【技術(shù)實現(xiàn)步驟摘要】
【國外來華專利技術(shù)】
本公開的實施例涉及ot安全監(jiān)測的,并且具體地,涉及一種用于ot安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的方法、設(shè)備和系統(tǒng)以及一種計算機可讀存儲介質(zhì)。
技術(shù)介紹
1、在工業(yè)控制系統(tǒng)中,工業(yè)控制裝置一起工作以控制工業(yè)工藝。例如plc、工業(yè)主機、工作站等一些工業(yè)控制裝置經(jīng)由網(wǎng)絡(luò)連接,該網(wǎng)絡(luò)通常被稱為ot(操作技術(shù))網(wǎng)絡(luò)以區(qū)別于傳統(tǒng)的it(信息技術(shù))網(wǎng)絡(luò)。
2、隨著工業(yè)數(shù)字化的發(fā)展,ot網(wǎng)絡(luò)和it網(wǎng)絡(luò)越來越相互連接,這可能使ot網(wǎng)絡(luò)暴露于網(wǎng)絡(luò)攻擊、惡意軟件入侵和來自it網(wǎng)絡(luò)的其它類型的威脅。
3、例如防火墻等安全裝置可在邏輯上將ot網(wǎng)絡(luò)與it網(wǎng)絡(luò)隔離。還可應(yīng)用物理隔離來破壞來自it網(wǎng)絡(luò)的威脅。利用在安全裝置上設(shè)置的安全策略,ot網(wǎng)絡(luò)和連接的it網(wǎng)絡(luò)可被劃分為不同的安全區(qū),同一安全區(qū)中的裝置可自由地彼此通信,而不同安全區(qū)中的裝置無法自由地彼此通信。
4、然而,可能經(jīng)由跨不同安全區(qū)的隱蔽路徑來繞過此類隔離。隱蔽路徑,也稱為隱蔽信道或隱藏信道,是跨不同安全區(qū)的網(wǎng)絡(luò)連接,其對于網(wǎng)絡(luò)管理系統(tǒng)或網(wǎng)絡(luò)管理員是未知的。例如,具有部署在ot網(wǎng)絡(luò)邊界上的多個網(wǎng)絡(luò)接口卡的服務(wù)器可能造成從it網(wǎng)絡(luò)到ot網(wǎng)絡(luò)的潛在訪問路徑。另外,用于數(shù)據(jù)收集的iot(物聯(lián)網(wǎng))裝置也可能形成跨ot網(wǎng)絡(luò)中的生產(chǎn)控制系統(tǒng)和it網(wǎng)絡(luò)中的監(jiān)測系統(tǒng)的隱蔽路徑。網(wǎng)絡(luò)管理系統(tǒng)并不知曉隱蔽路徑,這可能給ot網(wǎng)絡(luò)帶來很大的潛在風險。
技術(shù)實現(xiàn)思路
1、鑒于此,本公開的實施例提供了一種用于ot安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的方法、設(shè)備和系
2、根據(jù)本公開的實施例的第一方面,提供一種用于ot安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的方法,所述方法可由中央ot安全監(jiān)測服務(wù)器執(zhí)行。所述中央ot安全監(jiān)測服務(wù)器可連接到至少一個數(shù)據(jù)收集器,并從所述至少一個數(shù)據(jù)收集器接收ip配置數(shù)據(jù);所述至少一個數(shù)據(jù)收集器連接到ot網(wǎng)絡(luò)。所述方法可包含以下步驟:從所述至少一個數(shù)據(jù)收集器接收網(wǎng)絡(luò)連接的ip配置數(shù)據(jù),其中所述ip配置數(shù)據(jù)可由所述至少一個數(shù)據(jù)收集器從網(wǎng)絡(luò)流數(shù)據(jù)、安裝在ot網(wǎng)絡(luò)中的ot裝置上的網(wǎng)絡(luò)接口卡的ip配置數(shù)據(jù)和所述ot網(wǎng)絡(luò)中的至少一個安全裝置中的準許通信的日志等獲取;基于所述ip配置數(shù)據(jù)標識所述ot網(wǎng)絡(luò)和連接到所述ot網(wǎng)絡(luò)的至少一個it網(wǎng)絡(luò)當中的子網(wǎng);基于標識的子網(wǎng)確定所述ot網(wǎng)絡(luò)和所述至少一個it網(wǎng)絡(luò)當中的不同安全區(qū);發(fā)現(xiàn)跨第一標識的子網(wǎng)和第二標識的子網(wǎng)的至少一個隱蔽路徑,其中所述第一標識的子網(wǎng)屬于第一確定的安全區(qū),并且所述第二標識的子網(wǎng)屬于第二確定的安全區(qū)。
3、根據(jù)本公開的實施例的第二方面,提供一種用于ot安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的設(shè)備,所述設(shè)備可實施為安裝在中央ot安全監(jiān)測服務(wù)器上的軟件,包含用于執(zhí)行根據(jù)本公開的實施例的第一方面的方法的模塊。
4、根據(jù)本公開的實施例的第三方面,提供一種用于ot安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的設(shè)備,所述設(shè)備可以是中央ot安全監(jiān)測服務(wù)器的一部分,或者是中央ot安全監(jiān)測服務(wù)器本身。所述設(shè)備可包含:至少一個存儲器,其被配置成存儲計算機可執(zhí)行指令;至少一個處理器,其耦合到所述至少一個存儲器,并在計算機可執(zhí)行指令的執(zhí)行時被配置成執(zhí)行根據(jù)本公開的實施例的第一方面的方法。
5、根據(jù)本公開的實施例的第四方面,提供一種用于ot安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的系統(tǒng),所述系統(tǒng)可包含:至少一個數(shù)據(jù)收集器,其連接到ot網(wǎng)絡(luò),所述至少一個數(shù)據(jù)收集器被配置成獲取所述ot網(wǎng)絡(luò)和連接到所述ot網(wǎng)絡(luò)的至少一個it網(wǎng)絡(luò)當中的網(wǎng)絡(luò)連接的ip配置數(shù)據(jù);中央安全監(jiān)測中心,其與所述至少一個數(shù)據(jù)收集器連接,其中所述中央安全監(jiān)測中心可包含根據(jù)本公開實施例的第二或第三方面的設(shè)備。
6、根據(jù)本公開的實施例的第五方面,提供一種計算機程序產(chǎn)品,所述計算機程序產(chǎn)品可存儲在設(shè)備的可讀介質(zhì)上,并且包含計算機可執(zhí)行指令,其中所述計算機可執(zhí)行指令在被執(zhí)行時使至少一個處理器執(zhí)行根據(jù)本公開的實施例的第一方面的方法。
7、根據(jù)本公開的實施例的第六方面,提供一種計算機可讀存儲介質(zhì),所述計算機可讀存儲介質(zhì)上存儲有計算機可執(zhí)行指令,其中所述計算機可執(zhí)行指令在被執(zhí)行時可使至少一個處理器執(zhí)行根據(jù)本公開的實施例的第一方面的方法。
8、在本公開的實施例中,可經(jīng)由數(shù)據(jù)收集器從ot網(wǎng)絡(luò)及時接收網(wǎng)絡(luò)連接的ip配置數(shù)據(jù),可基于所述ip配置數(shù)據(jù)獲取網(wǎng)絡(luò)連接所涉及的子網(wǎng)。基于網(wǎng)絡(luò)連接所涉及的子網(wǎng)是否屬于相同的安全區(qū),可以盡可能多地識別出不同安全區(qū)之間的潛在隱蔽路徑。可避免遺漏可能的隱蔽路徑。
本文檔來自技高網(wǎng)...【技術(shù)保護點】
1.一種用于OT安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的方法(200),其包括:
2.根據(jù)權(quán)利要求1所述的方法(200),其中所述IP配置數(shù)據(jù)由所述至少一個數(shù)據(jù)收集器(20)從所述ot網(wǎng)絡(luò)(30)中收集的網(wǎng)絡(luò)流數(shù)據(jù)獲取。
3.根據(jù)權(quán)利要求1所述的方法(200),其中所述IP配置數(shù)據(jù)包含安裝在所述OT網(wǎng)絡(luò)(30)中的OT裝置(302)上的網(wǎng)絡(luò)接口卡的IP配置數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的方法(200),其中所述IP配置數(shù)據(jù)由所述至少一個數(shù)據(jù)收集器(20)從所述OT網(wǎng)絡(luò)(30)中的至少一個安全裝置(303)中的準許通信的日志獲取。
5.根據(jù)權(quán)利要求1所述的方法,其中
6.根據(jù)權(quán)利要求1所述的方法(200),其中
7.一種用于OT安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的設(shè)備(101),其包括:
8.一種用于OT安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的系統(tǒng)(100),其包括:
9.一種計算機程序產(chǎn)品,其存儲在設(shè)備的可讀介質(zhì)上,并且包括計算機可執(zhí)行指令,其中所述計算機可執(zhí)行指令在被執(zhí)行時使至少一個處理器執(zhí)行根據(jù)權(quán)利要求1至6中任一項所
10.一種計算機可讀存儲介質(zhì),其上存儲有計算機可執(zhí)行指令,其中所述計算機可執(zhí)行指令在被執(zhí)行時使至少一個處理器執(zhí)行根據(jù)權(quán)利要求1至6中任一項所述的方法。
...【技術(shù)特征摘要】
【國外來華專利技術(shù)】
1.一種用于ot安全監(jiān)測中的隱蔽路徑發(fā)現(xiàn)的方法(200),其包括:
2.根據(jù)權(quán)利要求1所述的方法(200),其中所述ip配置數(shù)據(jù)由所述至少一個數(shù)據(jù)收集器(20)從所述ot網(wǎng)絡(luò)(30)中收集的網(wǎng)絡(luò)流數(shù)據(jù)獲取。
3.根據(jù)權(quán)利要求1所述的方法(200),其中所述ip配置數(shù)據(jù)包含安裝在所述ot網(wǎng)絡(luò)(30)中的ot裝置(302)上的網(wǎng)絡(luò)接口卡的ip配置數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的方法(200),其中所述ip配置數(shù)據(jù)由所述至少一個數(shù)據(jù)收集器(20)從所述ot網(wǎng)絡(luò)(30)中的至少一個安全裝置(303)中的準許通信的日志獲取。
5.根據(jù)權(quán)利要...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:郭代飛,
申請(專利權(quán))人:西門子股份公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。