研發(fā)用于檢查控制系統(tǒng)健康狀況的流量可視化與分析技術(shù)
——快速檢測(cè)威脅極其重要的基礎(chǔ)設(shè)施的安全事故——
2015年9月18日�����,橫河電機(jī)集團(tuán)(Yokogawa��,社長(zhǎng):Takashi Nishijima)宣布與日本國立信息通信技術(shù)研究院(NICT��,院長(zhǎng):Masao Sakauchi博士)�����、京都大學(xué)的Yasuo Okabe教授以及前京都大學(xué)的副教授Hiroki Takakura合作���,共同研發(fā)一種控制系統(tǒng)流量的可視化與分析技術(shù)����,以驗(yàn)證其完整性��。該項(xiàng)技術(shù)能快速檢測(cè)惡意軟件感染等安全事故�����,是業(yè)界*網(wǎng)絡(luò)健康狀況檢查服務(wù)��,由橫河電機(jī)發(fā)售�。它結(jié)合了可視化技術(shù)和流量數(shù)據(jù)的收集與分析,以便驗(yàn)證控制系統(tǒng)網(wǎng)絡(luò)的完整性����,預(yù)計(jì)將提高公用事業(yè)領(lǐng)域中控制系統(tǒng)的安全性��。
背景
由于以極其重要的基礎(chǔ)設(shè)施(如公共設(shè)施:電力、天然氣����、水)為目標(biāo)的網(wǎng)絡(luò)攻擊的擴(kuò)散,控制系統(tǒng)的安全性zui近幾年已經(jīng)成為令人非常擔(dān)憂的問題��。由于控制系統(tǒng)越來越依賴操作系統(tǒng)和標(biāo)準(zhǔn)協(xié)議�,而兩者都是開放、通用的�����,因此現(xiàn)在網(wǎng)絡(luò)攻擊非常普遍���,且有多種感染途徑��,不僅通過互聯(lián)網(wǎng)����,還可以通過USB存儲(chǔ)設(shè)備及其他媒介�,因此很難防止所有的惡意軟件感染。所以��,目前急需一種能快速檢測(cè)安全事故的技術(shù)�。這種技術(shù)不應(yīng)影響控制系統(tǒng)的可用性(穩(wěn)定��、連續(xù)操作)���,因?yàn)檫@些系統(tǒng)需要保持不間斷操作很長(zhǎng)時(shí)間,甚至長(zhǎng)達(dá)幾十年���。
成就
NICT��、橫河電機(jī)及京都大學(xué)聯(lián)合開發(fā)了一種控制系統(tǒng)流量的可視化與分析技術(shù)���,用于驗(yàn)證完整性,并快速檢測(cè)惡意軟件感染等安全事故����。
圖1 開發(fā)的技術(shù)的原理圖
與流量的數(shù)量和方向不斷變化的通用信息系統(tǒng)不同,流量狀況正常時(shí)控制系統(tǒng)網(wǎng)絡(luò)更易于識(shí)別�����,因?yàn)檫@些系統(tǒng)是設(shè)計(jì)用于特定目的的����。我們主要集中于這一特點(diǎn)。
我們的技術(shù)將正常控制系統(tǒng)流量狀況的數(shù)據(jù)保存為白名單��。參照該名單����,該項(xiàng)技術(shù)監(jiān)視控制系統(tǒng)網(wǎng)絡(luò)的動(dòng)態(tài)�����,檢測(cè)任何異常情況����,如流量增加或用未知IP地址通信,這些可能是惡意軟件造成的����。
另外,通過使用NICT開發(fā)的實(shí)時(shí)流量可視化系統(tǒng)NIRVANA*�����,我們改善了這項(xiàng)技術(shù)�����,使其符合控制系統(tǒng)使用的*通信協(xié)議。因此���,當(dāng)發(fā)現(xiàn)異常情況時(shí)���,該項(xiàng)技術(shù)能更容易地鑒別流量狀況(圖2和圖3)。
由于無需在每個(gè)控制系統(tǒng)主機(jī)(或服務(wù)器)上安裝檢測(cè)軟件��,該技術(shù)很容易引進(jìn)�����,且不會(huì)影響控制系統(tǒng)的可用性��。
圖2 控制網(wǎng)絡(luò)可視化示例(正常情況下)
圖3 控制網(wǎng)絡(luò)可視化示例(發(fā)生事故時(shí))
這種情況下��,控制室A中的主機(jī)被惡意軟件感染����,網(wǎng)絡(luò)流量增加。
未來前景
該項(xiàng)技術(shù)已經(jīng)與橫河電機(jī)用于控制系統(tǒng)的網(wǎng)絡(luò)安全支持服務(wù)相融合�,預(yù)計(jì)將使用于極其重要的基礎(chǔ)設(shè)施中的控制系統(tǒng)更加安全。我們的目標(biāo)是使世界變得更加安全�,因此將繼續(xù)研發(fā)用于控制系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)。
術(shù)語
※ NIRVANA(NICTER Real-network Visual ANAlyzer)(NICTER實(shí)時(shí)網(wǎng)絡(luò)可視分析儀)
NICT研發(fā)的一種系統(tǒng)�����,用于實(shí)時(shí)流量可視化與分析。NIRVANA通過流量可視化����,減少了管理大規(guī)模、復(fù)雜網(wǎng)絡(luò)的工作量�����。當(dāng)發(fā)生故障時(shí)��,可快速采取行動(dòng)����。NIRVANA是NICT的技術(shù)����,可按照合同進(jìn)行轉(zhuǎn)移。
NIRVANA的實(shí)時(shí)流量可視化
(左側(cè):包到包的可視化模式����,右側(cè):地址塊視圖)
