《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 基于白名單策略的工業(yè)控制網(wǎng)絡(luò)審計監(jiān)控技術(shù)研究

基于白名單策略的工業(yè)控制網(wǎng)絡(luò)審計監(jiān)控技術(shù)研究

2018-08-16
關(guān)鍵詞: 審計 工控安全

  1 引言

  工業(yè)控制系統(tǒng)廣泛應(yīng)用于能源,、交通,、水利,、公共事業(yè)和智能制造等行業(yè)和領(lǐng)域,,這些系統(tǒng)一旦遭到破壞,,可能嚴重危害國家安全,、國計民生及公共利益,,很大部分均屬于關(guān)鍵信息基礎(chǔ)設(shè)施的范疇,。對其運行安全,,在《網(wǎng)絡(luò)安全法》中也提出了明確的要求,,運營者需采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài),、網(wǎng)絡(luò)安全事件的技術(shù)措施,,日志留存不少于六個月。同時,,工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》中也提出需在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備,,及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為,。另外,,工業(yè)控制系統(tǒng)運營者從系統(tǒng)安全來說,也有必要通過審計監(jiān)控措施,,及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,,進行安全防護,也能在安全事件發(fā)生后,,做必要的追溯分析,。因此,無論是法律法規(guī)的合規(guī)要求,,還是自身的安全防護需要,,都有必要對工業(yè)控制網(wǎng)絡(luò)進行審計監(jiān)控。

  2 工控系統(tǒng)信息安全現(xiàn)狀

  2.1 工控系統(tǒng)安全現(xiàn)狀

  早期工控系統(tǒng)相對孤立,,運行專有控制協(xié)議,,使用專門硬件和軟件,因此在設(shè)計之初就很少考慮信息安全問題,。比如工控協(xié)議基本都是采用明文方式傳輸,,并且缺少身份認證的支持,這在IT安全領(lǐng)域是絕對無法接受的,。工控設(shè)備主要關(guān)注的也是功能安全,,系統(tǒng)集成時注重的是可用性、穩(wěn)定性及可靠性,,往往把信息安全放到次要位置,。隨著互聯(lián)網(wǎng)的發(fā)展,兩化融合的推進,,工控系統(tǒng)與互聯(lián)網(wǎng)的信息交互變得非常必要,,這就把原來通過物理隔離而隱藏在系統(tǒng)中的風險,、漏洞暴露出來,同時也會引入新的風險,。

  工控系統(tǒng)的生命周期通常比較長,,整個系統(tǒng)進行完全的更新是不現(xiàn)實的。這就有必要采取技術(shù)措施對工控系統(tǒng)進行安全防護,。最基本的防護措施至少包括以下幾個方面:首先,,是邊界防護,需要采取嚴格的訪問控制措施,,對包括外部邊界,、內(nèi)部層級和區(qū)域邊界的防護;第二,,是人機交互設(shè)備的防護,,主要是針對計算機設(shè)備,防止引入惡意程序及非授權(quán)的操作,;第三,,采取全面的審計監(jiān)控措施,及時發(fā)現(xiàn)系統(tǒng)的任何異常情況,。當然,,為保障整個系統(tǒng)的安全,物理安全及運維管理安全也是必不可少的,。

  2.2 與IT系統(tǒng)的區(qū)別

  工控系統(tǒng)在下層主要采用硬接線方式,,其上層使用的還是工業(yè)以太網(wǎng),與傳統(tǒng)的IT網(wǎng)絡(luò)具有一定的相似性,。但由于各自系統(tǒng)在業(yè)務(wù)功能上存在較大差異,,因此在審計監(jiān)控需求上也存在較大的不同。

  可用性要求方面,,工控系統(tǒng)對可用性要求非常高,,不允許外部設(shè)備對系統(tǒng)產(chǎn)生任何干擾;性能要求方面,,對網(wǎng)絡(luò)的實時性要求很高,,而對吞吐量要求相對較低;通信協(xié)議方面,,IT系統(tǒng)主要采用TCP/IP協(xié)議,,應(yīng)用層協(xié)議也具有統(tǒng)一規(guī)范。工控系統(tǒng)除了少量的標準協(xié)議,,如ModBusTCP等,,大量采用廠商的私有協(xié)議,而在通信內(nèi)容上,工控系統(tǒng)相對比較簡單,,無外乎數(shù)字量,、模擬量的輸入監(jiān)測和輸出控制。

  由于兩者存在較大差別,,使得傳統(tǒng)的IT審計產(chǎn)品無法應(yīng)用在工業(yè)控制系統(tǒng),。首先,傳統(tǒng)IT審計產(chǎn)品無法識別工控協(xié)議的應(yīng)用層元素,;其次,IT系統(tǒng)中審計,,除了流量鏡像方式審計外,,也可能以串接方式進行審計,串接方式在工控系統(tǒng)難于接受,,會對通信帶來額外的延時,,設(shè)備的故障也會影響系統(tǒng)可用性;第三,,傳統(tǒng)IT審計產(chǎn)品的高性能在工控系統(tǒng)中無太大必要,。

  2.3 工控審計監(jiān)控產(chǎn)品現(xiàn)狀

  隨著對工控系統(tǒng)信息安全的關(guān)注,用戶有了對工控系統(tǒng)進行審計監(jiān)控的需求,。2014年,,市場上就出現(xiàn)了針對工控系統(tǒng)的審計類產(chǎn)品,近幾年的產(chǎn)品數(shù)量更是有著大幅增長,。目前這類產(chǎn)品主要還是黑名單技術(shù),,即對能夠識別的協(xié)議進行分析審計,其它通信則不處理,,能夠記錄通信的五元組及工控協(xié)議通訊的應(yīng)用層內(nèi)容,,如操作類型、操作對象,、操作值等,。但目前這類產(chǎn)品還普遍存在一些不足之處。首先,,對工控協(xié)議支持的數(shù)量相對有限,;其次,大多還是偏重于提取通訊的相關(guān)內(nèi)容,,而對其所做的自動分析較少,;還有就是對不能識別的內(nèi)容可能存在潛在風險的通訊都是直接忽略。

  2.4 工控審計需求

  由于工控系統(tǒng)與IT系統(tǒng)存在較大差異,,其對系統(tǒng)網(wǎng)絡(luò)審計也有著不同的需求,。在部署上,需采取鏡像監(jiān)聽方式,并保證監(jiān)聽網(wǎng)卡不能主動外發(fā)數(shù)據(jù)包,,有些大型的系統(tǒng),,橫向上會有多個區(qū)域,這就需要審計產(chǎn)品能夠支持分布式部署,,在此模式下,,如果數(shù)據(jù)采集引擎部署在工業(yè)現(xiàn)場,采集引擎硬件需要具有良好的環(huán)境適應(yīng)性,,如溫濕度,、抗震、電磁兼容等,,為了產(chǎn)品的可靠性,,通常也需要采用無風扇自然散熱的方式。工控系統(tǒng)的安全,,要求整個網(wǎng)絡(luò)通信可知可控,,這就要求工控審計產(chǎn)品對所有流量進行全面分析處理,對于無法確定為正常的通信內(nèi)容均應(yīng)視為異常通信,,可能存在潛在的風險,。實現(xiàn)對異常/攻擊事件的溯源分析(事后),及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為并告警(事中),。

  3 基于白名單的審計監(jiān)控研究

  3.1 白名單技術(shù)分析

  采用基于規(guī)則匹配技術(shù)實現(xiàn)的安全功能,,要么以黑名單方式,要么以白名單方式,。黑名單方式,,主要規(guī)則匹配的內(nèi)容認為是惡意的,對其它內(nèi)容不做處理,,如入侵檢測系統(tǒng),、殺毒軟件主要采用此方式;白名單方式,,主要是規(guī)則匹配的內(nèi)容認為是無害或能夠允許的,,而其它內(nèi)容均認為是異常或不可信,。

  IT系統(tǒng)中通信非常復(fù)雜,,各設(shè)備之間的網(wǎng)狀通信、設(shè)備上各應(yīng)用程序與外部及互聯(lián)網(wǎng)往往都有復(fù)雜的通訊內(nèi)容,,無論是網(wǎng)絡(luò)層還是應(yīng)用層,。這就使得IT系統(tǒng)中的網(wǎng)絡(luò)審計無法采用白名單技術(shù),通常只能夠?qū)徲嫷酵ㄐ诺奈逶M信息,,以及能夠識別的部分協(xié)議類型及應(yīng)用層內(nèi)容,,而且對應(yīng)用層內(nèi)容審計得過多又可能侵犯個人隱私,,如郵件內(nèi)容、即時聊天內(nèi)容等,。而工控系統(tǒng)中通信相對簡單,,一個完整的流程下來,基本上能夠覆蓋各類通信行為,,而且通信內(nèi)容上不會變幻不定,。另外,工控系統(tǒng)中的通訊協(xié)議通常都是明文方式,。再加上工控系統(tǒng)安全對穩(wěn)定可靠,、可知可控的需求,這使得以白名單方式進行審計成為可能,。

  3.2 網(wǎng)絡(luò)層白名單分析

  要進行網(wǎng)絡(luò)層的白名單分析,,前提是具備相應(yīng)的白名單規(guī)則。首先是資產(chǎn)白名單,,通過設(shè)定IP、MAC地址清單,,若監(jiān)測到系統(tǒng)中出現(xiàn)了清單之外的源IP或MAC地址,,說明有非法設(shè)備接入。其次,,工控系統(tǒng)中各設(shè)備所開放的服務(wù)端口是可知的,,哪些設(shè)備需要訪問這些服務(wù)也是能夠確定的,這就可以生成類似防火墻包過濾策略的五元組規(guī)則,,源IP,、源端口,目的IP,、目的端口及傳輸層協(xié)議類型,。當然,由于通信過程中,,源端口通常為隨機生成,,該要素可以忽略。通過提取網(wǎng)絡(luò)會話中的源IP,,目的IP和目的端口,,傳輸層協(xié)議,與設(shè)定規(guī)則進行比對,,就至少能夠識別出以下異常行為:如來自工程師站/操作員站主機之外設(shè)備訪問控制器,,可能就是潛在的攻擊探測;若存在非控制器IP與控制器遠程通信模塊進行通信,,無論其應(yīng)用層協(xié)議是否合規(guī),,可能就是直接的協(xié)議攻擊,。

  3.3 應(yīng)用層白名單分析

  同樣,對應(yīng)用層通信進行白名單分析,,也需要應(yīng)用層通信的白名單規(guī)則,。各工控協(xié)議應(yīng)用層內(nèi)容都有一套協(xié)議規(guī)約,所有的通信均應(yīng)遵循此規(guī)約,。應(yīng)用層通信內(nèi)容要素主要包括:操作類型,,如讀取、寫入操作,;操作對象,,如I/O點位地址;操作值等,。正常的工藝流程下,,I/O點位地址清單應(yīng)是明確的,對各I/O點的操作類型,、操作值范圍也均是明確的,。這就可以基于以上要素形成應(yīng)用層基本的白名單規(guī)則。進一步來說,,可基于各操作的先后次序,、時間間隔等要素生成更細致的白名單規(guī)則。通過提取工控協(xié)議中相應(yīng)的要素并進行記錄,,然后與白名單規(guī)則進行比對分析,,識別其中異常行為。如越限值的操作,、非授權(quán)的點位操作等,,這些都可能會帶來嚴重的后果。

  3.4 其它必要的審計分析技術(shù)

  學習功能:對于規(guī)模較小的系統(tǒng)來說,,可以通過人工方式設(shè)定較為準確的白名單規(guī)則,。但對于規(guī)模較大的系統(tǒng),設(shè)備數(shù)據(jù)多,、監(jiān)控的點位多時,,人工就很難配置出完善的白名單規(guī)則,這就需要審計產(chǎn)品一定的學習功能,。通過一個或多個完整的工藝流程后,,自動學習生成基礎(chǔ)的白名單規(guī)則庫,在此基礎(chǔ)上,,通過人工的調(diào)整完善,。并通過后續(xù)的試運行,排除可能出現(xiàn)的誤報行為,,最終形成較為完善的白名單規(guī)則庫,,來對事件進行分析,。

  黑名單分析技術(shù):基于白名單的審計分析,能夠識別出不合規(guī)的異常事件,,但對于不同的異常事件,,可能有不同的危害程度,這主要依靠黑名單分析技術(shù),,通過設(shè)定一個規(guī)則集,,并設(shè)定其危害等級,出現(xiàn)匹配的事件時,,進行相應(yīng)級別的告警,。例如,高鐵設(shè)計時速為300km/h,,速度超過設(shè)計速度的10%可能就是中危事件,,超過20%可能就是高危事件,那么就可以對速度監(jiān)測數(shù)據(jù)分別設(shè)置中危,、高危分析規(guī)則,。

  關(guān)聯(lián)分析技術(shù):有些時候,盡管從單個事件來看屬正常事件或者低危事件,,但不同的事件以某種特定的方式同時出現(xiàn)時,,就可能是高危事件了。比如,,端口掃描,、系統(tǒng)登錄失敗,,這應(yīng)該都屬于低危的事件,,但是如果先出現(xiàn)端口掃描事件,接著就出現(xiàn)登錄失敗事件,,這很可能就是高危的惡意攻擊事件,。通過關(guān)聯(lián)分析技術(shù)是能夠非常有效地挖掘出安全事件,但它主要還是通過人工設(shè)定分析規(guī)則來實現(xiàn),,這對規(guī)則設(shè)定的要求較高,。

  3.5 網(wǎng)絡(luò)報文分析流程

  對于審計產(chǎn)品來說,網(wǎng)絡(luò)報文的分析是其基礎(chǔ),,包括網(wǎng)絡(luò)層的內(nèi)容,,如MAC、IP,、傳輸層協(xié)議類型,、端口等,應(yīng)用層的內(nèi)容,,如操作類型,、操作對象,、操作值等參數(shù)??傮w分析流程如圖1所示,。

11509703852103564.jpg

  網(wǎng)絡(luò)報文分析流程圖

  首先通過網(wǎng)絡(luò)層白名單規(guī)則對報文進行分析,在此期間,,需要排除部分無實質(zhì)應(yīng)用內(nèi)容的報文,,如ARP、ICMP報文,,但不是直接丟棄,,也需要對報文數(shù)量進行統(tǒng)計,是否出現(xiàn)異常的報文風暴等,,這就可以得到網(wǎng)絡(luò)層正常事件,、網(wǎng)絡(luò)層異常事件。對于網(wǎng)絡(luò)層異常事件,,需進一步通過應(yīng)用/網(wǎng)絡(luò)黑名單規(guī)則進行分析,,可以得到惡意事件和普通的異常事件,這類惡意事件如來自非工程師站,、操作員站的設(shè)備篡改控制器指令等,。對于網(wǎng)絡(luò)層屬于正常的事件,也需要深入分析,,先通過應(yīng)用層白名單規(guī)則進行分析,,若匹配,則屬于正常事件,,其它均屬于應(yīng)用層異常事件,,再通過應(yīng)用黑名單規(guī)則進行分析,可以得到諸如越限值操作,、異常協(xié)議攻擊等事件,。

  通過上述的分析,可以得到正常事件,、網(wǎng)絡(luò)層的惡意事件和異常事件,、應(yīng)用層的惡意事件和異常事件。最后可通過統(tǒng)計分析,、關(guān)聯(lián)分析等分析技術(shù)進行綜合分析,,得到確定的惡意事件。從而實現(xiàn)工控系統(tǒng)全面的審計監(jiān)控,。

  4 總結(jié)與展望

  由于工控系統(tǒng)的特點及安全需求,,使得基于白名單技術(shù)的安全審計在工控系統(tǒng)審計中具備了基礎(chǔ)條件,也是工控系統(tǒng)安全審計所必要的,。因此,,國家標準《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求》的編制,,也是基于此思路來編寫的。工控審計類產(chǎn)品重點不在于記錄下各類通信行為,,而是在于后續(xù)的分析,,這也是難點所在。隨著這類產(chǎn)品的發(fā)展,,分析技術(shù)必將進一步成熟和完善,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。