非标工业控制协议格式逆向方法研究

协议安全是工业控制系统信息安全中的一项重要内容,非标协议格式的正确识别是协议安全分析的基础。基于工控系统行业现状和工控协议的结构确定、传输重复、语义有限的特性,提出了基于网络流量的非标准工控协议逆向识别方法,通过单报文处理进行初步分词聚类,多报文处理进行报文序列比对,关键字段推断语义,最终得到协议格式。验证结果表明,该方法能较好地识别非标工控协议格式。     

基于协议解析的工控网络安全仿真平台设计

工业控制网络的安全防护通常采用防火墙技术和多种复杂的应用层协议协同完成,但是未涉及应用层协议的深入分析.为了更好地保障工控网络数据访问的安全,结合工控网络报文定制性的特点,详细分析了基于应用层协议解析的安全防护策略.该方案在工业防火墙的基础上,通过对工控网络通信协议的报文深入解析,直接在报文层面解析过滤,从而拦截与功能...     

工控系统安全监测及溯源系统的设计与实现

随着工控系统和互联网的交叉融合与边界模糊,边界部署的安全设备无法进行有效防护。已有的安全检测平台和系统,对工控系统安全事件的理解和整合能力不足。在深入理解工控系统的工业属性以及安全需求的基础上,结合深度数据包检测、网络威胁情报感知、协议解析及数据挖掘等人工智能方法,设计工控网络安全监测分析及溯源系统,实现数据驱动的工业互联网态势感知、检测预警、攻击溯源及反制,有效提升工控系统的安全实时检测、感知预警与防护水平。     

基于FPGA的并行多发可编程解析器

传统的报文解析器解析的协议类型和协议层次固定,缺乏对新网络协议的支撑,限制了网络设备的可编程性。抽象出形式化的解析流程,并基于FPGA实现协议无关的可编程解析器,对新协议的支撑无需更改硬件,仅需要重新映射解析图。基于该机制,引入一系列优化技术,克服了包解析固有的串行性,节约了存储资源,为实现高速的可编程报文解析提供了有效的解决方案。基于通用多核和高性能FPGA实验平台,进行了硬件代价和性能的评估。实验结果表明,采用可编程解析器能大幅提升报文解析性能,实现了通用网络协议及潜在的网络协议快速的解析,可有效地支持快速的定制网络协议发展。     

工控协议深度包解析与检测技术研究

随着物联网的发展，工控安全已经成为企业国家都十分重视的安全问题，及时发现工控系统的安全漏洞、威胁攻击，可有效实现工控系统安全保护。工控协议解析与检测是实现工控安全的重要手段，可以通过流量分析与协议字段解析与检测，识别工控网络异常，及时对工控系统中的攻击进行预警。本综述分析了当前工控协议解析与检测的发展现状与存在问题，选择几种典型的工控协议解析方法，重点介绍方法的执行流程、优点与不足，最后，对工控协议解析与检测发展趋势进行总结。     

DeviceNet协议解析软件的设计

DeviceNet协议是一种基于CAN协议的开放式现场总线标准,是符合全球工业标准的低成本和高性能的通讯网络,目前越来越多的工业系统设计方案采用DeviceNet网络实现。该文使用Borland C＋＋builder软件和PCOMM控件完成DeviceNet协议解析软件的设计,用以实时捕获网络上传输的报文,并对当前网络状况作出诊断和分析,同时可以通过发送自定义报文控制网络设备的运行,达到网络监控和管理的目标。通过对大量报文的分析,可以总结出DeviceNet网络的运转机制和服务流程,为深入研究DeviceNet总线协议奠定基础。     

联网工业控制系统主动感知预警技术研究

针对日趋严峻的工业控制系统安全问题,通过主动感知、漏洞库关联匹配等技术手段,实现了对联网工控系统的事前预警,丰富了工业控制系统网络安全防护体系。在Modbus/TCP公有通信协议分析的基础上,开发专用扫描探测脚本,提取协议指纹特征,构建工控指纹库。并通过快速扫描机制发现联网工控设备IP及存活端口,利用工控资产原始报文与指纹库的模糊匹配技术,识别出工业控制系统设备资产。结合CNVD、CNNVD、CVE及中国电子科技网络信息安全有限公司自主工控漏洞库,对联网工控设备进行漏洞关联预警。该研究对推动建立国家层面的威胁感知预警平台具有积极的作用。     

地铁多线路多系统网络安全系统设计与组建

为了确保地铁多线路多系统能够安全运行，本文提出设计一个多层次的地铁网络安全系统，该系统由安全管理平台、工业防火墙、运维审计堡垒机、工控安全监测审计系统、网络防病毒系统、终端安全系统、数据库审计系统、下一代防火墙、入侵检测系统、高级威胁检测系统等融合在一起形成，实时地监控地铁多线路多系统的运行状态和安全态势，为地铁的网络安全防御提供有效保障。实验结果显示，本文提出的多层次网络安全防御系统防御效果达到了99.89%，从而可以防范各种木马和病毒，避免地铁多线路多系统遭受入侵无法正常运行。     

基于Spark的电网工控系统流量异常检测平台

针对传统的电力网络流量检测安全预警系统在面对海量高维度数据时，其在精度、实时性、扩展性以及效率上都无法满足需求的问题，建立出一种基于Spark的电网工控系统流量异常检测平台.该平台以Spark为计算框架，主要由数据采集与网络流量深度包检测协议解析模块，实时计算数据分析处理模块，安全预警预测模块和数据存储模块组成，为流量异常检测提出了一套完整的流程.实验结果表明，该平台能够有效地检测出异常流量，做出安全预警，方便工作人员及时做出决策，这充分说明该平台非常适用于电力控制系统，能够应对海量高维复杂数据做出实时分析以及安全预警，极大地提高了电网工控系统的安全性能.     

Oracle通信TNS协议中请求报文的解析

由于Oracle数据库的内部细节不公开,对其进行安全审计时,需要解析服务器与客户端通信的TNS协议.但已有的TNS协议解析层次不够深入,适用的数据库服务器、客户端以及操作系统、TNS协议版本范围有限,常用的协议逆向方法对于协议的负载部分解析能力有限.本文针对常用的数据库服务器、客户端以及TNS协议版本,在windows和linux操作系统下,提出一个通用的Oracle通信TNS协议请求报文解析方案.针对字节数多、意义不明的报文段,使用数据挖掘的方式获取字段值与结构的关系,以确定具体的报文格式.在实际系统中的应用表明,提出的方案可以有效解析现场采集的大量数据,从请求报文中提取出SQL语句.在对解析结果进行后期校正后,可以达到所有数据包无异常解析.     

Modbus/TCP多层访问控制过滤技术

针对典型工控网络协议——Modbus协议在信息安全上存在的缺陷,提出了一种基于Modbus/TCP协议的多层访问控制过滤技术,利用分层过滤策略处理网络数据包以抵御网络攻击。该策略包含分析阶段和配置阶段。分析阶段主要负责收集合法报文并按照规则进行解析,建立三层白名单;配置阶段对关键可写参数的允许范围进行配置,过滤越限参数,防止该参数被写入控制器。通过对所建试验平台的测试,验证了多层访问控制过滤技术有效抵御针对协议应用层的网络攻击的能力,有助于消除操作人员误操作所带来的影响,提高系统安全性。     

基于字符距离聚类的未知工控协议分类方法

未知工控协议分类是实现多类型混合工控协议识别的前提。利用工控协议报文格式精简且广泛采用二进制序列的特点,提出基于字符距离聚类的未知工控协议分类方法。该方法打破传统方法计算文本协议报文的欧氏距离而难以准确反映工控协议报文相似性的问题,通过构建二进制特征序列,计算字符距离,并开展基于字符距离K-means聚类,实现了未知工控协议分类。其中,为确保分类的准确性,提出基于最大平均字符距离的最佳聚类K值确定方法。半物理仿真结果表明,所提方法对未知工控协议分类的准确率可达96.80%,协议类型判别的正确率可达97.07%。     

基于多核处理器的IPSec VPN系统安全策略检索研究

为满足现代高带宽互联网应用环境中的安全性保障要求,提出了一种基于Tilera　GX36多核网络处理平台的IPSec VPN系统结构,利用SDN思想设计了系统控制面和数据面的程序功能模块,实现网络流量安全的灵活控制。针对系统中安全策略检索性能要求,提出一种基于Hash的三级安全策略流表存储结构,并以各Tile CPU缓存中的安全关联流表为快速检索数据源设计一种安全策略检索方法。测试结果表明,对于互联网中典型的小包、中包和大包应用场景,该系统均能达到近40 Gb/s的处理性能。     

基于EPL的openSAFETY平台构架设计

随着现场总线与可编程控制系统的发展,工业领域的自动控制系统对于安全相关设备和安全网络协议的需求正在不断扩大;然而,由于工业以太网的技术飞速进步,传统的安全协议已经不再适用复杂的实时以太网通讯环境;文章旨在研究开源实时以太网功能安全协议openSAFETY,在实现工业以太网协议Ethernet POWERLINK(EPL)的基础上设计了openSAEFTY站点的ARM-FPGA通用平台架构,提出了具体的硬件软件解决方案,并通过实验测试验证了该平台高速实时的数据传输性能,为工业以太网功能安全协议的高性能实现打下基础。     

一种基于自解析报文协议的系统分层方法

将自描述的结构体信息与数据信息分离,定义一种自解析报文协议HML。该协议通过限制结构体信息的层数,在保持自描述特性的同时,提高报文解析效率,解决高并发的大规模处理系统层次之间通信问题。通过与XML、ISO8583等业界通用协议的解析性能对比,证明该协议的高效性。     

核电工控系统网络安全态势感知解决方案研究

核电厂工控系统复杂多样，且各工控系统独立防护，使核电厂缺乏整体的网络安全监控和防御能力。为解决这一问题，针对核电工控系统特点、现状及国家政策法规要求，研究了核电工控系统网络安全态势感知解决方案。该方案应用了全流量回溯分析、无损漏洞检测、单向通信、日志及工控协议快速范化解析等关键技术。该方案以核电厂为单位，对核电工控系统业务零影响、全兼容，能够监控全厂工控系统资产安全状态与告警威胁趋势、感知网络安全态势、洞悉安全风险、提供综合决策与行动。通过搭建样机系统进行全系统功能测试及第三方安全评估，验证了方案的可行性、可靠性和安全性。该方案可有效提升核电工控系统网络安全整体防护能力，为未来在核电领域中的应用提供了良好实践。     

保障工业控制系统网络安全对策及措施

文章从工业控制系统(简称工控系统)网络安全、应用安全、数据安全、管理安全等层面,分析了工控系统安全现状以及面临的风险,以强化边界防火墙、行为审计、区域隔离、主机防护等措施,降低网络安全威胁,提升工控系统网络安全防护能力.     

国泰网信:打造工业控制系统整体网络安全保障体系

北京国泰网信科技有限公司成立于2015年6月,依托于核心团队在网络安全领域的深厚积淀,传承与创新并举,以密码技术应用为核心,基于国家等级保护、分级保护体系框架,为国家重要信息系统及关键信息基础设施安全防护提供解决方案、产品及服务。其产品覆盖工业系统数据隔离交换系统(工控网闸)、工控防火墙、工控安全监测与审计系统、工控主机安全卫士、工控漏洞扫描系统、工控安全评估系统、工控安全管理中心等,可为工业控制系统整体网络提供全栈安全解决方案。     

基于自适应深度检测的工控安全防护系统设计

为了解决工控防火墙及其他网络防护设备在接口流量过大、资源占用过多时,容易成为响应瓶颈的问题,研究一种基于自适应深度检测的工控安全防护系统。系统安装在被保护设备的上游,实现对工控协议的识别和深度解析,以及工控网络协议的深度检测过滤,并根据工控现场网络状态自适应动态调整深度检测算法级别。系统能够处理目前比较流行的各种工控协议,并对之进行深度解析,对工控现场网络起到保护作用。     

工业控制系统安全分析及渗透测试经验分享

工业控制系统是承载国家经济发展的重要基础设施,随着信息化和工业化的深度融合,工业控制系统信息安全形势日益严峻.工控系统渗透测试作为一种了解工业控制系统安全情况的重要手段,受到越来越多的关注.本文以工业控制系统安全分析为出发点,从工控资产、工控协议、工控漏洞等方面,分析工控安全现状,分享渗透测试经验.