基于白名单策略的工业控制网络审计监控技术研究

作者:邹春明
  点击数:1048  发布时间:2017-11-03 18:07
本文首先分析工控系统信息安全现状、与IT系统的区别及工控审计的需求。在此基础上,提出了对工控系统的基于白名单策略的审计分析技术,以及典型的审计分析流程。
关键词:审计 ,工控安全

邹春明 公安部第三研究所,上海网络与信息安全测评工程技术研究中心


1 引言


工业控制系统广泛应用于能源、交通、水利、公共事业和智能制造等行业和领域,这些系统一旦遭到破坏,可能严重危害国家安全、国计民生及公共利益,很大部分均属于关键信息基础设施的范畴。对其运行安全,在《网络安全法》中也提出了明确的要求,运营者需采取监测、记录网络运行状态、网络安全事件的技术措施,日志留存不少于六个月。同时,工信部发布的《工业控制系统信息安全防护指南》中也提出需在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。另外,工业控制系统运营者从系统安全来说,也有必要通过审计监控措施,及时发现网络中的异常行为,进行安全防护,也能在安全事件发生后,做必要的追溯分析。因此,无论是法律法规的合规要求,还是自身的安全防护需要,都有必要对工业控制网络进行审计监控。


2 工控系统信息安全现状


2.1 工控系统安全现状


早期工控系统相对孤立,运行专有控制协议,使用专门硬件和软件,因此在设计之初就很少考虑信息安全问题。比如工控协议基本都是采用明文方式传输,并且缺少身份认证的支持,这在IT安全领域是绝对无法接受的。工控设备主要关注的也是功能安全,系统集成时注重的是可用性、稳定性及可靠性,往往把信息安全放到次要位置。随着互联网的发展,两化融合的推进,工控系统与互联网的信息交互变得非常必要,这就把原来通过物理隔离而隐藏在系统中的风险、漏洞暴露出来,同时也会引入新的风险。


工控系统的生命周期通常比较长,整个系统进行完全的更新是不现实的。这就有必要采取技术措施对工控系统进行安全防护。最基本的防护措施至少包括以下几个方面:首先,是边界防护,需要采取严格的访问控制措施,对包括外部边界、内部层级和区域边界的防护;第二,是人机交互设备的防护,主要是针对计算机设备,防止引入恶意程序及非授权的操作;第三,采取全面的审计监控措施,及时发现系统的任何异常情况。当然,为保障整个系统的安全,物理安全及运维管理安全也是必不可少的。


2.2 与IT系统的区别


工控系统在下层主要采用硬接线方式,其上层使用的还是工业以太网,与传统的IT网络具有一定的相似性。但由于各自系统在业务功能上存在较大差异,因此在审计监控需求上也存在较大的不同。


可用性要求方面,工控系统对可用性要求非常高,不允许外部设备对系统产生任何干扰;性能要求方面,对网络的实时性要求很高,而对吞吐量要求相对较低;通信协议方面,IT系统主要采用TCP/IP协议,应用层协议也具有统一规范。工控系统除了少量的标准协议,如ModBusTCP等,大量采用厂商的私有协议,而在通信内容上,工控系统相对比较简单,无外乎数字量、模拟量的输入监测和输出控制。


由于两者存在较大差别,使得传统的IT审计产品无法应用在工业控制系统。首先,传统IT审计产品无法识别工控协议的应用层元素;其次,IT系统中审计,除了流量镜像方式审计外,也可能以串接方式进行审计,串接方式在工控系统难于接受,会对通信带来额外的延时,设备的故障也会影响系统可用性;第三,传统IT审计产品的高性能在工控系统中无太大必要。


2.3 工控审计监控产品现状


随着对工控系统信息安全的关注,用户有了对工控系统进行审计监控的需求。2014年,市场上就出现了针对工控系统的审计类产品,近几年的产品数量更是有着大幅增长。目前这类产品主要还是黑名单技术,即对能够识别的协议进行分析审计,其它通信则不处理,能够记录通信的五元组及工控协议通讯的应用层内容,如操作类型、操作对象、操作值等。但目前这类产品还普遍存在一些不足之处。首先,对工控协议支持的数量相对有限;其次,大多还是偏重于提取通讯的相关内容,而对其所做的自动分析较少;还有就是对不能识别的内容可能存在潜在风险的通讯都是直接忽略。


2.4 工控审计需求


由于工控系统与IT系统存在较大差异,其对系统网络审计也有着不同的需求。在部署上,需采取镜像监听方式,并保证监听网卡不能主动外发数据包,有些大型的系统,横向上会有多个区域,这就需要审计产品能够支持分布式部署,在此模式下,如果数据采集引擎部署在工业现场,采集引擎硬件需要具有良好的环境适应性,如温湿度、抗震、电磁兼容等,为了产品的可靠性,通常也需要采用无风扇自然散热的方式。工控系统的安全,要求整个网络通信可知可控,这就要求工控审计产品对所有流量进行全面分析处理,对于无法确定为正常的通信内容均应视为异常通信,可能存在潜在的风险。实现对异常/攻击事件的溯源分析(事后),及时发现网络中的异常行为并告警(事中)。


3 基于白名单的审计监控研究


3.1 白名单技术分析


采用基于规则匹配技术实现的安全功能,要么以黑名单方式,要么以白名单方式。黑名单方式,主要规则匹配的内容认为是恶意的,对其它内容不做处理,如入侵检测系统、杀毒软件主要采用此方式;白名单方式,主要是规则匹配的内容认为是无害或能够允许的,而其它内容均认为是异常或不可信。


IT系统中通信非常复杂,各设备之间的网状通信、设备上各应用程序与外部及互联网往往都有复杂的通讯内容,无论是网络层还是应用层。这就使得IT系统中的网络审计无法采用白名单技术,通常只能够审计到通信的五元组信息,以及能够识别的部分协议类型及应用层内容,而且对应用层内容审计得过多又可能侵犯个人隐私,如邮件内容、即时聊天内容等。而工控系统中通信相对简单,一个完整的流程下来,基本上能够覆盖各类通信行为,而且通信内容上不会变幻不定。另外,工控系统中的通讯协议通常都是明文方式。再加上工控系统安全对稳定可靠、可知可控的需求,这使得以白名单方式进行审计成为可能。


3.2 网络层白名单分析


要进行网络层的白名单分析,前提是具备相应的白名单规则。首先是资产白名单,通过设定IP、MAC地址清单,若监测到系统中出现了清单之外的源IP或MAC地址,说明有非法设备接入。其次,工控系统中各设备所开放的服务端口是可知的,哪些设备需要访问这些服务也是能够确定的,这就可以生成类似防火墙包过滤策略的五元组规则,源IP、源端口,目的IP、目的端口及传输层协议类型。当然,由于通信过程中,源端口通常为随机生成,该要素可以忽略。通过提取网络会话中的源IP,目的IP和目的端口,传输层协议,与设定规则进行比对,就至少能够识别出以下异常行为:如来自工程师站/操作员站主机之外设备访问控制器,可能就是潜在的攻击探测;若存在非控制器IP与控制器远程通信模块进行通信,无论其应用层协议是否合规,可能就是直接的协议攻击。


3.3 应用层白名单分析


同样,对应用层通信进行白名单分析,也需要应用层通信的白名单规则。各工控协议应用层内容都有一套协议规约,所有的通信均应遵循此规约。应用层通信内容要素主要包括:操作类型,如读取、写入操作;操作对象,如I/O点位地址;操作值等。正常的工艺流程下,I/O点位地址清单应是明确的,对各I/O点的操作类型、操作值范围也均是明确的。这就可以基于以上要素形成应用层基本的白名单规则。进一步来说,可基于各操作的先后次序、时间间隔等要素生成更细致的白名单规则。通过提取工控协议中相应的要素并进行记录,然后与白名单规则进行比对分析,识别其中异常行为。如越限值的操作、非授权的点位操作等,这些都可能会带来严重的后果。


3.4 其它必要的审计分析技术


学习功能:对于规模较小的系统来说,可以通过人工方式设定较为准确的白名单规则。但对于规模较大的系统,设备数据多、监控的点位多时,人工就很难配置出完善的白名单规则,这就需要审计产品一定的学习功能。通过一个或多个完整的工艺流程后,自动学习生成基础的白名单规则库,在此基础上,通过人工的调整完善。并通过后续的试运行,排除可能出现的误报行为,最终形成较为完善的白名单规则库,来对事件进行分析。


黑名单分析技术:基于白名单的审计分析,能够识别出不合规的异常事件,但对于不同的异常事件,可能有不同的危害程度,这主要依靠黑名单分析技术,通过设定一个规则集,并设定其危害等级,出现匹配的事件时,进行相应级别的告警。例如,高铁设计时速为300km/h,速度超过设计速度的10%可能就是中危事件,超过20%可能就是高危事件,那么就可以对速度监测数据分别设置中危、高危分析规则。


关联分析技术:有些时候,尽管从单个事件来看属正常事件或者低危事件,但不同的事件以某种特定的方式同时出现时,就可能是高危事件了。比如,端口扫描、系统登录失败,这应该都属于低危的事件,但是如果先出现端口扫描事件,接着就出现登录失败事件,这很可能就是高危的恶意攻击事件。通过关联分析技术是能够非常有效地挖掘出安全事件,但它主要还是通过人工设定分析规则来实现,这对规则设定的要求较高。


3.5 网络报文分析流程


对于审计产品来说,网络报文的分析是其基础,包括网络层的内容,如MAC、IP、传输层协议类型、端口等,应用层的内容,如操作类型、操作对象、操作值等参数。总体分析流程如图1所示。


1.JPG

网络报文分析流程图


首先通过网络层白名单规则对报文进行分析,在此期间,需要排除部分无实质应用内容的报文,如ARP、ICMP报文,但不是直接丢弃,也需要对报文数量进行统计,是否出现异常的报文风暴等,这就可以得到网络层正常事件、网络层异常事件。对于网络层异常事件,需进一步通过应用/网络黑名单规则进行分析,可以得到恶意事件和普通的异常事件,这类恶意事件如来自非工程师站、操作员站的设备篡改控制器指令等。对于网络层属于正常的事件,也需要深入分析,先通过应用层白名单规则进行分析,若匹配,则属于正常事件,其它均属于应用层异常事件,再通过应用黑名单规则进行分析,可以得到诸如越限值操作、异常协议攻击等事件。


通过上述的分析,可以得到正常事件、网络层的恶意事件和异常事件、应用层的恶意事件和异常事件。最后可通过统计分析、关联分析等分析技术进行综合分析,得到确定的恶意事件。从而实现工控系统全面的审计监控。


4 总结与展望


由于工控系统的特点及安全需求,使得基于白名单技术的安全审计在工控系统审计中具备了基础条件,也是工控系统安全审计所必要的。因此,国家标准《信息安全技术 工业控制系统网络审计产品安全技术要求》的编制,也是基于此思路来编写的。工控审计类产品重点不在于记录下各类通信行为,而是在于后续的分析,这也是难点所在。随着这类产品的发展,分析技术必将进一步成熟和完善。


作者简介


邹春明(1979-),男,湖南衡阳人,高级测评师,硕士,现就职于公安部第三研究所,主要研究方向为信息安全。


参考文献:


[1] NIST-SP800-82-2011. Guide to Industrial Control Systems (ICS) Security[S].

[2] 袁胜. “白环境”下的工控安全[J].中国信息安全, 2016 (4) : 74 - 75.

[3] GA/T 695-2014 . 信息安全技术 工业控制系统网络通信审计产品安全技术要求[S].


摘自《工业控制系统信息安全》专刊第四辑工控安全

相关文章


热点新闻
推荐产品