近日�,東方森太科技發(fā)展有限公司聯(lián)合中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所完成工控安全監(jiān)測威脅溯源系統(tǒng)項目。
該項目實現(xiàn)了對信息化網(wǎng)絡(luò)的數(shù)據(jù)安全監(jiān)測及內(nèi)容回溯����,具有針對工控網(wǎng)協(xié)議識別����,信息網(wǎng)流量識別���、工控協(xié)議及 TCP/IP 協(xié)議安全檢測、業(yè)務(wù)系統(tǒng)性能分析等功能��。工控安全監(jiān)測及溯源系統(tǒng)��,廣泛應(yīng)用于電力����、石油、石化����、軌道交通、煙草�、鋼鐵及先進(jìn)制造等各個行業(yè)。
隨著社會的不斷發(fā)展��,網(wǎng)絡(luò)已經(jīng)成為社會各行各業(yè)的重要推動力量工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分���,未來為了提高生產(chǎn)效率和效益����,工控網(wǎng)絡(luò)會越來越開放,但隨之而來的安全問題也愈演愈烈��。比如�����,協(xié)議機制缺乏安全性考慮�,易被攻擊者利用;安全漏洞難以及時處理�,系統(tǒng)存在巨大安全隱患;缺乏對用戶操作�、網(wǎng)絡(luò)行為的審計,事故分析困難�;面對新型的 APT 攻擊,缺乏有效的應(yīng)對措施等等�����。種種安全問題不解決將成為制約兩化融合以及工業(yè)4.0發(fā)展的重要因素����。
東方森太科技發(fā)展有限公司在工控信息安全方面一直表現(xiàn)優(yōu)異�����,在本次與中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所合作的項目中所提供的“工廠生產(chǎn)控制網(wǎng)絡(luò)流量監(jiān)測設(shè)備系統(tǒng)”及“工廠生產(chǎn)管理網(wǎng)絡(luò)流量監(jiān)測設(shè)備系統(tǒng)”是東方森太自主研發(fā)的工控網(wǎng)絡(luò)流量監(jiān)測產(chǎn)品,憑借自身過硬的實力��,穩(wěn)定的客戶業(yè)績獲得無數(shù)贊譽����,完美解決上述幾大問題。
圖丨工控安全監(jiān)測及威脅溯源系統(tǒng)部署示意圖
工廠生產(chǎn)控制網(wǎng)絡(luò)流量監(jiān)測設(shè)備系統(tǒng)
該控制系統(tǒng)采用基于旁路的全流量采集��,通過網(wǎng)絡(luò)設(shè)備的端口鏡像功能����,實現(xiàn)數(shù)據(jù)流量旁路監(jiān)聽,對工控網(wǎng)絡(luò)系統(tǒng)中的工業(yè)以太網(wǎng)通信數(shù)據(jù)進(jìn)行數(shù)據(jù)捕獲����,同時該系統(tǒng)具備一定的過濾功能。
漏洞掃描利用是全網(wǎng)環(huán)境中最常出現(xiàn)的攻擊行為之一工控安全監(jiān)測威脅溯源系統(tǒng)采用Web檢測����、文件捆綁式漏洞攻擊、遠(yuǎn)程漏洞攻擊等多種檢測技術(shù)對漏洞利用攻擊行為進(jìn)行檢測�����,其中Web檢測檢測常見的SQL注入���、XSS跨站等常見Web攻擊�����,檢測Struts2����、??Java反序列化等熱點Web漏洞攻擊,以及各種腳本語言編寫的WebShell后門控制行為�;
基于業(yè)務(wù)模型通信異常檢測的核心是利用經(jīng)驗?zāi)P秃蜋C器學(xué)習(xí)技術(shù)通過一段時間的網(wǎng)絡(luò)流量學(xué)習(xí),建立一個目標(biāo)工業(yè)生產(chǎn)網(wǎng)絡(luò)通信的業(yè)務(wù)知識模型�����,用于異常通信檢測�,從而實現(xiàn)主機、通信����、會話、指令�、內(nèi)容、工藝等��,多層次����、多維度的異常發(fā)現(xiàn),為網(wǎng)絡(luò)中的通信事件提供安全風(fēng)險分析依據(jù)���。業(yè)務(wù)知識模型支持下述的共六個層次的異常檢測�。分別是����,未知設(shè)備檢測、異常通信對象檢測���、異常通信協(xié)議檢測�����、異常通信指令檢測���、異常通信內(nèi)容檢測、異常生產(chǎn)工藝流程檢測�。
為有效檢測成功繞過安全檢測設(shè)備并進(jìn)入潛伏和活躍階段的木馬,需采用基于惡意代碼流量行為分析技術(shù)�。惡意代碼流量行為分析技術(shù)對網(wǎng)絡(luò)中各主機的外聯(lián)通信流量行為(如異常規(guī)律域名、異常心跳信號�、異常流量�����、異常動態(tài)域名等)進(jìn)行記錄和統(tǒng)計�����,根據(jù)木馬的通信行為模型和威脅情報進(jìn)行識別和判定�。該技術(shù)的優(yōu)勢是能夠檢測出已經(jīng)被成功植入進(jìn)內(nèi)網(wǎng)的“潛伏”或“活躍”惡意代碼����。
除此之外,一些非公開的木馬���、僵尸軟件��、蠕蟲等惡意代碼��,會使用自定義或者加密的協(xié)議建立隱蔽通信信道�,用以繞過防火墻����、IDS等傳統(tǒng)安全設(shè)備的檢測。
針對網(wǎng)絡(luò)流量中的隱蔽信道進(jìn)行深度檢測分析��,是通過分析隱蔽信道通信中的流量特征和行為特征,構(gòu)建相應(yīng)的檢測模型�����,能夠把隱蔽傳輸?shù)臄?shù)據(jù)從復(fù)合流量中分離出來�����,發(fā)現(xiàn)一些未知的攻擊行為��。
木馬���、后門等遠(yuǎn)程類惡意代碼等利用正常訪問協(xié)議進(jìn)行隱蔽通訊、數(shù)據(jù)傳輸來躲避傳統(tǒng)安全產(chǎn)品檢測�����。隱蔽信道檢測通過對協(xié)議中特殊字段�、訪問頻率、訪問內(nèi)容進(jìn)行分析和傅里葉變換��,形成不同分析模型����,用于識別未知惡意代碼通信����。目前研究團(tuán)隊已經(jīng)研究支持DNS���、HTTP����、ICMP三類協(xié)議的隱蔽信道檢測�。
這類隱蔽信道檢測規(guī)則的優(yōu)勢是基于行為和模式匹配,無須頻繁更新特征���,隔離網(wǎng)絡(luò)也適用�����。
工控安全監(jiān)測威脅溯源系統(tǒng)在對惡意文件攻擊的檢測采用了高階文件沙箱技術(shù)����,高階沙箱是一種綜合了動態(tài)行為��、靜態(tài)特征�����、威脅和機器學(xué)習(xí)的惡意文件檢測技術(shù),其根據(jù)文件的靜態(tài)信息��、可疑行為綜合判定��,用于識別網(wǎng)絡(luò)文件攻擊中的捆綁式已知木馬和免殺木馬��、特種木馬�。
高階文件沙箱是利用技術(shù)原理是通過虛擬執(zhí)行技術(shù)創(chuàng)建出一個虛擬的應(yīng)用軟件運行環(huán)境即沙盒���,在沙盒中模擬軟件程序處理網(wǎng)絡(luò)中承載的信息數(shù)據(jù)��,監(jiān)控處理過程中是否存在漏洞溢出利用的行為�����、惡意代碼植入或破壞行為等����。高階文件沙箱包括靜態(tài)分析����、動態(tài)分析和行為研判三個部分。
同時��,本項檢測技術(shù)還組合調(diào)度多沙盒組成的沙箱來監(jiān)測分析來滿足對高性能處理能力的需求。高階文件沙箱具有虛擬化沙箱反逃逸技術(shù)���。檢測系統(tǒng)的虛擬化檢測引擎可檢測用戶交互差異性��、運行環(huán)境差異性���、業(yè)務(wù)邏輯差異性三類共200+種逃逸手段,能夠有效解決沙箱逃逸的對抗性問題�。
工廠生產(chǎn)管理網(wǎng)絡(luò)流量監(jiān)測設(shè)備系統(tǒng)
資產(chǎn)自動發(fā)現(xiàn)及識別
工控安全監(jiān)測威脅溯源系統(tǒng)通過無損探測方式支持接入網(wǎng)絡(luò)的網(wǎng)絡(luò)資產(chǎn)自動發(fā)現(xiàn),支持多種系統(tǒng)識別技術(shù)��,自動根據(jù)通信特征識別上位機����、控制器以及傳統(tǒng)的網(wǎng)絡(luò)設(shè)備,支持識別交換機����、路由器的SNMP 、Telnet操作指令����。支持網(wǎng)絡(luò)拓?fù)渥詣由伞Mㄟ^無損探測方式識別資產(chǎn)并自動生成繪制網(wǎng)絡(luò)拓?fù)鋱D。系統(tǒng)支持檢測對監(jiān)測數(shù)據(jù)流量的深度解析�����,生成肉眼可懂的報文并存儲���。
系統(tǒng)對接入數(shù)據(jù)流量進(jìn)行深度報文解析引擎�����、威脅特征檢測引擎�����、業(yè)務(wù)通信模型引擎、網(wǎng)絡(luò)流量分析引擎��、惡意軟件檢測引擎進(jìn)行處理時���,一旦發(fā)現(xiàn)威脅將會實時產(chǎn)生安全事件告警�����。它將攻擊分為7個階段�,偵查、武器準(zhǔn)備����、投放、利用����、安裝、控制和滲透��,通過這7個階段可以掌握攻擊者的攻擊戰(zhàn)術(shù)和過程���。系統(tǒng)匯聚不同層次的攻擊事件后�,將所有的事件按kill-chain的不同階段進(jìn)行歸類和展示����,形成形象的KillChain圖,并提供豐富的篩選條件供分析師使用�。
為了使操作人員可以對整個生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)有一個全面、直觀的感受��,系統(tǒng)支持從多個維度對事件�����、告警、資產(chǎn)�����、及其運行狀態(tài)等�����,進(jìn)行統(tǒng)計分析���,并形成統(tǒng)計報表�。統(tǒng)計分析結(jié)果及報表支持設(shè)置定期向指定的人員進(jìn)行發(fā)送�。
系統(tǒng)支持基于WEB形式的管理界面,通過管理端口實現(xiàn)遠(yuǎn)程操作功能���,遠(yuǎn)程操作可以實現(xiàn)對監(jiān)測網(wǎng)絡(luò)的整體狀態(tài)了解����,設(shè)備策略設(shè)置��、系統(tǒng)配置�����、告警處置��、安全事件分析回溯等所有系統(tǒng)功能�����。
東方森太科技發(fā)展有限公司以扎實的技術(shù)功底��、眾多穩(wěn)定的產(chǎn)品運行業(yè)績�����、對用戶需求的深刻理解以及優(yōu)質(zhì)的服務(wù)����,在本次的激烈競爭中脫穎而出并出色完成項目執(zhí)行與實施,標(biāo)志著東方森太在工控信息安全領(lǐng)域邁出更為堅實的一步�����。
