今日頭條
官方微信
官方抖音
資訊頻道1 項(xiàng)目背景
隨著工業(yè)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和工業(yè)網(wǎng)絡(luò)應(yīng)用的普及,工業(yè)互聯(lián)網(wǎng)絡(luò)信息安全問(wèn)題也層出不窮,各類負(fù)面消息使人們對(duì)工業(yè)互聯(lián)網(wǎng)絡(luò)的態(tài)度更加謹(jǐn)慎。為防止各種網(wǎng)絡(luò)安全隱患,政府、企業(yè)也都提高了宣傳力度。為了更好地保護(hù)互聯(lián)網(wǎng)用戶的企業(yè)信息安全,防止黑客攻擊,工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知系統(tǒng)平臺(tái)更好協(xié)助通信管理局實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的攻擊進(jìn)行監(jiān)測(cè),實(shí)現(xiàn)“關(guān)鍵行業(yè),重點(diǎn)監(jiān)測(cè)”、“關(guān)鍵時(shí)刻,快速處置”、“關(guān)鍵態(tài)勢(shì),多為感知”的全方位、全天候的監(jiān)測(cè)與診斷能力。
“永恒之藍(lán)”事件的威脅風(fēng)波剛剛過(guò)去,北京時(shí)間2019年3月20日,全球最大鋁生產(chǎn)商海德魯遭受“LockerGoga” 勒索病毒攻擊,致多個(gè)工廠關(guān)停。北京時(shí)間2019年10月,美國(guó)電網(wǎng)遭網(wǎng)絡(luò)攻擊,紐約停電長(zhǎng)達(dá)4小時(shí)……
從“十三五”中后期開(kāi)始,我省通信管理局上線了像工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)感知相關(guān)試驗(yàn)平臺(tái),對(duì)我省轄區(qū)內(nèi)工業(yè)互聯(lián)網(wǎng)現(xiàn)狀進(jìn)行詳細(xì)的摸底,通過(guò)對(duì)省內(nèi)公共互聯(lián)網(wǎng)的抽樣數(shù)據(jù)流量進(jìn)行分析,已經(jīng)取得了初步成效。探明全省觸網(wǎng)工業(yè)資產(chǎn)9萬(wàn)余個(gè),捕獲涉及我省工業(yè)資產(chǎn)的安全事件128萬(wàn)余次,捕獲針對(duì)聯(lián)網(wǎng)工控設(shè)備弱口令、指令篡改等安全風(fēng)險(xiǎn)1291個(gè)。整體工業(yè)互聯(lián)網(wǎng)安全形勢(shì)不容樂(lè)觀。
通過(guò)多安全事件的分析,不難得出電力系統(tǒng)、通信系統(tǒng)、城市關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)、先進(jìn)制造系統(tǒng)等重要行業(yè)是攻擊的重點(diǎn),也再次說(shuō)明了“世界上沒(méi)有攻不破的網(wǎng)絡(luò),也沒(méi)有不存在漏洞的系統(tǒng)”,工業(yè)互聯(lián)網(wǎng)威脅防不勝防,工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)也是一種常態(tài)。事實(shí)表明傳統(tǒng)的圍墻模式防護(hù)思維,已沒(méi)有辦法監(jiān)管變化多端的新安全形勢(shì),必須基于持續(xù)監(jiān)測(cè)和即使相應(yīng)的安全能力,也安全監(jiān)測(cè)和態(tài)勢(shì)感知能力,才能對(duì)安全形勢(shì)有完整的了解,并對(duì)未來(lái)的態(tài)勢(shì)進(jìn)行預(yù)測(cè),才能有效地應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)安全威脅。
江蘇省是工業(yè)和制造大省,為盡快掌握全省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì),防范針對(duì)工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊,提升工業(yè)互聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò)安全威脅信息共享和應(yīng)急處置能力,建設(shè)一個(gè)“可感、可知、可監(jiān)管”的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)變得十分必要。
2 項(xiàng)目目標(biāo)
全面提升通管局對(duì)我省工業(yè)互聯(lián)網(wǎng)系統(tǒng)基于電信網(wǎng)絡(luò)流量信息安全的“實(shí)時(shí)監(jiān)測(cè)、全面感知、重點(diǎn)監(jiān)管、綜合分析、預(yù)警通報(bào)、應(yīng)急處置”等方面的能力,為通管局履行“工業(yè)互聯(lián)網(wǎng)信息安全管理工作、指導(dǎo)監(jiān)督工業(yè)互聯(lián)網(wǎng)信息安全保障工作、協(xié)調(diào)處理工業(yè)互聯(lián)網(wǎng)信息安全應(yīng)急和處理重大事件”等監(jiān)管職責(zé)提供有效技術(shù)與平臺(tái)支撐,以及為我省工業(yè)互聯(lián)網(wǎng)專業(yè)實(shí)訓(xùn)人才的培養(yǎng)提供強(qiáng)有力的基礎(chǔ)教學(xué)保障。
2.1項(xiàng)目服務(wù)目標(biāo)
(1)安全數(shù)據(jù)采集:省內(nèi)不少于90家企業(yè)部署安全探針;部署系統(tǒng)與“省工業(yè)信息安全保障平臺(tái)”數(shù)據(jù)對(duì)接;實(shí)現(xiàn)企業(yè)安全告警定期上傳、分析;在省級(jí)平臺(tái)全面展示工業(yè)企業(yè)安全態(tài)勢(shì)。
(2)安全事件分析:形成面向工業(yè)企業(yè)、聯(lián)網(wǎng)設(shè)備與系統(tǒng)的全天候全方位安全監(jiān)測(cè)與態(tài)勢(shì)感知能力;實(shí)現(xiàn)對(duì)我省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)的分析研判,有效支撐重大工業(yè)安全事件的科學(xué)決策與風(fēng)險(xiǎn)處置。全面提升江蘇省工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障水平。
(3)社會(huì)經(jīng)濟(jì)效益:進(jìn)一步擴(kuò)大省平臺(tái)監(jiān)管范圍,補(bǔ)充增強(qiáng)省平臺(tái)監(jiān)管能力;新增25個(gè)就業(yè)崗位;預(yù)計(jì)產(chǎn)生1000萬(wàn)元銷售收入,實(shí)現(xiàn)300萬(wàn)利潤(rùn),250萬(wàn)稅收。
3項(xiàng)目實(shí)施與應(yīng)用
針對(duì)用戶在安全性方面的關(guān)切重點(diǎn)是來(lái)自互聯(lián)網(wǎng)的攻擊行為,而互聯(lián)網(wǎng)與用戶的辦公網(wǎng)是建立連接的,因此,項(xiàng)目建設(shè)重點(diǎn)是對(duì)辦公網(wǎng)和控制網(wǎng)之間的網(wǎng)絡(luò)流量實(shí)施探針監(jiān)控,以實(shí)時(shí)監(jiān)測(cè)來(lái)自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊行為。
目前,該項(xiàng)目已完成在辦公網(wǎng)和生產(chǎn)網(wǎng)之間的安全探針部署,系統(tǒng)已在線連續(xù)運(yùn)行7個(gè)月時(shí)間,幫助用戶對(duì)木馬、病毒、可疑連接、可疑指令等對(duì)象進(jìn)行檢測(cè)和識(shí)別,并對(duì)安全事件進(jìn)行預(yù)警提示。
3.1.1項(xiàng)目實(shí)施方案
該項(xiàng)目的設(shè)備部署方案,如下圖所示。
圖 1部署方案
安全探針部署在生產(chǎn)網(wǎng)和辦公網(wǎng)之間的三層交換機(jī)中,通過(guò)旁路方式與三層交換機(jī)進(jìn)行連接,通過(guò)端口鏡像的方式實(shí)時(shí)獲取生產(chǎn)網(wǎng)與辦公網(wǎng)之間的網(wǎng)絡(luò)流量,并從中識(shí)別出惡意軟件和惡意指令等異常行為,并對(duì)用戶業(yè)務(wù)不會(huì)產(chǎn)生任何影響。
3.1.2技術(shù)路線
針對(duì)用戶的應(yīng)用場(chǎng)景和使用需求,項(xiàng)目的技術(shù)路線主要包括工業(yè)控制協(xié)議深度解析、工業(yè)控制網(wǎng)入侵實(shí)時(shí)檢測(cè)、工業(yè)控制網(wǎng)指令安全監(jiān)測(cè)、工業(yè)控制網(wǎng)流量監(jiān)測(cè)、工控設(shè)備智能識(shí)別定位六個(gè)方面,如下圖所示。
圖 2技術(shù)路線
(1)工業(yè)控制協(xié)議深度解析
工業(yè)控制協(xié)議深度解析實(shí)現(xiàn)對(duì)主流工控網(wǎng)絡(luò)協(xié)議(Modbus/TCP、OPC、S7、IEC104等)進(jìn)行研究,全面深層次的解析工控系統(tǒng)通訊語(yǔ)言,建立符合現(xiàn)場(chǎng)工藝的業(yè)務(wù)指令流模型,打破傳統(tǒng)控制系統(tǒng)的黑匣子,可識(shí)別出工控現(xiàn)場(chǎng)上位機(jī)對(duì)下位機(jī)的指令操作、工程師站對(duì)現(xiàn)場(chǎng)工業(yè)控制器的配置變更、以及對(duì)現(xiàn)場(chǎng)開(kāi)關(guān)量和過(guò)程量閥值的輸入等等,可以識(shí)別出網(wǎng)絡(luò)通訊行為與工藝操作行為。同時(shí), 工業(yè)控制網(wǎng)監(jiān)測(cè)子平臺(tái)支持私有工控協(xié)議的擴(kuò)展接口,可對(duì)不同用戶的私有工控協(xié)議進(jìn)行定制化的二次開(kāi)發(fā)。
該技術(shù)路線采用DPDK,DPDK是Data Plane Development Kit的縮寫(xiě)。簡(jiǎn)單說(shuō),DPDK應(yīng)用程序運(yùn)行在操作系統(tǒng)的User Space,利用自身提供的數(shù)據(jù)面庫(kù)進(jìn)行收發(fā)包處理,繞過(guò)了Linux內(nèi)核態(tài)協(xié)議棧,以提升報(bào)文處理效率。由于包處理任務(wù)存在內(nèi)核態(tài)與用戶態(tài)的切換,以及多次的內(nèi)存拷貝,系統(tǒng)消耗變大,以CPU為核心的系統(tǒng)存在很大的處理瓶頸。為了提升在通用服務(wù)器(COTS)的數(shù)據(jù)包處理效能,采用了服務(wù)于IA(Intel Architecture)系統(tǒng)的DPDK技術(shù)。
DPDK是一組lib庫(kù)和工具包的集合。最簡(jiǎn)單的架構(gòu)描述如下圖所示:
圖 3工控協(xié)議深度解析架構(gòu)
藍(lán)色部分是DPDK的主要組件:
PMD:Pool Mode Driver,輪詢模式驅(qū)動(dòng),通過(guò)非中斷,以及數(shù)據(jù)幀進(jìn)出應(yīng)用緩沖區(qū)內(nèi)存的零拷貝機(jī)制,提高發(fā)送/接受數(shù)據(jù)幀的效率;
流分類:Flow Classification,為N元組匹配和LPM(最長(zhǎng)前綴匹配)提供優(yōu)化的查找算法;
環(huán)隊(duì)列:Ring Queue,針對(duì)單個(gè)或多個(gè)數(shù)據(jù)包生產(chǎn)者、單個(gè)數(shù)據(jù)包消費(fèi)者的出入隊(duì)列提供無(wú)鎖機(jī)制,有效減少系統(tǒng)開(kāi)銷;
MBUF緩沖區(qū)管理:分配內(nèi)存創(chuàng)建緩沖區(qū),并通過(guò)建立MBUF對(duì)象,封裝實(shí)際數(shù)據(jù)幀,供應(yīng)用程序使用;
EAL:Environment Abstract Layer,環(huán)境抽象(適配)層,PMD初始化、CPU內(nèi)核和DPDK線程配置/綁定、設(shè)置HugePage大頁(yè)內(nèi)存等系統(tǒng)初始化;
下圖簡(jiǎn)單描述了DPDK的多隊(duì)列和多線程機(jī)制:
圖 4 DPDK多隊(duì)列和多線程機(jī)制
DPDK將網(wǎng)卡接收隊(duì)列分配給某個(gè)CPU核,該隊(duì)列收到的報(bào)文都交給該核上的DPDK線程處理。存在兩種方式將數(shù)據(jù)包發(fā)送到接收隊(duì)列之上:
RSS(Receive Side Scaling,接收方擴(kuò)展)機(jī)制:根據(jù)關(guān)鍵字,比如根據(jù)UDP的四元組<srcIP><dstIP><srcPort><dstPort>進(jìn)行哈希;
Flow Director機(jī)制:可設(shè)定根據(jù)數(shù)據(jù)包某些信息進(jìn)行精確匹配,分配到指定的隊(duì)列與CPU核;
當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包(幀)被網(wǎng)卡接收后,DPDK網(wǎng)卡驅(qū)動(dòng)將其存儲(chǔ)在一個(gè)高效緩沖區(qū)中,并在MBUF緩存中創(chuàng)建MBUF對(duì)象與實(shí)際網(wǎng)絡(luò)包相連,對(duì)網(wǎng)絡(luò)包的分析和處理都會(huì)基于該MBUF,必要的時(shí)候才會(huì)訪問(wèn)緩沖區(qū)中的實(shí)際網(wǎng)絡(luò)包。
圖 5緩沖區(qū)的網(wǎng)絡(luò)包
(2)工業(yè)控制網(wǎng)入侵實(shí)時(shí)檢測(cè)
隨著工控網(wǎng)絡(luò)的信息化程度加深,所面臨的網(wǎng)絡(luò)攻擊手段也越來(lái)越多,各種入侵和病毒攻擊利用工控設(shè)備的漏洞對(duì)工控網(wǎng)絡(luò)進(jìn)行攻擊。
安全探針支持對(duì)入侵行為特征進(jìn)行分析,實(shí)時(shí)捕捉各種攻擊行為。入侵檢測(cè)模塊核心的專家知識(shí)庫(kù)目前包含了共15個(gè)大類的1300余種攻擊特征,并在不斷增加更新中,包括病毒攻擊,木馬攻擊,拒絕服務(wù)攻擊,數(shù)據(jù)庫(kù)攻擊,Web攻擊,Icmp攻擊,F(xiàn)TP攻擊,DNS攻擊,ARP攻擊,郵件攻擊,漏洞攻擊,后門軟件,IP/端口掃描,RPC攻擊,緩沖區(qū)溢出攻擊等等。
(3)工業(yè)控制指令安全監(jiān)測(cè)
安全探針可對(duì)“未知通信行為”、“用戶誤操作”、“用戶違規(guī)操作”、“工藝閾值非預(yù)期波動(dòng)”等進(jìn)行實(shí)時(shí)報(bào)警。
指令變更:指上位機(jī)電腦向下位機(jī)PLC或者DCS控制器發(fā)送開(kāi)關(guān)閥、開(kāi)關(guān)泵等操作變化。
閾值報(bào)警:指上位機(jī)電腦讀取下位機(jī)PLC或者DCS控制器傳輸?shù)拈y門狀態(tài),溫度、壓力等傳感器的數(shù)據(jù)的上限或者下限報(bào)警。
組態(tài)變更:指上位機(jī)電腦向下位機(jī)PLC或DCS灌裝程序,或者從下位機(jī)PLC或DCS上載程序的網(wǎng)絡(luò)行為。
負(fù)載變更:指上位機(jī)與下位機(jī),或者下位機(jī)PLC或DCS與負(fù)載設(shè)備之間通信的變化。
符合工藝的指令變采用白名單策略,例如某個(gè)閥門的開(kāi)啟動(dòng)作,而不符合工藝的指令變更是需要報(bào)警,某個(gè)閥門的關(guān)閉動(dòng)作。因此在這個(gè)過(guò)程中,安全監(jiān)測(cè)平臺(tái)需要及時(shí)發(fā)現(xiàn)這些合法和非法的網(wǎng)絡(luò)行為,實(shí)時(shí)的進(jìn)行報(bào)警。控制指令安全檢測(cè)采用POWERLINK方法,將一個(gè)執(zhí)行周期分為三個(gè)階段:同步階段、異步階段以及空閑階段。
a)同步階段(Isochronous phase)
在進(jìn)入這個(gè)階段時(shí),MN首先會(huì)廣播一個(gè)名為SoC(Start of Cycle)的數(shù)據(jù)包,提示網(wǎng)絡(luò)內(nèi)所有的CN注意點(diǎn)名。然后開(kāi)始挨個(gè)點(diǎn)名。在每一次點(diǎn)名的過(guò)程中,一個(gè)叫做 PReq(Poll-Request)的數(shù)據(jù)包會(huì)被定向發(fā)給特定的CN,這個(gè)數(shù)據(jù)包中包含了MN 對(duì)CN中變量的期望值。CN 收到這個(gè)數(shù)據(jù)包之后,會(huì)對(duì)這些變量進(jìn)行處理,并廣播一個(gè)PRes(Poll-Respond),這個(gè)數(shù)據(jù)包中包含了CN 希望其它節(jié)點(diǎn)看到的變量的當(dāng)前值。
POWERLIN引入復(fù)用時(shí)隙的概念(Multiplexed Timeslots),對(duì)某些CN,MN 不必在每個(gè)周期中都對(duì)其進(jìn)行數(shù)據(jù)同步,而是在特定次數(shù)個(gè)周期之后,對(duì)這些CN進(jìn)行數(shù)據(jù)同步。
b)異步階段 (Asynchronous phase)
在進(jìn)入這個(gè)階段時(shí),MN 會(huì)廣播一個(gè) SoA (Start of Asynchronous)數(shù)據(jù)包,告知網(wǎng)絡(luò)內(nèi)所有用戶,現(xiàn)在是異步時(shí)間,并且這個(gè)數(shù)據(jù)包中應(yīng)當(dāng)包含需要交互的對(duì)象。
在這一階段,MN 只會(huì)與一個(gè)CN 進(jìn)行交互或者不與任何CN交互。如果交互,將以ASnd (Asynchronous Send)數(shù)據(jù)包發(fā)送,MN 只提供一條服務(wù),并且CN 在接收服務(wù)后可能不會(huì)即時(shí)反饋,而是在數(shù)個(gè)周期后再給出服務(wù)評(píng)價(jià),這就是所謂的異步階段。
在這一階段MN 提供的服務(wù)包括:身份認(rèn)證(Ident Requests)、狀態(tài)認(rèn)證(Status Requests)、通用傳輸請(qǐng)求(Generic transmit Requests)、發(fā)言請(qǐng)求(Transmit Requests),前三者的發(fā)起人都是 MN, 而第四者的發(fā)起人為 CN。
身份認(rèn)證:在MN 啟動(dòng)之初,所有的CN 都將標(biāo)記為未識(shí)別狀態(tài),身份認(rèn)證就是識(shí)別這些CN的第一步。如果被點(diǎn)名的CN未做出響應(yīng),那么MN 將點(diǎn)名下一位CN,直到全部點(diǎn)名完畢后。重新開(kāi)始新一輪點(diǎn)名,在新一輪點(diǎn)名中,標(biāo)記為識(shí)別狀態(tài)的將被跳過(guò)。
狀態(tài)請(qǐng)求:一般在出現(xiàn)錯(cuò)誤時(shí),MN會(huì)向CN發(fā)起狀態(tài)請(qǐng)求,CN應(yīng)當(dāng)立即相應(yīng)該請(qǐng)求,相應(yīng)內(nèi)容中應(yīng)包含詳細(xì)錯(cuò)誤信息。除此情況外,異步CN 也會(huì)被周期性的發(fā)起該請(qǐng)求以檢查其狀況。
c) 空閑階段(Idel Phase)
在完成同步階段和異步階段后,系統(tǒng)進(jìn)入空閑階段,等待任務(wù)隊(duì)列下發(fā)的數(shù)據(jù)。
(4)工業(yè)控制網(wǎng)流量監(jiān)測(cè)
安全探針可對(duì)被監(jiān)測(cè)控制網(wǎng)絡(luò)中各個(gè)資產(chǎn)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)視,針對(duì)根據(jù)不同的資產(chǎn)設(shè)置不同的流量閾值,進(jìn)行安全預(yù)警。通過(guò)流量曲線圖、柱狀圖和詳盡的流量分布表等多種方式對(duì)整個(gè)控制網(wǎng)絡(luò)總體流量監(jiān)測(cè)結(jié)果進(jìn)行展示。
根據(jù)流量監(jiān)測(cè)獲取的數(shù)據(jù),工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)還可進(jìn)行流量異常檢查,針對(duì)網(wǎng)絡(luò)中流量的突變和異常的數(shù)據(jù)流模式,適時(shí)發(fā)送流量相關(guān)警報(bào)信息,為用戶提供了了解網(wǎng)絡(luò)異常狀態(tài)的新途徑。
項(xiàng)目采用sFlow技術(shù)連續(xù)實(shí)時(shí)地監(jiān)視交換機(jī)/ 路由器的每一個(gè)端口, 采集的數(shù)據(jù)種類繁多, 長(zhǎng)時(shí)間運(yùn)行數(shù)據(jù)量大, 這些數(shù)據(jù)并非是面向事務(wù), 而主要是面向分析, 因此采用了數(shù)據(jù)倉(cāng)庫(kù)技術(shù)。sFlow技術(shù)和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)的結(jié)合, 為網(wǎng)絡(luò)流量分析提供了一個(gè)非常好的架構(gòu)。如下圖所示, 該架構(gòu)分為五個(gè)模塊: 數(shù)據(jù)采樣模塊、數(shù)據(jù)接收模塊、數(shù)據(jù)存儲(chǔ)與管理模塊和數(shù)據(jù)分析模塊。
下面詳細(xì)敘述這五個(gè)模塊的功能。
圖 6流量監(jiān)測(cè)功能架構(gòu)
a)數(shù)據(jù)采樣模塊:該模塊實(shí)際上就是一個(gè)支持 sFlow 機(jī)制的交換機(jī)或路 由器, 由制造商在內(nèi)部加入硬件采樣器( ASIC) 。硬件采樣器完成數(shù)據(jù)采樣功能, 并將采樣數(shù)據(jù)發(fā)往 sFlow Agent。可通過(guò)超級(jí)終端對(duì)硬件采樣器的采樣頻率進(jìn)行設(shè)置。采樣數(shù)據(jù)分為兩種: 一種是在網(wǎng)絡(luò)中的數(shù)據(jù)包( Flow Sample) ; 另一種是交換機(jī)/ 路由器本身產(chǎn)生的數(shù)據(jù)( Count Sample) , 包括采樣間隔、接口狀態(tài)、數(shù)據(jù)包丟失率等。采樣過(guò)程由專用硬件完成, 對(duì)交換機(jī)/ 路由器的性能沒(méi)有影響。
b)數(shù)據(jù)接收模塊:該模塊由 sFlow Agent 和數(shù) 據(jù) 存儲(chǔ) 子模 塊 實(shí)現(xiàn)。 sFlow Agent是交換機(jī)/ 路由器的一部分, 與硬件采樣器不同的是sFlow Agent 屬于軟件部分。sFlow Agent由Sam- pler和Poller 兩部分組成, 前者接收網(wǎng)絡(luò)中的數(shù)據(jù) Flow Sample, 后者接收接口統(tǒng)計(jì)數(shù)據(jù)(Count Sample)。sFlow Agent 接收到的數(shù)據(jù)按照 RFC 3176規(guī)定的統(tǒng)一格式編碼, 并以UDP 數(shù)據(jù)包的形式向指定的目的地進(jìn)行發(fā)送。數(shù)據(jù)存儲(chǔ)子模塊位于指定目的地的指定IP 地址和指定端口, 該模塊接收sFlow Agent 發(fā)來(lái)的合法的sFlow 數(shù)據(jù)包, 并按照 RFC 3176 的統(tǒng)一格式進(jìn)行解碼。 然后將解碼后的數(shù)據(jù)存入數(shù)據(jù)源。數(shù)據(jù)源是一個(gè)或多個(gè)數(shù)據(jù)庫(kù), 它以一定的結(jié)構(gòu)組織存儲(chǔ)原始數(shù)據(jù), 該數(shù)據(jù)庫(kù)是面向事務(wù)的, 可支持一些實(shí)時(shí)的事務(wù)處理; 同時(shí), 數(shù)據(jù)源也是后面數(shù)據(jù)倉(cāng)庫(kù)的基礎(chǔ), 是構(gòu)建于該架構(gòu)之上的網(wǎng)絡(luò)性能管理、流量分析的數(shù)據(jù)源泉。
c)數(shù)據(jù)存儲(chǔ)與管理模塊:該模塊是架構(gòu)的核心, 架構(gòu)的真正關(guān)鍵是數(shù)據(jù)的存儲(chǔ)與管理。數(shù)據(jù)倉(cāng)庫(kù)的組織形式?jīng)Q定了它有別于傳統(tǒng)數(shù)據(jù)庫(kù), 同時(shí)也決定了其對(duì)外部數(shù)據(jù)的表現(xiàn)形式。 該模塊的功能是從數(shù)據(jù)源抽取數(shù)據(jù), 對(duì)所抽取的數(shù)據(jù) 進(jìn)行篩選、清理, 將處理過(guò)的數(shù)據(jù)導(dǎo)入或加載到數(shù)據(jù)倉(cāng)庫(kù)中, 根據(jù)用戶的需求設(shè)立數(shù)據(jù)集市, 完成數(shù)據(jù)倉(cāng)庫(kù)的復(fù)雜查詢、決策分析和知識(shí)挖掘等。同時(shí), 針對(duì)不同類型的數(shù)據(jù)進(jìn)行相應(yīng)的數(shù)據(jù)管理。
d)數(shù)據(jù)分析模塊:該模塊對(duì)分析需要的數(shù)據(jù)進(jìn)行有效集成, 按多維模型予以組織, 以便進(jìn)行多角度、多層次的分析,并發(fā)現(xiàn)趨勢(shì)。 該模塊包括數(shù)據(jù)分析器和事件分析器。數(shù)據(jù)分析包括三方面的功能:
基本統(tǒng)計(jì)功能, 如按線路、路由器端口、網(wǎng)絡(luò)或自治域統(tǒng)計(jì)流量; 按應(yīng)用類型統(tǒng) 計(jì)流量分布。
性能趨勢(shì)預(yù)測(cè), 按照一些數(shù)學(xué)模型, 如時(shí)間序列預(yù)測(cè)、回歸分析、概率預(yù)測(cè)、判斷預(yù)測(cè)技術(shù)、最優(yōu)分割預(yù)測(cè)、判斷分析預(yù)測(cè)等, 對(duì)基礎(chǔ)數(shù)據(jù)做進(jìn)一步加工處理, 作為網(wǎng)絡(luò)規(guī)劃的參考。
數(shù)據(jù)關(guān)聯(lián)分析, 利用數(shù)據(jù)挖掘技術(shù)對(duì)基礎(chǔ)數(shù)據(jù)進(jìn)行旋轉(zhuǎn)、關(guān)聯(lián), 發(fā)現(xiàn)潛在的問(wèn)題。在進(jìn)行數(shù)據(jù) 分析時(shí), 數(shù)據(jù)掃描任務(wù)由一組數(shù)據(jù)掃描器實(shí)現(xiàn)。數(shù)據(jù)掃描 器的功能是把數(shù)據(jù)( 或一批數(shù)據(jù)) 按特定要求格式化, 以供后續(xù)性能分析工具所用。事件分析器根據(jù)特定的原則進(jìn)行事件過(guò)濾, 并決定適當(dāng)?shù)奶幚矸绞健J录淳o急程度劃分為不同的優(yōu)先級(jí), 優(yōu)先級(jí)高的事件優(yōu)先響應(yīng)。對(duì)于由同一問(wèn)題引發(fā)的連續(xù)事件盡量歸并, 對(duì)于不同來(lái)源的事件應(yīng)盡量關(guān)聯(lián)。
(5)工控設(shè)備智能識(shí)別定位
安全探針具有半自動(dòng)網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)技術(shù)和半自動(dòng)拓?fù)淅L制技術(shù),可將被監(jiān)測(cè)的工業(yè)控制網(wǎng)的拓?fù)湓陧?yè)面上動(dòng)態(tài)呈現(xiàn)。包括識(shí)別上下位設(shè)備的IP地址、MAC地址等設(shè)備屬性發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn),以及管理員對(duì)拓?fù)鋱D上的設(shè)備屬性進(jìn)行修改、添加設(shè)備或者刪除設(shè)備,并根據(jù)設(shè)備通信狀態(tài)進(jìn)行連線生成動(dòng)態(tài)拓?fù)鋱D。
當(dāng)控制網(wǎng)中設(shè)備發(fā)生異常行為,安全探針可直接在拓?fù)鋱D相應(yīng)設(shè)備上進(jìn)行報(bào)警。獨(dú)特的不間斷的網(wǎng)絡(luò)監(jiān)視功能,非常直觀方便的告知用戶是哪臺(tái)設(shè)備發(fā)生異常。網(wǎng)絡(luò)拓?fù)淇赏耆尸F(xiàn)出網(wǎng)絡(luò)中正在進(jìn)行的工作過(guò)程及安全事件,更直觀的對(duì)入侵行為進(jìn)行監(jiān)測(cè)。
安全探針可自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)及資產(chǎn)間通信狀態(tài),可半自動(dòng)生成網(wǎng)絡(luò)結(jié)構(gòu)動(dòng)態(tài)拓?fù)鋱D并可通過(guò)人工修改拓?fù)鋱D。動(dòng)態(tài)拓?fù)鋱D上可完全呈現(xiàn)出網(wǎng)絡(luò)中正在進(jìn)行的工作過(guò)程及安全事件,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中用戶資產(chǎn)的梳理,實(shí)時(shí)可見(jiàn)通訊狀態(tài),以及報(bào)警的精準(zhǔn)定位。
案例分析(案例1-蘇州某光伏企業(yè)):
檢測(cè)到網(wǎng)絡(luò)攻擊:發(fā)現(xiàn)有境外掃描器對(duì)企業(yè)內(nèi)網(wǎng)資產(chǎn)進(jìn)行掃描嗅探。
檢測(cè)到有害程序:發(fā)現(xiàn)2臺(tái)資產(chǎn)中木馬,并且木馬程序與外部CC服務(wù)器連接。
檢測(cè)到了有害程序:發(fā)現(xiàn)永恒之藍(lán)病毒。
處置方式:
內(nèi)網(wǎng)資產(chǎn)關(guān)閉不必要的映射端口和服務(wù)到互聯(lián)網(wǎng)。
外網(wǎng)出口防火墻配置安全訪問(wèn)防護(hù)策略。
對(duì)中木馬的資產(chǎn)進(jìn)行病毒查殺,并進(jìn)行主機(jī)加固。
案例分析(案例2-江蘇某化工企業(yè)):
檢測(cè)到惡意程序傳播:多臺(tái)服務(wù)器有傳播惡意程序。
檢測(cè)網(wǎng)絡(luò)攻擊:網(wǎng)絡(luò)掃描。
檢測(cè)到有害程序:基于smb協(xié)議傳輸惡意文件。
檢測(cè)到異常違規(guī)行為事件:sql緩沖區(qū)溢出攻擊
處置方式:
內(nèi)網(wǎng)防火墻增加安全防護(hù)策略,異常IP加入黑名單。
內(nèi)網(wǎng)資產(chǎn)關(guān)閉不必要的端口和服務(wù)。
對(duì)指定資產(chǎn)進(jìn)行病毒木馬查殺,并進(jìn)行主機(jī)加固。
案例分析(案例3-江蘇某電氣公司):
檢測(cè)到有害程序:基于http協(xié)議的傳輸惡意文件,蠕蟲(chóng)傳播。
檢測(cè)到有害程序:檢測(cè)到相關(guān)間諜軟件用戶代理。
檢測(cè)到網(wǎng)絡(luò)攻擊事件:檢測(cè)到基于http協(xié)議的ddos攻擊工具HOIC。
檢測(cè)到網(wǎng)絡(luò)工具事件:檢測(cè)到基于http的目錄穿越
處置方式:
發(fā)現(xiàn)了大量攻擊,與IT人員溝通,防護(hù)墻壞了導(dǎo)致,重裝防火墻進(jìn)行網(wǎng)絡(luò)攻擊防范。
4 效益分析
(1)貫徹落實(shí)信息安全政策文件和支撐服務(wù)政府工作
貫徹落實(shí)黨中央、國(guó)務(wù)院相關(guān)文件精神,構(gòu)建涵蓋省級(jí)重要節(jié)點(diǎn)的工業(yè)監(jiān)測(cè)網(wǎng)絡(luò),加強(qiáng)對(duì)所轄工業(yè)企業(yè)日常監(jiān)督管理,形成快速高效、各方聯(lián)動(dòng)的信息通報(bào)預(yù)警.Yeah體系,持續(xù)完善我省工業(yè)網(wǎng)絡(luò)安全保障體系。
(2)推動(dòng)工業(yè)4.0、兩化深度融合在我省安全可靠發(fā)展
構(gòu)建企業(yè)側(cè)態(tài)勢(shì)感知系統(tǒng),建立完善的監(jiān)管體系,實(shí)現(xiàn)對(duì)全省工業(yè)企業(yè)安全事件監(jiān)督管理,全力保障我省工業(yè)企業(yè)轉(zhuǎn)型升級(jí)。
(3)逐步形成我省工業(yè)互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)預(yù)警和信息共享能力
全面掌握我省工業(yè)互聯(lián)網(wǎng)暴露在公網(wǎng)的工業(yè)資產(chǎn)情況以及工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全狀況,有效促進(jìn)我省各級(jí)主管部門和工業(yè)互聯(lián)網(wǎng)運(yùn)營(yíng)單位提升工業(yè)網(wǎng)絡(luò)安全意識(shí)、及時(shí)開(kāi)展風(fēng)險(xiǎn)消減,逐步形成我省工業(yè)控制信息安全風(fēng)險(xiǎn)預(yù)警和安全信息共享能力。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)