CN108370370A - 用于被动评估工业边界安全的系统和方法 - Google Patents
用于被动评估工业边界安全的系统和方法 Download PDFInfo
- Publication number
- CN108370370A CN108370370A CN201580085310.0A CN201580085310A CN108370370A CN 108370370 A CN108370370 A CN 108370370A CN 201580085310 A CN201580085310 A CN 201580085310A CN 108370370 A CN108370370 A CN 108370370A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- processor
- topological data
- topological
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于评估和管理网络的网络安全的计算机实现的方法,包含利用处理器检索拓扑数据和网络流量数据,其中拓扑数据指示网络的拓扑。该方法可还包含:经由处理器,从多个网络数据收集器检索网络流量数据;经由处理器,基于拓扑数据和网络流量数据生成攻击树;利用攻击树和拓扑数据,更新客户模型数据库;以及基于攻击树和拓扑数据,输出安全评估。
Description
背景技术
本公开涉及工业安全,并且更具体地涉及工业边界安全的被动评估。
工业控制系统环境中的工业安全服务提供商在评估所采用的网络安全配置的质量时面临着多重挑战。尤其是,评估网络中采用的访问控制列表(ACL)的质量会带来很多挑战,如果处理不当,其可能无法提供简化的安全评估。可能会因为所采用的ACL的质量可在针对不同网络区域的不同网络边界上被不同地观察到而出现挑战。自动收集这些信息会带来很多挑战。例如,工业控制系统网络环境通常在高度隔离的环境中包括多层交换机、路由器,因此需要与每个层进行物理连接以进行网络流量和配置检索和记录。探测技术可能不太理想,因为工业环境可能包括对主动网络探测高度敏感的装置。在某些情况下,在工业环境中运行的许多已安装的传统可编程逻辑控制器(PLC)可能非常易受由于使用诸如网络映射器(例如NMAP)的网络发现工具而导致的故障状态错误的影响。用于工业环境中的网络安全评估的现有方法和装置可能不提供有效的规则使用验证和/或与先进的攻击矢量不相关。在许多情况下,资产所有者可能会简单地选择不将这些活动作为网络审计检查过程的一部分执行。相反,他们可能仅仅专注于寻找高度差异的开放网络规则(例如,“允许任意”、“允许IP”、对通信端口没有限制等)。然而,分析可能高度依赖网络安全从业者的判断和经验。
手动评估可以作为传统策略的一部分来实施。安全分析师手动地检查和将应用的ACL与防火墙和多层分组处理装置进行关联在许多情况下是通常采用的做法,在这些情况下只提供网络装置的离线配置。这种方法可能仅限于安全分析师读取和处理大量网络规则(大多数情况下)的能力。随着人工参与和分析的增加,手动地验证ACL相对于所记录的流量的选项可能变得不足并且容易出错。
其它传统的网络安全评估的策略可能包含使用自动化现有评估工具。一般来说,现有自动化工具可以分为以下两类:第一类自动化解决方案可能包含防火墙/交换机/路由器配置审计和合规工具,这些工具可能专注于收集和处理针对安全最佳实践的内部知识库(KB)所应用的配置。第二类可能包含防火墙策略优化工具,这些工具可用作连接工具,该工具利用路由表、点击计数和日志等可用信息来提供历史流量分析和规则集优化。应用的网络规则相对于实际流量的评估只有在审计服务器可以访问装置的情况下才有可能。无论哪种情况,传统现有防火墙配置审计工具通常都需要连接到目标网络装置。例如,对于工业控制环境的评估,通过防火墙、工业防火墙、多层网络交换机、路由器等的连接可能是有问题的,以便验证所观察的流量对应于配置的ACL条目,并且不存在“未使用的或者过宽的网络规则“。在其它情况下,网络基础架构和安全配置可能由第三方IT管理服务提供商(MSP)常规控制,合同义务是限制对其员工的管理访问。这可能会导致难以通过各种防火墙、多层网络交换机、路由器等进行连接。
传统的网络安全评估系统也可能缺乏一种机制来模拟考虑到当前采用安全配置的网络可利用的最近披露的脆弱性的影响。换句话说,尽管关于脆弱性和(离线)防火墙配置的信息都可用,但可能没有任何自动化机制将这些信息关联起来,并警告资产所有者有关新的攻击矢量,这些攻击矢量可能会针对现有的有效ACL执行攻击。除了上述问题之外,采用“周期性防火墙配置审计”方法通常会暴露受控工业网络环境的受攻击面。随着暴露的增加,攻击矢量和恶意渗透的风险也会增加。
发明内容
根据一些实施例,描述了一种用于评估和管理网络的网络安全的计算机实现的方法。该方法可以包含利用处理器检索拓扑数据和网络流量数据,其中拓扑数据指示网络的拓扑。该方法可还包含:经由处理器,从多个网络数据收集器中检索网络流量数据;经由处理器,基于拓扑数据和网络流量数据生成攻击树;利用攻击树和拓扑数据,更新客户模型数据库;并且基于攻击树和拓扑数据输出安全评估。
根据其它实施例,描述了一种用于评估和管理工业控制系统网络的网络安全的系统。该系统可包含配置成检索拓扑数据和网络流量数据的处理器,其中,拓扑数据指示网络的拓扑。处理器可以还配置为:从多个网络数据收集器检索网络流量数据;基于拓扑数据和网络流量数据生成攻击树;利用攻击树和拓扑数据更新客户模型数据库;并基于攻击树和拓扑数据输出安全评估。
根据其它实施例,描述了一种非暂时性计算机可读存储介质。非暂时性计算机可读存储介质可以被配置为存储当由处理器执行时执行用于评估和管理工业控制系统网络的方法的计算机可执行指令。该方法可包含利用处理器检索拓扑数据和网络流量数据,其中拓扑数据指示网络的拓扑。该方法可还包含:经由处理器,从多个网络数据收集器中检索网络流量数据;经由处理器,基于拓扑数据和网络流量数据生成攻击树;利用攻击树和拓扑数据,更新客户模型数据库;并且基于攻击树和拓扑数据,输出安全评估。
根据其它实施例,描述了一种用于在网络中收集和存储网络数据流信息的收集器装置。收集器装置可以包含:网络接口,被配置为与网络中的网络路由装置进行接口连接;LED通信光传感器,被配置为选择性地从LED通信光发射器接收来自网络路由装置的、指示网络数据流量信息的通信信号;计算机存储器,可操作地连接到LED通信光传感器并且被配置为存储网络数据流信息;输出接口,配置为发送所存储的网络数据流信息;以及硬开关,与所述网络接口连接并且被配置为选择性地允许数据仅在一个方向从LED通信光发射器发射到LED通信光传感器。
附图说明
尤其指出了被认为是本发明的主题,该主题在说明书结尾处的权利要求中被清楚地要求保护。从以下结合附图的详细描述中,本发明的上述和其它特征以及优点是显而易见的,其中:
图1示出用于实践本文教导的计算机系统的框图;
图2图示了根据示例性实施例的用于执行工业边界安全的被动评估方法的计算环境;
图3A图示了根据一些实施例的被动网络数据收集器;
图3B图示了根据示例性实施例的准确收集器装置的系统;
图4图示了根据示例性实施例的安全评估引擎;
图5图示了根据示例性实施例的客户风险模型;
图6图示了根据示例性实施例的客户端安全引擎模型;以及
图7图示了根据示例性实施例的用于网络安全管理的方法。
具体实施方式
图1示出了用于实践本文描述的实施例的计算机系统100(以下称为“计算机100”)的框图。本文描述的方法可以用硬件、软件(例如,固件)或其组合来实现。在示例性实施例中,本文描述的方法以硬件实现,并且可以是专用或通用数字计算机的微处理器的一部分,例如个人计算机、工作站、小型计算机或大型计算机。计算机100因此可以实施为通用计算机。在另一示例性实施例中,本文描述的方法被实现为移动装置的一部分,例如移动电话、个人数据助理(PDA)、平板计算机等。
在示例性实施例中,就硬件体系结构而言,如图1所示,计算机100包含处理器101。计算机100还包含耦接到处理器101的存储器102以及可以经由本地系统总线105通信地耦接的一个或多个输入和/或输出(I/O)适配器103。存储器102可可操作地耦接到一个或多个内部或外部存储器装置。通信适配器104可将计算机100可操作地连接到一个或多个网络115。系统总线105还可经由接口适配器112连接一个或多个用户接口。接口适配器112可将多个用户界面连接到计算机100,该计算机包含例如键盘109、鼠标110、扬声器113等。系统总线105还可将显示适配器116和显示器117连接到处理器101。处理器101还可操作地连接到图形处理单元118。
处理器101是用于执行硬件指令或软件的硬件装置、尤其存储在非暂时性计算机可读存储器(例如,存储器102)中的硬件指令或软件。处理器101可以是任何定制或市售的处理器、中央处理单元(CPU)、多个CPU(例如,CPU 101a-101c)、与计算机100相关联的若干其它处理器中的辅助处理器、基于半导体的微处理器(以微芯片或芯片组的形式)、宏处理器或通常用于执行指令的任何装置。处理器101可以包含存储器缓存106,其可以包含但不限于用于加速可执行指令提取的指令缓存、用于加速数据提取和存储的数据缓存以及用于加速可执行指令和数据的虚拟-物理地址转换的转换后备缓冲器(TLB)。缓存106可被组织为更多缓存级别(L1、L2等)的分层结构。
存储器102可包含随机存取存储器(RAM)107和只读存储器(ROM)108。RAM 107可以是易失性存储器元件(例如,DRAM、SRAM、SDRAM等)中的任何一个或其组合。ROM 108可以包含任何一个或多个非易失性存储器元件(例如,可擦除可编程只读存储器(EPROM)、闪存存储器、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁带、只读光盘存储器(CD-ROM)、磁盘、盒式磁带或磁带等等)。此外,存储器102可以包含电子、磁性、光学和/或其它类型的非暂时性计算机可读存储介质。请注意,存储器102可具有分布式体系结构,其中各种组件彼此远离地定位,但可由处理器101访问。
存储器102中的指令可以包含一个或多个单独的程序,其中的每一个包括用于实现逻辑功能的计算机可执行指令的有序列表。在图1的示例中,存储器102中的指令可包含合适的操作系统111。操作系统111可控制其它计算机程序的执行,并提供调度、输入输出控制、文件和数据管理、存储器管理以及通信控制和相关服务。
如本领域已知的那样,输入/输出适配器103可以是例如但不限于一个或多个总线或其它有线或无线的连接。输入/输出适配器103可具有附加的元件(为了简化起见被省略)以实现通信,附加的元件例如为控制器、缓冲器(缓存)、驱动器、中继器和接收器。此外,本地接口可以包含地址、控制和/或数据连接以实现上述组件之间的适当的通信。
接口适配器112可以被配置为将一个或多个I/O装置可操作地连接到计算机100。例如,接口适配器112可连接传统的键盘109和鼠标110。其它输出装置,例如扬声器113可操作地连接到接口适配器112。尽管未示出,但也可以包括其它输出装置。例如,装置可以包含但不限于打印机、扫描仪、麦克风和/或类似装置。最后,可连接到接口适配器112的I/O装置还可包含通信输入和输出的装置,该装置例如为但不限于网络接口卡(NIC)或调制器/解调器(用于访问其它文件、装置、系统、或网络)、射频(RF)或其它收发器、电话接口、网桥、路由器等。
计算机100可还包含耦接到一个或多个显示器117的显示适配器116。在示例性实施例中,计算机100可还包括用于耦接到网络115的通信适配器104。
网络115可以是用于计算机100与任何外部装置之间的通信的基于IP的网络。网络115在计算机100与计算机100外部的装置和/或系统之间发送和接收数据。在示例性实施例中,网络115可以是由服务提供商管理的受管IP网络。网络115可以是飞机内部的网络,诸如例如航空电子网络等。网络115可以以无线方式实现,例如使用无线协议和技术,诸如WiFi、WiMax等。网络115还可以是具有任何有线连接性(包括例如RS232连接、R5422连接等)的有线网络,例如以太网网络、ARINC429网络、CAN等。网络115还可以是分组交换网络,诸如局域网、广域网、城域网、因特网或其它类似网络环境的交换网络。网络115可以是固定无线网络、无线局域网(LAN)、无线广域网(WAN)、个域网(PAN)、虚拟专用网络(VPN)、内联网或其它合适的网络系统。
如果计算机100是PC、工作站、膝上型电脑、平板计算机等,则存储器102中的指令可还包括基本输入输出系统(BIOS)(为简单起见而被省略)。BIOS是在启动时初始化和测试硬件、启动操作系统111以及支持可操作地连接的硬件装置之间的数据的传输的一组基本例程。BIOS存储在ROM 108中,使得当计算机100被激活时可以执行BIOS。当计算机100处于运行中时,处理器101可以被配置为执行存储在存储器102内的指令、向存储器102传送数据和从存储器102传送数据,并且总体上根据指令控制计算机100的运行。
现在参考图2,根据示例性实施例描述了用于执行网络的网络安全的方法的示例性计算环境200。计算环境200可以包含工业控制系统网络202。工业网络202可经由网络115可操作地连接到文件服务器204。文件服务器204可以是基于云的平台或本地文件服务器。工业网络202可以是在工业环境中运行的任何类型的网络,例如在制造工厂或其它工业环境中。工业网络202可以包含诸如例如可编程逻辑控制器(PLC)、HMI(人机界面)、现场装置(传感器和致动器)、个人计算机、服务器、网络交换机、路由器等工业装置(例如,装置226、230、234和238)的混合。工业网络202还可包含任何一个或多个移动装置、手持装置等。
工业网络202可包含包含了例如工业网络区域208、210、212和214的一个或多个网络区域。根据一些实施例,工业网络区域208-214可经由一个或多个交换机/路由器220、222和224相互连接。根据一些实施例,可以隔离一个或多个区域,诸如工业网络区域214。如图2所示,工业网络区域214可经由一个或多个分区218与工业网络202的其余部分隔离或划分,分区可以是与工业网络区域208、210和/或212的物理断开、经由VLAN(虚拟LAN)的逻辑断开或经由例如防火墙(例如,防火墙206)等装置的逻辑断开。尽管在图2中图示了四个区域,应该理解的是,可以包含任何数量的区域和工业网络202。
工业网络区域208可以包含经由交换机/路由器220连接到网络数据收集器228的装置226。任何工业网络区域208、210、212、214可包含多个装置(例如,226、230、234和或238)。交换机/路由器220、222、224和242可以互连,或者在区域214的情况下可以独立于其它区域。
工业网络202可包含一个或多个客户端节点216,客户端节点可用于将公共网络(例如,网络115)与启用安全的网络环境隔离开来。客户端节点216可以包含客户端安全模块244。客户端安全模块244可以包含与在文件服务器204上运行的安全评估引擎246通信并向其报告的一个或多个工具、装置和/或驱动器。文件服务器204可以包含安全评估引擎246。参照图4更详细地被描述的安全评估引擎246可以包含被配置为执行本文描述的实施例的一个或多个引擎。
如图2所示,工业网络区域208、210、212和/或214可各自包含一个或多个网络数据收集器(例如,网络数据收集器228、232、236和240)。在一些实施例中,到228、232、236和240的网络数据收集器可以是诸如网络映射工具(NMAP)或其它网络分组捕获工具之类的现有网络信息数据收集工具。在其它实施例中,网络数据收集器228、232、236和240可以是一个或多个网络收集器装置、诸如例如关于图3A和3B所图示的网络数据收集器装置300。诸如工业网络区域214的隔离区域可以被隔离以防止通过网络115和/或其它连接区域内的任何地方的攻击矢量。
在一些实施例中,诸如NMAP的现有网络信息收集工具可以包含用于网络发现和安全审计的实用程序。在一些方面,它们可以被配置为执行诸如网络库存、管理网络服务升级时间表、网络监视、主机或服务正常运行时间信息收集和/或其它网络管理和映射任务的任务。NMAP通常通过探测各个网络资产并记录由网络探测器获知的信息来工作。在一些方面,现有网络数据收集器可以以不同的方式使用原始IP分组数据来确定哪些网络主机可以在网络上可用。它们还可确定可托管特定网络产品的服务(例如应用程序和复制版本)。NMAP还可确定与在网络上运行的装置相关的操作系统信息,操作系统信息为例如操作系统版本、装置平台、装置类型、硬件信息和/或其它信息。
如前所述,工业网络环境可对执行主动网络探测的任何机制和/或技术(例如上述自动化工具)高度敏感,因为诸如旧型PLC的安装装置可能非常容易在网络探测运行之后或期间进入故障状态。在一些情况下,提供不以侵入方式探测网络资产的被动网络数据网络数据收集器可能是有利的。
根据一些实施例,网络数据收集器228、232、236和240可以被配置成被动地直接从网络区域收集信息而无需侵入式探测操作。在一些方面,收集器228-240可以通过观察通过连接到每个相应的网络数据收集器装置的网络基础架构的本地网络流量来被动收集网络信息。图3A和3B图示了示例性的被动网络数据收集器装置300。
现在参考图3A,根据一些实施例,图示了示例性的被动网络数据收集器装置300。在一些方面,网络数据收集装置300可以包含一个或多个USB接口304,和/或一个或多个网络接口306。根据一些实施例,网络接口306可以是被配置为与一个或多个网络路由器和/或网络装置(例如,交换机/路由器220、222和/或224)接口连接的RJ-45连接器或另一网络连接器。被动网络数据收集装置300可以被配置为经由网络接口306与网络路由装置进行接口连接。
在一些方面,网络数据收集器装置300可以经由USB接口304接收信息、通过一个或多个单向耦接器路由信息、通过一个或多个集成存储器处理信息,并且经由网络接口306输出该信息。在其它方面,网络数据收集器装置300可以从以太网接收分组捕获信息并且经由USB输出该信息。
在其它实施例中,网络数据收集器装置300可以使用以太网端口被动地(通过分组捕获)收集流量,并且将其输出到中央服务器并使用它来验证边界中采用的ACL的质量。例如,根据一些实施例,在该边界上可能有TCP 502端口打开,但在使用该装置的网络中没有观察到的Modbus TCP流量。结论很可能是,这个端口可能会被关闭。因此,网络数据收集器装置300可以用于被动流量收集和取证信息收集。在一些方面,网络数据收集器装置300可能比其它网络装置更安全,因为它不允许恶意软件传播到网络段和/或从网络段传播,如通常在使用简单USB存储介质时那样。
根据一些实施例,网络数据收集器装置300可以允许信息仅在一个方向通过。通过允许信息仅在一个方向上流动,可以消除一个可能的网络攻击矢量。通过致动硬开关308可允许信息通过网络数据收集装置300。如图3A所示,硬开关308被示出处于“开”位置。替代性地,硬开关308可切换到“关”位置310。在一些方面,当硬开关308处于开启位置信息时,可能无法从用作输入的USB接口304传递到用作输出的网络接口306。
根据其它实施例,网络数据收集器装置300可以包含一个或多个机制,以确保仅在一个方向上传递信息。现在考虑图3B,根据一些实施例,示出了用于示例性网络数据收集器装置300的系统。示意图312图示了插脚314、316、318、320、322和324。在一些方面中,插脚314可以被配置为接收数据输入和/或电力。插脚316可以被配置为接地笔,并且插脚318可以被配置为辅助数据插脚。插脚316和/或318可以被配置为通过一个或多个LED通信光发射器326路由数据。LED通信光发射器326可以向一个或多个LED通信光传感器328传送光形式的信息。根据一些实施例,LED通信光传感器328可以被配置为将接收到的信息路由到集成装置存储器330和/或信号插脚320、322和/或324中的一个。尽管在图3B中未示出,示意的312可以包含一个或多个微处理器,微处理器被配置为处理保存到存储器330中并从中检索的收集的网络数据。存储器330可以存储可指示网络中的多个分组的分组路由的网络数据流信息。可存储在存储器330中的信息还可以指示先前在网络中使用的一个或多个联网协议以及用于多个分组的一个或多个流量模式。
本文描述的实施例和装置可以解决上面关于提供网络安全评估和工业自动化和控制系统网络的现有工具所讨论的一些所描述的漏洞。常规系统和装置目前不会侵入并且不会破坏工业联网运行(例如,制造)。因此,提供用于在线和离线安全验证和评估的系统和方法可能是有利的。
图4图示了根据一些示例性实施例的安全评估引擎246。安全评估引擎246可以被配置为基于收集的网络信息来导出风险模型和网络攻击模型。如前所述,集体网络信息可以包含客户端装置或被动离线收集装置离线地进行收集的或者可以使用一个或多个网络信息收集器实时地进行收集的信息。安全评估引擎246可以基于以攻击风险模拟的形式组织的信息来检测行为异常。在一些情况下,安全评估引擎246可以被配置为考虑缓解选项(例如关闭端口、重新路由流量、用一个或多个级别在内部重置分段网络,和/或其它缓解操作),并且观察网络的建模结果,而不需要在操作网络上实际提交更改。在某些方面,这可以提供一种预测和缓解安全风险(例如,一个或多个潜在漏洞)的方式,而不会实际上使操作计算环境面临风险。
安全评估引擎246可以包含解析引擎400、分析引擎402、模型构建引擎404和风险模拟引擎406。解析引擎400、分析引擎402和模型构建代理404可以在模块之间共享用于分析和创建安全评估、客户攻击模型和派生的风险模型的信息。安全系统引擎246可以进一步包含客户通知引擎410,其可以被配置为从分析引擎402、模型构建引擎404和/或风险模拟引擎406接收信息,并且警告一个或多个客户端网络安全风险。
在一些方面,解析引擎400可以被配置为从客户端安全模块244和一个或多个网络信息收集器(例如228、232、236和/或240)接收网络安全和拓扑信息。例如,解析引擎400可以接收一个或多个网络日志、资产拓扑信息和/或其它网络信息,并解析该信息以确定相关的安全风险信息。安全评估引擎246可以被配置为接收客户提供的信息,信息包含例如网络分组捕获文件、其中网络流量被收集的一个或多个区域的区域描述、系统日志信息、SNMP信息、资产库存信息和/或网络拓扑信息。在其它方面,安全评估引擎246可以被配置为从一个或多个网络设备(例如区域收集器228、232、236和/或240、客户端安全模块244和/或其它网络设备)自动地检索信息、使用解析引擎400解析信息,并使用分析引擎402分析信息。在其它方面,安全评估引擎246可以从外部源接收信息,例如来自软件制造商网站的软件产品脆弱性信息、恶意软件信息、端口目标统计和/或其它攻击模式源,可以在互联网上公开可用的活动和/或开放式威胁情报,其可以或不可以通过解析引擎400来解析。
分析引擎402可以被配置为基于由解析引擎400接收到的网络安全和拓扑信息来提供连续的网络监视和分析。例如,分析引擎402可以分析由解析引擎400接收到的信息、基于该信息计算基线安全概要,并且通过将安全基线与接收到的网络信息进行比较来提供工业网络202的在线或离线监视。例如,分析引擎402可以查看已知的网络信息(例如,拓扑信息和分组流信息等),并且基于已知网络信息的变化确定网络上是否存在任何新的或现有的安全威胁。
根据一些实施例,分析引擎402可以进一步包含网络流量分析器412和行为异常检测模块414。在一些方面中,网络流量分析器412可以被配置为从网络数据收集器228、232、236和/或240接收信息,并分析关于网络分组流的集体网络信息。
行为异常检测模块414可以被配置为从集体网络信息中检测可能指示一个或多个安全威胁的异常。例如,集体网络流量数据可以包含指示正在进行的网络攻击或网络攻击在前一次发动的信息。根据一些实施例,行为异常检测模块414可以被配置为执行对工业协议(包含例如西门子专有协议)的深度分组检查。在一些方面中,异常检测模块414可以被配置为基于从收集的信息确定的观测的流量模式来计算基线安全状态。可以收集和/或识别可能与安全相关的关键命令以在收集的网络数据中提供行为检测。根据一些实施例,分析引擎402可以使用该信息来计算用于分析和声明计算出的风险的最坏情况(例如,影响)。
模型构建引擎404可以包含攻击树计算引擎416和威胁信息收集器418。在一些方面,攻击树计算引擎416可以分析由分析引擎402检测到的关于由解析引擎400接收并且解析的一个或多个网络拓扑的安全威胁。攻击树计算引擎416可以基于所收集的网络安全配置(例如,ACL)来制定一个或多个攻击树,攻击树可以指示针对特定网络而识别的潜在或实际的安全风险。在一些方面,分析引擎402可以基于可能与攻击模型相关的外部网络变化(例如,最近发现的恶意软件)来识别新出现的风险。在现有工具可能关注网络的无形探究(例如,诸如网络内所包含的操作系统的列表)的情况下,分析引擎402可以利用实时确定的与新兴的网络攻击信息相关的实际的网络信息。
在一些方面,客户通知引擎410可以被配置为向客户提醒安全威胁的潜在负面影响,并且提供用于缓解经由风险检测和计算模块420检测和分析的风险建议和指令。例如,客户通知引擎410可以被配置为针对可能应用于客户环境(例如,工业网络202)的任何新发现的攻击模式提供风险警报。威胁信息收集器418可以聚集从包含因特网的公共来源以及包含分析引擎402的私用来源获知的威胁信息。流量分析器412可将可包含建议的网络拓扑或流量重定向改变的缓解建议转发给一个或多个客户端。
在一些方面中,安全评估引擎246可以观察到工业网络202中存在的可能指示高度的安全威胁的异常和/或关键配置或命令。因此,安全评估引擎246可以经由客户通知引擎410向客户端提供建议的安全配置和/或优化建议。建议可以包含例如网络设置建议、传输层设置和/或应用层设置。
根据其它实施例,安全评估引擎246可以包含客户模型数据库408。客户模型数据库408可以包含一个或多个客户风险模型,例如客户风险模型424、426、428、430等。尽管在图4中仅图示了四个客户风险模型。应该理解,安全评估引擎246可以包含任何数量的客户风险模型。图5图示了根据一些示例实施例的示例性客户风险模型500。
现在参照图5,客户风险模型500可以包含工厂网络安全模型502和攻击树信息数据结构512。根据一些实施例,网络安全模型502可以包含多个数据结构,数据结构包含例如流量流信息结构504、网络区域安全信息结构506、攻击矢量信息结构508和配置建议记录510。根据其它实施例,客户风险模型500可以进一步包含攻击信息记录512(该攻击信息记录可以包含协议使用记录514)和/或网络证书攻击路径信息结构516。客户模型数据库408可以包含与具有网络(例如工业网络202)的多个客户端相对应的各个客户风险模型(例如客户风险模型500)。
如前所述,安全评估引擎246可以可操作地安装在文件服务器204上。在一些方面,客户端安全模块244可以可操作地安装在客户端节点216上。现在参照图6,根据一些示例性实施例图示了客户端安全模块244。客户端安全模块244可以包含收集器聚集引擎602、网络拓扑引擎604和客户通知模块606。
收集器聚集引擎602可以被配置为从收集器收集网络信息到28、232、236和/或240。在其它实施例中,网络拓扑引擎604可以被配置为收集和/或聚集网络装置(诸如例如工业网络区域208、210、212和/或214中的装置)的网络拓扑。网络拓扑引擎604可以通过查询网络数据收集器228、232、236和/或240来收集和聚集网络拓扑信息。根据一些实施例,网络数据收集器228、232、236和240可以是联网的计算机系统。在其它方面,网络收集器可以是一个或多个独立的收集器装置、例如网络数据收集器装置300。因此,网络数据收集器228、232、236和/或240可以经由交换机/路由器220物理地连接到客户端节点216,和/或可以经由USB接口304和/或网络接口306直接连接到客户端节点216。客户通知模块606可以接收和/或发送去往和来自文件服务器204的客户端通知。
参照图7,图示了根据一些示例性实施例的用于网络安全管理700的方法。根据一些实施例,安全评估引擎246可以被配置为经由客户端安全模块244经由一个或多个被动网络数据收集装置(例如,被动网络数据收集装置300)来最大化由客户端提供的安全和评估结果的值,和/或通过系统以非侵入性和非破坏性方式自动检索的数据。安全评估引擎246可以被配置为提供用于一个或多个工业网络(例如,工业网络202)的安全配置文件的在线和在线验证。例如,安全评估引擎246可以被配置为访问和/或接收来自客户端选择的一个或多个分组捕获工具的信息。在其它实施例中,安全评估引擎246可以被配置为使用一个或多个网络流量捕获装置(例如,网络数据收集器装置300)来观察和监视网络流量。
现在参考框702,在一些方面,安全评估引擎246可以从客户端安全模块244检索网络拓扑数据。网络拓扑数据可以指示网络上的每个装置(例如,工业网络202),装置包含例如PLC、路由器、交换机、服务器、无线接入点(AP)、打印机、VoIP电话、台式机、移动装置等。拓扑信息还可以包含网络凭证信息、网络分段信息和/或其它路由器信息。拓扑数据还可以包含与所有网络节点相关的信息。与网络装置和/或每个网络装置的连接设置相关的每个特定的指出IP地址的角色。拓扑数据可以进一步包含示出每个装置的表示的网络映射图。
如框704所示,安全评估引擎246接下来可以从多个网络数据收集器中检索网络安全数据。网络安全数据可以包含分组转发规则,分组转发规则可以与已知的网络资源结合工作以支持负载平衡、协议转发、安全路由和规则特定的网络转发操作。一个或多个规则中的每一个可匹配特定的IP地址、协议和可选范围端口以保护目标池或目标实例。流量被发送到可由规则服务的外部IP地址,根据用于转发规则的一些实施例,可将流量引导到一个或多个相应的目标。
在一些方面,网络数据收集器228、232、236和240可以接收网络信息,网络信息包含例如网络路径分组捕获文件和指示网络流量数据如何和在何处收集的区域描述、系统日志信息、SNMP信息、网络和工厂资产信息、网络库存信息(例如,软件库存)和/或网络拓扑信息(例如,关于工业网络202的区域和管道信息)。
在一些方面,安全评估引擎246可以提醒用户输入,其中用户输入请求的安全数据。在其它方面,安全评估引擎246可以通过网络115访问区域收集器信息,或者在区域收集器是被动网络数据收集装置(例如,被动网络数据收集装置300)的情况下,安全评估引擎246可以联系可以可操作地连接到收集器的客户端节点(例如,客户端节点216)。
因此,安全评估引擎246然后可以访问保存在每个收集器上的信息,并且分析客户提供的输入并且将客户提供的输入与由系统自动或手动收集的信息组合。例如,软件产品脆弱性信息、恶意软件信息、端口列表和状态信息、目标统计和/或指示攻击模式的来源的其它信息。攻击来源可能包含来自内部已知情报的已知攻击活动和/或可从在线和其它来源获得的公开可用情报信息。
如框706所示,安全评估引擎246可以基于拓扑数据和网络安全数据来生成攻击树。科技树的某些方面可能包含一个或多个概念图,概念图显示资产目标或其它网络装置如何可能受到恶意的恶意软件、单个参与者等的攻击。例如,在攻击树中可用于描述计算机系统上的威胁并识别特定节点的各方面。在一些实施例中,科技树可以是一条路线叶和子叶的多层图系统。子节点的底部通常是可以满足使直接的父节点不成立的条件。例如,什么是满足的、攻击可能是完整的。每个节点只能由其直接的子节点满足。攻击树可能变得非常复杂,特别是在处理特定类型的攻击时。例如,税务处理包含数百甚至数千个不同的路径,所有这些都将导致一个或多个攻击的完成。科技树可能有助于确定特定网络资产存在什么威胁级别,以及如何以最有效的方式处理这些威胁级别。
根据一些实施例,安全评估引擎246可以查看拓扑数据,结合与网络的每个节点相关联的转发规则来解析拓扑数据,并且基于网络安全数据中的拓扑数据生成攻击树。如框708所示,安全评估引擎246可以使用安全数据来更新一个或多个客户模型数据库。例如,客户模型数据库408可以包含多个客户风险模型424-430。每个客户风险模型可以包含关于网络拓扑、攻击树信息、网络安全数据等的客户端特定的信息。根据其它实施例,安全系统引擎246还可利用关于客户端的网络环境(例如,工业网络202)的一个或多个客户警报来更新一个或多个客户风险模型。在其它方面,客户风险模型可以进一步包含切断一个或多个客户缓解规则,该客户缓解规则可指示用于缓解由安全评估引擎246识别的特定风险的一个或多个任务。
根据一些实施例,生成攻击树还可以包含对可以由风险和风险模拟引擎406执行的一个或多个建议的检测规则进行建模。风险和模拟引擎406可以包含风险检测和计算模块420以及风险缓解模拟引擎422。在一些方面,风险检测和计算模块420可以检测具有一个或多个风险因素的节点,并为在网络拓扑中确定的每个节点分配特定的风险概率。换句话说,拓扑数据的每个节点本质上可以具有相对较高或较低的作为攻击矢量的风险。在一些实施例中,攻击树和/或拓扑数据可以包含节点的每个相应的风险概率。因此,风险缓解模拟引擎422可以通过对网络重新分区实例、流量重定向或其它网络变化进行建模来模拟一个或多个缓解计划,从而确定所提出任何改变的任何可能负面影响。
在一些方面,客户通知模块606可以提供模拟的风险或实际观察到的风险的警报。如框710所示,安全评估引擎246可能已经进行了一个或多个安全评估。例如,安全评估可能包含适用于一个或多个客户环境(例如,一个或多个客户风险模型428-430)的每个新发现的攻击模式的风险警报。安全评估还可以包含针对网络拓扑的一个或多个缓解建议和/或与任何一个或多个更改的操作影响相关的流量重定向更改。安全评估还可能包含由网络安全人员手动更改的任何异常的和/或观察到的关键性的配置命令。最后,安全评估可能包含一个或多个安全优化建议(例如,网络-传输和/或应用层更改建议)。
根据一些实施例,安全评估引擎246可以提供用于一个或多个客户端访问关于其自己的工业网络环境和/或一个或多个其它客户端的工业网络环境的已知攻击矢量信息的框架。例如,如果在246中,使用安全评估引擎246的一个客户端确定了其自己的网络安全评估的特定网络威胁,则可以在客户数据库中注意到该特定威胁,并且与使用安全评估引擎246的一个或多个其它客户共享所获知的关于该特定威胁的信息。安全评估引擎246可以检索关于特定网络的网络拓扑信息,从网络数据收集器检索信息中的网络安全数据,基于获知的信息和网络数据收集器和/或安全数据生成一个或多个攻击树,并利用所获知的信息来更新客户模型数据库(例如,客户风险模型)。在其它方面,246处的安全评估可以与一个或多个其它客户共享匿名信息,以便利用客户之间的已知的安全评估信息。在一些方面中,一个或多个客户可以通过网络115和/或通过其它手段在订购的基础上访问安全系统引擎246。
安全评估引擎246可以被配置为提供针对网络安全风险的连续的警报。相应地,安全评估引擎246可以基于一个或多个网络路由规则和配置为客户端基础架构提供安全基线,主动将规则和/或配置与集体安全情报信息进行比较,并且做出关于工业网络202中存在的任何适用的威胁的确定。
在其它方面,安全评估引擎246可以通过考虑由客户端提供的离线验证工具提供的分组信息和/或离线验证信息来监视流量模式。安全评估引擎246还可以基于观察到的流量来确定安全状态。安全评估引擎246可以基于客户端提供的攻击模型和/或由系统自动确定的网络图的分层结构来提供基于模型的风险检测。在一些方面,安全评估引擎246可以基于一个或多个内部和/或外部更改来识别新出现的风险。
根据一些实施例,安全评估引擎246可以利用客户端提供的和系统收集的信息来提供中间输出,该中间输出可以包含例如工厂网络安全模型信息(例如,适用的攻击树)、针对每个发现的攻击模式的风险警报、用于配置网络拓扑的缓解建议和/或重定向关于异常的和/或关键配置的网络流量观察,以及用于一般网络可操作性的网络优化建议。
已经出于说明的目的给出了对本发明的各种实施例的描述,但是并非旨在穷举或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下,许多修改和变化对于本领域的普通技术人员来说将是显而易见的。选择本文使用的术语是为了最好地解释实施例的原理、实际应用或技术改进而不是在技术上对市场上发现的技术进行改进,或者使本领域其它普通技术人员能够理解本文公开的实施例。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包含其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储介质(或多个介质)。
计算机可读存储介质可以是可以保留和存储供指令执行装置使用的指令的有形装置。计算机可读存储介质可以是例如但不限于电子存储装置、磁存储装置、光存储装置、电磁存储装置、半导体存储装置或前述的任何适当组合。计算机可读存储介质的更具体示例的非穷尽列表包含以下:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存存储器)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码的装置(例如在其上记录有指令的凹槽中的穿孔卡或凸起结构),以及前述的任何适当组合。本文使用的计算机可读存储介质不应被解释为暂时信号本身,诸如无线电波或其它自由传播的电磁波、通过波导或其它传输介质传播的电磁波(例如,穿过光纤线缆的光脉冲)或通过导线传输的电信号。
本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理装置,或者经由网络(例如,因特网、局域网、广域网和/或无线网络)从计算机可读存储介质下载到外部计算机或外部存储装置。网络可以包含铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理装置中的网络适配器卡或网络接口从网络接收计算机可读程序指令并且转发计算机可读程序指令以存储在相应计算/处理装置内的计算机可读存储介质中。
用于执行本发明的运行的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微码、固件指令、状态设置数据,或以一种或多种编程语言的任意组合编写的任意的源代码或对象代码,所述编程语言包含诸如Smalltalk、C++等的面向对象的编程语言和诸如“C”编程语言或类似编程语言的常规过程编程语言。计算机可读程序指令可以完全在用户的计算机上、部分在用户的计算机上、作为独立的软件包、部分在用户的计算机上、部分在远程计算机上或完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络连接到用户的计算机,所述网络包含局域网(LAN)或广域网(WAN),或者可以连接到外部计算机(例如,通过互联网使用互联网服务提供商)。在一些实施例中,包含例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以个性化电子电路,从而执行本发明的各个方面。
本文参考根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图来描述本发明的各方面。应该理解的是,流程图和/或框图中的每个框以及流程图和/或框图中的框的组合可以通过计算机可读程序指令来实现。
这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器以制造机器,使得经由计算机的处理器或其它可编程数据处理装置执行的指令创建用于实现在流程图和/或框图的一个或多个框中指定的功能/动作的装置。这些计算机可读程序指令还可以被存储在计算机可读存储介质中,该计算机可读存储介质可以指导计算机、可编程数据处理装置和/或其它装置以特定方式运行,使得其中存储有指令的计算机可读存储介质包含制造物品,其包含实现在流程图和/或框图的一个或多个框中指定的功能/动作的各方面的指令。
计算机可读程序指令还可以被加载到计算机、其它可编程数据处理装置或其它装置上以使得在计算机、其它可编程装置或其它装置上执行一系列操作步骤以产生计算机实现的过程,使得在计算机、其它可编程装置或其它装置上执行的指令实现在流程图和/或框图的一个或多个框中指定的功能/动作。
附图中的流程图和框图图示了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能和操作。就这一点而言,流程图或框图中的每个框可表示模块、代码段或部分指令,其包含用于实现指定的逻辑功能的一个或多个可执行指令。在一些替代性的实施方式中,框中提到的功能可以不按照附图中提到的顺序发生。例如,连续示出的两个框实际上可以基本上同时执行,或者取决于所涉及的功能,有时可以以相反的顺序执行所述框。还将注意到,框图和/或流程图的每个框以及框图和/或流程图中的框的组合可以由执行特定功能或动作或实施特殊用途硬件和计算机指令的组合的基于专用硬件的系统来实现。
Claims (25)
1.一种用于评估和管理网络的网络安全的计算机实现的方法,包括:
利用处理器检索拓扑数据和网络流量数据,其中,所述拓扑数据指示所述网络的拓扑;
经由所述处理器,从多个网络数据收集器检索网络流量数据;
经由所述处理器,基于所述拓扑数据和所述网络流量数据,生成攻击树;
利用所述攻击树和所述拓扑数据,更新客户模型数据库;以及
基于所述攻击树和所述拓扑数据,输出安全评估。
2.根据权利要求1所述的计算机实现的方法,其中,检索所述拓扑数据包括传送用于所述拓扑数据的用户输入的提醒,并且响应于所述提醒,从客户端接收所述拓扑数据。
3.根据权利要求1所述的计算机实现的方法,其中,检索所述拓扑数据包括从收集器装置接收所述拓扑数据。
4.根据权利要求1所述的计算机实现的方法,其中,生成所述攻击树包括:
经由所述处理器,解析所述拓扑数据和所述网络流量数据,以确定所述网络中的多个潜在漏洞;
经由所述处理器,解析所述网络流量数据,以确定与所述网络的所述拓扑中的多个节点相关联的一个或多个网络规则;
基于所述一个或多个网络规则和所述网络流量数据,经由所述处理器,计算与所述多个潜在漏洞相关联的风险概率;以及
基于所述一个或多个网络规则和所述网络流量数据,生成所述攻击树,其中,所述攻击树包括所述多个潜在漏洞以及与所述多个潜在漏洞相关联的所述风险概率。
5.根据权利要求4所述的计算机实现的方法,其中,更新所述客户模型数据库包括:
经由所述处理器,利用所述网络中的所述多个潜在漏洞、与所述多个潜在漏洞相关联的所述风险概率以及所述攻击树,更新客户风险模型记录。
6.根据权利要求1所述的计算机实现的方法,其中,输出所述安全评估包括:
经由所述处理器,确定包括用于配置所述网络的至少一个建议步骤的风险缓解建议。
7.根据权利要求1所述的计算机实现的方法,其中,输出所述安全评估还包括:
经由所述处理器,监视所述网络,以确定一个或多个网络配置是否指示升高的网络安全风险。
8.一种用于评估和管理工业控制系统网络的网络安全的系统,包括:处理器,被配置为:
检索拓扑数据和网络流量数据,其中,所述拓扑数据指示所述网络的拓扑;
从多个网络数据收集器检索网络流量数据;
基于所述拓扑数据和所述网络流量数据生成攻击树;
利用所述攻击树和所述拓扑数据,更新客户模型数据库;以及
基于所述攻击树和所述拓扑数据,输出安全评估。
9.根据权利要求8所述的系统,其中,检索所述拓扑数据包括传送用于所述拓扑数据的用户输入的提醒,并且响应于所述提醒从客户端接收所述拓扑数据。
10.根据权利要求8所述的系统,其中,检索所述拓扑数据包括从收集器装置接收所述拓扑数据。
11.根据权利要求8所述的系统,其中,生成所述攻击树包括:
经由所述处理器,解析所述拓扑数据和所述网络流量数据,以确定所述网络中的多个潜在漏洞;
经由所述处理器,解析所述网络流量数据,以确定与所述网络的所述拓扑中的多个节点相关联的一个或多个网络规则;
基于所述一个或多个网络规则和所述网络流量数据,经由所述处理器,计算与所述多个潜在漏洞相关联的风险概率;以及
基于所述一个或多个网络规则和所述网络流量数据,生成所述攻击树,其中,所述攻击树包括所述多个潜在漏洞以及与所述多个潜在漏洞相关联的所述风险概率。
12.根据权利要求11所述的系统,其中,更新所述客户模型数据库包括:
经由所述处理器,利用所述网络中的所述多个潜在漏洞、与所述多个潜在漏洞相关联的所述风险概率以及所述攻击树,更新客户风险模型记录。
13.根据权利要求8所述的系统,其中,输出所述安全评估包括:
经由所述处理器,确定包括用于配置所述网络的至少一个建议步骤的风险缓解建议。
14.根据权利要求8所述的系统,其中,输出所述安全评估还包括:
经由所述处理器,监视所述网络,以确定一个或多个网络配置是否指示升高的网络安全风险。
15.一种被配置为存储计算机可执行指令的非暂时性计算机可读存储介质,所述计算机可执行指令在由处理器执行时执行用于评估和管理工业控制系统网络的方法,所述方法包括:
利用处理器检索拓扑数据,其中,所述拓扑数据指示网络的拓扑;
经由所述处理器,从多个网络数据收集器中检索网络流量数据;
经由所述处理器,基于所述拓扑数据和所述网络流量数据,生成攻击树;
利用所述攻击树和所述拓扑数据,更新客户模型数据库;以及
基于所述攻击树和所述拓扑数据,输出安全评估。
16.根据权利要求15所述的非暂时性计算机可读存储介质,其中,检索所述拓扑数据包括传送用于所述拓扑数据的用户输入的提醒,并且响应于所述提醒从客户端接收所述拓扑数据。
17.根据权利要求15所述的非暂时性计算机可读存储介质,其中,检索所述拓扑数据包括从收集器装置接收所述拓扑数据。
18.根据权利要求15所述的非暂时性计算机可读存储介质,其中,生成所述攻击树包括:
经由所述处理器,解析所述拓扑数据和所述网络流量数据,以确定所述网络中的多个潜在漏洞;
经由所述处理器,解析所述网络流量数据,以确定与所述网络的所述拓扑中的多个节点相关联的一个或多个网络规则;
基于所述一个或多个网络规则和网络流量数据,经由所述处理器,计算与所述多个潜在漏洞相关联的风险概率;以及
基于所述一个或多个网络规则和所述网络流量数据,生成所述攻击树,其中,所述攻击树包括所述多个潜在漏洞以及与所述多个潜在漏洞相关联的所述风险概率。
19.根据权利要求18所述的非暂时性计算机可读存储介质,其中,更新所述客户模型数据库包括:
经由所述处理器,利用所述网络中的多个潜在漏洞、与所述多个潜在漏洞相关联的所述风险概率以及所述攻击树,更新客户风险模型记录。
20.根据权利要求15所述的非暂时性计算机可读存储介质,其中,输出所述安全评估包括:
经由所述处理器,确定包括用于配置所述网络的至少一个建议步骤的风险缓解建议。
21.根据权利要求20所述的非暂时性计算机可读存储介质,还包括模拟所述风险缓解建议且基于所述模拟提供所述风险缓解建议的安全评估。
22.根据权利要求15所述的非暂时性计算机可读存储介质,其中,输出所述安全评估还包括:
经由所述处理器,监视所述网络,以确定一个或多个网络配置是否指示升高的网络安全风险。
23.一种用于在网络中收集和存储网络数据流信息的收集器装置,包括:
网络接口,被配置为与所述网络中的网络路由装置进行接口连接;
LED通信光传感器,被配置为选择性地从LED通信光发射器接收来自网络路由装置的、指示所述网络数据流信息的通信信号;
计算机存储器,可操作地连接到所述LED通信光传感器并且被配置为存储所述网络数据流信息;
输出接口,被配置为传送所存储的网络数据流信息;以及
硬开关,与所述网络接口连接并且被配置为选择性地允许数据仅在一个方向上从所述LED通信光发射器传送到所述LED通信光传感器。
24.根据权利要求23所述的收集器装置,其中,所述网络数据流信息指示所述网络中的多个分组的分组路由、先前在所述网络中使用的联网协议以及所述多个分组的一个或多个流量模式。
25.根据权利要求23所述的收集器装置,其中,所述网络数据流信息包括在所述网络上观察到的一个或多个网络命令。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2015/065447 WO2017105383A1 (en) | 2015-12-14 | 2015-12-14 | System and method for passive assessment of industrial perimeter security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108370370A true CN108370370A (zh) | 2018-08-03 |
| CN108370370B CN108370370B (zh) | 2021-07-20 |
Family
ID=55085899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580085310.0A Active CN108370370B (zh) | 2015-12-14 | 2015-12-14 | 用于被动评估工业边界安全的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10841332B2 (zh) |
| EP (1) | EP3371947B1 (zh) |
| CN (1) | CN108370370B (zh) |
| ES (1) | ES2832999T3 (zh) |
| WO (1) | WO2017105383A1 (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110874306A (zh) * | 2018-08-29 | 2020-03-10 | 西门子股份公司 | 警报积累存量的自动评估 |
| CN111245806A (zh) * | 2020-01-06 | 2020-06-05 | 北京航天测控技术有限公司 | 网络安全测试方法、装置和平台、存储介质和电子装置 |
| CN111585968A (zh) * | 2020-04-13 | 2020-08-25 | 上海核工程研究设计院有限公司 | 一种基于功能分析的工控网络安全影响分析工具 |
| CN111934932A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 一种互联网架构评价方法及装置 |
| CN112039895A (zh) * | 2020-08-31 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种网络协同攻击方法、装置、系统、设备及介质 |
| CN113054651A (zh) * | 2019-12-26 | 2021-06-29 | 华为技术服务有限公司 | 一种网络拓扑优化方法、装置以及系统 |
| US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
| US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
| CN113228017A (zh) * | 2018-12-27 | 2021-08-06 | 三菱电机株式会社 | 攻击树生成装置、攻击树生成方法以及攻击树生成程序 |
| US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
| US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
| US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
| US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
| US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9769202B2 (en) | 2014-09-12 | 2017-09-19 | Level 3 Communications, Llc | Event driven route control |
| US10558809B1 (en) | 2017-04-12 | 2020-02-11 | Architecture Technology Corporation | Software assurance system for runtime environments |
| US10540502B1 (en) * | 2017-06-14 | 2020-01-21 | Architecture Technology Corporation | Software assurance for heterogeneous distributed computing systems |
| US10749890B1 (en) | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
| US10817604B1 (en) | 2018-06-19 | 2020-10-27 | Architecture Technology Corporation | Systems and methods for processing source codes to detect non-malicious faults |
| US10868825B1 (en) | 2018-08-14 | 2020-12-15 | Architecture Technology Corporation | Cybersecurity and threat assessment platform for computing environments |
| US11212322B2 (en) * | 2018-10-10 | 2021-12-28 | Rockwelll Automation Technologies, Inc. | Automated discovery of security policy from design data |
| US11429713B1 (en) | 2019-01-24 | 2022-08-30 | Architecture Technology Corporation | Artificial intelligence modeling for cyber-attack simulation protocols |
| US11128654B1 (en) | 2019-02-04 | 2021-09-21 | Architecture Technology Corporation | Systems and methods for unified hierarchical cybersecurity |
| US10949338B1 (en) | 2019-02-07 | 2021-03-16 | Architecture Technology Corporation | Automated software bug discovery and assessment |
| US11734636B2 (en) * | 2019-02-27 | 2023-08-22 | University Of Maryland, College Park | System and method for assessing, measuring, managing, and/or optimizing cyber risk |
| US11652839B1 (en) * | 2019-05-02 | 2023-05-16 | Architecture Technology Corporation | Aviation system assessment platform for system-level security and safety |
| US11451581B2 (en) | 2019-05-20 | 2022-09-20 | Architecture Technology Corporation | Systems and methods for malware detection and mitigation |
| US11403405B1 (en) | 2019-06-27 | 2022-08-02 | Architecture Technology Corporation | Portable vulnerability identification tool for embedded non-IP devices |
| CN111198860B (zh) * | 2019-08-23 | 2023-11-07 | 腾讯科技(深圳)有限公司 | 网络安全监控方法、系统、装置、存储介质和计算机设备 |
| CN110535855B (zh) * | 2019-08-28 | 2021-07-30 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
| US11128655B2 (en) * | 2019-09-06 | 2021-09-21 | Wipro Limited | Method and system for managing security vulnerability in host system using artificial neural network |
| US11444974B1 (en) | 2019-10-23 | 2022-09-13 | Architecture Technology Corporation | Systems and methods for cyber-physical threat modeling |
| US11503075B1 (en) * | 2020-01-14 | 2022-11-15 | Architecture Technology Corporation | Systems and methods for continuous compliance of nodes |
| US10733303B1 (en) * | 2020-04-23 | 2020-08-04 | Polyverse Corporation | Polymorphic code translation systems and methods |
| AU2020461851A1 (en) * | 2020-08-05 | 2022-05-26 | Chiyoda Corporation | Method for managing plant, plant design device, and plant management device |
| CN112202593B (zh) * | 2020-09-03 | 2024-05-31 | 深圳前海微众银行股份有限公司 | 数据获取方法、装置、网管系统及计算机存储介质 |
| CN112202764B (zh) * | 2020-09-28 | 2023-05-19 | 中远海运科技股份有限公司 | 网络攻击链路可视化系统、方法和服务器 |
| US11831671B2 (en) * | 2021-04-08 | 2023-11-28 | Nozomi Networks Sagl | Method for automatic derivation of attack paths in a network |
| CN114070648A (zh) * | 2021-12-02 | 2022-02-18 | 北京神州新桥科技有限公司 | 配置网络安全策略的评估方法、装置、设备及存储介质 |
| CN114244763B (zh) * | 2021-12-20 | 2023-11-17 | 中电福富信息科技有限公司 | 基于规则引擎的动态网络拓扑管理方法及其系统 |
| CN114793182B (zh) * | 2022-06-21 | 2022-09-02 | 湖南前行科创有限公司 | 一种智慧园区分布式网络安全风险评估方法及装置 |
| CN115277153B (zh) * | 2022-07-22 | 2023-11-03 | 国网山东省电力公司电力科学研究院 | 一种智能电网5g网络风险评估系统及评估方法 |
| CN116016198B (zh) * | 2022-12-26 | 2024-04-26 | 中国电子信息产业集团有限公司第六研究所 | 一种工控网络拓扑安全评估方法、装置及计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004031953A1 (en) * | 2002-10-01 | 2004-04-15 | Skybox Security, Ltd. | System and method for risk detection and analysis in a computer network |
| CN101682626A (zh) * | 2007-05-24 | 2010-03-24 | 爱维技术解决方案私人有限公司 | 用于模拟对网络的黑客攻击的方法和系统 |
| WO2011155961A2 (en) * | 2010-06-10 | 2011-12-15 | Siemens Corporation | Method for quantitative resilience estimation of industrial control systems |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6269447B1 (en) * | 1998-07-21 | 2001-07-31 | Raytheon Company | Information security analysis system |
| US6535227B1 (en) * | 2000-02-08 | 2003-03-18 | Harris Corporation | System and method for assessing the security posture of a network and having a graphical user interface |
| US7013395B1 (en) * | 2001-03-13 | 2006-03-14 | Sandra Corporation | Method and tool for network vulnerability analysis |
| US7152105B2 (en) * | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7194769B2 (en) * | 2003-12-11 | 2007-03-20 | Massachusetts Institute Of Technology | Network security planning architecture |
| US8863293B2 (en) * | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
-
2015
- 2015-12-14 US US16/061,989 patent/US10841332B2/en active Active
- 2015-12-14 WO PCT/US2015/065447 patent/WO2017105383A1/en active Application Filing
- 2015-12-14 CN CN201580085310.0A patent/CN108370370B/zh active Active
- 2015-12-14 ES ES15823434T patent/ES2832999T3/es active Active
- 2015-12-14 EP EP15823434.4A patent/EP3371947B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004031953A1 (en) * | 2002-10-01 | 2004-04-15 | Skybox Security, Ltd. | System and method for risk detection and analysis in a computer network |
| CN101682626A (zh) * | 2007-05-24 | 2010-03-24 | 爱维技术解决方案私人有限公司 | 用于模拟对网络的黑客攻击的方法和系统 |
| WO2011155961A2 (en) * | 2010-06-10 | 2011-12-15 | Siemens Corporation | Method for quantitative resilience estimation of industrial control systems |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110874306A (zh) * | 2018-08-29 | 2020-03-10 | 西门子股份公司 | 警报积累存量的自动评估 |
| CN113228017A (zh) * | 2018-12-27 | 2021-08-06 | 三菱电机株式会社 | 攻击树生成装置、攻击树生成方法以及攻击树生成程序 |
| CN113228017B (zh) * | 2018-12-27 | 2024-05-14 | 三菱电机株式会社 | 攻击树生成装置、攻击树生成方法以及计算机可读取的记录介质 |
| CN113054651B (zh) * | 2019-12-26 | 2023-03-31 | 华为技术服务有限公司 | 一种网络拓扑优化方法、装置以及系统 |
| CN113054651A (zh) * | 2019-12-26 | 2021-06-29 | 华为技术服务有限公司 | 一种网络拓扑优化方法、装置以及系统 |
| CN111245806A (zh) * | 2020-01-06 | 2020-06-05 | 北京航天测控技术有限公司 | 网络安全测试方法、装置和平台、存储介质和电子装置 |
| CN111585968A (zh) * | 2020-04-13 | 2020-08-25 | 上海核工程研究设计院有限公司 | 一种基于功能分析的工控网络安全影响分析工具 |
| US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
| US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
| US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
| US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
| US11533624B2 (en) | 2020-04-15 | 2022-12-20 | T-Mobile Usa, Inc. | On-demand security for network resources or nodes, such as for a wireless 5G network |
| US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
| US11659396B2 (en) | 2020-05-14 | 2023-05-23 | T-Mobile Usa, Inc. | Intelligent cybersecurity protection system, such as for use in 5G networks |
| US11558747B2 (en) | 2020-05-14 | 2023-01-17 | T-Mobile Usa, Inc. | Intelligent cybersecurity protection system, such as for use in 5G networks |
| US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
| US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
| CN111934932B (zh) * | 2020-08-13 | 2022-10-18 | 中国工商银行股份有限公司 | 一种互联网架构评价方法及装置 |
| CN111934932A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 一种互联网架构评价方法及装置 |
| CN112039895B (zh) * | 2020-08-31 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种网络协同攻击方法、装置、系统、设备及介质 |
| CN112039895A (zh) * | 2020-08-31 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种网络协同攻击方法、装置、系统、设备及介质 |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
| CN113595790B (zh) * | 2021-07-29 | 2024-04-05 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108370370B (zh) | 2021-07-20 |
| EP3371947B1 (en) | 2020-09-02 |
| WO2017105383A1 (en) | 2017-06-22 |
| US20180367563A1 (en) | 2018-12-20 |
| US10841332B2 (en) | 2020-11-17 |
| ES2832999T3 (es) | 2021-06-14 |
| EP3371947A1 (en) | 2018-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108370370A (zh) | 用于被动评估工业边界安全的系统和方法 | |
| US10057144B2 (en) | Remote system data collection and analysis framework | |
| Rubio et al. | Analysis of Intrusion Detection Systems in Industrial Ecosystems. | |
| Alghuried | A model for anomalies detection in internet of things (IoT) using inverse weight clustering and decision tree | |
| CN103117993B (zh) | 用于提供过程控制系统的防火墙的方法、装置及制品 | |
| CN104506351B (zh) | 在线全自动配置合规性安全审计方法及系统 | |
| CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
| CN108292133A (zh) | 用于在工业控制系统内识别已泄密设备的系统和方法 | |
| Koroniotis et al. | The sair-iiot cyber testbed as a service: A novel cybertwins architecture in iiot-based smart airports | |
| CN110392039A (zh) | 基于日志和流量采集的网络系统事件溯源方法及系统 | |
| Nankya et al. | Securing industrial control systems: components, cyber threats, and machine learning-driven defense strategies | |
| Bodenheim | Impact of the Shodan computer search engine on internet-facing industrial control system devices | |
| Leszczyna et al. | Threat intelligence platform for the energy sector | |
| Kumar et al. | Challenges within the industry 4.0 setup | |
| Madhawa et al. | Roll forward validation based decision tree classification for detecting data integrity attacks in industrial internet of things | |
| Kumar et al. | Drone-based monitoring and redirecting system | |
| Buzura et al. | An extendable software architecture for mitigating ARP spoofing-based attacks in SDN data plane layer | |
| Puzis et al. | ATHAFI: Agile threat hunting and forensic investigation | |
| Mahmoodi et al. | Autonomous federated learning for distributed intrusion detection systems in public networks | |
| Ghadi et al. | Security risk models against attacks in smart grid using big data and artificial intelligence | |
| Williams | Distinguishing Internet-facing ICS devices using PLC programming information | |
| Suciu et al. | Safety and Security of Citizens in Smart Cities | |
| Casola et al. | Toward automated threat modeling of edge computing systems | |
| Ahakonye et al. | Trees Bootstrap Aggregation for Detection and Characterization of IoT-SCADA Network Traffic | |
| Abderrahmane et al. | Securing laboratories through internet of things networks: a comprehensive approach for ensuring safety and efficiency |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |