本发明及工业控制系统信息安全领域,尤其涉及一种采用黑白名单进行分析的工控信息安全监控系统。
背景技术:
由dcs、plc和scada等控制系统构成的控制网络,在过去几十年的发展中呈现出整体开放的趋势。随着信息技术在企业中的应用,工业控制网络中大量采用通用tcp/ip和opc协议技术,ics网络和企业管理网的联系越来越紧密。而传统工业控制系统采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通的通信安全问题。
一般的工业系统安全防护中,使用单一的黑名单或白名单机制,没有将二者结合作为防御体系,并且存在大量人工操作,费时费力。在使用单一黑名单的工业系统安全防护系统中,由于黑名单本身受到规则限制不能对新出现的攻击行为进行监控判断,另外黑名单机制存在许多误报的可能,为使用者判断是否真正的攻击带来不便。
在使用单一白名单的工业系统安全防护系统中,白名单机制不能给出具体的受到攻击的细节,从而无法有针对性地对网络中的安全隐患进行排查、清除。
工控信息安全领域急缺行之有效的安全理论体系和方法论,既能整合传统信息安全中的各种技术,又能适应工业控制系统,尽可能不因为系统的复杂度提高,引入新的问题。
因此,研发一种采用黑白名单进行分析的工控信息安全监控系统,对工业生产环境中所遇到的异常进行实时监控,将黑、白名单结合的信息流产生报警势在必行。
技术实现要素:
本发明的目的在于提供一种采用黑白名单进行分析的工控信息安全监控系统,本发明系统拓展工控协议的相关研究,从黑、白名单分析着手,建立完整的工业控制网络监控体系,从而为工控方面信息流和指令流分析提供数据采集和分析方法,减少误报以及人工操作,有效提升本系统的报警准确性,为工控信息安全策略的制定提供基础和验证工具,是非常符合传统信息安全发展和工控领域对信息安全需要的解决思路。
为实现上述目的,本发明提供如下技术方案:
一种采用黑白名单进行分析的工控信息安全监控系统,所工控信息安全监控系统由以下步骤组成:
s1、初始样本库采集:监控装置采集现场监控网络上所有数据包,并分析该数据包获取七元组信息,可根据样本库设置白名单规则和资产列表;
s2、黑名单规则形成及报警产生:内置入侵检测规则库,当监控装置进行数据包解析时发生特征匹配时,会产生入侵检测的报警,用户能够查看每条规则的详细信息,包括行为、描述以及处理建议;
s3、白名单规则形成及报警产生:将样本库中的资产转成资产白名单,资产白名单就是合法资产的列表,没有列为白名单的资产就是非法资产,无论什么通信行为,都会立刻报警,报警的类别为未知设备,在已经配置资产白名单的基础上,可以将样本库中的通信行为转成通信白名单,通信白名单指将合法的通信行为添加到白名单规则,没有列为通信白名单的就是非法通信行为,可以通过智能学习方式,结合黑名单规则,自动分析生成通信白名单规则,当发生的通信行为不在白名单规则范围内,都会立刻报警,报警的类别为未知通信行为;
s4:通信白名单的智能生成:通过长时间的学习,系统掌握网络中数据变化的动态,具体到每一个资产与其他设备间通信的变化与规律,结合排除黑名单检测结果的基础,形成高准确度的通信白名单规则,减少系统误报率,加强检测的精确度;
s5、协议规则形成及报警产生:协议规则遵守白名单规则的原则,在配置完资产白名单规则、通信白名单规则之后,产品会对这个白名单内的资产的通信行为进行工业协议分析,得到协议白名单,在不配置规则的情况下,指令变更、组态变更、负载变更都会自动报警,阈值报警是需要配置正确范围才能发生报警;
s6、可视化报警以及报表展示:对现场监控的所有设备进行管理,并根据现场设备及网络状况半自动生成网络拓扑图,发现报警及时在该设备上闪烁红色标志以明确定位报警设备,报表展示功能是对报警日志、流量日志进行分析、分类统计,最终通过图表形式展示呈现。
所述s2中的黑名单规则形成是指一个基于模式匹配的网络入侵检测系统,所述模式匹配,是与状态分析相对应的,指系统预先定义一些入侵检测的特征码,将实际数据包与特征码相匹配,以判断检测数据包是否包含了一个入侵的行为,可检测入侵行为包括病毒、木马、拒绝服务攻击、web攻击、dns攻击、arp攻击、端口扫描、缓冲区溢出攻击、ftp攻击、icmp攻击等。
所述s1中的样本库指的是通过系统对网络中原始数据的采集,并进行层层解析,样本库存储数据帧源mac、目的mac、源ip、目的ip、源端口、目的端口以及协议类型的七元组信息。
所述s3中的资产白名单具有展示资产名称、资产ip、资产类型、描述,以及修改添加删除功能,主要通过数据采集后,根据客户需求,把合法的目标ip、源ip转换成合法资产,不在此合法资产内的资产产生数据通讯行为,就会有报警信息产生。
所述s3中的通信白名单具有展示源ip、源端口、目标ip、目标端口、协议类型、应用的协议类型以及添加修改删除功能,主要通过数据采集后,把合法的源ip、源端口、目标ip、目标端口转入合法的通讯,不在此业务通讯中的则会产生报警。
所述s5中的协议白名单为展示modbus协议、opc协议、s7协议、iec103协议、iec104协议、cip协议、fins协议,可以配置控制参数白名单,阈值参数配置,其中s7协议、modbus协议具有上传下载规则和通讯状态监测功能,配置工控协议后,分析数据包会根据这些配置来进行报警。
与现有技术相比,本发明的有益效果是:
1、黑名单与白名单机制同时应用在系统中。黑名单机制是将网络数据中攻击特质提取为黑名单规则,从而实现检测。但当新型的攻击出现时,黑名单机制无法检测出。白名单机制是将网络通信行为作为规则名单,在名单中的通信视为正常通信,不在白名单的中的行为一律视为非法,白名单机制缺乏特征值的匹配。将黑、白名单结合使用,即使已经在白名单中的通信出现了攻击行为也能够被黑名单机制发现,加强了系统面对攻击行为的细粒度分析;给管理人员更加可靠的依据,由于白名单可以配置到具体的设备资产,当发现报警行为时能够缩小排查范围,对于报警的判断能够精确判断,提高了报警的准确性。在黑名单无法覆盖的新型攻击出现时,白名单机制只对规则信任范围内的通信视为合法,新型攻击也会被白名单机制所发现并报警。黑名单与白名单的共同使用,可以将黑名单的对攻击细粒度体现以及白名单的准确性严格性进行了结合,两种机制形成了互补,从而提高整体性能效率。
2、通信白名单的智能生成。智能生成不仅能够减少人为操作的繁琐与失误,还能够更加准确地制定白名单规则。通过长时间的学习,系统掌握网络中数据变化的动态,具体到每一个资产与其他设备间通信的变化与规律,结合排除黑名单检测结果的基础,形成高准确度的通信白名单规则,减少系统误报率,加强检测的精确度。
3、可视化展示。拓扑图的绘制能够还原网络系统中的资产位置,当发生报警时,可以很快速定位到具体的资产位置,对于所处网络中的位置一目了然,对于下一步的安全防范提供准确参考。能够生成针对每月、或定制化时间的报表,报表是将监控系统产生的报警、威胁进行汇总统计,对大量的数据进行分析,统计威胁行为,形成饼状图、柱状图,可以从整体上快速了解到网络中安全问题。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种采用黑白名单进行分析的工控信息安全监控系统,所工控信息安全监控系统由以下步骤组成:
s1、初始样本库采集:监控装置采集现场监控网络上所有数据包,并分析该数据包获取七元组信息,可根据样本库设置白名单规则和资产列表;
s2、黑名单规则形成及报警产生:内置入侵检测规则库,当监控装置进行数据包解析时发生特征匹配时,会产生入侵检测的报警,用户能够查看每条规则的详细信息,包括行为、描述以及处理建议;
s3、白名单规则形成及报警产生:将样本库中的资产转成资产白名单,资产白名单就是合法资产的列表,没有列为白名单的资产就是非法资产,无论什么通信行为,都会立刻报警,报警的类别为未知设备,在已经配置资产白名单的基础上,可以将样本库中的通信行为转成通信白名单,通信白名单指将合法的通信行为添加到白名单规则,没有列为通信白名单的就是非法通信行为,可以通过智能学习方式,结合黑名单规则,自动分析生成通信白名单规则,当发生的通信行为不在白名单规则范围内,都会立刻报警,报警的类别为未知通信行为;
s4:通信白名单的智能生成:通过长时间的学习,系统掌握网络中数据变化的动态,具体到每一个资产与其他设备间通信的变化与规律,结合排除黑名单检测结果的基础,形成高准确度的通信白名单规则,减少系统误报率,加强检测的精确度;
s5、协议规则形成及报警产生:协议规则遵守白名单规则的原则,在配置完资产白名单规则、通信白名单规则之后,产品会对这个白名单内的资产的通信行为进行工业协议分析,得到协议白名单,在不配置规则的情况下,指令变更、组态变更、负载变更都会自动报警,阈值报警是需要配置正确范围才能发生报警;
s6、可视化报警以及报表展示:对现场监控的所有设备进行管理,并根据现场设备及网络状况半自动生成网络拓扑图,发现报警及时在该设备上闪烁红色标志以明确定位报警设备,报表展示功能是对报警日志、流量日志进行分析、分类统计,最终通过图表形式展示呈现。
所述s2中的黑名单规则形成是指一个基于模式匹配的网络入侵检测系统,所述模式匹配,是与状态分析相对应的,指系统预先定义一些入侵检测的特征码,将实际数据包与特征码相匹配,以判断检测数据包是否包含了一个入侵的行为,可检测入侵行为包括病毒、木马、拒绝服务攻击、web攻击、dns攻击、arp攻击、端口扫描、缓冲区溢出攻击、ftp攻击、icmp攻击等。
所述s1中的样本库指的是通过系统对网络中原始数据的采集,并进行层层解析,样本库存储数据帧源mac、目的mac、源ip、目的ip、源端口、目的端口以及协议类型的七元组信息。
所述s3中的资产白名单具有展示资产名称、资产ip、资产类型、描述,以及修改添加删除功能,主要通过数据采集后,根据客户需求,把合法的目标ip、源ip转换成合法资产,不在此合法资产内的资产产生数据通讯行为,就会有报警信息产生。
所述s3中的通信白名单具有展示源ip、源端口、目标ip、目标端口、协议类型、应用的协议类型以及添加修改删除功能,主要通过数据采集后,把合法的源ip、源端口、目标ip、目标端口转入合法的通讯,不在此业务通讯中的则会产生报警。
通信白名单智能学习:通过对网络中数据的智能学习,自动生成通信预选白名单,并剔除黑名单中出现的通信行为,最终生成智能化通信白名单规则。
所述s5中的协议白名单为展示modbus协议、opc协议、s7协议、iec103协议、iec104协议、cip协议、fins协议,可以配置控制参数白名单,阈值参数配置,其中s7协议、modbus协议具有上传下载规则和通讯状态监测功能,配置工控协议后,分析数据包会根据这些配置来进行报警。
拓扑图管理:对合法资产做新增删除修改,以及资产网卡绑定,更能直观体现出资产信息,资产报警时会根据报警级别来渲染资产,资产元素表包(网卡、调度站、监控引擎、服务器、路由、网关等)可以新增修改和删除。解决报警问题缺乏可视化、难以定位的问题。
统计报表:根据开始日期和结束日期来统计,报警数量,报警类型分布,报警等级比例,资产数量统计,资产分类,资产健康值,资产报警排名,网络通讯类型,通讯健康值,总流量趋势图,异常流量趋势图,入侵行为分类,入侵行为健康值,协议报警分析,协议报警详细统计,并提供导出pdf功能,以便做成报告。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。