尚文利 中国科学院沈阳自动化研究所.

Slides:



Advertisements
Similar presentations
高级服务器设计和实现 1 —— 基础与进阶 余锋
Advertisements

NAT与ICMP交互.
机械专业网站.
国家域名系统 中国信息社会的中枢神经 中国互联网络信息中心(CNNIC).
计算机网络教程 任课教师:孙颖楷.
GOOWI 万物“无”连 --低功耗蓝牙在IoT中的应用    魏心伟 高为通信技术有限公司.
——Windows98与Office2000(第二版) 林卓然编著 中山大学出版社
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
第三章 数据类型和数据操作 对海量数据进行有效的处理、存储和管理 3.1 数据类型 数据源 数据量 数据结构
克劳斯-雷克曼 教授 德国 凯勒数控教学仿真软件有限公司
综合布线技术与实践教程 第九章:综合布线系统工程网络分析 课程网站:
基于解释性语言的手机跨平台架构 Sloan Yi. Qt MTK.
计算机基础知识 丁家营镇九年制学校 徐中先.
施耐德电气(中国)投资有限公司 运动控制部技术经理 李幼涵 高级工程师
程序的形式验证 - 简介 中国科学院软件研究所 张文辉 1.
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
面向对象建模技术 软件工程系 林 琳.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
The CAN bus 李强.
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
管理信息结构SMI.
实用组网技术 第一章 网络基础知识.
第一单元 初识C程序与C程序开发平台搭建 ---观其大略
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Introduction to AI and ML
化学品清单 类型.
数据挖掘工具性能比较.
基于规则抽取的 时间表达式识别.
❶云端下载 请根据自己的手机系统(支持IOS系统与Android系统)选择下述下载方式: 手机系统 应用搜索下载 二维码扫描下载 IOS系统
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
三:基于Eclipse的集成开发环境搭建与使用
程序设计工具实习 Software Program Tool
工业机器人技术基础及应用 主讲人:顾老师
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
C语言程序设计 主讲教师:陆幼利.
微机系统的组成.
第四章 团队音乐会序幕: 团队协作平台的快速创建
VisComposer 2019/4/17.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
IT 安全 第 9节 通信和网络控制.
iSIGHT 基本培训 使用 Excel的栅栏问题
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
魏新宇 MATLAB/Simulink 与控制系统仿真 魏新宇
机械设备的完整性和可靠性管理 Maintenance integrity & reliability.
基于最大margin的决策树归纳 李 宁.
计算机绘图 AutoCAD2016.
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Google的云计算 分布式锁服务Chubby.
THERMOPORT 20 手持式温度表 THERMOPORT系列手持温度表基于所用技术及对实际应用的考 虑,确立了新的标准。
基于列存储的RDF数据管理 朱敏
针对石油石化、能源、矿业、汽车等广泛且严重依赖旋转生产设备的制造企业 典型的旋转设备包括:泵、发动机、电机、风机、传送设备、CNC等
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
我们关注的是…… © 2009 Citicsf. All rights reserved.. 我们关注的是…… © 2009 Citicsf. All rights reserved.
第十七讲 密码执行(1).
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
入侵检测技术 大连理工大学软件学院 毕玲.
能源与动力工程学院 研究生招生专业介绍.
网页版报名流程 Step 4 点击“详情”查阅具体岗位信息,输入身份数据及申请序列码进行最终报名
IT 安全 第 1节 安全目标.
Presentation transcript:

尚文利 中国科学院沈阳自动化研究所

工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

一、工业控制系统脆弱性分析 1、工业控制系统及主要组成部分: 工业控制系统(ICS-Industrial control system)是由计算机设备与工业过程控制部件组成的自动控制系统,广泛应用于电力、能源、交通、石油石化等工业领域,是国家重要基础设施的关键组成部分,保障工控网络安全关系到国家的战略安全 。 工业控制系统主要包括: 数据采集与监控系统(SCADA) 分布式过程控制系统(DCS) 可编程逻辑控制器(PLC) 远程测控单元(RTU) 网络电子传感/监视/控制/诊断系统等

一、工业控制系统脆弱性分析 2、工业控制系统的脆弱性: 随着信息化与网络化的发展,工业控制系统逐渐形成一个开放式的网络环境,对工业控制系统的攻击事件逐渐增多。 2014年度针对关键基础设施的攻击威胁中,高级可持续性威胁APT攻击达到55%以上。 2015年3月国家公开工业控制系统安全漏洞共405个。 主要集中在能源、关键制造业、交通、通信、水利、核能等领域,而能源行业的安全事故则超过了一半。

一、工业控制系统脆弱性分析 2010年6月出现的Stuxnet病毒,第一个专门定向攻击真实世界的基础(能源)设施。 以Havex为代表的APT攻击将工业控制网络安全的对抗带入了一个新时代。 2014年4月,微软停止对window xp系统提供补丁和安全更新服务,严重影响国内工控系统中运行xp的工控机。

工控系统攻击事件的根本原因是系统存在安全漏洞! 一、工业控制系统脆弱性分析 工控系统攻击事件的根本原因是系统存在安全漏洞! 控制系统的主要漏洞包括: 通信协议漏洞 两化融合和物联网的发展使得TCP/IP协议等通用协议越来越广泛的应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。 操作系统漏洞 目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的,通常现场工程师在系统开启后不会对windows平台安全任何补丁,埋下了安全隐患。

一、工业控制系统脆弱性分析 应用软件漏洞 由于应用软件多种多样,很难形成统一的防护规范以应对安全问题,另外当应用软件面向网络应用时,就必须开放其应用端口,是重要的攻击途径。 安全策略和管理流程漏洞 追求可用性而牺牲安全性,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来一定的威胁。 杀毒软件漏洞 为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件,即使安装了杀毒软件,病毒库也不会定期的更新。

一、工业控制系统脆弱性分析 3、工业控制系统的差异化:

传统IT安全: 机密性 > 完整性 > 可用性 工控系统安全:可用性 > 完整性 >机密性 一、工业控制系统脆弱性分析 4、工业控制系统的安全防护: 传统IT安全: 机密性 > 完整性 > 可用性 工控系统安全:可用性 > 完整性 >机密性 不同于传统IT信息安全机密性、完整性、可用性的要求,工业控制系统的信息安全目标是可用性、完整性和机密性。工控系统的安全防护主要有物理隔离、漏洞扫描分析、基于访问控制的防火墙技术、入侵检测技术等。 9

工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

二、工业控制系统信息安全业态现状

二、工业控制系统信息安全业态现状 1、 安全标准与法规(国际)

二、工业控制系统信息安全业态现状 1、 安全标准与法规(国际)

二、工业控制系统信息安全业态现状 1、 安全标准与法规(国内) 基础标准 管理标准 技术与机制 应用标准 术语、概念 模型 体系结构 架构 安全管理系统需求 等级保护 安全管理检查 网络信任体系 物理安全 网络安全技术 风险评估 安全产品测评 安全系统测评 安全应急处理 安全风险管理规范 补丁管理 网络安全防护 安全产品开发 工业控制系统信息安全标准体系 GB/T 26333-2010工业控制网络安全风险评估规范 GB/Z 25320-2010 针对电力系统 在编标准:《SCADA系统安全控制指南》、《工业控制计算机系统 : 工业控制计算机的安全要求》 虽然国内已经开展相关方面的标准制定,仍然缺少基于安全管理系统需求、等级保护、网络安全技术等方面的安全风险管理规范和基于安全产品测评、安全系统测评等方面的安全测试标准。

二、工业控制系统信息安全业态现状 2、安全防护技术与产品(国内与国际对比分析) (1)OPC server需要增加工业防火墙进行端口管理 OPC通信需要开放所有端口信息,目前的IT防火墙不支持OPC协议防护。 需要工业防火墙保护OPC客户端和OPC服务器之间的通信。 (2)控制器和操作站之间需要增加工业防火墙进行隔离防护 PLC、DCS、IED和RTU等现场设备非常脆弱,一般的病毒攻击就可能造成死机,传统防火墙不支持工业控制专有协议。

二、工业控制系统信息安全业态现状 2、安全防护技术与产品(国内与国际对比分析)

二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品(国内与国际对比)

二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品(国内与国际对比)

二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品(国内与国际对比) 管理网 工控系统安全测试与风险评估 控制网

二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品(国内与国际对比)

工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

三、工业控制系统入侵检测技术 1、入侵检测技术: 入侵检测是一种主动防御安全防护技术,通过监视、分析通信行为模式,在入侵行为产生危害之前进行拦截,是对防火墙防护功能的补充。 (1)误用检测 根据已知类型的攻击特征,建立异常行为的知识库,对工控网络通信的异常数据进行特征匹配,以检测出系统的攻击行为。优点是误报率低,但对未知类型的攻击行为无法检测。 (2)异常检测 通过系统正常行为模式,建立对异常行为的检测模型。实时地获取工控网络的通信流量,并提取数据特征,对通信行为进行决策。优点是能够检测出工控系统网络新的攻击类型。

三、工业控制系统入侵检测技术 2、工控系统入侵检测: 入侵检测是工业控制系统安全中的重要环节,随着工业控制系统信息化与网络化的发展,系统的安全风险和入侵威胁也不断增加,应用入侵检测系统(IDS)对网络通信行为进行提取、解析和判别,以检测出存在攻击行为,增强工控系统安全防御能力。 入侵检测在工控网络安全中的应用

三、工业控制系统入侵检测技术 (1)工业控制系统的入侵途径 由于工控系统在网络协议、系统平台、应用软件等方面存在的脆弱性问题,攻击行为利用系统漏洞,通过适当的途径,进行攻击操作。入侵行为通过多种直接或间接 的方式接入控制系统网络。 入侵接入是异常行为的攻击的前提条件,主要的途径有企业网接入、可信任第三方网络接入、Internet接入、可移动设备接入、无线通信等。

三、工业控制系统入侵检测技术 (2)工业控制系统的入侵类型 入侵类型 入侵方式 嗅探与欺骗入侵 该入侵方式通过扫描工控系统网络,以获得工控系统的有效IP地址、活动端口、操作系统类型等信息。 拒绝服务入侵 该入侵方式通过占用系统大量的共享资源或长时间利用系统功能,阻碍系统正常功能运行。 超级用户权限入侵 该入侵方式利用系统漏洞在设备上获得超级用户权限,并利用超级用户权限进行攻击行为。 远程登录入侵 该入侵方式在远程主机上通过发送攻击数据,获得本机的访问权限,实现攻击操作。

三、工业控制系统入侵检测技术 3、工业控制系统的入侵检测指标 建立有效的入侵检测系统对保障工控网络安全至关重要,入侵检测在整个控制系统网络的不同层次,具有不同等级的要求,但在系统入侵检测的应用中要满足相应的要求指标。 (1)检测精度 入侵检测系统要根据不同层次的实际防护技术和攻击承受能力,满足相应的检测精度要求。 (2)实时性 工控系统的运行是实时性的,入侵检测对异常行为分析、判别、报警处理等应满足工控系统实时性要求,保障系统稳定可靠地运行。

三、工业控制系统入侵检测技术 (1)工业控制系统的入侵检测通过分析各种系统攻击行为,提取攻击特征,利用通信数据匹配的技术可以实现对已知类型攻击行为的有效检测。 (2)对工控系统网络安全性分析,根据通信协议、异常行为模式等提取网络的通信流量,通过解析通信行为数据,建立系统的异常行为检测模型,提高系统对未知类型的攻击行为检测率。

工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

在相关异常检测算法研究中,多采用不同方法相结合的策略。 四、国内外研究现状与发展趋势 1、工业控制系统的异常检测方法: 基于统计的方法:包括单变量或多变量模型和时间序列模型等。 基于知识的方法:包括有限状态机、状态描述语言方法和规则推理等。 基于机器学习的方法:又可以分为贝叶斯网络、人工神经网络、模糊逻辑、遗传算法、支持向量机等方法。 在相关异常检测算法研究中,多采用不同方法相结合的策略。

四、国内外研究现状与发展趋势 2、国内外入侵检测研究: 随着工控系统信息化发展,工控系统逐渐与企业网相连接,传统的IT信息安全问题同时对工控系统安全造成严重的威胁,而IT信息安全成熟入侵检测技术不能简单地应用于工控系统网络。 总体来说,国际上对工控系统安全的入侵检测研究还处于研究阶段。对工控系统入侵检测的研究主要为工业控制系统中的参数对象,如工控系统模型、工作参数、通信协议、攻击类型、行为模式、网络数据流量等,根据研究对象采用算法建立入侵检测系统模型。

四、国内外研究现状与发展趋势 工控系统入侵检测方面尚处于研究阶段,根据入侵检测中工控系统研究对象和采用的方法,在相关研究应用中有: 基于工业控制网络流量的入侵检测方法 该方法对工控网络产生的流量差异进行分析,然后利用相关算法建立工控网络正常流量的模型,并通过预测正常流量对异常流量进行异常检测。 基于被控对象模型的入侵检测方法 该方法以工控系统模型为对象,根据系统输入输出特性,建立输出的数学模型,根据系统预测输出与测量信息值比较,进行异常攻击行为的检测。

四、国内外研究现状与发展趋势 基于不完备信息的半监督K-means入侵检测方法 多层次差异网络深度入侵数据挖掘的检测方法 该方法研究多层次网络差异,通过采集数据和样本特征提取,利用模糊C均值聚类的方法,获取异常数据的行为模式,根据不同模式的结果进行通信行为的入侵检测。 基于协议解析和通信模型的入侵检测方法 该方法通过解析工控网络通信协议,并根据网络通信行为模式提取通信流量数据,利用神经网络、决策树、支持向量机等算法建立异常行为检测模型,提高异常行为检测率。

四、国内外研究现状与发展趋势 工业信息安全入侵检测研究 (1)针对Modbus/TCP的功能码序列异常检测方法 以Modbus/TCP功能码序列为检测对象,将工业网络通信流量转换异常检测数据,提出了Modbus功能码模式短序列特征提取方法,建立异常流量数据的检测模型。

四、国内外研究现状与发展趋势 (2)基于单类支持向量机的入侵检测算法 利用支持向量机小样本、非线性、泛化能力强的优点,建立工业控制系统网络通信数据的分类器。选择适合于工控环境的单类支持向量机算法,以Modbus/TCP工业通信行为数据为对象,建立单类支持向量机的入侵检测系统,并采用粒子群算法(PSO)优化支持向量机参数,训练PSO-OCSVM的入侵检测模型,提高异常数据检测率。

四、国内外研究现状与发展趋势 (3)基于异常行为入侵检测模型研究 通过对工业控制系统安全风险、通信协议、异常攻击数据等的分析,解析异常行为的操作模式,提出基于异常行为的通信流 量数据特征选择和构造方法,并结合支持向量机(SVM),构建工控系统仿真平台,并根据系统参数和异常行为数据,建立基于异常行为的入侵检测模型。 异常行为建模 直接特征建模 训练集数据 99.7% 86.7% 测试集数据 98.75% 87.25% 添加未知异常数据 97.5% /

四、国内外研究现状与发展趋势 未来研究关注点 针对工控系统入侵检测技术的研究,从以下几个方面进一步深入研究,提高异常攻击行为的检出率。 以工控系统网络的通信行为为对象,研究基于主机和网络流量的异常检测技术; 深入解析工控系统的通信协议和异常攻击行为的操作模式,采用有限状态机建模,提高对异常攻击行为的检测率; 利用PCA、粗糙集等方法处理提取的工业流量数据,提高入侵检测的实时性和检测率; 学习、优化、改进支持向量机(SVM)算法,提高对工控系统网络流 量数据的检测分类率。

敬请批评指正!