今日頭條
官方微信
官方抖音
資訊頻道1 項目背景
隨著工業互聯網技術的飛速發展和工業網絡應用的普及,工業互聯網絡信息安全問題也層出不窮,各類負面消息使人們對工業互聯網絡的態度更加謹慎。為防止各種網絡安全隱患,政府、企業也都提高了宣傳力度。為了更好地保護互聯網用戶的企業信息安全,防止黑客攻擊,工業互聯網安全監測與態勢感知系統平臺更好協助通信管理局實現對網絡中的攻擊進行監測,實現“關鍵行業,重點監測”、“關鍵時刻,快速處置”、“關鍵態勢,多為感知”的全方位、全天候的監測與診斷能力。
“永恒之藍”事件的威脅風波剛剛過去,北京時間2019年3月20日,全球最大鋁生產商海德魯遭受“LockerGoga” 勒索病毒攻擊,致多個工廠關停。北京時間2019年10月,美國電網遭網絡攻擊,紐約停電長達4小時……
從“十三五”中后期開始,我省通信管理局上線了像工業互聯網態勢感知相關試驗平臺,對我省轄區內工業互聯網現狀進行詳細的摸底,通過對省內公共互聯網的抽樣數據流量進行分析,已經取得了初步成效。探明全省觸網工業資產9萬余個,捕獲涉及我省工業資產的安全事件128萬余次,捕獲針對聯網工控設備弱口令、指令篡改等安全風險1291個。整體工業互聯網安全形勢不容樂觀。
通過多安全事件的分析,不難得出電力系統、通信系統、城市關鍵基礎設施系統、先進制造系統等重要行業是攻擊的重點,也再次說明了“世界上沒有攻不破的網絡,也沒有不存在漏洞的系統”,工業互聯網威脅防不勝防,工業互聯網安全監測也是一種常態。事實表明傳統的圍墻模式防護思維,已沒有辦法監管變化多端的新安全形勢,必須基于持續監測和即使相應的安全能力,也安全監測和態勢感知能力,才能對安全形勢有完整的了解,并對未來的態勢進行預測,才能有效地應對當前的網絡安全威脅。
江蘇省是工業和制造大省,為盡快掌握全省工業互聯網安全態勢,防范針對工業互聯網的網絡攻擊,提升工業互聯網領域網絡安全威脅信息共享和應急處置能力,建設一個“可感、可知、可監管”的工業互聯網安全技術保障平臺變得十分必要。
2 項目目標
全面提升通管局對我省工業互聯網系統基于電信網絡流量信息安全的“實時監測、全面感知、重點監管、綜合分析、預警通報、應急處置”等方面的能力,為通管局履行“工業互聯網信息安全管理工作、指導監督工業互聯網信息安全保障工作、協調處理工業互聯網信息安全應急和處理重大事件”等監管職責提供有效技術與平臺支撐,以及為我省工業互聯網專業實訓人才的培養提供強有力的基礎教學保障。
2.1項目服務目標
(1)安全數據采集:省內不少于90家企業部署安全探針;部署系統與“省工業信息安全保障平臺”數據對接;實現企業安全告警定期上傳、分析;在省級平臺全面展示工業企業安全態勢。
(2)安全事件分析:形成面向工業企業、聯網設備與系統的全天候全方位安全監測與態勢感知能力;實現對我省工業互聯網安全態勢的分析研判,有效支撐重大工業安全事件的科學決策與風險處置。全面提升江蘇省工業互聯網安全技術保障水平。
(3)社會經濟效益:進一步擴大省平臺監管范圍,補充增強省平臺監管能力;新增25個就業崗位;預計產生1000萬元銷售收入,實現300萬利潤,250萬稅收。
3項目實施與應用
針對用戶在安全性方面的關切重點是來自互聯網的攻擊行為,而互聯網與用戶的辦公網是建立連接的,因此,項目建設重點是對辦公網和控制網之間的網絡流量實施探針監控,以實時監測來自互聯網的網絡攻擊行為。
目前,該項目已完成在辦公網和生產網之間的安全探針部署,系統已在線連續運行7個月時間,幫助用戶對木馬、病毒、可疑連接、可疑指令等對象進行檢測和識別,并對安全事件進行預警提示。
3.1.1項目實施方案
該項目的設備部署方案,如下圖所示。
圖 1部署方案
安全探針部署在生產網和辦公網之間的三層交換機中,通過旁路方式與三層交換機進行連接,通過端口鏡像的方式實時獲取生產網與辦公網之間的網絡流量,并從中識別出惡意軟件和惡意指令等異常行為,并對用戶業務不會產生任何影響。
3.1.2技術路線
針對用戶的應用場景和使用需求,項目的技術路線主要包括工業控制協議深度解析、工業控制網入侵實時檢測、工業控制網指令安全監測、工業控制網流量監測、工控設備智能識別定位六個方面,如下圖所示。
圖 2技術路線
(1)工業控制協議深度解析
工業控制協議深度解析實現對主流工控網絡協議(Modbus/TCP、OPC、S7、IEC104等)進行研究,全面深層次的解析工控系統通訊語言,建立符合現場工藝的業務指令流模型,打破傳統控制系統的黑匣子,可識別出工控現場上位機對下位機的指令操作、工程師站對現場工業控制器的配置變更、以及對現場開關量和過程量閥值的輸入等等,可以識別出網絡通訊行為與工藝操作行為。同時, 工業控制網監測子平臺支持私有工控協議的擴展接口,可對不同用戶的私有工控協議進行定制化的二次開發。
該技術路線采用DPDK,DPDK是Data Plane Development Kit的縮寫。簡單說,DPDK應用程序運行在操作系統的User Space,利用自身提供的數據面庫進行收發包處理,繞過了Linux內核態協議棧,以提升報文處理效率。由于包處理任務存在內核態與用戶態的切換,以及多次的內存拷貝,系統消耗變大,以CPU為核心的系統存在很大的處理瓶頸。為了提升在通用服務器(COTS)的數據包處理效能,采用了服務于IA(Intel Architecture)系統的DPDK技術。
DPDK是一組lib庫和工具包的集合。最簡單的架構描述如下圖所示:
圖 3工控協議深度解析架構
藍色部分是DPDK的主要組件:
PMD:Pool Mode Driver,輪詢模式驅動,通過非中斷,以及數據幀進出應用緩沖區內存的零拷貝機制,提高發送/接受數據幀的效率;
流分類:Flow Classification,為N元組匹配和LPM(最長前綴匹配)提供優化的查找算法;
環隊列:Ring Queue,針對單個或多個數據包生產者、單個數據包消費者的出入隊列提供無鎖機制,有效減少系統開銷;
MBUF緩沖區管理:分配內存創建緩沖區,并通過建立MBUF對象,封裝實際數據幀,供應用程序使用;
EAL:Environment Abstract Layer,環境抽象(適配)層,PMD初始化、CPU內核和DPDK線程配置/綁定、設置HugePage大頁內存等系統初始化;
下圖簡單描述了DPDK的多隊列和多線程機制:
圖 4 DPDK多隊列和多線程機制
DPDK將網卡接收隊列分配給某個CPU核,該隊列收到的報文都交給該核上的DPDK線程處理。存在兩種方式將數據包發送到接收隊列之上:
RSS(Receive Side Scaling,接收方擴展)機制:根據關鍵字,比如根據UDP的四元組<srcIP><dstIP><srcPort><dstPort>進行哈希;
Flow Director機制:可設定根據數據包某些信息進行精確匹配,分配到指定的隊列與CPU核;
當網絡數據包(幀)被網卡接收后,DPDK網卡驅動將其存儲在一個高效緩沖區中,并在MBUF緩存中創建MBUF對象與實際網絡包相連,對網絡包的分析和處理都會基于該MBUF,必要的時候才會訪問緩沖區中的實際網絡包。
圖 5緩沖區的網絡包
(2)工業控制網入侵實時檢測
隨著工控網絡的信息化程度加深,所面臨的網絡攻擊手段也越來越多,各種入侵和病毒攻擊利用工控設備的漏洞對工控網絡進行攻擊。
安全探針支持對入侵行為特征進行分析,實時捕捉各種攻擊行為。入侵檢測模塊核心的專家知識庫目前包含了共15個大類的1300余種攻擊特征,并在不斷增加更新中,包括病毒攻擊,木馬攻擊,拒絕服務攻擊,數據庫攻擊,Web攻擊,Icmp攻擊,FTP攻擊,DNS攻擊,ARP攻擊,郵件攻擊,漏洞攻擊,后門軟件,IP/端口掃描,RPC攻擊,緩沖區溢出攻擊等等。
(3)工業控制指令安全監測
安全探針可對“未知通信行為”、“用戶誤操作”、“用戶違規操作”、“工藝閾值非預期波動”等進行實時報警。
指令變更:指上位機電腦向下位機PLC或者DCS控制器發送開關閥、開關泵等操作變化。
閾值報警:指上位機電腦讀取下位機PLC或者DCS控制器傳輸的閥門狀態,溫度、壓力等傳感器的數據的上限或者下限報警。
組態變更:指上位機電腦向下位機PLC或DCS灌裝程序,或者從下位機PLC或DCS上載程序的網絡行為。
負載變更:指上位機與下位機,或者下位機PLC或DCS與負載設備之間通信的變化。
符合工藝的指令變采用白名單策略,例如某個閥門的開啟動作,而不符合工藝的指令變更是需要報警,某個閥門的關閉動作。因此在這個過程中,安全監測平臺需要及時發現這些合法和非法的網絡行為,實時的進行報警。控制指令安全檢測采用POWERLINK方法,將一個執行周期分為三個階段:同步階段、異步階段以及空閑階段。
a)同步階段(Isochronous phase)
在進入這個階段時,MN首先會廣播一個名為SoC(Start of Cycle)的數據包,提示網絡內所有的CN注意點名。然后開始挨個點名。在每一次點名的過程中,一個叫做 PReq(Poll-Request)的數據包會被定向發給特定的CN,這個數據包中包含了MN 對CN中變量的期望值。CN 收到這個數據包之后,會對這些變量進行處理,并廣播一個PRes(Poll-Respond),這個數據包中包含了CN 希望其它節點看到的變量的當前值。
POWERLIN引入復用時隙的概念(Multiplexed Timeslots),對某些CN,MN 不必在每個周期中都對其進行數據同步,而是在特定次數個周期之后,對這些CN進行數據同步。
b)異步階段 (Asynchronous phase)
在進入這個階段時,MN 會廣播一個 SoA (Start of Asynchronous)數據包,告知網絡內所有用戶,現在是異步時間,并且這個數據包中應當包含需要交互的對象。
在這一階段,MN 只會與一個CN 進行交互或者不與任何CN交互。如果交互,將以ASnd (Asynchronous Send)數據包發送,MN 只提供一條服務,并且CN 在接收服務后可能不會即時反饋,而是在數個周期后再給出服務評價,這就是所謂的異步階段。
在這一階段MN 提供的服務包括:身份認證(Ident Requests)、狀態認證(Status Requests)、通用傳輸請求(Generic transmit Requests)、發言請求(Transmit Requests),前三者的發起人都是 MN, 而第四者的發起人為 CN。
身份認證:在MN 啟動之初,所有的CN 都將標記為未識別狀態,身份認證就是識別這些CN的第一步。如果被點名的CN未做出響應,那么MN 將點名下一位CN,直到全部點名完畢后。重新開始新一輪點名,在新一輪點名中,標記為識別狀態的將被跳過。
狀態請求:一般在出現錯誤時,MN會向CN發起狀態請求,CN應當立即相應該請求,相應內容中應包含詳細錯誤信息。除此情況外,異步CN 也會被周期性的發起該請求以檢查其狀況。
c) 空閑階段(Idel Phase)
在完成同步階段和異步階段后,系統進入空閑階段,等待任務隊列下發的數據。
(4)工業控制網流量監測
安全探針可對被監測控制網絡中各個資產的網絡流量進行監視,針對根據不同的資產設置不同的流量閾值,進行安全預警。通過流量曲線圖、柱狀圖和詳盡的流量分布表等多種方式對整個控制網絡總體流量監測結果進行展示。
根據流量監測獲取的數據,工業互聯網安全監測平臺還可進行流量異常檢查,針對網絡中流量的突變和異常的數據流模式,適時發送流量相關警報信息,為用戶提供了了解網絡異常狀態的新途徑。
項目采用sFlow技術連續實時地監視交換機/ 路由器的每一個端口, 采集的數據種類繁多, 長時間運行數據量大, 這些數據并非是面向事務, 而主要是面向分析, 因此采用了數據倉庫技術。sFlow技術和數據倉庫技術的結合, 為網絡流量分析提供了一個非常好的架構。如下圖所示, 該架構分為五個模塊: 數據采樣模塊、數據接收模塊、數據存儲與管理模塊和數據分析模塊。
下面詳細敘述這五個模塊的功能。
圖 6流量監測功能架構
a)數據采樣模塊:該模塊實際上就是一個支持 sFlow 機制的交換機或路 由器, 由制造商在內部加入硬件采樣器( ASIC) 。硬件采樣器完成數據采樣功能, 并將采樣數據發往 sFlow Agent。可通過超級終端對硬件采樣器的采樣頻率進行設置。采樣數據分為兩種: 一種是在網絡中的數據包( Flow Sample) ; 另一種是交換機/ 路由器本身產生的數據( Count Sample) , 包括采樣間隔、接口狀態、數據包丟失率等。采樣過程由專用硬件完成, 對交換機/ 路由器的性能沒有影響。
b)數據接收模塊:該模塊由 sFlow Agent 和數 據 存儲 子模 塊 實現。 sFlow Agent是交換機/ 路由器的一部分, 與硬件采樣器不同的是sFlow Agent 屬于軟件部分。sFlow Agent由Sam- pler和Poller 兩部分組成, 前者接收網絡中的數據 Flow Sample, 后者接收接口統計數據(Count Sample)。sFlow Agent 接收到的數據按照 RFC 3176規定的統一格式編碼, 并以UDP 數據包的形式向指定的目的地進行發送。數據存儲子模塊位于指定目的地的指定IP 地址和指定端口, 該模塊接收sFlow Agent 發來的合法的sFlow 數據包, 并按照 RFC 3176 的統一格式進行解碼。 然后將解碼后的數據存入數據源。數據源是一個或多個數據庫, 它以一定的結構組織存儲原始數據, 該數據庫是面向事務的, 可支持一些實時的事務處理; 同時, 數據源也是后面數據倉庫的基礎, 是構建于該架構之上的網絡性能管理、流量分析的數據源泉。
c)數據存儲與管理模塊:該模塊是架構的核心, 架構的真正關鍵是數據的存儲與管理。數據倉庫的組織形式決定了它有別于傳統數據庫, 同時也決定了其對外部數據的表現形式。 該模塊的功能是從數據源抽取數據, 對所抽取的數據 進行篩選、清理, 將處理過的數據導入或加載到數據倉庫中, 根據用戶的需求設立數據集市, 完成數據倉庫的復雜查詢、決策分析和知識挖掘等。同時, 針對不同類型的數據進行相應的數據管理。
d)數據分析模塊:該模塊對分析需要的數據進行有效集成, 按多維模型予以組織, 以便進行多角度、多層次的分析,并發現趨勢。 該模塊包括數據分析器和事件分析器。數據分析包括三方面的功能:
基本統計功能, 如按線路、路由器端口、網絡或自治域統計流量; 按應用類型統 計流量分布。
性能趨勢預測, 按照一些數學模型, 如時間序列預測、回歸分析、概率預測、判斷預測技術、最優分割預測、判斷分析預測等, 對基礎數據做進一步加工處理, 作為網絡規劃的參考。
數據關聯分析, 利用數據挖掘技術對基礎數據進行旋轉、關聯, 發現潛在的問題。在進行數據 分析時, 數據掃描任務由一組數據掃描器實現。數據掃描 器的功能是把數據( 或一批數據) 按特定要求格式化, 以供后續性能分析工具所用。事件分析器根據特定的原則進行事件過濾, 并決定適當的處理方式。事件按緊急程度劃分為不同的優先級, 優先級高的事件優先響應。對于由同一問題引發的連續事件盡量歸并, 對于不同來源的事件應盡量關聯。
(5)工控設備智能識別定位
安全探針具有半自動網絡拓撲發現技術和半自動拓撲繪制技術,可將被監測的工業控制網的拓撲在頁面上動態呈現。包括識別上下位設備的IP地址、MAC地址等設備屬性發現網絡資產,以及管理員對拓撲圖上的設備屬性進行修改、添加設備或者刪除設備,并根據設備通信狀態進行連線生成動態拓撲圖。
當控制網中設備發生異常行為,安全探針可直接在拓撲圖相應設備上進行報警。獨特的不間斷的網絡監視功能,非常直觀方便的告知用戶是哪臺設備發生異常。網絡拓撲可完全呈現出網絡中正在進行的工作過程及安全事件,更直觀的對入侵行為進行監測。
安全探針可自動發現網絡資產及資產間通信狀態,可半自動生成網絡結構動態拓撲圖并可通過人工修改拓撲圖。動態拓撲圖上可完全呈現出網絡中正在進行的工作過程及安全事件,實現對網絡中用戶資產的梳理,實時可見通訊狀態,以及報警的精準定位。
案例分析(案例1-蘇州某光伏企業):
檢測到網絡攻擊:發現有境外掃描器對企業內網資產進行掃描嗅探。
檢測到有害程序:發現2臺資產中木馬,并且木馬程序與外部CC服務器連接。
檢測到了有害程序:發現永恒之藍病毒。
處置方式:
內網資產關閉不必要的映射端口和服務到互聯網。
外網出口防火墻配置安全訪問防護策略。
對中木馬的資產進行病毒查殺,并進行主機加固。
案例分析(案例2-江蘇某化工企業):
檢測到惡意程序傳播:多臺服務器有傳播惡意程序。
檢測網絡攻擊:網絡掃描。
檢測到有害程序:基于smb協議傳輸惡意文件。
檢測到異常違規行為事件:sql緩沖區溢出攻擊
處置方式:
內網防火墻增加安全防護策略,異常IP加入黑名單。
內網資產關閉不必要的端口和服務。
對指定資產進行病毒木馬查殺,并進行主機加固。
案例分析(案例3-江蘇某電氣公司):
檢測到有害程序:基于http協議的傳輸惡意文件,蠕蟲傳播。
檢測到有害程序:檢測到相關間諜軟件用戶代理。
檢測到網絡攻擊事件:檢測到基于http協議的ddos攻擊工具HOIC。
檢測到網絡工具事件:檢測到基于http的目錄穿越
處置方式:
發現了大量攻擊,與IT人員溝通,防護墻壞了導致,重裝防火墻進行網絡攻擊防范。
4 效益分析
(1)貫徹落實信息安全政策文件和支撐服務政府工作
貫徹落實黨中央、國務院相關文件精神,構建涵蓋省級重要節點的工業監測網絡,加強對所轄工業企業日常監督管理,形成快速高效、各方聯動的信息通報預警.Yeah體系,持續完善我省工業網絡安全保障體系。
(2)推動工業4.0、兩化深度融合在我省安全可靠發展
構建企業側態勢感知系統,建立完善的監管體系,實現對全省工業企業安全事件監督管理,全力保障我省工業企業轉型升級。
(3)逐步形成我省工業互聯網信息安全風險預警和信息共享能力
全面掌握我省工業互聯網暴露在公網的工業資產情況以及工業互聯網的網絡安全狀況,有效促進我省各級主管部門和工業互聯網運營單位提升工業網絡安全意識、及時開展風險消減,逐步形成我省工業控制信息安全風險預警和安全信息共享能力。
北京市公安局海淀分局備案號:11010802023656號