CN110768832A - 一种监测工业控制系统信息安全域的方法 - Google Patents

一种监测工业控制系统信息安全域的方法 Download PDF

Info

Publication number
CN110768832A
CN110768832A CN201911019604.XA CN201911019604A CN110768832A CN 110768832 A CN110768832 A CN 110768832A CN 201911019604 A CN201911019604 A CN 201911019604A CN 110768832 A CN110768832 A CN 110768832A
Authority
CN
China
Prior art keywords
log
monitoring
network
security domain
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911019604.XA
Other languages
English (en)
Other versions
CN110768832B (zh
Inventor
张振雄
徐向纮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China University of Metrology
Original Assignee
China University of Metrology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China University of Metrology filed Critical China University of Metrology
Priority to CN201911019604.XA priority Critical patent/CN110768832B/zh
Publication of CN110768832A publication Critical patent/CN110768832A/zh
Application granted granted Critical
Publication of CN110768832B publication Critical patent/CN110768832B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种监测工业控制系统信息安全域的方法,其特征在于:包括以下具体方法:(1)日志采集:从所有可能产生数据的源头搜集数据,将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备;(2)直接监视:直接监视本身不直接生成日志的系统,利用网络探针或其他设备直接检查网络流量或主机,同时也可以用于确认日志文件记录的网络行为的正确性;(3)推测型监视:推测型监视是通过监视一个系统进而推测其他系统相关信息的情形。本发明涉及的一种监测工业控制系统信息安全域的方法,方法简单,安全性高,能高效的监视安全域。

Description

一种监测工业控制系统信息安全域的方法
技术领域
本发明涉及技术领域工业信息安全领域,具体是指一种监测工业控制系统信息安全域的方法。
背景技术
工业控制系统网络安全面临许多未知的威胁和非法利用,同时,多数资产都不产生事件和日志记录,导致没办法对这类设备进行监测,同时工业SACDA系统中需要分析处理的信息总量很容易超出已有的工具的信息处理和存储能力极限。工业系统中的日志文件主要设计为描述已经发生的活动。但是,日志文件却并不总是可靠地,在有些情况下日志文件记录的细节并不全面,并且有的资产也不产生日志。
发明内容
本发明要解决的技术问题是,提供一种监测工业控制系统信息安全域的方法,其方法简单,能高效的监视安全域。
为解决上述技术问题,本发明提供的技术方案为:
1、一种监测工业控制系统信息安全域的方法,其特征在于:包括以下具体方法:
(1)日志采集
从所有可能产生数据的源头搜集数据,将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备;如果事件存储在本地数据库而不是日志文件中,需要通过软件代理程序snare在本地重新处理事件信息,并将这些信息通过标准的系统日志进行传输,将采集到的日志查看用户活动,包括用户更改配置行为、上下线用户统计、用户执行的登录操作、用户执行的下线操作;通过对采集的日志进行分析,如果检测到异常现象,则提出警告;
(2)直接监视
直接监视本身不直接生成日志的系统,利用网络探针或其他设备直接检查网络流量或主机,同时也可以用于确认日志文件记录的网络行为的正确性,因为日志文件可能会遭到攻击者的蓄意修改;同时,探针产生的日志称为“被动日志”,数据库行为监视器监听网络中的数据库行为,位于网络镜像端口,分拆网络数据包并提取相关的SQL交易记录生成日志信息,可以监视网络中使用的工业控制系统专用协议应用情况,为不支持日志记录功能的工业控制系统资产提供“被动日志”;
(3)推测型监视
推测型监视是通过监视一个系统进而推测其他系统相关信息的情形,即当很多应用程序连接到一个数据库,则对该应用程序所运行的数据库进行监视,即使该应用程序本身并不生成日志;首先从网络边界区域开始采集日志,并汇集到一个日志采集工具中;接下来从重要安全域中的设备开始收集日志,并逐渐向外延伸,并采用分布式处理,如果有关键资产没有得到充分的监视,增加额外的网络监视工具进行补偿,需要跨安全域采集日志时,需要确认安全域的边界参数配置成只允许日志以单方向的形式记录。
作为改进,所述推测型监视中需要跨安全域采集日志时使用数据二极管或单向网关进行物理隔离。
作为改进,所述日志采集中的异常现象包括非法新用户的增加、敏感的用户操作。
作为改进,所述网络边界区域为在最小关键安全域和互联网之间——企业内部局域网。
作为改进,所述直接监视的具体操作为:在没有日志系统的设备的流量镜像口安装网络探针,包括防火墙、入侵检测系统;获取当前监测安全域的网络流量,包括源IP地址总数、目的IP地址总数、TCP/UDP端口总数、网络字节总数;同时监听数据库行为,分拆数据包并提取相关的SQL交易记录生成日志信息;最后监测探针所产生的“被动日志”,当发生异常时,发出告警。
本发明具有如下优点:
本发明采用三种方法进行组合,能够全面的对安全域监控,采用数据二极管,可以确保信息的单向传输,可以和安全域分离以中心管理系统为目标,能够全面的记录的安全细节。
附图说明
图1是本发明专利名称的推测型监视流程结构示意图。
具体实施方式
下面结合附图对本发明做进一步的详细说明。
(1)日志采集
日志采集是指从所有可能产生数据的源头搜集数据,即将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备。如果事件存储在本地数据库而不是日志文件中,需要通过软件代理程序snare等,在本地重新处理事件信息,并将这些信息通过标准的系统日志进行传输。将采集到的日志查看用户活动,包括用户更改配置行为、上下线用户统计、用户执行的登录操作、用户执行的下线操作。通过对采集的日志进行分析,如果检测到异常现象,例如非法新用户的增加、敏感的用户操作等,则提出警告。
(2)直接监视
由于有的系统,例如RTU、PLC等本身不直接生成日志,此时采用直接监视的方法。直接监视是指利用网络探针或其他设备直接检查网络流量或主机。同时也可以用于确认日志文件记录的网络行为的正确性,因为日志文件可能会遭到攻击者的蓄意修改。同时,探针产生的日志称为“被动日志”,数据库行为监视器监听网络中的数据库行为,位于网络镜像端口,分拆网络数据包并提取相关的SQL交易记录生成日志信息。由于数据库行为监视器不用登陆数据库本身,因此不会影响数据库服务器性能。同时可以监视网络中使用的工业控制系统专用协议应用情况,为不支持日志记录功能的工业控制系统资产提供“被动日志”。
具体操作:在没有日志系统的设备的流量镜像口安装网络探针,包括防火墙、入侵检测系统;获取当前监测安全域的网络流量,包括源IP地址总数、目的IP地址总数、TCP/UDP端口总数、网络字节总数;同时监听数据库行为,分拆数据包并提取相关的SQL交易记录生成日志信息;最后监测探针所产生的“被动日志”,当发生异常时,发出告警。
(3)推测型监视
推测型监视指的是通过监视一个系统进而推测其他系统相关信息的情形,即当很多应用程序连接到一个数据库,则对该应用程序所运行的数据库进行监视,即使该应用程序本身并不生成日志。首先从网络边界区域(在最小关键安全域和互联网之间——企业内部局域网),开始采集日志,并汇集到一个日志采集工具中;接下来从重要安全域中的设备开始收集日志,并逐渐向外延伸,并采用分布式处理,如果有关键资产没有得到充分的监视,增加额外的网络监视工具进行补偿是很有必要的,具体过程如图1所示。同时,需要跨安全域采集日志时,需要确认安全域的边界参数配置成只允许日志以单方向的形式记录,否则安全域的边界将破坏,使用数据二极管或单向网关进行物理隔离,该机制确保没有任何恶意流量可以从日志生成设备进去信息安全域。
监视跨安全域边界的行为采用数据二极管,实现所监视的目标设备产生的安全日志和事件传输至中心管理控制系统。采用数据二极管的原因在于,可以确保信息的单向传输,可以和安全域分离以中心管理系统为目标。
以上对本发明及其实施方式进行了描述,这种描述没有限制性,附图中所示的也只是本发明的实施方式之一,实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示,在不脱离本发明创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本发明的保护范围。

Claims (5)

1.一种监测工业控制系统信息安全域的方法,其特征在于:包括以下具体方法:
(1)日志采集
从所有可能产生数据的源头搜集数据,将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备;如果事件存储在本地数据库而不是日志文件中,需要通过软件代理程序snare在本地重新处理事件信息,并将这些信息通过标准的系统日志进行传输,将采集到的日志查看用户活动,包括用户更改配置行为、上下线用户统计、用户执行的登录操作、用户执行的下线操作;通过对采集的日志进行分析,如果检测到异常现象,则提出警告;
(2)直接监视
直接监视本身不直接生成日志的系统,利用网络探针或其他设备直接检查网络流量或主机,同时也可以用于确认日志文件记录的网络行为的正确性,因为日志文件可能会遭到攻击者的蓄意修改;同时,探针产生的日志称为“被动日志”,数据库行为监视器监听网络中的数据库行为,位于网络镜像端口,分拆网络数据包并提取相关的SQL交易记录生成日志信息,可以监视网络中使用的工业控制系统专用协议应用情况,为不支持日志记录功能的工业控制系统资产提供“被动日志”;
(3)推测型监视
推测型监视是通过监视一个系统进而推测其他系统相关信息的情形,即当很多应用程序连接到一个数据库,则对该应用程序所运行的数据库进行监视,即使该应用程序本身并不生成日志;首先从网络边界区域开始采集日志,并汇集到一个日志采集工具中;接下来从重要安全域中的设备开始收集日志,并逐渐向外延伸,并采用分布式处理,如果有关键资产没有得到充分的监视,增加额外的网络监视工具进行补偿,需要跨安全域采集日志时,需要确认安全域的边界参数配置成只允许日志以单方向的形式记录。
2.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述推测型监视中需要跨安全域采集日志时使用数据二极管或单向网关进行物理隔离。
3.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述日志采集中的异常现象包括非法新用户的增加、敏感的用户操作。
4.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述网络边界区域为在最小关键安全域和互联网之间——企业内部局域网。
5.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述直接监视的具体操作为:在没有日志系统的设备的流量镜像口安装网络探针,包括防火墙、入侵检测系统;获取当前监测安全域的网络流量,包括源IP地址总数、目的IP地址总数、TCP/UDP端口总数、网络字节总数;同时监听数据库行为,分拆数据包并提取相关的SQL交易记录生成日志信息;最后监测探针所产生的“被动日志”,当发生异常时,发出告警。
CN201911019604.XA 2019-10-24 2019-10-24 一种监测工业控制系统信息安全域的方法 Active CN110768832B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911019604.XA CN110768832B (zh) 2019-10-24 2019-10-24 一种监测工业控制系统信息安全域的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911019604.XA CN110768832B (zh) 2019-10-24 2019-10-24 一种监测工业控制系统信息安全域的方法

Publications (2)

Publication Number Publication Date
CN110768832A true CN110768832A (zh) 2020-02-07
CN110768832B CN110768832B (zh) 2022-07-26

Family

ID=69333503

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911019604.XA Active CN110768832B (zh) 2019-10-24 2019-10-24 一种监测工业控制系统信息安全域的方法

Country Status (1)

Country Link
CN (1) CN110768832B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090204645A1 (en) * 2005-12-26 2009-08-13 Takeo Machida System, method, program, and system implementation method for transaction process logging
CN101719852A (zh) * 2009-11-30 2010-06-02 中国移动通信集团浙江有限公司 一种中间件性能的监控方法和设备
CN101951384A (zh) * 2010-09-29 2011-01-19 南京信息工程大学 一种分布式安全域逻辑边界保护方法
CN103856486A (zh) * 2014-02-28 2014-06-11 中国人民解放军91655部队 一种大规模网络逻辑安全域访问控制方法
US20140359694A1 (en) * 2013-06-03 2014-12-04 eSentire, Inc. System and method for computer system security
CN104486107A (zh) * 2014-12-05 2015-04-01 曙光信息产业(北京)有限公司 一种日志采集装置及方法
US20180278499A1 (en) * 2017-03-27 2018-09-27 Ca, Inc. Rendering application log data in conjunction with system monitoring
CN109962891A (zh) * 2017-12-25 2019-07-02 中国移动通信集团安徽有限公司 监测云安全的方法、装置、设备和计算机存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090204645A1 (en) * 2005-12-26 2009-08-13 Takeo Machida System, method, program, and system implementation method for transaction process logging
CN101719852A (zh) * 2009-11-30 2010-06-02 中国移动通信集团浙江有限公司 一种中间件性能的监控方法和设备
CN101951384A (zh) * 2010-09-29 2011-01-19 南京信息工程大学 一种分布式安全域逻辑边界保护方法
US20140359694A1 (en) * 2013-06-03 2014-12-04 eSentire, Inc. System and method for computer system security
CN103856486A (zh) * 2014-02-28 2014-06-11 中国人民解放军91655部队 一种大规模网络逻辑安全域访问控制方法
CN104486107A (zh) * 2014-12-05 2015-04-01 曙光信息产业(北京)有限公司 一种日志采集装置及方法
US20180278499A1 (en) * 2017-03-27 2018-09-27 Ca, Inc. Rendering application log data in conjunction with system monitoring
CN109962891A (zh) * 2017-12-25 2019-07-02 中国移动通信集团安徽有限公司 监测云安全的方法、装置、设备和计算机存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
孟庆欢: "分布式网络安全及检测方法研究", 《电脑编程技巧与维护》 *
徐茹枝 等: "电力信息安全监测管理中心数据采集层的研究", 《华北电力大学学报》 *
王新昌: "一种基于局域网络监控日志的安全审计系统", 《计算机应用》 *

Also Published As

Publication number Publication date
CN110768832B (zh) 2022-07-26

Similar Documents

Publication Publication Date Title
Bhatt et al. The operational role of security information and event management systems
Pilli et al. Network forensic frameworks: Survey and research challenges
Khamphakdee et al. Improving intrusion detection system based on snort rules for network probe attack detection
US20200067988A1 (en) File system monitoring and auditing via monitor system having user-configured policies
Spyridopoulos et al. Incident analysis & digital forensics in SCADA and industrial control systems
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
CN111726357A (zh) 攻击行为检测方法、装置、计算机设备及存储介质
JP2020022208A (ja) 通信ネットワークに接続された作業環境への攻撃を検出する方法
CN113839935B (zh) 网络态势感知方法、装置及系统
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
US20200153865A1 (en) Sensor based rules for responding to malicious activity
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
US20210117538A1 (en) Information processing apparatus, information processing method, and computer readable medium
US11503075B1 (en) Systems and methods for continuous compliance of nodes
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
Wurzenberger et al. AECID: A Self-learning Anomaly Detection Approach based on Light-weight Log Parser Models.
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Chhabra et al. Distributed network forensics framework: A systematic review
Elshoush et al. Intrusion alert correlation framework: An innovative approach
KR101201629B1 (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
US20210173937A1 (en) Cyber attack detection system
CN110768832B (zh) 一种监测工业控制系统信息安全域的方法
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant