CN114553537A - 一种面向工业互联网的异常流量监测方法和系统 - Google Patents
一种面向工业互联网的异常流量监测方法和系统 Download PDFInfo
- Publication number
- CN114553537A CN114553537A CN202210163802.9A CN202210163802A CN114553537A CN 114553537 A CN114553537 A CN 114553537A CN 202210163802 A CN202210163802 A CN 202210163802A CN 114553537 A CN114553537 A CN 114553537A
- Authority
- CN
- China
- Prior art keywords
- industrial
- module
- monitoring
- data
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 83
- 238000000034 method Methods 0.000 title claims abstract description 27
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 22
- 238000004458 analytical method Methods 0.000 claims abstract description 37
- 238000004891 communication Methods 0.000 claims abstract description 28
- 238000007726 management method Methods 0.000 claims abstract description 20
- 230000006399 behavior Effects 0.000 claims abstract description 18
- 238000012550 audit Methods 0.000 claims abstract description 10
- 230000000007 visual effect Effects 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000007405 data analysis Methods 0.000 claims description 9
- 238000001914 filtration Methods 0.000 claims description 9
- 238000010219 correlation analysis Methods 0.000 claims description 8
- 230000006855 networking Effects 0.000 claims description 8
- 230000006798 recombination Effects 0.000 claims description 8
- 238000005215 recombination Methods 0.000 claims description 8
- 239000012634 fragment Substances 0.000 claims description 5
- 238000005065 mining Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 241000700605 Viruses Species 0.000 abstract description 3
- 238000001514 detection method Methods 0.000 abstract description 3
- 230000000694 effects Effects 0.000 abstract description 2
- 238000012790 confirmation Methods 0.000 abstract 1
- 238000012216 screening Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 15
- 230000008569 process Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 7
- 238000003860 storage Methods 0.000 description 6
- 238000007781 pre-processing Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000001595 flow curve Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24553—Query execution of query operations
- G06F16/24554—Unary operations; Data partitioning operations
- G06F16/24556—Aggregation; Duplicate elimination
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
本发明实施方式涉及工业互联网信息安全领域,公开了一种面向工业互联网的异常流量监测方法和系统,以对工业协议的深度解析为基础,建立基于白名单的可信架构及动态拓扑,对现对入侵行为进行特征分析,实现对网络结构风险和活动即时可见;并基于对工业控制协议(如Modbus/TCP、OPC、西门子S7、电力IEC104等)的深度解析,对指定保护目标采取相应的检测策略实现网络中已知威胁和和病毒实现入侵检测报警;同时,对网络通讯行为进行详实的审计记录,定期生成统计报表,并将合法数据流转化为安全策略规则,供管理员筛选和确认。为联网工业系统的安全运行保障提供一站式管理和监测。
Description
技术领域
一种面向工业互联网的异常流量监测方法和系统主要使用在工业互联网信息安全领域,特别涉及一种网络流量监测方法和系统。
背景技术
随着互联网、云计算、大数据等信息技术对工业生产活动的不断渗透,工业互联网也面临着越来越严峻的信息安全风险。根据美国工业控制系统网络安全应急响应小组(ICS-CERT)的统计,近2年ICS-CERT共响应了540起工业控制系统信息安全事件,能源、装备制备、市政等关键信息基础设施领域成为遭受黑客攻击的重灾区。
由DCS、PCS、PLC和SCADA等控制系统构成的控制网络,在过去几十年的发展中呈现出整体开放的趋势。随着信息技术在工业企业中的应用,工业互联网中大量采用通用TCP/IP和OPC协议技术,ICS网络和企业管理网的联系越来越紧密。而传统工业控制系统采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通的通信安全问题。因此在工控系统开放的同时,减弱了控制系统与外界的隔离,随之而来的通信协议漏洞问题也日益突出。因此,主动发现风险漏洞,实时监测系统的安全状况,发现问题并采取修补措施十分必要。
然而,现在的网络监控产品虽然很多,但通常具有局限性,广泛存在的以太网监听和管理问题还不能被彻底解决。特别是工业互联网领域,即使是公开协议,对其安全性分析尚有不足,更何况很多DCS系统供应商采用大量私有协议,因此有必要深化针对工业互联网协议流量的监测技术。
发明内容
本发明的主要目的在于提供一种面向工业互联网的异常流量监测方法和系统,旨在解决工业互联网场景下对异常流量监测的局限性问题。
为实现上述目的,本发明提供一种面向工业互联网的异常流量监测方法,所述方法包括以下步骤:
数据包捕捉:通过核心工业交换机的镜像口,以旁路方式采用驱动层数据拷贝技术采集工业控制网的数据。
预处理:对数据包捕捉步骤进行IP包碎片重组处理,重组完成后,按照MAC,IP,TCP进行分类,将分类后的数据传输给数据解析模块。
协议解析:将预处理后的数据首先进行二层包解析,并按照预先配置的安全mac过滤预警策略进行匹配报警,然后对TCP/IP包进行解析,并按照IP安全策略进行过滤报警,最后根据端口和包特征确定工业协议类型,开始进行工业协议的深度解析。工控协议深度解析包括对功能码、寄存器地址、IO点位的值等的精准解析。工业协议包括:Modbus、OPC、IEC104、DNP3、IEC61850-GOOSE、Fins等。
数据分析:对解析后的工业数据进行深度挖掘和关联分析,并针对构成工业系统的工控设备、网络设备、工控应用(软件)、服务等及这些工控设备的通信行为,通信内容、流量进行综合性的安全分析和评估。
安全预警及可视化呈现:基于工业互联网数据的深度关联分析,对安全威胁进行识别、定位、预测和跟踪,形成可视化的工控资产拓扑图、安全威胁报警表等,直观地展现工业互联网安全状况。具体内容包括:
(1)动态拓扑:形成可视化的拓扑图,直观展示报警结果,支持报警的查询、扩展、关联、挖掘后的数据导出,并与现有系统的可视化分析关联;
(2)风险预警及辅助决策:对工业互联网存在的安全威胁进行识别、定位、预测和跟踪,发布预警并提出针对性的安全防护建议,提供决策支持。
进一步的,为实现上述目的,本发明还提供一种面向工业互联网的异常流量监测系统,包括:
(1)监测引擎:负责网络数据包抓取、协议分析并按照预先配置的策略判断数据的合法性,将非法数据自动上报给监测中心;
(2)监测中心:接收监测引擎的报警数据并按照预先设置的报警方式自动报警,负责整个监测系统的人机交互。
优选的,监测引擎中包含工业协议深度解析模块、漏斗式白名单模块、工业互联网入侵实时监测模块、工业联网设备智能定位模块、工业联网资产安全监测模块、工业互联网通信安全监测模块、工业互联网指令安全监测模块、工业互联网流量安全监测模块、IP地址隐藏模块;监测中心包含基于硬件特征的设备认证安全模块、多因子安全身份认证模块、事件管理模块、事件合并模块、安全审计模块、安全事件回溯模块、设备状态安全监测模块、统计报表模块、安全权限管理模块、时间同步模块。
进一步的,工业协议深度解析模块对主流工控网络协议(Modbus/TCP、OPC、S7、IEC104等)进行研究,解析工控系统通讯语言,建立符合现场工艺的业务指令流模型,识别出工业现场上位机对下位机的指令操作、工程师站对现场工业控制器的配置变更、以及对现场开关量和过程量阀值的输入等网络通讯与工艺操作行为。同时,工业协议深度解析模块支持私有工控协议的扩展接口,可对不同用户的私有工控协议进行定制化的二次开发。
进一步的,漏斗式白名单模块从多种维度监测控制网络。白名单漏斗层层递进,分析工控网络安全隐患,过滤精度高。针对工控网与互联网连接风险、非法设备接入风险以及移动介质风险进行分析,建立工控网络可信架构,全面监测控制网中设备、资产,防范未授权软件或程序在控制网内运行,增强控制网络安全性,并深度解析上下位机之间通信信令,对下发的指令及传输的参数等进行实时监测。基于漏斗式白名单建立的可信架构提早预警时间,不同攻击行为出现在白名单漏斗的不同过滤深度,若威胁无法通过第一层过滤,即时报警,那么若该威胁具有第二、三层的危险便可提前发现,可对未知威胁进行提前预警。
进一步的,工业互联网入侵实时监测模块对入侵行为特征进行分析,实时捕捉各种攻击行为。入侵检测模块核心特征库中包含共15个大类的1300余种攻击特征,并不断增加更新,包括病毒攻击,木马攻击,拒绝服务攻击,数据库攻击,Web攻击,Icmp攻击,FTP攻击,DNS攻击,ARP攻击,邮件攻击,漏洞攻击,后门软件,IP/端口扫描,RPC攻击,缓冲区溢出攻击等。
进一步的,工业联网设备智能定位模块使用半自动网络拓扑发现技术和半自动拓扑绘制技术,将被监测的工业控制网的拓扑在页面上动态呈现。包括识别上下位设备的IP地址、MAC地址等设备属性发现网络资产,以及管理员对拓扑图上的设备属性进行修改、添加设备或者删除设备,并根据设备通信状态进行连线生成动态拓扑图。当工业控制网中设备发生异常行为,监测引擎可通过工业互联网设备智能定位模块直接在拓扑图中的相应设备上进行报警。网络拓扑可完全呈现出工业网络中正在进行的工作过程及安全事件,更直观的对入侵行为进行监测。此外,工业互联网设备智能定位模块可自动发现网络资产及资产间通信状态,半自动生成网络结构动态拓扑图并可通过人工修改拓扑图。动态拓扑图上完全呈现出工业网络中正在进行的工作过程及安全事件,实现对网络中用户资产的梳理,实时可见通讯状态以及报警的精准定位。
进一步的,工业联网资产安全监测模块通过将合法资产加入资产白名单中对控制网中设备进行全面监测,当发现资产异常时立即产生报警,使资产状态即时可见。工业联网资产安全监测模块对非法设备接入、设备非法外连、设备通信中断等进行检测和实时报警。
进一步的,工业互联网通信安全监测模块基于对主流工控网络协议(Modbus/TCP、OPC、S7、IEC10等)的通信数据进行采集与深度解析,建立符合现场工艺的业务指令流模型,将网络合法通信行为加入通信白名单及协议白名单中,将当前工业控制网络通信行为与白名单进行比对,及时发现违反业务生产秩序的操作行为,维护网络正常业务秩序。
进一步的,工业互联网指令安全监测模块对未知通信行为、“用户误操作”、“用户违规操作、工艺阈值非预期波动等进行实时报警。其中,指令变更指上位机电脑向下位机PLC或者DCS控制器发送开关阀、开关泵等操作变化;阈值报警指上位机电脑读取下位机PLC或者DCS控制器传输的阀门状态,温度、压力等传感器的数据的上限或者下限报警;组态变更指上位机电脑向下位机PLC或DCS灌装程序,或者从下位机PLC或DCS上载程序的网络行为;负载变更指上位机与下位机,或者下位机PLC或DCS与负载设备之间通信的变化。符合工艺的指令变更需要加入策略白名单,比如某个阀门的开启动作,而不符合工艺的指令变更需要报警,比如某个阀门的关闭动作。在这个过程中,工业互联网指令安全监测模块及时发现这些合法和非法的网络行为,实时进行报警。
进一步的,工业互联网流量安全监测模块对被监测控制网络中各个资产的网络流量进行监视,针对根据不同的资产设置不同的流量阈值,进行安全预警。通过流量曲线图、柱状图和流量分布表等多种方式对整个控制网络总体流量监测结果进行展示。根据流量监测模块获取的数据进行流量异常检查,针对网络中流量的突变和异常的数据流模式,适时发送流量相关警报信息,提供了解网络异常状态的新途径。
进一步的,IP地址隐藏模块使得监测引擎作业时业务数据口不设置IP地址,对于被监测的工业互联网来讲,监测引擎是“隐身”的,从而增加了引擎本身的安全性及隐蔽性,更加有效对恶意攻击或病毒进行监测预警,确保整个工业联网控制系统的安全与稳定。
进一步的,基于硬件特征的设备认证安全模块通过对指定接口所连接的网络中登陆主机的IP和MAC地址进行绑定,实现IP防盗用,只有在策略范围内的管理主机才可以登陆监测系统web页面进行安全管理。其余IP地址和MAC地址的设备如果尝试访问监测系统会提示失败,监测系统对非法访问进行详细记录,以备用于安全审计。
进一步的,多因子安全身份认证模块采用用户名/口令和数字证书的双因子身份认证技术,保证了系统的使用安全,同时数字证书与产品的使用许可相结合,从而保证系统本身的安全。此外,管理员可通过监测系统管理页面查看证书的失效时间。
进一步的,事件管理模块通过管理页面进行对安全事件的配置管理,根据不同工业行业,不同工厂的安全需求不同,对安全事件的等级,名称进行灵活配置管理。
进一步的,事件合并模块通过对多个安全事件进行关联分析,对相关的多个安全事件进行合并。
进一步的,安全审计模块支持对工业控制网络通信记录进行审计,对安全事件的存储和条件查询及记录的下载。根据不同的审计需求分别开启/关闭相应的功能模块。此外,审计日志存储方式为本地存储:以数据库表的方式存于监测中心的硬盘上。日志支持的格式有:xml、txt。日志导入导出方式包括:界面一键导出,报表统计生成。支持对审计日志进行条件查询功能,查询条件支持报警来源、报警等级、报警类型、协议类型、源设备名称、目的设备名称、源IP、目的IP、报警状态、开始时间、结束时间等。通过多维度的条件查询可高效可靠的为工业控制系统的安全事故调查提供详实的依据。
进一步的,安全事件回溯模块支持对工业控制的原始数据保存、查询、下载功能,对采集到的控制网原始数据按照时间段进行保存和查询,当发生安全事件后,在事后审计时,可按照需要进行选择性或者全部下载,从而实现对安全事件的回溯。
进一步的,设备状态安全监测模块支持对监测中心和监测引擎进行实时监测,通过事实对CPU、内存和硬盘使用情况进行监测,并自动与预先设置的阈值策略进行比对,超过策略设置的阈值则进行安全报警。
进一步的,统计报表模块基于工控安全事件库对网络环境安全进行全方位多维度的统计分析,对监测结果进行专业分析,提出建议以全面掌握工控网络安全。其统计分析功能包括可灵活选择定制化报表及月报表,自主选择关注点进行重点分析。
进一步的,安全权限管理模块将系统用户默认分为三个用户:分别为超级管理员、系统管理员和日志审计员。超级管理员主要负责用户的创建、删除和功能证书的管理;系统管理员负责主要负责平台的业务配置和管理,包括规则的管理和报警的处理等;日志审计员可对安全日志进行审计。
进一步的,时间同步模块支持自动和手动进行时间同步功能,手动同步功能即管理员可通过手动在web页面操作将监测平台与管理机进行系统时间同步;自动同步即检测中心与工厂内的时间服务器自动进行同步。精准的时间同步功能保证了安全审计日志的准确性和连续性。
附图说明
一个或多个实施方式通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施方式的限定。
图1为本发明面向工业互联网的异常流量监测方法步骤。
图2为本发明面向工业互联网的异常流量监测方法中基于工业互联网数据的深度关联分析步骤。
图3为本发明中面向工业互联网的异常流量监测系统框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。
本发明第一实施方式涉及面向工业互联网的异常流量监测方法,如图1所示,包括以下步骤:
S10:数据包捕捉,通过核心工业交换机的镜像口,以旁路方式采用驱动层数据拷贝技术采集工业控制网的数据。
S20:预处理,对数据包捕捉步骤进行IP包碎片重组处理,重组完成后,按照MAC,IP,TCP进行分类,将分类后的数据传输给数据解析模块。
S30:协议解析,将预处理后的数据首先进行二层包解析,并按照预先配置的安全mac过滤预警策略进行匹配报警,然后对TCP/IP包进行解析,并按照IP安全策略进行过滤报警,最后根据端口和包特征确定工业协议类型,开始进行工业协议的深度解析。工控协议深度解析包括对功能码、寄存器地址、IO点位的值等的精准解析。工业协议包括:Modbus、OPC、IEC104、DNP3、IEC61850-GOOSE、Fins等。
S40:数据分析:对解析后的工业数据进行深度挖掘和关联分析,并针对构成工业系统的工控设备、网络设备、工控应用(软件)、服务等及这些工控设备的通信行为,通信内容、流量进行综合性的安全分析和评估。
S50:基于工业互联网数据的深度关联分析,对安全威胁进行识别、定位、预测和跟踪,形成可视化的工控资产拓扑图、安全威胁报警表等,直观地展现工业互联网安全状况。具体地,如图2所示,S50包括以下步骤:
S501:动态拓扑:形成可视化的拓扑图,直观展示报警结果,支持报警的查询、扩展、关联、挖掘后的数据导出,并与现有系统的可视化分析关联;
S502:风险预警及辅助决策:对工业互联网存在的安全威胁进行识别、定位、预测和跟踪,发布预警并提出针对性的安全防护建议,提供决策支持。
本发明第二实施方式涉及面向工业互联网的异常流量监测系统,其系统架构如图3所示,可分为5个模块,分别为数据采集模块、预处理模块、数据分析模块、存储模块及应用模块。
数据采集模块实现数据采集引擎(即采集引擎驱动层)和采集数据汇聚功能。
预处理模块实现数据碎片重组、数据分类及网络层数据解析功能。
数据分析模块实现行为监测及协议解析功能。其中,行为监测功能包含指令监测、负载监测、阈值监测、组态监测、流量监测、特征提取、机器学习与建模、策略生成与管理;协议解析功能包含协议特征提取、协议状态机分析、字段语义分析和嵌套结构分析。
存储模块实现对原始数据、策略配置、报警日志、操作日志及安全日志的存储功能。
应用模块实现数据还原、数据追踪、规则配置、安全报警及统计报表功能。
面向工业互联网的异常流量监测系统主要由两个部件组成:
(1)监测引擎:负责网络数据包抓取、协议分析并按照预先配置的策略判断数据的合法性,将非法数据自动上报给监测中心;
其中,监测引擎中数据采集阶段包含数据采集引擎及采集数据汇聚模块;预处理阶段包含数据碎片重组、数据分类、工业协议深度解析模块、漏斗式白名单模块、工业互联网入侵实时监测模块、工业联网设备智能定位模块、工业联网资产安全监测模块、工业互联网通信安全监测模块、工业互联网指令安全监测模块、工业互联网流量安全监测模块、IP地址隐藏模块;
(2)监测中心:接收监测引擎的报警数据并按照预先设置的报警方式自动报警,负责整个监测系统的人机交互。
监测中心包含基于硬件特征的设备认证安全模块、多因子安全身份认证模块、事件管理模块、事件合并模块、安全审计模块、安全事件回溯模块、设备状态安全监测模块、统计报表模块、安全权限管理模块、时间同步模块。
上面各种部件的步骤划分,只是为了描述清楚,实现时可以合并为一个部件进行拆分,或者分解为多个子部件,只要包括相同的逻辑关系,都在本专利的保护范围内;对结构中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本领域的普通技术人员可以理解,上述各实施例是实现本申请的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本申请的精神和范围。
Claims (5)
1.一种面向工业互联网的异常流量监测方法,其特征在于,包括:
数据包捕捉:通过核心工业交换机的镜像口,以旁路方式采用驱动层数据拷贝技术采集工业控制网的数据;
预处理:对数据包捕捉步骤进行IP包碎片重组处理,重组完成后,按照MAC,IP,TCP进行分类,将分类后的数据传输给数据解析模块;
协议解析:将预处理后的数据首先进行二层包解析,并按照预先配置的安全mac过滤预警策略进行匹配报警,然后对TCP/IP包进行解析,并按照IP安全策略进行过滤报警,最后根据端口和包特征确定工业协议类型,开始进行工业协议的深度解析;工控协议深度解析包括对功能码、寄存器地址、IO点位的值的精准解析,工业协议包括:Modbus、OPC、IEC104、DNP3、IEC61850-GOOSE、Fins;
数据分析:对解析后的工业数据进行深度挖掘和关联分析,并针对构成工业系统的工控设备、网络设备、工控应用、服务及工控设备的通信行为,通信内容、流量进行综合性的安全分析和评估;
安全预警及可视化呈现:基于工业互联网数据的深度关联分析,对安全威胁进行识别、定位、预测和跟踪,形成可视化的工控资产拓扑图、安全威胁报警表,直观地展现工业互联网安全状况。
2.根据权利要求1所述的一种面向工业互联网的异常流量监测方法,其特征在于,
所述安全预警及可视化呈现包括:
(1)动态拓扑:形成可视化的拓扑图,直观展示报警结果,支持报警的查询、扩展、关联、挖掘后的数据导出,并与现有系统的可视化分析关联;
(2)风险预警及辅助决策:对工业互联网存在的安全威胁进行识别、定位、预测和跟踪,发布预警并提出针对性的安全防护建议,提供决策支持。
3.一种面向工业互联网的异常流量监测系统,其特征在于,包括:
(1)监测引擎:负责网络数据包抓取、协议分析并按照预先配置的策略判断数据的合法性,将非法数据自动上报给监测中心;
(2)监测中心:接收监测引擎的报警数据并按照预先设置的报警方式自动报警,负责整个监测系统的人机交互。
4.根据权利要求3所述的一种面向工业互联网的异常流量监测系统,其特征在于,所述监测引擎包括:工业协议深度解析模块、漏斗式白名单模块、工业互联网入侵实时监测模块、工业联网设备智能定位模块、工业联网资产安全监测模块、工业互联网通信安全监测模块、
工业互联网指令安全监测模块、工业互联网流量安全监测模块、IP地址隐藏模块。
5.根据权利要求3所述的一种面向工业互联网的异常流量监测系统,其特征在于,所述监测中心包括:
基于硬件特征的设备认证安全模块、多因子安全身份认证模块、事件管理模块、事件合并模块、安全审计模块、安全事件回溯模块、设备状态安全监测模块、统计报表模块、安全权限管理模块、时间同步模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210163802.9A CN114553537A (zh) | 2022-02-22 | 2022-02-22 | 一种面向工业互联网的异常流量监测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210163802.9A CN114553537A (zh) | 2022-02-22 | 2022-02-22 | 一种面向工业互联网的异常流量监测方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114553537A true CN114553537A (zh) | 2022-05-27 |
Family
ID=81677273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210163802.9A Pending CN114553537A (zh) | 2022-02-22 | 2022-02-22 | 一种面向工业互联网的异常流量监测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553537A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174211A (zh) * | 2022-07-05 | 2022-10-11 | 北京珞安科技有限责任公司 | 基于流量分析与控制的工业安全防护系统 |
| CN116708038A (zh) * | 2023-08-07 | 2023-09-05 | 恒安嘉新(北京)科技股份公司 | 基于资产测绘的工业互联网企业网络安全威胁识别方法 |
| CN117149590A (zh) * | 2023-10-30 | 2023-12-01 | 北京阳光金力科技发展有限公司 | 具有数据安全监控模块的数据中心系统及监控方法 |
| CN117499443A (zh) * | 2023-12-28 | 2024-02-02 | 湖南信健科技有限公司 | 一种分布式控制系统dcs通信松耦合管理系统 |
| WO2024035405A1 (en) * | 2022-08-11 | 2024-02-15 | Siemens Corporation | Interpreting and categorizing traffic on industrial control networks |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN111654477A (zh) * | 2020-05-21 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
-
2022
- 2022-02-22 CN CN202210163802.9A patent/CN114553537A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105208018A (zh) * | 2015-09-09 | 2015-12-30 | 上海三零卫士信息安全有限公司 | 一种基于漏斗式白名单的工控网络信息安全监控方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110868425A (zh) * | 2019-11-27 | 2020-03-06 | 上海三零卫士信息安全有限公司 | 一种采用黑白名单进行分析的工控信息安全监控系统 |
| CN111654477A (zh) * | 2020-05-21 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174211A (zh) * | 2022-07-05 | 2022-10-11 | 北京珞安科技有限责任公司 | 基于流量分析与控制的工业安全防护系统 |
| WO2024035405A1 (en) * | 2022-08-11 | 2024-02-15 | Siemens Corporation | Interpreting and categorizing traffic on industrial control networks |
| CN116708038A (zh) * | 2023-08-07 | 2023-09-05 | 恒安嘉新(北京)科技股份公司 | 基于资产测绘的工业互联网企业网络安全威胁识别方法 |
| CN116708038B (zh) * | 2023-08-07 | 2023-10-13 | 恒安嘉新(北京)科技股份公司 | 基于资产测绘的工业互联网企业网络安全威胁识别方法 |
| CN117149590A (zh) * | 2023-10-30 | 2023-12-01 | 北京阳光金力科技发展有限公司 | 具有数据安全监控模块的数据中心系统及监控方法 |
| CN117149590B (zh) * | 2023-10-30 | 2024-01-30 | 北京阳光金力科技发展有限公司 | 具有数据安全监控模块的数据中心系统及监控方法 |
| CN117499443A (zh) * | 2023-12-28 | 2024-02-02 | 湖南信健科技有限公司 | 一种分布式控制系统dcs通信松耦合管理系统 |
| CN117499443B (zh) * | 2023-12-28 | 2024-03-29 | 湖南信健科技有限公司 | 一种分布式控制系统dcs通信松耦合管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| EP2715975B1 (en) | Network asset information management | |
| CN109587174B (zh) | 用于网络防护的协同防御方法和系统 | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| US20090271504A1 (en) | Techniques for agent configuration | |
| CN108111487B (zh) | 一种安全监控方法及系统 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| US20110307936A1 (en) | Network analysis | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| CN114567463B (zh) | 一种工业网络信息安全监测与防护系统 | |
| Bidou | Security operation center concepts & implementation | |
| CN114124516B (zh) | 态势感知预测方法、装置及系统 | |
| CN114553471A (zh) | 一种租户安全管理系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| Söderström et al. | Secure audit log management | |
| Tiwari et al. | Refinements in Zeek intrusion detection system | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| KR102444922B1 (ko) | 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |