通過(guò)虛擬機(jī)自省進(jìn)行安全事件檢測(cè)的制作方法
【專(zhuān)利摘要】公開(kāi)了用于通過(guò)虛擬機(jī)自省進(jìn)行安全事件檢測(cè)的方法和裝置。示例性方法包括由監(jiān)控代理監(jiān)控在計(jì)算設(shè)備上執(zhí)行的第一虛擬機(jī)對(duì)多個(gè)資源的使用���,在計(jì)算設(shè)備上執(zhí)行的監(jiān)控代理與第一虛擬機(jī)分離����。示例性方法進(jìn)一步包括通過(guò)將多個(gè)資源的使用與資源使用模式相比較來(lái)檢測(cè)潛在安全事件����。示例性方法進(jìn)一步包括為檢測(cè)到的潛在安全事件分配嚴(yán)重性級(jí)別�,以及啟動(dòng)為分配的嚴(yán)重性級(jí)別定義的安全措施���。
【專(zhuān)利說(shuō)明】
通過(guò)虛擬機(jī)自省進(jìn)行安全事件檢測(cè)
技術(shù)領(lǐng)域
[0001] 本公開(kāi)內(nèi)容總體上涉及過(guò)程控制系統(tǒng),具體而言�,涉及用于通過(guò)虛擬機(jī)自省進(jìn)行 安全事件檢測(cè)的方法和裝置。
【背景技術(shù)】
[0002] 如在化工�����、石油或其它過(guò)程中使用的過(guò)程控制系統(tǒng)通常包括一個(gè)或多個(gè)過(guò)程控制 器���,該一個(gè)或多個(gè)過(guò)程控制器經(jīng)由模擬�、數(shù)字或組合的模擬/數(shù)字總線來(lái)通信地耦合到至少 一個(gè)主機(jī)或操作者工作站以及一個(gè)或多個(gè)現(xiàn)場(chǎng)設(shè)備?,F(xiàn)場(chǎng)設(shè)備(其例如可以是設(shè)備控制器、 閥�、閥定位器、開(kāi)關(guān)和傳送器(例如溫度�、壓力和流速傳感器))在過(guò)程控制系統(tǒng)中執(zhí)行功能, 例如打開(kāi)或關(guān)閉閥以及測(cè)量過(guò)程參數(shù)�����。過(guò)程控制器接收指示由現(xiàn)場(chǎng)設(shè)備進(jìn)行的過(guò)程測(cè)量 和/或關(guān)于現(xiàn)場(chǎng)設(shè)備的其它信息的信號(hào)���,使用該信息來(lái)實(shí)現(xiàn)控制例程����,隨后生成控制信號(hào), 控制信號(hào)通過(guò)總線或其它通信線路被發(fā)送到現(xiàn)場(chǎng)設(shè)備以控制過(guò)程控制系統(tǒng)的操作��。
【發(fā)明內(nèi)容】
[0003] 在過(guò)程控制系統(tǒng)的計(jì)算設(shè)備中的安全事件檢測(cè)的示例性公開(kāi)的方法包括:由監(jiān)控 代理監(jiān)控在計(jì)算設(shè)備上執(zhí)行的第一虛擬機(jī)對(duì)多個(gè)資源的使用�����,在所述計(jì)算設(shè)備上執(zhí)行的所 述監(jiān)控代理與所述第一虛擬機(jī)分離��。示例性公開(kāi)的方法還包括:通過(guò)將對(duì)所述多個(gè)資源的 所述使用與資源使用模式相比較來(lái)檢測(cè)潛在安全事件�。示例性公開(kāi)的方法還包括:向所檢 測(cè)到的潛在安全事件分配嚴(yán)重性級(jí)別,以及基于所分配的嚴(yán)重性級(jí)別來(lái)啟動(dòng)安全措施���。
[0004] 示例性公開(kāi)的裝置包括:資源監(jiān)控器�,其用于經(jīng)由處理器來(lái)進(jìn)行以下操作:監(jiān)控在 計(jì)算設(shè)備上執(zhí)行的第一虛擬機(jī)對(duì)多個(gè)資源的使用����,所述資源監(jiān)控器與所述第一虛擬機(jī)分 離;以及通過(guò)將對(duì)所述多個(gè)資源的所述使用與資源使用模式相比較來(lái)檢測(cè)潛在安全事件���。 示例性公開(kāi)的裝置還包括:安全事件處理機(jī)���,其用于進(jìn)行以下操作:向所檢測(cè)到的潛在安全 事件分配嚴(yán)重性級(jí)別����,以及啟動(dòng)針對(duì)所分配的嚴(yán)重性級(jí)別而定義的安全措施�����。
[0005] 示例性公開(kāi)的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)包括指令��,所述指令在被執(zhí)行時(shí)�,使得 監(jiān)控代理監(jiān)控在計(jì)算設(shè)備上執(zhí)行的第一虛擬機(jī)對(duì)多個(gè)資源的使用�����,在所述計(jì)算設(shè)備上執(zhí)行 的所述監(jiān)控代理與所述第一虛擬機(jī)分離����。示例性公開(kāi)的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)還包括 指令,所述指令在被執(zhí)行時(shí)���,使得機(jī)器通過(guò)將對(duì)所述多個(gè)資源的所述使用與資源使用模式 相比較來(lái)檢測(cè)潛在安全事件��。示例性公開(kāi)的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)還包括指令���,所述 指令在被執(zhí)行時(shí)��,使得機(jī)器進(jìn)行以下操作:向所檢測(cè)到的潛在安全事件分配嚴(yán)重性級(jí)別�����,以 及啟動(dòng)針對(duì)所分配的嚴(yán)重性級(jí)別而定義的安全措施����。
【附圖說(shuō)明】
[0006] 圖1示出了示例性過(guò)程控制系統(tǒng)�。
[0007] 圖2示出了用以在執(zhí)行過(guò)程控制應(yīng)用的虛擬機(jī)上檢測(cè)安全事件的示例性系統(tǒng)。
[0008] 圖3示出了用以檢測(cè)安全事件的���、圖2的示例性監(jiān)控代理的示例性實(shí)現(xiàn)方式����。
[0009]圖4示出了示例性界面����,其用于定義由用以檢測(cè)安全事件的、圖2和圖3的示例性監(jiān) 控代理所使用的安全事件模式�����。
[0010]圖5示出了示例性界面,其用于定義圖2和圖3的示例性監(jiān)控代理對(duì)安全事件的檢 測(cè)做出響應(yīng)的措施�。
[0011] 圖6是表示可以被執(zhí)行以實(shí)現(xiàn)用以檢測(cè)安全事件的、圖2和圖3的監(jiān)控代理的示例 性方法的流程圖�。
[0012] 圖7是表示可以被執(zhí)行以實(shí)現(xiàn)用以檢測(cè)安全事件的、圖2和圖3的監(jiān)控代理的示例 性方法的流程圖����。
[0013] 圖8是示例性處理器系統(tǒng)的框圖,其被構(gòu)造為執(zhí)行機(jī)器可讀指令以執(zhí)行由圖6和/ 或圖7所表示的方法來(lái)實(shí)現(xiàn)圖2和圖3的示例性監(jiān)控代理����。
【具體實(shí)施方式】
[0014] 本公開(kāi)內(nèi)容總體上涉及過(guò)程控制系統(tǒng)��,具體而言�����,涉及用于通過(guò)虛擬機(jī)自省進(jìn)行 安全事件檢測(cè)的方法和裝置���。過(guò)程控制系統(tǒng)包括工作站和/或服務(wù)器����,工作站和/或服務(wù)器 執(zhí)行與用于執(zhí)行例程、控制策略和/或算法的控制器(其管理位于控制系統(tǒng)中的現(xiàn)場(chǎng)設(shè)備) 交互的過(guò)程控制應(yīng)用?��,F(xiàn)場(chǎng)設(shè)備例如可以是閥���、閥定位器、開(kāi)關(guān)和傳送器����,并且可以執(zhí)行過(guò) 程控制功能,例如打開(kāi)或關(guān)閉閥以及測(cè)量過(guò)程控制參數(shù)����。除了管理現(xiàn)場(chǎng)設(shè)備以外,控制器還 可以基于從現(xiàn)場(chǎng)設(shè)備接收的信息來(lái)生成過(guò)程數(shù)據(jù)(例如過(guò)程控制信息)����。過(guò)程數(shù)據(jù)可以包括 過(guò)程統(tǒng)計(jì)、告警����、監(jiān)控信息、過(guò)程趨勢(shì)信息�����、診斷信息、現(xiàn)場(chǎng)設(shè)備狀態(tài)信息和/或來(lái)自現(xiàn)場(chǎng)設(shè) 備的消息���。
[0015] 過(guò)程控制系統(tǒng)常常依賴于安全實(shí)用工具�����,例如反病毒軟件�����、應(yīng)用白名單���、軟件防火 墻和/或操作系統(tǒng)安全機(jī)制,用以保護(hù)在過(guò)程控制系統(tǒng)中所涉及的工作站和/或服務(wù)器免于 惡意攻擊�����。但是���,可以繞過(guò)這種安全實(shí)用工具。現(xiàn)代惡意軟件能夠禁用或躲避反病毒實(shí)用工 具���,并將自身插入到活躍運(yùn)行的過(guò)程中�。例如,惡意軟件可以安裝root kit(例如影響操作 系統(tǒng)內(nèi)核的惡意軟件)和boot kit(例如影響計(jì)算機(jī)的引導(dǎo)過(guò)程的惡意軟件)�。通常,root kit和boot kit在安全實(shí)用工具前有效地隱藏其活動(dòng)和加載�����。這允許惡意軟件建立自身并 保留在受危害的計(jì)算機(jī)上���,而不被檢測(cè)到�����。在一些示例中����,惡意軟件可以建立到受危害系統(tǒng) 的后門(mén)���,允許攻擊者繞過(guò)普通安全實(shí)用工具和認(rèn)證證書(shū)(例如用戶名和密碼�����、認(rèn)證碼等)���。在 一些示例中��,惡意軟件可以處于潛伏和未被檢測(cè)到�,直到攻擊者準(zhǔn)備使用惡意軟件來(lái)完成 更大的目的���。
[0016] 如下所公開(kāi)的�����,在虛擬化環(huán)境(例如虛擬機(jī)�����、容器等)中執(zhí)行過(guò)程控制應(yīng)用����。在虛擬 化環(huán)境中�,管理器(例如監(jiān)管器、容器守護(hù)進(jìn)程(daemon)等)管理虛擬化環(huán)境(例如部署�����、終 止�����、監(jiān)控等)���,并且允許多個(gè)虛擬化環(huán)境實(shí)例在相同的物理硬件上執(zhí)行�����。另外���,管理器將虛擬 化環(huán)境與物理硬件隔離。管理器創(chuàng)建虛擬硬件(例如虛擬處理器�、虛擬存儲(chǔ)器、虛擬儲(chǔ)存設(shè) 備等)��,并調(diào)節(jié)對(duì)這些虛擬資源的訪問(wèn)��。管理器允許虛擬化環(huán)境的活動(dòng)的可見(jiàn)性���。例如����,管理 器可以有權(quán)使用虛擬化環(huán)境中的存儲(chǔ)器���、儲(chǔ)存盤(pán)���、網(wǎng)絡(luò)和外設(shè)硬件(例如通用串行總線 (USB)驅(qū)動(dòng)器���、CD/DVD驅(qū)動(dòng)器等)等。虛擬化環(huán)境執(zhí)行客戶操作系統(tǒng)(0S)���,該客戶0S使用虛擬 資源����?��?蛻?S如同它本來(lái)就安裝好地執(zhí)行(例如可以直接訪問(wèn)物理硬件)����。安裝在客戶0S中 的惡意軟件可以禁用在相同虛擬化環(huán)境中執(zhí)行的安全實(shí)用工具�����。但在這種配置中����,惡意軟 件不能影響在不同虛擬化環(huán)境中執(zhí)行的管理器和過(guò)程控制應(yīng)用��。
[0017] 為了檢測(cè)被編程以掩蓋其活動(dòng)的惡意軟件,由管理器部署了監(jiān)控代理���。如下所公 開(kāi)的����,監(jiān)控代理與監(jiān)控代理所監(jiān)控的虛擬化環(huán)境分離���。例如�,監(jiān)控代理在與被監(jiān)控的虛擬機(jī) 或容器不同的虛擬機(jī)�����、容器和物理機(jī)中執(zhí)行���。監(jiān)控代理監(jiān)控一個(gè)或多個(gè)虛擬化環(huán)境的活動(dòng)�。 以此方式����,在虛擬化環(huán)境中的惡意軟件不能影響監(jiān)控代理。在一些示例中��,監(jiān)控代理被并入 到管理器中。
[0018] 在下述的一些示例中�����,監(jiān)控代理使用自省來(lái)監(jiān)控虛擬化環(huán)境���。通常�����,由于虛擬化環(huán) 境與在主機(jī)上執(zhí)行的其它過(guò)程隔離���,與虛擬資源的使用有關(guān)的信息不可用于其它過(guò)程。自 省是一種過(guò)程�,其中,準(zhǔn)予在虛擬化環(huán)境外部的應(yīng)用(例如監(jiān)控代理)有權(quán)檢查管理器對(duì)虛 擬資源的使用�����。自省允許監(jiān)控代理分析客戶0S和/或由客戶0S所執(zhí)行的過(guò)程控制應(yīng)用的狀 態(tài)(例如存儲(chǔ)器值���、處理器寄存器等)��。通過(guò)自省�,監(jiān)控代理監(jiān)控對(duì)虛擬化環(huán)境的資源使用。 例如���,監(jiān)控代理可以監(jiān)控存儲(chǔ)器使用、儲(chǔ)存盤(pán)使用���、網(wǎng)絡(luò)使用和外設(shè)硬件使用等���。
[0019] 監(jiān)控代理將資源使用與安全事件模式相比較。安全事件模式定義了由客戶0S對(duì)資 源的使用�,該資源的使用指示惡意軟件安裝在虛擬化環(huán)境中的可能性。例如�,安全事件模式 可以被定義為檢測(cè)網(wǎng)絡(luò)使用,該網(wǎng)絡(luò)使用指示已中毒的地址解析協(xié)議(ARP)表��。在這種場(chǎng)景 下�,ARP表是計(jì)算機(jī)在網(wǎng)絡(luò)上的地址的短期存儲(chǔ)器。通過(guò)使ARP表中毒�����,惡意軟件例如可以將 假地址設(shè)置在計(jì)算機(jī)的ARP表上以便于在網(wǎng)絡(luò)上的中間人攻擊��。用以檢測(cè)中毒的ARP表的示 例性安全事件模式可以包括:檢測(cè)以與先前值不同的介質(zhì)訪問(wèn)控制(MAC)地址到互聯(lián)網(wǎng)協(xié) 議(IP)地址映射發(fā)送的以太網(wǎng)幀���。
[0020] 如下所述�����,安全事件模式與不同嚴(yán)重性級(jí)別相關(guān)聯(lián)��。嚴(yán)重性級(jí)別可以是名稱或數(shù) 值���,其指示惡意軟件已安裝在虛擬化環(huán)境中的可能性和/或所檢測(cè)到的惡意軟件的危害����。例 如�����,安全事件模式可以與高���、中等和/或低嚴(yán)重性相關(guān)聯(lián)���。例如,由于未授權(quán)USB設(shè)備可以是 惡意軟件的來(lái)源�����,檢測(cè)到USB設(shè)備的插入的安全事件模式可以與低嚴(yán)重性級(jí)別相關(guān)聯(lián)。舉另 一個(gè)示例��,檢測(cè)到通過(guò)網(wǎng)絡(luò)連接到虛擬化環(huán)境的大量嘗試的安全事件模式可以與中等嚴(yán)重 性級(jí)別相關(guān)聯(lián)���。舉另一個(gè)示例�,檢測(cè)到特定存儲(chǔ)器值與虛擬化環(huán)境的初始實(shí)例化不同的安 全事件模式可以與高嚴(yán)重性級(jí)別相關(guān)聯(lián)���。
[0021] 如下所述,監(jiān)控代理可以基于檢測(cè)到的安全事件模式的嚴(yán)重性來(lái)啟動(dòng)一個(gè)或多個(gè) 措施��。例如��,對(duì)于低嚴(yán)重性安全事件模式����,監(jiān)控代理可以使得在工作站顯示告警和/或?qū)⒏?警消息發(fā)送到管理員。舉另一個(gè)示例����,對(duì)于中等嚴(yán)重性安全事件模式,監(jiān)控代理可以使得虛 擬化環(huán)境進(jìn)入只讀模式(例如過(guò)程控制應(yīng)用僅能夠讀取現(xiàn)場(chǎng)設(shè)備的狀態(tài)��,但不能向現(xiàn)場(chǎng)設(shè) 備發(fā)出命令)�����。舉另一個(gè)示例,對(duì)于高嚴(yán)重性安全事件模式����,監(jiān)控代理可以使得部署替換的 虛擬化環(huán)境并使得受影響的虛擬化環(huán)境終止。
[0022] 如下所述��,在一些示例中���,監(jiān)控代理向虛擬化環(huán)境分配完整性級(jí)別(例如信任級(jí) 別)����。完整性級(jí)別表示虛擬化環(huán)境已經(jīng)受危害的可能性��。當(dāng)監(jiān)控代理檢測(cè)到安全事件模式 時(shí)����,監(jiān)控代理根據(jù)與安全事件模式相關(guān)聯(lián)的嚴(yán)重性來(lái)調(diào)整完整性級(jí)別。例如��,在初始部署虛 擬化環(huán)境時(shí)��,監(jiān)控代理可以向虛擬化環(huán)境分配1〇〇的完整性級(jí)別��。在這個(gè)示例中,在檢測(cè)到 低級(jí)別安全事件模式時(shí)����,監(jiān)控代理可以將完整性級(jí)別減小設(shè)定量(例如1、5�����、10等)����。在一些 示例中���,檢測(cè)到的安全事件模式的影響隨時(shí)間衰減�����。例如����,監(jiān)控代理可以在檢測(cè)到低嚴(yán)重性 安全事件模式后的24小時(shí)后�,去除對(duì)低嚴(yán)重性安全事件模式的完整性級(jí)別的影響。在一些 示例中�����,管理員設(shè)定一個(gè)或多個(gè)完整性級(jí)別閾值,并定義用于監(jiān)控代理響應(yīng)于滿足完整性 級(jí)別閾值的完整性級(jí)別而執(zhí)行的安全措施�。例如,在100中的完整性級(jí)別閾值75,監(jiān)控代理 可以向管理員發(fā)送告警����。舉另一個(gè)示例,在100中的完整性級(jí)別閾值50,監(jiān)控代理可以設(shè)置 虛擬化環(huán)境以使得在虛擬化環(huán)境中執(zhí)行的應(yīng)用僅能夠讀取現(xiàn)場(chǎng)設(shè)備的狀況�����,但不能向現(xiàn)場(chǎng) 設(shè)備或外部計(jì)算機(jī)發(fā)送命令���。舉另一個(gè)示例�����,在100中的完整性級(jí)別閾值25,監(jiān)控代理可以 使得部署替換的虛擬化環(huán)境并使得受影響的虛擬化環(huán)境終止���。
[0023] 如下所述,管理員基于例如存儲(chǔ)器使用���、儲(chǔ)存盤(pán)使用�����、網(wǎng)絡(luò)使用和硬件使用來(lái)定義 安全事件模式�����。示例性存儲(chǔ)器使用包括從易失性和非易失性存儲(chǔ)器讀取和/或向其寫(xiě)入�、存 儲(chǔ)在存儲(chǔ)器中的值、和/或與到存儲(chǔ)器的訪問(wèn)有關(guān)的功能的使用(例如存儲(chǔ)器分配����、存儲(chǔ)器 清零等)。示例性儲(chǔ)存盤(pán)使用包括對(duì)儲(chǔ)存盤(pán)讀和寫(xiě)�����、存儲(chǔ)在儲(chǔ)存盤(pán)上的值(例如主引導(dǎo)記錄�、 注冊(cè)表文件等)�����、以及與到存儲(chǔ)器的訪問(wèn)有關(guān)的功能的使用(例如目錄管理���、卷管理等)�����。示 例性網(wǎng)絡(luò)使用包括通過(guò)網(wǎng)絡(luò)連接發(fā)送和接收的消息����、連接嘗試等。示例性硬件使用包括處 理器使用����、硬件中斷、外設(shè)硬件的檢測(cè)��、鍵盤(pán)輸入等�。在一些示例中,管理員定義用于監(jiān)控代 理響應(yīng)于檢測(cè)到安全事件模式而執(zhí)行的措施�����。另外���,在一些示例中���,管理員定義檢測(cè)到安全 事件模式對(duì)虛擬化環(huán)境的完整性級(jí)別的影響。
[0024] 圖1示出了結(jié)合本文所述的安全事件檢測(cè)系統(tǒng)使用的示例性過(guò)程控制系統(tǒng)100。示 例性系統(tǒng)100使用工廠過(guò)程控制架構(gòu)�����,該架構(gòu)集成了一個(gè)或多個(gè)智能化工廠能力�����,包括現(xiàn)場(chǎng) 總線102 (例如HAR.T?和/或FOUNDATION?現(xiàn)場(chǎng)總線)��、高速分立總線���、嵌入式高級(jí)控制和 高級(jí)單元和批量管理?����,F(xiàn)場(chǎng)總線網(wǎng)絡(luò)現(xiàn)場(chǎng)設(shè)備104位于過(guò)程控制系統(tǒng)100內(nèi)��,并為各種應(yīng)用 (包括設(shè)備管理����、配置�、監(jiān)控和診斷等)提供基礎(chǔ)結(jié)構(gòu)�。
[0025] 示例性過(guò)程控制系統(tǒng)100包括示例性現(xiàn)場(chǎng)設(shè)備104、示例性控制器106、示例性I/O 設(shè)備108���、示例性工作站110和示例性服務(wù)器112���。示例性現(xiàn)場(chǎng)設(shè)備104控制和/或監(jiān)控過(guò)程, 并且可以例如包括閥����、傳感器、接近開(kāi)關(guān)����、電機(jī)起動(dòng)器、驅(qū)動(dòng)器等����。在所示出的示例中,現(xiàn)場(chǎng) 設(shè)備104經(jīng)由現(xiàn)場(chǎng)總線102通信地耦合到I/O設(shè)備108�。示例性I/O設(shè)備108有助于與示例性現(xiàn) 場(chǎng)設(shè)備104的通信。示例性I/O設(shè)備108支持各種模塊與各種現(xiàn)場(chǎng)設(shè)備104通信(例如經(jīng)由數(shù) 字和/或模擬通信)�。例如,I/O設(shè)備108可以具有與三線式溫度傳感器連接的模擬模塊和與 數(shù)字閥控制器連接的數(shù)字模塊��。示例性I/O設(shè)備108從現(xiàn)場(chǎng)設(shè)備104接收數(shù)據(jù)����,并且將該數(shù)據(jù) 轉(zhuǎn)換為能夠由示例性控制器106處理的通信�����。另外�����,示例性I/O設(shè)備108將來(lái)自示例性控制器 106的數(shù)據(jù)和/或通信轉(zhuǎn)換為能夠由現(xiàn)場(chǎng)設(shè)備104處理的格式�。在一些示例中�����,I/O設(shè)備108和 控制器106被組合到一個(gè)單元中���。
[0026]示例性控制器106經(jīng)由有線或無(wú)線網(wǎng)絡(luò)(例如LAN���、WAN、互聯(lián)網(wǎng)等)耦合到工作站 110和/或服務(wù)器112�����。示例性控制器106控制例程以基于來(lái)自現(xiàn)場(chǎng)設(shè)備104的輸出來(lái)計(jì)算過(guò) 程數(shù)據(jù)���,以用于過(guò)程控制應(yīng)用��,例如包括監(jiān)控應(yīng)用����、告警管理應(yīng)用�、過(guò)程趨勢(shì)和/或歷史應(yīng) 用、診斷應(yīng)用����、批量處理和/或商業(yè)活動(dòng)管理應(yīng)用、統(tǒng)計(jì)應(yīng)用���、流媒體視頻應(yīng)用����、高級(jí)控制應(yīng) 用�、安全儀表應(yīng)用、事件應(yīng)用等�����?�?刂破?06以周期性間隔和/或在處理或生成過(guò)程數(shù)據(jù)后將 過(guò)程數(shù)據(jù)轉(zhuǎn)發(fā)到工作站110和/或服務(wù)器112。由控制器106發(fā)送的過(guò)程數(shù)據(jù)可以包括過(guò)程控 制值�����、數(shù)據(jù)值���、告警信息��、文本���、塊模式元件狀態(tài)信息、診斷信息��、錯(cuò)誤消息�����、參數(shù)��、事件和/或 設(shè)備標(biāo)識(shí)符�����。
[0027]在圖1所示出的示例中�����,工作站110和/或服務(wù)器112執(zhí)行過(guò)程控制應(yīng)用。過(guò)程控制 應(yīng)用與示例性控制器106通信以監(jiān)控����、控制和/或診斷現(xiàn)場(chǎng)設(shè)備104�。例如,過(guò)程控制應(yīng)用可 以包括控制自動(dòng)化�、過(guò)程控制系統(tǒng)100的圖形表示、改變管理��、過(guò)程控制編輯���、數(shù)據(jù)收集���、數(shù) 據(jù)分析等。在一些示例中��,工作站110經(jīng)由用戶界面顯示過(guò)程控制應(yīng)用����,以便以圖形格式呈 現(xiàn)過(guò)程數(shù)據(jù),使得工作站110的用戶能夠圖形化查看(經(jīng)由應(yīng)用)由現(xiàn)場(chǎng)設(shè)備104生成的過(guò)程 數(shù)據(jù)�。在一些示例中�����,當(dāng)在服務(wù)器112上執(zhí)行過(guò)程控制應(yīng)用時(shí)���,操作者可以建立從工作站(例 如工作站110)到服務(wù)器112的遠(yuǎn)程連接來(lái)訪問(wèn)過(guò)程控制應(yīng)用。
[0028] 在一些示例中��,為了改進(jìn)安全性和可擴(kuò)展性����,過(guò)程控制應(yīng)用可以由工作站110和/ 或服務(wù)器112上的虛擬化環(huán)境(例如虛擬機(jī)、容器等)中的客戶操作系統(tǒng)(0S)執(zhí)行��。如以下進(jìn) 一步詳細(xì)公開(kāi)的��,虛擬化環(huán)境將由客戶0S執(zhí)行的過(guò)程控制應(yīng)用與工作站110和/或服務(wù)器 112的物理硬件隔離���。在虛擬化環(huán)境中執(zhí)行過(guò)程控制應(yīng)用還允許過(guò)程控制應(yīng)用彼此隔離��。例 如�,如果一個(gè)過(guò)程控制應(yīng)用受到危害(例如具有安全事件)����,在不同虛擬化環(huán)境中的相同工 作站110和/或服務(wù)器112上執(zhí)行的其它過(guò)程控制應(yīng)用保持不受影響���。
[0029]圖2示出了用以在具有過(guò)程控制應(yīng)用204的虛擬機(jī)202上檢測(cè)安全事件的示例性系 統(tǒng)200。在所示出的示例中��,系統(tǒng)200在主機(jī)206(例如圖1的工作站110���、服務(wù)器112、控制器 108�、I/O設(shè)備108等)上執(zhí)行。主機(jī)206包括物理硬件208 (例如處理器�、存儲(chǔ)器、儲(chǔ)存設(shè)備�����、外 圍設(shè)備�、網(wǎng)絡(luò)訪問(wèn)等)和監(jiān)管器210。示例性監(jiān)管器210管理物理硬件208,并創(chuàng)建虛擬硬件 (例如虛擬處理器�����、虛擬存儲(chǔ)器��、虛擬儲(chǔ)存設(shè)備等)�,該虛擬硬件允許多個(gè)虛擬機(jī)202在主機(jī) 206上執(zhí)行�。示例性監(jiān)管器210將示例性虛擬機(jī)202隔離并控制對(duì)示例性物理硬件208的訪 問(wèn)�����。以此方式����,如果檢測(cè)到危害在虛擬機(jī)202上執(zhí)行的客戶0S 212(例如WilldoWS?、 Linux��、UNIX等)的安全事件�����,則可以保護(hù)其它虛擬機(jī)和/或物理資源208����。
[0030] 在所示出的示例中,監(jiān)控代理214在系統(tǒng)200中運(yùn)行����。示例性監(jiān)控代理214被構(gòu)造為 檢測(cè)安全事件模式。安全事件模式是存儲(chǔ)器使用216���、儲(chǔ)存盤(pán)使用218�����、網(wǎng)絡(luò)使用220和/或硬 件使用222的模式����,其指示惡意軟件存在于客戶0S 212上的可能性。示例性監(jiān)控代理214與 示例性虛擬機(jī)202分離��,以使得存在于示例性客戶0S 212上的惡意軟件不能影響監(jiān)控代理 214����。例如���,監(jiān)控代理214可以在與過(guò)程控制應(yīng)用204不同的虛擬機(jī)或不同的容器中執(zhí)行��。在 一些示例中��,監(jiān)控代理214集成到監(jiān)管器210中�����。
[0031]示例性監(jiān)控代理214包括自省功能��,該自省功能有助于實(shí)現(xiàn)對(duì)虛擬機(jī)202的存儲(chǔ)器 使用216�����、儲(chǔ)存盤(pán)使用218���、網(wǎng)絡(luò)使用220和/或硬件使用222的實(shí)時(shí)訪問(wèn)�����。自省功能允許監(jiān)控 代理214從監(jiān)管器210請(qǐng)求與虛擬機(jī)202有關(guān)的信息���。由于監(jiān)管器210創(chuàng)建和/或維護(hù)虛擬資 源,自省功能允許監(jiān)控代理214將虛擬資源與物理資源208相關(guān)聯(lián),以使得監(jiān)控代理214可以 檢查由虛擬機(jī)202使用的物理資源的內(nèi)容和使用���。例如,監(jiān)管器210可以維護(hù)虛擬存儲(chǔ)器頁(yè) 表�,其將虛擬存儲(chǔ)器映射到物理存儲(chǔ)器。在這個(gè)示例中��,當(dāng)監(jiān)控代理214監(jiān)控由虛擬機(jī)202使 用的虛擬存儲(chǔ)器時(shí)�����,自省功能允許監(jiān)控代理214訪問(wèn)虛擬存儲(chǔ)器頁(yè)表以獲知物理存儲(chǔ)器中 由虛擬機(jī)202使用的位置。
[0032]在圖2所示出的示例中���,監(jiān)控代理214實(shí)時(shí)(例如在資源使用216 - 222發(fā)生的幾秒 內(nèi)對(duì)其監(jiān)控)監(jiān)控存儲(chǔ)器使用216����、儲(chǔ)存盤(pán)使用218���、網(wǎng)絡(luò)使用220和/或硬件使用222,以檢測(cè) 安全事件模式(其導(dǎo)致對(duì)惡意軟件已安裝在虛擬機(jī)202上的推斷)��。例如��,資源監(jiān)控器214可 以在對(duì)儲(chǔ)存盤(pán)上的主引導(dǎo)記錄的改變發(fā)生不久之后檢測(cè)該改變��。在一些示例中���,監(jiān)控代理 214檢測(cè)離散事件���。例如�����,監(jiān)控代理214可以檢測(cè)何時(shí)特定存儲(chǔ)器值改變��。在一些示例中�����,監(jiān) 控代理214檢測(cè)連續(xù)事件���。例如��,監(jiān)控代理214可以監(jiān)控以太網(wǎng)幀����,以檢測(cè)ARP表的中毒(例如 檢測(cè)具有與先前值不同的介質(zhì)訪問(wèn)控制(MAC)地址到網(wǎng)際協(xié)議(IP)地址映射的以太網(wǎng)幀)���。 [0033] 在一些示例中�����,監(jiān)控代理214與管理員通信��,以警告管理員注意何時(shí)檢測(cè)到安全事 件模式和/或傳送特定虛擬機(jī)202的完整性級(jí)別���。在一些示例中,監(jiān)控代理214與監(jiān)管器210 通信�����,以啟動(dòng)對(duì)檢測(cè)到的安全事件模式的響應(yīng)。例如���,響應(yīng)于特定的安全事件模式����,監(jiān)控代 理214可以命令監(jiān)管器210僅允許到受影響虛擬機(jī)202的輸入網(wǎng)絡(luò)流量�����,以使得在虛擬機(jī)202 上執(zhí)行的過(guò)程控制應(yīng)用204可以從現(xiàn)場(chǎng)設(shè)備104接收狀態(tài)更新�,但過(guò)程控制應(yīng)用204不能向 現(xiàn)場(chǎng)設(shè)備104發(fā)出命令或與其它工作站和/或服務(wù)器通信。
[0034] 在一些示例中��,監(jiān)控代理214時(shí)常(例如周期性��、非周期性等)地使得對(duì)虛擬機(jī)202 獲取快照���?���?煺帐翘摂M機(jī)202在特定時(shí)間的狀態(tài)(例如盤(pán)數(shù)據(jù)�、存儲(chǔ)器值、配置等)的副本�����?����??照可以用于在將來(lái)的時(shí)間使虛擬機(jī)202返回到所捕獲的狀態(tài)�����。在一些示例中���,可以(例如由 管理員)對(duì)快照進(jìn)行時(shí)間安排��。在一些此類(lèi)示例中����,如果已檢測(cè)到特定嚴(yán)重性(例如中等嚴(yán) 重性�����、高嚴(yán)重性等)的安全事件模式和/或如果虛擬機(jī)202的完整性級(jí)別低于特定閾值���,則監(jiān) 控代理214就可以取消或延遲快照���。在一些示例中��,如果完整性級(jí)別高于閾值�����,則監(jiān)控代理 214可以使得獲取快照�。
[0035]在一些示例中�����,響應(yīng)于檢測(cè)到嚴(yán)重安全事件模式和/或如果虛擬機(jī)202的完整性級(jí) 別低于閾值����,監(jiān)控代理214可以使得由監(jiān)管器210部署新的虛擬機(jī)202。在一些示例中�����,新的 虛擬機(jī)202基于客戶0S 204的干凈安裝��。在一些示例中,新的虛擬機(jī)202基于虛擬機(jī)202在檢 測(cè)到安全事件前的快照���。在一些此類(lèi)示例中,將功能(例如與現(xiàn)場(chǎng)設(shè)備104通信���、通信顯示設(shè) 備等)迀移到新的虛擬機(jī)202�。在一些示例中����,在新的虛擬機(jī)202與現(xiàn)場(chǎng)設(shè)備104相通信后,監(jiān) 控代理214使得終止受危害的虛擬機(jī)202���。
[0036]圖3示出了用以檢測(cè)安全事件的����、圖2的示例性監(jiān)控代理214的示例性實(shí)現(xiàn)方式���。在 所示出的示例中����,監(jiān)控代理214包括資源監(jiān)控器300�����、安全事件處理機(jī)302、安全事件模式管 理器304�����、和安全事件模式數(shù)據(jù)庫(kù)306��。示例性資源監(jiān)控器300監(jiān)控虛擬機(jī)202的存儲(chǔ)器使用 216����、儲(chǔ)存盤(pán)使用218、網(wǎng)絡(luò)使用220和/或硬件使用222�。在所示出的示例中,資源監(jiān)控器300 隨著虛擬機(jī)202使用資源216 - 222而監(jiān)控資源使用����。示例性資源監(jiān)控器300從安全事件模式 數(shù)據(jù)庫(kù)306取回安全事件模式,以確定監(jiān)控資源使用216 - 222的哪些方面��。例如�,如果安全 事件模式被定義為監(jiān)控ARP表,則資源監(jiān)控器300監(jiān)控網(wǎng)絡(luò)使用220,以便檢測(cè)以與先前值不 同的介質(zhì)訪問(wèn)控制(MAC)地址到網(wǎng)際協(xié)議(IP)地址映射發(fā)送的以太網(wǎng)幀(例如指示ARP表已 中毒)��。如果資源使用216 - 222滿足安全事件模式�����,則示例性資源監(jiān)控器300向示例性安全 事件處理機(jī)302告知所檢測(cè)到的安全事件。
[0037]在所示出的示例中����,安全事件處理機(jī)302被構(gòu)造為響應(yīng)于資源監(jiān)控器300檢測(cè)到安 全事件模式而執(zhí)行安全措施����。安全措施是用于監(jiān)控代理214執(zhí)行如在安全事件模式中所定 義的和/或如由所檢測(cè)到的安全事件模式的嚴(yán)重性級(jí)別所定義的措施。在一些示例中���,安全 措施由管理員308在定義安全事件模式和/或嚴(yán)重性級(jí)別時(shí)定義�����。在所示出的示例中�����,安全 事件處理機(jī)302與管理員308相通信�。在一些示例中�����,安全事件處理機(jī)302向管理員308發(fā)送 通知。在一些示例中���,通知包括與所檢測(cè)到的安全事件模式和時(shí)間戳有關(guān)的信息��。在一些示 例中����,安全事件處理機(jī)302經(jīng)由通信系統(tǒng)(例如電子郵件���、文本消息����、語(yǔ)音消息等)向管理員 308通知已檢測(cè)到安全事件模式���。
[0038]在圖3所示出的示例中�,安全事件處理機(jī)302與監(jiān)管器210相通信���。在一些示例中�����, 安全事件處理機(jī)302向監(jiān)管器210發(fā)出請(qǐng)求��,以限制虛擬機(jī)202對(duì)物理資源208的訪問(wèn)(圖2)�。 例如,安全事件處理機(jī)302可以發(fā)出請(qǐng)求以阻止對(duì)外圍設(shè)備(例如USB驅(qū)動(dòng)器�����、盤(pán)驅(qū)動(dòng)器等) 的訪問(wèn)或者阻止網(wǎng)絡(luò)設(shè)備上的輸出流量�。在一些示例中,安全事件處理機(jī)302可以請(qǐng)求部署 虛擬機(jī)202的新副本�、將與現(xiàn)場(chǎng)設(shè)備104��、控制器106和/或I/O設(shè)備108的通信迀移到新的虛 擬機(jī)202,并終止舊的虛擬機(jī)202���。
[0039] 在一些示例中����,安全事件處理機(jī)302可以管理(例如監(jiān)控�����、調(diào)整等)虛擬機(jī)202的完 整性級(jí)別�����。完整性級(jí)別表示虛擬機(jī)202已經(jīng)受到惡意軟件的損害的可能性。在一些示例中�, 當(dāng)安全事件處理機(jī)302處理由資源監(jiān)控器300檢測(cè)到的安全事件模式時(shí),安全事件處理機(jī) 302調(diào)整虛擬機(jī)202的完整性級(jí)別��。在一些示例中�,對(duì)完整性級(jí)別的影響取決于與安全事件 模式相關(guān)聯(lián)的嚴(yán)重性。例如���,虛擬機(jī)202的完整性級(jí)別可以初始地設(shè)定為100�。在這個(gè)示例 中��,如果資源監(jiān)控器300檢測(cè)到與低嚴(yán)重性相關(guān)聯(lián)的安全事件模式��,則安全事件處理機(jī)302 可以將虛擬機(jī)202的完整性級(jí)別減小到95��。管理員308可以定義完整性級(jí)別閾值和相應(yīng)的安 全措施���。例如�����,管理員308可以設(shè)定完整性級(jí)別閾值���,以使得在虛擬機(jī)202的完整性級(jí)別下降 到75以下時(shí)��,安全事件處理機(jī)302發(fā)出告警(例如顯示告警消息���、發(fā)送消息(例如電子郵件、 尋呼�、短消息服務(wù)消息(SMS)等))。在一些示例中�����,安全事件處理機(jī)302基于所檢測(cè)到的安全 事件的嚴(yán)重性��,在一段時(shí)間后取消特定的檢測(cè)到的安全事件的影響(例如升高虛擬機(jī)202的 完整性級(jí)別)��。例如����,在24小時(shí)后可以消除低嚴(yán)重性安全事件對(duì)虛擬機(jī)202的完整性的影響�。
[0040] 在圖3所示出的示例中,安全事件管理器304管理(例如創(chuàng)建����、刪除����、修改等)安全事 件模式數(shù)據(jù)庫(kù)306中的安全事件模式�。如下結(jié)合圖4和圖5更詳細(xì)論述的�����,示例性安全事件管 理器304提供界面�,該界面允許管理員308定義安全事件模式和/或安全措施、修改現(xiàn)有安全 事件模式和/或安全措施��、和/或刪除現(xiàn)有安全事件模式和/或安全措施�����。
[0041] 盡管圖3中示出了實(shí)現(xiàn)圖2的監(jiān)控代理214的示例性方式���,但圖3中所示的一個(gè)或多 個(gè)元件���、過(guò)程和/或設(shè)備可以組合、分割����、重新布置、省略�����、去除和/或以任何其它方式來(lái)實(shí) 現(xiàn)。此外��,示例性資源監(jiān)控器300��、示例性安全事件處理機(jī)302����、示例性安全事件模式管理器 304和/或更普遍地,圖2的示例性監(jiān)控代理214可以由硬件�����、軟件��、固件和/或硬件��、軟件和/ 或固件的任意組合來(lái)實(shí)現(xiàn)�。因此����,例如,示例性資源監(jiān)控器300�、示例性安全事件處理機(jī)302����、 示例性安全事件模式管理器304和/或更普遍地�,圖2的示例性監(jiān)控代理214中的任意一個(gè)可 以由一個(gè)或多個(gè)模擬或數(shù)字電路、邏輯電路�、可編程處理器、專(zhuān)用集成電路(ASIC)��、可編程 邏輯器件(PLD)和/或現(xiàn)場(chǎng)可編程邏輯器件(FPLD)來(lái)實(shí)現(xiàn)��。在閱讀覆蓋純軟件和/或固件實(shí) 現(xiàn)方式的本發(fā)明的任意一個(gè)裝置或系統(tǒng)權(quán)利要求時(shí)�����,示例性資源監(jiān)控器300���、示例性安全事 件處理機(jī)302和/或示例性安全事件模式管理器304中的至少一個(gè)由此被明確地定義為包括 有形的計(jì)算機(jī)可讀儲(chǔ)存設(shè)備或儲(chǔ)存盤(pán)���,例如存儲(chǔ)軟件和/或固件的存儲(chǔ)器、數(shù)字多功能盤(pán) (DVD)�����、光盤(pán)(CD)、藍(lán)光盤(pán)等�。再進(jìn)一步地,除了圖3中所示的那些以外和/或代替那些����,圖2的 示例性監(jiān)控代理214可以包括一個(gè)或多個(gè)元件、過(guò)程和/或設(shè)備����,和/或可以包括多于一個(gè)的 任意或全部所示的元件、過(guò)程和設(shè)備�。
[0042] 圖4示出了示例性界面400,其可以用于定義由用以檢測(cè)安全事件的、圖2和圖3的 示例性監(jiān)控代理214所使用的安全事件模式���。在一些示例中�����,界面400由示例性安全事件管 理器304(圖3)提供���。示例性界面400用于管理(例如創(chuàng)建、刪除�、修改等)在示例性安全事件 模式數(shù)據(jù)庫(kù)306(圖3)中所存儲(chǔ)的安全事件模式。在所示出的示例中�,界面400包括示例性名 稱字段402、示例性嚴(yán)重性字段404�、示例性類(lèi)別字段405、和示例性條件字段406�����。提供示例 性名稱字段402以便于示例性管理員308(圖3)向安全事件模式分配唯一的標(biāo)識(shí)符��。提供示 例性嚴(yán)重性字段404以便于示例性管理員308分配嚴(yán)重性級(jí)別(例如高����、中等、低���、危急的���、緊 急的、嚴(yán)重的���、最小的等)��,該嚴(yán)重性級(jí)別指示惡意軟件安裝在虛擬機(jī)202 (圖2)上的可能性�����。 [0043]在所示出的示例中��,提供類(lèi)別字段405以指示與安全事件模式相關(guān)的資源的類(lèi)型���。 例如��,類(lèi)別字段405可以指示特定的安全事件模式與存儲(chǔ)器使用216(圖2)相關(guān)�。提供示例性 條件字段406以便于示例性管理員308創(chuàng)建一個(gè)或多個(gè)條件語(yǔ)句���,其定義與存儲(chǔ)器使用216��、 儲(chǔ)存盤(pán)使用218����、網(wǎng)絡(luò)使用220和/或硬件使用222(圖2)相關(guān)的哪些條件在被滿足時(shí)構(gòu)成安 全事件模式���。在一些示例中�����,條件語(yǔ)句是布爾語(yǔ)句和/或閾值�,與監(jiān)控代理通過(guò)監(jiān)控存儲(chǔ)器 使用216�、儲(chǔ)存盤(pán)使用218���、網(wǎng)絡(luò)使用220和/或硬件使用222而訪問(wèn)的性質(zhì)有關(guān)。
[0044]圖5示出了示例性界面500,其用于定義圖2和圖3的示例性監(jiān)控代理對(duì)安全事件模 式的檢測(cè)做出響應(yīng)所使用的措施����。在一些示例中�,界面500由示例性安全事件管理器304(圖 3)提供。示例性界面500用于便于管理員(例如圖3的管理員308)定義要由示例性安全事件 處理機(jī)302(圖3)響應(yīng)于資源監(jiān)控器300(圖3)檢測(cè)到安全事件模式而執(zhí)行的措施����。在所示出 的示例中,基于嚴(yán)重性來(lái)定義要由安全事件處理機(jī)302執(zhí)行的措施�。例如,響應(yīng)于檢測(cè)到中 等嚴(yán)重性安全事件模式�����,安全處理機(jī)302可以限制過(guò)程控制應(yīng)用204(圖2)向現(xiàn)場(chǎng)設(shè)備104發(fā) 出命令的能力���。在一些示例中�,由安全處理機(jī)302執(zhí)行的措施可以基于特定的安全事件模 式��。
[0045] 圖6和/或圖7中示出了表示用于實(shí)現(xiàn)圖2和圖3的示例性監(jiān)控代理214的示例性方 法的流程圖��。在該示例中,可以使用機(jī)器可讀指令來(lái)實(shí)現(xiàn)方法��,所述指令包括用于由處理器 (例如在以下結(jié)合圖8論述的示例性處理器平臺(tái)800中所示的處理器812)執(zhí)行的程序�����。程序 可以體現(xiàn)在軟件中����,軟件存儲(chǔ)在有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)上,例如CD-ROM�����、軟盤(pán)�、硬盤(pán)驅(qū) 動(dòng)器、數(shù)字多功能盤(pán)(DVD)��、藍(lán)光盤(pán)或與處理器812相關(guān)聯(lián)的存儲(chǔ)器����,但整個(gè)程序和/或其部 分可以替代地由除了處理器812以外的設(shè)備來(lái)執(zhí)行,和/或體現(xiàn)在固件或?qū)S糜布?��。此外?盡管參考圖6和/或圖7中所示的流程圖說(shuō)明了示例性程序�����,但可以替代地使用許多實(shí)現(xiàn)示 例性監(jiān)控代理214的其它方法����。例如,可以改變框執(zhí)行的順序���,和/或可以改變、去除或組合 所描述的一些框��。
[0046] 如上所述����,圖6和/或圖7的示例性方法可以使用編碼指令(例如計(jì)算機(jī)和/或機(jī)器 可讀指令)來(lái)實(shí)現(xiàn),編碼指令存儲(chǔ)在有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)上����,例如硬盤(pán)驅(qū)動(dòng)器、閃存�、 只讀存儲(chǔ)器(ROM)、壓縮盤(pán)(CD)��、數(shù)字多功能盤(pán)(DVD)�����、高速緩存器、隨機(jī)存取存儲(chǔ)器(RAM) 和/或任何其它儲(chǔ)存設(shè)備或儲(chǔ)存盤(pán)上�,在其中以任意持續(xù)時(shí)間(例如在延長(zhǎng)的時(shí)間段上、永 久地�����、短暫情況��、臨時(shí)緩沖�、和/或信息的緩存)存儲(chǔ)了信息。如本文所使用�,術(shù)語(yǔ)有形的計(jì)算 機(jī)可讀儲(chǔ)存介質(zhì)被明確地定義為包括任何類(lèi)型的計(jì)算機(jī)可讀儲(chǔ)存設(shè)備和/或儲(chǔ)存盤(pán),排除 傳播信號(hào)并排除傳輸介質(zhì)��。如本文所使用的�����,"有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)"和"有形的機(jī)器 可讀儲(chǔ)存介質(zhì)"可互換地使用�。另外或替代地,圖6和/或圖7的示例性方法可以使用編碼指 令(例如計(jì)算機(jī)和/或機(jī)器可讀指令)來(lái)實(shí)現(xiàn)���,編碼指令存儲(chǔ)在非暫時(shí)性計(jì)算機(jī)和/或機(jī)器可 讀介質(zhì)上�����,例如硬盤(pán)驅(qū)動(dòng)器�、閃存、只讀存儲(chǔ)器��、壓縮盤(pán)��、數(shù)字多功能盤(pán)���、高速緩存器、隨機(jī)存 取存儲(chǔ)器和/或任何其它儲(chǔ)存設(shè)備或儲(chǔ)存盤(pán)上����,在其中以任意持續(xù)時(shí)間(例如在延長(zhǎng)的時(shí)間 段上、永久地�����、短暫情況�����、臨時(shí)緩沖��、和/或信息的緩存)存儲(chǔ)了信息。如本文所使用的�����,術(shù)語(yǔ) 非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)被明確地定義為包括任何類(lèi)型的計(jì)算機(jī)可讀儲(chǔ)存設(shè)備和/或儲(chǔ)存 盤(pán)����,排除傳播信號(hào)并排除傳輸介質(zhì)。如本文所使用的����,當(dāng)在權(quán)利要求的前序中將短語(yǔ)"至少" 用作過(guò)渡詞時(shí),它是開(kāi)放式的���,方式與詞語(yǔ)"包括"是開(kāi)放式的相同�。
[0047]圖6是表示可以用于實(shí)現(xiàn)用以檢測(cè)并響應(yīng)安全事件的����、圖2和圖3的監(jiān)控代理的示 例性方法的流程圖。初始地��,資源監(jiān)控器300(圖3)監(jiān)控由執(zhí)行過(guò)程控制應(yīng)用204(圖2)的虛 擬機(jī)202(圖2)對(duì)資源的使用(框602)��。以下結(jié)合圖7進(jìn)一步論述在框602的監(jiān)控對(duì)資源的使 用。資源監(jiān)控器300繼續(xù)監(jiān)控資源使用���,直到已檢測(cè)到潛在安全事件(框604)�����。資源監(jiān)控器 300向所檢測(cè)到的潛在安全事件分配嚴(yán)重性級(jí)別(框606)��。在一些示例中���,基于在安全事件 模式數(shù)據(jù)庫(kù)306中所存儲(chǔ)的安全事件模式來(lái)分配嚴(yán)重性級(jí)別。安全事件處理機(jī)302(圖3)基 于所分配的嚴(yán)重性級(jí)別來(lái)啟動(dòng)安全措施(框608)����。在一些示例中,要執(zhí)行的安全措施由管理 員(圖3)預(yù)定義��。在一些示例中���,安全事件處理機(jī)302基于所檢測(cè)到的潛在安全事件的嚴(yán)重 性來(lái)調(diào)整虛擬機(jī)202的完整性級(jí)別。資源監(jiān)控器300確定是否要繼續(xù)監(jiān)控虛擬機(jī)202(框 610)�����。如果要繼續(xù)監(jiān)控虛擬機(jī)202,則資源監(jiān)控器300監(jiān)控虛擬機(jī)202所使用的資源的使用, 以檢測(cè)潛在安全事件(框602)���。否則���,如果不繼續(xù)監(jiān)控虛擬機(jī)202,則方法600結(jié)束。
[0048]圖7是表示可以被執(zhí)行以實(shí)現(xiàn)在圖6的框602的安全事件檢測(cè)的示例性方法的流程 圖����。初始地,資源監(jiān)控器300(圖3)監(jiān)控虛擬機(jī)202(圖2)的存儲(chǔ)器使用216(圖2)�,并將該使用 與安全模式相比較(框700)。資源監(jiān)控器300確定存儲(chǔ)器使用216是否匹配(例如滿足條件�����、 滿足閾值等)安全事件模式數(shù)據(jù)庫(kù)306(圖3)中的安全事件模式(框702)����。在一些示例中,將 存儲(chǔ)器使用216與安全事件模式數(shù)據(jù)庫(kù)306中與如由圖4的類(lèi)別字段405所指示的存儲(chǔ)器使 用有關(guān)的安全事件模式相比較�。如果資源監(jiān)控器300確定存儲(chǔ)器使用216匹配安全事件模 式,則資源監(jiān)控器300(例如向安全事件處理機(jī)302)指示已發(fā)生了潛在的與存儲(chǔ)器有關(guān)的安 全事件(框703)�����。
[0049]資源監(jiān)控器300監(jiān)控虛擬機(jī)202的儲(chǔ)存盤(pán)使用218(圖2)(框706)。資源監(jiān)控器300確 定儲(chǔ)存盤(pán)使用218是否匹配(例如滿足條件����、滿足閾值等)安全事件模式數(shù)據(jù)庫(kù)306中的安全 事件模式(框708)。在一些示例中����,將儲(chǔ)存盤(pán)使用218與安全事件模式數(shù)據(jù)庫(kù)306中與如由類(lèi) 別字段405所指示的儲(chǔ)存盤(pán)使用有關(guān)的安全事件模式相比較。如果資源監(jiān)控器300確定儲(chǔ)存 盤(pán)使用218匹配安全事件模式����,則資源監(jiān)控器300(例如向安全事件處理機(jī)302)指示已發(fā)生 了潛在的儲(chǔ)存盤(pán)安全事件(框709)。
[0050] 資源監(jiān)控器300監(jiān)控虛擬機(jī)202的網(wǎng)絡(luò)使用220(圖2)(框710)�。資源監(jiān)控器300確定 網(wǎng)絡(luò)使用220是否匹配(例如滿足條件、滿足閾值等)安全事件模式數(shù)據(jù)庫(kù)306中的安全事件 模式(框712)����。在一些示例中,將網(wǎng)絡(luò)使用220與安全事件模式數(shù)據(jù)庫(kù)306中與如由類(lèi)別字段 405所指示的網(wǎng)絡(luò)使用有關(guān)的安全事件模式相比較�。如果資源監(jiān)控器300確定網(wǎng)絡(luò)使用220 匹配安全事件模式,則資源監(jiān)控器300(例如向安全事件處理機(jī)302)指示已發(fā)生了潛在的與 網(wǎng)絡(luò)有關(guān)的安全事件(框713)�。
[0051]資源監(jiān)控器300監(jiān)控虛擬機(jī)202的硬件使用222(圖2)(框710)����。資源監(jiān)控器300確定 硬件使用222是否匹配(例如滿足條件、滿足閾值等)安全事件模式數(shù)據(jù)庫(kù)306中的安全事件 模式(框716)。在一些示例中��,將硬件使用222與安全事件模式數(shù)據(jù)庫(kù)306中與如由類(lèi)別字段 405所指示的硬件使用有關(guān)的安全事件模式相比較����。如果資源監(jiān)控器300確定硬件使用222 匹配安全事件模式,則資源監(jiān)控器300(例如向安全事件處理機(jī)302)指示已發(fā)生了潛在的與 硬件有關(guān)的安全事件(框717)��。方法700隨后結(jié)束�����。
[0052]圖8是示例性處理器平臺(tái)800的框圖��,其被構(gòu)造為執(zhí)行指令以實(shí)現(xiàn)圖6和/或圖7的 方法以及圖2和圖3的監(jiān)控代理214��。例如����,處理器平臺(tái)800可以是服務(wù)器、個(gè)人計(jì)算機(jī)�����、工作 站或任何其它類(lèi)型的計(jì)算設(shè)備�����。
[0053] 所示示例的處理器平臺(tái)800包括處理器812。所示示例的處理器812是硬件��。在所示 出的示例中�����,處理器812包括示例性資源監(jiān)控器300��、示例性安全事件處理機(jī)302和示例性安 全事件模式管理器306�。例如,處理器812可以由來(lái)自任何期望的系列或制造商的一個(gè)或多 個(gè)集成電路��、邏輯電路���、微處理器或控制器來(lái)實(shí)現(xiàn)�。
[0054] 所示示例的處理器812包括本地存儲(chǔ)器813(例如高速緩存器)���。所示示例的處理器 812經(jīng)由總線818與包括易失性存儲(chǔ)器814和非易失性存儲(chǔ)器816的主存儲(chǔ)器相通信�。易失性 存儲(chǔ)器814可以由同步動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(SDRAM)���、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)��、RAMBUS 動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(RDRAM)和/或任何其它類(lèi)型的隨機(jī)存取存儲(chǔ)器設(shè)備來(lái)實(shí)現(xiàn)�。非易失性 存儲(chǔ)器816可以由閃存和/或任何其它期望類(lèi)型的存儲(chǔ)器設(shè)備來(lái)實(shí)現(xiàn)���。對(duì)主存儲(chǔ)器814�、816 的訪問(wèn)可以由存儲(chǔ)器控制器來(lái)控制����。
[0055] 所示示例的處理器平臺(tái)800還包括接口電路820。接口電路820可以由任何類(lèi)型的 接口標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)�,例如以太網(wǎng)接口、通用串行總線(USB)和/或PCI高速接口���。
[0056]在所示出的示例中�,一個(gè)或多個(gè)輸入設(shè)備822連接到接口電路820�。輸入設(shè)備822允 許用戶將數(shù)據(jù)和命令輸入到處理器812中。例如輸入設(shè)備可以由音頻傳感器���、話筒��、攝像機(jī) (靜止或視頻)�����、鍵盤(pán)����、按鈕、鼠標(biāo)��、觸摸屏��、觸控板�、跟蹤球、等電點(diǎn)(isopoint)和/或語(yǔ)音識(shí) 別系統(tǒng)來(lái)實(shí)現(xiàn)�。
[0057] 一個(gè)或多個(gè)輸出設(shè)備824也連接到所示示例的接口電路820。輸出設(shè)備824例如可 以由顯示設(shè)備(例如發(fā)光二極管(LED)����、有機(jī)發(fā)光二極管(0LED)、液晶顯示器��、陰極射線管顯 示器(CRT)����、觸摸屏、觸覺(jué)輸出設(shè)備����、打印機(jī)和/或揚(yáng)聲器)來(lái)實(shí)現(xiàn)���。所示示例的接口電路820 因而典型地包括圖形驅(qū)動(dòng)卡、圖形驅(qū)動(dòng)芯片或圖形驅(qū)動(dòng)處理器���。
[0058]所示示例的接口電路820還包括通信設(shè)備,例如發(fā)射器��、接收器����、收發(fā)器、調(diào)制解調(diào) 器和/或網(wǎng)絡(luò)接口卡��,以便于經(jīng)由網(wǎng)絡(luò)826(例如以太網(wǎng)連接�、數(shù)字用戶線路(DSL)、電話線�、 同軸電纜、蜂窩電話系統(tǒng)等)與外部機(jī)器(例如任何種類(lèi)的計(jì)算設(shè)備)交換數(shù)據(jù)�����。
[0059]所示示例的處理器平臺(tái)800還包括用于存儲(chǔ)軟件和/或數(shù)據(jù)的一個(gè)或多個(gè)大容量 儲(chǔ)存設(shè)備828�����。這種大容量?jī)?chǔ)存設(shè)備828的示例包括軟盤(pán)驅(qū)動(dòng)器、硬盤(pán)驅(qū)動(dòng)器�����、壓縮盤(pán)驅(qū)動(dòng) 器�����、藍(lán)光盤(pán)驅(qū)動(dòng)器����、RAID系統(tǒng)和數(shù)字多功能盤(pán)(DVD)驅(qū)動(dòng)器。
[0060] 用以實(shí)現(xiàn)圖6和/或圖7的方法的編碼指令832可以存儲(chǔ)在大容量?jī)?chǔ)存設(shè)備828���、易 失性存儲(chǔ)器814��、非易失性存儲(chǔ)器816中和/或存儲(chǔ)在可移動(dòng)�、有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì) (例如⑶或DVD)上�。
[0061] 盡管本文公開(kāi)了某些示例性方法、裝置和制品����,但本發(fā)明的覆蓋范圍不限于此。相 反,本發(fā)明覆蓋所有正當(dāng)?shù)芈淙氡景l(fā)明的權(quán)利要求書(shū)的范圍內(nèi)的方法�、裝置和制品。
【主權(quán)項(xiàng)】
1. 一種在過(guò)程控制系統(tǒng)的計(jì)算設(shè)備中的安全事件檢測(cè)的方法���,包括: 由監(jiān)控代理監(jiān)控在所述計(jì)算設(shè)備上執(zhí)行的第一虛擬機(jī)對(duì)多個(gè)資源的使用�,在所述計(jì)算 設(shè)備上執(zhí)行的所述監(jiān)控代理與所述第一虛擬機(jī)分離����; 通過(guò)將對(duì)所述多個(gè)資源的所述使用與資源使用模式相比較來(lái)檢測(cè)潛在安全事件����; 向所檢測(cè)到的潛在安全事件分配嚴(yán)重性級(jí)別;以及 基于所分配的嚴(yán)重性級(jí)別來(lái)啟動(dòng)安全措施�����。2. 根據(jù)權(quán)利要求1所述的方法����,其中,所述監(jiān)控代理與對(duì)所述第一虛擬機(jī)進(jìn)行管理的監(jiān) 管器通信����,以監(jiān)控所述第一虛擬機(jī)對(duì)所述多個(gè)資源的所述使用。3. 根據(jù)權(quán)利要求1所述的方法,其中�,所述監(jiān)控代理在所述計(jì)算設(shè)備上的第二虛擬機(jī)中 執(zhí)行。4. 根據(jù)權(quán)利要求1所述的方法���,其中�,所述監(jiān)控代理是對(duì)所述第一虛擬機(jī)進(jìn)行管理的監(jiān) 管器的部分�。5. 根據(jù)權(quán)利要求1所述的方法,其中�����,所述監(jiān)控代理監(jiān)控所述第一虛擬機(jī)的存儲(chǔ)器使 用��、儲(chǔ)存盤(pán)使用����、網(wǎng)絡(luò)使用和硬件使用中的至少一者。6. 根據(jù)權(quán)利要求1所述的方法����,其中,響應(yīng)于將最高嚴(yán)重性級(jí)別分配給所檢測(cè)到的潛在 安全事件��,啟動(dòng)所述安全措施包括: 基于在檢測(cè)到潛在安全事件前創(chuàng)建的所述第一虛擬機(jī)的快照�����,使得第二虛擬機(jī)在所述 計(jì)算設(shè)備上實(shí)例化; 將所述第一虛擬機(jī)的功能迀移到所述第二虛擬機(jī)����;以及 終止所述第一虛擬機(jī)。7. 根據(jù)權(quán)利要求1所述的方法��,還包括: 向所述第一虛擬機(jī)分配完整性級(jí)別�����; 響應(yīng)于檢測(cè)到所述潛在安全事件�,減小所述第一虛擬機(jī)的所述完整性級(jí)別��;以及 當(dāng)所述第一虛擬機(jī)的所述完整性級(jí)別低于完整性級(jí)別閾值時(shí)��,基于所述第一虛擬機(jī)的 所述完整性級(jí)別來(lái)啟動(dòng)所述安全措施���。8. 一種裝置����,包括: 資源監(jiān)控器�,其用于經(jīng)由處理器來(lái)進(jìn)行以下操作: 監(jiān)控在計(jì)算設(shè)備上執(zhí)行的第一虛擬機(jī)對(duì)多個(gè)資源的使用�,所述資源監(jiān)控器與所述第一 虛擬機(jī)分離�,以及 通過(guò)將對(duì)所述多個(gè)資源的所述使用與資源使用模式相比較來(lái)檢測(cè)潛在安全事件;以及 安全事件處理機(jī)���,其用于進(jìn)行以下操作: 向所檢測(cè)到的潛在安全事件分配嚴(yán)重性級(jí)別����,以及 啟動(dòng)針對(duì)所分配的嚴(yán)重性級(jí)別而定義的安全措施��。9. 根據(jù)權(quán)利要求8所述的裝置�,其中,所述資源監(jiān)控器與對(duì)所述第一虛擬機(jī)進(jìn)行管理的 監(jiān)管器通信�����,以監(jiān)控所述第一虛擬機(jī)對(duì)所述多個(gè)資源的所述使用����。10. 根據(jù)權(quán)利要求8所述的裝置,其中�����,所述資源監(jiān)控器是對(duì)所述第一虛擬機(jī)進(jìn)行管理 的監(jiān)管器的部分����。11. 根據(jù)權(quán)利要求8所述的裝置�����,其中�,所述資源監(jiān)控器用于監(jiān)控所述第一虛擬機(jī)的存 儲(chǔ)器使用�、儲(chǔ)存盤(pán)使用、網(wǎng)絡(luò)使用和硬件使用中的至少一者�����。12. 根據(jù)權(quán)利要求8所述的裝置����,其中,響應(yīng)于將最高嚴(yán)重性級(jí)別分配給所檢測(cè)到的潛 在安全事件����,所述安全事件處理機(jī)用于進(jìn)行以下操作: 基于在檢測(cè)到所述潛在安全事件前創(chuàng)建的所述第一虛擬機(jī)的快照��,使得第二虛擬機(jī)在 所述計(jì)算設(shè)備上實(shí)例化��; 將所述第一虛擬機(jī)的功能迀移到所述第二虛擬機(jī)��;以及 終止所述第一虛擬機(jī)。13. 根據(jù)權(quán)利要求8所述的裝置�����,其中�,所述安全事件處理機(jī)用于進(jìn)行以下操作: 向所述第一虛擬機(jī)分配完整性級(jí)別; 響應(yīng)于檢測(cè)到潛在安全事件��,減小所述第一虛擬機(jī)的所述完整性級(jí)別�����;以及 當(dāng)所述第一虛擬機(jī)的所述完整性級(jí)別低于完整性級(jí)別閾值時(shí)��,基于所述第一虛擬機(jī)的 所述完整性級(jí)別來(lái)啟動(dòng)安全措施�。14. 一種有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì),包括指令���,所述指令在被執(zhí)行時(shí)��,使得監(jiān)控代理 至少進(jìn)行以下操作: 監(jiān)控在計(jì)算設(shè)備上執(zhí)行的第一虛擬機(jī)對(duì)多個(gè)資源的使用��,在所述計(jì)算設(shè)備上執(zhí)行的所 述監(jiān)控代理與所述第一虛擬機(jī)分離����; 通過(guò)將對(duì)所述多個(gè)資源的所述使用與資源使用模式相比較來(lái)檢測(cè)潛在安全事件; 向所檢測(cè)到的潛在安全事件分配嚴(yán)重性級(jí)別���;以及 啟動(dòng)針對(duì)所分配的嚴(yán)重性級(jí)別而定義的安全措施��。15. 根據(jù)權(quán)利要求14所述的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)��,其中�����,所述指令在被執(zhí)行時(shí)��, 使得監(jiān)控代理還與對(duì)所述第一虛擬機(jī)進(jìn)行管理的監(jiān)管器通信�����,以監(jiān)控所述第一虛擬機(jī)對(duì)所 述多個(gè)資源的所述使用�����。16. 根據(jù)權(quán)利要求14所述的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)�����,其中���,所述監(jiān)控代理用于在所 述計(jì)算設(shè)備上的第二虛擬機(jī)中執(zhí)行。17. 根據(jù)權(quán)利要求14所述的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)�����,其中����,所述監(jiān)控代理是對(duì)所述 第一虛擬機(jī)進(jìn)行管理的監(jiān)管器的部分。18. 根據(jù)權(quán)利要求14所述的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)���,其中��,所述指令在被執(zhí)行時(shí)����, 使得監(jiān)控代理監(jiān)控所述第一虛擬機(jī)的存儲(chǔ)器使用����、儲(chǔ)存盤(pán)使用、網(wǎng)絡(luò)使用和硬件使用中的 至少一者���。19. 根據(jù)權(quán)利要求14所述的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)�,其中,響應(yīng)于將最高嚴(yán)重性級(jí) 別分配給所檢測(cè)到的潛在安全事件��,所述指令在被執(zhí)行時(shí)��,使得監(jiān)控代理進(jìn)行以下操作: 基于在檢測(cè)到所述潛在安全事件前創(chuàng)建的所述第一虛擬機(jī)的快照����,使得第二虛擬機(jī)在 所述計(jì)算設(shè)備上實(shí)例化; 將所述第一虛擬機(jī)的功能迀移到所述第二虛擬機(jī)�;以及 終止所述第一虛擬機(jī)。20. 根據(jù)權(quán)利要求14所述的有形的計(jì)算機(jī)可讀儲(chǔ)存介質(zhì)�����,包括指令����,所述指令在被執(zhí)行 時(shí),使得所述監(jiān)控代理進(jìn)行以下操作: 向所述第一虛擬機(jī)分配完整性級(jí)別�; 響應(yīng)于檢測(cè)到潛在安全事件,減小所述第一虛擬機(jī)的所述完整性級(jí)別�;以及 當(dāng)所述第一虛擬機(jī)的所述完整性級(jí)別低于完整性級(jí)別閾值時(shí),基于所述第一虛擬機(jī)的 所述完整性級(jí)別來(lái)啟動(dòng)安全措施���。
【文檔編號(hào)】G05B23/02GK105892444SQ201610083017
【公開(kāi)日】2016年8月24日
【申請(qǐng)日】2016年2月6日
【發(fā)明人】R·A·米克瑟
【申請(qǐng)人】費(fèi)希爾-羅斯蒙特系統(tǒng)公司