CN111869189A - 网络探针和处理消息的方法 - Google Patents

网络探针和处理消息的方法 Download PDF

Info

Publication number
CN111869189A
CN111869189A CN201980019670.9A CN201980019670A CN111869189A CN 111869189 A CN111869189 A CN 111869189A CN 201980019670 A CN201980019670 A CN 201980019670A CN 111869189 A CN111869189 A CN 111869189A
Authority
CN
China
Prior art keywords
message
network
slmp
category
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201980019670.9A
Other languages
English (en)
Inventor
R·罗莱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN111869189A publication Critical patent/CN111869189A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • H04L12/2818Controlling appliance services of a home automation network by calling their functionalities from a device located outside both the home and the home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种在包括工厂自动化FA网络和外部网络的FA架构中处理消息的方法,所述FA网络包括至少一个装置,所述方法由网络探针实现并包括以下步骤:拦截(201)从外部网络发出并旨在用于FA网络的所述至少一个装置当中的装置的消息;至少基于所述消息旨在用于的装置在类别的预定义集合当中对所述消息进行分类(202);至少基于所述消息所分类的类别来决定(203)发出警示。

Description

网络探针和处理消息的方法
技术领域
本发明总体上涉及攻击检测方法,特别是在工厂自动化的背景下。
背景技术
本节中描述的方法可被采用,但未必是先前已想到或采用的方法。因此,除非本文中另外指示,否则本节中描述的方法不是本申请中的权利要求的现有技术,并不因包括在本节中而被承认为现有技术。
无缝消息协议SLMP最初是申请人开发用于可编程逻辑控制器PLC的串行通信协议。其使用、格式和功能的描述在在线公开的三菱电机所出版的SLMP参考手册中有所说明。
该协议类似于具有相似使用、功能和部署的ModBUS协议。
那些协议允许为了管理目的和控制目的而连接到同一网络的许多工业装置之间的通信。
例如,工业系统可测量温度和湿度并且可将结果传送至计算机。SLMP以及ModBUS可在诸如EIA/TIA-232、EIA/TIA-485或以太网+TCP/IP的多个基础网络层上传输。
那些工业管理协议基于具有最大消息大小的简单请求/响应方案。
协议功能包括从离散输入/线圈(位大小实体)或寄存器(16位字实体)读取值、将值写到线圈和寄存器、为服务器执行诊断以及管理运行软件。在服务器从客户端接收并处理请求之后,其将对应响应发送回客户端。响应可以是正常响应或错误(例外)响应。
客户端应在发送新请求之前等待响应。
数据模型或描述是非常简单的顺序表集合,其全部具有不同的特征。其允许对位于PLC内的不同装置(例如,离散输入和线圈(即,继电器))的简单位访问或对输入和内部寄存器的16位字访问。
用于访问不同装置的寻址模型也非常简单,通常包括固定的地址范围以访问不同的顺序表。
然而,这些协议初始设计时没有考虑网络安全问题。因此,它们缺少安全机制以避免熟知的信息安全威胁。例如,这些协议不包括对业务进行加密、检查消息的完整性以及认证客户端和服务器的方式。
新一代工业系统(工业4.0概念)将需要越来越多地将工厂自动化FA网络连接到外部信息技术(IT)网络和云服务器,从而增加了网络攻击的风险。实际上,攻击者可能试图渗透FA网络的控制和现场总线层面以获得机密信息、破坏工厂流程、使一些数据对操作者不可用、向操作者返回一些虚假信息等。
如最初介绍的,用于FA管理和控制的通信依赖于可直接在TCP或UDP上变化的不安全协议。
因此,攻击者可能损害:
-机密性,因为业务在网络上一清二楚;
-完整性,因为目前无法知道贯穿通信链路原始消息是否已改变;和/或
-可用性,因为攻击者可能使用精心制作的分组或重用合法的分组来消耗网络资源、客户端资源或服务器资源(例如,重置TCP连接、执行洪水攻击等)。
简单FA网络架构可包括基于IT-以太网的网络,其经由充当IT协议(以太网、TCP/IP)与FA网络协议之间的接口的中继站连接到FA网络(在控制层面和现场总线)。
有时,PLC装置可直接集成以太网标准以与IT装置直接通信,而不通过中继站中转。
在这种架构中,攻击者可能损害连接到IT网络的FA网络的一个站,并且可能试图向位于FA网络中的一些PLC发送恶意命令,从而对连接到现场总线并由受攻击的PLC控制的机器人造成损坏。
如上面说明的,用于FA网络的管理和控制的应用协议(例如,SLMP和ModBUS)不包括任何安全机制。
由于FA网络拓扑的演变,它们如今广泛用在诸如TCP或UDP和以太网的标准通信层上,并且越来越多地用在与FA网络互连的IT通信网络上。
一些攻击者能够损害FA网络,这在FA安装和生产线中导致一些潜在重大破坏。
因此,需要一种能够检测由一些受损的IT装置经由(以太网)IT网络朝着FA网络发射的恶意消息的高效攻击检测方法。
已开发根据现有技术的一些方法来检测FA网络内的潜在入侵试探。
它们中的一些在于使用基于模型的方法来检测入侵。基本思想是构造表征FA网络架构的不同通信实体的预期/可接受行为的模型。此方法检测导致系统的行为超出构造的模型之外的攻击,并且适用于对FA管理协议、对操作系统OS平台以及对联网基础设施的攻击。
与基于签名的方法不同,基于模型的方法的优点是可检测未知攻击。其尤其适合于FA网络,因为很少有公开的攻击示例。
诸如基于洪水的拒绝服务DoS攻击的异常活动通常伴随有指示异常的参数的统计性质的改变(例如,所接收的请求的速率)。
因此,检测这些异常活动的问题可被视为改变检测问题,目的是以最小延迟和最小误检率(false detection rate)检测所观测的参数的改变。
已提出了不同方法,其常常用于检测急剧改变:移动平均、累积和、频谱分析等。
签名检测方法用于检测已知攻击,但它们需要预先知道攻击实例及其对应业务踪迹或特征。这些方法可检测旨在利用运行软件中的漏洞的字节序列。它们由部署在IT系统中的防病毒软件广泛使用。
作为替代,它们也可用于高效地检测合法业务。当应用于工业管理协议时,签名检测方法可能能够检测对一些特定资源的读或写请求访问,并且当它们来自不寻常或不可信的站时触发警报。
然而,高效且适用的检测方法无法仅依赖于签名攻击检测方法,因为已知的FA攻击示例非常少,并且网络业务踪迹和特征不可用。
另外,攻击是针对一些具体FA部署和特定网络架构设计的:考虑到FA应用和网络拓扑的多样性,构建相关签名数据库是非常艰巨的任务并且很难维持最新。
因此,需要实现一种克服上述缺点中的至少一些的安全策略。
发明内容
为了解决这些需求中的至少一些,本发明的第一方面涉及一种在包括工厂自动化FA网络和外部网络的FA架构中处理消息的方法,该FA网络包括至少一个装置,该方法由网络探针实现并且包括以下步骤:
-拦截从外部网络发出并旨在用于FA网络的至少一个装置当中的装置的消息;
-至少基于消息旨在用于的装置在预定义的类别集合当中对消息进行分类;-至少基于消息所分类的类别来决定发出警示。
因此,仅通过监测从外部网络发出并旨在用于FA网络装置的消息(命令),可定义安全策略,而无需修改FA网络。实际上,由于硬件约束和生产环境,FA装置难以更新。它们无法由具有更好性能的新型号容易地替换。这种方法还允许检测多种类型的攻击,因为它不是基于签名的。
消息可指定任何FA管理消息,例如任何类型的命令。
根据一些实施方式,网络探针存储至少将预定义集合的类别与FA网络装置的标识符映射的分类表。
因此,给定安全策略可预先定义或连续地更新,并且通过分类表来实现,这使得网络探针能够快速决策以对消息进行分类。
作为补充,装置的标识符可标识:
-FA网络;
-FA网络的装置;
-装置的模块,所述模块专用于装置的给定功能;和/或
-模块内的资源。
因此,在定义安全策略时可使用不同级别的粒度。
根据一些实施方式,也可基于消息的类型对消息进行分类。
这允许安全策略中具有更好的准确性。
作为补充,分类表可将预定义集合的类别与FA网络的装置的标识符和消息类型映射。
这使得网络探针能够在对消息进行分类并发出警示时快速决策。
另外作为补充,消息可根据SLMP协议并且消息的类型可为下列之一:
-读访问;
-写访问;
-远程控制;
-管理;以及
-装置锁定。
因此,该方法可在SLMP FA网络的背景下使用。然而,相同的原理可用于ModBUS FA网络。
根据一些实施方式,该方法还可包括:解析消息以确定消息是否包括签名,并且如果消息包括签名,则验证所述签名,还可基于消息是否包括签名并且基于签名的验证来对消息进行分类。
使用签名允许将消息安全地分类在最安全类别中。
作为补充,消息可在TCP上传输,并且签名可取决于与消息对应的TCP连接的初始TCP序列号。
使用独特的并且针对各个新TCP连接随机地生成的初始TCP序列号(例如,包括在TCP SYN-ACK消息中的TCP序列号)允许避免来自攻击者的重放攻击。
仍作为补充,如果消息的签名被肯定地验证,则消息可被分类在最安全类别中,否则可至少基于消息旨在用于的装置对消息进行分类。
这允许更高效地对消息进行分类。
根据一些实施方式,可预定义m个类别并从0至m-1编号,0是最安全类别,至少一个极限值ni被加前缀,i被包括在0和m-1之间,并且如果分类在等于或高于i的类别中的消息数量等于或大于ni,则可发出警示。
这允许为FA网络灵活地定义安全策略。
根据一些实施方式,消息可由外部网络的应用发出,该应用可利用网络探针认证,并且在从应用接收到消息时,该消息指向(destined to)装置的模块的资源,分类表中映射到资源、模块或装置的类别可被设定为预定义类别(比初始类别安全)。
这允许自动地填充分类表的至少一部分。然后,使用预定义类别对旨在用于相同资源/模块或装置的后续消息进行分类。根据一些实施方式,预定义类别可取决于从应用接收的消息的类型。
然后,按消息类型区分预定义类别。例如,写消息的预定义类别比读消息(不太重要)的预定义类别大(因此对应于较高危险级别)。
作为补充,类别从第一值修改为与预定义类别对应的第二值,并且在定时器届满时,再次被设定为第一值。
这允许针对可信应用不再请求的资源发出警示。
本发明的另一方面涉及一种计算机程序产品,其包括存储有计算机程序指令的计算机可读介质,所述计算机程序指令可加载到计算装置中并且在被加载到所述计算装置中并由所述计算装置执行时被设置为使得计算装置执行根据本发明的第一方面的方法的步骤。
本发明的第三方面涉及一种用于在包括工厂自动化FA网络和外部网络的FA架构中处理消息的网络探针,该FA网络包括至少一个装置,该网络探针包括:
-网络接口,用于拦截从外部网络发出并旨在用于FA网络的至少一个装置当中的装置的消息;
-处理器,其被配置用于:
-至少基于消息旨在用于的装置在预定义的类别集合当中对消息进行分类;
-至少基于消息所分类的类别来决定发出警示。
本发明的第四方面涉及一种包括根据第三方面的网络探针和工厂自动化FA网络的系统。
本发明在附图中作为示例而非限制示出,附图中相似的标号表示相似的元件。
附图说明
[图1]
图1表示根据本发明的一些实施方式的系统FA网络架构;
[图2]
图2是示出根据本发明的一些实施方式的方法的步骤的图;
[图3]
图3示出根据本发明的一些实施方式的网络探针的结构;
[图4]
图4示出读/写消息的SLMP格式。
具体实施方式
图1示出根据本发明的实施方式的包括FA网络102和外部网络103的工厂自动化FA架构,FA网络102包括至少一个装置。
在图1上,FA网络102包括三个装置104.1、104.2和104.3,例如是可编程逻辑控制器PLC。
各个装置可与一个或多个模块关联,各个模块专用于给定功能。例如,给定装置的第一模块可专用于控制第一机器,而给定装置的第二模块可专用于控制第二机器或传感器。
在图1所示的示例上,各个装置包括两个模块。然而,可理解,装置可包括一个或多个模块,并且装置可不具有相同数量的模块。
第一装置104.1包括第一模块105.1和第二模块105.2,第二装置104.2包括第三模块105.3和第四模块105.4,第三装置104.3包括第五模块105.5和第六模块105.6。
该架构还包括中继站101,其可充当外部网络103与FA网络102之间的接口。实际上,在FA网络中,诸如SLMP或ModBUS的FA管理协议可用于控制装置104。在下文中,仅出于例示性目的,考虑SLMP的示例。
外部网络可以是诸如以太网网络的IT网络。在这种情况下,中继站101可以是以太网适配器,其被配置用于提取包含在以太网上承载的TCP帧或UDP帧中的SLMP消息。如之前说明的,可在诸如EIA/TIA-232、EIA/TIA-485或以太网+TCP/IP(或UDP)的多个基础层上传输SLMP和ModBUS。
在下文中,仅出于例示性目的,考虑以太网+TCP或UDP的具体示例。
根据本发明的网络探针100可位于外部网络和FA网络之间,或网络探针100可拦截从外部网络103的应用发出并旨在用于装置104之一的任何以太网帧的任何位置。
例如,网络探针100可被插入防火墙中。
如下面说明的,网络探针100被配置为监测和检查任何以太网帧,特别是,分析TCP网络层或UDP网络层上传输的FA管理协议(例如,SLMP)请求消息和响应消息。另外,消息可根据至少包括消息的类型和消息的目的地的多个标准来分类。分类还可考虑访问频率、所访问的资源的类型和消息的来源。如下面说明的,网络探针100还被配置为检查插入在FA管理消息中的签名,以使得网络探针100可完全信任外部网络103中运行的客户端应用。
客户端应用可对应于外部网络103上的不同实体,出于例示性目的,图1上示出它们中的一些。例如,客户端应用可对应于可信安全控制器106、可信监督控制器107或不可信站108。
“可信”意指应用是网络探针100已知或认证的。例如,其意指应用所发送的消息的签名先前已由网络探针100验证并被认为有效。
图2是示出根据本发明的一些实施方式的方法的步骤的流程图。该方法由网络探针100实现。
在步骤201,网络探针100拦截从外部网络103的一个应用发出并旨在用于FA网络102的装置104之一的消息。
在步骤202,网络探针100至少基于消息旨在用于的装置(装置的标识符)在预定义的类别集合当中对消息进行分类。可定义并应用不同的安全策略以确定分类规则。根据第一实施方式,未认证应用对被认为关键的装置的访问被分类在最危险类别中,而认证应用的访问可被分类在最可靠或最安全类别。
根据另一实施方式,当网络探针100与防火墙联接以阻挡旨在用于关键装置的不可信业务时。例如,可仅允许可信应用访问(不向防火墙发出警示)关键装置。即使运行应用的外部网络103的实体被感染,攻击者也不可能伪造一些FA管理消息以访问关键装置,因为其无法对其恶意消息签名(因为攻击者没有这样做的证书)。例如,不可信应用仅可访问非关键装置,而对关键装置的访问被防火墙阻挡。
关键装置可被视为功能之一被认为是关键的装置。例如,对于给定工厂,火灾传感器的功能在安全方面可被认为是关键的,而温度传感器或湿度传感器的功能可被认为是非关键的。
因此,根据这两个实施方式,对消息进行分类所考虑的标准是消息旨在用于的装置和发出消息的应用(可信与否)。
将在下文中描述使用标准的其它组合的步骤202的其它实施方式。
在步骤203,网络探针100至少基于消息所分类的类别来决定发出警示。可向防火墙发送警示以阻挡消息。另外地,可向可信安全控制器106发送警示。根据一些实施方式,并且如下面进一步详述的,在确定是否要发出警示时可考虑多个分类的消息的类别。
在下文中,提出引入签名以认证FA管理消息。然后,可由网络探针100解析签名并考虑签名来对消息进行分类。如已经说明的,仅出于例示性目的,考虑SLMP协议的示例。
设计SLMP时未考虑安全性。本发明的一些实施方式提出引入认证SLMP消息的签名,而无需改变SLMP分组格式。实际上,每一个兼容的SLMP装置和应用应该继续能够将任何SLMP消息解码。
根据本发明,当经由TCP协议传输时,SLMP消息可利用连接签名密钥CSK来签名,CSK对于各个SLMP客户端应用(例如,对于图1所示的实体106至108中的每一个)是不同的并且是网络探针100已知的。
CSK可从每一个可信应用和网络探针100已知的加密根ER值计算。该值可例如经由安全信道共享。
在经由TCP传输SLMP的情况下,对于TCP连接i,CSK可如下确定:
CSKi=df(ER,IVi),其中df是多样化函数,IVi是用于连接i的初始化向量。例如,TCP SYN-ACK分组中充当SLMP服务器的实体(装置104之一)所返回的TCP序列号可用作IVi。实际上,有利地针对各个新TCP连接随机地生成该值。
IVi=SNSYNACK,i||LSB(IPsrc)||LSB(IPdst)
其中SNSYNACK,i是针对连接i返回的TCP序列号,IPsrc是源的IP地址,IPdst是目的地的IP地址,LSB指定最低有效位。
然后,CSK用于对作为TCP有效载荷传输的SLMP消息签名。签名可优选利用SHA256算法通过带密钥的散列消息认证码(HMAC)执行。所得消息认证码MAC可被定义为
MAC=HMAC(CSKi,M),其中CSKi是用于TCP连接i的CSK,M是SLMP消息和32位消息计数器的级联。
M=MsgCounter||SLMP数据
“||”指定级联操作。
由于最初SLMP消息格式中没有消息计数器,所以要在发射机和接收机二者中固有地维持32位消息计数器。
该消息计数器允许在两个相似的SLMP请求之间区分,这防止攻击者执行重放攻击(发送同一允许的消息多次)。
出于例示性目的给出32位消息计数器的示例。然而,该实施方式可扩展至任何消息计数器。
根据一些实施方式,SLMP消息认证码MAC或签名可基于包括头(子头、请求目的地网络等)和请求/响应数据的整个SLMP消息。在计算SLMP签名之前,预留的字段可被设定为0。
然后,旨在给装置104之一的SLMP消息中插入的SLMP签名可由网络探针100在对消息进行分类时检查。例如,SLMP签名可被插入在SLMP消息的未用于其它目的的字段中。
图3示出根据一些实施方式的网络探针100的详细结构。
网络探针100包括网络接口301(例如,以太网接口)以从外部网络103接收以太网帧。
然后,可由包括TCP连接/UDP会话管理器302的处理器311处理以太网帧。管理器302被配置用于监测TCP连接和UDP数据流。这种监测可在于维持四元组[源IP地址;源TCP/UDP端口;目的地IP地址;目的地TCP/UDP端口]所标识的特定信息上下文。该上下文用于存储与TCP连接/UDP数据流有关的信息并对其进行更新。
对于TCP,在接收到SYN/SYN-ACK/ACK TCP分组序列时打开新的上下文。
根据一些实施方式,网络探针100可过滤传入的分组,而不提取任何SLMP消息,以便不分析所有以太网业务。例如,一些过滤器可被定义为仅分析包括在给定范围中的目的地TCP/UDP端口的业务。根据一些其它实施方式,可应用模式匹配算法以检测一些预定FA管理协议。如果未检测到这些协议,则以太网业务仅被转发到目的地。
在承载TCP片段的以太网帧的情况下,TCP数据被提取并且可在TCP重组缓冲器303中重组,以便得到要传递到SLMP检测器304的连续数据流。
在UDP片段的情况下,其被直接转发到SLMP检测器。
SLMP检测器304被配置为检查TCP连接或UDP分组是否传达正确的SLMP数据。为此,检查SLMP消息(请求或响应)的子头SLMP值,以根据SLMP规范检查其是否包含特定值(按ASCII码的二进制)。SLMP检测器304还可被配置为检查是否遵守要求保护的数据长度(实际数据长度是否对应于数据长度字段中指示的数据长度)。作为补充,SLMP检测器304可被配置为检查消息数据长度是否与消息的类型一致。
根据SLMP,存在五种不同类型的消息:
-对装置的不同资源的读访问
-(寄存器、I/O、继电器、定时器、计数器等);
-对装置的不同资源的写访问;
-远程控制,特别是用于远程停止装置;
-管理(自测试;清除错误,读类型名称;全局信号);
-装置锁定,用于通过定义密码来保护装置。
如果消息没有传达正确的SLMP数据,则该消息可被取消和/或不转发到目的地装置。
如果SLMP消息正确,并且如果其被签名,则其被转发到SLMP安全单元305。如果SLMP消息正确并且如果其未被签名,则其被直接转发到SLMP消息处理器306。可通过检测指示消息是否包含签名的字段来检查SLMP消息是否被签名。例如,预留的16位字段的第一最高有效位MSB指示是否引入签名。例如,如果其被设定为1,则其指示SLMP消息被签名。
另外,仅经由TCP承载(并签名)的SLMP消息可被发送到SLMP安全单元305,经由UDP承载的SLMP消息被直接转发到SLMP消息处理器306。
SLMP安全单元305被配置为检查包括在SLMP消息中的签名。为此,检查MAC值是否对应于上面计算(例如,基于TCP序列号)的值。
如果签名正确,则SLMP安全单元305被配置为将TCP连接标记为可信。因此,当检查属于可信TCP连接的另外的SLMP消息时,如果这些SLMP消息之一不包含签名或包含不正确的签名,则其可被SLMP消息处理器306分类在最危险类别中。
最后,SLMP消息处理器306处理SLMP消息。SLMP分类构建器307从SLMP消息提取相关信息(例如,以下信息之一或任何组合:签名与否、目的地、源、消息类型等)。
然后,SLMP分类器单元309将所提取的信息与存储在数据库308中的分类表一起用于将SLMP消息分类在预定义的类别集合当中的类别中。
例如,类别集合可包括至少两个类别(合法/安全和危险/关键)。根据一些优选的实施方式,类别集合可包括不止两个类别。例如,类别可从0(合法/安全)到4(关键/危险)编号。根据安全策略,可在步骤203至少基于最后分类的SMTP消息的类别发出警示。警示可以是由输出接口310发出的警报并且例如被发送到防火墙。
由处理器311实现的所有操作可被看作图2所示的分类步骤202的子步骤。
根据给定安全策略,可在接收到分类级别大于i的ni个SMTP消息之后发出警示。例如,如果存储值n3=3,并且如果已接收到类别4的SLMP消息和类别3的两个SLMP消息,则发出警示。ni值可由管理员定义并且可取决于所发出的警示的数量与全局安全之间的权衡。
连接可信与否的事实可用于更新分类表,如下面将说明的。
如上面说明的,可考虑多个标准以将SLMP消息分类在类别之一中。
可考虑消息类型。在SLMP消息的命令字段中指示消息类型。
根据一些实施方式,如果SLMP消息被正确地签名,则消息可被认为合法,并且可影响类别0。另外,如果SLMP消息未被签名,则分类级别可取决于目的地装置(或者更精确地,目的地模块)以及消息类型。
另外,对于装置访问(例如,读类型和写类型),如下表2中描述的,其还可取决于所访问的资源的类型及其地址(如SLMP帧格式中指示)。
对于各个物理SLMP可寻址模块105.1-105.6,表1给出SLMP消息分类器309可如何向未签名的SLMP消息分配类别的示例。
装置锁定 远程控制 管理
网络#0/装置104.1/模块105.1 4 1 2
网络#0/装置104.1/模块105.2 4 2 2
网络#0/装置104.2/模块105.3 4 4 4
表1:指示非装置访问消息类型的类别的分类表
在此示例中,网络#0标识FA网络102。实际上,网络探针100可负责多个FA网络,并且在这种情况下,需要标识目的地FA网络。
在表1中,按模块区分类别。根据一些实施方式,可仅按装置区分类别。
对于读消息类型和写消息类型,可定义两个专用分类表,用于各个可寻址装置或用于各个可寻址模块。在这些分类表中,对于给定可寻址模块或装置,可根据资源的类型并且根据资源的地址范围来区分类别。
在此示例中,由三元组(0,1,0)标识的模块指定模块105.3(网络0由第一个“0”引用,装置104.2由“1”引用)。要注意的是,三元组的值可根据网络的数量以及各个网络中可寻址的装置和模块的数量使用一位或多位来编码。
资源类型 地址范围 分类级别
继电器 [0-100] 3
继电器 [100-200] 2
数据寄存器 [0-20] 4
表2:旨在给模块(0,1,0)的读访问消息类型的分类表
在表2中描述的示例中,继电器资源类型可指定用于控制(关闭或打开)例如电机的资源。数据寄存器资源可存储电机速度。
通常,归功于一些专用字段,在消息中指示资源的类型。例如,对于SLMP,图4上示出协议消息的结构。图4示出用于读/写消息(请求和响应)的SLMP格式。具体地,其包含标识消息的类型的“命令”和“子命令”字段。
可观察到,字段专用于目的地网络、站和模块。另外,SLMP提供了构建批命令以读/写一组连续位或字的可能性。
分类表的定义是取决于预期安全级别和特定FA网络的特征的任务。这是漫长且艰巨的任务,因为网络管理员可能必须在分类表中声明并引用每一个模块或装置的每一个资源。
本发明的一些实施方式允许通过提供至少部分地允许填充分类表的自动学习方法来解决这些缺点。
根据这些实施方式,与可信连接对应的消息可用于填充分类表,特别是与读/写消息类型对应的分类表。
这依赖于以下假设:可认为如果合法应用访问特定装置、模块或资源,则同一装置/模块/资源也可由其它应用没有任何风险地访问。
该规则可通过预定义在可信应用发出对模块/资源的访问时设定的读和写访问的类别来调节。例如,我们假定针对特定模块的读访问的预定义类别被设定为1并且写访问的预定义类别被设定为2。对预定义的类别没有限制。
应用对资源的写/读访问的默认类别,直至可信应用对这些资源进行读/写访问。
例如,如果诸如可信监督控制器107的合法应用(例如,认证应用)发出指向模块105.3的继电器#10-13的读访问消息,则网络探针将与对这些资源的读访问类型消息关联的类别设定为等于1的预定义类别。然后,后续读访问类型消息即使发出自非可信应用并且旨在用于这些资源也将被分类在类别1中。
然而,从非可信应用发出的针对这些相同资源的后续写访问类型消息将被分类在类别4中,因为先前没有合法应用发送对这些资源的写访问类型消息。因此,类别4可被认为是对资源的写/读访问的默认类别,直至可信应用对这些资源进行读/写访问。
利用这一点,当不可信应用请求访问关键模块上的一些资源时可发出警示。
相同的规则可被推广到模块或装置(不仅是资源)。例如,如果合法应用访问给定模块,则可针对整个模块更新分类表。
在补充实施方式中,网络探针100可基于可信应用的消息仅针对特定类型的消息(例如,读访问类型)更新分类表。在这种情况下,用于写访问类型的分类表可由管理员填充。
更一般地,分类表的一些部分可由管理员填充,而其它部分可基于对从可信应用发出的消息的分析来填充。
根据一些实施方式,每次在从可信应用接收到消息时更新分类表中的条目时,可启动定时器。在定时器届满时,更新的条目可被去除并由默认值代替。定时器的值可由管理员预定义。
这允许针对旨在用于可信应用不再访问的资源/模块/装置的消息发出警示。
这些学习步骤允许快速适应FA网络102的演变。例如,如果在FA网络102中添加新模块并且外部网络103的应用更新,则将按自动方式至少部分地更新分类表。
根据本发明,可检测许多攻击,特别是攻击者为了发现和了解未知FA网络的不同装置和模块而用作第一步的网络和资源扫描攻击。
本发明还可嵌入在计算机程序产品中,其包括允许实现本文所描述的方法的所有特征,并且当被载入信息处理系统中时实现信息处理系统。本文中的计算机程序装置或计算机程序意指一组指令的任何语言、代码或记号的任何表达,其旨在直接或在转换为另一语言之后使得具有信息处理能力的系统执行特定功能。这种计算机程序可存储在计算机或机器可读介质上,允许从该介质读取数据、指令、消息或消息分组以及其它机器可读信息。计算机或机器可读介质可包括诸如ROM、闪存、盘驱动存储器、CD-ROM以及其它永久存储装置的非易失性存储器。另外,例如,计算机或机器可读介质可包括诸如RAM、缓冲器、高速缓存存储器和网络电路的易失性存储装置。此外,计算机或机器可读介质可包括诸如网络链路和/或网络接口(包括有线网络或无线网络)的瞬态介质中的计算机或机器可读信息,其允许装置读取这些计算机或机器可读信息。
在解释说明书及其关联的权利要求时,诸如“包括”、“合并”、“包含”、“是”和“具有”的表达应以非排他性方式解释,即,解释为允许还存在未明确定义的其它项目或组件。对单数的引用也应解释为对复数的引用,反之亦然。
尽管已示出和描述了目前所认为的本发明的优选实施方式,但本领域技术人员将理解,在不脱离本发明的真实范围的情况下,可进行各种其它修改,并且可替换等同物。另外,在不脱离本文所描述的中心发明构思的情况下,可进行许多修改以使特定情况适应本发明的教导。此外,本发明的实施方式可不包括上述所有特征。因此,本发明旨在不限于所公开的特定实施方式,而是本发明包括落入上面广义地定义的本发明的范围内的所有实施方式。
本领域技术人员将容易地理解,在不脱离本发明的范围的情况下,可修改描述中公开的各种参数并且可组合所公开和/或要求保护的各种实施方式。

Claims (15)

1.一种在包括工厂自动化FA网络和外部网络的FA架构中处理消息的方法,所述FA网络包括至少一个装置,所述方法由网络探针实现并包括以下步骤:
-拦截从所述外部网络发出并指向所述FA网络的所述至少一个装置当中的装置的消息;
-至少基于所述消息指向的装置在类别的预定义集合当中对所述消息进行分类;
-至少基于所述消息所分类的类别来决定发出警示。
2.根据权利要求1所述的方法,其中,所述网络探针(100)存储至少将所述预定义集合的类别与所述FA网络的装置的标识符映射的分类表。
3.根据前述权利要求中的一项所述的方法,其中,还基于所述消息的类型对所述消息进行分类。
4.根据权利要求2和3所述的方法,其中,分类表将所述预定义集合的类别与所述FA网络的装置的标识符映射并且与消息类型映射。
5.根据权利要求3或4所述的方法,其中,所述消息的类型为下列之一:
-读访问;
-写访问;
-远程控制;
-管理;以及
-装置锁定。
6.根据前述权利要求中的一项所述的方法,该方法还包括解析所述消息以确定所述消息是否包括签名,并且如果所述消息包括签名,则验证所述签名;
其中,还基于所述消息是否包括签名并且基于所述签名的验证来对所述消息进行分类。
7.根据权利要求6所述的方法,其中,所述消息经由TCP传输,并且其中,所述签名取决于与所述消息对应的TCP连接的初始TCP序列号。
8.根据前述权利要求6或7中的一项所述的方法,其中,
如果所述消息的所述签名被肯定地验证,则所述消息被分类在最安全类别中,
否则,所述消息至少基于所述消息旨在用于的装置来分类。
9.根据前述权利要求中的一项所述的方法,其中,预定义m个类别并从0至m-1编号,0是最安全类别,其中,至少一个极限值ni被加前缀,i被包括在0和m-1之间,并且其中,如果分类在等于或高于i的类别中的消息的数量等于或大于ni,则发出所述警示。
10.根据权利要求2和前述权利要求中的任一项所述的方法,其中,所述消息由所述外部网络的应用发出,其中,所述应用利用所述网络探针认证,并且其中,在从所述应用接收到消息时,所述消息指向装置的模块的资源,所述分类表中映射到所述资源、所述模块或所述装置的类别被设定为预定义类别。
11.根据权利要求10所述的方法,其中,所述预定义类别取决于从所述应用接收的所述消息的类型。
12.根据权利要求10或11所述的方法,其中,所述类别从第一值修改为与所述预定义类别对应的第二值,并且在定时器届满之后,所述类别再次被设定为所述第一值。
13.一种计算机程序产品,该计算机程序产品包括存储有计算机程序指令的计算机可读介质,所述计算机程序指令能够加载到计算装置中并且当被加载到所述计算装置中并由所述计算装置执行时被设置为使得所述计算装置执行根据权利要求1至12中的任一项所述的方法的步骤。
14.一种网络探针,该网络探针用于在包括工厂自动化FA网络和外部网络的FA架构中处理消息,所述FA网络包括至少一个装置,所述网络探针包括:
-网络接口,该网络接口用于拦截从所述外部网络发出并旨在用于所述FA网络的所述至少一个装置当中的装置的消息;
-处理器,该处理器被配置用于:
-至少基于所述消息旨在用于的装置在类别的预定义集合当中对所述消息进行分类;
-至少基于所述消息所分类的类别来决定发出警示。
15.一种系统,该系统包括根据权利要求14所述的网络探针以及工厂自动化FA网络。
CN201980019670.9A 2018-03-22 2019-01-31 网络探针和处理消息的方法 Pending CN111869189A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP18305324.8 2018-03-22
EP18305324.8A EP3544262A1 (en) 2018-03-22 2018-03-22 Method of improving security in a factory automation network
PCT/JP2019/004319 WO2019181258A1 (en) 2018-03-22 2019-01-31 Network probe and method of processing message

Publications (1)

Publication Number Publication Date
CN111869189A true CN111869189A (zh) 2020-10-30

Family

ID=62386304

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980019670.9A Pending CN111869189A (zh) 2018-03-22 2019-01-31 网络探针和处理消息的方法

Country Status (6)

Country Link
US (1) US11271952B2 (zh)
EP (1) EP3544262A1 (zh)
JP (1) JP7038849B2 (zh)
KR (1) KR102414860B1 (zh)
CN (1) CN111869189A (zh)
WO (1) WO2019181258A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11700533B2 (en) 2020-05-01 2023-07-11 Digital Global Systems, Inc. System, method, and apparatus for providing dynamic, prioritized spectrum management and utilization
US11638160B2 (en) 2020-05-01 2023-04-25 Digital Global Systems, Inc. System, method, and apparatus for providing dynamic, prioritized spectrum management and utilization
US11395149B2 (en) * 2020-05-01 2022-07-19 Digital Global Systems, Inc. System, method, and apparatus for providing dynamic, prioritized spectrum management and utilization
US11653213B2 (en) 2020-05-01 2023-05-16 Digital Global Systems. Inc. System, method, and apparatus for providing dynamic, prioritized spectrum management and utilization
US11665547B2 (en) 2020-05-01 2023-05-30 Digital Global Systems, Inc. System, method, and apparatus for providing dynamic, prioritized spectrum management and utilization
US12096230B2 (en) 2020-05-01 2024-09-17 Digital Global Systems, Inc. System, method, and apparatus for providing dynamic, prioritized spectrum management and utilization
US11849332B2 (en) 2020-05-01 2023-12-19 Digital Global Systems, Inc. System, method, and apparatus for providing dynamic, prioritized spectrum management and utilization
US11659400B1 (en) 2022-08-02 2023-05-23 Digital Global Systems, Inc. System, method, and apparatus for providing optimized network resources
US11843953B1 (en) 2022-08-02 2023-12-12 Digital Global Systems, Inc. System, method, and apparatus for providing optimized network resources
US11570627B1 (en) 2022-08-02 2023-01-31 Digital Global Systems, Inc. System, method, and apparatus for providing optimized network resources
US11751064B1 (en) 2022-08-02 2023-09-05 Digital Global Systems, Inc. System, method, and apparatus for providing optimized network resources

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1420317A2 (en) * 2002-10-21 2004-05-19 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US20110072506A1 (en) * 2009-09-24 2011-03-24 Fisher-Rosemount Systems, Inc. Integrated unified threat management for a process control system
US20130031037A1 (en) * 2002-10-21 2013-01-31 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US20160028753A1 (en) * 2014-07-23 2016-01-28 Cisco Technology, Inc. Verifying network attack detector effectiveness
EP3012695A1 (en) * 2014-10-23 2016-04-27 Comau S.p.A. System for monitoring and controlling an industrial plant
JP2017502625A (ja) * 2014-03-07 2017-01-19 ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィMitsubishi Electric R&D Centre Europe B.V. Httpトラフィックを搬送するtcp接続を分類する方法、デバイス、コンピュータプログラム及び情報記憶手段
EP3133793A1 (en) * 2015-08-20 2017-02-22 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
CN107710718A (zh) * 2015-07-03 2018-02-16 阿费罗有限公司 用于虚拟物联网(IoT)装置和中心的系统和方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004140524A (ja) 2002-10-16 2004-05-13 Sony Corp DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
US8805996B1 (en) * 2009-02-23 2014-08-12 Symantec Corporation Analysis of communications in social networks
WO2011151768A1 (en) * 2010-06-01 2011-12-08 Radiflow Ltd. Plant communication network
EP2579540B1 (de) * 2011-10-04 2017-07-19 Siemens Aktiengesellschaft Kontrolle eines kommunikations-inputs einer speicherprogrammierbaren steuerung einer automatisierungskomponente einer technischen anlage
DE102013219698A1 (de) * 2013-09-30 2015-04-02 Siemens Aktiengesellschaft Filtern eines Datenpaketes durch eine Netzwerkfiltereinrichtung
US10110561B2 (en) * 2014-11-26 2018-10-23 Rockwell Automation Technologies, Inc. Firewall with application packet classifer
US9419989B2 (en) * 2014-12-15 2016-08-16 Sophos Limited Threat detection using URL cache hits
US10243926B2 (en) * 2016-04-08 2019-03-26 Cisco Technology, Inc. Configuring firewalls for an industrial automation network
EP3516657A4 (en) * 2016-09-19 2020-03-25 Tego Inc. METHODS AND SYSTEMS FOR END POINT OPERATING SYSTEM IN AN ASSET INTELLIGENCE PLATFORM

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1420317A2 (en) * 2002-10-21 2004-05-19 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US20130031037A1 (en) * 2002-10-21 2013-01-31 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US20110072506A1 (en) * 2009-09-24 2011-03-24 Fisher-Rosemount Systems, Inc. Integrated unified threat management for a process control system
JP2017502625A (ja) * 2014-03-07 2017-01-19 ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィMitsubishi Electric R&D Centre Europe B.V. Httpトラフィックを搬送するtcp接続を分類する方法、デバイス、コンピュータプログラム及び情報記憶手段
US20160028753A1 (en) * 2014-07-23 2016-01-28 Cisco Technology, Inc. Verifying network attack detector effectiveness
EP3012695A1 (en) * 2014-10-23 2016-04-27 Comau S.p.A. System for monitoring and controlling an industrial plant
CN107710718A (zh) * 2015-07-03 2018-02-16 阿费罗有限公司 用于虚拟物联网(IoT)装置和中心的系统和方法
EP3133793A1 (en) * 2015-08-20 2017-02-22 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems

Also Published As

Publication number Publication date
JP7038849B2 (ja) 2022-03-18
WO2019181258A1 (en) 2019-09-26
KR102414860B1 (ko) 2022-06-29
KR20200118887A (ko) 2020-10-16
EP3544262A1 (en) 2019-09-25
US20200412749A1 (en) 2020-12-31
WO2019181258A8 (en) 2020-09-17
US11271952B2 (en) 2022-03-08
JP2021507652A (ja) 2021-02-22

Similar Documents

Publication Publication Date Title
US11271952B2 (en) Network probe and method of processing message
US9838426B2 (en) Honeyport active network security
US11973783B1 (en) Attack prevention in internet of things networks
US11363035B2 (en) Configurable robustness agent in a plant security system
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
CA3159619C (en) Packet processing method and apparatus, device, and computer-readable storage medium
CN111010409A (zh) 加密攻击网络流量检测方法
US11546295B2 (en) Industrial control system firewall module
US20160094517A1 (en) Apparatus and method for blocking abnormal communication
US20140298008A1 (en) Control System Security Appliance
KR20160006915A (ko) 사물인터넷 관리 방법 및 장치
CN110971407A (zh) 基于量子秘钥的物联网安全网关通信方法
Ovaz Akpinar et al. Development of the ECAT preprocessor with the trust communication approach
KR20170120291A (ko) 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법
US20220311747A1 (en) Method and system for securing connections to iot devices
US11539741B2 (en) Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices
Ponomarev Intrusion Detection System of industrial control networks using network telemetry
RU183015U1 (ru) Средство обнаружения вторжений
US12074771B2 (en) Enhanced device classification including crowdsourced classifications for increased accuracy
CN112839009B (zh) 处理报文的方法、装置及系统
Kurukkankunnel Joy et al. A Study of Intrusion detection on PROFINET Network by Improving SNORT
JP2014023136A (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20201030

WD01 Invention patent application deemed withdrawn after publication