本公开涉及检测网络攻击。在一个实施例中,第一装置可以接收高精度时间信号,并且可以使用该信号来将第一时间戳与多个数据分组中的每个关联,从而反映传输每个数据分组的时间。第二装置可以经由数据网络从第一装置接收多个数据分组。第二装置还可以接收高精度时间信号,并且可以使用该信号将第二时间戳与多个数据分组中的每个关联,从而反映接收每个数据分组的时间。可以基于第一时间戳和第二时间戳来确定飞行时间。第二装置可以确定第一多个数据分组中的每个的飞行时间是否与有效飞行时间一致。间一致。间一致。
【技术实现步骤摘要】
【国外来华专利技术】检测并阻止网络攻击
[0001]本公开涉及检测并阻止网络攻击。更具体地但非排他性地,本公开涉及检测并阻止运行技术网络中的中间人(“MITM”)攻击。
附图说明
[0002]参考附图描述了本公开的非限制性和非穷举的实施例,包括本公开的各种实施例,在附图中:
[0003]图1A示出了与本公开的实施例一致的系统的框图,该系统包括通过包括多个交换机的网络进行通信的第一智能电子装置(“IED”)和第二IED。
[0004]图1B示出了与本公开的实施例一致的图1A的系统,其中黑客已拦截了两个交换机之间的通信。
[0005]图2示出了与本公开的实施例一致的系统的框图,其中多个网络装置可以被配置为确定飞行时间。
[0006]图3示出了与本公开的实施例一致的系统,该系统包括与第一IED通信的第一时间源和与第二IED通信的第二时间源。
[0007]图4示出了在与本公开一致的包括无线通信信道的系统中的MITM攻击的框图。
[0008]图5示出了与本公开的实施例一致的用于检测并阻止网络攻击的方法的流程图。
[0009]图6示出了与本公开的实施例一致的用于确定多个网络分组的飞行时间的系统的框图。
具体实施方式
[0010]本公开涉及基于经过数据网络的数据分组的飞行时间和/或跳数来检测并阻止各种攻击。某些实施例可以针对与关键基础设施相关联的运营技术网络。此类网络可能容易受到攻击,因为基础设施元件通常分布在较大的地理区域内,保持长期使用,并且出于实际原因和经济原因两者而不被连续监视。
[0011]数据网络可以包括各种元件,诸如数据产生元件、数据消耗元件或数据路由元件。数据产生元件可以包括诸如传感器、监视器的部件,或产生要经由网络传输的信息的其他部件。一些数据产生装置可以创建机器生成的数据,而其他数据产生装置也可以包括人类生成的数据。数据消耗装置可以接收数据并作用于该数据,并且可以包括诸如控制系统、监视器和人机界面的部件。网络也可以包括路由或管理网络流量的各种元件,诸如交换机、路由器、防火墙等。
[0012]可以使用高精度时间源来使与本公开一致的网络元件同步。网络可以监视经过各个网络段的分组的飞行时间,并可以确定每个此类段的预期飞行时间。高精度时间源可用于确定飞行时间,因此提供飞行时间的高精度测量。在各种实施例中,可以选择高精度时间源以提供纳秒级的准确度。
[0013]可以将数据分组的飞行时间与一个或更多个网络段的预期飞行时间进行比较,以
确定通信信道是否已因攻击而改变。在一些实施例中,可以分析单个网络段;而在其他实施例中,可以分析可以使用多个网络元件连接的两个通信网络元件之间的总飞行时间。在飞行时间偏离预期值的情况下(例如,飞行时间长于预期值),该偏离可能归因于攻击。
[0014]在检测到攻击时,各种实施例可以实施保护动作以停止攻击。此类动作可以包括停用受损的网络段、重新路由所包括的网络段周围的流量、警告运行商等。
[0015]与本公开一致的某些实施例可以有效地检测并阻止MITM攻击。在MITM攻击中,攻击者会秘密中继并可能更改相信他们正彼此直接通信的两方之间的通信。成功的MITM攻击依赖于“中间人”保持未被检测到。可以通过监视通信信道以确定通信信道是否已更改来检测MITM攻击。预期飞行时间与实际飞行时间之间的偏差可以提供分组已结合MITM攻击而被重新路由的指示。各种网络元件可以连续或周期性地监视网络元件之间的飞行时间以检测MITM攻击。
[0016]在一些实施例中,还可以使用网络分组的飞行时间来检测并阻止影响网络时间元件的攻击。一些网络可包括用于同步网络内元件的活动的多个时间源。攻击者可以操纵时间源中的一个或更多个。此类操纵可能影响源自或经过受影响节点的数据分组的飞行时间。
[0017]参考附图,将最好地理解本公开的实施例,其中相似的部分始终由相似的数字表示。容易理解的是,如本文的附图中总体上描述和示出的,所公开的实施例的部件可以以多种不同的配置来布置和设计。因此,本公开的系统和方法的实施例的以下详细描述并非旨在限制所要求保护的本公开的范围,而仅是代表本公开的可能实施例。另外,除非以其他方式说明,否则方法的步骤不必以任何特定顺序执行,或甚至不必顺序执行,也不必仅将步骤执行一次。
[0018]在一些情况下,未详细示出或描述众所周知的特征、结构或操作。此外,在一个或更多个实施例中,所描述的特征、结构或操作可以以任何合适的方式组合。还将容易地理解,如本文的附图中总体上描述和示出的,实施例的部件可以以多种不同的配置来布置和设计。
[0019]所描述的实施例的几个方面将被图示为软件模块或部件。如本文所使用的,软件模块或部件可以包括位于存储器装置内,和/或作为电子信号通过系统总线或有线或无线网络传输的任何类型的计算机指令或计算机可执行代码。软件模块或部件可以例如包括计算机指令的一个或更多个物理或逻辑块,该物理或逻辑块可以被组织为执行一个或更多个任务或实现特定抽象数据类型的例程、程序、对象、部件、数据结构等。
[0020]在某些实施例中,特定软件模块或部件可以包括存储在存储器装置的不同位置中的不同指令,这些指令一起实现模块的所描述的功能。实际上,模块或部件可以包括单个指令或多个指令,并且可以分布在几个不同的代码段上、在不同程序之间以及跨几个存储器装置。可以在分布式计算环境中实践一些实施例,其中任务由通过通信网络链接的远程处理装置执行。在分布式计算环境中,软件模块或部件可以位于本地和/或远程存储器存储装置中。此外,在数据库记录中绑定或呈现在一起的数据可以驻留在同一存储器装置中,或者跨几个存储器装置驻留,并且可以跨网络在数据库中的记录字段中链接在一起。
[0021]实施例可以被提供作为包括机器可读介质的计算机程序产品,该机器可读介质具有在其上存储的指令,该指令可以用于对计算机(或其他电子装置)进行编程以执行本文描
述的过程。机器可读介质可以包括但不限于适用于存储电子指令的硬盘驱动器、软盘、光盘、CD
‑
ROM、DVD
‑
ROM、ROM、RAM、EPROM、EEPROM、磁卡或光卡、固态存储器装置,或其他类型的介质或机器可读介质。
[0022]图1A示出了与本公开的实施例一致的包括通过网络进行通信的第一IED 102和第二IED 104的系统100的框图,该网络包括多个交换机106
‑
112。如本文所使用的,IED(诸如IED 102和104)可以指代在系统100内执行功能的任何基于微处理器的装置。此类装置可以监视、控制、自动化和/或保护系统100内的设备。此外,IED(诸如IED 102和104)可能消耗来自其他IED的信息,以便将此信息显示给用户、生成警报以及其他形式的人机交互。IED(诸如IED 102和104)可包括但不限于计算平台、可编程逻辑控制器(PLC)、可编程自动化控制器、通信处理器、输入和输出模块、远程终端单元、差分继电器、距离继电器、方向本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于检测网络攻击的系统,包括:第一装置,所述第一装置包括:与高精度时间源通信的第一时间输入部;第一时间戳记子系统,所述第一时间戳记子系统与所述第一时间输入部通信以将第一时间戳与第一多个数据分组中的每个数据分组相关联,所述第一时间戳对应于由所述第一装置根据所述高精度时间源传输每个数据分组的时间;以及网络接口,所述网络接口用于通过数据网络传输所述第一多个数据分组;第二装置,所述第二装置包括:与所述高精度时间源通信的第二时间输入部;第二时间戳记子系统,所述第二时间戳记子系统与所述第二时间输入部通信以将第二时间戳与所述第一多个数据分组中的每个数据分组相关联,所述第二时间戳对应于由所述第二装置根据所述高精度时间源接收每个数据分组的时间;飞行时间子系统,所述飞行时间子系统用于:基于所述第一时间戳和所述第二时间戳确定所述第一多个数据分组中每个数据分组的飞行时间;以及确定所述第一多个数据分组中每个数据分组的飞行时间是否与至少一个有效飞行时间一致;以及保护动作子系统,所述保护动作子系统用于基于确定所述第一多个数据分组中至少一个数据分组的飞行时间与所述至少一个有效飞行时间不一致来实现保护动作。2.根据权利要求1所述的系统,其中所述网络包括软件定义网络,并且所述保护动作包括对数据流的改变以重新路由数据流。3.根据权利要求1所述的系统,其中所述保护动作包括标记所述第一多个数据分组中与所述至少一个有效飞行时间不一致的至少一个数据分组以用于运营商检查。4.根据权利要求1所述的系统,其中所述第一装置还包括哈希子系统,所述哈希子系统用于生成哈希值并将所述哈希值与所述第一多个数据分组中的每个数据分组相关联。5.根据权利要求4所述的系统,其中基于所述第一装置的标识符和所述第一多个数据分组的每个数据分组中的数据值来生成所述哈希值。6.根据权利要求1所述的系统,其中所述高精度时间输入包括全球导航卫星系统(GNSS),并且所述第一时间输入部和所述第二时间输入部中的每个均与GNSS接收器通信。7.根据权利要求1所述的系统,其中所述第一装置和所述第二装置中的每个包括网络交换机。8.根据权利要求1所述的系统,其中所述第一装置和所述第二装置中的每个包括智能电子装置。9.根据权利要求1所述的系统,其中所述飞行时间子系统还基于确定所述第一多个数据分组中至少一个数据分组的飞行时间与所述至少一个有效飞行时间不一致,来确定所述第一时间输入部受到损害。10.根据权利要求1所述的...
【专利技术属性】
技术研发人员:阿曼迪普,
申请(专利权)人:施瓦哲工程实验有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。