面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法與系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法與系統(tǒng)�����,該方法包括安全數(shù)據(jù)采集與異常檢測(cè)兩部分���。安全數(shù)據(jù)采集基于彈性采集策略采集工業(yè)控制網(wǎng)絡(luò)中多層次��、多種類的安全數(shù)據(jù)���,并形成統(tǒng)一格式的安全報(bào)文。異常檢測(cè)對(duì)安全報(bào)文進(jìn)行分析��,通過配置基線檢測(cè)發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中資產(chǎn)配置異常�����,通過控制操作一致性檢測(cè)發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中的操作行為異常。本發(fā)明面向工業(yè)控制網(wǎng)絡(luò)�����,能夠在保障工業(yè)控制網(wǎng)絡(luò)可用性和可靠性的基礎(chǔ)上����,提升工業(yè)控制網(wǎng)絡(luò)抵抗APT攻擊的能力。
【專利說明】
面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法與系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域�,更為具體地,涉及一種面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法與系統(tǒng)�。
【背景技術(shù)】
[0002]在工業(yè)4.0的背景下,大量的IT網(wǎng)絡(luò)技術(shù)被引入工業(yè)控制網(wǎng)絡(luò)中�����,工業(yè)控制網(wǎng)絡(luò)之前獨(dú)立封閉的局面被逐漸打破��。2010年的震網(wǎng)事件使得工業(yè)控制網(wǎng)絡(luò)的安全問題得到了廣泛地關(guān)注��,各個(gè)國(guó)家都展開了針對(duì)工業(yè)控制網(wǎng)絡(luò)安全的研究�����。但是��,工業(yè)控制網(wǎng)絡(luò)強(qiáng)調(diào)可用性和可靠性的特點(diǎn)決定了傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法直接部署在工業(yè)控制網(wǎng)絡(luò)中�,而且傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備也無法應(yīng)對(duì)以震網(wǎng)和BlackEnergy為首的APT攻擊的威脅。多維度的安全數(shù)據(jù)采集和異常行為檢測(cè)技術(shù)為解決工業(yè)控制網(wǎng)絡(luò)的安全問題提供了新的思路����。
[0003]目前針對(duì)安全數(shù)據(jù)采集的專利是201310572103.0,該專利采用主動(dòng)�����、被動(dòng)�、數(shù)據(jù)流量等多種方式實(shí)現(xiàn)了對(duì)各類數(shù)據(jù)的全面采集,但是該專利沒有考慮工業(yè)控制網(wǎng)絡(luò)強(qiáng)調(diào)可用性和可靠性的特點(diǎn)����;針對(duì)異常檢測(cè)的專利是201410828107.5,該專利首先建立通信模型并生成通信規(guī)則集����,隨后將捕獲到的數(shù)據(jù)報(bào)與通信規(guī)則集進(jìn)行比對(duì)以判斷是否存在異常,但是該專利的通信模型需要在安裝調(diào)試階段或者尚未發(fā)生攻擊階段進(jìn)行學(xué)習(xí)�����。
[0004]綜上所述,現(xiàn)有的針對(duì)工業(yè)控制網(wǎng)絡(luò)的安全解決方案普遍存四方面問題:(I)安全數(shù)據(jù)采集范圍有限一部分方案基于防火墻�、IDS等安全設(shè)備所產(chǎn)生的數(shù)據(jù)進(jìn)行分析,但是安全設(shè)備部署在控制層之上��,無法獲得現(xiàn)場(chǎng)控制設(shè)備的真實(shí)狀態(tài)���;(2)安全數(shù)據(jù)采集沒有充分考慮工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)一部分方案僅考慮了如何改善工業(yè)控制網(wǎng)絡(luò)的安全性��,卻忽視了方案的實(shí)施將對(duì)工業(yè)控制網(wǎng)絡(luò)的可用性和可靠性造成的負(fù)面影響,從而嚴(yán)重制約了安全方案的實(shí)施與推廣���;(3)異常檢測(cè)需要前置條件一部分方案的前提是要在無任何異常的環(huán)境中建立模型或規(guī)則����;(4)異常檢測(cè)無法應(yīng)對(duì)APT攻擊一部分方案將檢測(cè)范圍限定在某幾類設(shè)備或某幾條網(wǎng)絡(luò)路徑上�,孤立數(shù)據(jù)點(diǎn)的檢測(cè)無法及時(shí)發(fā)現(xiàn)APT攻擊����。
[0005]通過以上分析,可根據(jù)工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)優(yōu)化安全數(shù)據(jù)采集方法��,實(shí)現(xiàn)多層次���、多類型的安全數(shù)據(jù)采集��,并在不同層次�、不同類型的安全數(shù)據(jù)之間建立關(guān)聯(lián)關(guān)系以發(fā)現(xiàn)針對(duì)工業(yè)控制網(wǎng)絡(luò)的APT攻擊����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供一種面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法與系統(tǒng)�����,保障工業(yè)控制網(wǎng)絡(luò)可用性和可靠性的同時(shí)實(shí)現(xiàn)基于彈性策略的多層次、多種類安全數(shù)據(jù)的采集���,并利用配置基線檢測(cè)和控制操作一致性檢測(cè)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中存在的異常��。
[0007]—方面����,本發(fā)明提供了一種面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法,該方法包括:
[0008]I)所述安全數(shù)據(jù)采集方法為�����,安全數(shù)據(jù)采集以工業(yè)控制網(wǎng)絡(luò)中的資產(chǎn)為采集目標(biāo)����,基于彈性數(shù)據(jù)采集策略進(jìn)行多層次數(shù)據(jù)采集和多種類數(shù)據(jù)采集,并生成JSON格式的安全報(bào)文�����,安全報(bào)文被儲(chǔ)存在分布式數(shù)據(jù)庫(kù)中;
[0009]a)所述彈性數(shù)據(jù)采集策略��,將依據(jù)資產(chǎn)的功能、用途及安全等級(jí)確定初始的數(shù)據(jù)種類和采集頻率����,并根據(jù)被采集對(duì)象的運(yùn)行負(fù)荷以及當(dāng)前網(wǎng)絡(luò)的擁塞狀況動(dòng)態(tài)調(diào)整數(shù)據(jù)采集策略:如果被采集對(duì)象的運(yùn)行負(fù)荷超過閾值,或者當(dāng)前網(wǎng)絡(luò)持續(xù)擁塞��,則減少采集的數(shù)據(jù)種類并降低數(shù)據(jù)采集頻率,以優(yōu)先保證工業(yè)控制網(wǎng)絡(luò)的可用性�����;
[0010]b)所述多層次數(shù)據(jù)采集��,將從控制子網(wǎng)(包括PLC�����、DCS、交換機(jī)��、防火墻)���、監(jiān)管子網(wǎng)(包括上位機(jī)�、歷史庫(kù)服務(wù)器���、實(shí)時(shí)庫(kù)服務(wù)器、交換機(jī)���、防火墻、單向網(wǎng)閘)和業(yè)務(wù)子網(wǎng)(包括Web服務(wù)器�����、郵件服務(wù)器、ERP系統(tǒng)服務(wù)器���、OA系統(tǒng)服務(wù)器、交換機(jī)����、防火墻��、IDS/IPS)采集數(shù)據(jù)�;
[0011]c)所述多種類數(shù)據(jù)采集,包括針對(duì)主機(jī)類設(shè)備的多類型數(shù)據(jù)采集�、針對(duì)網(wǎng)絡(luò)類設(shè)備的多類型數(shù)據(jù)采集以及針對(duì)控制類設(shè)備的多類型數(shù)據(jù)采集;
[0012]1.所述針對(duì)主機(jī)類設(shè)備的多類型數(shù)據(jù)采集�����,將采集資產(chǎn)的硬件型號(hào)信息、IP地址/MAC地址信息�、操作系統(tǒng)版本信息�、安裝的系統(tǒng)補(bǔ)丁信息���、安裝的應(yīng)用軟件信息����、應(yīng)用的配置信息�、系統(tǒng)運(yùn)行的進(jìn)程信息��、系統(tǒng)開放的端口與服務(wù)信息���、用戶賬號(hào)信息����、用戶登錄信息��、關(guān)鍵文件變更信息�����、接入的USB設(shè)備信息、資源使用率信息和非法外聯(lián)信息�����;
[0013]i1.所述針對(duì)網(wǎng)絡(luò)類設(shè)備的多類型數(shù)據(jù)采集�,將采集資產(chǎn)的硬件型號(hào)信息、設(shè)備配置信息����、運(yùn)行狀態(tài)信息和網(wǎng)絡(luò)流量鏡像數(shù)據(jù);
[0014]ii1.所述針對(duì)控制類設(shè)備的多類型數(shù)據(jù)采集����,將采集資產(chǎn)的硬件型號(hào)信息、設(shè)備組態(tài)信息和I/O點(diǎn)數(shù)據(jù)變化信息����;
[0015]2)所述異常檢測(cè)方法為��,針對(duì)安全報(bào)文進(jìn)行資產(chǎn)配置基線檢測(cè)和控制操作一致性檢測(cè)�,并實(shí)時(shí)輸出異常檢測(cè)結(jié)果����;
[0016]a)所述資產(chǎn)配置基線檢測(cè),根據(jù)法律�����、法規(guī)及相關(guān)行業(yè)標(biāo)準(zhǔn)建立資產(chǎn)配置基線����,并將安全報(bào)文中記錄的配置信息與配置基線進(jìn)行實(shí)時(shí)比對(duì),如果當(dāng)前資產(chǎn)的配置信息不滿足配置基線的要求����,則觸發(fā)配置異常報(bào)警;
[0017]b)所述控制操作一致性檢測(cè)����,針對(duì)關(guān)鍵操作命令在控制子網(wǎng)安全報(bào)文、監(jiān)管子網(wǎng)安全報(bào)文和業(yè)務(wù)子網(wǎng)安全報(bào)文之間建立關(guān)聯(lián)關(guān)系,并檢測(cè)被關(guān)聯(lián)報(bào)文中操作數(shù)據(jù)的一致性��,如果操作數(shù)據(jù)存在不一致��,則觸發(fā)操作異常報(bào)警��。
[0018]另一方面���,本發(fā)明提供了一種面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)系統(tǒng)����,該系統(tǒng)包括安全數(shù)據(jù)采集子系統(tǒng)����、安全數(shù)據(jù)分布式存儲(chǔ)子系統(tǒng)、異常檢測(cè)子系統(tǒng)和管理子系統(tǒng)��。
[0019]I)所述安全數(shù)據(jù)采集子系統(tǒng)�,包括主機(jī)設(shè)備數(shù)據(jù)采集模塊��、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)采集模塊���、控制設(shè)備數(shù)據(jù)采集模塊和彈性采集策略模塊�����,其中主機(jī)設(shè)備數(shù)據(jù)采集模塊��、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)采集模塊和控制設(shè)備數(shù)據(jù)采集模塊分布式部署在工業(yè)控制網(wǎng)絡(luò)中�����,并根據(jù)彈性采集策略模塊提供的彈性采集策略采集控制子網(wǎng)��、監(jiān)管子網(wǎng)和業(yè)務(wù)子網(wǎng)中資產(chǎn)的安全數(shù)據(jù)���,生成安全報(bào)文�;
[0020]2)所述安全數(shù)據(jù)分布式存儲(chǔ)子系統(tǒng)�,其分布式部署在每一個(gè)安全區(qū)域中,接收當(dāng)前安全區(qū)域中所有安全數(shù)據(jù)采集子系統(tǒng)生成的安全報(bào)文�,并存儲(chǔ)在非關(guān)系型數(shù)據(jù)庫(kù)中;
[0021]3)所述異常檢測(cè)子系統(tǒng)�,其讀取安全報(bào)文,進(jìn)行資產(chǎn)配置基線檢測(cè)和控制操作一致性檢測(cè)�����,即包括資產(chǎn)配置基線檢測(cè)模塊和控制操作一致性檢測(cè)模塊��;
[0022]a)所述資產(chǎn)配置基線檢測(cè)模塊,根據(jù)法律����、法規(guī)、相關(guān)行業(yè)標(biāo)準(zhǔn)及用戶自定義要求建立資產(chǎn)配置基線���,從安全數(shù)據(jù)分布式存儲(chǔ)子系統(tǒng)中讀取安全報(bào)文�����,并將安全報(bào)文中記錄的配置信息與配置基線進(jìn)行比對(duì)�,如果當(dāng)前資產(chǎn)的配置信息不滿足配置基線的要求��,則觸發(fā)配置異常報(bào)警����;
[0023]b)所述控制操作一致性檢測(cè)模塊,以關(guān)鍵操作命令為目標(biāo)�����,以操作時(shí)間����、資產(chǎn)網(wǎng)絡(luò)地址、操作會(huì)話信息為線索�����,在控制子網(wǎng)安全報(bào)文����、監(jiān)管子網(wǎng)安全報(bào)文和業(yè)務(wù)子網(wǎng)安全報(bào)文之間建立關(guān)聯(lián)關(guān)系,如果發(fā)現(xiàn)被關(guān)聯(lián)的報(bào)文中存在操作數(shù)據(jù)不一致性���,則觸發(fā)操作異常報(bào)馨.1=I �,
[0024]4)所述管理子系統(tǒng)��,提供系統(tǒng)管理員����、安全管理員和系統(tǒng)維護(hù)員三類角色,其中向系統(tǒng)管理員提供系統(tǒng)全部配置的接口����,向安全管理員提供修改配置基線、設(shè)置控制操作一致性檢測(cè)閾值的接口�����,向系統(tǒng)維護(hù)員提供數(shù)據(jù)查看、備份和恢復(fù)的接口��。
[0025]本發(fā)明的面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)系統(tǒng)具有如下有益效果:
[0026]本發(fā)明利用多層次��、多種類數(shù)據(jù)采集實(shí)現(xiàn)對(duì)工業(yè)控制網(wǎng)絡(luò)的全方面監(jiān)管�,支持彈性采集策略優(yōu)先保證工業(yè)控制網(wǎng)絡(luò)的可用性與可靠性,支持基于配置基線和控制操作一致性的異常檢測(cè)����,通過配置基線檢測(cè)發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中資產(chǎn)配置異常,通過控制操作一致性檢測(cè)發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中的操作行為異常���,從而提升工業(yè)控制網(wǎng)絡(luò)對(duì)抗APT攻擊的能力���,能夠幫助管理人員盡早發(fā)現(xiàn)異常,盡可能降低APT攻擊造成的人員傷亡和財(cái)產(chǎn)損失�����。
【附圖說明】
[0027]圖1是系統(tǒng)運(yùn)彳丁流程不意圖�����;
[0028]圖2是安全數(shù)據(jù)采集子系統(tǒng)中彈性采集策略模塊的流程圖���;
[0029]圖3是異常檢測(cè)子系統(tǒng)中資產(chǎn)配置基線檢測(cè)模塊的流程圖��;
[0030]圖4是異常檢測(cè)子系統(tǒng)中控制操作一致性檢模塊的流程圖��。
【具體實(shí)施方式】
[0031]為使本發(fā)明的實(shí)施例的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面進(jìn)一步結(jié)合附圖對(duì)本發(fā)明作詳細(xì)描述��。
[0032]1.圖1是本發(fā)明的系統(tǒng)運(yùn)行流程示意圖����。如圖1所示��,所述系統(tǒng)包括:
[0033]I)安全數(shù)據(jù)采集子系統(tǒng)由主機(jī)設(shè)備數(shù)據(jù)采集模塊���、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)采集模塊�、控制設(shè)備數(shù)據(jù)采集模塊和彈性采集策略模塊組成�,其以工業(yè)控制網(wǎng)絡(luò)中的資產(chǎn)為采集目標(biāo),采集資產(chǎn)的安全數(shù)據(jù)��,并生成JSON格式的安全報(bào)文,安全報(bào)文被儲(chǔ)存在分布式數(shù)據(jù)庫(kù)中�;所述資產(chǎn)是包括Web服務(wù)器、郵件服務(wù)器�、ERP系統(tǒng)服務(wù)器、OA系統(tǒng)服務(wù)器����、上位機(jī)、歷史庫(kù)服務(wù)器���、實(shí)時(shí)庫(kù)服務(wù)器���、交換機(jī)、防火墻�����、單向網(wǎng)閘���、IDS/IPS����、PLC控制器����、DCS控制器等����;
[0034]2)異常檢測(cè)子系統(tǒng)由資產(chǎn)配置基線檢測(cè)模塊和控制操作一致性檢測(cè)模塊組成����,其讀取安全報(bào)文����,并基于資產(chǎn)配置基線檢測(cè)和控制操作一致性檢測(cè)進(jìn)行異常分析,輸出異常分析的結(jié)果�。
[0035]2.圖2是本發(fā)明的安全數(shù)據(jù)采集子系統(tǒng)中彈性采集策略模塊的具體流程:
[0036]I)為資產(chǎn)劃分安全區(qū)域,并為每個(gè)區(qū)域定義多個(gè)級(jí)別的采集數(shù)據(jù)集��,采集數(shù)據(jù)集中數(shù)據(jù)種類的數(shù)量隨級(jí)別的下降而減少���;
[0037]2)根據(jù)功能���、用途和安全區(qū)域的等級(jí)初始化數(shù)據(jù)采集的頻率,并將采集數(shù)據(jù)集初始化為最尚級(jí)���;
[0038]3)下發(fā)初始策略后�,監(jiān)控?cái)?shù)據(jù)上傳鏈路的網(wǎng)絡(luò)流量,確定當(dāng)前網(wǎng)絡(luò)的擁塞程度��;
[0039]4)下發(fā)初始策略后��,監(jiān)控被采集設(shè)備的資源使用率�����,確定設(shè)備的當(dāng)前負(fù)荷狀態(tài)�����;
[0040]5)檢測(cè)心跳信號(hào)是否正常���,如果心跳信號(hào)不正常則停止采集����,如果心跳信息正常則重新確定數(shù)據(jù)采集的頻率以及采集數(shù)據(jù)集的級(jí)別�;
[0041]6)按照公式(數(shù)據(jù)采集頻率=基礎(chǔ)采集頻率X網(wǎng)絡(luò)擁塞因子X負(fù)荷狀態(tài)因子)重新計(jì)算出數(shù)據(jù)采集的頻率,并根據(jù)當(dāng)前網(wǎng)絡(luò)的擁塞程度和設(shè)備的當(dāng)前負(fù)荷狀態(tài)確定采集數(shù)據(jù)集的級(jí)別;所述基礎(chǔ)采集頻率是指根據(jù)功能�����、用途和安全區(qū)域的等級(jí)而設(shè)定的數(shù)據(jù)采集頻率的初始值,所述網(wǎng)絡(luò)擁塞因子是指預(yù)設(shè)的網(wǎng)絡(luò)帶寬使用率閾值/當(dāng)前鏈路網(wǎng)絡(luò)帶寬的使用率�,所述負(fù)荷狀態(tài)因子是指預(yù)設(shè)的資源使用率閾值/被采集設(shè)備當(dāng)前的資源使用率(被采集設(shè)備的資源使用率是指(PU利用率和內(nèi)存使用率);
[0042]a)如果當(dāng)前網(wǎng)絡(luò)暢通且設(shè)備負(fù)荷低�,即當(dāng)前鏈路網(wǎng)絡(luò)帶寬的使用率小于等于閾值且被采集設(shè)備當(dāng)前的資源使用率小于等于閾值,則保持現(xiàn)有采集數(shù)據(jù)集的級(jí)別�;
[0043]b)如果當(dāng)前網(wǎng)絡(luò)擁塞或者設(shè)備負(fù)荷高,即當(dāng)前鏈路網(wǎng)絡(luò)帶寬的使用率大于閾值或者被采集設(shè)備當(dāng)前的資源使用率大于閾值��,則將現(xiàn)有采集數(shù)據(jù)集的級(jí)別降低一級(jí)����;
[0044]c)如果當(dāng)前網(wǎng)絡(luò)擁塞且設(shè)備負(fù)荷高����,即當(dāng)前鏈路網(wǎng)絡(luò)帶寬的使用率大于閾值且被采集設(shè)備當(dāng)前的資源使用率大于閾值,則將現(xiàn)有采集數(shù)據(jù)集的級(jí)別降為最低級(jí)�;
[0045]7)下發(fā)包含有新的采集頻率和采集數(shù)據(jù)集級(jí)別的采集策略,并重新啟動(dòng)網(wǎng)絡(luò)鏈路監(jiān)控和設(shè)備負(fù)荷監(jiān)控流程���。
[0046]3.圖3是本發(fā)明的異常檢測(cè)子系統(tǒng)中資產(chǎn)配置基線檢測(cè)的具體流程:
[0047]I)根據(jù)法律���、法規(guī)及相關(guān)領(lǐng)域行規(guī)建立資產(chǎn)配置基線,資產(chǎn)配置基線指對(duì)生產(chǎn)過程中不會(huì)發(fā)生變化的配置或只會(huì)在特點(diǎn)范圍內(nèi)變化的配置建立基線�,不會(huì)發(fā)生變化的配置的基線為固定值,在特點(diǎn)范圍內(nèi)變化的配置的基線為變化范圍的臨界值;
[0048]2)管理員通過自定義接口建立自定義配置基線���;
[0049]3)從安全報(bào)文中檢索相關(guān)的資產(chǎn)配置信息�;
[0050]4)判斷安全報(bào)文中的資產(chǎn)配置信息是否滿足配置基線的要求���;
[0051]a)如果安全報(bào)文中的資產(chǎn)配置信息無法滿足配置基線的要求��,則觸發(fā)配置異常報(bào)馨.1=I �����,
[0052]b)如果安全報(bào)文中的資產(chǎn)配置信息滿足配置基線的要求����,則進(jìn)入步驟5)�����。
[0053]5)判斷是否需要生產(chǎn)合規(guī)性報(bào)告���;
[0054]a)如果需要生產(chǎn)合規(guī)性報(bào)告�,則按照法律���、法規(guī)或相關(guān)領(lǐng)域行規(guī)的要求生成文本形式的合規(guī)性報(bào)告��;
[0055]b)如果不需要生產(chǎn)合規(guī)性報(bào)告���,則結(jié)束資產(chǎn)配置基線檢測(cè)�����。
[0056]4.圖4是本發(fā)明的異常檢測(cè)子系統(tǒng)中控制操作一致性檢的流程圖的具體流程:
[0057]I)啟動(dòng)控制設(shè)備分析模塊����;
[0058]2)判斷控制設(shè)備分析模塊是否啟動(dòng)成功���,如果啟動(dòng)不成功則轉(zhuǎn)至步驟3),如果啟動(dòng)成功則執(zhí)行:
[0059]a)啟動(dòng)控制網(wǎng)絡(luò)嗅探器��;
[0060]b)進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)抓包��;
[0061]c)啟動(dòng)網(wǎng)絡(luò)數(shù)據(jù)包分析器��;
[0062]d)啟動(dòng)數(shù)據(jù)包定時(shí)統(tǒng)計(jì)分析器��;
[0063 ]e)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行定時(shí)統(tǒng)計(jì)分析�;
[0064]f)解析工業(yè)以太網(wǎng)數(shù)據(jù)包類型及數(shù)據(jù)負(fù)載;
[0065]g)分析不同類型的工業(yè)以太網(wǎng)數(shù)據(jù)包:
[0066]1.處理注冊(cè)響應(yīng)數(shù)據(jù)包;
[0067]i1.處理策略數(shù)據(jù)包����;
[0068]ii1.處理獲取資源配置請(qǐng)求數(shù)據(jù)包;
[0069]iv.處理分配資源ID請(qǐng)求數(shù)據(jù)包����;
[0070]V.處理會(huì)話創(chuàng)建數(shù)據(jù)包;
[0071 ]V1.處理會(huì)話關(guān)閉數(shù)據(jù)包��;
[0072]vi1.處理其他數(shù)據(jù)包�;
[0073]h)產(chǎn)生控制設(shè)備分析結(jié)果;
[0074]3)啟動(dòng)主機(jī)設(shè)備分析模塊����;
[0075]4)判斷主機(jī)設(shè)備分析模塊是否啟動(dòng)成功,如果啟動(dòng)不成功則轉(zhuǎn)至步驟5)��,如果啟動(dòng)成功則執(zhí)行:
[0076]a)啟動(dòng)主機(jī)代理嗅探器�;
[0077]b)下發(fā)數(shù)據(jù)采集策略;
[0078]c)接收主機(jī)代理嗅探器提交的安全報(bào)文數(shù)據(jù)�;
[0079 ]d)解析并分析不同類型的安全報(bào)文:
[0080]1.解析并分析主機(jī)設(shè)備配置變更事件報(bào)文;
[0081 ]?.解析并分析主機(jī)設(shè)備運(yùn)行狀態(tài)異常事件報(bào)文���;
[0082]ii1.解析并分析主機(jī)設(shè)備上層應(yīng)用(SCADA)的組態(tài)變更事件報(bào)文��;
[0083]e)產(chǎn)生主機(jī)設(shè)備分析結(jié)果���;
[0084]5)啟動(dòng)網(wǎng)絡(luò)設(shè)備分析模塊���;
[0085]6)判斷網(wǎng)絡(luò)設(shè)備分析模塊是否啟動(dòng)成功,如果啟動(dòng)不成功則轉(zhuǎn)至步驟7)�,如果啟動(dòng)成功則執(zhí)行:
[0086]a)通過SNMP協(xié)議和SYSLOG采集網(wǎng)絡(luò)設(shè)備的配置信息,生產(chǎn)配置信息安全報(bào)文��;
[0087]b)通過SNMP協(xié)議和SYSLOG獲取網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)信息�,生產(chǎn)運(yùn)行狀態(tài)信息安全報(bào)文;
[0088]c)解析并分析不同類型的網(wǎng)絡(luò)設(shè)備安全報(bào)文:
[0089]1.解析并分析網(wǎng)絡(luò)設(shè)備配置變更事件報(bào)文��;
[0090]i1.解析并分析網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)異常事件報(bào)文����;
[0091 ]ii1.解析并分析網(wǎng)絡(luò)安全設(shè)備報(bào)警信息報(bào)文�����;
[0092]d)產(chǎn)生網(wǎng)絡(luò)設(shè)備分析結(jié)果�����;
[0093]7)按照控制子網(wǎng)、監(jiān)管子網(wǎng)�����、業(yè)務(wù)子網(wǎng)的范圍對(duì)控制設(shè)備分析結(jié)果�、主機(jī)設(shè)備分析結(jié)果和網(wǎng)絡(luò)設(shè)備分析結(jié)果進(jìn)行劃分;
[0094]8)對(duì)區(qū)域間的分析結(jié)果數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析�,首先以發(fā)生時(shí)間和IP地址/MAC地址為關(guān)聯(lián)條件,在控制子網(wǎng)�、監(jiān)管子網(wǎng)、業(yè)務(wù)子網(wǎng)的分析結(jié)果之間建立關(guān)聯(lián)關(guān)系�,其次以控制指令中的ID或起標(biāo)識(shí)作用的協(xié)議字段為關(guān)聯(lián)條件,對(duì)已經(jīng)建立起的關(guān)聯(lián)關(guān)系進(jìn)行過濾�����、合并等優(yōu)化操作��;
[0095]9)檢測(cè)被關(guān)聯(lián)數(shù)據(jù)中的操作行為是否一致:
[0096]a)如果檢測(cè)被關(guān)聯(lián)數(shù)據(jù)中的操作行為一致�����,即被關(guān)聯(lián)數(shù)據(jù)中所操作的I/O點(diǎn)位名稱���、I/o點(diǎn)位數(shù)據(jù)等信息均相同�����,則將當(dāng)前操作行為標(biāo)記為正常����;
[0097]b)如果檢測(cè)被關(guān)聯(lián)數(shù)據(jù)中的操作行為不一致,即被關(guān)聯(lián)數(shù)據(jù)中所操作的I/O點(diǎn)位名稱或者I/o點(diǎn)位數(shù)據(jù)等信息中的任一項(xiàng)出現(xiàn)不同����,則將當(dāng)前操作行為標(biāo)記為異常,并觸發(fā)操作行為異常報(bào)警����。
[0098]綜上所述,本發(fā)明的面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法與系統(tǒng)采用彈性數(shù)據(jù)采集策略采集多層次��、多類型的工業(yè)控制網(wǎng)絡(luò)安全數(shù)據(jù)��,并通過配置基線檢測(cè)和控制操作一致性檢測(cè)發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中的異常行為����,全面且豐富的數(shù)據(jù)采集機(jī)制提供了對(duì)工業(yè)控制系統(tǒng)的全面監(jiān)管�,彈性的數(shù)據(jù)采集策略保障了工業(yè)控制網(wǎng)絡(luò)的可用性和可靠性,配置基線檢測(cè)和控制操作一致性檢測(cè)提升了工業(yè)控制網(wǎng)絡(luò)抵抗APT攻擊的能力�����,降低了可能造成的人員傷亡和財(cái)產(chǎn)損失。
[0099]通過以上的實(shí)施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明在工業(yè)控制網(wǎng)絡(luò)中的實(shí)現(xiàn)過程����,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制,本領(lǐng)域的普通技術(shù)人員可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�,而不脫離本發(fā)明的精神和范圍,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求書所述為準(zhǔn)���。
【主權(quán)項(xiàng)】
1.一種面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)方法����,其特征在于����,包括安全數(shù)據(jù)采集步驟和異常檢測(cè)步驟;所述安全數(shù)據(jù)采集步驟以工業(yè)控制網(wǎng)絡(luò)中的資產(chǎn)為采集目標(biāo),基于彈性數(shù)據(jù)采集策略進(jìn)行多種類數(shù)據(jù)采集和多層次數(shù)據(jù)采集����,并生成安全報(bào)文,將安全報(bào)文儲(chǔ)存在分布式數(shù)據(jù)庫(kù)中����;所述異常檢測(cè)步驟對(duì)安全報(bào)文進(jìn)行資產(chǎn)配置基線檢測(cè)和控制操作一致性檢測(cè)�����,并實(shí)時(shí)輸出異常檢測(cè)結(jié)果�。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述多種類數(shù)據(jù)采集包含針對(duì)主機(jī)類設(shè)備的多類型數(shù)據(jù)采集、針對(duì)網(wǎng)絡(luò)類設(shè)備的多類型數(shù)據(jù)采集以及針對(duì)控制類設(shè)備的多類型數(shù)據(jù)采集;所述多層次數(shù)據(jù)采集從控制子網(wǎng)��、監(jiān)管子網(wǎng)和業(yè)務(wù)子網(wǎng)采集數(shù)據(jù)����。3.根據(jù)權(quán)利要求2所述的方法,其特征在于���,所述針對(duì)主機(jī)類設(shè)備的多種類數(shù)據(jù)采集是采集資產(chǎn)的硬件型號(hào)信息��、IP地址/MAC地址信息����、操作系統(tǒng)版本信息�����、安裝的系統(tǒng)補(bǔ)丁信息���、安裝的應(yīng)用軟件信息�����、應(yīng)用的配置信息��、系統(tǒng)運(yùn)行的進(jìn)程信息���、系統(tǒng)開放的端口與服務(wù)信息、用戶賬號(hào)信息�����、用戶登錄信息�、關(guān)鍵文件變更信息、接入的USB設(shè)備信息��、資源使用率信息和非法外聯(lián)信息;所述針對(duì)網(wǎng)絡(luò)類設(shè)備的多種類數(shù)據(jù)采集是采集資產(chǎn)的硬件型號(hào)信息�����、設(shè)備配置信息��、運(yùn)行狀態(tài)信息和網(wǎng)絡(luò)流量鏡像數(shù)據(jù);所述針對(duì)控制類設(shè)備的多種類數(shù)據(jù)采集是采集資產(chǎn)的硬件型號(hào)信息����、設(shè)備組態(tài)信息和I/O點(diǎn)數(shù)據(jù)變化信息;所述控制子網(wǎng)包括PLC、DCS����、交換機(jī)、防火墻�����,所述監(jiān)管子網(wǎng)包括上位機(jī)���、歷史庫(kù)服務(wù)器�����、實(shí)時(shí)庫(kù)服務(wù)器�����、交換機(jī)��、防火墻�����、單向網(wǎng)閘�����,所述業(yè)務(wù)子網(wǎng)包括Web服務(wù)器�����、郵件服務(wù)器���、ERP系統(tǒng)服務(wù)器、OA系統(tǒng)服務(wù)器��、交換機(jī)�����、防火墻、IDS/IPS����。4.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述彈性數(shù)據(jù)采集策略根據(jù)資產(chǎn)的功能、用途及安全等級(jí)確定初始的數(shù)據(jù)種類和數(shù)據(jù)采集頻率��,并根據(jù)被采集對(duì)象的運(yùn)行負(fù)荷以及當(dāng)前網(wǎng)絡(luò)的擁塞狀況動(dòng)態(tài)調(diào)整數(shù)據(jù)采集策略:如果被采集對(duì)象的運(yùn)行負(fù)荷超過閾值���,或者當(dāng)前網(wǎng)絡(luò)持續(xù)擁塞���,則減少采集的數(shù)據(jù)種類并降低數(shù)據(jù)采集頻率,以優(yōu)先保證工業(yè)控制網(wǎng)絡(luò)的可用性��。5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述數(shù)據(jù)采集頻率的計(jì)算方法為:數(shù)據(jù)采集頻率=基礎(chǔ)采集頻率X網(wǎng)絡(luò)擁塞因子X負(fù)荷狀態(tài)因子;所述基礎(chǔ)采集頻率是指根據(jù)功能����、用途和安全區(qū)域的等級(jí)而設(shè)定的數(shù)據(jù)采集頻率的初始值��,所述網(wǎng)絡(luò)擁塞因子是指預(yù)設(shè)的網(wǎng)絡(luò)帶寬使用率閾值/當(dāng)前鏈路網(wǎng)絡(luò)帶寬的使用率����,所述負(fù)荷狀態(tài)因子是指預(yù)設(shè)的資源使用率閾值/被采集設(shè)備當(dāng)前的資源使用率�����。6.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述資產(chǎn)配置基線檢測(cè)根據(jù)法律����、法規(guī)及相關(guān)行業(yè)標(biāo)準(zhǔn)建立資產(chǎn)配置基線,并將安全報(bào)文中記錄的配置信息與配置基線進(jìn)行實(shí)時(shí)比對(duì)���,如果當(dāng)前資產(chǎn)的配置信息不滿足配置基線的要求����,則觸發(fā)配置異常報(bào)警���。7.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述控制操作一致性檢測(cè)針對(duì)關(guān)鍵操作命令在控制子網(wǎng)安全報(bào)文、監(jiān)管子網(wǎng)安全報(bào)文和業(yè)務(wù)子網(wǎng)安全報(bào)文之間建立關(guān)聯(lián)關(guān)系���,并檢測(cè)被關(guān)聯(lián)報(bào)文中操作數(shù)據(jù)的一致性��,如果操作數(shù)據(jù)存在不一致�,則觸發(fā)操作異常報(bào)警�����。8.—種面向工業(yè)控制網(wǎng)絡(luò)的安全數(shù)據(jù)采集與異常檢測(cè)系統(tǒng),其特征在于���,包括安全數(shù)據(jù)采集子系統(tǒng)�����、安全數(shù)據(jù)分布式存儲(chǔ)子系統(tǒng)��、異常檢測(cè)子系統(tǒng)和管理子系統(tǒng)�����; 所述安全數(shù)據(jù)采集子系統(tǒng)包括主機(jī)設(shè)備數(shù)據(jù)采集模塊����、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)采集模塊����、控制設(shè)備數(shù)據(jù)采集模塊和彈性采集策略模塊���,其中主機(jī)設(shè)備數(shù)據(jù)采集模塊�、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)采集模塊和控制設(shè)備數(shù)據(jù)采集模塊分布式部署在工業(yè)控制網(wǎng)絡(luò)中,并根據(jù)彈性采集策略模塊提供的彈性采集策略采集控制子網(wǎng)�、監(jiān)管子網(wǎng)和業(yè)務(wù)子網(wǎng)中資產(chǎn)的安全數(shù)據(jù),生成安全報(bào)文�����;所述安全數(shù)據(jù)分布式存儲(chǔ)子系統(tǒng)分布式部署在每一個(gè)安全區(qū)域中��,接收當(dāng)前安全區(qū)域中所有安全數(shù)據(jù)采集子系統(tǒng)生成的安全報(bào)文��,并存儲(chǔ)在非關(guān)系型數(shù)據(jù)庫(kù)中����; 所述異常檢測(cè)子系統(tǒng)包括資產(chǎn)配置基線檢測(cè)模塊和控制操作一致性檢測(cè)模塊,用于讀取安全報(bào)文����,進(jìn)行資產(chǎn)配置基線檢測(cè)和控制操作一致性檢測(cè); 所述管理子系統(tǒng)提供系統(tǒng)管理員�、安全管理員和系統(tǒng)維護(hù)員三類角色,其中向系統(tǒng)管理員提供系統(tǒng)全部配置的接口���,向安全管理員提供修改配置基線�、設(shè)置控制操作一致性檢測(cè)閾值的接口�,向系統(tǒng)維護(hù)員提供數(shù)據(jù)查看、備份和恢復(fù)的接口�����。9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于�����,所述資產(chǎn)配置基線檢測(cè)模塊根據(jù)法律���、法規(guī)����、相關(guān)行業(yè)標(biāo)準(zhǔn)及用戶自定義要求建立資產(chǎn)配置基線����,從安全數(shù)據(jù)分布式存儲(chǔ)子系統(tǒng)中讀取安全報(bào)文,并將安全報(bào)文中記錄的配置信息與配置基線進(jìn)行比對(duì)���,如果當(dāng)前資產(chǎn)的配置信息不滿足配置基線的要求�����,則觸發(fā)配置異常報(bào)警。10.根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于,所述控制操作一致性檢測(cè)模塊以關(guān)鍵操作命令為目標(biāo)��,以操作時(shí)間�����、資產(chǎn)網(wǎng)絡(luò)地址�����、操作會(huì)話信息為線索���,在控制子網(wǎng)安全報(bào)文�、監(jiān)管子網(wǎng)安全報(bào)文和業(yè)務(wù)子網(wǎng)安全報(bào)文之間建立關(guān)聯(lián)關(guān)系�����,如果發(fā)現(xiàn)被關(guān)聯(lián)的報(bào)文中存在操作數(shù)據(jù)不一致性����,則觸發(fā)操作異常報(bào)警。
【文檔編號(hào)】H04L12/26GK105959144SQ201610387832
【公開日】2016年9月21日
【申請(qǐng)日】2016年6月2日
【發(fā)明人】陳凱, 王利明
【申請(qǐng)人】中國(guó)科學(xué)院信息工程研究所