《工业互联网安全技术基础》课件- 25-03-工控入侵检测原理

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第4章工控网络安全技术工控入侵检测原理010203工控入侵检测概述工控入侵检测基本原理工控入侵检测常见产品目录一、工控入侵检测概述1、工业控制系统与传统计算机系统的区别传统计算机系统工业控制系统传统计算机系统绝大多数都是由PC机、服务器通过TCP/IP协议通信，通用的操作系统有Windows、Linux等，系统兼容性好，软件升级频繁。工业控制系统主要由PLC、RTU、DCS、SCADA和传感器等设备组成，通过OPC、Modbus、DNP3等专有协议信息通信，使用WinCE等嵌入式系统，系统兼容性差、软硬件升级困难。传统计算机系统对实时性要求不高，运行有一定的延时，可停机或重启，需要高吞吐量，系统具有足够的资源支持。工业控制系统实时性要求高，流量具有突发性和周期性，没有足够的升级资源和安保功能，并且必须具备容错功能，不能停机或重启。一、工控入侵检测概述2、工控入侵检测介绍传统入侵检测在流量过滤和监测时存在细粒度过大、协议类型不兼容的问题，并且工业环境复杂，无法防御中间人或内部人攻击。因此，需要针对工控环境和协议类型制定基于工控环境的入侵检测技术，不能将传统入侵检测技术直接套用入侵检测系统是工业控制系统运行安全防护的有效手段，在工业控制系统信息安全防护中起着举足轻重的作用，它们对工业控制系统网络传输和系统运行过程中的入侵行为进行实时监视，在发现可疑时发出警报或者触发入侵反应系统采取反应措施目前，工业控制系统的入侵检测和防护系统正处于理论研究阶段和应用阶段，其发展方向必将对工业控制系统信息安全产生深远的影响一、工控入侵检测概述3、工业控制系统入侵检测技术发展现状

目前，工业控制入侵检测系统（IDS）是依据安全架构和策略进行设计，并对系统进行安全漏洞扫描、安全配置加强、身份认证处理，同时采用访问控制、渗透检测等技术进行安全防御，保障工控系统安全稳定运行安全漏洞扫描安全配置加强身份认证处理访问控制渗透检测二、工控入侵检测基本原理1、入侵检测系统功能介绍入侵检测系统的功能如图所示，其主要功能介绍如下。（1）监测、分析用户和系统的活动（2）发现入侵企图或异常现象（3）记录、报警和响应二、工控入侵检测基本原理2、入侵检测原理框图二、工控入侵检测基本原理3、Snort（基于规则的入侵检测系统）工作原理介绍 3.1Snort的体系结构数据包捕获和解码子系统、检测引擎，以及日志及报警子系统三个部分。数据包捕获和解码子系统该子系统的功能是捕获共享网络的传输数据，并按照TCP/IP协议的不同层次将数据包解析。检测引擎检测引擎是NIDS实现的核心，准确性和快速性是衡量其性能的重要指标。日志及报警子系统经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警。二、工控入侵检测基本原理3、Snort（基于规则的入侵检测系统）工作原理介绍 3.2Snort的检测规则Snort将所有已知的攻击方法以规则的形式存放在规则库中。每一条规则由规则头和规则选项两部分组成。规则头对应于规则树结点RTN（RuleTreeNode），包含动作、协议、源（目的）地址和端口以及数据流向，这是所有规则共有的部分。规则选项对应于规则选项结点OTN（OptionalTreeNode），包含报警信息（msg）、匹配内容（content）等选项，这些内容需要根据具体规则的性质确定。二、工控入侵检测基本原理3、Snort（基于规则的入侵检测系统）工作原理介绍 3.3Snort规则匹配流程当Snort捕获一个数据包时，首先分析该数据包使用哪个IP协议以决定将与某个规则树进行匹配。然后与RTN结点依次进行匹配。当与一个头结点相匹配时，向下与OTN结点进行匹配。每个OTN结点包含一条规则所对应的全部选项，同时包含一组函数指针，用来实现对这些选项的匹配操作。当数据包与某个OTN结点相匹配时，即判断此数据包为攻击数据包。二、工控入侵检测基本原理3、Snort（基于规则的入侵检测系统）工作原理介绍 3.3Snort规则匹配流程图三、工控入侵检测常见产品

绿盟工控安全入侵检测系统（NSFOCUSIDS-ICS）实时检测网络通信，并精确识别缓冲区溢出、扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、间谍软件等传统攻击行为，也可以根据内置规则库中的工控规则库，实现专门针对工控的攻击行为检测，采用自学习基线模型方式，可自定义已深度解析的工控协议安全策略，深度业务关联检测异常操作，生成多样化的告警方式，及时向管理员发送预警信息，并能够与工业防火墙等网关防护产品形成纵深防护体系。三、工控入侵检测常见产品

天融信工控入侵检测与审计系统（TopIDA）是一款专门针对工业互联网攻击威胁设计的检测与审计类的安全产品。TopIDA内置专业的工控入侵规则库，涵盖包括缓冲区溢出、扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、间谍软件等多种类型的攻击特征；同时可根据业务功能需求制定白名单策略，采用攻击规则检测+业务白名单方式，对工业控制网络上捕获的数据包进行相应的行为匹配，及时发现来自生产网内外部攻击威胁，为客户提供直观、落地的安全防护建议，保障生产网络的安全运行。三、工控入侵检测常见产品

捷普工控入侵检测系统是面向电力、石油石化、轨道交通、钢铁冶金、智能制造等工业行业自主研发的基于网络的入侵检测系统。该系统是一种实时的网络入侵检测和响应系统。它能够实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告，实时对攻击做出反应，并提供补救措施，很大程度地为网络系统提供安全保障。三、工控入侵检测常见产品产