CN109688142B - 一种工业控制系统网络中威胁管理方法和系统 - Google Patents
一种工业控制系统网络中威胁管理方法和系统 Download PDFInfo
- Publication number
- CN109688142B CN109688142B CN201811615420.5A CN201811615420A CN109688142B CN 109688142 B CN109688142 B CN 109688142B CN 201811615420 A CN201811615420 A CN 201811615420A CN 109688142 B CN109688142 B CN 109688142B
- Authority
- CN
- China
- Prior art keywords
- threat
- control system
- industrial control
- real
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工业控制系统网络中威胁管理方法和系统。目前,工业控制系统网络面临不断增长的安全隐患和大量未被解决的安全漏洞,其中任何一个设备被攻击者利用的话,都会使工业设施处于不安全的状态。本发明采用的技术方案为:捕获来自多个工业控制系统网络中联网设备的实时数据,生成工业控制系统的正常运行的数据模型,同时接收外部威胁情报数据,利用控制系统正常运行的数据模型和外部威胁情报分析当前的工业控制系统网络实时数据,确定工业控制系统潜在当前威胁,并预测即将发生的潜在威胁以及严重程度。本发明使工业控制系统的安全从传统的响应式的解决方案转化为预测式的解决方案,使安全隐患在成为真正的问题之前被发现并解决。
Description
技术领域
本发明属于工业控制系统网络安全技术领域,特别是一种工业控制系统网络中威胁管理方法和系统。
背景技术
工业控制系统(ICS)的处理过程主要由现场设备、现场控制器、人机界面加上通信媒介共同完成。现场设备包括作为输入的测量设备比如传感器、仪表和作为输出设备的阀门开关等;现场控制器完成数据采集和处理输入输出,典型的现场控制器包括RTU、IED和PLC等等。人机界面(HMI)可以是集中式的控制中心或分布式的控制中心,操作员可以查看实时或准实时的过程运行情况,人机界面既可以是触摸屏也可以是工程师工作站;在工业控制系统的网络上还有一些应用服务器,比如历史数据服务器和其它应用服务器。
工业控制系统网络上的设备包括大量的联网设备,例如服务器、工作站、交换机、路由器、防火墙、生产安全系统、专有的实时控制器和大量的工业现场设备,而这些设备通常来自很多不同的供货商,在这样的工业环境下,工业控制系统网络面临不断增长的安全隐患和大量未被解决的安全漏洞,其中任何一个设备被攻击者利用的话,都会造成运营瘫痪或致使工业设施处于不安全的状态。
发明内容
本发明所要解决的技术问题是克服上述现有技术存在的缺陷,提供一种通过网络分析对工业控制系统网络中潜在威胁预测的方法。
为此,本发明采用如下的技术方案:一种工业控制系统网络中威胁管理方法,其包括:
从多个工业控制系统网络中联网设备获得实时数据包;
利用捕获的数据包建立工业控制系统正常运行的数据模型;
接收外部威胁情报源的信息,并转换成可处理的数据格式;
基于工业控制系统正常运行的数据模型和外部威胁情报分析接收到的实时数据,确定潜在当前威胁;
评估潜在当前威胁严重程度;
基于工业控制系统正常运行的数据模型、外部威胁情报和潜在当前威胁预测即将发生的潜在威胁;
按照潜在威胁的严重程度决定通知用户的方式。
根据潜在威胁的严重程度赋予相应的分值后,对应威胁的分值选择通知客户的方式,比如出现严重的潜在威胁应采用即时性最高的通知方式,如立即发出警报声音和/或警报可视信号、电话、短息、推送消息等,对于中等严重程度的潜在威胁可以采用即时性不高的通知方式如email等,而危害性不高的潜在威胁可以只提供操作人员相关的记录日志。
ICS网络中的实时数据来源的类型包括多种形式,例如系统和进程事件、系统和应用的记录、系统诊断、系统性能、网络设备记录(例如Syslog);数据来源也可能是控制系统网络流量,例如NetFlow数据、SNMP数据、数据包流等等;数据来源还可能是系统配置、策略数据包括用户配置和安全策略等;要识别ICS网络中的潜在威胁,就需要对这些网络安全数据进行实时监控和分析。
数据模型的建立是基于实时数据和威胁情报之间相关性的分析,通过模式之间的相关性来确定潜在的当前威胁或预测即将发生的潜在威胁,其中包括确定导致潜在的当前威胁或即将发生的潜在威胁的安全隐患。
作为上述技术方案的补充,通过对实时数据包的分析,获得工业控制系统正常运行模式的数据模型和工业控制系统正常运行模式之间的相关性,从而建立工业控制系统正常运行的数据模型。
作为上述技术方案的补充,通过威胁情报的共享接口获得工业控制系统相关的外部威胁情报,并转换为可操作的数据格式。
作为上述技术方案的补充,分析实时数据包括发现实时数据中是否出现不符合工业控制系统正常运行模式的数据模型或不符合工业控制系统正常运行模式之间的相关性的情况,若有,则确定为潜在当前威胁。
作为上述技术方案的补充,分析实时数据包括发现是否实时数据中包含外部威胁情报中定义的威胁特征,若出现所述威胁情报的威胁特征则确定为潜在当前威胁。
作为上述技术方案的补充,确定潜在当前威胁的严重程度,是基于所述潜在当前威胁的特征进行评估,并赋予相应的分值。
作为上述技术方案的补充,预测即将发生的潜在威胁,是基于所述潜在当前威胁的特征以及威胁情报中相关威胁特征之间的关联性进行评估,并赋予相应的分值。
本发明的另一技术方案是提供一种工业控制系统网络中威胁管理系统,其包括处理器、存储器、数据捕获模块、威胁分析模块和用户接口,其中,
数据捕获模块:从工业控制系统网络捕获实时数据,并发送至威胁分析模块;
威胁分析模块:利用数据捕获模块获得的实时数据建立工业控制系统正常运行的数据模型,并利用所述数据模型和威胁情报分析接收到的实时数据,确定潜在当前威胁;所述的威胁分析模块包括数据模型子模块、威胁情报接收转换子模块和威胁预测分析子模块;
威胁情报接收转换子模块:从可信的外部威胁情报源的信息获得与工业控制系统相关的威胁情报并转换为威胁管理系统可使用的数据格式;
所述的威胁预测分析子模块根据潜在当前威胁的特征确定其严重程度;
所述的威胁预测分析子模块还根据工业控制系统正常运行的数据模型、外部威胁情报和潜在当前威胁预测即将发生的潜在威胁;
用户接口:根据所述潜在威胁的严重程度决定通知用户的方式。
作为上述威胁管理系统的补充,威胁预测分析子模块分析实时数据,包括发现实时数据中是否出现不符合工业控制系统正常运行模式的数据模型或不符合工业控制系统正常运行模式之间的相关性的情况,若有,则确定为潜在当前威胁。
作为上述威胁管理系统的补充,威胁预测分析子模块分析实时数据,包括发现是否实时数据中包含外部威胁情报中定义的威胁特征,若出现所述威胁情报的特征则确定为潜在当前威胁。
本发明具有的有益效果如下:本发明使工业控制系统的安全从传统的响应式的解决方案转化为预测式的解决方案,使安全隐患在成为真正的问题之前被发现并解决。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。其中在附图中,参考数字之后的字母标记指示多个相同的部件,当泛指这些部件时,将省略其最后的字母标记。在附图中:
图1是本发明中一个带有威胁管理系统的ICS网络实施例的网络示意图;
图2是本发明威胁管理系统一个实施例的功能框架示意图;
图3是本发明威胁管理系统一个实施例的处理流程图。
附图标记:
10-控制现场网络
100-1~100-n,控制器;
102-1~102-m,测量装置;
104-1~104-p,执行设备;
110-第一交换机;
112-工业防火墙;
20-监控网络
202–控制服务器;
204–工作站;
206–人机界面(HMI);
208–历史数据服务器;
210–第二交换机;
212–防火墙;
214–外设(如打印机等);
30-企业网
302-应用服务器;
304-Web服务器;
306-ERP系统;
308-email服务器;
310-第三交换机;
312-企业防火墙;
40-互联网
402-威胁情报源;
500-威胁管理系统
510–处理器;
520-存储器;
530–数据捕获模块;
540-威胁分析模块;
542–数据模型子模块;
544-威胁情报接收转换子模块;
546–威胁预测分析子模块;
550–用户接口;
560–网络通信接口。
具体实施方式
本发明提供了许多可应用的创造性概念,该创造性概念可大量的体现于具体的上下文中。在下述本发明的实施方式中描述的具体的实施例仅作为本发明的具体实施方式的示例性说明,而不构成对本发明范围的限制。
下面结合附图和具体的实施方式对本发明作进一步的描述。
图1是本发明中一个包括威胁管理系统的ICS网络实施例的示意图。
本发明的一个实施例中,现场控制网络10和监控网络20共同构成ICS网络,在ICS网络之上是企业网30,企业网30和互联网40相连,其中,现场控制网络10包括一个或多个现场控制网络,每个现场控制网络由控制器100,测量装置(如传感器)102,执行设备104,第一交换机110和工业防火墙112等联网设备共同组成;监控网络20有控制服务器202,工作站204,人机界面206,历史数据服务器208,外设214,第二交换机210和防火墙212等联网设备共同组成;企业网30由各种应用服务器302,web服务器304,ERP系统308,email服务器314,第三交换机310和企业网防火墙312等共同组成,企业网30与互联网相连。
威胁管理系统500分别和现场控制网络10,监控网络20,企业网络30和互联网40相连,威胁管理系统500与现场控制网络10,监控网络20,企业网络30的连接方式可以通过交换机(110,210和310)的镜像端口相连以获得多个联网设备的实时数据;在另一个实施例中,可以在现场控制网络10,监控网络20,企业网络30分别安装网络分路器对现场控制网络10、监控网络20和企业网30的联网设备的实时数据进行监控,建立ICS网络正常运行的数据模型,从互联网接收外部威胁情报并转化成可处理的数据格式对联网设备的实时数据进行分析和预测潜在威胁,当出现潜在威胁时,评估潜在威胁的严重程度,并根据严重程度选择通知用户的方式并执行。
图2是本发明中威胁管理系统一个实施例的组成方框图,威胁管理系统500包括:处理器510可以是一个或多个处理器组合,用于威胁管理系统中各个模块的计算和管理;存储器520,负责存储原始数据、中间转换数据和字段压缩参考集和其他需要存储的数据,例如ICS正常运行的数据模型,威胁情报信息和转换后可操作的威胁情报信息,从ICS网络联网设备接收到的数据等等;网络通信接口560与ICS网络中控制现场网络10、监控网络20、企业网30和包括互联网、公共无线通信网络的外部网络40之间的接口;数据捕获模块530从网络通信接口接收ICS网络中多个联网设备的实时数据;威胁分析模块540由负责创建ICS正常运行数据模型的数据模型子模块542、威胁情报接收转换子模块544以及威胁预测分析子模块546组成,其中,数据模型子模块542在系统初始化后利用不断接收到的ICS网络中多个联网设备的实时数据建立ICS正常运行数据模型的数据模型,在另一个数据模型建立的实施例是控制过程需要更新,威胁管理系统500需要重新初始化,建立新的数据模型,威胁情报接收转换子模块544通过网络通信接口560与外部的ICS威胁情报源建立连接接收威胁情报信息并将所述信息抓换成可操作的数据格式,威胁预测分析子模块546则利用已经建立的ICS正常运行数据模型和威胁情报信息数据对ICS网络中实时数据流进行分析,找出潜在当前威胁和即将发生的潜在威胁,并依据潜在威胁的严重程度赋予相应的分值(例如5涉及生命财产安全、4是影响产品质量、3是设备损耗超标、2是瞬间通信信道过载、1为系统偶发事件);用户接口模块550根据潜在威胁的分值决定通知用户的方式并执行通知,例如当发生分值是5的潜在当前威胁,系统应立即启动声光告警,并呼叫管理员立即响应,若潜在威胁的分值是3,系统立即发送短信给管理员,发生了分值为1的潜在威胁,发送Email备案就可以。
图3是本发明中威胁管理功能实现方法一个实施例的处理流程,如步骤S1,威胁管理系统500进行初始化;如步骤S2,数据捕获模块530通过网络通信接口560从ICS网络的多个联网设备获得实时数据送至威胁分析模块540;如步骤S3来自ICS网络的多个联网设备的实时数据由数据模型子模块542和威胁预测分析子模块546共享,其中数据模型子模块542不断利用所述的实时数据构建ICS正常运行的数据模型;如步骤S4,若数据模型子模块542利用累积的实时数据已经完成数据模型的建立,进入步骤S6,否则数据模型子模块542继续接收所述的实时数据构建ICS正常运行的数据模型;如步骤S5,威胁分析模块540通过网络通信接口560接收从外部威胁情报来源接收威胁情报信息,威胁情报接收转换子模块544将接收到的威胁情报信息转化为威胁预测分析子模块546可以直接操作的数据格式;如步骤S6,威胁分析模块540中的威胁预测分析子模块546利用已经建立的ICS正常运行的数据模型、威胁情报分析当前来自多个ICS网络联网设备的实时数据;如步骤7,威胁分析模块540中的威胁预测分析子模块确定存在潜在当前威胁,进入步骤8,否则进入步骤10;如步骤8,威胁分析模块540中的威胁预测分析子模块546对潜在当前威胁严重程度进行评估,并赋予相应的分值;如步骤S9,用户接口模块550根据所述潜在当前威胁严重程度的分值选择通知用户的方式并实施;如步骤S10,威胁分析模块540中的威胁预测分析子模块544利用已经建立的ICS正常运行的数据模型、威胁情报、和潜在当前威胁预测即将发生的潜在威胁;如步骤S11,威胁分析模块540中的威胁预测分析子模块546预测即将出现潜在威胁,进入步骤S12,否则返回到步骤S6;如步骤S13,用户接口模块550根据所述潜在当前威胁严重程度的分值选择通知用户的方式并实施,并返回到步骤S6。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (2)
1.一种工业控制系统网络中威胁管理方法,其特征在于,包括:
从多个工业控制系统网络中联网设备获得实时数据包;
利用捕获的数据包建立工业控制系统正常运行的数据模型;
接收外部威胁情报源的信息,并转换成可处理的数据格式;
基于工业控制系统正常运行的数据模型和外部威胁情报分析接收到的实时数据,确定潜在当前威胁;
评估潜在当前威胁严重程度;
基于工业控制系统正常运行的数据模型、外部威胁情报和潜在当前威胁预测即将发生的潜在威胁;
按照潜在威胁的严重程度决定通知用户的方式;
通过对实时数据包的分析,获得工业控制系统正常运行模式的数据模型和工业控制系统正常运行模式之间的相关性,从而建立工业控制系统正常运行的数据模型;通过威胁情报的共享接口获得工业控制系统相关的外部威胁情报,并转换为可操作的数据格式;
分析实时数据包括发现实时数据中是否出现不符合工业控制系统正常运行模式的数据模型或不符合工业控制系统正常运行模式之间的相关性的情况,若有,则确定为潜在当前威胁;分析实时数据包括发现是否实时数据中包含外部威胁情报中定义的威胁特征,若出现所述威胁情报的威胁特征则确定为潜在当前威胁;
确定潜在当前威胁的严重程度,是基于所述潜在当前威胁的特征进行评估,并赋予相应的分值;预测即将发生的潜在威胁,是基于所述潜在当前威胁的特征以及威胁情报中相关威胁特征之间的关联性进行评估,并赋予相应的分值。
2.工业控制系统网络中威胁管理系统,其特征在于,包括处理器、存储器、数据捕获模块、威胁分析模块和用户接口,其中,
数据捕获模块:从工业控制系统网络捕获实时数据,并发送至威胁分析模块;
威胁分析模块:利用数据捕获模块获得的实时数据建立工业控制系统正常运行的数据模型,并利用所述数据模型和威胁情报分析接收到的实时数据,确定潜在当前威胁;所述的威胁分析模块包括数据模型子模块、威胁情报接收转换子模块和威胁预测分析子模块;
威胁情报接收转换子模块:从可信的外部威胁情报源的信息获得与工业控制系统相关的威胁情报并转换为威胁管理系统可使用的数据格式;
所述的威胁预测分析子模块根据潜在当前威胁的特征确定其严重程度;
所述的威胁预测分析子模块还根据工业控制系统正常运行的数据模型、外部威胁情报和潜在当前威胁预测即将发生的潜在威胁;
用户接口:根据所述潜在威胁的严重程度决定通知用户的方式;
威胁预测分析子模块分析实时数据,包括发现实时数据中是否出现不符合工业控制系统正常运行模式的数据模型或不符合工业控制系统正常运行模式之间的相关性的情况,若有,则确定为潜在当前威胁;
威胁预测分析子模块分析实时数据,包括发现是否实时数据中包含外部威胁情报中定义的威胁特征,若出现所述威胁情报的特征则确定为潜在当前威胁。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811615420.5A CN109688142B (zh) | 2018-12-27 | 2018-12-27 | 一种工业控制系统网络中威胁管理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811615420.5A CN109688142B (zh) | 2018-12-27 | 2018-12-27 | 一种工业控制系统网络中威胁管理方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109688142A CN109688142A (zh) | 2019-04-26 |
CN109688142B true CN109688142B (zh) | 2021-07-06 |
Family
ID=66190609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811615420.5A Active CN109688142B (zh) | 2018-12-27 | 2018-12-27 | 一种工业控制系统网络中威胁管理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109688142B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106780012A (zh) * | 2016-12-29 | 2017-05-31 | 深圳微众税银信息服务有限公司 | 一种互联网信贷方法及系统 |
WO2017139074A1 (en) * | 2016-02-11 | 2017-08-17 | Honeywell International Inc. | Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics |
CN107566390A (zh) * | 2017-09-20 | 2018-01-09 | 东北大学 | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 |
CN108353088A (zh) * | 2015-11-23 | 2018-07-31 | 阿尔卡特朗讯公司 | 高级持续性威胁检测 |
-
2018
- 2018-12-27 CN CN201811615420.5A patent/CN109688142B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108353088A (zh) * | 2015-11-23 | 2018-07-31 | 阿尔卡特朗讯公司 | 高级持续性威胁检测 |
WO2017139074A1 (en) * | 2016-02-11 | 2017-08-17 | Honeywell International Inc. | Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics |
CN106780012A (zh) * | 2016-12-29 | 2017-05-31 | 深圳微众税银信息服务有限公司 | 一种互联网信贷方法及系统 |
CN107566390A (zh) * | 2017-09-20 | 2018-01-09 | 东北大学 | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 |
Non-Patent Citations (1)
Title |
---|
慧眼云:基于云计算和大数据分析的主动防御实践;scdxmoe;《CSDN》;20170219;正文第2部分,第3部分 * |
Also Published As
Publication number | Publication date |
---|---|
CN109688142A (zh) | 2019-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7178646B2 (ja) | ネットワークのセキュリティモニタリング方法、ネットワークのセキュリティモニタリング装置及びシステム | |
CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
US11632320B2 (en) | Centralized analytical monitoring of IP connected devices | |
KR102076862B1 (ko) | 네트워크 성능지표를 시각화하는 방법 및 장치, 및 시스템 | |
CN108989136B (zh) | 业务端到端性能监控方法及装置 | |
KR102076861B1 (ko) | 네트워크 성능 진단 방법 및 장치, 및 시스템 | |
CN111934936B (zh) | 网络状态检测方法、装置、电子设备及存储介质 | |
CN109922026A (zh) | 一个ot系统的监测方法、装置、系统和存储介质 | |
TWI719421B (zh) | 數據傳輸監控方法與系統 | |
CN114039900A (zh) | 一种高效网络数据包协议分析方法和系统 | |
CN114244676A (zh) | 一种智能it综合网关系统 | |
Safrianti et al. | Real-time network device monitoring system with simple network management protocol (SNMP) model | |
CN111565133B (zh) | 专线切换方法、装置、电子设备和计算机可读存储介质 | |
CN116204386B (zh) | 应用服务关系自动识别及监控方法、系统、介质和设备 | |
CN109688142B (zh) | 一种工业控制系统网络中威胁管理方法和系统 | |
US20200133252A1 (en) | Systems and methods for monitoring performance of a building management system via log streams | |
CN116319398A (zh) | 一种网络巡检方法、网络设备及网络管理设备 | |
CN114500247A (zh) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 | |
CN111988172A (zh) | 一种网络信息管理平台、装置及安全管理方法 | |
KR100807893B1 (ko) | 서비스 데이터 네트워크 관리 시스템 및 그 운용 방법 | |
CN113890814B (zh) | 故障感知模型构建和故障感知方法与系统、设备、介质 | |
US11916806B2 (en) | Monitoring a communication system that is used for control and/or surveillance of an industrial process | |
CN116743508B (zh) | 一种电力系统网络攻击链检测方法、装置、设备及介质 | |
KR20190088344A (ko) | 네트워크와 연관된 신규 장치 등록 방법 및 장치 | |
Touloupou et al. | Cheapo: An algorithm for runtime adaption of time intervals applied in 5G networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |