CN111404917B - 一种基于工控仿真设备的威胁情报分析检测方法及系统 - Google Patents
一种基于工控仿真设备的威胁情报分析检测方法及系统 Download PDFInfo
- Publication number
- CN111404917B CN111404917B CN202010168053.XA CN202010168053A CN111404917B CN 111404917 B CN111404917 B CN 111404917B CN 202010168053 A CN202010168053 A CN 202010168053A CN 111404917 B CN111404917 B CN 111404917B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control simulation
- simulation equipment
- data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种基于工控仿真设备的威胁情报分析检测方法及系统,该方法包括通过模拟技术在工控网络中仿真出工控仿真设备;为所述工控仿真设备构建独立的网络交互模型;利用所述工控仿真设备占用工控网络内空闲ip;利用所述工控仿真设备实时采集来访数据并与来访数据进行交互;根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据。本发明旨在仿真整个工业控制系统,通过模拟攻击者关注的核心:工业控制指令集,通过一问一答的交互方式,还原攻击者的攻击方式,收集其apt攻击手段,提前向用户预警生产环境内存在或将被利用的严重漏洞信息。
Description
技术领域
本发明涉及网络安全防护技术领域,特别涉及一种基于工控仿真设备的威胁情报分析检测方法及系统。
背景技术
恶意软件是尝试破坏计算机、工业控制系统,搜集敏感信息的计算机软件,它对传统计算机网络尤其是工业网络造成了很大威胁。2010年发现的Stuxnet病毒式首个针对工业控制系统的蠕虫病毒,该病毒针对下位机的Siemens S7 200-300PLC执行恶意代码注入,对于上位机Wincc监控系统通过Hook技术执行了自我隐藏;2012年和2013年被检测发现的Flame病毒和Duqu病毒则是为Stuxnet进行前期数据搜集,包括网络环境拓扑、目标PLC详细信息等情况。近些年,又陆续爆发了针对能源网络的Havex、BlackEnergy病毒。通过对这些事件的分析我们可以发现,由于攻击价值很大,针对工业控制网络的恶意攻击行为往往会结合使用公开漏洞和0day漏洞,这就给恶意行为的及时发现造成了很大的困难。然而,由于工业控制网络对于安全要求的等级极高,必须要及时发现各种网络威胁(包括未知威胁)。
现有的安全防御手段都是被动式防御APT入侵攻击,例如:监测审计、工控防火墙,这些设备都是必须挂靠在工业控制系统网络的核心路线上,位于上下位机的通信链路中,对每一个通信指令,这些安全设备都会去做深度检测,以确保每个指令的正确性和操作合规性。
以上设备在保障工控系统网络(以下称工控网络)安全性的同时,也给工控网络埋下了一定的隐患,这主要体现在以下几点:
1.存在误报漏报的可能性,要理解每个通信指令的含义,必须要先得到诸如S7Comm、modbus等工业协议的全部指令功能码,在某种程度上是不可能的,那么当上下位机定义新功能码时,就会被安全设备误报,从而导致工控设备无法收到相应的指令正常工作;
2.当大量上下位机需要进行大量操作时,安全设备的介入,会让工控系统网络出现时延,这就让安全设备成为了工控网络安全的不稳定因素;
3.当上位机被劫持时,处于链路中的安全设备无法保障上位机的安全性,传统的工控安全设备只能保护自身所在的小段核心链路。
发明内容
针对现有技术的不足,本发明目的之一在于提供一种可主动进行攻击防御,安全性高的基于工控仿真设备的威胁情报分析检测方法。其采用如下技术方案:
一种基于工控仿真设备的威胁情报分析检测方法,其包括:
通过模拟技术在工控网络中仿真出工控仿真设备;
为所述工控仿真设备构建独立的网络交互模型;
利用所述工控仿真设备占用工控网络内空闲ip;
利用所述工控仿真设备实时采集来访数据并与来访数据进行交互;
根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据。
作为本发明的进一步改进,所述在工控网络中仿真出工控仿真设备,具体包括:
在工控网络中仿真出多个包含不同工业协议的工控仿真设备。
作为本发明的进一步改进,多个所述工控仿真设备之间依次串联设置,所述来访数据依次经过每个所述工控仿真设备,并依次与每个工控仿真设备进行交互。
作为本发明的进一步改进,所述工业协议包括s7comm、modbus、ftp、bacnet、kamstrup、opc、enip。
作为本发明的进一步改进,还包括:
将生产网络内的流量数据进行镜像,从中分析并构建生产网络白名单模型。
作为本发明的进一步改进,还包括:
将APT攻击数据进行分级展示。
本发明目的之二在于提供一种可主动进行攻击防御,安全性高的基于工控仿真设备的威胁情报分析检测系统。其采用如下技术方案:
一种基于工控仿真设备的威胁情报分析检测系统,其特征在于,包括:
仿真模块,用于通过模拟技术在工控网络中仿真出工控仿真设备;
网络交互模型构建模块,用于为所述工控仿真设备构建独立的网络交互模型;
空闲ip占用模块,用于利用所述工控仿真设备占用工控网络内空闲ip;
数据处理模块,用于利用所述工控仿真设备实时采集来访数据并与来访数据进行交互;
威胁处理模块,用于根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据。
作为本发明的进一步改进,所述在工控网络中仿真出工控仿真设备,具体包括:
在工控网络中仿真出多个包含不同工业协议的工控仿真设备。
作为本发明的进一步改进,还包括:
镜像模块,用于将生产网络内的流量数据进行镜像;
白名单模型构建模块,用于对镜像的流量数据进行分析并构建生产网络白名单模型。
作为本发明的进一步改进,还包括威胁分级展示模块,用于将APT攻击数据进行分级展示。
本发明的有益效果:
本发明基于工控仿真设备的威胁情报分析检测方法及系统能够在与生产环境相同的条件下,旁挂于受保护对象,将受保护对象纳入可信名单和监控范围,为受保护对象提供一个完全针对生产核心的解决方案,通过模拟交互描述一个apt攻击行为的通信过程和通信结果。
本发明能够实现在一个独立的应用中,能够自由部署在网络内,当部署在公网中,独立的工控生产模型和网络模型,能够诱导攻击者进行主动apt攻击,挖掘最新最前沿的apt攻击方式和攻击利用趋势,当部署在内网中,既可以与受保护对象并联,将受保护对象纳入可信名单,也可以独立占用一个受监控的网段,完成生产模拟,在apt攻击到来时,即时预警和拖延apt攻击深入。
除了能达到防御的效果外,还能阻止apt攻击的更新和变异,通过固定的设备模拟,以常用的应用将apt攻击方式固定为常见手段,让攻击者失去挖掘新apt攻击方式的可能性。。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明优选实施例中基于工控仿真设备的威胁情报分析检测方法的示意图;
图2是本发明优选实施例中基于工控仿真设备的威胁情报分析检测系统的实现系统的示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
实施例一
如图1所示,为本发明实施例中的基于工控仿真设备的威胁情报分析检测方法,该方法包括以下步骤:
S10、通过模拟技术在工控网络中仿真出工控仿真设备。
具体包括:在工控网络中仿真出多个包含不同工业协议的工控仿真设备。多个所述工控仿真设备之间依次串联设置,所述来访数据依次经过每个所述工控仿真设备,并依次与每个工控仿真设备进行交互。其中,工业协议包括s7comm、modbus、ftp、bacnet、kamstrup、opc、enip等。
其中,每个工控仿真设备都能进行深度交互,以保证攻击者攻击时能够采集详细的攻击数据并作出回应,通过回应判断攻击者的行为。
S20、为所述工控仿真设备构建独立的网络交互模型。
其目的是防止工控仿真设备被攻击者攻破时成为跳板,独立的网络交互模型可以让工控仿真设备相互之间互相独立、互相联系,也可以与外部工控网络隔离。
S30、利用所述工控仿真设备占用工控网络内空闲ip。
具体的,利用所述工控仿真设备大量占用工控网络内空闲ip,营造出生产网络的假象。
S40、利用所述工控仿真设备实时采集来访数据并与来访数据进行交互。
S50、根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据。
进一步的,根据交互产生的回应结果定义此次行为的威胁等级,如:工控仿真设备出现应用关停则显示为stop(start)行为,威胁等级为A2(attack),出现应用运转异常则显示为write行为,威胁等级为A1,以此类推,一旦判定成功,立即丢弃该数据包,同时发出预警通知。
在本实施例中,该方法还包括以下步骤:将APT攻击数据进行分级展示。
具体的,采用威胁分级展示模块进行数据展示,展示网络交互模型内部工控仿真设备之间的通信流量变化、通信数据变化,以及与来访数据之间的交互数据,并将挖掘到的APT威胁数据进行分级展示。
在其中一实施例中,该方法还包括以下步骤:将生产网络内的流量数据进行镜像,从中分析并构建生产网络白名单模型。其是针对外部工控网络可能出现的违规操作,提供一个可信名单,对来访的可疑指令做出误报、漏报警告。
实施例二
如图2所示,为本实施例中的基于工控仿真设备的威胁情报分析检测系统,其包括:
仿真模块,用于通过模拟技术在工控网络中仿真出工控仿真设备。
具体包括:在工控网络中仿真出多个包含不同工业协议的工控仿真设备。多个所述工控仿真设备之间依次串联设置,所述来访数据依次经过每个所述工控仿真设备,并依次与每个工控仿真设备进行交互。其中,工业协议包括s7comm、modbus、ftp、bacnet、kamstrup、opc、enip等。
其中,每个工控仿真设备都能进行深度交互,以保证攻击者攻击时能够采集详细的攻击数据并作出回应,通过回应判断攻击者的行为。
网络交互模型构建模块,用于为所述工控仿真设备构建独立的网络交互模型。其目的是防止工控仿真设备被攻击者攻破时成为跳板,独立的网络交互模型可以让工控仿真设备相互之间互相独立、互相联系,也可以与外部工控网络隔离。
空闲ip占用模块,用于利用所述工控仿真设备占用工控网络内空闲ip。具体的,利用所述工控仿真设备大量占用工控网络内空闲ip,营造出生产网络的假象。
数据处理模块,用于利用所述工控仿真设备实时采集来访数据并与来访数据进行交互。
威胁处理模块,用于根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据。
进一步的,威胁处理模块还用于根据交互产生的回应结果定义此次行为的威胁等级,如:工控仿真设备出现应用关停则显示为stop(start)行为,威胁等级为A2(attack),出现应用运转异常则显示为write行为,威胁等级为A1,以此类推,一旦判定成功,立即丢弃该数据包,同时发出预警通知。
在其中一实施例中,该系统还包括:
镜像模块,用于将生产网络内的流量数据进行镜像。
白名单模型构建模块,用于对镜像的流量数据进行分析并构建生产网络白名单模型。
其是针对外部工控网络可能出现的违规操作,提供一个可信名单,对来访的可疑指令做出误报、漏报警告。
在本实施例中,该系统还包括威胁分级展示模块,用于将APT攻击数据进行分级展示。
具体的,展示网络交互模型内部工控仿真设备之间的通信流量变化、通信数据变化,以及与来访数据之间的交互数据,并将挖掘到的APT威胁数据进行分级展示。
本发明旨在仿真整个工业控制系统,通过模拟攻击者关注的核心:工业控制指令集,通过一问一答的交互方式,还原攻击者的攻击方式,收集其apt攻击手段,提前向用户预警生产环境内存在或将被利用的严重漏洞信息。
以上实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (7)
1.一种基于工控仿真设备的威胁情报分析检测方法,其特征在于,包括:
通过模拟技术在工控网络中仿真出工控仿真设备;
为所述工控仿真设备构建独立的网络交互模型;
利用所述工控仿真设备占用工控网络内空闲ip;
利用所述工控仿真设备实时采集来访数据并与来访数据进行交互;
根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据;
其中,在工控网络中仿真出多个包含不同工业协议的工控仿真设备,多个所述工控仿真设备之间依次串联设置,所述来访数据依次经过每个所述工控仿真设备,并依次与每个工控仿真设备进行交互;
其中,每个工控仿真设备都能进行深度交互,以保证攻击者攻击时能够采集详细的攻击数据并作出回应,通过回应判断攻击者的行为。
2.如权利要求1 所述的基于工控仿真设备的威胁情报分析检测方法,其特征在于,所述工业协议包括s7comm、modbus、ftp、bacnet、kamstrup、opc、enip。
3.如权利要求1所述的基于工控仿真设备的威胁情报分析检测方法,其特征在于,还包括:
将生产网络内的流量数据进行镜像,从中分析并构建生产网络白名单模型。
4.如权利要求1所述的基于工控仿真设备的威胁情报分析检测方法,其特征在于,还包括:
将APT攻击数据进行分级展示。
5.一种基于工控仿真设备的威胁情报分析检测系统,其特征在于,包括:
仿真模块,用于通过模拟技术在工控网络中仿真出工控仿真设备;
网络交互模型构建模块,用于为所述工控仿真设备构建独立的网络交互模型;
空闲ip占用模块,用于利用所述工控仿真设备占用工控网络内空闲ip;
数据处理模块,用于利用所述工控仿真设备实时采集来访数据并与来访数据进行交互;
威胁处理模块,用于根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据;
其中,在工控网络中仿真出多个包含不同工业协议的工控仿真设备,多个所述工控仿真设备之间依次串联设置,所述来访数据依次经过每个所述工控仿真设备,并依次与每个工控仿真设备进行交互;
其中,每个工控仿真设备都能进行深度交互,以保证攻击者攻击时能够采集详细的攻击数据并作出回应,通过回应判断攻击者的行为。
6.如权利要求5所述的基于工控仿真设备的威胁情报分析检测系统,其特征在于,还包括:
镜像模块,用于将生产网络内的流量数据进行镜像;
白名单模型构建模块,用于对镜像的流量数据进行分析并构建生产网络白名单模型。
7.如权利要求5所述的基于工控仿真设备的威胁情报分析检测系统,其特征在于,还包括威胁分级展示模块,用于将APT攻击数据进行分级展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010168053.XA CN111404917B (zh) | 2020-03-11 | 2020-03-11 | 一种基于工控仿真设备的威胁情报分析检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010168053.XA CN111404917B (zh) | 2020-03-11 | 2020-03-11 | 一种基于工控仿真设备的威胁情报分析检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111404917A CN111404917A (zh) | 2020-07-10 |
| CN111404917B true CN111404917B (zh) | 2022-10-04 |
Family
ID=71432401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010168053.XA Active CN111404917B (zh) | 2020-03-11 | 2020-03-11 | 一种基于工控仿真设备的威胁情报分析检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404917B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822212B (zh) * | 2021-02-06 | 2022-12-02 | 西安热工研究院有限公司 | 一种非接触式水电监控系统网络安全脆弱性检测方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控系统中的蜜罐装置及工控系统 |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制系统主流协议实现与监测解析平台 |
| CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
-
2020
- 2020-03-11 CN CN202010168053.XA patent/CN111404917B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控系统中的蜜罐装置及工控系统 |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制系统主流协议实现与监测解析平台 |
| CN109818985A (zh) * | 2019-04-11 | 2019-05-28 | 江苏亨通工控安全研究院有限公司 | 一种工控系统漏洞趋势分析与预警方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111404917A (zh) | 2020-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109818985B (zh) | 一种工控系统漏洞趋势分析与预警方法及系统 | |
| Yang et al. | Anomaly-based intrusion detection for SCADA systems | |
| Rubio et al. | Analysis of Intrusion Detection Systems in Industrial Ecosystems. | |
| US20110321166A1 (en) | System and Method for Identifying Unauthorized Activities on a Computer System Using a Data Structure Model | |
| Jardine et al. | Senami: Selective non-invasive active monitoring for ics intrusion detection | |
| Briesemeister et al. | Detection, correlation, and visualization of attacks against critical infrastructure systems | |
| US20180063191A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
| CN113660296B (zh) | 一种工控系统防攻击性能的检测方法、装置及计算机设备 | |
| Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN113489728A (zh) | 一种工业互联网的安全评估系统及方法 | |
| CN111193738A (zh) | 一种工业控制系统的入侵检测方法 | |
| Ferencz et al. | Review of industry 4.0 security challenges | |
| Serhane et al. | Programmable logic controllers based systems (PLC-BS): Vulnerabilities and threats | |
| Keliris et al. | Enabling multi-layer cyber-security assessment of Industrial Control Systems through Hardware-In-The-Loop testbeds | |
| CN111404917B (zh) | 一种基于工控仿真设备的威胁情报分析检测方法及系统 | |
| CN114928462A (zh) | 一种基于用户行为识别的Web安全防护方法 | |
| EP2141884A1 (en) | Anti-intrusion method and system for a communication network | |
| Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
| CN115484175A (zh) | 智能制造网络攻防展示方法、装置、系统与存储介质 | |
| CN115549950A (zh) | 一种基于虚拟化的工业控制设备的安全防护系统 | |
| CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及系统 | |
| CN114374528A (zh) | 一种数据安全检测方法、装置、电子设备及介质 | |
| Lau et al. | Securing supervisory control and data acquisition control systems | |
| CN112417434A (zh) | 一种结合ueba机制的程序白名单防护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |