CN114270281A - 用于对ot系统进行安全监控的方法和系统 - Google Patents

用于对ot系统进行安全监控的方法和系统 Download PDF

Info

Publication number
CN114270281A
CN114270281A CN201980099284.5A CN201980099284A CN114270281A CN 114270281 A CN114270281 A CN 114270281A CN 201980099284 A CN201980099284 A CN 201980099284A CN 114270281 A CN114270281 A CN 114270281A
Authority
CN
China
Prior art keywords
security monitoring
indicate
indicator
proportion
total
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201980099284.5A
Other languages
English (en)
Inventor
唐文
万朔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN114270281A publication Critical patent/CN114270281A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
    • G05B19/4063Monitoring general control system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/32Operator till task planning
    • G05B2219/32404Scada supervisory control and data acquisition
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computer And Data Communications (AREA)

Abstract

提出一种用于安全监控的方法、系统,其提供用于将OT系统的安全状况可视化的精确且直观的解决方案。安全监控方法(300)包含:确定(S301)用于对用于安全监控的所述OT系统10的数据进行计算的时间范围;从所述OT系统10收集(S303)在安全监控的所述确定时间范围内的关于安全监控的至少一个方面的数据;基于所收集的数据计算(S304)关于所述至少一个方面中的每一个的指标;以及以定量方式将关于所述至少一个方面中的每一个的指标可视化(S305)。

Description

用于对OT系统进行安全监控的方法和系统
技术领域
本发明涉及安全管理技术,并且更具体地说,涉及一种用于对OT系统进行安全监控的方法、系统和计算机可读存储介质。
背景技术
根据高德纳公司,操作技术(OT)是通过直接监控和/或控制企业中的物理装置、过程和事件来检测或导致变化的硬件和软件。OT使用计算机来监控或更改系统,特别是工业控制系统(ICS)的物理状态,它是用于远程监控和/或控制关键过程和物理功能的基于计算机的设施、系统和设备。已经确立术语以展示传统的IT系统与工业控制系统环境(所谓的“非地毯区域中的IT”)之间的技术和功能差异。操作技术的实例包含但不限于:监控和数据采集(SCADA)、分布式控制系统(DCS)、计算机数值控制(CNC)系统,包含计算机化机床、科学设备(例如,数字示波器)等。
OT系统传统上是为提高生产率、可操作性和可靠性而设计的封闭系统,并且依赖于专有网络和硬件。但是随着自动化制造和过程控制技术的进步,OT系统开始广泛采用IT技术,利用更智能的OT设备并演变为开放系统,从而增加与其它设备/软件的连接性以及增强外部连接性;并且更智能的黑客和恶意软件使传统的OT系统面临越来越多的安全威胁。
尽管OT系统面临越来越严重的安全威胁,但是由于OT领域专注于核心业务的生产和操作,因此常常缺乏安全专业人才,缺乏系统的网络和信息安全管理体系,并且更重要的是缺乏其核心OT系统的安全状况和安全风险意识。这种状况给关键的OT系统带来巨大的安全威胁。同时,全球范围内安全专业人才的持续短缺意味着安全专业人才和安全能力的短缺将在很长一段时间内都存在。因此,有必要引入为OT系统的安全状况提供有效的安全管理系统的新技术,所述技术可以支持现有的OT专业人士(包含厂长、技术经理、IT/OT运维人员)感知OT系统的整体安全状况并识别其OT系统中存在的安全风险。
发明内容
在解决OT系统上的安全管理问题的一种解决方案中,安全监控系统可以从OT系统收集在确定的时间范围内的数据、基于关于至少一个方面中的每一个收集到的数据计算指标,并且以定量方式将关于至少一个方面中的每一个的指标可视化。通过以定量方式将安全监控方面的指标可视化,可以通过精确且直观的方式了解所监控的OT系统的安全状况。
根据本公开的第一方面,提出一种用于对OT系统进行安全监控的方法,所述方法包含:
-确定用于对用于安全监控的OT系统的数据进行计算的时间范围;
-从OT系统收集在安全监控的确定时间范围内的关于安全监控的至少一个方面的数据;
-基于所收集数据计算关于至少一个方面中的每一个的指标;
-以定量方式将关于至少一个方面中的每一个的指标可视化。
根据本公开的第二方面,提出一种用于对OT系统进行安全监控的安全监控系统,所述安全监控系统包含:
-处理模块,其被配置成确定用于对用于安全监控的OT系统的数据进行计算的时间范围;
-数据收集模块,其被配置成从OT系统收集在安全监控的确定时间范围内的关于安全监控的至少一个方面的数据;
-计算器,其被配置成基于所收集的数据计算关于至少一个方面中的每一个的指标;
-可视化模块,其被配置成以定量方式将关于至少一个方面中的每一个的指标可视化。
根据本公开的第三方面,提出一种用于对OT系统进行安全监控的安全监控系统,所述安全监控系统包含:
-至少一个存储器,其被配置成存储指令;
-至少一个处理器,其耦合到所述至少一个存储器,并且在执行所述可执行指令时被配置成执行以下步骤:
-确定用于对用于安全监控的OT系统的数据进行计算的时间范围;
-从OT系统收集在安全监控的确定时间范围内的关于安全监控的至少一个方面的数据;
-基于所收集数据计算关于至少一个方面中的每一个的指标;
-以定量方式将关于至少一个方面中的每一个的指标可视化。
根据本公开的第四方面,提出一种计算机可读介质,所述计算机可读介质存储可执行指令,所述可执行指令在由处理器执行时使处理器执行以下步骤:
-确定用于对用于安全监控的OT系统的数据进行计算的时间范围;
-从OT系统收集在安全监控的确定时间范围内的关于安全监控的至少一个方面的数据;
-基于所收集数据计算关于至少一个方面中的每一个的指标;
-以定量方式将关于至少一个方面中的每一个的指标可视化。
在本公开中,通过以定量方式将安全监控方面的指标可视化,可以通过精确且直观的方式了解所监控的OT系统的安全状况。
在本公开的实施例中,安全监控的方面包括以下方面中的任一个或任何组合:
-资产变化,其被配置成指示变化资产占总资产的比例;
-漏洞,其被配置成指示易受损资产占总资产的比例;
-网络波动,其被配置成指示OT系统中的至少一个子网络的网络流量出现异常的时隙量;
-异常应用程序,其被配置成指示异常应用程序占OT系统中的主机上安装的总应用程序的比例;
-账户变化,其被配置成指示变化的账户占OT系统中的主机上的总账户的比例;
-维护活动,其被配置成指示维护活动与历史最大值的比例。
研究分析表明,OT系统的确定性、周期性和稳定性是其关键特征,这是由于程序化、与生产相关的操作,主要是机器对机器的通信,因此选择对OT系统的安全性至关重要的OT系统的上述6个关键方面。如果在这些方面发生更多的变化(动态)、非确定性事件,则指示OT系统具有更大的攻击面且因此面临更多的安全风险。因此,通过对上述方面的指标进行精确计算,可以通过精确的方式对主要风险进行测量和可视化,从而使工程师和用户更容易了解OT系统的安全状况。
在本公开的实施例中,与至少一个其它OT系统的指标相比,安全监控系统可以将关于OT系统(10)的至少一个方面中的每一个的指标可视化。通过此解决方案,可以在OT系统之间比较指标以识别面临更高风险的OT系统。
在本公开的实施例中,安全监控系统可以从关于OT系统的期望方面的指标中计算出总体指标。通过此解决方案,总体指标可以提供OT系统总体安全状况的标量(或标量向量)测量,通过所述指标可以设置安全阈值,并且可以通过将总体指标与安全阈值相比较来触发警报。
附图说明
通过参考以下结合附图进行的对本发明技术的实施例的描述,本发明技术的上文所提到的属性和其它特征和优点以及其实现方式将变得更显而易见,且本发明技术自身将得到更好理解,在附图中:
图1描绘示例性OT系统。
图2描绘本公开的安全监控系统的示例性实施例。
图3描绘用于本公开的安全监控的流程图。
图4描绘根据本公开的实施例的雷达图。
图5和图6描绘显示本公开的安全监控系统的示例性实施例的框图。
附图标记:
10,OT系统
20,安全监控系统
30,用户
100,控制单元
1011,工业控制器
1012,I/O装置
1013a,工程师站
1013b,操作员站
1013c,服务器
1013d,HMI
1014,工业控制网络
40,现场装置
401,资产变化
402,漏洞
403,网络波动
404,异常应用程序
405,账户变化
406,维护活动
S301~S306:步骤
201,处理模块
202,数据收集模块
203,计算器
204,可视化模块
205,至少一个存储器
206,至少一个处理器
207,通信模块
具体实施方式
在下文中,详细描述本发明技术的上述特征和其它特征。参考图式描述各种实施例,其中相同的附图标记贯穿全文用于指代相同的元件。在以下描述中,出于解释的目的,阐述许多具体细节以便提供对一个或多个实施例的透彻理解。可以注意到,所示出的实施例意图解释而非限制本发明。显而易见的是,可以在没有这些具体细节的情况下实践此类实施例。
当介绍本公开的各种实施例的要素时,冠词“一”和“所述”旨在表示存在所述要素中的一个或多个。术语“包括”、“包含”和“具有”旨在为包含性的并且意味着可以存在除所列元件之外的另外元件。
基于许多研究和测试,发现以下特征和方法,将首先介绍这些特征和方法以更好地理解本公开。根据发明人的研究,与IT系统不同,OT系统主要设计用于支持特定行业的操作和生产。OT系统中的装置或资产的行为主要是(预先)编程的与生产相关的操作。因此,OT系统中以及OT系统之间的通信也主要是机器对机器通信。相应地,OT系统中的通信和行为展示明显的确定性、周期性和稳定性。当OT系统在系统操作和维护中展示很强的非确定性和动态性时,通常指示OT系统面临更多的安全风险。在本公开中,更具体地可以概括为以下六个不同方面:
1)OT系统中的资产变化越多(通常),风险就越大
当OT系统中的资产频繁地变化,例如
上线或下线、改变IP地址、更新控制程序等,或出现大量新资产时,通常指示OT系统正在建设、调试、升级或引入新的生产工艺,即OT系统处于不稳定阶段,这表明OT系统由于非确定性和动态变化而易受损,并且为引入恶意软件和攻击以及其它安全风险产生更多的攻击面。
2)OT系统中存在的漏洞越多(尤其可以自动地且远程地利用的那些漏洞),风险就越大
类似于IT系统,装置、OS和应用程序中的安全漏洞是OT系统的主要弱点。但不同的是,由于对不间断操作和生产、通常由第三方提供的装置、需要彻底的兼容测试等的强烈要求,因此OT系统在大多数情况下不能像IT系统那样频繁地打补丁。因此,OT系统中存在更多尚未打补丁的安全漏洞。显然,存在的安全漏洞越多,OT系统面临的安全风险就越大。
另一方面,由于OT系统通常是孤立的且访问权限非常有限,因此仅可以在本地利用的漏洞风险通常较低。因此,在本公开的一些实施例中,我们更关注可以远程地且自动地利用的安全漏洞,例如CVE 2017-0143~0148(也称为MS17-010)或BlueKeep RDP漏洞(CVE2019-0708)等等。
3)OT系统中的网络波动越大,风险就越大
在支持OT操作和生产的过程中,由于机器对机器通信的确定性和周期性,OT系统的网络流量通常(应该)非常稳定。因此,尽管在OT网络中发生较大波动,但是原因可能是由配置错误、网络访问或行为违反安全策略、拒绝服务(DoS)攻击、由恶意软件产生的通信、数据泄露等造成的网络故障(网络风暴)。在所有情况下,网络流量的波动越大,OT系统面临的风险就越大。
4)OT主机上安装的异常应用程序(不在合法基线中)越多,风险就越大
在OT系统中,即使例如HMI、操作员站、工程师站和服务器的主机也基于WindowsPC,但它们仍然是针对特定OT操作和生产目的的专用系统,并且应该明确定义其上安装的应用程序和软件。因此,可以将由OT操作和生产所需的这些应用程序放入基线(白名单)中。如果OT主机上存在未在基线中列出的应用程序,则指示所述主机很可能用于其设计目的之外的目的,并且因此可能会引入潜在风险,或者已经发生恶意软件感染和持久性。在这种情况下,OT系统肯定会面临更大的安全风险。
5)OT系统中的账户发生的变化(反常)越多,风险就越大
在OT系统中,OT站和系统的账户应该仅用于操作、生产和维护。并且这些账户的数量、权限和行为应该被明确地定义并展示特定的确定性。因此,在OT系统中出现新的(未定义的)账户、分配新的权限或出现意外行为(登录、访问等)指示OT系统在尚未受到威胁的情况下处于风险较高的状态。
6)移动存储装置(例如,USB装置)和(现场或远程)维护活动的使用越多,风险就越大
近年来,OT领域的各种安全事件表明USB使用、现场和远程维护成为OT系统的主要攻击面。恶意软件(例如,Stuxnet)通常通过不受控制的USB存储装置、现场维护缺乏安全控制或第三方供应商的远程维护渗透到隔离的OT系统中。因此,OT系统中的USB使用、现场以及远程维护越多,系统面临的安全风险就越大。
7)可能给OT系统带来风险的其它方面
上述方面或维度涵盖OT系统在操作、生产和维护中面临的主要风险。
基于对OT系统特征的主要方面或维度的以上研究,本公开提出OT系统上的安全监控方法和系统。通过量化安全风险,可以准确地估计OT系统面临的风险。优选地,通过将安全风险的量化可视化,可以直观地展示OT系统的安全状况和操作风险。此外,通过将以上主要方面以对比的方式一起可视化,可以清楚地呈现OT系统的整体安全状况。
现在将通过参考图1到图4在下文中详细地描述本发明技术。
通过介绍,图1描绘OT系统10,所述OT系统可以包含但不限于以下资产:
1)至少一个工业控制器1011
工业控制器1011可以是可编程逻辑控制器(PLC)、DCS控制器、RTU等。至少一个工业控制器1011可以连接分布式I/O装置1012或自集成分布式I/O接口,以控制数据的输入和输出。工业控制器1011还可以连接现场装置40以控制现场装置40的操作。大多数工业控制器1011是基于嵌入式操作系统(例如:VxWorks、嵌入式Linux、EOS、ucLinux和各种私有操作系统)的专用嵌入式装置。工业控制器1011用于实施可靠且实时的工业控制。它通常缺乏例如访问控制的安全特征(例如标识、认证、授权等)。一个控制单元100可以包含至少一个工业控制器1011。
2)至少一个分布式输入/输出(I/O)装置1012
3)至少一个工业主机
工业主机可以包含基于个人计算机(PC)的各种工作站或服务器。例如,工程师站1013a、操作员站1013b、服务器1013c和人机界面(HMI)1013d等。在OT系统10中,工业主机可以通过工业以太网1014监控和控制工业控制器1011。例如,根据操作员的指令或根据预设,控制工业控制器1011可以从40个现场装置(例如,从传感器)读取数据,将数据保存到历史数据库。控制程序或逻辑、将控制命令发送到工业控制器1011等。其中工程师站1013a还可以配置工业控制器1011。
4)工业控制网络1014
工业控制网络1014可以包含用于连接各种工业控制器1011和工业主机的至少一个网络装置。目前,基于工业以太网实施越来越多的工业控制网络1014。工业控制网络1014内的通信可以基于传输控制协议(TCP)、用户数据报协议(UDP)、互联网协议(IP)和以太网(Ethernet),其中网络装置可以包含但不限于:路由器、交换机等。工业控制网络1014还可以连接到其它网络,例如工厂网络、办公室网络等。
值得一提的是图1中所描绘的OT系统10仅为实例。结构和装置可以在不同OT系统之间变化。
图2描绘可以对OT系统10进行安全监控的安全监控系统20。
安全监控系统20可以通过互联网或专用网络连接到OT系统10。或者,安全监控系统20可以部署在OT系统10内。安全监控系统20可以收集上述信息,并且基于所收集信息,对OT系统10进行安全监控。可以通过部署在OT系统10中的安全组件收集信息,这些安全组件进行网络流量监控、安全日志收集,以收集OT系统10的相关数据。假设可以从安全监控中获得OT系统10中的资产总数(表示为n)。用户30,例如OT系统10的维护工程师可以与安全监控系统20交互、输入命令、查看由安全监控系统20输出的监控结果等。
图3描绘用于由安全监控系统20执行的安全监控的流程图。方法300可以包含以下步骤:
S301:在安全监控系统20处确定用于对用于安全监控的OT系统10的数据进行计算的时间范围。例如,安全监控系统20可以接收某一时间范围的用户30的输入,例如默认地距离当前时间24小时(但不限于)。并且用户30可以将所述时间范围改变成一周、一个月等。或者,安全监控系统20可以耗费预定义时间段进行计算。
S302:在安全监控系统20处接收期望计算方面的用户30的输入。期望的方面可以由用户30的输入定义,所述输入可以包含但不限于上述6个主要方面中的任一个。
值得一提的是,此步骤S302是任选的,安全监控系统20可以采用统计数据的所有预定义方面。
S303:从OT系统10收集在用于安全监控的在步骤S301中指定的时间范围内由用户30输入的关于期望方面的数据。例如,当在OT系统中发生事件(移动存储装置被插入工程师站)时,事件的时间戳将与描述事件的数据一起记录。因此,描述事件的数据将用时间戳标记。在此步骤中,当收集时间范围中的数据时,将采集时间戳落在所述时间范围内的数据。
S304:基于所收集数据计算关于每个期望的方面的指标。
1)资产变化
任选地,我们可以计算y1,其为在步骤S301中指定的时间范围内变化的OT资产的量。此处,资产变化包含但不限于:资产在线、资产离线、资产属性变化等。随后,资产变化的指标x1可以计算为:
x1=f1(y1,n)
此处,f1表示函数,所述函数将y1和n映射到关于资产变化的对应指标x1
在实施例中,虽然不受限制,但是函数f1如下,
Figure BDA0003501926920000111
此处,s是将y1映射到值范围[1,10]的比例10。因此,关于资产变化的指标是变化的资产占总资产的比例。为了避免OT系统10中的少量资产变化(例如,少于总资产的10%)已经被忽略,引入ceil函数
Figure BDA0003501926920000113
以确保如果发生任何变化,则关于资产变化的指标至少为1。
2)漏洞
任选地,我们可以计算y2,其为在步骤S301中指定的时间范围内易受损资产的量(例如,具有远程可利用的安全漏洞的预定义的非常关键资产)。随后,漏洞的指标x2可以计算为:
x2=f2(y2,n)
此处,f2表示函数,所述函数将y2和n映射到关于漏洞的对应指标x2
在实施例中,虽然不受限制,但是函数f2如下,
Figure BDA0003501926920000112
此处,s是将x2映射到值范围[1,10]的比例10。因此,关于漏洞的指标是易受损资产占总资产的比例。为了避免OT系统10中的少量易受损资产(例如,少于总资产的10%)已经被忽略,引入ceil函数
Figure BDA0003501926920000122
以确保如果存在任何易受损资产,则关于漏洞的指标至少为1。
3)网络波动
任选地,我们可以计算y3,其为OT系统10的网络流量的异常量(例如,新出现的应用程序流、DNS信标、网络扫描等),并且t是在步骤S301中指定的时间范围。随后,网络(流量)维度x3的指标可以计算为:
x3=f3(y3,t)
此处,f3表示函数,所述函数将y3和t映射到关于网络维度的对应指标x3
在一个实施例中,尽管不受限制,但是t=时间范围(天数)*24,即利用以小时为单位的指定时间范围作为计算时隙。假设OT系统10由多个子网络组成(通过路由器分离)。然后,y3将是至少一个子网络的网络流量出现异常的时隙量,即网络流量超出其移动平均值加上2倍标准差。
Figure BDA0003501926920000121
此处,s是将x3映射到值范围[1,10]的比例10。因此,关于网络(负载)维度的指标是网络流量过大的时隙占指定时间范围内所有时隙的比例。
4)异常应用程序
任选地,我们可以计算m,其为安装在OT系统10中的主机计算机上的应用程序的量(所有类型的应用程序或预定义类型的应用程序),计算y4,其为异常应用程序的量(例如,不在基线中列出的软件)。随后,异常应用程序的指标x4可以计算为:
x4=f4(y4,m)
此处,f4表示函数,所述函数将y4和m映射到关于异常应用程序的对应指标x4
在实施例中,虽然不受限制,但是函数f4如下,
Figure BDA0003501926920000131
此处,s是将y4映射到值范围[1,10]的比例10。因此,关于异常应用程序的指标是异常应用程序占OT系统10中的主机上安装的总应用程序的比例。为了避免OT系统10中的少量异常应用程序(例如,少于总应用程序的10%)已经被忽略,引入ceil函数
Figure BDA0003501926920000133
以确保如果存在任何异常应用程序,则关于应用程序异常的指标至少为1。
5)账户变化
任选地,我们可以计算l,其为OT系统10中的主机上的账户的量,计算y5,其为变化的账户的量。随后,账户变化的指标x5可以计算为:
x5=f5(y5,l)
此处,f5表示函数,所述函数将y5和l映射到关于账户变化的对应指标x5
在实施例中,虽然不受限制,但是函数f5如下,
Figure BDA0003501926920000132
此处,s是将y5映射到值范围[1,10]的比例10。因此,关于账户变化的指标是变化的账户占OT系统10中的主机上的总账户的比例。为了避免OT系统10中的少量变化的账户(例如,少于总账户的10%)已经被忽略,引入ceil函数
Figure BDA0003501926920000134
以确保如果存在任何变化的账户,则关于账户变化的指标至少为1。
6)维护活动
任选地,我们可以计算以下值,
y6,1是在步骤S301中指定的时间范围内的移动存储装置活动的量,而max1是在OT系统10的历史中的移动存储装置活动的最大量(在同样长的时间范围内);
y6,2是在步骤S301中指定的时间范围内的现场维护活动的量,而max2是在OT系统10的历史中的现场维护活动的最大量(在同样长的时间范围内);
y6,3是在步骤S301中指定的时间范围内的远程维护活动的量,而max3是在OT系统10的历史中的远程维护活动的最大量(在同样长的时间范围内);
随后,维护活动的指标x6可以计算为:
x6=f6(y6,1,y6,2,y6,3,max1,max2,max3)
在实施例中,虽然不受限制,但是函数f6如下,
Figure BDA0003501926920000141
此处,s是将x6映射到值范围[1,10]的比例10。因此,关于维护活动的指标是移动存储装置活动、现场维护和远程维护分别占历史最大值的比例的平均值。为了避免OT系统10中的少量维护活动(例如,少于最大活动的10%)已经被忽略,引入ceil函数
Figure BDA0003501926920000142
以确保如果存在任何维护活动,则关于维护活动的指标至少为1。
S305:在安全监控系统20处以定量方式将关于至少一个方面中的每一个的指标可视化。
在此步骤中,首先可以生成指标的视图,例如,对于每个指标,都会生成一个视图。如果存在多于1个指标,则分别将每个指标的视图可视化。另一实例是对于所有指标,将产生单个视图,指标将以单个视图显示,以方便用户快速地了解OT系统10的安全状况。任选地,与至少一个其它OT系统的指标相比,监控系统20可以将关于OT系统10的至少一个方面中的每一个的指标可视化。
在安全监控系统20处以定量方式生成在步骤S303中由用户30输入的关于期望方面的指标的视图,并且将视图可视化给用户30。该视图可以是雷达图、条形图、饼图等。此处“以定量方式”可以表示可视化指标的大小取决于风险级别,即安全监控的对应方面。
图4示出视图的实例。这是一个雷达图,其中显示上述6个方面的指标:资产变化401、漏洞402、网络波动403、异常应用程序404、账户变化405和维护活动406,反映OT系统10的网络安全状况。
基于安全状况的可视化,用户30可以轻松地在所监控的OT系统10上建立网络安全意识,识别需要改进的方面以降低OT系统10的风险。
以图4中所示的雷达图为例,OT系统10在资产变化401、漏洞402、异常应用程序404、账户变化405和网络波动403方面处于良好状态,但在移动存储装置使用和本地/远程维护方面具有大量活动。雷达图指示维护活动406上存在更多风险,并且更可能通过移动存储装置的使用和本地/远程维护引入安全问题,因此需要更多地关注风险缓解。
任选地,安全监控系统20可以在步骤S305之后继续进行步骤S306。在步骤S306中,将所有上述6个方面视为期望方面,安全监控系统20可以根据关于OT系统10的期望方面的指标计算总体指标r,总体指标r可以表示为:
r=f(x1,x2,x3,x4,x5,x6)
此处,f表示6个指标与对应的总体安全风险指标r的函数。
在实施例中,虽然不受限制,但是函数f如下,
f(x1,x2,x3,x4,x5,x6)=(x1+2*x2+x3+2*x4+3*x5+3*x6)/12
图5描绘显示本公开的安全监控系统20的示例性实施例的框图。参考图5,安全监控系统20可以包含:
-处理模块201,其被配置成确定用于对用于安全监控的OT系统10的数据进行计算的时间范围;
-数据收集模块202,其被配置成从OT系统10收集在安全监控的确定时间范围内的关于安全监控的至少一个方面的数据;
-计算器203,其被配置成基于所收集的数据计算关于至少一个方面中的每一个的指标;
-可视化模块204,其被配置成以定量方式将关于至少一个方面中的每一个的指标可视化。
任选地,用于安全监控的方面包括以下方面中的任一个或任何组合:
-资产变化401,其被配置成指示变化资产占总资产的比例;
-漏洞402,其被配置成指示易受损资产占总资产的比例;
-网络波动403,其被配置成指示OT系统10中的至少一个子网络的网络流量出现异常的时隙量;
-异常应用程序404,其被配置成指示异常应用程序占OT系统中10的主机上安装的总应用程序的比例;
-账户变化405,其被配置成指示变化的账户占OT系统10中的主机上的总账户的比例;
-维护活动406,其被配置成指示维护活动与历史最大值的比例。
任选地,可视化模块204进一步被配置成如果存在多于1个指标,则在单个视图中并且以比较方式将指标可视化。
任选地,计算器203进一步被配置成根据关于OT系统10的期望方面的指标计算总体指标。
图6描绘显示本公开的安全监控系统20的示例性实施例的另一框图。
参考图7,安全监控系统20可以包含:
-至少一个存储器205,其被配置成存储指令;
-至少一个处理器206,其耦合到至少一个存储器205,并且在执行可执行指令时配置成根据方法300执行由安全监控系统20执行的步骤。
任选地,安全监控系统20还可以包含通信模块207,所述通信模块被配置成与OT系统10通信。至少一个处理器206、至少一个存储器205和通信模块207可以经由总线连接或彼此直接连接。
值得一提的是,上述模块201至204可以是包含指令的软件模块,所述指令存储在至少一个存储器205中,在由至少一个处理器206执行时执行方法300。
本公开中还提供一种存储可执行指令的计算机可读介质,所述可执行指令在由计算机执行时使所述计算机执行本公开中呈现的方法中的任一种。
计算机程序正由至少一个处理器执行并且执行本公开中呈现的方法中的任一种。
在本公开中,分析OT系统的确定性、周期性和稳定性的特征,这可能是由于OT系统中的程序化、与生产相关的操作,主要是机器对机器的通信。基于所述分析,提供可视化的安全状况意识解决方案,其中:
选择OT系统的关键方面,它们是资产变化、漏洞、网络波动、异常应用程序、账户变化和维护活动,这对OT系统的安全至关重要。如果在这些方面发生更多的变化(动态)、非确定性事件,则指示OT系统可以具有更大的攻击面且因此可能面临更多的安全风险。
还提供计算关于OT系统的安全监控的6个不同方面的指标的算法,这确保对安全状况的精确测量。
视图可以将关键方面的指标整合在一起,并且为OT系统的网络安全意识提供一种简单、直观且可视化的方式。因此,例如OT管理员或操作员的用户可以容易地感知OT系统面临的总体安全风险,并且识别需要改进的方面以降低OT系统的风险。
此外,可以基于关于OT系统的关键方面的量化指标从关于OT系统的关键方面的指标中计算总体指标。
虽然已参考某些实施例详细地描述本发明技术,但应了解,本发明技术不限于那些精确的实施例。相反,鉴于描述用于实践本发明的示例性模式的本公开内容,在不脱离本发明的范围和精神的情况下,所属领域的技术人员能进行许多修改和变化。因此,本发明的范围由所附权利要求书指示,而非由前文描述指示。落入权利要求书的等效含义和范围内的所有改变、修改和变化将被认为在权利要求书的范围内。

Claims (16)

1.一种用于对OT系统(10)进行安全监控的方法(300),其包括:
-确定(S301)用于对所述OT系统10的数据进行计算的时间范围;
-从所述OT系统10收集(S303)在所述确定时间范围内的关于安全监控的至少一个方面的数据;
-基于所收集数据计算(S304)关于所述至少一个方面中的每一个的指标;
-以定量方式将关于所述至少一个方面中的每一个的指标可视化(S305)。
2.根据权利要求1所述的方法(300),其中用于安全监控的所述方面包括以下方面中的任一个或任何组合:
-资产变化(401),其被配置成指示变化资产占总资产的比例;
-漏洞(402),其被配置成指示易受损资产占总资产的比例;
-网络波动(403),其被配置成指示所述OT系统(10)中的至少一个子网络的网络流量出现异常的时隙量;
-异常应用程序(404),其被配置成指示异常应用程序占所述OT系统(10)中的主机上安装的总应用程序的比例;
-账户变化(405),其被配置成指示变化的账户占所述OT系统(10)中的主机上的总账户的比例;
-维护活动(406),其被配置成指示维护活动与历史最大值的比例。
3.根据权利要求1所述的方法(300),其中以定量方式将关于所述至少一个方面中的每一个的指标可视化(S305)进一步包括:
-与用于至少一个其它OT系统的指标相比,将关于所述OT系统(10)的所述至少一个方面中的每一个的指标可视化。
4.根据权利要求1所述的方法(300),其进一步包括:
-根据关于所述OT系统(10)的期望方面的所述指标计算(S306)总体指标。
5.一种用于对OT系统(10)进行安全监控的安全监控系统(20),其包括:
-处理模块(201),其被配置成确定用于对所述OT系统10的数据进行计算的时间范围;
-数据收集模块(202),其被配置成从所述OT系统10收集在所述确定时间范围内的关于安全监控的至少一个方面的数据;
-计算器(203),其被配置成基于所收集的数据计算关于所述至少一个方面中的每一个的指标;
-可视化模块(204),其被配置成以定量方式将关于所述至少一个方面中的每一个的指标可视化。
6.根据权利要求5所述的安全监控系统(20),其中用于安全监控的所述方面包括以下方面中的任一个或任何组合:
-资产变化(401),其被配置成指示变化资产占总资产的比例;
-漏洞(402),其被配置成指示易受损资产占总资产的比例;
-网络波动(403),其被配置成指示所述OT系统(10)中的至少一个子网络的网络流量出现异常的时隙量;
-异常应用程序(404),其被配置成指示异常应用程序占所述OT系统(10)中的主机上安装的总应用程序的比例;
-账户变化(405),其被配置成指示变化的账户占所述OT系统(10)中的主机上的总账户的比例;
-维护活动(406),其被配置成指示维护活动与历史最大值的比例。
7.根据权利要求5所述的安全监控系统(20),其中所述可视化模块(204)进一步被配置成:
-与用于至少一个其它OT系统的指标相比,将关于所述OT系统(10)的所述至少一个方面中的每一个的指标可视化。
8.根据权利要求5所述的安全监控系统(20),所述计算器(203)进一步被配置成:
-根据关于所述OT系统(10)的期望方面的所述指标计算总体指标。
9.一种用于对OT系统(10)进行安全监控的安全监控系统(20),其包括:
-至少一个存储器(205),其被配置成存储指令;
-至少一个处理器(206),其耦合到所述至少一个存储器(205),并且在执行可执行指令时被配置成执行以下步骤:
-确定用于对所述OT系统10的数据进行计算的时间范围
-从所述OT系统10收集在所述确定时间范围g内的关于安全监控的至少一个方面的数据;
-基于所收集数据计算关于所述至少一个方面中的每一个的指标;
-以定量方式将关于所述至少一个方面中的每一个的指标可视化。
10.根据权利要求9所述的安全监控系统(20),其中用于安全监控的所述方面包括以下方面中的任一个或任何组合:
-资产变化(401),其被配置成指示变化资产占总资产的比例;
-漏洞(402),其被配置成指示易受损资产占总资产的比例;
-网络波动(403),其被配置成指示所述OT系统(10)中的至少一个子网络的网络流量出现异常的时隙量;
-异常应用程序(404),其被配置成指示异常应用程序占所述OT系统(10)中的主机上安装的总应用程序的比例;
-账户变化(405),其被配置成指示变化的账户占所述OT系统(10)中的主机上的总账户的比例;
-维护活动(406),其被配置成指示维护活动与历史最大值的比例。
11.根据权利要求9所述的安全监控系统(20),其中当以定量方式将关于所述至少一个方面中的每一个的指标可视化时,所述至少一个处理器(206)在执行所述可执行指令时进一步被配置成执行以下步骤:
-与用于至少一个其它OT系统的指标相比,将关于所述OT系统(10)的所述至少一个方面中的每一个的指标可视化。
12.根据权利要求9所述的安全监控系统(20),其中所述至少一个处理器(206)在执行所述可执行指令时进一步被配置成执行以下步骤:
-根据关于所述OT系统(10)的期望方面的所述指标计算总体指标。
13.一种计算机可读介质,其存储可执行指令,所述可执行指令在由处理器执行时使所述处理器执行以下步骤:
-确定用于对所述OT系统10的数据进行计算的时间范围;
-从所述OT系统10收集在所述确定时间范围内的关于安全监控的至少一个方面的数据;
-基于所收集数据计算关于所述至少一个方面中的每一个的指标;
-以定量方式将关于所述至少一个方面中的每一个的指标可视化。
14.根据权利要求13所述的计算机可读介质,其中用于安全监控的所述方面包括以下方面中的任一个或任何组合:
-资产变化(401),其被配置成指示变化资产占总资产的比例;
-漏洞(402),其被配置成指示易受损资产占总资产的比例;
-网络波动(403),其被配置成指示所述OT系统(10)中的至少一个子网络的网络流量出现异常的时隙量;
-异常应用程序(404),其被配置成指示异常应用程序占所述OT系统(10)中的主机上安装的总应用程序的比例;
-账户变化(405),其被配置成指示变化的账户占所述OT系统(10)中的主机上的总账户的比例;
-维护活动(406),其被配置成指示维护活动与历史最大值的比例。
15.根据权利要求13所述的安全监控系统(20),其中当以定量方式将关于所述至少一个方面中的每一个的指标可视化时,所述可执行指令在由处理器执行时进一步使所述处理器执行以下步骤:
-如果存在多于1个指标,则以单个视图且以比较方式将所述指标可视化。
16.根据权利要求13所述的安全监控系统(20),其中所述可执行指令在由处理器执行时进一步使所述处理器执行以下步骤:
-根据关于所述OT系统(10)的期望方面的所述指标计算总体指标。
CN201980099284.5A 2019-08-29 2019-08-29 用于对ot系统进行安全监控的方法和系统 Pending CN114270281A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2019/103256 WO2021035607A1 (en) 2019-08-29 2019-08-29 Method and system for security monitoring on an ot system

Publications (1)

Publication Number Publication Date
CN114270281A true CN114270281A (zh) 2022-04-01

Family

ID=74684934

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980099284.5A Pending CN114270281A (zh) 2019-08-29 2019-08-29 用于对ot系统进行安全监控的方法和系统

Country Status (4)

Country Link
US (1) US20220303303A1 (zh)
EP (1) EP4022852A4 (zh)
CN (1) CN114270281A (zh)
WO (1) WO2021035607A1 (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103140859A (zh) * 2010-07-13 2013-06-05 卡斯蒂安简易股份公司 对计算机系统中的安全性的监控
CN103166794A (zh) * 2013-02-22 2013-06-19 中国人民解放军91655部队 一种具有一体化安全管控功能的信息安全管理方法
CN103338128A (zh) * 2013-02-25 2013-10-02 中国人民解放军91655部队 一种具有一体化安全管控功能的信息安全管理系统
CN104635686A (zh) * 2007-09-28 2015-05-20 洛克威尔自动控制技术股份有限公司 目标资源分配
WO2018136088A1 (en) * 2017-01-20 2018-07-26 Hitachi, Ltd. OTxIT NETWORK INSPECTION SYSTEM USING ANOMALY DETECTION BASED ON CLUSTER ANALYSIS
CN108449345A (zh) * 2018-03-22 2018-08-24 深信服科技股份有限公司 一种网络资产持续安全监控方法、系统、设备及存储介质
CN109922026A (zh) * 2017-12-13 2019-06-21 西门子公司 一个ot系统的监测方法、装置、系统和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2241952A1 (de) * 2009-04-17 2010-10-20 Siemens Aktiengesellschaft Verfahren zur Überprüfung einer Datenverarbeitungseinrichtung auf die Eignung zur Durchführung fehlersicherer Automatisierungsabläufe
US9386041B2 (en) * 2014-06-11 2016-07-05 Accenture Global Services Limited Method and system for automated incident response
CN105610785B (zh) * 2014-11-14 2019-09-03 欧姆龙株式会社 网络系统及控制装置
CN109857587A (zh) * 2017-11-30 2019-06-07 西门子公司 移动存储设备的控制方法、装置和存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104635686A (zh) * 2007-09-28 2015-05-20 洛克威尔自动控制技术股份有限公司 目标资源分配
CN103140859A (zh) * 2010-07-13 2013-06-05 卡斯蒂安简易股份公司 对计算机系统中的安全性的监控
CN103166794A (zh) * 2013-02-22 2013-06-19 中国人民解放军91655部队 一种具有一体化安全管控功能的信息安全管理方法
CN103338128A (zh) * 2013-02-25 2013-10-02 中国人民解放军91655部队 一种具有一体化安全管控功能的信息安全管理系统
WO2018136088A1 (en) * 2017-01-20 2018-07-26 Hitachi, Ltd. OTxIT NETWORK INSPECTION SYSTEM USING ANOMALY DETECTION BASED ON CLUSTER ANALYSIS
CN109922026A (zh) * 2017-12-13 2019-06-21 西门子公司 一个ot系统的监测方法、装置、系统和存储介质
CN108449345A (zh) * 2018-03-22 2018-08-24 深信服科技股份有限公司 一种网络资产持续安全监控方法、系统、设备及存储介质

Also Published As

Publication number Publication date
US20220303303A1 (en) 2022-09-22
EP4022852A1 (en) 2022-07-06
WO2021035607A1 (en) 2021-03-04
EP4022852A4 (en) 2023-05-10

Similar Documents

Publication Publication Date Title
CN108933791B (zh) 一种基于电力信息网安全防护策略智能优化方法及装置
US20170237752A1 (en) Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics
US8595831B2 (en) Method and system for cyber security management of industrial control systems
CN110868425A (zh) 一种采用黑白名单进行分析的工控信息安全监控系统
CN108055261B (zh) 工业网络安全系统部署方法及安全系统
CN108810034A (zh) 一种工业控制系统信息资产的安全防护方法
DE102016103521A1 (de) Erkennung von Anomalien in industriellen Kommunikationsnetzen
CN107579986B (zh) 一种复杂网络中网络安全检测的方法
US9015794B2 (en) Determining several security indicators of different types for each gathering item in a computer system
CN104052730A (zh) 用于工业控制系统的智能计算机物理入侵检测与防御系统和方法
CN113671909A (zh) 一种钢铁工控设备安全监测系统和方法
CN112799358A (zh) 一种工业控制安全防御系统
CN106886202A (zh) 控制装置、综合生产系统及其控制方法
CN111935189B (zh) 工控终端策略控制系统及工控终端策略控制方法
CN115935415A (zh) 基于工业互联网多要素感知的数据安全预警系统
CN109005156A (zh) 账号共用的确定方法及装置
CN114125083A (zh) 工业网络分布式数据采集方法、装置、电子设备及介质
EP3926429A1 (en) Control system
CN112543123A (zh) 工业自动控制系统安全防护及预警系统
CN114270281A (zh) 用于对ot系统进行安全监控的方法和系统
US11876820B2 (en) Security information visualization device, security information visualization method, and storage medium for storing program for visualizing security information
WO2023039676A1 (en) Methods and systems for assessing and enhancing cybersecurity of a network
CN114844953A (zh) 基于工业互联网的石化装置仪表自控设备安全监测系统
CN115550034A (zh) 一种配网电力监控系统业务流量监测方法及装置
CN114584356A (zh) 网络安全监控方法及网络安全监控系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination