诊断缓冲区中的安全事件

CPU 将在诊断缓冲区中存储有关重要操作和事件的信息。

发生以下安全事件（事件类型）时，S7-1500 的诊断缓冲区中将输入一条记录：

使用正确或错误的密码转至在线状态。

检测被操控的通信数据。

检测存储卡上被操控的数据。

检测被操控的固件更新文件。

更改后的保护等级（访问保护）下载到 CPU。

限制或启用密码合法性（通过指令或 CPU 显示器）。

由于**出允许的并行访问尝试次数，在线访问被拒绝。

现有在线连接处于禁用状态的**时。

使用正确或错误的密码登录到 Web 服务器。

创建 CPU 的备份。

恢复 CPU 组态。

在启动过程中：

- SIMATIC 存储卡上的项目发生变更（SIMATIC 存储卡不变）

- 更换了 SIMATIC 存储卡

安全事件的组报警

为防止诊断缓冲区被大量相同的安全事件“淹没”，STEP 7 V13 SP 1 及以上版本中可设置相应参数，将这些事件作为组警报保存到诊断缓冲区中。在每个间隔（监视时间）内， CPU 仅为每种事件类型生成一个组警报。

示例： Brute-Force 攻击

利用 Brute-Force 攻击，攻击者通过系统地尝试大量的可能密码组合，获取 CPU 的访问权。因此，CPU 会在数秒内收到大量的登录请求，而诊断缓冲区内涌入大量相同的单独条目会导致丢失重要的诊断信息。组报警帮助在此处提供。

操作组报警的原则

CPU 在诊断缓冲区内输入一种事件类型的**个事件。然后它会忽略此类型的所有后续安全事件。

在监视时间（间隔）结束时，CPU 生成组报警，在该组中输入过去的时间间隔内的事件类型和事件频率。

如果这些安全事件在随后的时间间隔内也有出现，CPU 将仅为每个间隔生成一个组报警。

攻击会在诊断缓冲区中离开以下模式：**个单独的报警后跟一系列组报警。此系列可以包含两个、三个或更多的组报警，具体取决于选定的监视时间和攻击持续时间。

由于诊断缓冲区中的报警具有时间戳，因此可以确定攻击持续时间。