本发明专利技术及工业控制系统信息安全领域,尤其涉及一种采用黑白名单进行分析的工控信息安全监控系统,由以下步骤组成:⑴初始样本库采集;⑵黑名单规则形成及报警产生;⑶白名单规则形成及报警产生;(4)通信白名单的智能生成;(5)协议规则形成及报警产生;(6)可视化报警以及报表展示。本发明专利技术有益效果为:对工控网络内资产进行可信监控,对工控网络内通信进行可信监控,对多种工业协议进行深度解析,对工控网络拓扑结构进行可视化展示,对工控网络内部威胁形式进行报表统计;有利于实现网络内部的异常监控,有利于实现对问题资产、问题通信行为的快速定位排查,有利于避免人为操作失误、提高白名单精确度减少漏报误报,构建易操作快速定位问题的监控体系。
An industrial control information security monitoring system based on black and white list analysis
【技术实现步骤摘要】
一种采用黑白名单进行分析的工控信息安全监控系统
本专利技术及工业控制系统信息安全领域,尤其涉及一种采用黑白名单进行分析的工控信息安全监控系统。
技术介绍
由DCS、PLC和SCADA等控制系统构成的控制网络,在过去几十年的发展中呈现出整体开放的趋势。随着信息技术在企业中的应用,工业控制网络中大量采用通用TCP/IP和OPC协议技术,ICS网络和企业管理网的联系越来越紧密。而传统工业控制系统采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通的通信安全问题。一般的工业系统安全防护中,使用单一的黑名单或白名单机制,没有将二者结合作为防御体系,并且存在大量人工操作,费时费力。在使用单一黑名单的工业系统安全防护系统中,由于黑名单本身受到规则限制不能对新出现的攻击行为进行监控判断,另外黑名单机制存在许多误报的可能,为使用者判断是否真正的攻击带来不便。在使用单一白名单的工业系统安全防护系统中,白名单机制不能给出具体的受到攻击的细节,从而无法有针对性地对网络中的安全隐患进行排查、清除。工控信息安全领域急缺行之有效的安全理论体系和方法论,既能整合传统信息安全中的各种技术,又能适应工业控制系统,尽可能不因为系统的复杂度提高,引入新的问题。因此,研发一种采用黑白名单进行分析的工控信息安全监控系统,对工业生产环境中所遇到的异常进行实时监控,将黑、白名单结合的信息流产生报警势在必行。
技术实现思路
本专利技术的目的在于提供一种采用黑白名单进行分析的工控信息安全监控系统,本专利技术系统拓展工控协议的相关研究,从黑、白名单分析着手,建立完整的工业控制网络监控体系,从而为工控方面信息流和指令流分析提供数据采集和分析方法,减少误报以及人工操作,有效提升本系统的报警准确性,为工控信息安全策略的制定提供基础和验证工具,是非常符合传统信息安全发展和工控领域对信息安全需要的解决思路。为实现上述目的,本专利技术提供如下技术方案:一种采用黑白名单进行分析的工控信息安全监控系统,所工控信息安全监控系统由以下步骤组成:S1、初始样本库采集:监控装置采集现场监控网络上所有数据包,并分析该数据包获取七元组信息,可根据样本库设置白名单规则和资产列表;S2、黑名单规则形成及报警产生:内置入侵检测规则库,当监控装置进行数据包解析时发生特征匹配时,会产生入侵检测的报警,用户能够查看每条规则的详细信息,包括行为、描述以及处理建议;S3、白名单规则形成及报警产生:将样本库中的资产转成资产白名单,资产白名单就是合法资产的列表,没有列为白名单的资产就是非法资产,无论什么通信行为,都会立刻报警,报警的类别为未知设备,在已经配置资产白名单的基础上,可以将样本库中的通信行为转成通信白名单,通信白名单指将合法的通信行为添加到白名单规则,没有列为通信白名单的就是非法通信行为,可以通过智能学习方式,结合黑名单规则,自动分析生成通信白名单规则,当发生的通信行为不在白名单规则范围内,都会立刻报警,报警的类别为未知通信行为;S4:通信白名单的智能生成:通过长时间的学习,系统掌握网络中数据变化的动态,具体到每一个资产与其他设备间通信的变化与规律,结合排除黑名单检测结果的基础,形成高准确度的通信白名单规则,减少系统误报率,加强检测的精确度;S5、协议规则形成及报警产生:协议规则遵守白名单规则的原则,在配置完资产白名单规则、通信白名单规则之后,产品会对这个白名单内的资产的通信行为进行工业协议分析,得到协议白名单,在不配置规则的情况下,指令变更、组态变更、负载变更都会自动报警,阈值报警是需要配置正确范围才能发生报警;S6、可视化报警以及报表展示:对现场监控的所有设备进行管理,并根据现场设备及网络状况半自动生成网络拓扑图,发现报警及时在该设备上闪烁红色标志以明确定位报警设备,报表展示功能是对报警日志、流量日志进行分析、分类统计,最终通过图表形式展示呈现。所述S2中的黑名单规则形成是指一个基于模式匹配的网络入侵检测系统,所述模式匹配,是与状态分析相对应的,指系统预先定义一些入侵检测的特征码,将实际数据包与特征码相匹配,以判断检测数据包是否包含了一个入侵的行为,可检测入侵行为包括病毒、木马、拒绝服务攻击、WEB攻击、DNS攻击、ARP攻击、端口扫描、缓冲区溢出攻击、FTP攻击、ICMP攻击等。所述S1中的样本库指的是通过系统对网络中原始数据的采集,并进行层层解析,样本库存储数据帧源MAC、目的MAC、源IP、目的IP、源端口、目的端口以及协议类型的七元组信息。所述S3中的资产白名单具有展示资产名称、资产IP、资产类型、描述,以及修改添加删除功能,主要通过数据采集后,根据客户需求,把合法的目标IP、源IP转换成合法资产,不在此合法资产内的资产产生数据通讯行为,就会有报警信息产生。所述S3中的通信白名单具有展示源IP、源端口、目标IP、目标端口、协议类型、应用的协议类型以及添加修改删除功能,主要通过数据采集后,把合法的源IP、源端口、目标IP、目标端口转入合法的通讯,不在此业务通讯中的则会产生报警。所述S5中的协议白名单为展示Modbus协议、Opc协议、S7协议、Iec103协议、Iec104协议、Cip协议、Fins协议,可以配置控制参数白名单,阈值参数配置,其中S7协议、Modbus协议具有上传下载规则和通讯状态监测功能,配置工控协议后,分析数据包会根据这些配置来进行报警。与现有技术相比,本专利技术的有益效果是:1、黑名单与白名单机制同时应用在系统中。黑名单机制是将网络数据中攻击特质提取为黑名单规则,从而实现检测。但当新型的攻击出现时,黑名单机制无法检测出。白名单机制是将网络通信行为作为规则名单,在名单中的通信视为正常通信,不在白名单的中的行为一律视为非法,白名单机制缺乏特征值的匹配。将黑、白名单结合使用,即使已经在白名单中的通信出现了攻击行为也能够被黑名单机制发现,加强了系统面对攻击行为的细粒度分析;给管理人员更加可靠的依据,由于白名单可以配置到具体的设备资产,当发现报警行为时能够缩小排查范围,对于报警的判断能够精确判断,提高了报警的准确性。在黑名单无法覆盖的新型攻击出现时,白名单机制只对规则信任范围内的通信视为合法,新型攻击也会被白名单机制所发现并报警。黑名单与白名单的共同使用,可以将黑名单的对攻击细粒度体现以及白名单的准确性严格性进行了结合,两种机制形成了互补,从而提高整体性能效率。2、通信白名单的智能生成。智能生成不仅能够减少人为操作的繁琐与失误,还能够更加准确地制定白名单规则。通过长时间的学习,系统掌握网络中数据变化的动态,具体到每一个资产与其他设备间通信的变化与规律,结合排除黑名单检测结果的基础,形成高准确度的通信白名单规则,减少系统误报率,加强检测的精确度。3、可视化展示。拓扑图的绘制能够还原网络系统中的资产位置,当发生报警时,可以很快速定位到具体的资产位置,对于所处网络中的位置一目了然,对于下一步的安全防范提供准确参考。能够生成针对每月、或定制化时间的报表,本文档来自技高网...
【技术保护点】
1.一种采用黑白名单进行分析的工控信息安全监控系统,其特征在于:所工控信息安全监控系统由以下步骤组成:/nS1、初始样本库采集:监控装置采集现场监控网络上所有数据包,并分析该数据包获取七元组信息,可根据样本库设置白名单规则和资产列表;/nS2、黑名单规则形成及报警产生:内置入侵检测规则库,当监控装置进行数据包解析时发生特征匹配时,会产生入侵检测的报警,用户能够查看每条规则的详细信息,包括行为、描述以及处理建议;/nS3、白名单规则形成及报警产生:将样本库中的资产转成资产白名单,资产白名单就是合法资产的列表,没有列为白名单的资产就是非法资产,无论什么通信行为,都会立刻报警,报警的类别为未知设备,在已经配置资产白名单的基础上,可以将样本库中的通信行为转成通信白名单,通信白名单指将合法的通信行为添加到白名单规则,没有列为通信白名单的就是非法通信行为,可以通过智能学习方式,结合黑名单规则,自动分析生成通信白名单规则,当发生的通信行为不在白名单规则范围内,都会立刻报警,报警的类别为未知通信行为;/nS4:通信白名单的智能生成:通过长时间的学习,系统掌握网络中数据变化的动态,具体到每一个资产与其他设备间通信的变化与规律,结合排除黑名单检测结果的基础,形成高准确度的通信白名单规则,减少系统误报率,加强检测的精确度;/nS5、协议规则形成及报警产生:协议规则遵守白名单规则的原则,在配置完资产白名单规则、通信白名单规则之后,产品会对这个白名单内的资产的通信行为进行工业协议分析,得到协议白名单,在不配置规则的情况下,指令变更、组态变更、负载变更都会自动报警,阈值报警是需要配置正确范围才能发生报警;/nS6、可视化报警以及报表展示:对现场监控的所有设备进行管理,并根据现场设备及网络状况半自动生成网络拓扑图,发现报警及时在该设备上闪烁红色标志以明确定位报警设备,报表展示功能是对报警日志、流量日志进行分析、分类统计,最终通过图表形式展示呈现。/n...
【技术特征摘要】
1.一种采用黑白名单进行分析的工控信息安全监控系统,其特征在于:所工控信息安全监控系统由以下步骤组成:
S1、初始样本库采集:监控装置采集现场监控网络上所有数据包,并分析该数据包获取七元组信息,可根据样本库设置白名单规则和资产列表;
S2、黑名单规则形成及报警产生:内置入侵检测规则库,当监控装置进行数据包解析时发生特征匹配时,会产生入侵检测的报警,用户能够查看每条规则的详细信息,包括行为、描述以及处理建议;
S3、白名单规则形成及报警产生:将样本库中的资产转成资产白名单,资产白名单就是合法资产的列表,没有列为白名单的资产就是非法资产,无论什么通信行为,都会立刻报警,报警的类别为未知设备,在已经配置资产白名单的基础上,可以将样本库中的通信行为转成通信白名单,通信白名单指将合法的通信行为添加到白名单规则,没有列为通信白名单的就是非法通信行为,可以通过智能学习方式,结合黑名单规则,自动分析生成通信白名单规则,当发生的通信行为不在白名单规则范围内,都会立刻报警,报警的类别为未知通信行为;
S4:通信白名单的智能生成:通过长时间的学习,系统掌握网络中数据变化的动态,具体到每一个资产与其他设备间通信的变化与规律,结合排除黑名单检测结果的基础,形成高准确度的通信白名单规则,减少系统误报率,加强检测的精确度;
S5、协议规则形成及报警产生:协议规则遵守白名单规则的原则,在配置完资产白名单规则、通信白名单规则之后,产品会对这个白名单内的资产的通信行为进行工业协议分析,得到协议白名单,在不配置规则的情况下,指令变更、组态变更、负载变更都会自动报警,阈值报警是需要配置正确范围才能发生报警;
S6、可视化报警以及报表展示:对现场监控的所有设备进行管理,并根据现场设备及网络状况半自动生成网络拓扑图,发现报警及时在该设备上闪烁红色标志以明确定位报警设备,报表展示功能是对报警日志、流量日志进行分析、分类统计,最终通过图表形式展示呈现。
2.如权利要求1所述的一种采...
【专利技术属性】
技术研发人员:宋迟,吴冲,张毅,仵大奎,吴国雄,刘江柳,李绪国,
申请(专利权)人:上海三零卫士信息安全有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。