一种用于使用单向通信来监控受保护网络的装置,包括发送单元,被耦接到受保护网络的一个或多个装置,用于获取与受保护网络状态有关的网络数据。该装置还包括具有窃听器的窃听单元,该窃听器被配置为经由发送单元的输入接口与输出接口之间的回路连接在发送单元内拦截所请求的数据。窃听器和回路连接被感应耦接并被配置为从发送单元到接收单元的单向通信。接收单元被耦接到窃听单元,用于接收复制的数据并将复制的数据转发到位于低安全性外部网络中的评估系统。可重新配置的应用层包括至少一个模块化应用,该至少一个模块化应用被配置为操作支持入侵检测的安全相关功能。为操作支持入侵检测的安全相关功能。为操作支持入侵检测的安全相关功能。
【技术实现步骤摘要】
【国外来华专利技术】具有嵌入式安全应用和单向通信的数据捕获装置
[0001]本申请涉及网络安全。更具体地,本申请涉及一种具有嵌入式软件应用以支持对受保护网络和硬件的入侵检测以确保与外部入侵检测系统的单向通信的装置。
技术介绍
[0002]长期以来,对专用计算机网络的网络攻击一直处于使用信息技术进行检测和保护的最前沿。现在,网络攻击者入侵工业系统,诸如支持关键基础设施的自动化和控制系统的威胁,正在受到关注。由于生产系统的垂直集成和价值链的水平集成等方面,工业控制系统(ICS)网络被通常直接或间接连接到IT网络(办公网络)和因特网,因此为网络攻击者提供了机会渗透此类环境并利用任何现有漏洞。诸如可编程逻辑控制器(PLC)、分布式控制系统(DCS)、运动控制器、监督控制和数据采集(SCADA)服务器以及人机界面(HMI)之类的OT(运营技术)系统在涉及部署安全措施方面还面临许多其它问题。
[0003]近年来,攻击方法已经发生了变化,从好奇的黑客执行的简单方法,到由积极进取的顶尖专家精心设计的高级持续威胁(APT),有时还利用由某些国家/地区提供赞助的扩展资源。检测此类定向攻击和其它一般攻击活动需要采用安全监控技术,其中包括基于签名的入侵检测、基于行为的异常检测、端点检测和响应(EDR)等。
[0004]与企业信息技术(IT)系统中采用的用于部署网络或基于主机的安全检测机制的解决方案相比,工业系统需要使用非入侵方法来最大程度地减小系统中断的风险。除了存在大量的传统设备外,运营技术(OT)网络还与OT系统原始设计方面(诸如入侵式网络以及端口扫描和漏洞枚举工具所采用的系统配置)不支持的嵌入式系统(例如,工业物联网(IIoT))一起运行。
[0005]当前的解决方案通过将工业控制系统的网络流量转发到中心监控和入侵检测系统来为工业控制系统提供异常检测。但是,这些解决方案完全基于软件,没有基于硬件的隔离来避免监控网络和被监控网络之间的直接通信。这种基于软件的解决方案的另一个问题是无法抵抗能够操纵入侵检测系统逃避检测的复杂威胁。此外,对安全软件的任何修改可能都需要完整的硬件集删除和替换。尽管此方法在企业IT领域已得到很好的容忍,但由于生产系统的任何修改都涉及高成本和风险,因此部署在生产系统中的OT系统的管理员不愿面对此类精细检查。
技术实现思路
[0006]为了解决上述问题,公开了一种装置,该装置采用完全被动安全性检测,其结合了用于与远程入侵检测系统进行单向通信的硬件屏障和能够本地托管诸如入侵检测、异常检测、加密和完整性特征集、数据分析以及与远程数据分析平台的互操作性以进行更深入的评估操作之类的安全应用的一个或多个模块化应用。模块化应用(例如,每个被部署为应用容器或虚拟机(VM)的模块化应用)通过允许来自不同供应商的应用的部署,以及通过允许在需要更新或发现漏洞时快速且轻松地替换任何单个应用,从而实现了灵活性。这样的解
决方案解决了以单向方式监控、捕获和分析来自关键和敏感系统的网络数据的问题,使得接收网络(例如,基于云的入侵检测系统(IDS)服务器)不能与被监控的网络交互。一个或多个主机安全性应用可用于过滤传输到一个或多个网络外高容量服务器的单向流量,以有效利用带宽并降低IDS服务成本。
附图说明
[0007]参考以下附图描述了本实施例的非限制性和非穷举性的实施例,其中,除非另外指明,否则在整个各个附图中,相同的附图标记指代相同的元件。
[0008]图1示出了根据本公开的实施例的单向数据捕获装置的示例的框图。
[0009]图2示出了根据本公开的实施例的数据捕获装置的软件堆栈的示例。
[0010]图3示出了根据本公开的实施例的数据包过滤功能的示例。
[0011]图4示出了根据本公开的实施例的数据捕获装置的软件堆栈的另一示例。
具体实施方式
[0012]公开了用于使用单向通信对安全网络进行有效监控以避免从用于接收被监控数据进行入侵检测的公共网络向安全网络进行任何传输的方法和装置。增强的入侵检测可以识别利用安全网络的漏洞的尝试。使用所公开的方法和装置使用可信任的被动网络连接,以允许外部入侵检测系统监控关键网络的异常或恶意活动。单向连接允许通过数据分析进行远程状态监控、管理服务并提高效率,而不会引入可访问和可利用的漏洞。数据传输是通过感应进行的,其附加优点是对分接信号的特性的影响极小。在两个网络之间没有直接的硬线连接的情况下,就实现了具有电隔离的被动连接,从而有效地阻止了经由数据捕获装置将数据发送到关键网络的任何尝试。即使在断电的情况下,数据捕获装置也不会以任何方式影响或改变关键网络的数据通信和功能。隔离了可能干扰关键网络的错误电流或不期望电流。传输是未寻址的,从而为关键网络提供了进一步的保护。数据捕获装置可以使在诸如工业自动化、铁路自动化、能源自动化和生产自动化的系统中实现的受保护的专用网络受益。
[0013]图1示出了根据本公开实施例的单向数据捕获装置的示例的框图。数据捕获装置10包括处理器21、22,接收单元13,发送单元14,以及窃听单元15,窃听单元用于隔离从IT网络12(例如,公共网络)到OT安全网络11(例如,受保护和/或专用网络)的传输并且仅允许从网络11到网络12的单向通信。在一个实施例中,网络11可以为专用网络(例如,工业控制系统、金融网络、铁路自动化和控制或生命攸关的系统),其从位于不安全的公共网络12中的服务提供商寻求监控和评估服务,诸如能够提供与安全性或诊断相关的深入数据分析的基于因特网或基于云的服务。网络11的装置20、21、22可包括控制计算机和现场装置,该装置具有与诸如工业生产设施或铁路自动化系统的专用或关键基础设施的控制和操作相关联的传感器和致动器。装置20、21、22经由双向通信连接19(例如,局域网(LAN)或无线LAN(WLAN))连接到发送单元14。在一个实施例中,在监控和诊断活动期间,发送单元14可以请求由装置20、21、22收集的网络11状态信息,该装置可以将请求的信息发送回发送单元14。网络11内的双向通信可以例如经由OPC UA协议进行。双向通信连接19可以包括在与网络11中使用的通信协议的OSI协议栈相对应的所有协议层上的连接建立。这包括例如装置20、
21、22和请求装置14的相互认证以及所发送的第一数据的受密码保护的传输。在这种情况下,可以经由通信连接19以加密形式传输数据以执行安全传输。发送单元14包括网络接口6,通信连接19在该网络接口处终止,并且可以包括解密模块,以允许在发送单元14内对所请求的数据进行数据处理。
[0014]在一个实施例中,发送单元14可以以被动方式操作(例如,“嗅探”操作)以进行被动入侵检测,在该方式中,主动请求不会被发送到装置20、21、22。
[0015]在发送单元14的输出接口7与输入接口9之间形成回路连接8。回路连接8也被集成在窃听单元15内,以与窃听器25形成感应连接。输出接口7和输入接口9与网络接口6隔离。所请求的数据可以可选地被存储在请求数据库17中,该数据库可以本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于使用单向通信来监控受保护网络的装置,所述装置包括:发送单元,耦接至所述受保护网络的一个或多个装置,其中,所述发送单元获取与所述受保护网络的状态有关的网络数据;窃听单元,包括窃听器,所述窃听器被配置为经由所述发送单元的输入接口与输出接口之间的回路连接来拦截所述发送单元内的网络数据,其中,所述窃听器和所述回路连接感应地耦接,并且所述网络数据被复制而不会干扰在所述受保护的网络内传输所述网络数据;以及接收单元,耦接至所述窃听单元,用于接收复制的数据,并将所述复制的数据作为转发流量转发给位于公共网络中的评估系统,所述接收单元包括:可重新配置的应用层,包括至少一个模块化应用,所述至少一个模块化应用被配置为操作支持入侵检测的安全相关功能;其中,所述窃听器与所述回路连接的感应耦接被配置为用于从所述发送单元到所述接收单元的单向通信。2.根据权利要求1所述的装置,其中,所述至少一个模块化应用包括:包过滤功能,所述包过滤功能减少到所述评估系统的转发流量。3.根据权利要求1所述的装置,其中,所述至少一个模块化应用包括基于行为的异常检测功能。4.根据权利要求1所述的装置,其中,所述至少一个模块化应用包括基于签名的入侵检测功能。5.根据权利要求1所述的装置,其中,所述至少一个模块化应用包括密码和完整性特征集功...
【专利技术属性】
技术研发人员:戴维,
申请(专利权)人:西门子交通有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。