在工业系统中,数据采集装置能够被配置作为私人网络与公共网络之间的单向通信连接来操作。数据采集装置还能够被配置用于从私人网络采集原始数据。原始数据能够限定数据分布。数据采集装置还能够被配置用于基于原始数据的数据分布来生成代表原始数据的匿名数据或合成数据。匿名数据能够通过单向通信连接传输到数据采集装置的接收机。在一些情况下,接收机能够将匿名数据发送给公共网络内的分析系统,使得分析系统能够基于代表原始数据的匿名数据对原始数据进行分析,而无需分析系统获取原始数据。原始数据。原始数据。
【技术实现步骤摘要】
【国外来华专利技术】隐私保护的单向通信设备
技术介绍
[0001]长期以来,对私人计算机网络的网络攻击一直处于使用信息技术进行检测和保护工作的前沿。然而,本文认识到,网络攻击者入侵工业系统(例如支持关键基础设施的自动化和控制系统)的威胁正在引起人们的关注。由于生产系统的垂直整合和价值链的横向整合等方面,工业控制系统(ICS)网络往往直接或间接连接到IT网络(办公网络)和互联网,从而为网络攻击者提供了渗透此类环境并利用任何现有漏洞的机会。本文还认识到,OT(操作技术)系统例如可编程逻辑控制器(PLC)、分布式控制系统(DCS)、运动控制器、监督控制和数据采集(SCADA)服务器和人机界面(HMI),在部署安全措施时提出了许多额外的挑战。
[0002]具体而言,IT网络经常连接到OT系统,以便从OT系统收集数据。然而,本文认识到,当前从OT系统收集数据的方法可能会损害与数据相关的隐私,这可能导致有价值的商业秘密、逻辑或数据以及其他信息泄露给竞争对手或其他人。例如,秘密能够从用于网络监控的网络流量中导出,例如工艺配方或其他ICS数据。本文还认识到,当前的方法通常要求安全监控操作托管在云或异地,这会增加数据泄露的风险。
技术实现思路
[0003]本专利技术的实施例通过提供保护数据隐私的方法、系统和装置来解决和克服本文所述的一个或多个缺点。通过保护原始数据的隐私,例如通过生成代表原始数据的匿名数据或合成数据,能够通过匿名数据或合成数据使用或分析原始数据。例如,数据采集装置能够被配置作为私人网络与公共网络之间的单向通信连接来操作。数据采集装置还能够被配置用于从从私人网络收集的真实数据生成匿名数据或合成数据。匿名数据或合成数据能够代表真实数据,从而能够在数据捕捉装置之外分析真实数据,而无需数据捕捉装置公开实际的真实数据。
[0004]在实例方面,数据采集装置被配置作为私人网络与公共网络之间的单向通信连接来操作。数据采集装置能够包括发送机,发送机包括耦接到私人网络的一个或多个设备的单向网络接口。发送机能够被配置用于从私人网络的一个或多个设备收集原始数据。原始数据能够限定第一数据分布。数据采集装置还能够包括接收机,接收机被配置用于经由单向通信连接从发送机接收合成数据。发送机还能够被配置用于基于原始数据的第一数据分布生成合成数据,使得合成数据代表原始数据而不公开原始数据。因此,发送机能够连接到源数据并将基于源数据的匿名数据或合成数据转发到接收机,接收机能够在物理上与发送机分开,从而无法访问源数据。
附图说明
[0005]当结合附图阅读以下详细描述时,本专利技术的前述方面和其他方面将得到最好的理解。出于说明本专利技术的目的,在附图中示出了目前优选的实施例,然而应当理解,本专利技术不限于所公开的具体手段。附图中包括以下图片:
[0006]图1示出了部署在示例性工业控制系统(ICS)内的数据捕获单元(DCU)装置的框
图。
[0007]图2示出了根据示例性实施例的DCU的另一框图。
[0008]图3示出了根据示例性实施例的示例性系统,该示例性系统包括耦接到中央服务器以进行分析的多个DCU设备。
[0009]图4示出了根据示例性实施例的能够由DCU装置执行的流程图。
[0010]图5示出了能够在其中实现本专利技术公开的实施例的计算环境。
具体实施方式
[0011]首先参考图1,示例性分布式控制系统(DCS)或工业控制系统(ICS)100包括不可信或不安全的IT网络102,例如办公室网络或公司网络,以及安全或可信的操作技术(OT)网络104,例如生产网络,通过数据控制装置或数据控制单元(DCU)106通信地耦接到IT网络102。IT网络102能够限定比OT网络104具有更低安全要求的办公室网络或公共网络,OT网络能够限定私人网络或关键生产网络。DCU 106能够被配置作为私人网络与公共网络之间的单向通信连接来操作。DCU 106能够经由从OT网络104到DCU 106的通信链路112收集在OT网络104上共享的网络流量数据。特别地,例如,OT网络104能够包括被配置成共同工作以执行一个或多个制造操作的各种生产机器。生产网络104的示例性生产机器能够包括但不限于机器人和其他现场设备,例如传感器、致动器或其他机器,它们能够由相应的可编程逻辑控制器(PLC)108控制。PLC 108能够发送对各个现场设备的指示。在一些情况下,能够耦接给定的PLC 108,或者OT网络104能够另外包括人机界面(HMI)110。应当理解,出于示例性的目的简化了ICS 100。这就是说,ICS 100能够包括附加的或替代的节点或系统,例如限定替代配置的其他网络设备,并且所有这样的配置都被认为在本专利技术公开的范围内。例如,ICS 100能够配置用于楼宇自动化、能源自动化、交通管理系统、火车自动化、嵌入式医疗设备等。
[0012]在一些情况下,通信链路112被配置用于从OT网络104接收数据,但不向生产网络104发送数据,使得通信链路112限定从OT网络104到DCU 106的单向通信链路。因此,DCU 106能够限定IT网络102与OT网络104之间的单向通信连接,例如从OT网络104到IT网络102,或者在其他情况下,从IT网络102到OT网络104。由DCU 106收集的网络数据包能够由在IT网络102上执行的网络安全功能使用。收集的网络数据包能够从DCU 106发送到IT网络102,特别是发送到IT网络102内的系统,例如但不限于入侵检测系统(IDS)114、安全信息和事件管理(SIEM)系统116和取证分析系统118。IT网络104还能够限定或包括云。例如,托管安全服务提供商(MSSP)能够在异地或云托管监控数据(例如IDS 114、SIEM系统116、取证分析系统118)。本文认识到,从关键生产系统(例如OT网络104内的生产系统)提取的这种细粒度数据会产生隐私问题。例如,OT网络104可能包括不同的资产所有者,每个资产所有者控制各自的数据,并且违反数据隐私可能导致机密信息泄露给不同的资产所有者。此类数据或隐私泄露还会导致不同的资产所有者避免与中央实体(例如IDS 114、SIEM系统116或取证分析系统118)共享他们的数据,这会降低异常检测方面的整体安全性能力,以及带来其他负面影响。因此,本文描述的实施例解决了与从OT网络104收集的数据相关的隐私问题,同时保持收集的数据的效用。
[0013]继续参考图1,DCU 106能够包括例如通过交换机122连接到OT网络104的以太网端口120。以太网端口120能够限定单向接口,该接口被配置用于接收真实或原始数据包,但不
能把数据包发送出来。DCU 106还能够包括能够例如经由交换机128与IT网络102通信的多向接口或端口124。特别地,多向接口124能够向IDS 114、SIEM系统116和取证分析系统118发送数据和从它们接收数据。在一些情况下,例如,多向端口124暴露给IT网络102,使得IDS 114、SIEM系统116和取证分析系统118能够访问由DCU 106收集的数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种被配置作为私人网络与公共网络之间的单向通信连接来进行操作的数据采集装置,所述数据采集装置包括:发送机,所述发送机包括耦接到所述私人网络的一个或多个设备的单向网络接口,所述发送机被配置用于从所述私人网络的所述一个或多个设备收集原始数据,所述原始数据限定第一数据分布;和接收机,所述接收机被配置用于通过所述单向通信连接从所述发送机接收匿名数据,其中,所述发送机被配置用于基于所述原始数据的所述第一数据分布生成所述匿名数据,使得所述匿名数据代表所述原始数据而不公开所述原始数据。2.根据权利要求1所述的数据采集装置,其中,所述接收机被配置用于将所述匿名数据发送至所述公共网络内的分析系统,使得能够基于代表所述原始数据的所述匿名数据对所述原始数据进行分析。3.根据权利要求1所述的数据采集装置,其中,所述发送机还被配置用于在所述发送机接收相应的所述原始数据时生成对应于所述原始数据的所述匿名数据,以便限定连续的在线数据匿名化。4.根据权利要求1所述的数据采集装置,其中,所述发送机还包括神经网络,所述神经网络被配置用于基于所述原始数据生成所述匿名数据,使得所述匿名数据限定具有第二数据分布的合成数据,所述第二数据分布落在所述第一数据分布的预定公差内。5.根据权利要求4所述的数据采集装置,其中,所述发送机被配置用于基于来自所述私人网络的所述一个或多个设备的真实数据来训练所述神经网络。6.根据权利要求4所述的数据采集装置,其中,所述发送机包括第一容器和所述第一容器内的数据收集应用程序,所述数据收集应用程序被配置为监听所述单向网络接口,以便从所述私人网络的所述一个或多个设备收集所述原始数据。7.根据权利要求6所述的数据采集装置,其中,所述发送机还包括与所述第一容器分离的第二容器,所述神经网络在所述第二容器内。8.根据权利要求1所述的数据采集装置,其中,所述发送机还包括耦接到导线的输入端和耦接到所述导线的输出端,所述数据采集装置进一步包括:监控装置,所述监控装置包括耦接到所述发送机的所述输出端和所述输入端以限定回路的所述导线,所述监控装置还包括电感耦接到所述回路以限定所述单向通信连接的拦截器。9.根据权利要求8所述的数据采集装置,其中,所述接收机耦接到所述拦截器和所述公共网络,所述接收机被配置用于在一个或多个特定时间监听所述拦截器,以便通过由所述监控装置限定的所述单向通信连接从所述发送机接收所述匿名数据。10.一种由数据采集装置执行的方法,所述数据采集装置包括发送机、与所述发送机物理隔离的接收机、以及所述发送机与所述接收机之间的监控装置,所述数据采集装置设置在私人网络与公共网络之间,所述方法包括:所述发送机从所述私人网络的一个或多个设备收集原始数据,所述原始数据限定第一数据分布;基于所述原始数据的所述第一数据分布,在不公开所述原始数据的情况下,生成代表所述原始数据的匿名数据;以及
【专利技术属性】
技术研发人员:萨菲亚,
申请(专利权)人:西门子交通有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。