CN110855711A - 一种基于scada系统白名单矩阵的工控网络安全监控方法 - Google Patents
一种基于scada系统白名单矩阵的工控网络安全监控方法 Download PDFInfo
- Publication number
- CN110855711A CN110855711A CN201911178233.XA CN201911178233A CN110855711A CN 110855711 A CN110855711 A CN 110855711A CN 201911178233 A CN201911178233 A CN 201911178233A CN 110855711 A CN110855711 A CN 110855711A
- Authority
- CN
- China
- Prior art keywords
- white list
- matrix
- industrial control
- connection
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Abstract
本发明涉及工业控制网络系统信息安全领域,尤其涉及一种基于SCADA系统白名单矩阵的工控网络安全监控方法,通过对流量的获取,聚集到连接,然后汇总到矩阵。在学习阶段,通过对创建矩阵的分析得到一个含有八元组的初始白名单矩阵。在白名单矩阵产生后,将通过比较特征库,最后在检测阶段对其进行分析。所有在网络中符合比较特征库后白名单的则认为是合法的,不与比较特征库后白名单相匹配的则产生报警。本发明的有益效果是本申请提出了在工控网络中使用白名单矩阵的方式帮助网络管理员监测非法网络流量,本方法具有可行性,白名单大小可控,运行稳定,方便管理员进行更新操作,不会出现大量的误报警信息。
Description
技术领域
本发明涉及工业控制网络系统信息安全领域,尤其涉及一种基于SCADA系统白名单矩阵的工控网络安全监控方法。
背景技术
SCADA(Supervisory Control And Data Acquisition)即数据采集与监视控制系统。SCADA系统的应用领域很广,在石油化工、电力系统、给水系统、核电等领域都发挥着重要的作用。随着网络的发展,SCADA系统也由独立的网络系统、专有的软硬件环境,逐渐发展成为开放式透明运作的标准系统,并通过TCP/IP等标准网络协议进行通信,而鉴于系统的重要性,其安全问题越来越受到普遍关注,一旦系统受到攻击,后果可能是灾难性的。这在降低成本提高效率的同时,SCADA系统所面临的安全性问题也日益凸显出来。
白名单矩阵是一种以基于TCP/IP协议作为工控网络的主要传输协议的集合,并用以减少网络攻击作为其目标。矩阵的概念是具有源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型及通信时间等八元组的双向包的通讯序列。白名单矩阵为一个完全基于上述八元组的合法网络包的集合。其在深度包检测及主机入侵检测等方面都具有较好的效果,可在不依赖包有效载荷的情况下对私有协议进行处理,甚至可在网络层进行操作,因此不需要对主机进行修改。由于普通网络中合法连接数太多而不能进行管理,所以白名单矩阵在普通网络中不适用。但是其可以广泛使用于特殊环境中,如减少垃圾邮件、避免网络钓鱼、预防各种对VoIP基础设施的攻击。使用白名单的主要目的是由于大多数工控网络流量都是由现场设备周期轮训等自动化过程所产生的,且与外部连接有条件限制,同时系统中设备添加及删除等操作并不频繁。
目前,白名单被一些公司作为提高工控系统安全的一种方式。挪威的石油和天然气协会提议:“除了有明确的授权,所有的访问都应该被禁止”。但是在实际生产环境中,并没有对白名单所具备的能力进行深入研究。
如前所述,在工控网络中的连接管理通常很稳定,意味着在这些环境中白名单的可行性。因此,急需一种基于SCADA系统白名单矩阵的工控网络安全监控方法,以满足工控网络中使用白名单监控非法网络流量的需求。
发明内容
本发明的目的在于提供一种基于SCADA系统白名单矩阵的工控网络安全监控方法,在工控网络中使用白名单矩阵的方式帮助网络管理员监测非法网络流量,本方法具有可行性,白名单大小可控,运行稳定,方便管理员进行更新操作,不会出现大量的误报警信息。
为实现上述目的,本发明提供如下技术方案:
一种基于SCADA系统白名单矩阵的工控网络安全监控方法,所述监控方法包括以下步骤:
s1:创建连接与创建矩阵,在网络中获得所有包含八元组的数据包,即IP包头信息,IP包头信息与白名单比较,创建连接时将捕获到的IP包头信息聚集到连接,以TCP状态机或超时300s作为创建连接的结束标志,在创建矩阵阶段确定了连接的客户段与服务器端,并根据八元组的数据包进一步汇总了连接;
s2:学习阶段:通过对创建矩阵的分析得到一个含有八元组的初始白名单矩阵;
s3:比较特征项:在白名单矩阵产生后,将通过比较特征库,最后在检测阶段对其进行分析;
s4:检测阶段:使用s3中的比较特征项阶段所创建的白名单去识别非法流,如果与白名单相匹配,则正常运行,如果与白名单不匹配,则会产生报警信息。
其中,s1中所述八元组的数据包为包含源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型以及通信时间这八个参数的数据包,不考虑数据包的来源及目的地。
其中,s1中所述的在创建矩阵阶段确定了连接的服务器端是通过以下四个规则进行识别的:
1)遵守三次握手协议的TCP连接,服务器端用来接收SYN包或发送SYN/ACK包;
2)适用于1024以下的端口,主机使用其作为服务器端,在一个活动的FTP会话中,数据连接的发送端为服务器,并使用20端口作为服务端口;
3)如果一台主机在多次连接中重复使用相同的协议及端口,那么这个主机就作为服务器,并以协议-端口相结合的方式识别服务,其依赖于客户端端口在每次连接中都不会重复,此方式将未被分类为前两者的连接保存在内存中下次带有相同的主机地址、协议及端口被检测;
4)对于不符合以上三种规则的连接都被归为此类,符合以上四个规则传输端口与IP协议的配对在服务器中都有唯一的服务与之对应。
与现有技术相比,本发明的有益效果是:
本发明所述的一种基于SCADA系统白名单矩阵的工控网络安全监控方法,在工控网络中使用白名单矩阵的方式帮助网络管理员监测非法网络流量,本方法具有可行性,白名单大小可控,运行稳定,方便管理员进行更新操作,不会出现大量的误报警信息。
附图说明
图1为本发明一种基于SCADA系统白名单矩阵的工控网络安全监控方法的逻辑流程框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于SCADA系统白名单矩阵的智能工控网络信息安全监控方法,其原理如下:通过对流量的获取,聚集到连接,然后汇总到矩阵。在学习阶段,通过对创建矩阵的分析得到一个含有八元组的初始白名单矩阵。在白名单矩阵产生后,将通过比较特征库,最后在检测阶段对其进行分析。所有在网络中符合比较特征库后白名单的则认为是合法的,不与比较特征库后白名单相匹配的则产生报警。连接即是所有带相同八元组的数据包(源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型以及通信时间),而不管这个数据包的来源及目的地。
(1)创建连接与创建矩阵:因白名单依赖IP包头信息,所以包头信息需在网络中获取并与白名单比较,本发明仅考虑TCP与UDP包。创建连接时将捕获到的包聚集到连接,以TCP状态机或超时300s作为创建连接的结束标志。
在创建矩阵阶段确定了连接的客户段与服务器端,并根据八元组进一步汇总了连接。通过以下四个规则进行服务器端的识别。
1)遵守三次握手协议的TCP连接,服务器端用来接收SYN包或发送SYN/ACK包。
2)适用于1024以下的端口,主机使用其作为服务器端。在一个活动的FTP会话中,数据连接的发送端为服务器,并使用20端口作为服务端口。
3)启发式。如果一台主机在多次连接中重复使用相同的协议及端口,那么这个主机就作为服务器,并以协议-端口相结合的方式识别服务。其依赖于客户端端口在每次连接中都不会重复,此方式将未被分类为前两者的连接保存在内存中下次带有相同的主机地址、协议及端口被检测,这潜在无限延迟了数据分析。可以在线使用超时机制,当超时机制启动后,这个连接将被划分为最后一类。本发明所描述的离线机制使用了无限超时的概念。
4)对于不符合以上三种规则的连接都被归为此类。
符合以上四个规则传输端口与IP协议的配对在服务器中都有唯一的服务与之对应。但这对于使用动态端口分配(如微软的活动目录)的网络服务是有不确定性的。在动态端口分配服务中,高于1024以上的端口为远程过程调用所动态分配的。
(2)学习阶段:理想状态下,网络管理员熟悉工控网络中的所有的服务,及基于此的白名单矩阵的构建。实际情况是很少使用所有的服务,部分原因由于工控私有协议的使用。
学习阶段的目标是在一段时间内通过网络流量的收集,自动建立并初始化白名单。有两种情形:1.在学习阶段,所有的数据流都是合法的。2.在学习阶段,大部分的数据流都是合法的。第一种情况是可行的,事实上在初始情况下,并没有来自网络上的攻击。第二种情况是基于工控网络上的大部分数据流是自动匹配的,即会出现重复的现象。学习阶段是对所有合法的数据流进行统计,但有时难免的,如手动修改可编程逻辑控制器(PLCs)的设置时,相关的信息流将不会出现在白名单中。这种情况下管理员可以通过检测阶段来增添白名单。
(3)比较特征项:由于特征向量不可能包括所有的情况,所以有必要用一定的算法进行特征选择。本发明首先采用Zipf规则分析学习阶段中所存放的正常通信与异常通信。然后计算出所属类别的互信息量。最后按照互信息量的大小由大到小进行排序,从最大开始,依次抽取一定数量的规则作为特征项(互信息量越大, 特征词属于此类的可能性也就越大)。
(4)检测阶段:检测阶段使用比较特征项阶段所创建的白名单去识别非法流。如果与白名单相匹配,则正常运行,否则会产生报警信息。实际生产环境中,管理员希望在误报警时把其添加到白名单中,或者在漏报时限制这个信息流。与IT网络不同,是不允许在工控网络环境中设置自动隔离功能,因为当合法的工控信息流被隔离可能引起严重的后果,如石油管道的泄露、电力中断等。
工作原理:通过对流量的获取,聚集到连接,然后汇总到矩阵。在学习阶段,通过对创建矩阵的分析得到一个含有八元组的初始白名单矩阵。在白名单矩阵产生后,将通过比较特征库,最后在检测阶段对其进行分析。所有在网络中符合比较特征库后白名单的则认为是合法的,不与比较特征库后白名单相匹配的则产生报警。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (3)
1.一种基于SCADA系统白名单矩阵的工控网络安全监控方法,其特征在于: 所述监控方法包括以下步骤:
s1:创建连接与创建矩阵,在网络中获得所有包含八元组的数据包,即IP包头信息,IP包头信息与白名单比较,创建连接时将捕获到的IP包头信息聚集到连接,以TCP状态机或超时300s作为创建连接的结束标志,在创建矩阵阶段确定了连接的客户段与服务器端,并根据八元组的数据包进一步汇总了连接;
s2:学习阶段:通过对创建矩阵的分析得到一个含有八元组的初始白名单矩阵;
s3:比较特征项:在白名单矩阵产生后,将通过比较特征库,最后在检测阶段对其进行分析;
s4:检测阶段:使用s3中的比较特征项阶段所创建的白名单去识别非法流,如果与白名单相匹配,则正常运行,如果与白名单不匹配,则会产生报警信息。
2.如权利要求1所述的一种基于SCADA系统白名单矩阵的工控网络安全监控方法,其特征在于:s1中所述八元组的数据包为包含源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口、协议类型以及通信时间这八个参数的数据包,不考虑数据包的来源及目的地。
3.如权利要求1所述的一种基于SCADA系统白名单矩阵的工控网络安全监控方法,其特征在于:s1中所述的在创建矩阵阶段确定了连接的服务器端是通过以下四个规则进行识别的:
1)遵守三次握手协议的TCP连接,服务器端用来接收SYN包或发送SYN/ACK包;
2)适用于1024以下的端口,主机使用其作为服务器端,在一个活动的FTP会话中,数据连接的发送端为服务器,并使用20端口作为服务端口;
3)如果一台主机在多次连接中重复使用相同的协议及端口,那么这个主机就作为服务器,并以协议-端口相结合的方式识别服务,其依赖于客户端端口在每次连接中都不会重复,此方式将未被分类为前两者的连接保存在内存中下次带有相同的主机地址、协议及端口被检测;
4)对于不符合以上三种规则的连接都被归为此类,符合以上四个规则传输端口与IP协议的配对在服务器中都有唯一的服务与之对应。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911178233.XA CN110855711A (zh) | 2019-11-27 | 2019-11-27 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911178233.XA CN110855711A (zh) | 2019-11-27 | 2019-11-27 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110855711A true CN110855711A (zh) | 2020-02-28 |
Family
ID=69604982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911178233.XA Pending CN110855711A (zh) | 2019-11-27 | 2019-11-27 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110855711A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
CN113038379A (zh) * | 2021-04-22 | 2021-06-25 | 上海仙豆智能机器人有限公司 | 基于名单的预警处理方法、装置、电子设备与存储介质 |
CN113191611A (zh) * | 2021-04-22 | 2021-07-30 | 上海仙豆智能机器人有限公司 | 车辆聚集的监控方法、装置、设备以及介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
CN106330975A (zh) * | 2016-11-03 | 2017-01-11 | 上海三零卫士信息安全有限公司 | 一种基于scada系统的周期性异常检测的方法 |
CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
-
2019
- 2019-11-27 CN CN201911178233.XA patent/CN110855711A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
CN106330975A (zh) * | 2016-11-03 | 2017-01-11 | 上海三零卫士信息安全有限公司 | 一种基于scada系统的周期性异常检测的方法 |
CN106506486A (zh) * | 2016-11-03 | 2017-03-15 | 上海三零卫士信息安全有限公司 | 一种基于白名单矩阵的智能工控网络信息安全监控方法 |
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111709034A (zh) * | 2020-05-29 | 2020-09-25 | 成都金隼智安科技有限公司 | 基于机器学习的工控环境智能安全检测系统与方法 |
CN113038379A (zh) * | 2021-04-22 | 2021-06-25 | 上海仙豆智能机器人有限公司 | 基于名单的预警处理方法、装置、电子设备与存储介质 |
CN113191611A (zh) * | 2021-04-22 | 2021-07-30 | 上海仙豆智能机器人有限公司 | 车辆聚集的监控方法、装置、设备以及介质 |
CN113038379B (zh) * | 2021-04-22 | 2024-02-23 | 上海仙豆智能机器人有限公司 | 基于名单的预警处理方法、装置、电子设备与存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11902322B2 (en) | Method, apparatus, and system to map network reachability | |
US10291506B2 (en) | Anomaly detection in industrial communications networks | |
CN110855711A (zh) | 一种基于scada系统白名单矩阵的工控网络安全监控方法 | |
CN106506486A (zh) | 一种基于白名单矩阵的智能工控网络信息安全监控方法 | |
US20210281571A1 (en) | Enhanced smart process control switch port lockdown | |
US7130305B2 (en) | Processing of data packets within a network element cluster | |
US20140344912A1 (en) | Firewall based botnet detection | |
US20090150972A1 (en) | Apparatus and method for managing p2p traffic | |
US20160173452A1 (en) | Multi-connection system and method for service using internet protocol | |
KR20160074342A (ko) | 네트워크에서의 침입 탐지 방법 | |
EP2200249A1 (en) | Network analysis | |
KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
US20140298008A1 (en) | Control System Security Appliance | |
Yin | Towards accurate node-based detection of P2P botnets | |
KR20150081889A (ko) | 제어 네트워크 침해사고 탐지 장치 및 탐지 방법 | |
CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
Paul et al. | Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO | |
EP3905595B1 (en) | Industrial control system monitoring method, device and system, and computer-readable medium | |
CN111628994A (zh) | 一种工控环境的异常检测方法、系统及相关装置 | |
Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
Hong et al. | Security monitoring and network management for the power control network | |
US20140297004A1 (en) | Method for detecting abnormal traffic on control system protocol | |
JP2023126177A (ja) | ネットワークにおけるインフラストラクチャの異常を検出するための方法および装置 | |
CN115883169A (zh) | 基于蜜罐系统的工控网络攻击报文响应方法及响应系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200228 |
|
RJ01 | Rejection of invention patent application after publication |