具有嵌入式安全应用和单向通信的数据捕获装置的制作方法

1.本申请涉及网络安全。更具体地，本申请涉及一种具有嵌入式软件应用以支持对受保护网络和硬件的入侵检测以确保与外部入侵检测系统的单向通信的装置。


背景技术：

2.长期以来，对专用计算机网络的网络攻击一直处于使用信息技术进行检测和保护的最前沿。现在，网络攻击者入侵工业系统，诸如支持关键基础设施的自动化和控制系统的威胁，正在受到关注。由于生产系统的垂直集成和价值链的水平集成等方面，工业控制系统(ics)网络被通常直接或间接连接到it网络(办公网络)和因特网，因此为网络攻击者提供了机会渗透此类环境并利用任何现有漏洞。诸如可编程逻辑控制器(plc)、分布式控制系统(dcs)、运动控制器、监督控制和数据采集(scada)服务器以及人机界面(hmi)之类的ot(运营技术)系统在涉及部署安全措施方面还面临许多其它问题。
3.近年来，攻击方法已经发生了变化，从好奇的黑客执行的简单方法，到由积极进取的顶尖专家精心设计的高级持续威胁(apt)，有时还利用由某些国家/地区提供赞助的扩展资源。检测此类定向攻击和其它一般攻击活动需要采用安全监控技术，其中包括基于签名的入侵检测、基于行为的异常检测、端点检测和响应(edr)等。
4.与企业信息技术(it)系统中采用的用于部署网络或基于主机的安全检测机制的解决方案相比，工业系统需要使用非入侵方法来最大程度地减小系统中断的风险。除了存在大量的传统设备外，运营技术(ot)网络还与ot系统原始设计方面(诸如入侵式网络以及端口扫描和漏洞枚举工具所采用的系统配置)不支持的嵌入式系统(例如，工业物联网(iiot))一起运行。
5.当前的解决方案通过将工业控制系统的网络流量转发到中心监控和入侵检测系统来为工业控制系统提供异常检测。但是，这些解决方案完全基于软件，没有基于硬件的隔离来避免监控网络和被监控网络之间的直接通信。这种基于软件的解决方案的另一个问题是无法抵抗能够操纵入侵检测系统逃避检测的复杂威胁。此外，对安全软件的任何修改可能都需要完整的硬件集删除和替换。尽管此方法在企业it领域已得到很好的容忍，但由于生产系统的任何修改都涉及高成本和风险，因此部署在生产系统中的ot系统的管理员不愿面对此类精细检查。


技术实现要素：

6.为了解决上述问题，公开了一种装置，该装置采用完全被动安全性检测，其结合了用于与远程入侵检测系统进行单向通信的硬件屏障和能够本地托管诸如入侵检测、异常检测、加密和完整性特征集、数据分析以及与远程数据分析平台的互操作性以进行更深入的评估操作之类的安全应用的一个或多个模块化应用。模块化应用(例如，每个被部署为应用容器或虚拟机(vm)的模块化应用)通过允许来自不同供应商的应用的部署，以及通过允许在需要更新或发现漏洞时快速且轻松地替换任何单个应用，从而实现了灵活性。这样的解
决方案解决了以单向方式监控、捕获和分析来自关键和敏感系统的网络数据的问题，使得接收网络(例如，基于云的入侵检测系统(ids)服务器)不能与被监控的网络交互。一个或多个主机安全性应用可用于过滤传输到一个或多个网络外高容量服务器的单向流量，以有效利用带宽并降低ids服务成本。
附图说明
7.参考以下附图描述了本实施例的非限制性和非穷举性的实施例，其中，除非另外指明，否则在整个各个附图中，相同的附图标记指代相同的元件。
8.图1示出了根据本公开的实施例的单向数据捕获装置的示例的框图。
9.图2示出了根据本公开的实施例的数据捕获装置的软件堆栈的示例。
10.图3示出了根据本公开的实施例的数据包过滤功能的示例。
11.图4示出了根据本公开的实施例的数据捕获装置的软件堆栈的另一示例。
具体实施方式
12.公开了用于使用单向通信对安全网络进行有效监控以避免从用于接收被监控数据进行入侵检测的公共网络向安全网络进行任何传输的方法和装置。增强的入侵检测可以识别利用安全网络的漏洞的尝试。使用所公开的方法和装置使用可信任的被动网络连接，以允许外部入侵检测系统监控关键网络的异常或恶意活动。单向连接允许通过数据分析进行远程状态监控、管理服务并提高效率，而不会引入可访问和可利用的漏洞。数据传输是通过感应进行的，其附加优点是对分接信号的特性的影响极小。在两个网络之间没有直接的硬线连接的情况下，就实现了具有电隔离的被动连接，从而有效地阻止了经由数据捕获装置将数据发送到关键网络的任何尝试。即使在断电的情况下，数据捕获装置也不会以任何方式影响或改变关键网络的数据通信和功能。隔离了可能干扰关键网络的错误电流或不期望电流。传输是未寻址的，从而为关键网络提供了进一步的保护。数据捕获装置可以使在诸如工业自动化、铁路自动化、能源自动化和生产自动化的系统中实现的受保护的专用网络受益。
13.图1示出了根据本公开实施例的单向数据捕获装置的示例的框图。数据捕获装置10包括处理器21、22，接收单元13，发送单元14，以及窃听单元15，窃听单元用于隔离从it网络12(例如，公共网络)到ot安全网络11(例如，受保护和/或专用网络)的传输并且仅允许从网络11到网络12的单向通信。在一个实施例中，网络11可以为专用网络(例如，工业控制系统、金融网络、铁路自动化和控制或生命攸关的系统)，其从位于不安全的公共网络12中的服务提供商寻求监控和评估服务，诸如能够提供与安全性或诊断相关的深入数据分析的基于因特网或基于云的服务。网络11的装置20、21、22可包括控制计算机和现场装置，该装置具有与诸如工业生产设施或铁路自动化系统的专用或关键基础设施的控制和操作相关联的传感器和致动器。装置20、21、22经由双向通信连接19(例如，局域网(lan)或无线lan(wlan))连接到发送单元14。在一个实施例中，在监控和诊断活动期间，发送单元14可以请求由装置20、21、22收集的网络11状态信息，该装置可以将请求的信息发送回发送单元14。网络11内的双向通信可以例如经由opc ua协议进行。双向通信连接19可以包括在与网络11中使用的通信协议的osi协议栈相对应的所有协议层上的连接建立。这包括例如装置20、
21、22和请求装置14的相互认证以及所发送的第一数据的受密码保护的传输。在这种情况下，可以经由通信连接19以加密形式传输数据以执行安全传输。发送单元14包括网络接口6，通信连接19在该网络接口处终止，并且可以包括解密模块，以允许在发送单元14内对所请求的数据进行数据处理。
14.在一个实施例中，发送单元14可以以被动方式操作(例如，“嗅探”操作)以进行被动入侵检测，在该方式中，主动请求不会被发送到装置20、21、22。
15.在发送单元14的输出接口7与输入接口9之间形成回路连接8。回路连接8也被集成在窃听单元15内，以与窃听器25形成感应连接。输出接口7和输入接口9与网络接口6隔离。所请求的数据可以可选地被存储在请求数据库17中，该数据库可以被实施为集成组件或连接的外部数据库。
16.窃听单元15包括窃听器25。在一方面，通过回路连接8的数据流被窃听器25以感应的方式复制，并经由单独的连接传递到接收单元13，而原始数据流在回路8中保持不变地流回发送单元14的输入接口9。窃听单元15代表网络11与网络12之间的连接点。通过连接的感应配置，仅能实现从通信连接8到接收单元13的单向地传输复制的数据。数据不能从窃听器25流到连接回路8，这意味着安全网络11相对于低安全网络12不受干扰。在一方面，窃听器25功能用作网络测试接入点(tap)，该接入点经由回路连接8拦截输入接口7与输出接口9之间的传输，并将该数据复制到接收单元13中的监控端口。在一个实施例中，窃听器25被实现为交换端口分析器(span)，其对回路连接8上的被拦截的传输执行端口镜像。
17.可以可选地将存储有复制的数据的评估数据库16连接到接收单元13。评估数据库16也可以被实施为接收单元13的集成组件。
18.接收单元13可以包括用于支持网络11的连续安全监控和诊断(例如，诸如本地入侵检测或异常检测)的嵌入式网络安全应用(“app”)，稍后将对其进行详细描述。为了进行深入评估，诸如入侵检测、数据分析等，可以将装置20、21、22的请求状态信息传送到网络12(例如，基于云的网络，办公网络或公共网络)中的网外评估系统18。通过窃听单元15中的网络11和网络12之间的物理隔离连接(即，感应耦接)，实现了通过无反馈传输数据(即，不受干扰)来确保单向通信的技术解决方案。
19.在接收单元13中接收到的复制的数据可以通过推送机制(例如，通过主动传递，诸如以发布和订阅的方式)传送到评估系统18，或者在评估数据库16中缓存的情况下，可以通过评估系统18的拉取机制(即，主动请求接收器装置13或评估数据库16)传送到评估系统18。
20.以类似的方式，由安全网络11中的发送单元14所请求的请求数据可以被缓冲在请求数据库17中，并且例如经由回路连接8以规则的间隔或以预定义的时间间隔进行发送。
21.数据捕获装置10包括处理器21、22，该处理器可以包括一个或多个中央处理单元(cpu)、图形处理单元(gpu)或本领域中已知的任何其它处理器。更一般地，本文描述的处理器为用于执行存储在计算机可读介质上的机器可读指令、用于执行任务的装置并且可以包括硬件和固件中的任何一者或其组合。在一方面，部署在接收单元13中的任何软件和固件都由处理器21执行。在一方面，处理器22执行部署在发送单元14中的任何软件和固件，以维持网络11与网络12之间的物理隔离，以确保单向通信。处理器21、22还可以包括存储器，其存储可执行以执行任务的机器可读指令。处理器21通过操纵、分析、修改、转换或发送信息
以供可执行程序或信息装置使用，和/或通过将信息路由到输出装置来对信息起作用。处理器21、22可以使用或包括例如计算机、控制器或微处理器的能力，并且可以使用可执行指令来调节以执行不由通用计算机执行的专用功能。处理器21可以包括任何类型的合适的处理单元，包括但不限于中央处理单元、微处理器、精简指令集计算机(risc)微处理器、复杂指令集计算机(cisc)微处理器、微控制器、专用集成电路(asic)、现场可编程门阵列(fpga)、片上系统(soc)、数字信号处理器(dsp)等等。此外，处理器21、22可以具有任何合适的微体系结构设计，其包括任意数量的组成部件，诸如例如，寄存器，多路复用器，算术逻辑单元，用于控制对高速缓存存储器的读/写操作的高速缓存控制器，分支预测器等。处理器21、22的微体系结构设计可能够支持多种指令集中的任何一种。
22.图2示出了根据本公开的实施例的数据捕获装置的软件堆栈的示例。在一方面，发送器堆栈210和接收器堆栈220分别处理数据捕获装置10的受信方和不受信方的操作。在一个实施例中，发送堆栈210的软件/固件体系结构在发送单元14内运行，而接收堆栈220的软件体系结构在接收单元13内运行。
23.发送器堆栈210包括引导加载程序211和固件212，该固件包括用于数据捕获装置10的操作指令。单向网络流量阻挡器应用214控制数据捕获装置10的单向数据流。例如，回路连接8的硬件复制器和窃听器25的操作可以由现场可编程门阵列(fpga)控制，该现场可编程门阵列可以根据单向网络流量阻止器应用214的指令进行操作。单向网络接口215控制数据捕获装置10的单向数据流251。
24.接收器堆栈220包括引导加载程序221和固件222，该固件利用操作指令来运行接收单元14。引导加载程序221可以加载用于加载一个或多个应用的桥系统。每个应用可以与管理程序231一起工作，该管理程序在应用层233的每个模块化应用app1、app2、...、appn之间提供隔离。虚拟主机管理器232可以包括模块化应用运行所需的库、运行时和内核。应用层233的一个或多个模块化应用可以实现以下功能和能力，这些功能和能力可以包括但不限于安全异常检测，入侵检测，加密和完整性功能集，数据分析，与一个或多个外部数据平台(例如，评估系统18)的连通性和互操作性。在一方面，应用层233的一个或多个应用可以组合地进行操作。例如，模块化应用可以包括具有基于签名的入侵检测功能的第一应用和具有基于行为的异常检测功能的第二应用。网络11流量在发送单元14处经由复制的数据被暴露给应用层233的应用。双向网络接口225控制数据捕获装置10的双向数据流。
25.在接收单元13中(即，在窃听单元15的接收器侧)部署应用层233的模块化应用的优势在于，可以交付每个应用的安全功能，并具有即兴添加和删除应用层233的应用的能力。可以从应用市场分发和部署应用层233的模块化应用，在该市场中，装置操作员可以适当地选择应用，并经由作为数据捕获装置10的一部分提供的管理工具来自动安装或删除它们。例如，为了支持评估系统18，可以部署app1来实现包过滤功能，以减少单向通信中的传输数据。应用层233的模块化应用通过在应用app1、app2、...、appn之间划分功能来控制运行中的应用的性能开销。应用层233的模块化应用的另一个优点在于，数据捕获装置10可以容易地重新配置，而不必重新构造或修改安全网络11的体系结构。此外，模块化应用的部署非常灵活，因为它允许部署并非特定于任何一个推销商或制造商(包括原始设备制造商(oem))的应用或库。这种灵活性允许通过最新部署新的基于软件的新技术(在其可用时)(包括分析功能)或在发现某个特定应用具有需要补丁程序的新发现漏洞或替换为其它推
销商的应用的情况下，通过最新部署基于软件的新技术来维护网络11的保护。应用层233的一个或多个安全应用可以通过在发现异常数据包时向网络11运营者发出警报，来提供对捕获的日期和预警能力的成本有效的分散式分析。
26.在一方面，可以在应用层233的安全应用和评估系统18之间划分网络流量11的分析和评估，以平衡集中式和分散式入侵检测。
27.图3示出了根据本公开的实施例的数据包过滤功能的示例。所请求的数据包310表示由接收单元13接收到的复制的数据。检查器311解析网络数据包310。过滤器312应用数据包过滤功能以减少要由发送器单元313转发到网络12上的评估系统18的数据包320的数量。网络12上单向通信量的减少降低了评估系统18基于云的部署的成本，该成本可能来自按数据包付费的费用结构。过滤器312的数据包过滤功能可以被编程为仅发送潜在的恶意数据包，诸如基于过滤器规则指示异常的数据包。例如，比较分析可以使用通过网络11的本地工业控制系统的历史数据监控建立的基线数据。这种数据包过滤功能可以消除对单独的防火墙计算机的任何需求。
28.在一方面，在接收单元13处捕获的数据在取证上是合理的，其用可验证的证书进行数字签名，从而如果捕获的数据被篡改或破坏，则签名将无效。例如，应用层233的应用可以包括对pki/数字证书进行编码的数字完整性功能，该pki/数字证书可以提供对静态和传输中收集的数据的篡改证明。可以验证存储的流量数据是否具有数字证书和/或签名。当监控捕获的数据时，运行应用层233的一个或多个安全应用以分析数据中的安全异常或其它行为，这些安全异常或其它行为取决于应用或其它嵌入式软件库。异常被定义为网络或过程数据的变化或波动，其表明网络安全存在故障。
29.在一方面，数据捕获装置10被配置有保护性特征，使得接收单元13、发送单元14和窃听单元15能够在物理恶劣的环境中操作，诸如在制造、发电、移动性或其它工业环境中操作。例如，保护性壳体可以防止来自工业过程的电磁干扰，弹性安装架可以防止由于振动引起的异常操作，并且热管理特征(例如散热器、风扇、玛蹄脂等)可以防止在热恶劣的环境中的过热。
30.在一方面，数据捕获装置10提供了用于在不受干扰的受保护网络中进行入侵检测的自包含的工业级单装置解决方案并且避免了由非安全入侵检测系统直接连接的数据收集。与涉及将app套件安装到监控装置上的解决方案不同，数据捕获装置10能够重新配置模块化应用功能。
31.图4示出了根据本公开的实施例的数据捕获装置的软件堆栈的另一示例。作为图2所示实施例的变型，发送器堆栈210可以部署与接收者堆栈220的应用层233的应用匹配的应用层243的冗余应用。在一方面，比较冗余应用的测试结果以检查异常。应用层243的每个应用都可以与管理程序241一起工作，该管理程序在应用层243的每个模块化应用app1、app2、...、appn提供隔离。虚拟主机管理器242可以包括模块化应用243运行所需的库、运行时和内核。
32.在一方面，可以根据网络11的安全需要通过分别部署、移除或替换应用来重新配置应用层233、243。应用层233、243的配置可以通过网络11共享。
33.在一方面，应用层233、243的一个或多个应用可以提供捕获和分析与网络11的一般网络数据分离的过程数据的能力。
34.在一方面，可以将应用层233、243的一个或多个应用部署为应用容器(例如，docker)。可替代地，可以将应用层233、243的一个或多个应用部署为访客虚拟机(vm)或虚拟化应用。
35.图中的系统和过程不是唯一的。可以根据本发明的原理导出其它系统、过程和菜单以实现相同的目的。尽管已经参考特定实施例描述了本发明，但是应该理解，本文示出和描述的实施例和变化仅用于说明目的。在不脱离本发明的范围的情况下，本领域技术人员可以实现对当前设计的修改。如本文所述，可以使用硬件部件、软件部件和/或其组合来实现各种系统、子系统、代理、管理器和过程。