安全相关的诊断消息的制作方法

1.本发明涉及一种具有权利要求1的特征的方法。本发明还涉及一种根据权利要求5的用于技术设备、特别是制造或过程设备的控制系统。


背景技术：

2.鉴于技术设备的潜在威胁越来越大，积极识别可能的攻击、异常和违反政策的迹象以及借助适当工具长期存储安全相关信息就显得尤为重要。对于关键设备基础设施的操作员而言，基于长期存储安全相关信息的这种积极识别和可追溯性比之前更加重要。
3.用于检测、关联和长期存储所谓安全事件以及用于基于关联结果生成警报的所谓安全信息事件管理(siem)工具显著提高了部件、系统和设施的保护水平，并有助于符合相关标准的要求。相应的要求例如在标准iec62443
‑3‑
3中制定。
4.有效且成功使用这种工具的重要前提在于：工业设施中使用的部件和系统可以检测并经由标准化接口提供各种安全事件。
5.例如，西门子的工业控制器simatic s7 410支持标准iec62443
‑3‑
3中阐述的安全事件。在此，安全事件可以由控制器的cpu在所谓的系统日志报文中发送给直至四个外部的siem服务器。
6.另一个重要的前提是对相应的技术设备量身定制的关联规则，关联规则用于识别各种攻击场景和违反强制准则的迹象。这种规则可分为通用、标准特定、行业特定、it特定、制造商特定和设施特定的类别。
7.近年来，在工业环境下对各种siem工具和异常识别工具的测试中获得以下发现：
8.安全事件和识别到的网络异常尽管重要，但对于全面识别攻击(尤其所谓的“复杂攻击”，该复杂攻击有针对性地利用在特定环境下的薄弱部位)和偏差而言，可能不够用。在有安全事件的情况下，问题尤其在于，安全事件由设备/软件或系统制造商在设计阶段中定义，其中不是随后在使用技术设备时证实为可能发生的所有场景都在设计阶段中已知或可预见。
9.在异常识别工具的情况下，这是因为：其要么识别已经已知的网络攻击(例如ip欺骗)，要么必须在更长的阶段期间学习系统的正常行为，并且然后才可以估计可能与正常行为存在偏差，其中该异常识别工具完全忽略来自设备的信息(例如安全事件)。
10.为了进行全面且尽可能好的对相应系统设施量身定制的安全诊断和攻击识别，也应当考虑其他的信息、特别是各种设备部件、还有操作员站服务器、自动化装置和现场设备的信息、检测到的系统和设备诊断消息，该信息尽管在定义上不是安全相关的，但是在具体的设施场景中能被证实是安全相关的。
11.例如，技术设备的自动化和现场级的、沿着自动化金字塔等级在基层的设备和操作员站服务器的全部设备诊断消息在操作员站服务器中汇集。
12.现场设备将其诊断数据作为设备诊断消息报告给相关联的自动化装置。网络设备将其诊断数据作为设备诊断消息报告给相关联的自动化装置。自动化装置将其自身的设备
诊断消息连同现场设备和网络设备的设备诊断消息聚合，并将它们报告给操作员站服务器。操作员站服务器将其诊断数据与其设备诊断消息和自动化装置的聚合的设备诊断消息聚合，并将其报告给维护站。
13.因此，对于每个子设施在操作员站服务器的层级上已经设有全部的设备诊断消息，设备诊断消息可能具有对于“安全分析”的相关性。
14.在此，设备诊断消息是除了包含消息文本之外还包含大量附带值的消息(例如加工警报)，并且主要针对维护任务设计。由于在技术设备的控制系统中包含大量设备并且对于每个设备存在大量的诊断消息，每个操作员站服务器都具有大量的诊断消息。尽管技术上还可以通过siem系统评价整个检测到的设备诊断消息，但这不是目标导向的，因为不是每个诊断消息在具体的设施场景中都是安全相关的。此外，不是每个诊断消息都适合于安全分析。
15.it专业人员通常负责现场在技术设备中安装siem系统。这样的专业人员通常不了解(或不详细了解)安装在设施中的自动化部件及其诊断消息和安全事件。因此，it专业人员只能不充分地(或者说在没有设施人员或自动化专业人员的支持下)创建对于异常识别所需的关联规则，并为相应的技术设备最佳地适配关联规则。
16.然而，设施人员通常主要从事设施的可用性和运行的维持任务，使得所需的关联规则的联合开发要么只在很小的程度上进行，要么根本不进行。结果是，不简明的大量各种信息(包括各种设备诊断消息)进入siem系统中。
17.通过根据特定的面向it或面向网络的、部分保持非常通用的关联或识别规则来全自动地对该信息进行实时评价，尽管可以识别标准攻击(例如服务器拒绝、ip欺骗)，然而无法识别有针对性的、设施特定的攻击。至今为止，在全自动评价范畴中，当对特定的设施诊断消息在其安全相关性方面进行评价时，已知还不能在需要的情况下引入相应的自动化和设施专业人员。


技术实现要素：

18.本发明的基本目的是：在安全观点方面通过技术设备的控制系统给出更有效的警报处理方式。
19.所述目的通过具有权利要求1的特征的方法实现。此外，所述目的通过根据权利要求5的用于技术设备、特别是制造或过程设备的控制系统实现。在从属权利要求中得出有利的改进方案。
20.根据本发明，开头部分描述类型的方法包括以下步骤：
21.a)接收由技术设备的对象产生的诊断消息，该技术设备特别是制造或过程设备；
22.b)分析诊断消息，从而鉴别与技术设备的运行的安全性相关的诊断消息，其中在分析诊断消息的范畴内，为了评估诊断消息的安全相关性而使用机器学习网络、特别是神经网络，预先通过技术设备的操作员的特定输入来训练该机器学习网络，操作员对过去的诊断消息在其安全相关性方面进行评估；
23.c)在必要情况下，将预先鉴别的诊断消息适配于技术设备的以计算机实施的安全模块的要求；
24.d)将预先鉴别的以及必要时适配过的诊断消息传输至技术设备的以计算机实施
的安全模块。
25.技术设备可以是源自加工工业(例如化学、制药、石化的加工工业)中的设备或源自食品和饮料行业的设备。借此，其也包括源自生产行业、生产所有类型的汽车或商品的工厂中的设备。适合于执行根据本发明的方法的技术设备也可以来自能源生产领域。用于发电的风力涡轮机、太阳能设备或发电厂同样属于该技术设备。
26.该设备分别具有控制系统或至少一个计算机辅助模块，以用于控制和调节正进行的加工或生产。在本上下文中，将控制系统理解为计算机辅助的工程系统，该工程系统包括用于显示、操作和控制诸如制造或生产设施的工程系统的功能。在当前的情况下，控制系统包括用于汽车测量值的传感器以及各种执行器。此外，控制系统包括用于操控执行器或传感器的所谓的加工或生产相关的部件。此外，控制系统还具有用于可视化技术设备和用于工程设计的机构。还将控制系统理解为用于更复杂的规则的另外的计算单元和用于进行数据存储和处理的系统。
27.技术对象通常可以是技术设备的各个传感器或执行器。但是，技术对象也可以是多个传感器和/或执行器(例如马达、反应器、泵或阀系统)的组合。
28.通常将消息理解为表示进入从技术设备内的一离散状态转移到另一离散状态的事件的报告。诊断消息是特定类型的消息，并且除了包括原本的消息文本外还包括附加的附带值。诊断消息(也称为设备诊断消息)主要针对在技术设备中涉及相应的技术对象产生的维护任务。
29.将操作员理解为技术设备的操作人员。操作员借助于特定的用户界面与技术设备或其控制系统进行交互，并控制设施的特定的技术功能。为此，操作员可以使用控制系统的操作和观察系统。
30.根据本发明，首先从技术设备的技术对象接收诊断消息，然后对其进行分析。在此，采用比较数据记录，该比较数据记录实现鉴别与技术设备的运行的安全性相关的诊断消息。换言之，根据预先已知的数据模式将接收到的诊断消息分类为安全相关的消息或安全不相关的消息。
31.在分析诊断消息以评估诊断消息的安全相关性的范畴内，采用机器学习网络、特别是神经网络，预先用与早期的诊断消息相关的分析数据训练机器学习网络。通过技术设备的操作员的特定输入训练机器学习网络，该操作员对过去的诊断消息在其安全相关性方面进行评估。
32.在必要情况下，随后对诊断消息进行转换，以便将其适配于以计算机实施的安全模块的要求。例如，这种要求可以包括在标准iec62443
‑3‑
3中阐述的所谓的可审计事件的内容和结构中，该事件也被称为安全事件。在需要的情况下，然后根据标准iec62443
‑3‑
3中规定的内容进行预先已被鉴别为相关的诊断消息的适配或变换。
33.预先鉴别的以及必要时适配过的诊断消息最终被传输至技术设备的以计算机实施的安全模块。例如，这种安全模块可以是siem系统。
34.通过过滤诊断消息(并在必要时进行适配)，可以大规模减少转发至后续的安全分析工具(或安全模块)的信息数量。但是，显著地提高了对该信息的技术设备攻击识别方面的信息含量和使用。
35.在本发明的一个有利的改进方案中，将传输至以计算机实施的安全模块的诊断消
息以图形方式呈现给技术设备的操作员。由此，操作员获得技术设备的安全相关的状态的概览的图像。
36.可行的是，通过由操作员进一步评估还更好地训练机器学习网络，以便例如将学习网络匹配于变化的安全框架条件。
37.在自动评估诊断消息的安全相关性期间，可以考虑诊断消息的消息类别和/或消息类型。消息类别例如是：“自动化站控制技术消息”、“操作员站服务器控制技术消息”、“操作员消息”或“加工消息”。例如，消息类型可以是“警报”或“干扰”。其背景是：各个诊断消息通常与各个消息类别和消息类型相关联，由此可以显著地简化之前阐述的分类。
38.在方法的一个优选的改进方案的范畴中，在将诊断消息传输至技术设备的以计算机实施的安全模块之前，将预先已鉴别为相关的诊断消息适配于标准数据格式，优选适配于公共事件格式。
39.此外，上述目的通过一种用于技术设备、特别是制造或过程设备的控制系统来实现，该控制系统包括操作员站服务器、以计算机实施的分析模块、以计算机实施的适配模块和以计算机实施的安全模块，其中分析模块和适配模块在操作员站服务器上实施。在此，以计算机实施的分析模块设计和设置用于，接收由技术设备的技术对象产生的诊断消息，该技术设备特别是制造或过程设备，并且分析诊断消息，从而鉴别与技术设备的运行的安全性相关的诊断消息。在此，以计算机实施的分析模块设计和设置用于，在分析诊断消息的范畴内，为了评估诊断消息的安全相关性而使用机器学习网络、特别是神经网络，预先通过技术设备的操作员的特定输入来训练机器学习网络，操作员对过去的诊断消息在其安全相关性方面进行评估。此外，以计算机实施的分析模块设计和设置用于，将预先已鉴别为相关的诊断消息转发至以计算机实施的适配模块。以计算机实施的适配模块设计和设置用于，在必要情况下，将由以计算机实施的分析模块预先已鉴别为相关的诊断消息适配于以计算机实施的安全模块的要求。此外，以计算机实施的适配模块设计和设置用于，将预先由以计算机实施的分析模块接收的诊断消息转发至以计算机实施的安全模块。
40.当前，将“操作员站服务器”理解为如下服务器，该服务器在中央检测操作和观察系统的数据并且通常检测技术设备的加工控制系统的报警和测量值档案，并将其提供给用户。操作员站服务器通常建立到技术设备的自动化系统的通信连接并且将技术设备的数据转发至所谓的客户端，该客户端用于操作和观察技术设备的各个功能元件的运行。操作员站服务器可以是(但不限于)西门子公司的工业工作站服务器simatic pcs 7。
41.特别优选地，控制系统还具有操作员站客户端，该操作员站客户端设计和设置用于，从操作员站服务器接收诊断消息并将其呈现给技术设备的操作员。
附图说明
42.本发明的上述特征、特性和优点以及实现其的方式和方法在实施例的下述描述中变得更明白易懂，该实施例结合附图详细阐述。
具体实施方式
43.在附图中示出构造为方法技术设备的技术设备的根据本发明的控制系统1的一部分。控制系统1包括操作系统的服务器或操作员站服务器2和其所属的操作员站客户端3。操
作员站服务器2和操作员站客户端3经由终端总线4彼此连接，并且与控制系统1的未示出的其他部件、例如工程系统服务器或加工数据档案连接。
44.在操作和观察的场景中，用户或操作员借助于操作员站服务器3通过终端总线4访问操作员站服务器2。终端总线4例如可以是工业以太网，但不限于此。
45.操作员站服务器2具有与设备总线6连接的设备接口5。经由设备接口，操作员站服务器2可以与(外部)设施7进行通信。在此，所连接的设施7可选地也可以是应用程序，特别是网页应用程序。在本发明的范围中，任何数量的设备和/或应用程序可以连接于操作员站服务器2。设备总线6可以但不限于例如构造为工业以太网。设施7还可以与任意数量的子系统(未示出)连接。
46.可视化服务8集成到操作员站服务器2中，经由该可视化服务可以将(可视化)数据传输至操作员站客户端3。此外，操作员站服务器4具有进程图像(进程映像)9和警报服务10。警报服务10又包括以计算机实施的分析模块11和以计算机实施的适配模块12。
47.报警服务10访问进程图像9，以便获得各个设施7的诊断消息。接收到的诊断消息首先由以计算机实施的分析模块11以如下方式进行分析，即鉴别与技术设备的运行的安全性相关的诊断消息。为此，以计算机实施的分析模块11访问数据库13，在该数据库中存储有对各个诊断消息在技术设备的运行安全性方面进行分类的规则。
48.在必要情况下，以计算机实施的适配模块12将预先被鉴别为相关的诊断消息适配于特定的预设、例如公共事件格式。
49.随后，将鉴别为相关的并且必要时被转换的诊断消息传输至控制系统1的消息序列显示器(警报控制)14。为控制系统1的操作员以图像方式在操作员站客户端3上呈现消息序列显示器14的相应的操作图像。此外，将所提及的诊断消息传输至构造为siem系统的以计算机实施的安全模块15以用于进一步处理。
50.如果接收到新的并且未知的诊断消息类型，则警报服务10借助于消息序列显示器14向操作员传输如下信息，即必须将新规则存储在数据库13中，以便可以正确地处理该诊断消息类型。
51.尽管在细节方面通过优选的实施例详细地阐述和说明了本发明，然而本发明不被所公开的实例限制，并且能够由本领域技术人员从其中推导出其他的变型方案，而不脱离本发明的保护范围。