一台设备搞定工业网络全可视——下一代工控安全监测与审计系统

工业控制网络发展至今，已经经历了由通过内部总线进行通信的单一的工业控制设备向基于普渡模型的工业控制系统过渡，将不同层之间及每层区域之间通过工业以太网或工业总线网络连接起来。但随着信息技术的发展，越来越多的企业开始进行数字化、智能化转型，以网络为基础将新一代信息通信技术与工业经济深度融合，构建起工业互联网网络体系。

虽然工业互联网将工业控制系统的信息和物理系统之间通过互联网、物联网等方式建立了网络连接，但它们之间通信目的仍然是数据感知和操作控制，故仍存在部分安全风险，具体包括：

• 来自互联网的安全威胁

生产网与信息网打通后，工业控制系统设备有可能受到来自互联网的非法访问及远程控制，同时信息网中常见的攻击及病毒文件也可能通过网络传输至生产网，影响业务系统正常运行。

• 业务链路不清晰，流量不明确

由于之前生产网与信息网各自独立，运维人员不了解生产网络的业务系统，不清楚网络中是否还跑着其它不相关的工业协议及实际的业务状态，一旦有突发情况或者长时间有与正常业务不相关的异常数据，管理人员难以察觉，不清楚状况。

图1 业务链路不清晰

• 业务故障难以判定

双网联通后可能出现业务出现卡顿、无法访问等问题，难以通过流量统计的角度进行判断是网络问题还是业务系统问题，故障出现可能无明显规律，无法复现故障，事后蹲守成本巨大。

图2 业务故障难判定

• 安全事件无法回溯

出现安全事件时，传统安全日志仅包含源目的ip、协议类型、安全事件类型等字段，难以针对该安全事件进行复现，虽检测出安全事件，却无法对攻击进行有效修补措施，有被重复攻击的可能。

图3 安全事件可能再次发生

针对上述安全风险，传统工业审计类产品普遍通过工业协议深度解析、针对IP和协议的统计分析、工业协议白名单、安全事件告警等功能，聚焦于单次攻击或单台受攻击设备，仅在受攻击后对当前网络状态进行安全分析，展示具体攻击信息及设备当前风险，只能满足部分基础安全需求。

针对整体链路的流量情况不明确、业务故障难定位等安全风险，需要有具有更强的回溯能力且能对流量做更细粒度解析的设备，适应生产网与信息网融合的趋势，能够应对从原有生产网内固定不变的交互行为向随时都有可能产生通信的网络环境的转变，同时需要能够对互联网中产生的新型未知威胁进行检测，将安全与网络结合分析，呈现当前网络链路质量及安全态势。

基于上述功能要求，威努特在原有工控审计产品的基础上增强了协议分析能力及流量采集功能，推出了下一代工控安全监测与审计系统，通过记录流量日志，实现流量和异常可追溯，对网络环境进行全方位安全监测。在网络关键位置旁路部署，监测系统流量，基于高性能服务器进行数据采集，通过高性能操作系统施展多核多线程CPU、内存、IO、存储等硬件资源进行并行计算、数据入库、收包存包、DPI/DFI解码还原、数据统计、特征匹配、协议解码和元数据建模等多种方式的数据处理，实现实时数据和历史数据进行可视化分析、回溯分析、异常分析。

图4 威努特下一代工控安全监测与审计系统

针对设备侧收到的数据包，也可基于IP、端口、工业协议、传统协议等相关字段数据，生成结构化的会话连接表及网络全景图，一目了然呈现当前网络中的所有工业设备访问关系、会话状态、业务通信关系等信息，将网络情况可视化，掌握会话情况和变化趋势，最细粒度监控当前工业网络信息和对当前流量进行闭环全流程分析。

图6 链路整体数据包统计

下一代工控安全监测与审计系统搭载了威努特自主研发的深度数据包解析引擎，深度数据包解析引擎支持涵盖OPC、Modbus TCP、SiemensS7、DNP3、IEC104、Ethernet/IP(CIP)等多种工控网络协议，可对工控协议做指令级检测与审计，对各类数据包进行快速有针对性的捕获与深度解析。在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型。

针对传统应用协议，下一代工控安全监测与审计系统可基于DPI特征库和DFI流量模型进行协议和应用识别、应用行为审计。在收包时，对所有的流量全量进行DPI/DFI识别和应用行为审计，可以识别2000多种预定义协议和应用，500种自定义应用，对识别数据在经过统计计算入库，从而实现了对采集链路的全量流量实时应用识别、多维护统计。

图8 网络整体应用统计

下一代工控安全监测审计融合十余种安全能力检测，支持基于工控协议通信记录，智能学习通信关系、操作功能码和参数等方面对正常通信行为建模，实现违规行为监测审计，并可对工控系统的工程师站组态变更、操控指令变更、PLC下装、所有写操作、负载变更等关键事件进行实时监控，对异常关键事件进行检测。

设备还支持对异常包攻击的检测、基于接口的端口扫描防护和IP扫描防护、各类 flood攻击防护、弱密码防护和防暴力检测。同时通过IPS、病毒防护以及威胁情报等分析引擎，快速发现网络攻击、蠕虫、木马、异常连接、敏感数据外发、违规操作等危害网络安全的异常行为，准确获取攻击痕迹与证据，将当前网络整体安全状态进行集中呈现。

图9 安全状态统计

下一代工控安全监测与审计系统在进行采集和数据处理时，会将数据包、原始会话日志数据通过多个维度进行分类汇总、聚合成多个数据表，入库到回溯数据库中。在进行回溯分析时，对物理地址、IP地址、应用、网段、地区、物理/IP/TCP/UDP会话等多个数据表进行展示。并且可以对数据进行2-3级钻取，查看数据流量和协议详细统计指标，下载数据包进行web解码。对指定历史时间段的数据也可进行多级多层可视化报表呈现、实现快速定位检索，以便快速取证、分析问题。

图10 流量报文全回溯

当业务出现问题时，下一代工控安全监测与审计系统支持基于五元组+特征值的全局线索回查能力，以及多种字段组合筛选的高级检索能力，为工业互联网聚焦海量数据间检索与查询，在设备上提供类似Wireshark抓包软件功能，进行初步筛选与分析，具备协议通信时序图分析、流追踪等功能，可提升报文排查效率。

图12 通信时序图分析

图13 多链路对比分析

威努特下一代工控安全监测与审计系统(SMA)融合了多种OT/IT安全能力，具有流量解析、数据回溯、链路对比等分析功能，通过旁路部署在工业互联网出口、工业网络核心等需要监控的网络关键位置，对关键节点进行流量数据采集和全量留存、对安全设备流量复核完成威胁攻击的溯源取证能力，提供链路黑管可视化的全链路监控能力和网络性能管理的故障分析定位能力，满足工业互联网场景下的安全需要。