現(xiàn)場(chǎng)設(shè)備248和250可以經(jīng)由無(wú)線適配器(WA)252a或252b連接到無(wú)線通信網(wǎng)絡(luò)290。另外，無(wú)線適配器252a、252b可以支持其它通信協(xié)議，例如Fieldbus、PROFIBUS,、DeviceNet等。此外，無(wú)線網(wǎng)絡(luò)290可以包括一個(gè)或多個(gè)網(wǎng)絡(luò)接入點(diǎn)255a、255b，這些網(wǎng)絡(luò)接入點(diǎn)可以是與無(wú)線網(wǎng)關(guān)235進(jìn)行有線通信的單獨(dú)的物理設(shè)備，或者可以是在無(wú)線網(wǎng)關(guān)235內(nèi)作為一體化設(shè)備提供的。無(wú)線網(wǎng)絡(luò)290還可以包括一個(gè)或多個(gè)路由器258，以將無(wú)線通信網(wǎng)絡(luò)290內(nèi)來(lái)自一個(gè)無(wú)線設(shè)備的分組轉(zhuǎn)發(fā)到另一個(gè)無(wú)線設(shè)備。無(wú)線設(shè)備240-258可以通過(guò)由圖3中的虛線所示出的無(wú)線通信網(wǎng)絡(luò)290的無(wú)線鏈路彼此進(jìn)行通信并且與無(wú)線網(wǎng)關(guān)235進(jìn)行通信。

雖然圖3的網(wǎng)絡(luò)114僅示出了具有有限數(shù)量的現(xiàn)場(chǎng)設(shè)備215-222和240-258的單個(gè)控制器260，但這僅是說(shuō)明性的而非限制性的實(shí)施例。在網(wǎng)絡(luò)114上可以包括任意數(shù)量的控制器，并且控制器260可以與任意數(shù)量的有線或無(wú)線現(xiàn)場(chǎng)設(shè)備215-222、240-258進(jìn)行通信，以便例如對(duì)工廠中的過(guò)程進(jìn)行控制。此外，過(guò)程工廠還可以包括任意數(shù)量的無(wú)線網(wǎng)關(guān)235、路由器258、接入點(diǎn)255以及無(wú)線過(guò)程控制通信網(wǎng)絡(luò)290。

概括地說(shuō)，可以使用按照針對(duì)圖1所描述的來(lái)配置的一個(gè)或多個(gè)魯棒性模塊、以任何期望的形式在網(wǎng)絡(luò)114中安裝或?qū)崿F(xiàn)安全系統(tǒng)。具體而言，如圖3中所示，安全系統(tǒng)包括魯棒性模塊210，其設(shè)置在網(wǎng)絡(luò)節(jié)點(diǎn)226、228、230、232、233、234A和234B中的每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)中，以及交換機(jī)202或網(wǎng)絡(luò)114的其它端點(diǎn)設(shè)備中的任意一個(gè)中。雖然沒(méi)有在圖3中示出全部細(xì)節(jié)， 但是魯棒性模塊210可以安裝在子節(jié)點(diǎn)設(shè)備中的任意子節(jié)點(diǎn)設(shè)備中，例如I/O設(shè)備236和238中，有線現(xiàn)場(chǎng)設(shè)備215-222中的一個(gè)或多個(gè)有線現(xiàn)場(chǎng)設(shè)備中，或者無(wú)線設(shè)備240-258中的任意或所有無(wú)線設(shè)備中。在圖3中，子節(jié)點(diǎn)設(shè)備中的魯棒性模塊210中的每個(gè)魯棒性模塊用附圖標(biāo)記210a來(lái)進(jìn)行標(biāo)記，以便示出其在網(wǎng)絡(luò)114的較大節(jié)點(diǎn)的子節(jié)點(diǎn)中。如針對(duì)圖1所指示的，魯棒性模塊210和210a分析進(jìn)入和退出這些節(jié)點(diǎn)中的每個(gè)節(jié)點(diǎn)的業(yè)務(wù)，并且可以在執(zhí)行消息和體量過(guò)濾的同時(shí)對(duì)關(guān)于業(yè)務(wù)的元數(shù)據(jù)執(zhí)行過(guò)濾和編譯。

在該示例性安全系統(tǒng)中，魯棒性模塊210可以獨(dú)立地操作，但是可以彼此進(jìn)行通信，以便例如指示彼此如果其設(shè)備正在發(fā)送大量可疑消息(如由體量過(guò)濾器所確定的)，則將其各自的設(shè)備從網(wǎng)絡(luò)斷開(kāi)；或者向彼此或向用戶接口模塊211(示出為在用戶接口設(shè)備230中)提供丟棄的消息日志。此外，用戶可以使用用戶接口模塊211來(lái)對(duì)魯棒性模塊210中的一個(gè)或多個(gè)魯棒性模塊進(jìn)行配置，并且用戶可能需要具有恰當(dāng)?shù)陌踩獻(xiàn)D或安全許可來(lái)進(jìn)行該操作。當(dāng)然，用戶接口模塊211可以通過(guò)一個(gè)或多個(gè)網(wǎng)絡(luò)鏈路200進(jìn)行通信，并且用戶接口模塊211可安裝在網(wǎng)絡(luò)114上的其它計(jì)算機(jī)設(shè)備中的任意計(jì)算機(jī)設(shè)備中，例如網(wǎng)絡(luò)上的配置數(shù)據(jù)庫(kù)232、網(wǎng)關(guān)設(shè)備226，228、交換機(jī)202等中。另外，來(lái)自子網(wǎng)絡(luò)設(shè)備(例如現(xiàn)場(chǎng)設(shè)備215-222、I/O設(shè)備236，238和無(wú)線現(xiàn)場(chǎng)設(shè)備240-258)的通信(例如告警和丟棄日志)可以向上發(fā)送到主網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備(例如控制器260或網(wǎng)關(guān)設(shè)備235)，并且這些設(shè)備然后可以將那些通信轉(zhuǎn)發(fā)到用戶接口模塊211或者其它魯棒性模塊210。此外，如圖3中所示，配置數(shù)據(jù)庫(kù)232包括配置變化模塊370，其可以檢測(cè)網(wǎng)絡(luò)中的配置變化，并且可以基于這些配置變化來(lái)以任何期望的方式向魯棒性模塊210傳送魯棒性模塊規(guī)則集合。如圖3的節(jié)點(diǎn)中的至少一些節(jié)點(diǎn)中所示，節(jié)點(diǎn)設(shè)備中的每個(gè)節(jié)點(diǎn)設(shè)備包括處理器309，其可以是微處理器、ASIC或者實(shí)現(xiàn)和執(zhí)行各個(gè)魯棒性模塊210的其它處理器；并且包括計(jì)算機(jī)可讀存儲(chǔ)器311，其存儲(chǔ)這些模塊以用于在處理器309上執(zhí)行。

在一般意義上，存儲(chǔ)在魯棒性模塊210的規(guī)則存儲(chǔ)器42中的消息分析規(guī)則反映了進(jìn)入或退出網(wǎng)絡(luò)114的節(jié)點(diǎn)的消息業(yè)務(wù)的預(yù)期或正常行為。更具體地說(shuō)，存儲(chǔ)在規(guī)則數(shù)據(jù)庫(kù)42中的規(guī)則可以通過(guò)在特定時(shí)間段期間(例 如在網(wǎng)絡(luò)剛建立之后啟動(dòng)并運(yùn)行時(shí)，當(dāng)相對(duì)確定網(wǎng)絡(luò)沒(méi)有被損壞時(shí))對(duì)來(lái)自網(wǎng)絡(luò)114的節(jié)點(diǎn)的消息或業(yè)務(wù)元數(shù)據(jù)進(jìn)行收集和分析而產(chǎn)生。在該時(shí)間期間，所生成或收集的消息業(yè)務(wù)數(shù)據(jù)在統(tǒng)計(jì)意義上反映了網(wǎng)絡(luò)的“正?！被颉邦A(yù)期”操作?？梢詮脑谠摃r(shí)段期間所收集的消息業(yè)務(wù)數(shù)據(jù)中收集或生成各種業(yè)務(wù)模式參數(shù)或統(tǒng)計(jì)數(shù)據(jù)，并且該數(shù)據(jù)可以存儲(chǔ)在業(yè)務(wù)模式數(shù)據(jù)庫(kù)中以用于為各個(gè)魯棒性模塊210創(chuàng)建一個(gè)或多個(gè)規(guī)則集合。收集或生成并存儲(chǔ)在數(shù)據(jù)庫(kù)中的業(yè)務(wù)模式參數(shù)可以包括例如，任意粒度的特定節(jié)點(diǎn)或節(jié)點(diǎn)組處的業(yè)務(wù)的統(tǒng)計(jì)測(cè)量。也就是說(shuō)，所存儲(chǔ)的業(yè)務(wù)模式參數(shù)可以指示對(duì)任何類型的數(shù)據(jù)、時(shí)間幀、節(jié)點(diǎn)或節(jié)點(diǎn)群組、傳入或傳出、發(fā)送方、接收方、長(zhǎng)度等成組或執(zhí)行的數(shù)據(jù)的任意統(tǒng)計(jì)測(cè)量(例如，均值、標(biāo)準(zhǔn)差、平均值、中值、計(jì)數(shù)等)，并且可以存儲(chǔ)在任何期望的層級(jí)中，例如反映網(wǎng)絡(luò)的配置層級(jí)的層級(jí)。業(yè)務(wù)模式參數(shù)還可以包括針對(duì)任意類型或群組的進(jìn)入或退出節(jié)點(diǎn)或節(jié)點(diǎn)群組的通信的范圍或限制，當(dāng)超過(guò)這些范圍或限制時(shí)，將反映或觸發(fā)體量過(guò)濾器閾值、警告消息、從網(wǎng)絡(luò)的斷開(kāi)等。這些范圍或限制可以是絕對(duì)限制(例如，具有固定數(shù)量的形式)，或者可以是基于或關(guān)于其它統(tǒng)計(jì)測(cè)量的相對(duì)限制(例如平均值的三倍、落入第一或第二標(biāo)準(zhǔn)差內(nèi)、中值或均值以上或以下的預(yù)先確定的數(shù)量等)。

如將要理解的，創(chuàng)建并使用規(guī)則數(shù)據(jù)庫(kù)42內(nèi)的規(guī)則以限定應(yīng)當(dāng)對(duì)當(dāng)前或收集的消息進(jìn)行分析的方式，以檢測(cè)網(wǎng)絡(luò)中的異?；蛉肭帧８唧w地說(shuō)，規(guī)則數(shù)據(jù)庫(kù)42中的規(guī)則指定應(yīng)當(dāng)對(duì)所收集的消息業(yè)務(wù)進(jìn)行分析的方式，例如，通過(guò)將所收集的關(guān)于所收集的消息的元數(shù)據(jù)或統(tǒng)計(jì)數(shù)據(jù)與業(yè)務(wù)模式數(shù)據(jù)進(jìn)行比較和/或使用業(yè)務(wù)模式限制或范圍。在一般意義上，圖1的過(guò)濾器模塊20、22、30、32實(shí)現(xiàn)存儲(chǔ)在規(guī)則數(shù)據(jù)庫(kù)42中的規(guī)則，以便將所收集的消息數(shù)據(jù)或元數(shù)據(jù)與已知、期望或預(yù)期的業(yè)務(wù)模式參數(shù)進(jìn)行比較。

同樣地，如圖1中所指示的，魯棒性模塊10可以包括告警生成器46，其可以基于由模塊20、22、30和32執(zhí)行的分析的結(jié)果來(lái)生成一個(gè)或多個(gè)告警、警報(bào)或消息。由告警生成器46創(chuàng)建的告警、警報(bào)或消息可以經(jīng)由網(wǎng)絡(luò)鏈路或經(jīng)由為該目的提供的或用于該目的任意其它通信鏈路發(fā)送到任何期望的人員(例如操作者、安全人員、IT人員等)。舉例而言，告警、警報(bào)或消息可發(fā)送給指定人員的電子郵件賬戶，發(fā)送給操作者或者還示出關(guān)于 工廠的其它數(shù)據(jù)的安全接口，可以作為經(jīng)由專用或公共網(wǎng)絡(luò)來(lái)傳遞的電話呼叫或文本消息發(fā)送給在任何期望的設(shè)備(例如移動(dòng)設(shè)備等)處的指定人員或一組人員。同樣地，這些告警、警報(bào)或消息可以觸發(fā)負(fù)責(zé)對(duì)網(wǎng)絡(luò)的潛在入侵進(jìn)行響應(yīng)和調(diào)查的任何指定人員的手持設(shè)備(例如，電話、手表、可穿戴設(shè)備、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)等)上的警報(bào)或通知。在一些情況下，警報(bào)或告警生成器46可以操作為限制對(duì)被感染或潛在被感染節(jié)點(diǎn)的訪問(wèn)，可以關(guān)閉節(jié)點(diǎn)，或者在十分緊急的情況下可以關(guān)閉通信網(wǎng)絡(luò)本身或?qū)⑵渑c其它網(wǎng)絡(luò)隔離，以限制入侵對(duì)工廠或工廠中的子系統(tǒng)造成損害。當(dāng)然，告警生成器46可以包括可以與網(wǎng)絡(luò)中的其它設(shè)備進(jìn)行通信以實(shí)施這種自動(dòng)操作的軟件或邏輯單元。在一些情況下，告警生成器46在工廠網(wǎng)絡(luò)中在采取這種自動(dòng)動(dòng)作之前，可以經(jīng)由例如用戶接口模塊211向用戶請(qǐng)求許可，但在其它情況下，可以在向用戶通知入侵或潛在入侵之前或同時(shí)在網(wǎng)絡(luò)中執(zhí)行動(dòng)作。此外，當(dāng)采取自動(dòng)動(dòng)作時(shí)，告警生成器46可以與被感染或潛在被感染的節(jié)點(diǎn)進(jìn)行通信，以限制來(lái)自(進(jìn)入和/或退出)該節(jié)點(diǎn)的通信，例如，限制或暫停來(lái)自該節(jié)點(diǎn)的特定類型的消息，暫?；蛳拗圃摴?jié)點(diǎn)處的特定應(yīng)用的操作(其可能正在生成異常的消息業(yè)務(wù))，暫停或限制經(jīng)由設(shè)備的某些端口的通信等。因此，一個(gè)魯棒性模塊10或210的告警生成器46可以改變或更改另一個(gè)魯棒性模塊的規(guī)則存儲(chǔ)器42的規(guī)則，以首先幫助阻止所述另一個(gè)魯棒性模塊通過(guò)鏈路發(fā)送可疑消息。替代地或另外地，告警生成器46可以與其它節(jié)點(diǎn)(例如，連接到其它網(wǎng)絡(luò)的網(wǎng)關(guān)節(jié)點(diǎn))進(jìn)行通信，以限制或中止該網(wǎng)絡(luò)與其它網(wǎng)絡(luò)之間的消息。該動(dòng)作可以允許關(guān)鍵操作(例如控制操作)在網(wǎng)絡(luò)上發(fā)生，同時(shí)將網(wǎng)絡(luò)與外部源隔離，以便至少臨時(shí)地阻止異常消息業(yè)務(wù)離開(kāi)或進(jìn)入該網(wǎng)絡(luò)，這可以限制數(shù)據(jù)竊取，可以暫停網(wǎng)絡(luò)內(nèi)的病毒感染其它網(wǎng)絡(luò)，可以停止經(jīng)由被感染的節(jié)點(diǎn)向網(wǎng)絡(luò)的進(jìn)一步入侵等。例如，告警生成器46可以對(duì)外部商業(yè)系統(tǒng)與受影響的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間的所有通信進(jìn)行服務(wù)，直到現(xiàn)場(chǎng)安全人員可以評(píng)估異常為止。當(dāng)然，告警生成器46可以綁定到(通信地連接到)其它系統(tǒng)(例如安全系統(tǒng))以執(zhí)行這些功能。

規(guī)則數(shù)據(jù)庫(kù)42可以存儲(chǔ)由一個(gè)或多個(gè)安全人員、配置人員、用戶、操作者等創(chuàng)建或生成的任何期望的規(guī)則集合，這些規(guī)則集合限定要對(duì)從通信 網(wǎng)絡(luò)節(jié)點(diǎn)或者從通信鏈路接收的消息業(yè)務(wù)或消息元數(shù)據(jù)執(zhí)行的分析，以確定消息業(yè)務(wù)或業(yè)務(wù)模式中是否存在異常，并且因此確定是否應(yīng)當(dāng)生成告警或警報(bào)或者其它過(guò)濾是否應(yīng)當(dāng)發(fā)生。模塊20、22、30和32所采用的規(guī)則因此可以操作為：將從節(jié)點(diǎn)收集的消息數(shù)據(jù)與該節(jié)點(diǎn)數(shù)據(jù)的標(biāo)準(zhǔn)或基線集合進(jìn)行比較，以確定它們之間是否存在由其它業(yè)務(wù)模式參數(shù)(例如限制或差分變量等)定義的顯著差異。

將理解的是，針對(duì)魯棒性模塊10和210處的消息，可以獲得和分析任何期望類型的數(shù)據(jù)，并且可以創(chuàng)建規(guī)則數(shù)據(jù)庫(kù)42中的規(guī)則以用于以任何期望的方式來(lái)對(duì)數(shù)據(jù)進(jìn)行分析。例如，消息數(shù)據(jù)可以包括：關(guān)于消息本身的通用信息，例如，有效載荷類型、長(zhǎng)度、源(例如，配置的對(duì)未配置的節(jié)點(diǎn)、源端口等)、地址(例如，源和目的地址和端口)、范圍(例如，單播、多播、廣播)、有效載荷類型(例如，TCP、UDP等等)、以及定時(shí)(例如，一天中的時(shí)間、相對(duì)時(shí)間、嘗試率等)；通信信息，例如，消息定時(shí)(例如，速率、一天中的時(shí)間、順序錯(cuò)誤等)、安全錯(cuò)誤(例如失敗的完整性、認(rèn)證或解密)、消息內(nèi)容(例如大小、格式錯(cuò)誤等)；以及偽信息，例如速率限制信息(例如狀態(tài)、方法、限制速率等)，以及連接嘗試(例如亂序、格式錯(cuò)誤、掃描等)。當(dāng)然，可以獲得任何其它類型的消息數(shù)據(jù)或元數(shù)據(jù)并且同時(shí)或替代地用于規(guī)則42中，并且將理解的是，本文所提供的列表不是全面的。

另外，可以基于網(wǎng)絡(luò)或節(jié)點(diǎn)內(nèi)的其它因素或參數(shù)(例如發(fā)送或接收節(jié)點(diǎn)的角色(例如，這些節(jié)點(diǎn)是否是工作站、服務(wù)器、網(wǎng)關(guān)、控制器、I/O服務(wù)器、遠(yuǎn)程終端單元(RTU)等))來(lái)收集和存儲(chǔ)消息數(shù)據(jù)。因此，將理解的是，可以在網(wǎng)絡(luò)的各個(gè)不同層級(jí)處(例如，基于設(shè)備或節(jié)點(diǎn)、基于設(shè)備或節(jié)點(diǎn)角色、基于消息等)創(chuàng)建消息和業(yè)務(wù)元數(shù)據(jù)，或者針對(duì)網(wǎng)絡(luò)的各個(gè)不同層級(jí)、或相對(duì)于網(wǎng)絡(luò)的任何其它層級(jí)來(lái)創(chuàng)建消息和業(yè)務(wù)元數(shù)據(jù)。此外，可以使用控制或通信網(wǎng)絡(luò)的配置信息來(lái)初始地創(chuàng)建或修改用于分析消息元數(shù)據(jù)的規(guī)則，或者組織消息元數(shù)據(jù)分析。概括地說(shuō)，用于網(wǎng)絡(luò)的配置信息包括：關(guān)于節(jié)點(diǎn)(設(shè)備)中的每個(gè)節(jié)點(diǎn)(設(shè)備)處的應(yīng)用、模塊、控制例程等的數(shù)量，以及這些各個(gè)邏輯單元、軟件單元和硬件單元彼此進(jìn)行通信的方式(包括通信對(duì)(發(fā)送方/接收方對(duì))、通信定時(shí)、頻率、消息類型、控 制系統(tǒng)角色或設(shè)備類型等)的信息。該配置信息可以用于創(chuàng)建或修改用于對(duì)這些節(jié)點(diǎn)中的任意節(jié)點(diǎn)處的消息進(jìn)行分析的規(guī)則。也就是說(shuō)，配置信息(包括配置層次信息(例如，哪些設(shè)備和模塊與網(wǎng)絡(luò)中哪些其它模塊和設(shè)備相關(guān)))可以用于創(chuàng)建、修改或填充用于對(duì)消息進(jìn)行分析的規(guī)則的參數(shù)。舉例而言，配置信息可以用于例如選擇用來(lái)分析消息的廣義規(guī)則的子集(即，簡(jiǎn)檔)。配置信息還可以用于在一個(gè)或多個(gè)廣義規(guī)則參數(shù)中插入特定值(例如，在規(guī)則具有<用戶>的占位符的情況下，配置信息可以用于填充該配置中所列出的特定用戶的地址和端口信息)。以此方式，可以基于設(shè)備或節(jié)點(diǎn)的控制系統(tǒng)配置，將有效的邏輯規(guī)則從廣義規(guī)則的較大集合調(diào)整為特定規(guī)則的子集。

此外，如圖2和圖3中所示，安全系統(tǒng)可以包括網(wǎng)絡(luò)配置變化模塊370，其可以例如存儲(chǔ)在網(wǎng)絡(luò)配置數(shù)據(jù)庫(kù)或服務(wù)器設(shè)備122C或232中。概括地說(shuō)，配置變化模塊370操作為檢測(cè)通信網(wǎng)絡(luò)的網(wǎng)絡(luò)配置的變化，然后經(jīng)由例如網(wǎng)絡(luò)鏈路向用戶接口模塊211發(fā)送這些變化和/或?qū)@些變化的通知。如本文所使用的，配置變化可以包括：對(duì)網(wǎng)絡(luò)上的設(shè)備或設(shè)備集合的操作做出的任何改變(包括添加新設(shè)備、應(yīng)用、模塊等；移除任何設(shè)備、應(yīng)用、模塊等)；以及設(shè)備、應(yīng)用、模塊等、參數(shù)、設(shè)置或其它配置的改變(包括任何硬件、軟件或固件設(shè)置的改變)，包括改變通信和過(guò)程控制設(shè)置，例如，改變例如用于批處理過(guò)程的配方等。在這種情況下，無(wú)論何時(shí)配置工程師或其它用戶改變網(wǎng)絡(luò)配置(例如，通過(guò)向網(wǎng)絡(luò)添加新的應(yīng)用或模塊，改變網(wǎng)絡(luò)中的應(yīng)用或模塊彼此進(jìn)行通信的方式等)，網(wǎng)絡(luò)配置變化模塊370檢測(cè)該變化并向用戶接口模塊211發(fā)送通知，從通知用戶關(guān)于網(wǎng)絡(luò)配置的變化。當(dāng)然，雖然變化模塊370示出為位于配置數(shù)據(jù)庫(kù)(例如，圖3的數(shù)據(jù)庫(kù)232)中，但配置模塊370可以位于能夠訪問(wèn)或?qū)崿F(xiàn)配置應(yīng)用(其改變或使得用戶能夠改變網(wǎng)絡(luò)的配置)，或者以其它方式被通知關(guān)于配置變化的任何設(shè)備或計(jì)算機(jī)(例如操作者接口設(shè)備或服務(wù)器)中，并且可以以任何期望的方式操作以檢測(cè)網(wǎng)絡(luò)配置變化。

在任何情況下，無(wú)論何時(shí)對(duì)網(wǎng)絡(luò)的配置做出變化時(shí)(例如，實(shí)施添加、刪除或改變網(wǎng)絡(luò)上或綁定到網(wǎng)絡(luò)的設(shè)備中的任何設(shè)備中的任何軟件、功能塊、模塊等的通信方面)，變化檢測(cè)模塊370可以向用戶接口模塊211發(fā)送 通知，以通知用戶預(yù)期網(wǎng)絡(luò)業(yè)務(wù)模式或細(xì)節(jié)的改變或潛在改變。該通知可以使得用戶能夠創(chuàng)建新的規(guī)則或者對(duì)已經(jīng)在魯棒性模塊210中的一個(gè)或多個(gè)魯棒性模塊中的規(guī)則進(jìn)行更改，以便由此根據(jù)新網(wǎng)絡(luò)配置來(lái)更好地配置魯棒性模塊210。

因此，將理解的是，網(wǎng)絡(luò)配置的變化可以例如通過(guò)增加或減少某種類型的網(wǎng)絡(luò)消息、改變特定類型的網(wǎng)絡(luò)通信(例如，通過(guò)改變網(wǎng)絡(luò)上的各個(gè)設(shè)備之間或者在網(wǎng)絡(luò)節(jié)點(diǎn)處的各個(gè)設(shè)備內(nèi)運(yùn)行的應(yīng)用之間的某些類型的通信的屬性或數(shù)量)，來(lái)改變網(wǎng)絡(luò)消息流。在一些情況下，由于新的配置，可能期望改變、添加或刪除一個(gè)或多個(gè)魯棒性模塊210的規(guī)則數(shù)據(jù)庫(kù)42中的規(guī)則，以便例如調(diào)整這些規(guī)則以適應(yīng)新的配置(例如通過(guò)實(shí)現(xiàn)規(guī)則數(shù)據(jù)庫(kù)的一個(gè)或多個(gè)規(guī)則內(nèi)的簡(jiǎn)檔插件來(lái)匹配或反映新配置的參數(shù))。例如，可以通過(guò)新配置來(lái)添加新的通信類型，并且可以基于新的通信利用簡(jiǎn)檔插件來(lái)對(duì)規(guī)則進(jìn)行更新，并且該規(guī)則然后可以用于對(duì)與這些新的通信類型相關(guān)聯(lián)的消息進(jìn)行分析。

此外，雖然本文所描述的安全系統(tǒng)被示出為具有單獨(dú)的語(yǔ)法和體量過(guò)濾器，但是單個(gè)過(guò)濾器可以執(zhí)行針對(duì)這些不同過(guò)濾器中的每個(gè)過(guò)濾器所描述的功能。例如，可以在網(wǎng)絡(luò)設(shè)備的處理器上執(zhí)行單個(gè)過(guò)濾模塊，以使用存儲(chǔ)在設(shè)備的規(guī)則存儲(chǔ)器中的邏輯規(guī)則來(lái)傳遞具有消息特征的一個(gè)或多個(gè)第一集合的消息，暫停具有消息特征的一個(gè)或多個(gè)第二集合的消息，以及對(duì)具有消息特征的一個(gè)或多個(gè)第三集合的消息進(jìn)行計(jì)數(shù)，并且還可以操作為：基于與消息特征的一個(gè)或多個(gè)第三集合的相關(guān)聯(lián)的計(jì)數(shù)，來(lái)傳遞或暫停具有消息特征的一個(gè)或多個(gè)第三集合的消息。

雖然本文所描述的安全技術(shù)已被描述為結(jié)合聯(lián)網(wǎng)的過(guò)程控制設(shè)備和系統(tǒng)(其使用以太網(wǎng)和各種已知的過(guò)程控制協(xié)議，例如，F(xiàn)ieldbus、HART和標(biāo)準(zhǔn)4-20ma協(xié)議)來(lái)使用，但是當(dāng)然，本文所描述的安全技術(shù)可以在使用任何其它過(guò)程控制通信協(xié)議或編程環(huán)境的任何類型的控制設(shè)備中實(shí)現(xiàn)，并且可以與任何其它類型的設(shè)備、功能塊或控制器一起使用。盡管本文所描述的安全特征優(yōu)選地在軟件中實(shí)現(xiàn)，但這些安全特征可以在硬件、固件等中實(shí)現(xiàn)，并且可以由與計(jì)算機(jī)設(shè)備相關(guān)聯(lián)的任何其它處理器來(lái)執(zhí)行。因此，如果期望的話，本文所描述的方法和例程以及系統(tǒng)可以在標(biāo)準(zhǔn)多功能CPU 中或者在專門設(shè)計(jì)的硬件或固件(例如，ASIC)上實(shí)現(xiàn)。當(dāng)在軟件中實(shí)現(xiàn)時(shí)，該軟件可以存儲(chǔ)在任何計(jì)算機(jī)可讀存儲(chǔ)器中，例如在磁盤、激光盤、光盤或其它存儲(chǔ)介質(zhì)上，在計(jì)算機(jī)或處理器的RAM或ROM中等。同樣地，該軟件可以經(jīng)由任何已知或期望的傳遞方法(包括例如，在計(jì)算機(jī)可讀盤或其它便攜式計(jì)算機(jī)存儲(chǔ)機(jī)構(gòu)上，或者調(diào)制到諸如電話線路、互聯(lián)網(wǎng)之類的通信信道上)傳遞給用戶或過(guò)程控制系統(tǒng)。

此外，雖然參考特定的示例來(lái)描述了本發(fā)明，其中這些示例旨在僅是說(shuō)明性的而非對(duì)本發(fā)明的限制，但對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)說(shuō)將顯而易見(jiàn)的是，在不偏離本發(fā)明的精神和范圍的情況下，可以對(duì)所公開(kāi)的實(shí)施例進(jìn)行改變、添加或刪除。