基于智能学习+业务感知的工控安全监测体系建设

概述

当前工控系统安全的态势感知、有效防控、应急恢复、预测分析技术的保障能力还处于初级水平。基于以上安全现状，绿盟科技针对工控系统网络可能发生的异常行为进行安全监测研究，深入解析不同行业工控系统使用的工控协议，利用基于白名单的业务行为基线和基于黑名单的入侵检测规则匹配，重点对工控系统监测审计与入侵检测技术进行了深入研究，提出了基于智能学习与业务感知的工控安全监测体系。

安全监测在工控安全保障中的重要性

图1 工控网络安全保障的七个策略

（1）实现应用白名单（Application Whitelisting , AWL）。

（2）确保合适的配置和补丁管理。

（3）减少攻击面。

（4）建立一个可防御的环境。

（5）管理认证。

（6）实现安全的远程访问。

（7）监测和响应。

我们需要根据工控安全需求和脆弱性，结合七个策略，制定适用于工控的安全产品，从各个威胁点上保护工控环境的安全。在众多工控安全系统中，工控系统的监测审计与入侵检测是搭建整个预警体系的关键所在。作为预警体系的探针，工控安全监测审计系统承载着数据收集和分析的要务。

工控安全监测与入侵检测技术特性

基于机器自学习的业务行为基线

工业网络中设备众多、网络通信复杂，给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置，提高规则配置的准确性，绿盟科技研究了基于机器自学习的业务行为基线技术，并应用到绿盟工控安全监测审计模块中。该功能采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能的与系统内置的协议特征、设备对象等进行匹配，生成可供参考的网络交互信息列表，通过对协议分布和流量信息的匹配，形成“工控场景行为基线”，帮助用户以最直观的方式了解和掌握网络中的业务通信状态，发现工控网络潜在的安全风险。

图2 工控网络基线资产关系图

该模块通过基线自学习功能梳理工控现场资产拓扑，建立工控网络行为模型，对基线外异行为如组态变更、操控指令变更、负载变更、异常访问等告警，实现对工控现场安全事件的告警与响应，保障工业控制系统的安全稳定运行。

深度融合业务场景的异常行为检测

电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等各个行业的工业控制系统千差万别，针对不同行业工控网络的异常监测有着较强的特异性差异。绿盟科技深入不同行业的OT网络场景，融入针对不同行业的业务安全告警。如针对变电站场景，可对IEC 61850协议簇进行深度解析，对应到特定场景下的关键操作行为（遥控操作，改定值操作）；针对其他行业场景，可设置通用行业场景，解析Modbus TCP、S7 Comm等常见协议规约。

同时，绿盟工控安全监测审计模块可对工控系统的配置文件进行解析，如变电站SCD文件等厂商相关配置文件的解析，将功能代码与具体业务操作进行关联，实现业务安全审计的功能。如可对工控协议报文进行检测和告警。可对运维人员下发的工控协议报文产生的非法操作进行检测和告警。可对资产新增、路径异常、未知协议、越权操作、关键控制等行为进行检测和告警。

工业控制系统行业场景网络拓扑

在部分工业控制系统环境中，工业控制系统资产梳理和拓扑编制的过程存在较多困难点。针对此种情况，绿盟工控安全监测审计模块以资产管理为导向，预制了不同工业环境下的工业网络分层拓扑结构图，展示被监听的工业网络场景下的网络资产。

图3 工业控制网络行业场景拓扑图

工业网络协议深度解析

绿盟科技基于对工控环境的理解，针对工控环境使用的规约进行了相关的分析和研究，对于协议的内容进行了完全的解码，可以深入到指令级别的分析，对于从上位机指令下发控制端到下位机指令接受操控端的通讯过程进行全面细致的解析。如对Modbus Tcp协议，可以深入到功能码寄存器层面进行细致的监测审计（写多个寄存器、读保持寄存器等）。

图4 深入到功能码寄存器层面的工控协议深度解析

绿盟工控安全监测审计模块通过镜像方式对流量进行深入解码，分析其中的操作是否符合定义的操作要求，如发现其中有任何的违规操作，及时进行报警，由管理员来进行相关的处理。

基于规则库的攻击事件匹配与检测能力

工控入侵检测：绿盟工控入侵检测模块可以针对西门子、施耐德、ABB、AB等主流工业控制系统的控制器的漏洞利用过程进行有效检测，可以针对主流上位机WellinTech、Advantech、WINCC等漏洞利用的过程进行检测。支持PLC抗拒绝服务漏洞（CVE-2013-2784）、缓冲溢出漏洞（CVE-2014-0768）等典型工控漏洞的识别，并产生告警信息。

入侵检测和高级威胁检测：绿盟工控入侵检测模块具备CVE-Compatible兼容性认证特征库，可对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量的检测和阻断，支持特征用户自定义。

快速威胁响应：作为微软MAPP成员，绿盟科技可在24小时内快速发布入侵检测规则，并第一时间分发到用户设备中，实现快速威胁响应。

点击“阅读原文”深入了解工控网络安全监测与入侵监测

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP