CN110768832B - 一种监测工业控制系统信息安全域的方法 - Google Patents
一种监测工业控制系统信息安全域的方法 Download PDFInfo
- Publication number
- CN110768832B CN110768832B CN201911019604.XA CN201911019604A CN110768832B CN 110768832 B CN110768832 B CN 110768832B CN 201911019604 A CN201911019604 A CN 201911019604A CN 110768832 B CN110768832 B CN 110768832B
- Authority
- CN
- China
- Prior art keywords
- log
- monitoring
- network
- security domain
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种监测工业控制系统信息安全域的方法,其特征在于:包括以下具体方法:(1)日志采集:从所有可能产生数据的源头搜集数据,将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备;(2)直接监视:直接监视本身不直接生成日志的系统,利用网络探针或其他设备直接检查网络流量或主机,同时也可以用于确认日志文件记录的网络行为的正确性;(3)推测型监视:推测型监视是通过监视一个系统进而推测其他系统相关信息的情形。本发明涉及的一种监测工业控制系统信息安全域的方法,方法简单,安全性高,能高效的监视安全域。
Description
技术领域
本发明涉及技术领域工业信息安全领域,具体是指一种监测工业控制系统信息安全域的方法。
背景技术
工业控制系统网络安全面临许多未知的威胁和非法利用,同时,多数资产都不产生事件和日志记录,导致没办法对这类设备进行监测,同时工业SACDA系统中需要分析处理的信息总量很容易超出已有的工具的信息处理和存储能力极限。工业系统中的日志文件主要设计为描述已经发生的活动。但是,日志文件却并不总是可靠地,在有些情况下日志文件记录的细节并不全面,并且有的资产也不产生日志。
发明内容
本发明要解决的技术问题是,提供一种监测工业控制系统信息安全域的方法,其方法简单,能高效的监视安全域。
为解决上述技术问题,本发明提供的技术方案为:
1、一种监测工业控制系统信息安全域的方法,其特征在于:包括以下具体方法:
(1)日志采集
从所有可能产生数据的源头搜集数据,将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备;如果事件存储在本地数据库而不是日志文件中,需要通过软件代理程序snare在本地重新处理事件信息,并将这些信息通过标准的系统日志进行传输,将采集到的日志查看用户活动,包括用户更改配置行为、上下线用户统计、用户执行的登录操作、用户执行的下线操作;通过对采集的日志进行分析,如果检测到异常现象,则提出警告;
(2)直接监视
直接监视本身不直接生成日志的系统,利用网络探针或其他设备直接检查网络流量或主机,同时也可以用于确认日志文件记录的网络行为的正确性,因为日志文件可能会遭到攻击者的蓄意修改;同时,探针产生的日志称为“被动日志”,数据库行为监视器监听网络中的数据库行为,位于网络镜像端口,分拆网络数据包并提取相关的SQL交易记录生成日志信息,可以监视网络中使用的工业控制系统专用协议应用情况,为不支持日志记录功能的工业控制系统资产提供“被动日志”;
(3)推测型监视
推测型监视是通过监视一个系统进而推测其他系统相关信息的情形,即当很多应用程序连接到一个数据库,则对该应用程序所运行的数据库进行监视,即使该应用程序本身并不生成日志;首先从网络边界区域开始采集日志,并汇集到一个日志采集工具中;接下来从重要安全域中的设备开始收集日志,并逐渐向外延伸,并采用分布式处理,如果有关键资产没有得到充分的监视,增加额外的网络监视工具进行补偿,需要跨安全域采集日志时,需要确认安全域的边界参数配置成只允许日志以单方向的形式记录。
作为改进,所述推测型监视中需要跨安全域采集日志时使用数据二极管或单向网关进行物理隔离。
作为改进,所述日志采集中的异常现象包括非法新用户的增加、敏感的用户操作。
作为改进,所述网络边界区域为在最小关键安全域和互联网之间——企业内部局域网。
作为改进,所述直接监视的具体操作为:在没有日志系统的设备的流量镜像口安装网络探针,包括防火墙、入侵检测系统;获取当前监测安全域的网络流量,包括源IP地址总数、目的IP地址总数、TCP/UDP端口总数、网络字节总数;同时监听数据库行为,分拆数据包并提取相关的SQL交易记录生成日志信息;最后监测探针所产生的“被动日志”,当发生异常时,发出告警。
本发明具有如下优点:
本发明采用三种方法进行组合,能够全面的对安全域监控,采用数据二极管,可以确保信息的单向传输,可以和安全域分离以中心管理系统为目标,能够全面的记录的安全细节。
附图说明
图1是本发明专利名称的推测型监视流程结构示意图。
具体实施方式
下面结合附图对本发明做进一步的详细说明。
(1)日志采集
日志采集是指从所有可能产生数据的源头搜集数据,即将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备。如果事件存储在本地数据库而不是日志文件中,需要通过软件代理程序snare等,在本地重新处理事件信息,并将这些信息通过标准的系统日志进行传输。将采集到的日志查看用户活动,包括用户更改配置行为、上下线用户统计、用户执行的登录操作、用户执行的下线操作。通过对采集的日志进行分析,如果检测到异常现象,例如非法新用户的增加、敏感的用户操作等,则提出警告。
(2)直接监视
由于有的系统,例如RTU、PLC等本身不直接生成日志,此时采用直接监视的方法。直接监视是指利用网络探针或其他设备直接检查网络流量或主机。同时也可以用于确认日志文件记录的网络行为的正确性,因为日志文件可能会遭到攻击者的蓄意修改。同时,探针产生的日志称为“被动日志”,数据库行为监视器监听网络中的数据库行为,位于网络镜像端口,分拆网络数据包并提取相关的SQL交易记录生成日志信息。由于数据库行为监视器不用登陆数据库本身,因此不会影响数据库服务器性能。同时可以监视网络中使用的工业控制系统专用协议应用情况,为不支持日志记录功能的工业控制系统资产提供“被动日志”。
具体操作:在没有日志系统的设备的流量镜像口安装网络探针,包括防火墙、入侵检测系统;获取当前监测安全域的网络流量,包括源IP地址总数、目的IP地址总数、TCP/UDP端口总数、网络字节总数;同时监听数据库行为,分拆数据包并提取相关的SQL交易记录生成日志信息;最后监测探针所产生的“被动日志”,当发生异常时,发出告警。
(3)推测型监视
推测型监视指的是通过监视一个系统进而推测其他系统相关信息的情形,即当很多应用程序连接到一个数据库,则对该应用程序所运行的数据库进行监视,即使该应用程序本身并不生成日志。首先从网络边界区域(在最小关键安全域和互联网之间——企业内部局域网),开始采集日志,并汇集到一个日志采集工具中;接下来从重要安全域中的设备开始收集日志,并逐渐向外延伸,并采用分布式处理,如果有关键资产没有得到充分的监视,增加额外的网络监视工具进行补偿是很有必要的,具体过程如图1所示。同时,需要跨安全域采集日志时,需要确认安全域的边界参数配置成只允许日志以单方向的形式记录,否则安全域的边界将破坏,使用数据二极管或单向网关进行物理隔离,该机制确保没有任何恶意流量可以从日志生成设备进去信息安全域。
监视跨安全域边界的行为采用数据二极管,实现所监视的目标设备产生的安全日志和事件传输至中心管理控制系统。采用数据二极管的原因在于,可以确保信息的单向传输,可以和安全域分离以中心管理系统为目标。
以上对本发明及其实施方式进行了描述,这种描述没有限制性,附图中所示的也只是本发明的实施方式之一,实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示,在不脱离本发明创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本发明的保护范围。
Claims (5)
1.一种监测工业控制系统信息安全域的方法,其特征在于:包括以下具体方法:
(1)日志采集
从所有产生数据的源头搜集数据,将日志信息引导输出至一个日志汇集节点,使用一个网络存储设备;如果事件存储在本地数据库而不是日志文件中,需要通过软件代理程序snare在本地重新处理事件信息,并将这些信息通过标准的系统日志进行传输,将采集到的日志查看用户活动,包括用户更改配置行为、上下线用户统计、用户执行的登录操作、用户执行的下线操作;通过对采集的日志进行分析,如果检测到异常现象,则提出警告;
(2)直接监视
直接监视本身不直接生成日志的系统,利用网络探针或其他设备直接检查网络流量或主机,同时也可以用于确认日志文件记录的网络行为的正确性,因为日志文件会遭到攻击者的蓄意修改;同时,探针产生的日志称为“被动日志”,数据库行为监视器监听网络中的数据库行为,位于网络镜像端口,分拆网络数据包并提取相关的SQL交易记录生成日志信息,可以监视网络中使用的工业控制系统专用协议应用情况,为不支持日志记录功能的工业控制系统资产提供“被动日志”;
(3)推测型监视
推测型监视是通过监视一个系统进而推测其他系统相关信息的情形,即当很多应用程序连接到一个数据库,则对该应用程序所运行的数据库进行监视,即使该应用程序本身并不生成日志;首先从网络边界区域开始采集日志,并汇集到一个日志采集工具中;接下来从重要安全域中的设备开始收集日志,并逐渐向外延伸,并采用分布式处理,如果有关键资产没有得到充分的监视,增加额外的网络监视工具进行补偿,需要跨安全域采集日志时,需要确认安全域的边界参数配置成只允许日志以单方向的形式记录。
2.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述推测型监视中需要跨安全域采集日志时使用数据二极管或单向网关进行物理隔离。
3.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述日志采集中的异常现象包括非法新用户的增加、敏感的用户操作。
4.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述网络边界区域为在最小关键安全域和互联网之间——企业内部局域网。
5.根据权利要求1所述的一种监测工业控制系统信息安全域的方法,其特征在于:所述直接监视的具体操作为:在没有日志系统的设备的流量镜像口安装网络探针,包括防火墙、入侵检测系统;获取当前监测安全域的网络流量,包括源IP地址总数、目的IP地址总数、TCP/UDP端口总数、网络字节总数;同时监听数据库行为,分拆数据包并提取相关的SQL交易记录生成日志信息;最后监测探针所产生的“被动日志”,当发生异常时,发出告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911019604.XA CN110768832B (zh) | 2019-10-24 | 2019-10-24 | 一种监测工业控制系统信息安全域的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911019604.XA CN110768832B (zh) | 2019-10-24 | 2019-10-24 | 一种监测工业控制系统信息安全域的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110768832A CN110768832A (zh) | 2020-02-07 |
CN110768832B true CN110768832B (zh) | 2022-07-26 |
Family
ID=69333503
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911019604.XA Active CN110768832B (zh) | 2019-10-24 | 2019-10-24 | 一种监测工业控制系统信息安全域的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110768832B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719852A (zh) * | 2009-11-30 | 2010-06-02 | 中国移动通信集团浙江有限公司 | 一种中间件性能的监控方法和设备 |
CN101951384A (zh) * | 2010-09-29 | 2011-01-19 | 南京信息工程大学 | 一种分布式安全域逻辑边界保护方法 |
CN103856486A (zh) * | 2014-02-28 | 2014-06-11 | 中国人民解放军91655部队 | 一种大规模网络逻辑安全域访问控制方法 |
CN104486107A (zh) * | 2014-12-05 | 2015-04-01 | 曙光信息产业(北京)有限公司 | 一种日志采集装置及方法 |
CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI380168B (en) * | 2005-12-26 | 2012-12-21 | Ibm | System, method, program, and system implementation method for transaction process logging |
US20140359694A1 (en) * | 2013-06-03 | 2014-12-04 | eSentire, Inc. | System and method for computer system security |
US10257060B2 (en) * | 2017-03-27 | 2019-04-09 | Ca, Inc. | Rendering application log data in conjunction with system monitoring |
-
2019
- 2019-10-24 CN CN201911019604.XA patent/CN110768832B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101719852A (zh) * | 2009-11-30 | 2010-06-02 | 中国移动通信集团浙江有限公司 | 一种中间件性能的监控方法和设备 |
CN101951384A (zh) * | 2010-09-29 | 2011-01-19 | 南京信息工程大学 | 一种分布式安全域逻辑边界保护方法 |
CN103856486A (zh) * | 2014-02-28 | 2014-06-11 | 中国人民解放军91655部队 | 一种大规模网络逻辑安全域访问控制方法 |
CN104486107A (zh) * | 2014-12-05 | 2015-04-01 | 曙光信息产业(北京)有限公司 | 一种日志采集装置及方法 |
CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
Non-Patent Citations (3)
Title |
---|
一种基于局域网络监控日志的安全审计系统;王新昌;《计算机应用》;20070228;第27卷(第2期);全文 * |
分布式网络安全及检测方法研究;孟庆欢;《电脑编程技巧与维护》;20160930;全文 * |
电力信息安全监测管理中心数据采集层的研究;徐茹枝 等;《华北电力大学学报》;20101130;第37卷(第6期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110768832A (zh) | 2020-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Khamphakdee et al. | Improving intrusion detection system based on snort rules for network probe attack detection | |
Bhatt et al. | The operational role of security information and event management systems | |
Pilli et al. | Network forensic frameworks: Survey and research challenges | |
US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
Spyridopoulos et al. | Incident analysis & digital forensics in SCADA and industrial control systems | |
US20150326460A1 (en) | Network Flow Monitoring | |
US20060190993A1 (en) | Intrusion detection in networks | |
US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
JP2020022208A (ja) | 通信ネットワークに接続された作業環境への攻撃を検出する方法 | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
Wurzenberger et al. | AECID: A Self-learning Anomaly Detection Approach based on Light-weight Log Parser Models. | |
US20030084330A1 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
Chhabra et al. | Distributed network forensics framework: A systematic review | |
Eswaran et al. | A threshold-based, real-time analysis in early detection of endpoint anomalies using SIEM expertise | |
Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
CN105262730A (zh) | 基于企业域名安全的监控方法及装置 | |
Elshoush et al. | Intrusion alert correlation framework: An innovative approach | |
KR101201629B1 (ko) | 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN110768832B (zh) | 一种监测工业控制系统信息安全域的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |