CN105959144A

CN105959144A - 面向工业控制网络的安全数据采集与异常检测方法与系统

Info

Publication number: CN105959144A
Application number: CN201610387832.2A
Authority: CN
Inventors: 陈凯; 王利明
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2016-06-02
Filing date: 2016-06-02
Publication date: 2016-09-21
Anticipated expiration: 2036-06-02
Also published as: CN105959144B

Abstract

本发明公开了一种面向工业控制网络的安全数据采集与异常检测方法与系统，该方法包括安全数据采集与异常检测两部分。安全数据采集基于弹性采集策略采集工业控制网络中多层次、多种类的安全数据，并形成统一格式的安全报文。异常检测对安全报文进行分析，通过配置基线检测发现工业控制网络中资产配置异常，通过控制操作一致性检测发现工业控制网络中的操作行为异常。本发明面向工业控制网络，能够在保障工业控制网络可用性和可靠性的基础上，提升工业控制网络抵抗APT攻击的能力。

Description

面向工业控制网络的安全数据采集与异常检测方法与系统

技术领域

本发明涉及计算机网络领域，更为具体地，涉及一种面向工业控制网络的安全数据采集与异常检测方法与系统。

背景技术

在工业4.0的背景下，大量的IT网络技术被引入工业控制网络中，工业控制网络之前独立封闭的局面被逐渐打破。2010年的震网事件使得工业控制网络的安全问题得到了广泛地关注，各个国家都展开了针对工业控制网络安全的研究。但是，工业控制网络强调可用性和可靠性的特点决定了传统的网络安全设备无法直接部署在工业控制网络中，而且传统的网络安全设备也无法应对以震网和BlackEnergy为首的APT攻击的威胁。多维度的安全数据采集和异常行为检测技术为解决工业控制网络的安全问题提供了新的思路。

目前针对安全数据采集的专利是201310572103.0，该专利采用主动、被动、数据流量等多种方式实现了对各类数据的全面采集，但是该专利没有考虑工业控制网络强调可用性和可靠性的特点；针对异常检测的专利是201410828107.5，该专利首先建立通信模型并生成通信规则集，随后将捕获到的数据报与通信规则集进行比对以判断是否存在异常，但是该专利的通信模型需要在安装调试阶段或者尚未发生攻击阶段进行学习。

综上所述，现有的针对工业控制网络的安全解决方案普遍存四方面问题：(1)安全数据采集范围有限--部分方案基于防火墙、IDS等安全设备所产生的数据进行分析，但是安全设备部署在控制层之上，无法获得现场控制设备的真实状态；(2)安全数据采集没有充分考虑工业控制网络的特点--部分方案仅考虑了如何改善工业控制网络的安全性，却忽视了方案的实施将对工业控制网络的可用性和可靠性造成的负面影响，从而严重制约了安全方案的实施与推广；(3)异常检测需要前置条件--部分方案的前提是要在无任何异常的环境中建立模型或规则；(4)异常检测无法应对APT攻击--部分方案将检测范围限定在某几类设备或某几条网络路径上，孤立数据点的检测无法及时发现APT攻击。

通过以上分析，可根据工业控制网络的特点优化安全数据采集方法，实现多层次、多类型的安全数据采集，并在不同层次、不同类型的安全数据之间建立关联关系以发现针对工业控制网络的APT攻击。

发明内容

本发明提供一种面向工业控制网络的安全数据采集与异常检测方法与系统，保障工业控制网络可用性和可靠性的同时实现基于弹性策略的多层次、多种类安全数据的采集，并利用配置基线检测和控制操作一致性检测发现工业网络中存在的异常。

一方面，本发明提供了一种面向工业控制网络的安全数据采集与异常检测方法，该方法包括：

1)所述安全数据采集方法为，安全数据采集以工业控制网络中的资产为采集目标，基于弹性数据采集策略进行多层次数据采集和多种类数据采集，并生成JSON格式的安全报文，安全报文被储存在分布式数据库中；

a)所述弹性数据采集策略，将依据资产的功能、用途及安全等级确定初始的数据种类和采集频率，并根据被采集对象的运行负荷以及当前网络的拥塞状况动态调整数据采集策略：如果被采集对象的运行负荷超过阈值，或者当前网络持续拥塞，则减少采集的数据种类并降低数据采集频率，以优先保证工业控制网络的可用性；

b)所述多层次数据采集，将从控制子网(包括PLC、DCS、交换机、防火墙)、监管子网(包括上位机、历史库服务器、实时库服务器、交换机、防火墙、单向网闸)和业务子网(包括Web服务器、邮件服务器、ERP系统服务器、OA系统服务器、交换机、防火墙、IDS/IPS)采集数据；

c)所述多种类数据采集，包括针对主机类设备的多类型数据采集、针对网络类设备的多类型数据采集以及针对控制类设备的多类型数据采集；

i.所述针对主机类设备的多类型数据采集，将采集资产的硬件型号信息、IP地址/MAC地址信息、操作系统版本信息、安装的系统补丁信息、安装的应用软件信息、应用的配置信息、系统运行的进程信息、系统开放的端口与服务信息、用户账号信息、用户登录信息、关键文件变更信息、接入的USB设备信息、资源使用率信息和非法外联信息；

ii.所述针对网络类设备的多类型数据采集，将采集资产的硬件型号信息、设备配置信息、运行状态信息和网络流量镜像数据；

iii.所述针对控制类设备的多类型数据采集，将采集资产的硬件型号信息、设备组态信息和I/O点数据变化信息；

2)所述异常检测方法为，针对安全报文进行资产配置基线检测和控制操作一致性检测，并实时输出异常检测结果；

a)所述资产配置基线检测，根据法律、法规及相关行业标准建立资产配置基线，并将安全报文中记录的配置信息与配置基线进行实时比对，如果当前资产的配置信息不满足配置基线的要求，则触发配置异常报警；

b)所述控制操作一致性检测，针对关键操作命令在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系，并检测被关联报文中操作数据的一致性，如果操作数据存在不一致，则触发操作异常报警。

另一方面，本发明提供了一种面向工业控制网络的安全数据采集与异常检测系统，该系统包括安全数据采集子系统、安全数据分布式存储子系统、异常检测子系统和管理子系统。

1)所述安全数据采集子系统，包括主机设备数据采集模块、网络设备数据采集模块、控制设备数据采集模块和弹性采集策略模块，其中主机设备数据采集模块、网络设备数据采集模块和控制设备数据采集模块分布式部署在工业控制网络中，并根据弹性采集策略模块提供的弹性采集策略采集控制子网、监管子网和业务子网中资产的安全数据，生成安全报文；

2)所述安全数据分布式存储子系统，其分布式部署在每一个安全区域中，接收当前安全区域中所有安全数据采集子系统生成的安全报文，并存储在非关系型数据库中；

3)所述异常检测子系统，其读取安全报文，进行资产配置基线检测和控制操作一致性检测，即包括资产配置基线检测模块和控制操作一致性检测模块；

a)所述资产配置基线检测模块，根据法律、法规、相关行业标准及用户自定义要求建立资产配置基线，从安全数据分布式存储子系统中读取安全报文，并将安全报文中记录的配置信息与配置基线进行比对，如果当前资产的配置信息不满足配置基线的要求，则触发配置异常报警；

b)所述控制操作一致性检测模块，以关键操作命令为目标，以操作时间、资产网络地址、操作会话信息为线索，在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系，如果发现被关联的报文中存在操作数据不一致性，则触发操作异常报警；

4)所述管理子系统，提供系统管理员、安全管理员和系统维护员三类角色，其中向系统管理员提供系统全部配置的接口，向安全管理员提供修改配置基线、设置控制操作一致性检测阈值的接口，向系统维护员提供数据查看、备份和恢复的接口。

本发明的面向工业控制网络的安全数据采集与异常检测系统具有如下有益效果：

本发明利用多层次、多种类数据采集实现对工业控制网络的全方面监管，支持弹性采集策略优先保证工业控制网络的可用性与可靠性，支持基于配置基线和控制操作一致性的异常检测，通过配置基线检测发现工业控制网络中资产配置异常，通过控制操作一致性检测发现工业控制网络中的操作行为异常，从而提升工业控制网络对抗APT攻击的能力，能够帮助管理人员尽早发现异常，尽可能降低APT攻击造成的人员伤亡和财产损失。

附图说明

图1是系统运行流程示意图；

图2是安全数据采集子系统中弹性采集策略模块的流程图；

图3是异常检测子系统中资产配置基线检测模块的流程图；

图4是异常检测子系统中控制操作一致性检模块的流程图。

具体实施方式

为使本发明的实施例的目的、技术方案和优点更加清楚，下面进一步结合附图对本发明作详细描述。

1.图1是本发明的系统运行流程示意图。如图1所示，所述系统包括：

1)安全数据采集子系统由主机设备数据采集模块、网络设备数据采集模块、控制设备数据采集模块和弹性采集策略模块组成，其以工业控制网络中的资产为采集目标，采集资产的安全数据，并生成JSON格式的安全报文，安全报文被储存在分布式数据库中；所述资产是包括Web服务器、邮件服务器、ERP系统服务器、OA系统服务器、上位机、历史库服务器、实时库服务器、交换机、防火墙、单向网闸、IDS/IPS、PLC控制器、DCS控制器等；

2)异常检测子系统由资产配置基线检测模块和控制操作一致性检测模块组成，其读取安全报文，并基于资产配置基线检测和控制操作一致性检测进行异常分析，输出异常分析的结果。

2.图2是本发明的安全数据采集子系统中弹性采集策略模块的具体流程：

1)为资产划分安全区域，并为每个区域定义多个级别的采集数据集，采集数据集中数据种类的数量随级别的下降而减少；

2)根据功能、用途和安全区域的等级初始化数据采集的频率，并将采集数据集初始化为最高级；

3)下发初始策略后，监控数据上传链路的网络流量，确定当前网络的拥塞程度；

4)下发初始策略后，监控被采集设备的资源使用率，确定设备的当前负荷状态；

5)检测心跳信号是否正常，如果心跳信号不正常则停止采集，如果心跳信息正常则重新确定数据采集的频率以及采集数据集的级别；

6)按照公式(数据采集频率＝基础采集频率×网络拥塞因子×负荷状态因子)重新计算出数据采集的频率，并根据当前网络的拥塞程度和设备的当前负荷状态确定采集数据集的级别；所述基础采集频率是指根据功能、用途和安全区域的等级而设定的数据采集频率的初始值，所述网络拥塞因子是指预设的网络带宽使用率阈值/当前链路网络带宽的使用率，所述负荷状态因子是指预设的资源使用率阈值/被采集设备当前的资源使用率(被采集设备的资源使用率是指CPU利用率和内存使用率)；

a)如果当前网络畅通且设备负荷低，即当前链路网络带宽的使用率小于等于阈值且被采集设备当前的资源使用率小于等于阈值，则保持现有采集数据集的级别；

b)如果当前网络拥塞或者设备负荷高，即当前链路网络带宽的使用率大于阈值或者被采集设备当前的资源使用率大于阈值，则将现有采集数据集的级别降低一级；

c)如果当前网络拥塞且设备负荷高，即当前链路网络带宽的使用率大于阈值且被采集设备当前的资源使用率大于阈值，则将现有采集数据集的级别降为最低级；

7)下发包含有新的采集频率和采集数据集级别的采集策略，并重新启动网络链路监控和设备负荷监控流程。

3.图3是本发明的异常检测子系统中资产配置基线检测的具体流程：

1)根据法律、法规及相关领域行规建立资产配置基线，资产配置基线指对生产过程中不会发生变化的配置或只会在特点范围内变化的配置建立基线，不会发生变化的配置的基线为固定值，在特点范围内变化的配置的基线为变化范围的临界值；

2)管理员通过自定义接口建立自定义配置基线；

3)从安全报文中检索相关的资产配置信息；

4)判断安全报文中的资产配置信息是否满足配置基线的要求；

a)如果安全报文中的资产配置信息无法满足配置基线的要求，则触发配置异常报警；

b)如果安全报文中的资产配置信息满足配置基线的要求，则进入步骤5)。

5)判断是否需要生产合规性报告；

a)如果需要生产合规性报告，则按照法律、法规或相关领域行规的要求生成文本形式的合规性报告；

b)如果不需要生产合规性报告，则结束资产配置基线检测。

4.图4是本发明的异常检测子系统中控制操作一致性检的流程图的具体流程：

1)启动控制设备分析模块；

2)判断控制设备分析模块是否启动成功，如果启动不成功则转至步骤3)，如果启动成功则执行：

a)启动控制网络嗅探器；

b)进行实时网络抓包；

c)启动网络数据包分析器；

d)启动数据包定时统计分析器；

e)对网络数据包进行定时统计分析；

f)解析工业以太网数据包类型及数据负载；

g)分析不同类型的工业以太网数据包：

i.处理注册响应数据包；

ii.处理策略数据包；

iii.处理获取资源配置请求数据包；

iv.处理分配资源ID请求数据包；

v.处理会话创建数据包；

vi.处理会话关闭数据包；

vii.处理其他数据包；

h)产生控制设备分析结果；

3)启动主机设备分析模块；

4)判断主机设备分析模块是否启动成功，如果启动不成功则转至步骤5)，如果启动成功则执行：

a)启动主机代理嗅探器；

b)下发数据采集策略；

c)接收主机代理嗅探器提交的安全报文数据；

d)解析并分析不同类型的安全报文：

i.解析并分析主机设备配置变更事件报文；

ii.解析并分析主机设备运行状态异常事件报文；

iii.解析并分析主机设备上层应用(SCADA)的组态变更事件报文；

e)产生主机设备分析结果；

5)启动网络设备分析模块；

6)判断网络设备分析模块是否启动成功，如果启动不成功则转至步骤7)，如果启动成功则执行：

a)通过SNMP协议和SYSLOG采集网络设备的配置信息，生产配置信息安全报文；

b)通过SNMP协议和SYSLOG获取网络设备的运行状态信息，生产运行状态信息安全报文；

c)解析并分析不同类型的网络设备安全报文：

i.解析并分析网络设备配置变更事件报文；

ii.解析并分析网络设备运行状态异常事件报文；

iii.解析并分析网络安全设备报警信息报文；

d)产生网络设备分析结果；

7)按照控制子网、监管子网、业务子网的范围对控制设备分析结果、主机设备分析结果和网络设备分析结果进行划分；

8)对区域间的分析结果数据进行关联分析，首先以发生时间和IP地址/MAC地址为关联条件，在控制子网、监管子网、业务子网的分析结果之间建立关联关系，其次以控制指令中的ID或起标识作用的协议字段为关联条件，对已经建立起的关联关系进行过滤、合并等优化操作；

9)检测被关联数据中的操作行为是否一致：

a)如果检测被关联数据中的操作行为一致，即被关联数据中所操作的I/O点位名称、I/O点位数据等信息均相同，则将当前操作行为标记为正常；

b)如果检测被关联数据中的操作行为不一致，即被关联数据中所操作的I/O点位名称或者I/O点位数据等信息中的任一项出现不同，则将当前操作行为标记为异常，并触发操作行为异常报警。

综上所述，本发明的面向工业控制网络的安全数据采集与异常检测方法与系统采用弹性数据采集策略采集多层次、多类型的工业控制网络安全数据，并通过配置基线检测和控制操作一致性检测发现工业控制网络中的异常行为，全面且丰富的数据采集机制提供了对工业控制系统的全面监管，弹性的数据采集策略保障了工业控制网络的可用性和可靠性，配置基线检测和控制操作一致性检测提升了工业控制网络抵抗APT攻击的能力，降低了可能造成的人员伤亡和财产损失。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明在工业控制网络中的实现过程，以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种面向工业控制网络的安全数据采集与异常检测方法，其特征在于，包括安全数据采集步骤和异常检测步骤；所述安全数据采集步骤以工业控制网络中的资产为采集目标，基于弹性数据采集策略进行多种类数据采集和多层次数据采集，并生成安全报文，将安全报文储存在分布式数据库中；所述异常检测步骤对安全报文进行资产配置基线检测和控制操作一致性检测，并实时输出异常检测结果。

2.根据权利要求1所述的方法，其特征在于，所述多种类数据采集包含针对主机类设备的多类型数据采集、针对网络类设备的多类型数据采集以及针对控制类设备的多类型数据采集；所述多层次数据采集从控制子网、监管子网和业务子网采集数据。

3.根据权利要求2所述的方法，其特征在于，所述针对主机类设备的多种类数据采集是采集资产的硬件型号信息、IP地址/MAC地址信息、操作系统版本信息、安装的系统补丁信息、安装的应用软件信息、应用的配置信息、系统运行的进程信息、系统开放的端口与服务信息、用户账号信息、用户登录信息、关键文件变更信息、接入的USB设备信息、资源使用率信息和非法外联信息；所述针对网络类设备的多种类数据采集是采集资产的硬件型号信息、设备配置信息、运行状态信息和网络流量镜像数据；所述针对控制类设备的多种类数据采集是采集资产的硬件型号信息、设备组态信息和I/O点数据变化信息；所述控制子网包括PLC、DCS、交换机、防火墙，所述监管子网包括上位机、历史库服务器、实时库服务器、交换机、防火墙、单向网闸，所述业务子网包括Web服务器、邮件服务器、ERP系统服务器、OA系统服务器、交换机、防火墙、IDS/IPS。

4.根据权利要求1所述的方法，其特征在于，所述弹性数据采集策略根据资产的功能、用途及安全等级确定初始的数据种类和数据采集频率，并根据被采集对象的运行负荷以及当前网络的拥塞状况动态调整数据采集策略：如果被采集对象的运行负荷超过阈值，或者当前网络持续拥塞，则减少采集的数据种类并降低数据采集频率，以优先保证工业控制网络的可用性。

5.根据权利要求4所述的方法，其特征在于，所述数据采集频率的计算方法为：数据采集频率＝基础采集频率×网络拥塞因子×负荷状态因子；所述基础采集频率是指根据功能、用途和安全区域的等级而设定的数据采集频率的初始值，所述网络拥塞因子是指预设的网络带宽使用率阈值/当前链路网络带宽的使用率，所述负荷状态因子是指预设的资源使用率阈值/被采集设备当前的资源使用率。

6.根据权利要求1所述的方法，其特征在于，所述资产配置基线检测根据法律、法规及相关行业标准建立资产配置基线，并将安全报文中记录的配置信息与配置基线进行实时比对，如果当前资产的配置信息不满足配置基线的要求，则触发配置异常报警。

7.根据权利要求1所述的方法，其特征在于，所述控制操作一致性检测针对关键操作命令在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系，并检测被关联报文中操作数据的一致性，如果操作数据存在不一致，则触发操作异常报警。

8.一种面向工业控制网络的安全数据采集与异常检测系统，其特征在于，包括安全数据采集子系统、安全数据分布式存储子系统、异常检测子系统和管理子系统；

所述安全数据采集子系统包括主机设备数据采集模块、网络设备数据采集模块、控制设备数据采集模块和弹性采集策略模块，其中主机设备数据采集模块、网络设备数据采集模块和控制设备数据采集模块分布式部署在工业控制网络中，并根据弹性采集策略模块提供的弹性采集策略采集控制子网、监管子网和业务子网中资产的安全数据，生成安全报文；

所述安全数据分布式存储子系统分布式部署在每一个安全区域中，接收当前安全区域中所有安全数据采集子系统生成的安全报文，并存储在非关系型数据库中；

所述异常检测子系统包括资产配置基线检测模块和控制操作一致性检测模块，用于读取安全报文，进行资产配置基线检测和控制操作一致性检测；

所述管理子系统提供系统管理员、安全管理员和系统维护员三类角色，其中向系统管理员提供系统全部配置的接口，向安全管理员提供修改配置基线、设置控制操作一致性检测阈值的接口，向系统维护员提供数据查看、备份和恢复的接口。

9.根据权利要求8所述的系统，其特征在于，所述资产配置基线检测模块根据法律、法规、相关行业标准及用户自定义要求建立资产配置基线，从安全数据分布式存储子系统中读取安全报文，并将安全报文中记录的配置信息与配置基线进行比对，如果当前资产的配置信息不满足配置基线的要求，则触发配置异常报警。

10.根据权利要求8所述的系统，其特征在于，所述控制操作一致性检测模块以关键操作命令为目标，以操作时间、资产网络地址、操作会话信息为线索，在控制子网安全报文、监管子网安全报文和业务子网安全报文之间建立关联关系，如果发现被关联的报文中存在操作数据不一致性，则触发操作异常报警。