当前您所在的位置:首页 > 新闻中心 > 东方森太新闻

东方森太联合中国电子第六研究所为客户筑牢工控安全最后一道防线

 最后更新:2021-01-29  浏览:2868次

       近日,东方森太科技发展有限公司联合中国电子信息产业集团有限公司第六研究所完成工控安全监测威胁溯源系统项目。

       该项目实现了对信息化网络的数据安全监测及内容回溯,具有针对工控网协议识别,信息网流量识别、工控协议及 TCP/IP 协议安全检测、业务系统性能分析等功能。工控安全监测及溯源系统,广泛应用于电力、石油、石化、轨道交通、烟草、钢铁及先进制造等各个行业。

 

 

 

 

      随着社会的不断发展,网络已经成为社会各行各业的重要推动力量工业控制系统已经成为国家关键基础设施的重要组成部分,未来为了提高生产效率和效益,工控网络会越来越开放,但随之而来的安全问题也愈演愈烈。比如,协议机制缺乏安全性考虑,易被攻击者利用;安全漏洞难以及时处理,系统存在巨大安全隐患;缺乏对用户操作、网络行为的审计,事故分析困难;面对新型的 APT 攻击,缺乏有效的应对措施等等。种种安全问题不解决将成为制约两化融合以及工业4.0发展的重要因素。

      东方森太科技发展有限公司在工控信息安全方面一直表现优异,在本次与中国电子信息产业集团有限公司第六研究所合作的项目中所提供的“工厂生产控制网络流量监测设备系统”及“工厂生产管理网络流量监测设备系统”是东方森太自主研发的工控网络流量监测产品,凭借自身过硬的实力,稳定的客户业绩获得无数赞誉,完美解决上述几大问题。

 

 

 

图丨工控安全监测及威胁溯源系统部署示意图

 

 

 

工厂生产控制网络流量监测设备系统

 

 

 

 

      该控制系统采用基于旁路的全流量采集,通过网络设备的端口镜像功能,实现数据流量旁路监听,对工控网络系统中的工业以太网通信数据进行数据捕获,同时该系统具备一定的过滤功能。

 

      漏洞扫描和漏洞利用攻击检测

      漏洞扫描利用是全网环境中最常出现的攻击行为之一工控安全监测威胁溯源系统采用Web检测、文件捆绑式漏洞攻击、远程漏洞攻击等多种检测技术对漏洞利用攻击行为进行检测,其中Web检测检测常见的SQL注入、XSS跨站等常见Web攻击,检测Struts2、Java反序列化等热点Web漏洞攻击,以及各种脚本语言编写的WebShell后门控制行为;

 

      基于业务模型的异常通信检测

      基于业务模型通信异常检测的核心是利用经验模型和机器学习技术通过一段时间的网络流量学习,建立一个目标工业生产网络通信的业务知识模型,用于异常通信检测,从而实现主机、通信、会话、指令、内容、工艺等,多层次、多维度的异常发现,为网络中的通信事件提供安全风险分析依据。业务知识模型支持下述的共六个层次的异常检测。分别是,未知设备检测、异常通信对象检测、异常通信协议检测、异常通信指令检测、异常通信内容检测、异常生产工艺流程检测。

 

      未知木马通信行为检测

      为有效检测成功绕过安全检测设备并进入潜伏和活跃阶段的木马,需采用基于恶意代码流量行为分析技术。恶意代码流量行为分析技术对网络中各主机的外联通信流量行为(如异常规律域名、异常心跳信号、异常流量、异常动态域名等)进行记录和统计,根据木马的通信行为模型和威胁情报进行识别和判定。该技术的优势是能够检测出已经被成功植入进内网的“潜伏”或“活跃”恶意代码。

 

 

图 | 流量行为分析图

 

 

      除此之外,一些非公开的木马、僵尸软件、蠕虫等恶意代码,会使用自定义或者加密的协议建立隐蔽通信信道,用以绕过防火墙、IDS等传统安全设备的检测。

 

      隐蔽信道检测  

       针对网络流量中的隐蔽信道进行深度检测分析,是通过分析隐蔽信道通信中的流量特征和行为特征,构建相应的检测模型,能够把隐蔽传输的数据从复合流量中分离出来,发现一些未知的攻击行为。

      木马、后门等远程类恶意代码等利用正常访问协议进行隐蔽通讯、数据传输来躲避传统安全产品检测。隐蔽信道检测通过对协议中特殊字段、访问频率、访问内容进行分析和傅里叶变换,形成不同分析模型,用于识别未知恶意代码通信。目前研究团队已经研究支持DNS、HTTP、ICMP三类协议的隐蔽信道检测。

       这类隐蔽信道检测规则的优势是基于行为和模式匹配,无须频繁更新特征,隔离网络也适用。

 

      基于“沙箱”的恶意软件检测

      工控安全监测威胁溯源系统在对恶意文件攻击的检测采用了高阶文件沙箱技术,高阶沙箱是一种综合了动态行为、静态特征、威胁和机器学习的恶意文件检测技术,其根据文件的静态信息、可疑行为综合判定,用于识别网络文件攻击中的捆绑式已知木马和免杀木马、特种木马。

 

 

 

 

       高阶文件沙箱是利用技术原理是通过虚拟执行技术创建出一个虚拟的应用软件运行环境即沙盒,在沙盒中模拟软件程序处理网络中承载的信息数据,监控处理过程中是否存在漏洞溢出利用的行为、恶意代码植入或破坏行为等。高阶文件沙箱包括静态分析、动态分析和行为研判三个部分。

 

 

 

 

 

 

       同时,本项检测技术还组合调度多沙盒组成的沙箱来监测分析来满足对高性能处理能力的需求。高阶文件沙箱具有虚拟化沙箱反逃逸技术。检测系统的虚拟化检测引擎可检测用户交互差异性、运行环境差异性、业务逻辑差异性三类共200+种逃逸手段,能够有效解决沙箱逃逸的对抗性问题。

 

 

 

    工厂生产管理网络流量监测设备系统

 

 

 

 

       资产自动发现及识别

       工控安全监测威胁溯源系统通过无损探测方式支持接入网络的网络资产自动发现,支持多种系统识别技术,自动根据通信特征识别上位机、控制器以及传统的网络设备,支持识别交换机、路由器的SNMP 、Telnet操作指令。支持网络拓扑自动生成。通过无损探测方式识别资产并自动生成绘制网络拓扑图。系统支持检测对监测数据流量的深度解析,生成肉眼可懂的报文并存储。

 

       实时报警与过程回溯

       系统对接入数据流量进行深度报文解析引擎、威胁特征检测引擎、业务通信模型引擎、网络流量分析引擎、恶意软件检测引擎进行处理时,一旦发现威胁将会实时产生安全事件告警。它将攻击分为7个阶段,侦查、武器准备、投放、利用、安装、控制和渗透,通过这7个阶段可以掌握攻击者的攻击战术和过程。系统汇聚不同层次的攻击事件后,将所有的事件按kill-chain的不同阶段进行归类和展示,形成形象的KillChain图,并提供丰富的筛选条件供分析师使用。

 

       统计分析与监测报告

       为了使操作人员可以对整个生产系统的网络安全状态有一个全面、直观的感受,系统支持从多个维度对事件、告警、资产、及其运行状态等,进行统计分析,并形成统计报表。统计分析结果及报表支持设置定期向指定的人员进行发送。

 

       远程WEB操作管理

       系统支持基于WEB形式的管理界面,通过管理端口实现远程操作功能,远程操作可以实现对监测网络的整体状态了解,设备策略设置、系统配置、告警处置、安全事件分析回溯等所有系统功能。

 

 

 

 

       东方森太科技发展有限公司以扎实的技术功底、众多稳定的产品运行业绩、对用户需求的深刻理解以及优质的服务,在本次的激烈竞争中脱颖而出并出色完成项目执行与实施,标志着东方森太在工控信息安全领域迈出更为坚实的一步。

下一篇恭贺深圳森太成为移动集团全业务代理商:一直以来我们都凭实力突围!
上一篇热烈祝贺新疆、吉林分公司相继成立!东方森太业务发展迈上新台阶