研發(fā)用于檢查控制系統(tǒng)健康狀況的流量可視化與分析技術(shù)
——快速檢測威脅極其重要的基礎設施的安全事故——
2015年9月18日��,橫河電機集團(Yokogawa���,社長:Takashi Nishijima)宣布與日本國立信息通信技術(shù)研究院(NICT,院長:Masao Sakauchi博士)�����、京都大學的Yasuo Okabe教授以及前京都大學的副教授Hiroki Takakura合作,共同研發(fā)一種控制系統(tǒng)流量的可視化與分析技術(shù)�,以驗證其完整性。該項技術(shù)能快速檢測惡意軟件感染等安全事故�����,是業(yè)界*網(wǎng)絡健康狀況檢查服務��,由橫河電機發(fā)售�����。它結(jié)合了可視化技術(shù)和流量數(shù)據(jù)的收集與分析���,以便驗證控制系統(tǒng)網(wǎng)絡的完整性��,預計將提高公用事業(yè)領域中控制系統(tǒng)的安全性�����。
背景
由于以極其重要的基礎設施(如公共設施:電力����、天然氣、水)為目標的網(wǎng)絡攻擊的擴散����,控制系統(tǒng)的安全性zui近幾年已經(jīng)成為令人非常擔憂的問題。由于控制系統(tǒng)越來越依賴操作系統(tǒng)和標準協(xié)議��,而兩者都是開放�、通用的,因此現(xiàn)在網(wǎng)絡攻擊非常普遍����,且有多種感染途徑,不僅通過互聯(lián)網(wǎng)�,還可以通過USB存儲設備及其他媒介,因此很難防止所有的惡意軟件感染���。所以����,目前急需一種能快速檢測安全事故的技術(shù)��。這種技術(shù)不應影響控制系統(tǒng)的可用性(穩(wěn)定�、連續(xù)操作)�,因為這些系統(tǒng)需要保持不間斷操作很長時間���,甚至長達幾十年。
成就
NICT���、橫河電機及京都大學聯(lián)合開發(fā)了一種控制系統(tǒng)流量的可視化與分析技術(shù)�,用于驗證完整性�,并快速檢測惡意軟件感染等安全事故。
圖1 開發(fā)的技術(shù)的原理圖
與流量的數(shù)量和方向不斷變化的通用信息系統(tǒng)不同�����,流量狀況正常時控制系統(tǒng)網(wǎng)絡更易于識別�,因為這些系統(tǒng)是設計用于特定目的的。我們主要集中于這一特點���。
我們的技術(shù)將正?�?刂葡到y(tǒng)流量狀況的數(shù)據(jù)保存為白名單�。參照該名單�����,該項技術(shù)監(jiān)視控制系統(tǒng)網(wǎng)絡的動態(tài)��,檢測任何異常情況,如流量增加或用未知IP地址通信����,這些可能是惡意軟件造成的。
另外���,通過使用NICT開發(fā)的實時流量可視化系統(tǒng)NIRVANA*����,我們改善了這項技術(shù)�,使其符合控制系統(tǒng)使用的*通信協(xié)議。因此�����,當發(fā)現(xiàn)異常情況時���,該項技術(shù)能更容易地鑒別流量狀況(圖2和圖3)�����。
由于無需在每個控制系統(tǒng)主機(或服務器)上安裝檢測軟件�����,該技術(shù)很容易引進�����,且不會影響控制系統(tǒng)的可用性����。
圖2 控制網(wǎng)絡可視化示例(正常情況下)
圖3 控制網(wǎng)絡可視化示例(發(fā)生事故時)
這種情況下����,控制室A中的主機被惡意軟件感染,網(wǎng)絡流量增加����。
未來前景
該項技術(shù)已經(jīng)與橫河電機用于控制系統(tǒng)的網(wǎng)絡安全支持服務相融合,預計將使用于極其重要的基礎設施中的控制系統(tǒng)更加安全�����。我們的目標是使世界變得更加安全��,因此將繼續(xù)研發(fā)用于控制系統(tǒng)的網(wǎng)絡安全技術(shù)����。
術(shù)語
※ NIRVANA(NICTER Real-network Visual ANAlyzer)(NICTER實時網(wǎng)絡可視分析儀)
NICT研發(fā)的一種系統(tǒng)����,用于實時流量可視化與分析����。NIRVANA通過流量可視化,減少了管理大規(guī)模��、復雜網(wǎng)絡的工作量�。當發(fā)生故障時,可快速采取行動�。NIRVANA是NICT的技術(shù),可按照合同進行轉(zhuǎn)移���。
NIRVANA的實時流量可視化
(左側(cè):包到包的可視化模式�����,右側(cè):地址塊視圖)
