CN114567463A - 一种工业网络信息安全监测与防护系统 - Google Patents
一种工业网络信息安全监测与防护系统 Download PDFInfo
- Publication number
- CN114567463A CN114567463A CN202210136963.9A CN202210136963A CN114567463A CN 114567463 A CN114567463 A CN 114567463A CN 202210136963 A CN202210136963 A CN 202210136963A CN 114567463 A CN114567463 A CN 114567463A
- Authority
- CN
- China
- Prior art keywords
- message
- module
- instruction
- industrial
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 135
- 238000004891 communication Methods 0.000 claims abstract description 50
- 238000004519 manufacturing process Methods 0.000 claims abstract description 35
- 238000013500 data storage Methods 0.000 claims abstract description 23
- 230000003993 interaction Effects 0.000 claims abstract description 15
- 230000000903 blocking effect Effects 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 112
- 230000008569 process Effects 0.000 claims description 107
- 230000008859 change Effects 0.000 claims description 46
- 230000006870 function Effects 0.000 claims description 30
- 230000002776 aggregation Effects 0.000 claims description 21
- 238000004220 aggregation Methods 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 21
- 230000001364 causal effect Effects 0.000 claims description 18
- 230000027455 binding Effects 0.000 claims description 17
- 238000009739 binding Methods 0.000 claims description 17
- 238000005259 measurement Methods 0.000 claims description 13
- 238000012546 transfer Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 230000009471 action Effects 0.000 claims description 5
- 230000003247 decreasing effect Effects 0.000 claims description 5
- 230000001066 destructive effect Effects 0.000 claims description 4
- 230000000007 visual effect Effects 0.000 claims description 4
- 238000009776 industrial production Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 230000008447 perception Effects 0.000 abstract description 2
- 238000001514 detection method Methods 0.000 description 24
- 230000006399 behavior Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 9
- 238000003860 storage Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 6
- 238000009826 distribution Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000011112 process operation Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000010438 heat treatment Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000005036 nerve Anatomy 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种工业网络信息安全监测与防护系统,其包括报文采集子系统、工业信息解析子系统、数据存储子系统以及人机交互与显示子系统。本系统可在不影响原工控系统正常运行的前提下,实时采集控制系统网络中所有的通信数据,并对所采集的报文进行深度解析,从而实现对控制系统网络通信、生产状态等全要素的实时感知和全透明化呈现;进而基于实时状态和控制指令的全透明化监测进行安全态势感知,当发现针对工控系统的威胁或攻击时,实时预警、溯源,亦可在工控网络中采取必要的阻断等反制措施。
Description
技术领域
本发明涉及工业网络通信安全领域,尤其是涉及一种工业网络信息安全监测与防护系统。
背景技术
工业控制系统是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”,超过80%的涉及国计民生的关键基础设施依靠工业控制系统实现自动化作业。随着计算机和网络技术的发展,特别是两化融合以及物联网的快速发展,越来越多的通用协议、硬件和软件在工业控制系统产品中采用,并以各种方式与互联网等公共网络连接,使得针对工业控制系统的攻击行为大幅度增长。其中,最常见的攻击方式就是利用工业控制系统的漏洞,PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(Distributed Control System,分布式控制系统)、SCADA(Supervisory Control AndData Acquisition,数据采集与监视控制系统) 乃至应用软件均被发现存在大量信息安全漏洞,如 ABB 施耐德电(Schneider)、通用电气(GE)、研华科技(Advantech)及罗克韦尔(Rockwell)等工业控制系统厂商产品均被发现包含各种信息安全漏洞。
从技术上看,工控系统所面临的网络安全威胁来自于两个方面:一个是传统的网络安全威胁,即利用操作系统、应用软件的漏洞发起的攻击威胁。这类威胁主要是针对计算机所使用的计算机操作系统和应用软件(如办公软件、网站软件等)的漏洞,获取计算机操作权限,或窃取隐私或敏感信息。
另一个更重要的安全威胁来源于对工控系统及其所控制的生产装置、生产工艺非常熟悉的有组织的攻击。
由此可见,针对工控系统核心部件攻击的“黑客”除了要具有一般的计算机操作系统和软件知识外,更利用了工控系统本身的软件硬件特性和通信协议、操作指令和基础设施生产装置的弱点,导致一般的互联网安全技术人员难以发现,即具有“高专业性、高隐蔽性、高复杂性、难以被发现、难以被跟踪”(即“三高两难”)特性。
因此,必须从工业控制网络传输协议和标准出发,结合工业通信的实时性、确定性通信特点,加强工业通信网络的攻击检测与保护能力。目前急需一种既能够保证工业通信实时性,又能及时检测、隔离外部可疑攻击的工业通信信息安全技术,增强工业控制系统的安全性。
发明内容
本发明主要是针对工业控制网络中的信息安全威胁,根据工业控制网络通信的实时性、确定性等特点,为工业控制网络提供了一种工业网络信息安全监测与防护系统。
本发明针对上述技术问题主要是通过下述技术方案得以解决的:一种工业网络信息安全监测与防护系统,包括报文采集子系统、工业信息解析子系统、数据存储子系统以及人机交互与显示子系统;
所述报文采集子系统包括:
工业网络报文无扰采集模块(采集模块),部署在被防护的工控系统(简称对象工控系统)内部或边界,用于实时采集工控系统中以广播、多播、单播形式发送的所有报文(如工控系统的组态配置上传/下载、数据块批量传输、测量控制分发、事件与报警发布和确认、设备主动声明、设备探测、系统管理、安全管理等报文,以及其他TCP/IP协议等报文)以及这些报文中所包含的发送时序逻辑,并交付给工业网络报文无扰汇聚模块或工业信息解析辨识模块;多个采集模块采集的报文可通过经过汇聚模块汇聚后,转交给工业信息解析辨识模块;
工业网络报文无扰汇聚模块(汇聚模块),部署在采集模块与解析模块之间,将两个及以上工业网络报文无扰采集模块采集的工业网络报文,在不改变采集报文的时序关系的前提下,进行存储、汇聚和转发,转交给工业信息解析辨识模块;
所述工业信息解析子系统包括:
工业信息解析辨识模块(解析模块),包括地址解析子模块、协议解析子模块、指令解析子模块、工艺解析子模块和逻辑解析子模块,地址解析子模块用于从工业网络报文无扰采集模块采集的报文中识别出报文发送的时间、起始地址和目的地址,协议解析子模块用于识别报文发送采用的协议、功能码(报文传递服务类型)和通信关系,指令解析子模块用于解析识别报文里包含的操作指令、指令发送接收传递关系、指令上下文关系以及指令操作意图,工艺解析子模块用于识别工控系统所控制的工业生产过程工况参量及其变化趋势,逻辑解析子模块用于识别操作指令之间的控制逻辑以及指令与工艺参数变化一致性关系、因果关系和顺序关系,控制逻辑包括时序逻辑、顺序逻辑、连锁逻辑等;
工业安全态势监测与分析模块(安全分析模块),包括地址安全研判子模块、协议安全研判子模块、指令安全研判子模块、工艺安全研判子模块和逻辑安全研判子模块,将工业信息解析辨识模块从报文中解析识别出来的地址、协议、指令、工艺、逻辑等信息与系统配置模块中的配置信息进行对比和安全性研判,识别报文中的异常、恶意或欺骗等指令/行为,并进行预警和/或阻断处置;
所述数据存储子系统包括工业数据存储与检索模块(存储模块),工业数据存储与检索模块存储原始采集的工业网络报文,并分类存储工业信息解析辨识模块解析识别出的生产过程工艺参数、操作指令等记录,并建立主键链接和索引目录,存储与检索相关数据;
所述人机交互与显示子系统包括:
系统配置模块(配置模块),包括网络资产安全策略配置子模块、地址安全策略配置子模块、协议安全策略配置子模块、指令安全策略配置子模块、工艺安全策略配置子模块和逻辑安全策略配置子模块,各子模块配置相应的安全策略;
人机交互模块,将工业信息解析辨识模块解析识别出的系统网络资产、网络流量流谱趋势、生产过程工艺参数变化趋势、操作指令记录等信息,以可视化工艺曲线、柱状图、饼图、图谱、报表列表、控制指令列表、报文五元组列表等的方式进行呈现。
工业网络报文无扰采集模块有两个接收与转发端口(A和B端口)和一个采集端口(C口)。其中任一接收与转发端口(A或B端口)接收到网络报文后,以极短时延通过另一个接收与转发端口(对应B或A端口)进行直接转发;同时,将该报文通过采集端口(C端口)进行直接转发或存储转发,传送交付给本系统的工业信息解析辨识模块进行解析。
工业网络报文无扰采集模块可采用串联或镜像并联两种方式部署:其中,串联部署是指本采集模块的两个端口(A和B端口)分别连接到对象工控系统中一个待采集网络连接的两端,这两个端口(A或B端口)接收到的报文以极小时延转发到另一个端口(B或A端口),同时将这两个端口接收到的报文转发到采集端口(C端口),传送交付给本系统的工业信息解析辨识模块;并联部署则是指本采集模块的任一端口(A或B端口)连接到对象工控系统的网络交换机镜像口,采集交换机镜像转发的报文,传送交付给本系统的工业信息解析辨识模块。
工业网络报文无扰采集模块的任一端口(A或B端口)接收到的报文到另一端口(B或A端口)以及C端口)的转发极小延时,可由硬件或软件实现保证,应不大于原对象系统的通信时延误差,也不应对原对象工控系统的实时性、稳定性、鲁棒性等控制性能产生影响。该模块可串联或镜像并联的方式部署在对象工控系统的边界,也可部署在对象工控系统的控制站、工程师站、操作员站或/和数据服务器的网络链路中。
工业网络报文无扰汇聚模块有2个及以上采集输入端口和一个汇聚转发端口,用于将每个采集输入端口接收到的网络报文经过存储、排序、去重、去残处理后,通过汇聚转发端口,转交给工业信息解析辨识模块。该模块依所采集的工控网络连接链路及网络流量需要进行配置:如系统只采集一路网络报文,汇聚模块则无需配置;如系统采集的网络链路有多路,则可按需配置2个及以上汇聚模块。该模块配置时,需综合每个采集接收端口的网络流量、通信速率以及汇聚转发端口的通信速率等,确保每个采集接收端口采集的报文均能通过汇聚转发端口转发出去,而无丢失。
地址解析子模块用于解析、识别工业网络报文中的发送节点和接收节点的物理地址(如MAC地址、硬件标识地址等)、逻辑地址(如IP地址、位号地址等)、报文发送端口号、报文发送的时间戳等;协议解析子模块用于解析、识别工业网络报文传送所采用的协议类型、功能码(报文传递服务类型)及其通信关系,其中通信关系包括客户/服务器、发布者/预订者(生产者/消费者)、报告分发等;指令解析子模块用于解析、识别工业网络报文中所包含的单个或批量操作、控制指令(如读变量、变量组指令)、单个或批量操作数(所读取的变量、变量组数值)、指令发送接收传递关系和指令上下文关系及其意图等;工艺解析子模块用于解析、识别工业测量控制网络报文中所传输的工艺参量(如温度、压力、流量、开关通/断状态等)及其数值,分析其变化与变化快慢等趋势,并将之解析为生产过程中的工艺工况(如某处的温度值是多少℃,某处的压力是多少kPa,某处的流量是多少等)及其变化;逻辑解析子模块用于解析、识别工业测量控制网络报文中所传输的测量控制指令之间的时序逻辑、顺序逻辑、连锁逻辑等控制逻辑关系,以及指令与工艺参数变化一致性关系、因果关系、顺序关系等。
工业安全态势监测与分析模块的地址安全研判、协议安全研判、指令安全研判、工艺安全研判、逻辑安全研判等功能子模块,可并行运行研判,也可按顺序串行运行研判,也可以分组并行或串行运行研判。
作为优选,地址安全研判子模块依据系统配置模块配置的白名单列表,与采集报文中的信息进行比对分析,符合白名单配置的为安全报文,否则为非安全报文;“源/目的物理地址-逻辑地址-端口”字段组成配对绑定的白名单列表、“物理地址-逻辑地址-端口”字段组成配对绑定的白名单列表和“源/目的物理地址-逻辑地址-端口”字段组成配对绑定白名单列表。
作为优选,协议安全研判子模块依据系统配置模块配置的“协议、功能码、协议与功能码”字段组成配对绑定通信关系白名单列表记录信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
作为优选,指令安全研判子模块依据系统配置模块配置的“指令、指令时序、指令发送接收传递关系、指令上下文关系、指令与工艺参数变化关系”字段组成配对绑定白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
作为优选,工艺安全研判子模块依据系统配置模块配置的工艺参量数值及其增加/减小变化速率,以及“工艺参数变化与操作控制指令之间的因果关系、一致性关系、顺序关系”字段组成配对绑定的安全白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
作为优选,逻辑安全研判子模块依据系统配置模块配置的“测量控制指令时序逻辑、顺序逻辑和连锁逻辑,以及指令与工艺参数变化一致性关系、因果关系、顺序关系”组成配对绑定的安全白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
工业安全态势监测与分析模块依据地址安全研判、协议安全研判、指令安全研判、工艺安全研判、逻辑安全研判等结果,综合判断被分析的报文为正常报文,或包含异常、恶意、欺骗等指令、行为的报文,并进行预警。
作为优选,解析的指令发送接收传递关系包括指令发送接收的请求和响应关系以及数据块和程序块的分包批量传输关系;解析的指令上下文关系包括同一指令传递的操作数据变化及其快慢情况;解析的指令操作意图是指指令在生产过程中的操作控制动作映射,如打开/闭合开关、打开/关闭某阀门,或将某阀门打开到百分之几的开度等。
作为优选,指令与工艺参数变化一致性关系、因果关系和顺序关系是指生产过程中某一个或若干个工况参量的变化是由某一操作控制指令发出导致,如某锅炉的加热功率加大指令发出后,锅炉内工质的温度才会提升,等;指令与工艺参数变化一致性关系、因果关系和顺序关系是生产过程的变量、工艺阐述,是根据生产过程中发生的变量变化而关联变化的。按照生产工艺模型,一个变量的变大/变小,是随着另一个变量的变大/变小而变化的,该变量的变大/变小,会影响其它多个变量的变化/变小。
作为优选,所述的异常、恶意或欺骗指令/行为,是指促使某个或者多个的参数超过安全生产的阈值,或者执行某种操作而改装关键开关阀门的状态,或造成显示数据伪装,从而达到造成破坏或者毁伤效果的攻击行为,包括非授权攻击、工艺参数/操作攻击和DOS/DDOS攻击。
工艺参数/操作攻击,是通过解析系统配置的异常检测公式,结合工艺参数解析模块返回的解析结果(工艺参数键值对、工艺参数相关报文),判断当前系统的运行状态。不同的协议对应不同的工艺参数,配置的工艺参数异常检测公式也不同。操作指令异常检测模块通过解析系统配置的异常检测公式,结合工艺参数解析模块返回的工艺参数数据表以及操作指令解析模块回调的操作指令,判断当前控制指令合法性。DOS/DDOS攻击是通过分析报文中的连接请求以及连接请求之间的时间间隔来判断是否构成DOS/DDOS攻击。
作为优选,非授权攻击主要分为非授权设备攻击和非授权协议攻击,将报文分析得到的详细信息报文长度、源/目的MAC地址、源/目的IP地址、源/目的端口、协议类型以及报文功能码与设备配置的各项白名单中的设备和协议进行匹配,若某一项不在白名单中,则检测到非授权攻击。
工业数据存储与检索模块采用读写分离,主从数据库自动同步,通过使用搜索引擎、引入缓存机制缓解数据库的压力,同时对数据进行垂直拆分和水平拆分,合理分配数据库存储内容。数据的存储与检索可使用单台或多台分布式计算服务器。
工业数据存储与检索模块主要提供数据库的存储与查询等服务。数据库服务器包括数据库以及数据库服务接口,数据库服务接口与数据处理服务器通信,可记录系统采集到的所有报文以及各条报文对应的解析结果,同时接受数据处理服务器转发的查询和编辑操作。
工业数据存储与检索模块集成了消息队列服务和接口服务。消息队列具有高性能、持久化、多副本备份、横向扩展能力。生产者往队列里写消息,消费者从队列里取消息进行业务逻辑。一般在架构设计中起到解耦、削峰、异步处理的作用。
系统配置模块对网络资产安全策略、地址安全策略、协议安全策略、指令安全策略、工艺安全策略、逻辑安全策略等的配置,根据工控系统本身的网络配置、协议指令及通信关系,以及其所控制的生产过程工艺、装置安全保障等要求进行符合性、适配性配置。
网络资产安全策略配置子模块用于配置工控系统中的网络节点物理地址、逻辑地址、位号标识以及功能作用等白名单信息;地址安全策略配置子模块用于配置“报文源/目的物理地址、逻辑地址、端口”组成配对绑定的白名单列表,“源和/或目的物理地址、逻辑地址、端口”组成配对绑定的白名单列表,“源和目的物理地址、逻辑地址、端口”组成配对绑定的白名单列表等安全策略;协议安全策略配置子模块用于配置安全报文的协议、功能码、协议与功能码绑定、通信关系白名单列表记录信息白名单等安全策略;指令安全策略配置子模块用于配置安全报文中的指令、指令时序、指令发送接收传递关系、指令上下文关系、指令与工艺参数变化关系白名单等安全策略;工艺安全策略配置子模块用于依据工控系统被控的生产工艺模型,配置安全报文中的工艺参量数值及其增加/减小变化速率,以及工艺参数变化与操作控制指令之间的因果关系、一致性关系、顺序关系白名单等安全策略;逻辑安全策略配置子模块用于配置安全报文中的测量控制指令时序逻辑、顺序逻辑、连锁逻辑,以及指令与工艺参数变化一致性关系、因果关系、顺序关系等安全白名单等安全策略。
生产工艺模型描述了生产工艺中的变化关系,可用数学表达式/逻辑表达式进行描述。
人机交互模块的功能包括集成系统中所有事件和报警信息,并对报警信息进行等级划分,提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。人机交互模块还根据系统配置模块中配置的安全规则结合采集的报文分析结果,识别显示捕获网络中所有通信中的攻击,并详细显示攻击来自那里、使用何种通信协议、攻击目标是谁,以总览大局的方式为工业控制网络攻击的及时排查、分析提供可靠依据。
本发明带来的实质性效果是,可在不影响原工控系统正常运行的前提下,实时采集控制系统网络中所有的通信数据,并对所采集的报文进行深度解析,从而实现对控制系统网络通信、生产状态等全要素的实时感知和全透明化呈现;进而基于实时状态和控制指令的全透明化监测进行安全态势感知,当发现针对工控系统的威胁或攻击时,实时预警、溯源,亦可在工控网络中采取必要的阻断等反制措施。
附图说明
图1是本发明的一种部署结构示意图。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
实施例:本实施例的一种工业网络信息安全监测与防护系统,如图1所示,包括报文采集子系统、工业信息解析子系统、数据存储子系统以及人机交互与显示子系统;
所述报文采集子系统包括:
工业网络报文无扰采集模块(采集模块),部署在被防护的工控系统(简称对象工控系统)内部或边界,用于实时采集工控系统中以广播、多播、单播形式发送的所有报文(如工控系统的组态配置上传/下载、数据块批量传输、测量控制分发、事件与报警发布和确认、设备主动声明、设备探测、系统管理、安全管理等报文,以及其他TCP/IP协议等报文)以及这些报文中所包含的发送时序逻辑,并交付给工业网络报文无扰汇聚模块或工业信息解析辨识模块;多个采集模块采集的报文可通过经过汇聚模块汇聚后,转交给工业信息解析辨识模块;
工业网络报文无扰汇聚模块(汇聚模块),部署在采集模块与解析模块之间,将两个及以上工业网络报文无扰采集模块采集的工业网络报文,在不改变采集报文的时序关系的前提下,进行存储、汇聚和转发,转交给工业信息解析辨识模块;
所述工业信息解析子系统包括:
工业信息解析辨识模块(解析模块),包括地址解析子模块、协议解析子模块、指令解析子模块、工艺解析子模块和逻辑解析子模块,地址解析子模块用于从工业网络报文无扰采集模块采集的报文中识别出报文发送的时间、起始地址和目的地址,协议解析子模块用于识别报文发送采用的协议、功能码(报文传递服务类型)和通信关系,指令解析子模块用于解析识别报文里包含的操作指令、指令发送接收传递关系、指令上下文关系以及指令操作意图,工艺解析子模块用于识别工控系统所控制的工业生产过程工况参量及其变化趋势,逻辑解析子模块用于识别操作指令之间的控制逻辑以及指令与工艺参数变化一致性关系、因果关系和顺序关系,控制逻辑包括时序逻辑、顺序逻辑、连锁逻辑等;
工业安全态势监测与分析模块(安全分析模块),包括地址安全研判子模块、协议安全研判子模块、指令安全研判子模块、工艺安全研判子模块和逻辑安全研判子模块,将工业信息解析辨识模块从报文中解析识别出来的地址、协议、指令、工艺、逻辑等信息与系统配置模块中的配置信息进行对比和安全性研判,识别报文中的异常、恶意或欺骗等指令/行为,并进行预警和/或阻断处置;
所述数据存储子系统包括工业数据存储与检索模块(存储模块),工业数据存储与检索模块存储原始采集的工业网络报文,并分类存储工业信息解析辨识模块解析识别出的生产过程工艺参数、操作指令等记录,并建立主键链接和索引目录,存储与检索相关数据;
所述人机交互与显示子系统包括:
系统配置模块(配置模块),包括网络资产安全策略配置子模块、地址安全策略配置子模块、协议安全策略配置子模块、指令安全策略配置子模块、工艺安全策略配置子模块和逻辑安全策略配置子模块,各子模块配置相应的安全策略;
人机交互模块,将工业信息解析辨识模块解析识别出的系统网络资产、网络流量流谱趋势、生产过程工艺参数变化趋势、操作指令记录等信息,以可视化工艺曲线、柱状图、饼图、图谱、报表列表、控制指令列表、报文五元组列表等的方式进行呈现。
工业网络报文无扰采集模块有两个接收与转发端口(A和B端口)和一个采集端口(C口)。其中任一接收与转发端口(A或B端口)接收到网络报文后,以极短时延通过另一个接收与转发端口(对应B或A端口)进行直接转发;同时,将该报文通过采集端口(C端口)进行直接转发或存储转发,传送交付给本系统的工业信息解析辨识模块进行解析。
工业网络报文无扰采集模块可采用串联或镜像并联两种方式部署:其中,串联部署是指本采集模块的两个端口(A和B端口)分别连接到对象工控系统中一个待采集网络连接的两端,这两个端口(A或B端口)接收到的报文以极小时延转发到另一个端口(B或A端口),同时将这两个端口接收到的报文转发到采集端口(C端口),传送交付给本系统的工业信息解析辨识模块;并联部署则是指本采集模块的任一端口(A或B端口)连接到对象工控系统的网络交换机镜像口,采集交换机镜像转发的报文,传送交付给本系统的工业信息解析辨识模块。
工业网络报文无扰采集模块的任一端口(A或B端口)接收到的报文到另一端口(B或A端口)以及C端口)的转发极小延时,可由硬件或软件实现保证,应不大于原对象系统的通信时延误差,也不应对原对象工控系统的实时性、稳定性、鲁棒性等控制性能产生影响。该模块可串联或镜像并联的方式部署在对象工控系统的边界,也可部署在对象工控系统的控制站、工程师站、操作员站或/和数据服务器的网络链路中。
工业网络报文无扰汇聚模块有2个及以上采集输入端口和一个汇聚转发端口,用于将每个采集输入端口接收到的网络报文经过存储、排序、去重、去残处理后,通过汇聚转发端口,转交给工业信息解析辨识模块。该模块依所采集的工控网络连接链路及网络流量需要进行配置:如系统只采集一路网络报文,汇聚模块则无需配置;如系统采集的网络链路有多路,则可按需配置2个及以上汇聚模块。该模块配置时,需综合每个采集接收端口的网络流量、通信速率以及汇聚转发端口的通信速率等,确保每个采集接收端口采集的报文均能通过汇聚转发端口转发出去,而无丢失。
采集模块中的数据采集器用于接入工业控制网络,采集通信报文并传送到汇聚模块中的数采汇聚器;数采汇聚器汇聚多个数据采集器的数据,通过汇聚口发送给数据处理服务器。数据采集器包含接口自适应自识别、高速透传、时钟同步、报文处理、报文队列等模块,可支持被测系统通信接口100/1000Mbps速率自适应、端口自协商,兼容铜缆和光纤接口;所采集的工控网络通信报文时具有精确时间戳,时间精度达到8ns内;串接数据采集器的端口1、2可自适应自识别、高速透传。
地址解析子模块用于解析、识别工业网络报文中的发送节点和接收节点的物理地址(如MAC地址、硬件标识地址等)、逻辑地址(如IP地址、位号地址等)、报文发送端口号、报文发送的时间戳等;协议解析子模块用于解析、识别工业网络报文传送所采用的协议类型、功能码(报文传递服务类型)及其通信关系,其中通信关系包括客户/服务器、发布者/预订者(生产者/消费者)、报告分发等;指令解析子模块用于解析、识别工业网络报文中所包含的单个或批量操作、控制指令(如读变量、变量组指令)、单个或批量操作数(所读取的变量、变量组数值)、指令发送接收传递关系和指令上下文关系及其意图等;工艺解析子模块用于解析、识别工业测量控制网络报文中所传输的工艺参量(如温度、压力、流量、开关通/断状态等)及其数值,分析其变化与变化快慢等趋势,并将之解析为生产过程中的工艺工况(如某处的温度值是多少℃,某处的压力是多少kPa,某处的流量是多少等)及其变化;逻辑解析子模块用于解析、识别工业测量控制网络报文中所传输的测量控制指令之间的时序逻辑、顺序逻辑、连锁逻辑等控制逻辑关系,以及指令与工艺参数变化一致性关系、因果关系、顺序关系等。
工业安全态势监测与分析模块的地址安全研判、协议安全研判、指令安全研判、工艺安全研判、逻辑安全研判等功能子模块,可并行运行研判,也可按顺序串行运行研判,也可以分组并行或串行运行研判。
地址安全研判子模块依据系统配置模块配置的白名单列表,与采集报文中的信息进行比对分析,符合白名单配置的为安全报文,否则为非安全报文;白名单列表包括报文源/目的物理地址-逻辑地址-端口白名单列表、物理地址-逻辑地址-端口绑定白名单列表和源/目的物理地址-逻辑地址-端口配对绑定白名单列表。
协议安全研判子模块依据系统配置模块配置的协议、功能码、协议与功能码绑定、通信关系白名单列表记录信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
指令安全研判子模块依据系统配置模块配置的指令、指令时序、指令发送接收传递关系、指令上下文关系、指令与工艺参数变化关系等白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
工艺安全研判子模块依据系统配置模块配置的工艺参量数值及其增加、减小变化速率,以及工艺参数变化与操作控制指令之间的因果关系、一致性关系、顺序关系等安全白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
逻辑安全研判子模块依据系统配置模块配置的测量控制指令时序逻辑、顺序逻辑、连锁逻辑,以及指令与工艺参数变化一致性关系、因果关系、顺序关系等安全白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
工业安全态势监测与分析模块依据地址安全研判、协议安全研判、指令安全研判、工艺安全研判、逻辑安全研判等结果,综合判断被分析的报文为正常报文,或包含异常、恶意、欺骗等指令、行为的报文,并进行预警。
解析模块通过以太网卡与数据采集模块连接,使用网卡驱动进行报文采集,并将报文送入报文解析引擎;报文解析引擎对报文进行逐条解析,并将报文解析结果通过分发器再交由安全分析模块进行相应的监测分析。各模块的主要功能如下:
报文采集模块,该模块主要功能为实时报文采集以及实时报文分析,采集所有流经本机指定网卡的报文,得到二进制原始数据;
报文解析引擎,将二进制原始数据输入到解析引擎中得到报文详细通信信息,包括报文长度、源/目的MAC地址、源/目的IP地址、源/目的端口、协议类型、报文功能码等;
报文数据总线与分发器,基于观察者模式开发的报文分发模块,各个报文分析模块通过向分发器注册报文达到监听器,当有报文详细信息到达时,分发器会将详细信息实时地将转发给各个模块进行异步分析,提高数据处理模块的运行效率;
报文统计与推送模块,统计通信报文的各项数据,包括通信总流量、设备的出/入口流量、采集器的出/入口流量等;
设备管理模块,通过将报文详细信息中的目的IP地址或MAC地址与缓存中已存在的设备地址进行匹配,若不存在,则添加新设备;
工艺参数解析模块,根据用户针对不同协议自定义的规则,对每条报文进行解析,得到工艺参数,若该条报文携带工艺参数,则将解析得到的工艺参数值存入缓存,同时将该条报文以及解析结果发送到工艺流程和操作攻击检测模块中判断该条报文对应工艺参数的合法性;
工艺操作解析模块,根据用户针对不同协议自定义的规则,对每条报文进行解析,得到操作指令,若该条报文携带工艺参数,则将该条报文以及解析结果发送到工艺流程和操作攻击检测模块中判断该条报文对应操作指令的合法性;
攻击检测模块:
(1)非授权攻击:将报文分析得到的详细信息报文长度、源/目的MAC地址、源/目的IP地址、源/目的端口、协议类型、报文功能码与设备配置的各项白名单进行匹配,若某一项不在白名单中,则检测到非授权攻击;
(2)工艺参数/操作攻击:通过解析用户配置的异常检测公式,结合工艺参数解析模块返回的解析结果(工艺参数键值对、工艺参数相关报文),判断当前系统的运行状态。不同的协议对应不同的工艺参数,配置的工艺参数异常检测公式也不同。操作指令异常检测模块通过解析用户配置的异常检测公式,结合工艺参数解析模块返回的工艺参数数据表以及操作指令解析模块回调的操作指令,判断当前控制指令合法性;
(3)DOS/DDOS:通过分析报文中的连接请求以及连接请求之间的时间间隔来判断是否构成DOS/DDOS攻击。
同时工业信息解析辨识模块集成了缓存模块,用于历史数据缓存,为工艺数据和指令的相关性检测提供信息查询;消息队列模块,用于实现与数据库服务子系统以及客户端应用系统之间的通信接口;数据存储与检索,实现数据检索和排队功能,作为客户端应用系统与数据库服务器之间的接口通道。
解析的指令发送接收传递关系包括指令发送接收的请求和响应关系以及数据块和程序块的分包批量传输关系;解析的指令上下文关系包括同一指令传递的操作数据变化及其快慢情况;解析的指令操作意图是指指令在生产过程中的操作控制动作映射,如打开/闭合开关、打开/关闭某阀门,或将某阀门打开到百分之几的开度等。
指令与工艺参数变化一致性关系、因果关系和顺序关系是指生产过程中某一个或若干个工况参量的变化是由某一操作控制指令发出导致,如某锅炉的加热功率加大指令发出后,锅炉内工质的温度才会提升,等;指令与工艺参数变化一致性关系、因果关系和顺序关系是生产过程的变量、工艺阐述,是根据生产过程中发生的变量变化而关联变化的。按照生产工艺模型,一个变量的变大/变小,是随着另一个变量的变大/变小而变化的,该变量的变大/变小,会影响其它多个变量的变化/变小。
所述的异常、恶意或欺骗指令/行为,是指促使某个或者多个的参数超过安全生产的阈值,或者执行某种操作而改装关键开关阀门的状态,或造成显示数据伪装,从而达到造成破坏或者毁伤效果的攻击行为,包括非授权攻击、工艺参数/操作攻击和DOS/DDOS攻击。
工艺参数/操作攻击,是通过解析系统配置的异常检测公式,结合工艺参数解析模块返回的解析结果(工艺参数键值对、工艺参数相关报文),判断当前系统的运行状态。不同的协议对应不同的工艺参数,配置的工艺参数异常检测公式也不同。操作指令异常检测模块通过解析系统配置的异常检测公式,结合工艺参数解析模块返回的工艺参数数据表以及操作指令解析模块回调的操作指令,判断当前控制指令合法性。DOS/DDOS攻击是通过分析报文中的连接请求以及连接请求之间的时间间隔来判断是否构成DOS/DDOS攻击。
非授权攻击主要分为非授权设备攻击和非授权协议攻击,将报文分析得到的详细信息报文长度、源/目的MAC地址、源/目的IP地址、源/目的端口、协议类型以及报文功能码与设备配置的各项白名单中的设备和协议进行匹配,若某一项不在白名单中,则检测到非授权攻击。
工业数据存储与检索模块采用读写分离,主从数据库自动同步,通过使用搜索引擎、引入缓存机制缓解数据库的压力,同时对数据进行垂直拆分和水平拆分,合理分配数据库存储内容。数据的存储与检索可使用单台或多台分布式计算服务器。
工业数据存储与检索模块主要提供数据库的存储与查询等服务。数据库服务器包括数据库以及数据库服务接口,数据库服务接口与数据处理服务器通信,可记录系统采集到的所有报文以及各条报文对应的解析结果,同时接受数据处理服务器转发的查询和编辑操作。
工业数据存储与检索模块集成了消息队列服务和接口服务。消息队列具有高性能、持久化、多副本备份、横向扩展能力。生产者往队列里写消息,消费者从队列里取消息进行业务逻辑。一般在架构设计中起到解耦、削峰、异步处理的作用。
系统配置模块对网络资产安全策略、地址安全策略、协议安全策略、指令安全策略、工艺安全策略、逻辑安全策略等的配置,根据工控系统本身的网络配置、协议指令及通信关系,以及其所控制的生产过程工艺、装置安全保障等要求进行符合性、适配性配置。
网络资产安全策略配置子模块用于配置工控系统中的网络节点物理地址、逻辑地址、位号标识以及功能作用等白名单信息;地址安全策略配置子模块用于配置报文源/目的物理地址、逻辑地址、端口白名单列表,源和/或目的物理地址、逻辑地址、端口绑定白名单列表,源和目的物理地址、逻辑地址、端口配对绑定白名单列表等安全策略;协议安全策略配置子模块用于配置安全报文的协议、功能码、协议与功能码绑定、通信关系白名单列表记录信息白名单等安全策略;指令安全策略配置子模块用于配置安全报文中的指令、指令时序、指令发送接收传递关系、指令上下文关系、指令与工艺参数变化关系白名单等安全策略;工艺安全策略配置子模块用于依据工控系统被控的生产工艺模型,配置安全报文中的工艺参量数值及其增加、减小变化速率,以及工艺参数变化与操作控制指令之间的因果关系、一致性关系、顺序关系白名单等安全策略;逻辑安全策略配置子模块用于配置安全报文中的测量控制指令时序逻辑、顺序逻辑、连锁逻辑,以及指令与工艺参数变化一致性关系、因果关系、顺序关系等安全白名单等安全策略。
生产工艺模型描述了生产工艺中的变化关系,可用数学表达式/逻辑表达式进行描述。
人机交互模块的功能包括集成系统中所有事件和报警信息,并对报警信息进行等级划分,提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。人机交互模块还根据系统配置模块中配置的安全规则结合采集的报文分析结果,识别显示捕获网络中所有通信中的攻击,并详细显示攻击来自那里、使用何种通信协议、攻击目标是谁,以总览大局的方式为工业控制网络攻击的及时排查、分析提供可靠依据。
工业网络信息安全监测与防护系统的安全监测方式为:
在系统上电后,首先报文采集子系统开始实施采集被测工控系统网络中的所有通信报文并为报文添加精确时间戳,针对多个同时采集的情况,则试用汇聚模块进行汇聚,上传至工业信息解析子系统进行报文解析与安全分析。
工业信息解析子系统通过以太网卡与工业网络报文无扰采集模块连接,实用网卡驱动进行报文采集,利用报文解析模块对报文进行逐条解析,根据报文内容解析出其发送源、协议类型、通信端口、目的地址、请求操作指令以及可能携带的工艺参数状态或工艺操作指令。
每条报文解析成功后,工业信息解析子系统中的资产管理模块将提取报文中解析出的报文源地址,在设备库中进行资产检索。若设备库中未检测到当前地址,则根据设备资产识别规则对当前地址进行有效性检测,若设备地址有效性校验通过,则根据当前地址信息进行资产添加。同时在设备库中建立索引,为该地址建立设备映射关系,提高后续网络安全监测的可观测性。
工业信息解析子系统中的报文解析模块根据报文解析出的目的地址判别接收设备,通过映射关系向设备信息安全规则库请求该设备的合法通信规则,比对判断该报文是否为合法报文。若监测接收到不合法报文,即根据报文源地址确定疑似攻击设备,启动攻击报警。
若报文中解析出关键工艺参数,则对工艺参数的数值进行检测并记录。系统将判断当前状态是否符合设备信息安全规则库中的设定阈值并通过安全规则库中的异常检测公式其进行关联性检测,分析其安全性。若检测结果为不安全,启动攻击报警。
若报文中解析出工艺操作指令,则自动将检测出的操作指令与实际动作进行映射,映射成功后读取当前工艺环境状态,判断在其条件下实时操作对应的控制行为是否影响控制系统安全,若判断结果为不安全,启动攻击报警。
监测到疑似攻击后,记录攻击源信息、攻击时间、攻击目标,并提取攻击类型、行为特征,生成攻击警告,推送至可视化监控平台,同时将攻击报文原始信息和解析攻击详情推送至数据服务子系统进行存储。
数据存储子系统将工业信息解析辨识模块解析的结果以及原始报文信息进行存储,并提供数据接口
每条报文处理完成之后,人机交互与显示子系统将对报文检测状态进行实时统计,并推送至可视化监控平台。根据统计信息生成可视化报表,方便进行网络状态观测及安全审查。
系统实际部署有三种模式,如图1所示,可以是镜像并联部署、串联部署和镜像并联+串联联合部署:
(1)镜像并联部署:报文采集模块部署连接在控制系统网络核心交换机或交换机的镜像数据口上,相当于与交换机并联起来。
镜像并联部署的特点:对被监测系统影响最小,部署时无需中断原系统运行;报文采集模块故障不影响被监测系统运行;可执行安全监测,无法进行攻击阻断;无法精确获取每个控制器的状态;适用于无法改动又需要进行态势感知和预警的系统。
(2)串联部署:报文采集模块直接部署在控制器与交换机、主机与交换机之间的线路上,相当于将报文采集模块串联在线路中。
串联部署的特点:串联报文采集模块时需断开控制器,部署时会短暂影响系统运行;若报文采集模块故障,会影响控制器通信与运行;可执行安全监测,也可实现安全阻断;可全面、精准地获取每个控制器的通信报文和运行状态;适用于对信息安全性要求高、易遭受网络攻击的控制系统。
(3)镜像并联+串联联合部署:将镜像并联部署和串联部署结合起来,一同部署在对象系统中。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了报文采集、解析、安全分析等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
Claims (10)
1.一种工业网络信息安全监测与防护系统,其特征在于,包括报文采集子系统、工业信息解析子系统、数据存储子系统以及人机交互与显示子系统;
所述报文采集子系统包括:
工业网络报文无扰采集模块,部署在被防护的工控系统内部或边界,用于实时采集工控系统中发送的所有报文以及这些报文中所包含的发送时序逻辑,并交付给工业网络报文无扰汇聚模块或工业信息解析辨识模块;
工业网络报文无扰汇聚模块,部署在采集模块与解析模块之间,将两个及以上工业网络报文无扰采集模块采集的工业网络报文,在不改变采集报文的时序关系的前提下,进行存储、汇聚和转发,转交给工业信息解析辨识模块;
所述工业信息解析子系统包括:
工业信息解析辨识模块,包括地址解析子模块、协议解析子模块、指令解析子模块、工艺解析子模块和逻辑解析子模块,地址解析子模块用于从工业网络报文无扰采集模块采集的报文中识别出报文发送的时间、起始地址和目的地址,协议解析子模块用于识别报文发送采用的协议、功能码和通信关系,指令解析子模块用于解析识别报文里包含的操作指令、指令发送接收传递关系、指令上下文关系以及指令操作意图,工艺解析子模块用于识别工控系统所控制的工业生产过程工况参量及其变化趋势,逻辑解析子模块用于识别操作指令之间的控制逻辑以及指令与工艺参数变化一致性关系、因果关系和顺序关系;
工业安全态势监测与分析模块,包括地址安全研判子模块、协议安全研判子模块、指令安全研判子模块、工艺安全研判子模块和逻辑安全研判子模块,将工业信息解析辨识模块从报文中解析识别出来的信息与系统配置模块中的配置信息进行对比和安全性研判,识别报文中的异常、恶意或欺骗指令/行为,并进行预警和/或阻断处置;
所述数据存储子系统包括工业数据存储与检索模块,工业数据存储与检索模块存储原始采集的工业网络报文,并分类存储工业信息解析辨识模块解析识别出的记录,并建立主键链接和索引目录,存储与检索相关数据;
所述人机交互与显示子系统包括:
系统配置模块,包括网络资产安全策略配置子模块、地址安全策略配置子模块、协议安全策略配置子模块、指令安全策略配置子模块、工艺安全策略配置子模块和逻辑安全策略配置子模块,各子模块配置相应的安全策略;
人机交互模块,将工业信息解析辨识模块解析识别出的信息,以可视化的方式进行呈现。
2.根据权利要求1所述的一种工业网络信息安全监测与防护系统,其特征在于,地址安全研判子模块依据系统配置模块配置的白名单列表,与采集报文中的信息进行比对分析,符合白名单配置的为安全报文,否则为非安全报文;白名单列表包括“源/目的物理地址-逻辑地址-端口”字段组成配对绑定的白名单列表、“物理地址-逻辑地址-端口” 字段组成配对绑定的白名单列表和“源/目的物理地址-逻辑地址-端口” 字段组成配对绑定白名单列表。
3.根据权利要求1所述的一种工业网络信息安全监测与防护系统,其特征在于,协议安全研判子模块依据系统配置模块配置的“协议、功能码、协议与功能码”字段组成配对绑定通信关系白名单列表记录信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
4.根据权利要求1所述的一种工业网络信息安全监测与防护系统,其特征在于,指令安全研判子模块依据系统配置模块配置的“指令、指令时序、指令发送接收传递关系、指令上下文关系、指令与工艺参数变化关系”字段组成配对绑定白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
5.根据权利要求1所述的一种工业网络信息安全监测与防护系统,其特征在于,工艺安全研判子模块依据系统配置模块配置的工艺参量数值及其增加/减小变化速率,以及“工艺参数变化与操作控制指令之间的因果关系、一致性关系、顺序关系” 字段组成配对绑定的安全白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
6.根据权利要求1所述的一种工业网络信息安全监测与防护系统,其特征在于,逻辑安全研判子模块依据系统配置模块配置的“测量控制指令时序逻辑、顺序逻辑和连锁逻辑,以及指令与工艺参数变化一致性关系、因果关系和顺序关系”组成配对绑定的安全白名单列表信息,与采集报文中的相应信息进行比对分析,符合白名单配置的则为安全报文,否则为非安全报文。
7.根据权利要求1-6中任意一项所述的一种工业网络信息安全监测与防护系统,其特征在于,解析的指令发送接收传递关系包括指令发送接收的请求和响应关系以及数据块和程序块的分包批量传输关系;解析的指令上下文关系包括同一指令传递的操作数据变化及其快慢情况;解析的指令操作意图是指指令在生产过程中的操作控制动作映射。
8.根据权利要求7所述的一种工业网络信息安全监测与防护系统,其特征在于,指令与工艺参数变化一致性关系、因果关系和顺序关系是指生产过程中某一个或若干个工况参量的变化是由某一操作控制指令发出导致;指令与工艺参数变化一致性关系、因果关系和顺序关系是生产过程的变量、工艺阐述,是根据生产过程中发生的变量变化而关联变化的。
9.根据权利要求1所述的一种工业网络信息安全监测与防护系统,其特征在于,所述的异常、恶意或欺骗指令/行为,是指促使某个或者多个的参数超过安全生产的阈值,或者执行某种操作而改装关键开关阀门的状态,或造成显示数据伪装,从而达到造成破坏或者毁伤效果的攻击行为,包括非授权攻击、工艺参数/操作攻击和DOS/DDOS攻击。
10.根据权利要求9所述的一种工业网络信息安全监测与防护系统,其特征在于,非授权攻击主要分为非授权设备攻击和非授权协议攻击,将报文分析得到的详细信息报文长度、源/目的MAC地址、源/目的IP地址、源/目的端口、协议类型以及报文功能码与设备配置的各项白名单中的设备和协议进行匹配,若某一项不在白名单中,则检测到非授权攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210136963.9A CN114567463B (zh) | 2022-02-15 | 2022-02-15 | 一种工业网络信息安全监测与防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210136963.9A CN114567463B (zh) | 2022-02-15 | 2022-02-15 | 一种工业网络信息安全监测与防护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114567463A true CN114567463A (zh) | 2022-05-31 |
CN114567463B CN114567463B (zh) | 2024-04-02 |
Family
ID=81713140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210136963.9A Active CN114567463B (zh) | 2022-02-15 | 2022-02-15 | 一种工业网络信息安全监测与防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114567463B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
CN115499332A (zh) * | 2022-09-13 | 2022-12-20 | 科东(广州)软件科技有限公司 | 网络报文的监测方法、装置、设备及介质 |
CN115801447A (zh) * | 2023-01-09 | 2023-03-14 | 北京安帝科技有限公司 | 基于工业安全的流量解析方法、装置与电子设备 |
CN116488947A (zh) * | 2023-06-21 | 2023-07-25 | 北京锐服信科技有限公司 | 一种安全要素的治理方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
US20200103865A1 (en) * | 2018-09-28 | 2020-04-02 | Rockwell Automation Technologies, Inc. | Industrial automation network evaluation system and method |
-
2022
- 2022-02-15 CN CN202210136963.9A patent/CN114567463B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
US20200103865A1 (en) * | 2018-09-28 | 2020-04-02 | Rockwell Automation Technologies, Inc. | Industrial automation network evaluation system and method |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
Non-Patent Citations (1)
Title |
---|
李明维;张传远;杨夏;齐永忠;: "基于协议解析的工控安全威胁监测", 电气时代, no. 12, 10 December 2018 (2018-12-10) * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
CN115277244B (zh) * | 2022-08-05 | 2023-07-25 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
CN115499332A (zh) * | 2022-09-13 | 2022-12-20 | 科东(广州)软件科技有限公司 | 网络报文的监测方法、装置、设备及介质 |
CN115499332B (zh) * | 2022-09-13 | 2023-12-15 | 科东(广州)软件科技有限公司 | 网络报文的监测方法、装置、设备及介质 |
CN115801447A (zh) * | 2023-01-09 | 2023-03-14 | 北京安帝科技有限公司 | 基于工业安全的流量解析方法、装置与电子设备 |
CN115801447B (zh) * | 2023-01-09 | 2023-04-21 | 北京安帝科技有限公司 | 基于工业安全的流量解析方法、装置与电子设备 |
CN116488947A (zh) * | 2023-06-21 | 2023-07-25 | 北京锐服信科技有限公司 | 一种安全要素的治理方法 |
CN116488947B (zh) * | 2023-06-21 | 2023-09-26 | 北京锐服信科技有限公司 | 一种安全要素的治理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114567463B (zh) | 2024-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114567463B (zh) | 一种工业网络信息安全监测与防护系统 | |
Pliatsios et al. | A survey on SCADA systems: secure protocols, incidents, threats and tactics | |
Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
CN109739203B (zh) | 一种工业网络边界防护系统 | |
Perdisci et al. | Alarm clustering for intrusion detection systems in computer networks | |
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
CN112822151A (zh) | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 | |
CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
Wurzenberger et al. | AECID: A Self-learning Anomaly Detection Approach based on Light-weight Log Parser Models. | |
CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN115865526A (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
KR102414334B1 (ko) | 자율협력주행 도로인프라 위협탐지 방법 및 장치 | |
Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN117220994A (zh) | 一种基于网络安全服务的数据处理方法及系统 | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
CN116232770A (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |