1001150110A-N2 R2 EM27S980151B3-27板--罗克自动化致力于工控电气设备销售维修服务,欢迎来询【159-1896-2164】!
罗克自动化科技有限公司从事多种品牌工业变频器,逆变器,伺服器,调速器,触摸屏等业务,现已成一家专业的全球性工业自动化备件及零部件的销售维修型企业。
1001150110A-N2 R2 EM27S980151B3-27板渠道商介绍,探针通过镜像或分光方式全量捕获流量,这种非侵入式被动监测方式不对工业生产造成影响。除了底层物理层协议的不同之外,上层从IP层开始,所有处理方式类似。不同接口采用不同监测分析板卡实现,如图2所示。将数据包采集、转发与深度分析相分离,专用板卡在收到数据包后立即转发以保证低延迟的同时,通过与主机CPU共享独占内存单元的方式依指定规则将不同组别的数据包HASH到不同的CPU上去。系统利用多核特性并行处理和分析每一个数据包、每一条流、每一次业务流程,可以广泛关联,使得充分的带宽关怀与净化策略扩展成为可能,从包、流、会话、文件、协议元数据、网络行为、文件行为等多个层次进行检测,获得威胁信誉、威胁名称、核心行为等多维度信息,包括指令级的工业控制协议通信记录。
探针系统采用深度包检测技术、Suricata+PF_RING技术,对大流量、高并发网络进行全流量采集和初步分析,如图3所示。PF_RING技术用于数据采集处理捕包过程中减少硬件和操作系统的中断次数和内存在内核空间与用户空间之间的拷贝次数,提升网络流量数据的采集性能,Suricata可以对捕获的数据包进行重组,过滤和初步分析,并将分析结果封装成消息数据后传输给数据分析处理模块。数据分析处理模块基于协议指纹特征进行流量样本库的建立,与系统累积的事件规则标识匹配。未标记的流量数据,运用改进的半监督聚类算法建立工控系统数据报文分析模型,在原有的事件规则匹配库的基础上制定实时检测规则。实时检测根据制定的检测分析规则对实时数据进行在线匹配,输出结果。
系统提供工业以太网各种监测接口,探针可以部署于生产单位网络出入口、网络骨干、汇聚或接入层以及工控生产现场各层,接受数据分析中心的监控配置信息,采集实施数据,监测待测链路与设备的状态、安全事件、业务、性能与流量等。在工控网络环境中以SCADA(Supervisory Control And Data Acquisition) 网络为例,工控安全监测及溯源系统的典型部署如图4所示。首先,把“数据采集探针”部署在站控层的汇聚交换机旁,通过端口镜像方式复制该工业以太网中的通讯报文。“工控安全监测及溯源管理分析平台”部署在控制中心,以B/S方式实现对“数据采集探针”的远程集中管理和数据综合分析。
通过对站控层网络通信报文的全流量采集分析,实现对工控指令攻击、攻击参数篡改、误操作、违规行为、非法设备接入、工程师站组态变更、操作指令变更、PLC下装、负载变更等行为进行实时检测,对端口扫描、代码溢出、木马病毒、蠕虫、系统漏洞等攻击的检测和溯源。
资讯来源:汕头罗克自动化
|