用于被动评估工业边界安全的系统和方法技术方案

一种用于评估和管理网络的网络安全的计算机实现的方法，包含利用处理器检索拓扑数据和网络流量数据，其中拓扑数据指示网络的拓扑。该方法可还包含：经由处理器，从多个网络数据收集器检索网络流量数据；经由处理器，基于拓扑数据和网络流量数据生成攻击树；利用攻击树和拓扑数据，更新客户模型数据库；以及基于攻击树和拓扑数据，输出安全评估。

【技术实现步骤摘要】
【国外来华专利技术】用于被动评估工业边界安全的系统和方法
技术介绍
本公开涉及工业安全，并且更具体地涉及工业边界安全的被动评估。工业控制系统环境中的工业安全服务提供商在评估所采用的网络安全配置的质量时面临着多重挑战。尤其是，评估网络中采用的访问控制列表(ACL)的质量会带来很多挑战，如果处理不当，其可能无法提供简化的安全评估。可能会因为所采用的ACL的质量可在针对不同网络区域的不同网络边界上被不同地观察到而出现挑战。自动收集这些信息会带来很多挑战。例如，工业控制系统网络环境通常在高度隔离的环境中包括多层交换机、路由器，因此需要与每个层进行物理连接以进行网络流量和配置检索和记录。探测技术可能不太理想，因为工业环境可能包括对主动网络探测高度敏感的装置。在某些情况下，在工业环境中运行的许多已安装的传统可编程逻辑控制器(PLC)可能非常易受由于使用诸如网络映射器(例如NMAP)的网络发现工具而导致的故障状态错误的影响。用于工业环境中的网络安全评估的现有方法和装置可能不提供有效的规则使用验证和/或与先进的攻击矢量不相关。在许多情况下，资产所有者可能会简单地选择不将这些活动作为网络审计检查过程的一部分执行。相反，他们可能仅仅专注于寻找高度差异的开放网络规则(例如，“允许任意”、“允许IP”、对通信端口没有限制等)。然而，分析可能高度依赖网络安全从业者的判断和经验。手动评估可以作为传统策略的一部分来实施。安全分析师手动地检查和将应用的ACL与防火墙和多层分组处理装置进行关联在许多情况下是通常采用的做法，在这些情况下只提供网络装置的离线配置。这种方法可能仅限于安全分析师读取和处理大量网络规则(大多数情况下)的能力。随着人工参与和分析的增加，手动地验证ACL相对于所记录的流量的选项可能变得不足并且容易出错。其它传统的网络安全评估的策略可能包含使用自动化现有评估工具。一般来说，现有自动化工具可以分为以下两类：第一类自动化解决方案可能包含防火墙/交换机/路由器配置审计和合规工具，这些工具可能专注于收集和处理针对安全最佳实践的内部知识库(KB)所应用的配置。第二类可能包含防火墙策略优化工具，这些工具可用作连接工具，该工具利用路由表、点击计数和日志等可用信息来提供历史流量分析和规则集优化。应用的网络规则相对于实际流量的评估只有在审计服务器可以访问装置的情况下才有可能。无论哪种情况，传统现有防火墙配置审计工具通常都需要连接到目标网络装置。例如，对于工业控制环境的评估，通过防火墙、工业防火墙、多层网络交换机、路由器等的连接可能是有问题的，以便验证所观察的流量对应于配置的ACL条目，并且不存在“未使用的或者过宽的网络规则“。在其它情况下，网络基础架构和安全配置可能由第三方IT管理服务提供商(MSP)常规控制，合同义务是限制对其员工的管理访问。这可能会导致难以通过各种防火墙、多层网络交换机、路由器等进行连接。传统的网络安全评估系统也可能缺乏一种机制来模拟考虑到当前采用安全配置的网络可利用的最近披露的脆弱性的影响。换句话说，尽管关于脆弱性和(离线)防火墙配置的信息都可用，但可能没有任何自动化机制将这些信息关联起来，并警告资产所有者有关新的攻击矢量，这些攻击矢量可能会针对现有的有效ACL执行攻击。除了上述问题之外，采用“周期性防火墙配置审计”方法通常会暴露受控工业网络环境的受攻击面。随着暴露的增加，攻击矢量和恶意渗透的风险也会增加。
技术实现思路
根据一些实施例，描述了一种用于评估和管理网络的网络安全的计算机实现的方法。该方法可以包含利用处理器检索拓扑数据和网络流量数据，其中拓扑数据指示网络的拓扑。该方法可还包含：经由处理器，从多个网络数据收集器中检索网络流量数据；经由处理器，基于拓扑数据和网络流量数据生成攻击树；利用攻击树和拓扑数据，更新客户模型数据库；并且基于攻击树和拓扑数据输出安全评估。根据其它实施例，描述了一种用于评估和管理工业控制系统网络的网络安全的系统。该系统可包含配置成检索拓扑数据和网络流量数据的处理器，其中，拓扑数据指示网络的拓扑。处理器可以还配置为：从多个网络数据收集器检索网络流量数据；基于拓扑数据和网络流量数据生成攻击树；利用攻击树和拓扑数据更新客户模型数据库；并基于攻击树和拓扑数据输出安全评估。根据其它实施例，描述了一种非暂时性计算机可读存储介质。非暂时性计算机可读存储介质可以被配置为存储当由处理器执行时执行用于评估和管理工业控制系统网络的方法的计算机可执行指令。该方法可包含利用处理器检索拓扑数据和网络流量数据，其中拓扑数据指示网络的拓扑。该方法可还包含：经由处理器，从多个网络数据收集器中检索网络流量数据；经由处理器，基于拓扑数据和网络流量数据生成攻击树；利用攻击树和拓扑数据，更新客户模型数据库；并且基于攻击树和拓扑数据，输出安全评估。根据其它实施例，描述了一种用于在网络中收集和存储网络数据流信息的收集器装置。收集器装置可以包含：网络接口，被配置为与网络中的网络路由装置进行接口连接；LED通信光传感器，被配置为选择性地从LED通信光发射器接收来自网络路由装置的、指示网络数据流量信息的通信信号；计算机存储器，可操作地连接到LED通信光传感器并且被配置为存储网络数据流信息；输出接口，配置为发送所存储的网络数据流信息；以及硬开关，与所述网络接口连接并且被配置为选择性地允许数据仅在一个方向从LED通信光发射器发射到LED通信光传感器。附图说明尤其指出了被认为是本专利技术的主题，该主题在说明书结尾处的权利要求中被清楚地要求保护。从以下结合附图的详细描述中，本专利技术的上述和其它特征以及优点是显而易见的，其中：图1示出用于实践本文教导的计算机系统的框图；图2图示了根据示例性实施例的用于执行工业边界安全的被动评估方法的计算环境；图3A图示了根据一些实施例的被动网络数据收集器；图3B图示了根据示例性实施例的准确收集器装置的系统；图4图示了根据示例性实施例的安全评估引擎；图5图示了根据示例性实施例的客户风险模型；图6图示了根据示例性实施例的客户端安全引擎模型；以及图7图示了根据示例性实施例的用于网络安全管理的方法。具体实施方式图1示出了用于实践本文描述的实施例的计算机系统100(以下称为“计算机100”)的框图。本文描述的方法可以用硬件、软件(例如，固件)或其组合来实现。在示例性实施例中，本文描述的方法以硬件实现，并且可以是专用或通用数字计算机的微处理器的一部分，例如个人计算机、工作站、小型计算机或大型计算机。计算机100因此可以实施为通用计算机。在另一示例性实施例中，本文描述的方法被实现为移动装置的一部分，例如移动电话、个人数据助理(PDA)、平板计算机等。在示例性实施例中，就硬件体系结构而言，如图1所示，计算机100包含处理器101。计算机100还包含耦接到处理器101的存储器102以及可以经由本地系统总线105通信地耦接的一个或多个输入和/或输出(I/O)适配器103。存储器102可可操作地耦接到一个或多个内部或外部存储器装置。通信适配器104可将计算机100可操作地连接到一个或多个网络115。系统总线105还可经由接口适配器112连接一个或多个用户接口。接口适配器112可将多个用户界面连接到计算机100，该计算机包含例如键盘109、鼠标110、扬声器本文档来自技高网...

【技术保护点】
1.一种用于评估和管理网络的网络安全的计算机实现的方法，包括：利用处理器检索拓扑数据和网络流量数据，其中，所述拓扑数据指示所述网络的拓扑；经由所述处理器，从多个网络数据收集器检索网络流量数据；经由所述处理器，基于所述拓扑数据和所述网络流量数据，生成攻击树；利用所述攻击树和所述拓扑数据，更新客户模型数据库；以及基于所述攻击树和所述拓扑数据，输出安全评估。

【技术特征摘要】
【国外来华专利技术】1.一种用于评估和管理网络的网络安全的计算机实现的方法，包括：利用处理器检索拓扑数据和网络流量数据，其中，所述拓扑数据指示所述网络的拓扑；经由所述处理器，从多个网络数据收集器检索网络流量数据；经由所述处理器，基于所述拓扑数据和所述网络流量数据，生成攻击树；利用所述攻击树和所述拓扑数据，更新客户模型数据库；以及基于所述攻击树和所述拓扑数据，输出安全评估。2.根据权利要求1所述的计算机实现的方法，其中，检索所述拓扑数据包括传送用于所述拓扑数据的用户输入的提醒，并且响应于所述提醒，从客户端接收所述拓扑数据。3.根据权利要求1所述的计算机实现的方法，其中，检索所述拓扑数据包括从收集器装置接收所述拓扑数据。4.根据权利要求1所述的计算机实现的方法，其中，生成所述攻击树包括：经由所述处理器，解析所述拓扑数据和所述网络流量数据，以确定所述网络中的多个潜在漏洞；经由所述处理器，解析所述网络流量数据，以确定与所述网络的所述拓扑中的多个节点相关联的一个或多个网络规则；基于所述一个或多个网络规则和所述网络流量数据，经由所述处理器，计算与所述多个潜在漏洞相关联的风险概率；以及基于所述一个或多个网络规则和所述网络流量数据，生成所述攻击树，其中，所述攻击树包括所述多个潜在漏洞以及与所述多个潜在漏洞相关联的所述风险概率。5.根据权利要求4所述的计算机实现的方法，其中，更新所述客户模型数据库包括：经由所述处理器，利用所述网络中的所述多个潜在漏洞、与所述多个潜在漏洞相关联的所述风险概率以及所述攻击树，更新客户风险模型记录。6.根据权利要求1所述的计算机实现的方法，其中，输出所述安全评估包括：经由所述处理器，确定包括用于配置所述网络的至少一个建议步骤的风险缓解建议。7.根据权利要求1所述的计算机实现的方法，其中，输出所述安全评估还包括：经由所述处理器，监视所述网络，以确定一个或多个网络配置是否指示升高的网络安全风险。8.一种用于评估和管理工业控制系统网络的网络安全的系统，包括：处理器，被配置为：检索拓扑数据和网络流量数据，其中，所述拓扑数据指示所述网络的拓扑；从多个网络数据收集器检索网络流量数据；基于所述拓扑数据和所述网络流量数据生成攻击树；利用所述攻击树和所述拓扑数据，更新客户模型数据库；以及基于所述攻击树和所述拓扑数据，输出安全评估。9.根据权利要求8所述的系统，其中，检索所述拓扑数据包括传送用于所述拓扑数据的用户输入的提醒，并且响应于所述提醒从客户端接收所述拓扑数据。10.根据权利要求8所述的系统，其中，检索所述拓扑数据包括从收集器装置接收所述拓扑数据。11.根据权利要求8所述的系统，其中，生成所述攻击树包括：经由所述处理器，解析所述拓扑数据和所述网络流量数据，以确定所述网络中的多个潜在漏洞；经由所述处理器，解析所述网络流量数据，以确定与所述网络的所述拓扑中的多个节点相关联的一个或多个网络规则；基于所述一个或多个网络规则和所述网络流量数据，经由所述处理器，计算与所述多个潜在漏洞相关联的风险概率；以及基于所述一个或多个网络规则和所述网络流量数据，生成所述攻击树，其中，所述攻击树包括所述多个潜在漏洞以及与所述多个潜在漏洞相关联的所述风险概率。12.根据权利要求11所述的系统，其中，更新所述客户模型数据库包括：经由所述处理器，利用所述网络中的所述多个潜在漏洞、与所述多个潜在漏洞相关联的所述风险概率以及所述攻击树，更新客户风险模型记录。13.根据权利要求8所述的系统，其中，输出所述...

【专利技术属性】
技术研发人员：约翰·W·克劳福德，莱安德罗·普夫勒格·德·阿吉亚尔，曹子骍，
申请(专利权)人：西门子股份公司，
类型：发明
国别省市：德国,DE