一文包你懂工控行业入侵检测产品
发布时间:
2017-11-01
来源:
作者:
天地和兴SRC 张长伟
访问量:
19
1.什么是入侵检测系统
入侵检测是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。入侵检测系统(IDS: Intrusion Detection System)是实现入侵检测功能的一系列的软件、硬件的组合。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。
2.入侵检测现状
2.1 IDS在传统网络安全行业现状
随着近年网络技术的发展,基于网络的计算机应用系统已经成为主流。商户、银行与其他商业及金融机构在电子商务热潮中纷纷连入Internet,以政府上网为标志的数字政府使国家机关与Internet互联。以宽带互联为基础的远程教育体系同样需要连入Internet。可以看到,通过Internet实现包括个人、企业与政府的全社会信息共享已逐步成为现实。目前,黑客在网上的攻击活动正以每年10倍的速度增长,网络攻击日趋猖狂。随着技术的发展,网络入侵检测系统(IDS)为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等。经过多年发展已经开始在各种不同的互联网环境中发挥关键作用。
2.2 工控行业现状
在近几年愈演愈烈的网络安全事件,使各行业对网络安全的也越发看重。目前,在工业制造业生产中,工业以太网以及自动化系统的应用越来越占据主要地位,但与之相应的工控安全系统却没有得到同等的提升,相对而言有些滞后。在伊朗、美国都相继发生涉及工控安全的网络事故。
控制系统由控制软件组成,这些软件运行在专用工作台或服务器和电脑硬件设备上,它们可控制电机程序。目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中,据不完全统计,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。
目前多种工业控制系统安全保障方案主要是移植传统的入侵检测系统,然而传统的入侵检测系统并不适应工业环境,例如无法在高实时性与资源受限条件下进行有效预测与控制;协议类型不兼容等问题。
3. 工控网络入侵检测现状
当前的工业控制系统的办公网络中的管理者根据监控网络提供的数据对企业进行管理和决策,通过工厂信息管理系统(PIMS)等工控管理系统对企业流程活动进行统一部署。监控网络中,操作员可使用数据采集与监控系统(SCADA)对现场运行的设备进行监测和控制,在调度控制方面有极高的可靠性。在现场控制层中,分布式控制系统(DCS)、可编程逻辑控制器(PLC)或远程终端单元(RTU)进行现场设备的逻辑控制、数据采样、指令执行等工业操作。
传统计算机系统绝大多数都是由PC机、服务器通过TCP/IP协议通信,通用的操作系统等,系统兼容性好,软件升级频繁。而工业控制系统主要由PLC、RTU、DCS、SCADA和传感器等设备组成,通过OPC、Modbus、DNP3等专有协议信息通信,使用嵌入式系统,系统兼容性差、软硬件升级困难。在性能特征等方面,传统计算机系统对实时性要求不高,运行有一定的延时,可停机或重启,需要高吞吐量,系统具有足够的资源支持。而工业控制系统实时性要求高,流量具有突发性和周期性,没有足够的升级资源和安保功能,并且必须具备容错功能,不能停机或重启。
总之,由于目前检测技术的局限性,仍存在一些过程攻击无法被有效检测。如何正确检测工控环境变种攻击、有效检测过程攻击。工控网络入侵检测准确性、实时性等问题。成为攻击检测的重点和难点,关于这些问题还需要进行更具创新性的研究和更多细致完善的工作。
4.如何解决
IDS入侵检测系统(HX-IDS)是由北京天地和兴科技有限公司自主研发的基于网络的入侵检测系统。该系统是一种实时的网络入侵检测和响应系统。它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告,实时对攻击作出反应,并提供补救措施,最大程度地为网络系统提供安全保障。
IDS入侵检测系统具有强大的检测能力,能检测出两千多种攻击行为,同时引进蜜罐(攻击陷阱)、关联分析、蠕虫检测隔离等先进技术,并采用了国际首创的反向拍照技术,对黑客身份进行多维特征识别、取证,为进一步追踪黑客提供了有力的线索和证据。
只有紧跟黑客技术发展,入侵检测系统才更有生命力。北京天地和兴科技有限公司成立并进入网络安全行业以来,就制定了公司的研发方向,公司以高起点、高技术、高目标、高效益、高速度的发展战略,积极参与网络安全建设,不断壮大自身的实力,集中技术力量展开对网络安全领域各项技术的跟踪和创新,研究黑客技术并为我所用。
该系统体系结构见下图:
分组捕获器
通过分组捕获机制,为入侵检测系统提供从物理网络(网络接口卡)直接收集数据链路层网络原始信息的能力。最关键的是要保证高速和避免丢包,这不仅仅取决于软件的效率还同硬件的处理能力相关。
网络协议解码器
实现了相当于计算机系统中网络协议栈的功能,将由分组捕获器获得的原始网络信息,根据不同的网络协议解码相应的分组数据结构,并将已解码的协议分组信息提交入侵检测引擎和轮廓引擎。系统对捕获的每一个数据包在不同的网络层次进行协议解析,在数据链路层,系统可针对以太网、令牌环及 PPP 等协议进行解码;在网络层,系统可针对 IP、IPX、ARP 及 ICMP 等协议进行解码;在传输层,系统可针对 TCP 和 UDP 等协议进行解码;在应用层可对 http、telnet、smtp、 pop、ftp 等协议解码。
预处理模块
用于预先处理各种网络信息,比如TCP流重组、UNICODE漏洞检测等,为检测做铺垫,从而提高检测的准确性和速度。预处理模块还可统计流量异常事件,可以检测各种已知或未知的入侵企图。
特征匹配模块
对已解码的网络协议数据进行分析,并从这些网络活动中寻找预先定义的攻击模式,一旦发现其中 有攻击事件的特征标志,即将此事件提交预警模块。
预警模块
根据入侵检测引擎提交的事件种类,根据预先指定的响应行为来执行相应的动作,如联动、预警、拍照、阻断等。
规则库
描述攻击事件的特征和相应的响应规则。用来对入侵检测引擎进行控制,使其能根据所描述的攻击事件模式特征来识别攻击事件,并控制预警系统的相应动作。
检测引擎的信息处理分中心
用于同控制中心进行各种信息的交流,包括接受控制中心的命令、向控制中心报警、为控制中心提供各种原始网络信息等功能。
控制中心的信息处理中心
用于同检测引擎的信息处理分中心进行通讯,其功能包括控制各检测引擎、接收检测引擎送回的各种命令。还可从各种防火墙、IDS、交换机、路由器等安全设备的日志服务器中读取日志和与安全设备沟通而检查安全设备状态。
预警响应中心
用于将检测引擎送回的各种预警信息记录在案并向系统管理员报警。
学习模块
对预处理系统中发现的入侵事件进行智能分析,自动的找出入侵特征,然后生成模式扩充到入侵模式库中,同时将异常行为通知预警模块。
联动中心
在检测到入侵时,发送包 入侵源IP地址、入侵目标IP地址、入侵源端口和目标端口等信息给联动端,如防火墙、扫描器、路由器、服务器、桌面主机,这样构筑了一个整体网络安全防御体系。
拍照中心
在接收到预警模块发送来的拍照信息时,便启动拍照进程,主动对入侵者进行拍照,将拍照获取的信息发送到控制中心进行管理。
下一条:
相关资讯
