监测工业控制系统的方法和装置与流程

1.本发明涉及计算机技术领域，尤其涉及一种监测工业控制系统的方法和装置。


背景技术：

2.随着新的信息技术对工业生产活动各业务环节的不断深入和融合，工业控制系统逐步走向互联、开放、智能化。工业控制系统信息安全事关经济发展、社会稳定和国家安全。在工业控制系统显著提高生产力的同时，工业控制系统面临着日益严峻的信息安全威胁。
3.对此，我们尚缺一套准确、有效、实时的监测工具，所以，工控安全漏洞监测系统可有效、实时监测工业控制系统的安全问题。
4.在实现本发明过程中，发明人发现现有技术中至少存在如下问题：
5.现有技术仅对已知信息安全漏洞进行列表呈现，并没有对工业控制系统中的具体设备进行监测，无法及时发现工业控制系统的信息安全漏洞。


技术实现要素：

6.有鉴于此，本发明实施例提供一种监测工业控制系统的方法和装置，能够对工业控制系统进行具体到设备的监测，可更直接、有效地监测工业控制系统的信息安全。
7.为实现上述目的，根据本发明实施例的一个方面，提供了一种监测工业控制系统的方法。
8.本发明实施例的一种监测工业控制系统的方法包括：采集工业控制系统中的被监测对象的特征数据；获取所述被监测对象的指纹数据；将所述特征数据与所述指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞。
9.可选地，采集工业控制系统中的被监测对象的特征数据包括：利用网络扫描器采集工业控制系统中的被监测对象的特征，得到采集结果；所述采集结果包括ip地址、开放端口号、开放端口的服务协议和操作系统版本；利用数据解析器对所述采集结果进行解析，得到被监测对象的特征数据；所述特征数据包括ip地址数据、开放端口数据、开放端口的服务数据以及操作系统数据。
10.可选地，利用网络扫描器采集工业控制系统中的被监测对象的特征包括：利用网络扫描器对网络目标地址库进行扫描，确定在线被监测对象，并采集所述在线被监测对象的ip地址；利用网络扫描器对所述在线被监测对象进行端口扫描，采集所述在线被监测对象的开放端口的端口号；以及采集所述在线被监测对象的开放端口的服务协议；利用网络扫描器对所述在线被监测对象进行操作系统扫描，采集所述在线被监测对象的操作系统版本。
11.可选地，将所述特征数据与所述指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞包括：将所述在线被监测对象的特征数据与所述在线被监测对象的指纹数据进行比对，得到所述在线被监测对象的监测结果；所述监测结果包括主机变化数据、端口变化数据、服务变化数据和操作系统变化数据；基于所述主机变化数据、所述端口变化数
据、所述服务变化数据或所述操作系统变化数据，确定工业控制系统安全运行或存在安全漏洞。
12.可选地，所述指纹数据包括初始ip地址数据、初始开放端口数据、初始开放端口的服务数据以及初始操作系统数据；以及将所述在线被监测对象的特征数据与所述在线被监测对象的指纹数据进行比对，得到所述在线被监测对象的监测结果包括：比对所述ip地址数据和所述初始ip地址数据，得到所述主机变化数据；比对所述开放端口数据和所述初始开放端口数据，得到所述端口变化数据；比对所述开放端口的服务数据和所述初始开放端口的服务数据，得到所述服务变化数据；比对所述操作系统数据和所述初始操作系统数据，得到所述操作系统变化数据。
13.为实现上述目的，根据本发明实施例的另一方面，提供了一种监测工业控制系统的装置。
14.本发明实施例的一种监测工业控制系统的装置包括：采集模块，用于采集工业控制系统中的被监测对象的特征数据；获取模块，用于获取所述被监测对象的指纹数据；比对模块，用于将所述特征数据与所述指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞。
15.可选地，所述采集模块还用于：利用网络扫描器采集工业控制系统中的被监测对象的特征，得到采集结果；所述采集结果包括ip地址、开放端口号、开放端口的服务协议和操作系统版本；利用数据解析器对所述采集结果进行解析，得到被监测对象的特征数据；所述特征数据包括ip地址数据、开放端口数据、开放端口的服务数据以及操作系统数据。
16.可选地，所述采集模块进一步用于：利用网络扫描器对网络目标地址库进行扫描，确定在线被监测对象，并采集所述在线被监测对象的ip地址；利用网络扫描器对所述在线被监测对象进行端口扫描，采集所述在线被监测对象的开放端口的端口号；以及采集所述在线被监测对象的开放端口的服务协议；利用网络扫描器对所述在线被监测对象进行操作系统扫描，采集所述在线被监测对象的操作系统版本。
17.可选地，所述比对模块还用于：将所述在线被监测对象的特征数据与所述在线被监测对象的指纹数据进行比对，得到所述在线被监测对象的监测结果；所述监测结果包括主机变化数据、端口变化数据、服务变化数据和操作系统变化数据；基于所述主机变化数据、所述端口变化数据、所述服务变化数据或所述操作系统变化数据，确定工业控制系统安全运行或存在安全漏洞。
18.可选地，所述指纹数据包括初始ip地址数据、初始开放端口数据、初始开放端口的服务数据以及初始操作系统数据；以及所述比对模块进一步用于：比对所述ip地址数据和所述初始ip地址数据，得到所述主机变化数据；比对所述开放端口数据和所述初始开放端口数据，得到所述端口变化数据；比对所述开放端口的服务数据和所述初始开放端口的服务数据，得到所述服务变化数据；比对所述操作系统数据和所述初始操作系统数据，得到所述操作系统变化数据。
19.为实现上述目的，根据本发明实施例的又一方面，提供了一种监测工业控制系统的电子设备。
20.本发明实施例的一种监测工业控制系统的电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，
使得所述一个或多个处理器实现本发明实施例的一种监测工业控制系统的方法。
21.为实现上述目的，根据本发明实施例的再一方面，提供了一种计算机可读存储介质。
22.本发明实施例的一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明实施例的一种监测工业控制系统的方法。
23.上述发明中的一个实施例具有如下优点或有益效果：因为采用采集工业控制系统中的被监测对象的特征数据；获取被监测对象的指纹数据；将特征数据与指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞的技术手段，所以克服了无法及时发现工业控制系统的信息安全漏洞的技术问题，进而达到对工业控制系统进行具体到设备的监测，更直接、有效地监测工业控制系统的信息安全的技术效果。
24.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
25.附图用于更好地理解本发明，不构成对本发明的不当限定。其中：
26.图1是根据本发明实施例的监测工业控制系统的方法的主要步骤的示意图；
27.图2是根据本发明实施例的监测工业控制系统的方法的实现框架示意图。
28.图3是根据本发明实施例的监测工业控制系统的方法的采集特征数据的示意图。
29.图4是根据本发明一个可参考实施例的监测工业控制系统的方法的主要流程的示意图；
30.图5是根据本发明实施例的监测工业控制系统的装置的主要模块的示意图；
31.图6是根据本发明一个可参考实施例的监测工业控制系统的方法的应用示意图；
32.图7是本发明实施例可以应用于其中的示例性系统架构图；
33.图8是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
34.以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
35.需要指出的是，在不冲突的情况下，本发明的实施例以及实施例中的技术特征可以相互结合。
36.工业控制系统在显著提高生产力的同时，也面临着日益严峻的信息安全威胁，当工业控制系统出现安全漏洞时，如果不能及时发现并处理，将对生产等活动造成不可估量的损失。然而，目前并没有能够准确、有效、实时的监测工具，来保障工业控制系统的信息安全。为此，本发明实施例提出一种监测工业控制系统的方法，通过对工业控制系统中具体到单个被监测对象的特征进行监测，从而实时、有效地监测工业控制系统的信息安全。
37.图1是根据本发明实施例的监测工业控制系统的方法的主要步骤的示意图。
38.如图1所示，本发明实施例的监测工业控制系统的方法主要包括以下步骤：
39.步骤s101：采集工业控制系统中的被监测对象的特征数据。
40.工业控制系统是指由计算机与工业过程控制部件组成的自动控制系统。被监测对象即工业控制系统中的计算机和工业过程控制部件等设备。被监测对象的特征数据的采集可以基于大规模网络扫描技术实现，即可以对多个被监测对象进行并行扫描，从而获取被监测对象的特征数据。通过被监测对象的特征数据可以全面了解工业控制系统中设备的种类、内容、应用、组件概况等信息，实现实时、高效的监测工业控制系统，可为生产活动提供服务和支撑，保障工业控制系统的信息安全。
41.在本发明实施例中，步骤s101可以通过以下步骤实现：利用网络扫描器采集工业控制系统中的被监测对象的特征，得到采集结果；再利用数据解析器对采集结果进行解析，得到被监测对象的特征数据。其中，采集结果可以包括被监测对象的ip地址(互联网协议地址)、开放端口号、开放端口的服务协议和操作系统版本。特征数据可以包括ip地址数据和操作系统数据等静态信息，以及开放端口数据和开放端口的服务数据属于动态信息等。
42.由于采集结果是一种xml(可扩展标记语言)格式的文件，需要对其进行数据解析和数据清洗操作，得到data(数据保存的备份类文件)格式的文件，并基于被监测对象的ip地址、开放端口号、开放端口的服务协议和操作系统版本等得到被监测对象的特征数据。
43.对于利用网络扫描器采集工业控制系统中的被监测对象的特征，可以利用网络扫描器对网络目标地址库进行扫描，确定在线被监测对象，并采集在线被监测对象的ip地址；再利用网络扫描器对在线被监测对象进行端口扫描，采集在线被监测对象的开放端口的端口号，同时采集在线被监测对象的开放端口的服务协议；以及利用网络扫描器对在线被监测对象进行操作系统扫描，采集在线被监测对象的操作系统版本。
44.需要说明的是，网络目标地址库中记录有工业控制系统中所有的被监测对象的ip地址。首先，通过网络扫描器对网络目标地址库的扫描，可以发现网络目标地址库中的活跃ip地址，从而发现正在运行的被监测对象，即在线被监测对象。而未活跃ip地址对应的被监测对象是未运行的设备，对工业控制系统的信息安全暂无影响，因此后续可以仅对正在运行的被监测对象进行检测。然后，网络扫描器采集在线被监测对象当前的ip地址，同时，可以对在线被监测对象同时进行端口扫描和操作系统扫描，采集在线被监测对象的开放端口的端口号以及操作系统版本。最后，从在线被监测对象的开放端口采集在线被监测对象的开放端口的服务协议，从而得到在线被监测对象的采集结果。其中，网络扫描器可以根据采集任务的规模和时间要求，灵活配置数量和地理分布，从而实现大规模的并行采集。
45.步骤s102：获取被监测对象的指纹数据。
46.对于被监测对象的指纹数据，可以在工业控制系统进行监测前预先获取，也可以在监测工业控制系统的过程中获取。指纹数据是指被监测对象在工业控制系统组建时所具备的特征，即被监测对象的初始特征。其中，指纹数据可以包括初始ip地址数据、初始开放端口数据、初始开放端口的服务数据以及初始操作系统数据等。
47.步骤s103：将特征数据与指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞。
48.可以将指纹数据作为判断的基准，通过比对特征数据与指纹数据可以得到被监测对象的哪些特征发生了变化、哪些特征没有变化，如果被监测对象的所有特征均没有变化
或发生了正常变化，例如被监测对象的开放端口对应的服务协议是正常更新则属于正常变化，则可以确定工业控制系统安全运行，否则可以确定工业控制系统存在安全漏洞，需要对该被监测对象进行处理或进一步检查等。
49.在本发明实施例中，步骤s103可以通过以下步骤实现：将在线被监测对象的特征数据与在线被监测对象的指纹数据进行比对，得到在线被监测对象的监测结果；基于监测结果确定工业控制系统安全运行或存在安全漏洞。
50.其中，监测结果包括主机变化数据、端口变化数据、服务变化数据和操作系统变化数据。在确定工业控制系统是否存在安全漏洞时，可以根据主机变化数据、端口变化数据、服务变化数据或操作系统变化数据中的一项或多项数据来判断，即根据在线被监测对象的资源状态(即负载情况)、地理位置、操作系统类型或业务类型(即开放端口的服务协议所对应的具体服务)等，从监测结果中选择作为判断依据的数据，来确定工业控制系统是否存在安全漏洞。
51.具体地，本步骤中的将在线被监测对象的特征数据与在线被监测对象的指纹数据进行比对，得到在线被监测对象的监测结果可以包括：比对ip地址数据和初始ip地址数据，得到主机变化数据；比对开放端口数据和初始开放端口数据，得到端口变化数据；比对开放端口的服务数据和初始开放端口的服务数据，得到服务变化数据；比对操作系统数据和初始操作系统数据，得到操作系统变化数据。
52.监测结果中记录了在线被监测对象的ip地址、开放端口的端口号、开放端口的服务协议和操作系统的变化情况，如果每次采集到的被监测对象的特征数据都与被监测对象的指纹数据一致，则被监测对象的所有特征均没有变化，如果每次采集到的被监测对象的特征数据与被监测对象的指纹数据不一致，则被监测对象的某项特征或所有特征发生了正常变化。其中，主机变化数据包括了在线被监测对象的初始ip地址和每次检测到的ip地址，端口变化数据包括了在线被监测对象的初始开放端口的端口号和每次检测到的开放端口的端口号，服务变化数据包括了在线被监测对象的初始开放端口的服务协议和每次检测到的开放端口的服务协议，操作系统变化数据包括了在线被监测对象的初始操作系统版本和每次检测到的操作系统版本。
53.根据本发明实施例的监测工业控制系统的方法可以看出，因为采用采集工业控制系统中的被监测对象的特征数据；获取被监测对象的指纹数据；将特征数据与指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞的技术手段，所以克服了无法及时发现工业控制系统的信息安全漏洞的技术问题，进而达到对工业控制系统进行具体到设备的监测，更直接、有效地监测工业控制系统的信息安全的技术效果。
54.图2是根据本发明实施例的监测工业控制系统的方法的实现框架示意图。
55.如图2所示，本发明实施例的监测工业控制系统的方法中，主机发现、端口发现、服务探测和os探测等采集特征数据的任务都可以由任务控制器通过任务接口下发给网络扫描器。
56.网络扫描器通过任务控制器的任务接口接收任务后，对网络目标地址库的扫描，发现网络目标地址库中的活跃ip地址(即工业控制系统中的在线被监测对象)，再对在线被监测对象进行ip地址扫描、端口扫描、开放端口库扫描和操作系统扫描等，得到在线被监测对象的ip地址数据、开放端口数据、开放端口的服务数据以及操作系统数据等特征数据。网
络扫描器通过数据解析器的上传接口上传特征数据。其中，当第一轮的扫描完成(即发现网络目标地址库中的活跃ip地址)后，后续的ip地址扫描、端口扫描、开放端口库扫描和操作系统扫描等可以并行执行。并且，网络扫描器可以根据采集任务的规模和时间要求，灵活配置数量和地理分布，从而实现大规模的并行采集。
57.数据解析器对特征数据进行解析，并将解析出的有效的特征数据分别存储到ip在线库、开放端口库、服务版本库和操作系统库等网络应用采集结果库中。
58.在对工业控制系统进行安全时，任务控制器可以获取网络应用采集结果库(即ip在线库、开放端口库、服务版本库和操作系统库等)中的特征数据，并将该特征数据与网络应用指纹库中的指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞。
59.图3是根据本发明实施例的监测工业控制系统的方法的采集特征数据的示意图。如图3所示为采集特征数据的流程：
60.首先，任务控制器调用网络扫描器对网络目标地址库的进行扫描(即主机发现)，以发现网络目标地址库中的活跃ip地址，从而发现正在运行的被监测对象(即在线被监测对象)，并采集在线被监测对象当前的ip地址，将ip地址写入ip在线库；
61.然后，网络扫描器对在线被监测对象进行端口扫描，采集在线被监测对象的开放端口的端口号，并将端口号写入开放端口库；
62.同时，网络扫描器对在线被监测对象进行操作系统扫描，采集在线被监测对象的操作系统版本，并将操作系统版本写入操作系统库；
63.最后，网络扫描器对开放端口库扫描，采集在线被监测对象的开放端口的服务协议，并将服务协议写入服务版本库。
64.图4是根据本发明一个可参考实施例的监测工业控制系统的方法的主要流程的示意图。
65.如图4所示，本发明实施例的监测工业控制系统的方法可采用以下流程实施：
66.步骤s401：利用网络扫描器采集工业控制系统中的被监测对象的特征，得到采集结果：
67.被监测对象的特征数据的采集可以基于大规模网络扫描技术实现，即可以同时利用多个网络扫描器对多个被监测对象进行并行扫描，从而采集被监测对象的特征，从而得到采集结果，该采集结果包括被监测对象的ip地址、开放端口号、开放端口的服务协议和操作系统版本。其中，利用网络扫描器对网络目标地址库进行扫描，确定在线被监测对象，并采集在线被监测对象的ip地址；利用网络扫描器对在线被监测对象进行端口扫描，采集在线被监测对象的开放端口的端口号，以及采集在线被监测对象的开放端口的服务协议；利用网络扫描器对在线被监测对象进行操作系统扫描，采集在线被监测对象的操作系统版本。
68.步骤s402：利用数据解析器对采集结果进行解析，得到被监测对象的特征数据：
69.对xml格式的采集结果进行数据解析和数据清洗操作，得到data格式的文件，并基于被监测对象的ip地址、开放端口号、开放端口的服务协议和操作系统版本等得到被监测对象的特征数据。
70.步骤s403：获取被监测对象的指纹数据：
71.可以预先或在监测工业控制系统的过程中获取被监测对象的指纹数据。
72.步骤s404：将在线被监测对象的特征数据与在线被监测对象的指纹数据进行比对，得到在线被监测对象的监测结果：
73.该监测结果可以包括主机变化数据、端口变化数据、服务变化数据或操作系统变化数据；其中，比对ip地址数据和初始ip地址数据得到主机变化数据；比对开放端口数据和初始开放端口数据得到端口变化数据；比对开放端口的服务数据和初始开放端口的服务数据得到服务变化数据；比对操作系统数据和初始操作系统数据得到操作系统变化数据。
74.步骤s405：基于主机变化数据、端口变化数据、服务变化数据或操作系统变化数据，确定工业控制系统安全运行或存在安全漏洞。
75.如图5所示，在实际应用中，本发明实施例的一种监测工业控制系统的系统方法，包括可以基于任务控制器、网络扫描器、数据解析器、网络应用指纹库、网络应用采集结果库和网络目标地址库实现，网络应用采集结果库包括ip在线库、开放端口库、服务版本库和操作系统库，其中：
76.任务控制器用于控制网络扫描器；
77.网络扫描器用于对网络目标地址库进行扫描，确定在线被监测对象，采集在线被监测对象的ip地址；对在线被监测对象进行端口扫描，采集在线被监测对象的开放端口的端口号；对开放端口库进行扫描，采集在线被监测对象的开放端口的服务协议；对在线被监测对象进行操作系统扫描，采集在线被监测对象的操作系统版本；以及获取网络应用指纹库中被监测对象的指纹数据；
78.数据解析器用于对在线被监测对象的ip地址进行解析，得到ip地址数据，并将ip地址数据存储到ip在线库；对在线被监测对象的开放端口的端口号进行解析，得到开放端口数据，并将开放端口数据存储到开放端口库；对在线被监测对象的开放端口的服务协议进行解析，得到开放端口的服务数据，并将开放端口的服务数据存储到服务版本库；对在线被监测对象的操作系统版本进行解析，得到操作系统数据，并将操作系统数据存储到操作系统库；
79.任务控制器还用于：获取网络应用指纹库、ip在线库、开放端口库、服务版本库和操作系统库的数据；比对在线被监测对象的ip地址数据和初始ip地址数据得到主机变化数据；或比对在线被监测对象的开放端口数据和初始开放端口数据得到端口变化数据；或比对在线被监测对象的开放端口的服务数据和初始开放端口的服务数据得到服务变化数据；或比对在线被监测对象的操作系统数据和初始操作系统数据得到操作系统变化数据；以及基于主机变化数据、端口变化数据、服务变化数据或操作系统变化数据确定工业控制系统安全运行或存在安全漏洞。
80.图6是根据本发明实施例的监测工业控制系统的装置的主要模块的示意图。
81.如图6所示，本发明实施例的监测工业控制系统的装置600包括：采集模块601、获取模块602和比对模块603。
82.其中，
83.采集模块601，用于采集工业控制系统中的被监测对象的特征数据；
84.获取模块602，用于获取所述被监测对象的指纹数据；
85.比对模块603，用于将所述特征数据与所述指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞。
86.在本发明实施例中，所述采集模块601还用于：利用网络扫描器采集工业控制系统中的被监测对象的特征，得到采集结果；所述采集结果包括ip地址、开放端口号、开放端口的服务协议和操作系统版本；利用数据解析器对所述采集结果进行解析，得到被监测对象的特征数据；所述特征数据包括ip地址数据、开放端口数据、开放端口的服务数据以及操作系统数据。
87.在本发明实施例中，所述采集模块601进一步用于：利用网络扫描器对网络目标地址库进行扫描，确定在线被监测对象，并采集所述在线被监测对象的ip地址；利用网络扫描器对所述在线被监测对象进行端口扫描，采集所述在线被监测对象的开放端口的端口号；以及采集所述在线被监测对象的开放端口的服务协议；利用网络扫描器对所述在线被监测对象进行操作系统扫描，采集所述在线被监测对象的操作系统版本。
88.在本发明实施例中，所述比对模块603还用于：将所述在线被监测对象的特征数据与所述在线被监测对象的指纹数据进行比对，得到所述在线被监测对象的监测结果；所述监测结果包括主机变化数据、端口变化数据、服务变化数据和操作系统变化数据；基于所述主机变化数据、所述端口变化数据、所述服务变化数据或所述操作系统变化数据，确定工业控制系统安全运行或存在安全漏洞。
89.此外，所述指纹数据包括初始ip地址数据、初始开放端口数据、初始开放端口的服务数据以及初始操作系统数据；以及所述比对模块603进一步用于：比对所述ip地址数据和所述初始ip地址数据，得到所述主机变化数据；比对所述开放端口数据和所述初始开放端口数据，得到所述端口变化数据；比对所述开放端口的服务数据和所述初始开放端口的服务数据，得到所述服务变化数据；比对所述操作系统数据和所述初始操作系统数据，得到所述操作系统变化数据。
90.根据本发明实施例的监测工业控制系统的装置可以看出，因为采用采集工业控制系统中的被监测对象的特征数据；获取被监测对象的指纹数据；将特征数据与指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞的技术手段，所以克服了无法及时发现工业控制系统的信息安全漏洞的技术问题，进而达到对工业控制系统进行具体到设备的监测，更直接、有效地监测工业控制系统的信息安全的技术效果。
91.图7示出了可以应用本发明实施例的监测工业控制系统的方法或监测工业控制系统的装置的示例性系统架构700。
92.如图7所示，系统架构700可以包括终端设备701、702、703，网络704和服务器705。网络704用以在终端设备701、702、703和服务器705之间提供通信链路的介质。网络704可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
93.用户可以使用终端设备701、702、703通过网络704与服务器705交互，以接收或发送消息等。终端设备701、702、703上可以安装有各种应用程序。
94.终端设备701、702、703可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
95.服务器705可以是提供各种服务的服务器。后台管理服务器可以对接收到的数据进行分析等处理，并将处理结果反馈给终端设备。
96.需要说明的是，本发明实施例所提供的监测工业控制系统的方法一般由服务器705执行，相应地，监测工业控制系统的装置一般设置于服务器705中。
97.应该理解，图7中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
98.下面参考图8，其示出了适于用来实现本发明实施例的终端设备的计算机系统800的结构示意图。图8示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
99.如图8所示，计算机系统800包括中央处理单元(cpu)801，其可以根据存储在只读存储器(rom)802中的程序或者从存储部分808加载到随机访问存储器(ram)803中的程序而执行各种适当的动作和处理。在ram 803中，还存储有系统800操作所需的各种程序和数据。cpu 801、rom 802以及ram 803通过总线804彼此相连。输入/输出(i/o)接口805也连接至总线804。
100.以下部件连接至i/o接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至i/o接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。
101.特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(cpu)801执行时，执行本发明的系统中限定的上述功能。
102.需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
103.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代
表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
104.描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括采集模块、获取模块和比对模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，获取模块还可以被描述为“获取所述被监测对象的指纹数据的模块”。
105.作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：步骤s101：采集工业控制系统中的被监测对象的特征数据；步骤s102：获取被监测对象的指纹数据；步骤s103：将特征数据与指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞。
106.根据本发明实施例的技术方案，因为采用采集工业控制系统中的被监测对象的特征数据；获取被监测对象的指纹数据；将特征数据与指纹数据进行比对，以确定工业控制系统安全运行或存在安全漏洞的技术手段，所以克服了无法及时发现工业控制系统的信息安全漏洞的技术问题，进而达到对工业控制系统进行具体到设备的监测，更直接、有效地监测工业控制系统的信息安全的技术效果。
107.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。