1 工业控制系统安全的问题与挑战
工业控制系统如SCADA系统、DCS系统和PLC等目前已广泛应用于工业、能源、交通、水利以及市政等国家关键基础设施领域,是工业自动化的核心中枢神经。
近年来,随着工业化和信息化融合的深度和广度不断加强,工业信息化的程度不断加大,工业设备与互联网的互联互通面积就不断增大,互联网的恶意攻击也就随之而来。
2010年第一款针对工控系统的病毒——震网病毒出现;
2013年的斯诺登事件把网络安全上升到了国家安全的高度;
2015年底乌克兰电网遭受攻击,导致数百万人在黑暗中渡过圣诞节。
2016年以来接连发生了以色列电力系统被入侵、俄罗斯黑客公开发布“SCADA Pass”工控软硬件设备默认密码清单等一系列工控安全事件,工控安全警钟已经敲响。
针对来自外部的网络攻击、移动介质摆渡攻击以及系统内部人员可能的误操作、违规操作或恶意破坏性操作等安全风险,很有必要对工控网络的访问行为、协议内容、操作指令等进行监控与审计,对高风险和异常行为进行识别和告警。
2 工控网络异常感知系统中应用的异常检测技术
工控网络异常感知系统作为一种安全预警产品,能够在安全事件发生之前,对网络中的异常行为、异常流量、恶意代码、错误参数与指令进行预警,从而避免安全事件的发生,将工控系统的安全风险降到最低。
工控网络异常感知系统以时间、空间和特征为基础,对网络流量和网络行为进行多维度、细粒度的分析,通过工业视图和网络拓扑视图相结合的双视图监控机制(如图1所示),可同时对工业过程情况和网络通讯指令及行为进行监控,呈现工控系统流量和行为,实现网络连接拓扑结构和网络运行状况的可视化,并进行对比分析,为对不符合业务流程的行为进行检测及APT攻击研判提供有力支撑。
图1 双视图监控
2.1 网络行为异常检测技术
工控网络异常感知系统以工控系统设备资产为基础,以基于工业控制系统深度分析技术为核心,智能学习网络业务行为,自动为网络合规业务行为安全建模,实现对网络行为和业务操作的合规检测,从而从合规的角度保证客户网络的业务安全。
对可疑网络行为进行实时监控,全量存储,多层次、多角度的关联分析和比对分析,以发现违规行为,挖掘安全威胁源头。如违规的私自接入和外联、违规的内网非法连接、攻击产生的虚假IP发现、可疑主机发现和异常的网络流量发现等。
(1)工控资产设备异常检测技术
主动和被动相结合的设备精准识别和拓扑自动发现技术,对工控资产及网络进行实时监控,并建立IP资产基线。系统可对非法设备的接入及时发现并报警。
同时,通过异常行为分析技术,进一步核对资产设备的IP地址网络信息、活跃状态、协议流量分布、应用信息、会话信息等信息。
(2)工控系统网络秩序异常检测技术
通过灵活的黑白灰策略配置和自学习技术,系统可智能梳理业务系统各个资产间的访问关系,自动生成业务访问拓扑图,形成业务访问行为关系基线。
能够从业务行为的关系、方向、频率、时间不同维度,来分析判断业务访问行为是否异常。通过采用黑、白、灰名单机制,判定某个流行为是否合规。
(3)网络端口通信异常检测技术
当报文采集单元的某个有流量的网络端口在指定时间内没有收到任何流量,系统能够对网络端口通信超时(中断)进行预警。
(4)基于协议深度识别的网络行为分析技术
系统可以对工控协议进行深度内容解析和识别,对协议中的工控指令和用户行为进行细粒度抽取,与业务和工艺过程进行关联,并进行对比分析,从而有效支撑对不符合业务流程的行为进行检测。
2.2 网络流量异常检测技术
工控网络异常感知系统提供网络流量异常检测功能,可以按照特定场景的连接频次变化、上下行流量变化,动态分析出当前时刻网络流量的正常运行态势。
通过与实时流量进行对比,判断出当前流量的走势是否异常。通过图形化的流量实时运行曲线,实现工控系统实时流量与异常流量的可视化。
(1)网络线路流量与速率异常检测技术
基于时间,按照同比和环比,系统可对网络流量的速率进行统计分析、查看、预警,并统计线路的总计流量、最大速率、平均速率、最大利用率和平均利用率。
(2)网络资产设备流量与速率异常检测技术
基于地址和端口,按照历史流量基线,系统可对网络流量统计分析、查看、预警,并统计资产设备的总计流量、最大速率、平均速率、最大利用率和平均利用率。
(3)网络协议流量与速率异常检测技术
基于应用层、传输层、网络层协议对上下行流量进行分析、查看、预警,系统能够统计协议的总流量、总数据包个数、上下行流量、数据包及其占比。如应用层的GOOSE、MMS、SSH、HTTPS等,传输层的TCP和UDP,网络层的IP、ICMP等。
系统能够对告警和各种可视化图标中信息进行下钻,对流量进行追溯,直至对原始pcap报文下载进行人工分析,为事后取证、责任落实提供依据。同时,通过流行为和安全事件进行交叉关联分析技术,系统可发现更深层次的入侵和违规,并精细化事件优先级。
2.3 网络恶意代码检测技术
工控网络异常感知系统能够对病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等含有恶意代码的攻击行为进行安全检测,恶意代码特征库中包含3000多条恶意代码特征条目,能够精准地发现电力工控系统中出现的恶意代码攻击行为。
系统能够针对工业控制系统PLC、DCS等控制设备漏洞攻击行为进行识别和预警;能够对工业控制系统中的HMI、SCADA应用软件漏洞攻击行为进行识别和预警。
系统能够对工业控制系统中常用的工控协议,如Modbus、OPC、IEC、PROFINET等工控协议的漏洞攻击行为进行识别和预警。
2.4 工控报文异常检测技术
工控通信网络报文已经成为智能设备间信息交互和共享的主要方式,网络报文的发送端、接收端及通信网络异常或故障均可能导致电力系统重大事故。
因此需要将网络报文进行有效监视、解析,还原为对工控系统动作行为,监视工控系统的网络系统的健康状态、分析和预警网络安全故障,提前发现通信网络的薄弱环节和故障设备,预防电力系统事故的发生,保障电力工控系统的安全可靠运行。
(1)工控协议的DPI深度解析技术
系统通过DPI深度解析技术可对Modbus、OPC、IEC104、IEC61850等工业通信协议进行解析。
(2)工控网络报文异常检测技术
系统通过对网络报文序列异常与内容异常检测,分析电力工控系统网络与功能的异常预警。
(3)工控系统配置与网络行为检测技术
工控系统设备根据自身的配置发送数据,工控网络异常感知系统一旦检测到设备网络行为与配置不一致,便进行预警。
2.5 工控系统安全建模技术
工控网络异常感知系统自动学习工控系统的业务行为,包括网络秩序、流量大小、资产设备、工控指令与参数,建立工控系统所在环境的白名单安全模型,一旦出现非白名单的行为与内容,进行安全预警。
(1)行为列表建模
对关键路径、关键资源的业务访问链路、协议、流量、时间等进行实时监控,具备行为列表功能,可按有连接无数据、广播包、行为的合规状态等特殊条件对列表内容进行筛选,可在访问行为的基础上制定检测策略,可对访问行为进行源目的IP、源目的端口和协议等字段进行聚类分析。
(2)行为拓扑建模
对关键路径、关键资源的业务访问链路、协议、流量、时间等进行实时拓扑展示,拓扑节点可以下钻,拓扑节点和拓扑连线可以表示网络流量和流速的大小,可以按IP地址、合规状态、流量和流速等条件进行交互式地查询过滤。
(3)资产分析建模
对资产会话数量、资产总体数量、新发现资产告警、资产活跃情况、资产告警和分布进行总体分析。
(4)业务分析建模
以业务系统为维度,可自定义需要关注的应用,进行可视化拓扑展现,支持流量、流速和访问关系的呈现。
3 工控网络异常感知系统客户价值
3.1 及时发现网络攻击,减少系统停机时间
工控网络异常感知系统能够实时检测出针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,帮助客户及时采取应对措施,减少系统停车时间。
3.2 为安全事故的调查,提供详实的数据支持
工控网络异常感知系统能够详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,并且提供了简便易用的回溯功能,为工业控制系统的安全事故调查提供了坚实的基础和手段,改变以往工业控制系统出了安全事故无法取证、调查无从下手的被动局面。
3.3 通过网络通信可视化,提高工控网络运维效率
工控网络异常感知系统通过将工控网络的通信行为可视化,并提供友好的用户界面,人性化的统计报表,极大地提高了企业工控网络管理的效率,使企业工控网络管理简单易行,从而降低工控网络的运维成本。
4 结束语
工控网络异常感知系统采用网络拓扑和工业过程监控的双视图监控,能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意攻击并给出实时报警。
同时详实、准确记录工业控制网络中发生的各种行为和操作,为事后分析、问题查找和事故追责等提供记录和依据。工控网络异常感知系统是专门针对工业控制网络的信息安全监控与异常检测系统,可应用于电力、石油石化、精密制造、轨道交通等多个行业。
声明:本文来自工控专家,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
