專利名稱:網(wǎng)絡(luò)分析的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)分析��,例如供配置網(wǎng)絡(luò)安全中使用的網(wǎng)絡(luò)分析���。
背景技術(shù):
越來(lái)越多的標(biāo)準(zhǔn)和規(guī)章要求保護(hù)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)和網(wǎng)絡(luò)免受電子攻擊�����。這些要求增加調(diào)度工程師和/或操作員的工作負(fù)荷���。建立安全措施以保護(hù)控制系統(tǒng)并不是微不足道的工作�����。在控制系統(tǒng)環(huán)境中��,操作員或調(diào)度工程師很少是安全專家����,并且往往沒有經(jīng)過(guò)良好訓(xùn)練以處理控制系統(tǒng)的計(jì)算機(jī)安全����。例如辦公網(wǎng)絡(luò)等環(huán)境中常用的安全措施適合適當(dāng)動(dòng)態(tài)的系統(tǒng)。合法通信因網(wǎng)絡(luò)使用中的動(dòng)態(tài)性而難以預(yù)測(cè)�。相反,在工業(yè)環(huán)境中����,合法業(yè)務(wù)是可預(yù)測(cè)的�。但是,用于配置網(wǎng)絡(luò)安全措施和用于連續(xù)監(jiān)測(cè)網(wǎng)絡(luò)安全的當(dāng)前方法和工具無(wú)法平衡工業(yè)環(huán)境的這些確定性特性�。各種類型的安全措施能夠存在于諸如辦公網(wǎng)絡(luò)之類的典型IT環(huán)境。例如�,防火墻用于將網(wǎng)絡(luò)與外部網(wǎng)絡(luò)分離�����,并且將它分成若干子網(wǎng)絡(luò)�����。通過(guò)描述哪一個(gè)網(wǎng)絡(luò)業(yè)務(wù)將被允許通過(guò)網(wǎng)絡(luò)周界而哪一個(gè)網(wǎng)絡(luò)業(yè)務(wù)應(yīng)該被阻塞的規(guī)則來(lái)配置防火墻?���,F(xiàn)有技術(shù)防火墻使用諸如源地址����、目的地地址、所使用服務(wù)(例如web業(yè)務(wù)與電子郵件業(yè)務(wù))��、會(huì)話狀態(tài)(關(guān)于所使用協(xié)議��、例如TCP)和/或網(wǎng)絡(luò)分組的深度檢查(關(guān)于所使用協(xié)議����、例如HTTP或SMTP)之類的業(yè)務(wù)特性。雖然防火墻保護(hù)在其范圍的網(wǎng)絡(luò)和子網(wǎng)絡(luò)�����,但是還存在通常在待保護(hù)網(wǎng)絡(luò)中應(yīng)用的安全措施。例如�����,侵入檢測(cè)系統(tǒng)(IDS)用于識(shí)別(例如黑客����、病毒或蠕蟲的)侵入。但是���,當(dāng)前可用IDS具有缺點(diǎn)���。對(duì)于侵入檢測(cè)系統(tǒng)(IDS)當(dāng)前存在兩種典型方式。一種方式將簽名用于已知攻擊����,以便當(dāng)它們?cè)诒槐O(jiān)測(cè)網(wǎng)絡(luò)中發(fā)生時(shí)對(duì)其檢測(cè)。但是�,這種方式只能夠檢測(cè)已知的并且對(duì)其已經(jīng)創(chuàng)建簽名的攻擊。如果攻擊是新的或者是已知攻擊的充分修改版本�����,則簽名無(wú)法匹配�����,并且無(wú)法檢測(cè)攻擊�����。此外���,網(wǎng)絡(luò)上沒有看到的任何業(yè)務(wù)無(wú)法與簽名匹配��,因而遺漏業(yè)務(wù)(missing traffic)沒有由可用的基于簽名的IDS檢測(cè)到����。第二種方式使用學(xué)習(xí)階段根據(jù)假定正常系統(tǒng)行為來(lái)構(gòu)建統(tǒng)計(jì)模型�,并且以后檢測(cè)與該統(tǒng)計(jì)模型的任何偏差。但是��,這種方式主要取決于系統(tǒng)捕獲學(xué)習(xí)階段期間在網(wǎng)絡(luò)中可被認(rèn)為是正常的每一個(gè)通信��。對(duì)于包含很少發(fā)生的事件(例如控制系統(tǒng)中的緊急模式)的系統(tǒng)��,這會(huì)難以確保���。 因此����,兩種方式均具有弱點(diǎn)它們或者在沒有攻擊存在時(shí)產(chǎn)生過(guò)多告警(錯(cuò)誤肯定),或者在攻擊發(fā)生時(shí)產(chǎn)生過(guò)少告警(錯(cuò)誤否定)���。具體來(lái)說(shuō)����,它們沒有平衡控制系統(tǒng)的確定性特性����。其它安全措施包括訪問(wèn)控制,它確定哪些動(dòng)作者(即����,用戶或系統(tǒng)組件)將被允許對(duì)網(wǎng)絡(luò)或系統(tǒng)中的不同資源的哪一種訪問(wèn)級(jí)別;或者詳細(xì)日志記錄����,它在相關(guān)事件在網(wǎng)絡(luò)或系統(tǒng)中發(fā)生時(shí)收集與其有關(guān)的信息。侵入檢測(cè)使用簽名來(lái)區(qū)分正常業(yè)務(wù)和惡意或非期望的業(yè)務(wù)���,使得能夠檢測(cè)非預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)���。配置數(shù)據(jù)提供描述用于通過(guò)中間表示所建模的網(wǎng)絡(luò)中的協(xié)議和服務(wù)中的已知弱點(diǎn)或者針對(duì)它們的攻擊模式的簽名。此外�,它提供用于網(wǎng)絡(luò)中根本沒有期望的那些已知種類的業(yè)務(wù)的簽名(例如,電子郵件業(yè)務(wù)在控制系統(tǒng)中可能不是期望的���,并且因而可能生成檢測(cè)任何電子郵件業(yè)務(wù)的簽名)���。如果看到任何業(yè)務(wù)與所定義模式/簽名的任一個(gè)相匹配,
則產(chǎn)生告警�。一般來(lái)說(shuō),當(dāng)前不存在獲得來(lái)自控制系統(tǒng)的可用系統(tǒng)設(shè)計(jì)信息并且將其自動(dòng)變換為用于任何類型的安全措施(防火墻����、IDS、訪問(wèn)控制等等)的配置數(shù)據(jù)的方法或工具��。另外�����,也不存在獲得來(lái)自控制系統(tǒng)的可用系統(tǒng)設(shè)計(jì)信息并且將其變換為用于檢測(cè)系統(tǒng)中的任何遺漏預(yù)計(jì)業(yè)務(wù)的配置數(shù)據(jù)或通信模式的方法或工具�����。對(duì)于后一種情況,甚至關(guān)于侵入檢測(cè)和/或異常檢測(cè)的現(xiàn)貨銷售軟件也只能在關(guān)于這種惡意/異常業(yè)務(wù)的簽名/模型變得可用時(shí)檢測(cè)/掃描任何惡意商品的實(shí)際業(yè)務(wù)��。即使簽名/模型是可用的��,也不存在關(guān)于簽名 /模型是否覆蓋所有可能的惡意業(yè)務(wù)或其它異常的確定性�����。因此����,希望提供能夠解決前面考慮的系統(tǒng)的缺點(diǎn)的技術(shù)。
發(fā)明內(nèi)容
本發(fā)明的方面的實(shí)施例能夠提供首先�����,基于可用系統(tǒng)信息自動(dòng)生成控制系統(tǒng)網(wǎng)絡(luò)中預(yù)計(jì)通信的模型���;其次���,基于所生成模型來(lái)自動(dòng)生成各種網(wǎng)絡(luò)安全措施的配置數(shù)據(jù);第三�,基于所生成模型對(duì)預(yù)計(jì)業(yè)務(wù)的不存在進(jìn)行監(jiān)測(cè)和告警的方法/工具。按照本發(fā)明的第一方面��,提供一種分析網(wǎng)絡(luò)的方法,包括下列步驟接收描述數(shù)據(jù)���,所述描述數(shù)據(jù)包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息�;通過(guò)從描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)來(lái)自動(dòng)地確定模型數(shù)據(jù)�,顯式數(shù)據(jù)顯式包含在描述數(shù)據(jù)中����,而隱式數(shù)據(jù)是從顯式數(shù)據(jù)以及預(yù)定規(guī)則和條件中推導(dǎo)出的;以及使用這種模型數(shù)據(jù)來(lái)構(gòu)建網(wǎng)絡(luò)的表示��。這種方法還可包括根據(jù)網(wǎng)絡(luò)的表示自動(dòng)地確定多個(gè)安全參數(shù)�,以及使用這種安全參數(shù)來(lái)配置安全措施。按照本發(fā)明的另一個(gè)方面�����,提供一種分析網(wǎng)絡(luò)的方法��,包括下列步驟根據(jù)網(wǎng)絡(luò)的表示來(lái)自動(dòng)地確定多個(gè)安全參數(shù)��;以及使用這種安全參數(shù)來(lái)配置安全措施�����,其中該表示產(chǎn)生于接收包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息的描述數(shù)據(jù),通過(guò)從描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)來(lái)自動(dòng)地確定模型數(shù)據(jù)�����,以及使用這種模型數(shù)據(jù)來(lái)構(gòu)建網(wǎng)絡(luò)的表示��,其中顯式數(shù)據(jù)顯式包含在描述數(shù)據(jù)中以及隱式數(shù)據(jù)是從顯式數(shù)據(jù)和預(yù)定規(guī)則和條件中推導(dǎo)出的��。在這種方法中��,安全參數(shù)可包括用于防火墻的參數(shù)�,并且該方法可包括根據(jù)這種參數(shù)來(lái)生成這種防火墻的配置數(shù)據(jù)以防止未經(jīng)授權(quán)訪問(wèn)。在這種方法中��,安全參數(shù)可包括用于侵入檢測(cè)的參數(shù)���,并且該方法可包括根據(jù)這種參數(shù)來(lái)配置侵入檢測(cè)單元�����。在這種方法中��,安全參數(shù)可包括用于預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的參數(shù)�����,并且該方法可包括自動(dòng)監(jiān)測(cè)數(shù)據(jù)業(yè)務(wù)���,并且根據(jù)這種參數(shù)來(lái)發(fā)信號(hào)通知預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的缺少�����。模型數(shù)據(jù)可包括與預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)�����、節(jié)點(diǎn)間通信模式和裝置安全信息的至少一個(gè)有關(guān)的信息。描述數(shù)據(jù)可表示網(wǎng)絡(luò)的設(shè)計(jì)信息���。規(guī)范信息可包括與網(wǎng)絡(luò)節(jié)點(diǎn)信息�、節(jié)點(diǎn)互連信息��、已安裝軟件信息和裝置配置信息中的至少一個(gè)有關(guān)的信息���。按照本發(fā)明的另一個(gè)方面��,提供一種用于分析網(wǎng)絡(luò)的系統(tǒng)�,包括剖析器�����,剖析器連接成用于接收包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息的描述數(shù)據(jù),其中�����,剖析器可操作用于通過(guò)從所接收描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)自動(dòng)地確定模型數(shù)據(jù)�,以及用于使用這種模型數(shù)據(jù)來(lái)構(gòu)建這種網(wǎng)絡(luò)的表示數(shù)據(jù),其中顯式數(shù)據(jù)顯式包含在描述數(shù)據(jù)中以及隱式數(shù)據(jù)是從顯式數(shù)據(jù)和預(yù)定規(guī)則和條件中推導(dǎo)出的����。這種系統(tǒng)還可包括配置生成器,配置生成器連接成用于從剖析器接收表示數(shù)據(jù)�, 并且可操作用于從這種所接收表示數(shù)據(jù)自動(dòng)地確定多個(gè)安全參數(shù),以便傳輸給安全單元�。這種系統(tǒng)還可包括安全單元,安全單元連接成用于從配置生成器接收安全參數(shù)�, 并且可操作用于使用這種所接收安全參數(shù)來(lái)運(yùn)行至少一個(gè)安全措施。按照本發(fā)明的另一個(gè)方面�,提供一種用于保護(hù)網(wǎng)絡(luò)的系統(tǒng),包括安全單元�,安全單元連接成用于接收安全參數(shù),并且可操作用于使用這種所接收安全參數(shù)來(lái)配置至少一個(gè)安全措施�����,其中,安全參數(shù)由配置生成器來(lái)生成�,配置生成器連接成用于接收表示數(shù)據(jù),并且可操作用于根據(jù)這種所接收表示數(shù)據(jù)來(lái)自動(dòng)地確定多個(gè)安全參數(shù)以便傳輸給安全單元�����,以及其中表示數(shù)據(jù)由剖析器來(lái)生成����,剖析器連接成用于接收包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息的描述數(shù)據(jù),剖析器可操作用于通過(guò)從所接收描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)來(lái)自動(dòng)地確定模型數(shù)據(jù)��,以及用于使用這種模型數(shù)據(jù)來(lái)構(gòu)建這種網(wǎng)絡(luò)的表示數(shù)據(jù)���,顯式數(shù)據(jù)顯式包含在描述數(shù)據(jù)中,以及隱式數(shù)據(jù)是從顯式數(shù)據(jù)和預(yù)定規(guī)則和條件中推導(dǎo)出的�����。安全參數(shù)可包括用于防火墻的參數(shù)�,并且安全單元?jiǎng)t可以可操作用于根據(jù)這種參數(shù)來(lái)運(yùn)行防火墻,以便防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)��。安全參數(shù)可包括用于預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的參數(shù)�,并且安全單元?jiǎng)t可以可操作用于自動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)��,并且根據(jù)這種參數(shù)來(lái)發(fā)信號(hào)通知預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的缺少����。
圖1是示出實(shí)施本發(fā)明的系統(tǒng)的整體概念的框圖�����;圖2是示出圖1的概念的一個(gè)可能實(shí)現(xiàn)的框圖����;圖3是示出實(shí)施本發(fā)明的一個(gè)方面的方法的步驟的流程圖;圖4是示出本發(fā)明的一個(gè)實(shí)現(xiàn)中的元件的框圖����;圖5是示例摘錄SCL文件;以及圖6是ABB (R)系統(tǒng)800 X A系統(tǒng)計(jì)劃文件的示例摘錄����。
具體實(shí)施例方式圖1是示出實(shí)施本發(fā)明的系統(tǒng)的整體概念的框圖。此概念分為三個(gè)部分第一部分10服務(wù)于使用剖析器12將系統(tǒng)描述數(shù)據(jù)11轉(zhuǎn)換為中間表示13�。剖析器12從系統(tǒng)描述數(shù)據(jù)11提取與網(wǎng)絡(luò)設(shè)置及其安全相關(guān)的顯示信息。另外���,剖析器還推導(dǎo)隱式存儲(chǔ)在系統(tǒng)描述數(shù)據(jù)11中的信息���。通過(guò)使用預(yù)定規(guī)則和條件解釋顯式陳述信息來(lái)推導(dǎo)出隱式信息��。例如��,能夠解釋系統(tǒng)描述語(yǔ)言的語(yǔ)義用于推導(dǎo)配置安全設(shè)定所需的附加信息��。該信息存儲(chǔ)在中間表示13中���。配置數(shù)據(jù)生成器15將中間表示轉(zhuǎn)換為用于組網(wǎng)裝置/軟件的配置數(shù)據(jù) 16。這個(gè)配置數(shù)據(jù)被提供給組網(wǎng)裝置/軟件����,并且可被存儲(chǔ),或者本質(zhì)上可以是暫時(shí)的���。此概念的第二部分20利用配置數(shù)據(jù)16來(lái)形成專門用于網(wǎng)絡(luò)的安全措施21�。此概念的第三部分30使用配置數(shù)據(jù)來(lái)產(chǎn)生用于遺漏業(yè)務(wù)檢測(cè)器31的配置數(shù)據(jù)��,以便檢測(cè)預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)在網(wǎng)絡(luò)中遺漏的時(shí)間��。大家會(huì)理解�,第三部分30實(shí)際上是第二部分20的子集�,因?yàn)檫z漏業(yè)務(wù)檢測(cè)器能夠被認(rèn)為是網(wǎng)絡(luò)的安全措施����。圖2是示出本發(fā)明的概念的一個(gè)可能實(shí)現(xiàn)的框圖����。圖2的實(shí)現(xiàn)包括若干功能塊。 輸入接口 50被提供用于接收輸入數(shù)據(jù)�,并且將系統(tǒng)描述數(shù)據(jù)提供給剖析器51,以便根據(jù)該系統(tǒng)描述數(shù)據(jù)生成中間表示���。剖析器51將數(shù)據(jù)提供給數(shù)據(jù)存儲(chǔ)裝置52�����,數(shù)據(jù)存儲(chǔ)裝置52 存儲(chǔ)中間表示信息�。大家要理解��,數(shù)據(jù)存儲(chǔ)裝置52可通過(guò)諸如硬盤驅(qū)動(dòng)器��、固態(tài)盤驅(qū)動(dòng)器或閃速存儲(chǔ)器驅(qū)動(dòng)器之類的永久存儲(chǔ)裝置來(lái)提供��,或者可通過(guò)例如隨機(jī)存取存儲(chǔ)器(RAM) 或其它存儲(chǔ)器裝置等非永久存儲(chǔ)裝置來(lái)提供���。配置數(shù)據(jù)生成器53檢索已存儲(chǔ)中間表示信息���,生成適當(dāng)配置數(shù)據(jù)�,并且然后將配置數(shù)據(jù)提供給安全單元M或者遺漏業(yè)務(wù)檢測(cè)器陽(yáng)�����。安全單元M根據(jù)從配置數(shù)據(jù)生成器53 接收的配置信息來(lái)提供任何所選安全措施��。遺漏業(yè)務(wù)檢測(cè)器陽(yáng)是特定類型的安全措施����,并且按照所接收配置數(shù)據(jù)中包含的信息來(lái)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)是否有遺漏預(yù)計(jì)業(yè)務(wù)。大家易于理解�����,由安全單元M所提供的安全措施能夠是任何適當(dāng)安全措施�,并且配置數(shù)據(jù)生成器53 可操作用于產(chǎn)生任何適當(dāng)配置數(shù)據(jù)。圖3是示出實(shí)施本發(fā)明的各個(gè)方面的方法的步驟的流程圖����。還將參照?qǐng)D1和圖 2。該過(guò)程開始于步驟sl����,并且輸入系統(tǒng)描述數(shù)據(jù)11由剖析器51來(lái)讀取(步驟S2),剖析器51確定數(shù)據(jù)11是否屬于正確類型和格式(步驟S3)�����。如果數(shù)據(jù)根本不正確��,則適當(dāng)通知被生成(步驟S4)���,并且提供給適當(dāng)接口���。如果數(shù)據(jù)是正確的,則由剖析器51將數(shù)據(jù)自動(dòng)轉(zhuǎn)換(步驟SQ成中間表示13���。中間表示13然后存儲(chǔ)(步驟S6)在數(shù)據(jù)存儲(chǔ)裝置52中�。 中間表示13提供網(wǎng)絡(luò)的模型(即��,中間表示包括對(duì)網(wǎng)絡(luò)中的可用節(jié)點(diǎn)�、那些節(jié)點(diǎn)之間的通信模式、基礎(chǔ)組網(wǎng)和通信模式的安全建模的信息)并且基于系統(tǒng)描述數(shù)據(jù)中顯式和隱式存儲(chǔ)的信息��。如上所述��,通過(guò)分析系統(tǒng)描述數(shù)據(jù)中隱式保存的信息、其相互關(guān)系以及系統(tǒng)描述語(yǔ)言的語(yǔ)義�����,從該信息中推導(dǎo)出有用安全信息����。確定(步驟S7)要自動(dòng)生成哪一個(gè)配置數(shù)據(jù)。備選地�,所有可能配置或者配置的預(yù)定義集合可由系統(tǒng)來(lái)生成。如果要生成安全措施數(shù)據(jù)����,則該過(guò)程轉(zhuǎn)到步驟S9。檢索(步驟S10)要確定的安全措施的類型�,并且適當(dāng)配置數(shù)據(jù)由配置數(shù)據(jù)生成器53來(lái)生成(步驟Sll)。然后將安全措施配置數(shù)據(jù)提供(步驟S12)給安全單元M�。安全措施可包括定義防火墻的規(guī)則、檢測(cè)網(wǎng)絡(luò)上的非預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)以及其它適當(dāng)措施�。防火墻是基于源(發(fā)送方)、目的地(接收方)�、所使用服務(wù)和/或源與目的地之間的會(huì)話狀態(tài)來(lái)準(zhǔn)許或阻塞數(shù)據(jù)業(yè)務(wù)的方案(device)。由配置數(shù)據(jù)生成器所提供的配置數(shù)據(jù)是目標(biāo)網(wǎng)絡(luò)中的各種節(jié)點(diǎn)之間的所有所允許網(wǎng)絡(luò)連接的詳細(xì)列表���,從而指定每個(gè)所允許連接的源���、目的地和服務(wù)�。所配置的防火墻則具有所允許連接的完整列表���,并且能夠阻塞所允許連接之外的。安全措施的其它示例包括訪問(wèn)控制系統(tǒng)����,它控制對(duì)網(wǎng)絡(luò)上的資源的訪問(wèn),并且能夠在用戶設(shè)法以未經(jīng)授權(quán)方式來(lái)使用資源時(shí)告警���。安全單元M實(shí)現(xiàn)安全措施�,并且然后在確定存在違反時(shí)引起告警條件�。如果要生成遺漏業(yè)務(wù)檢測(cè)器配置數(shù)據(jù),則該過(guò)程從步驟S8轉(zhuǎn)到步驟S13��,并且適當(dāng)配置數(shù)據(jù)被生成(步驟S14)���,然后提供(步驟SM)給遺漏業(yè)務(wù)檢測(cè)器55���。遺漏業(yè)務(wù)檢測(cè)器55觀測(cè)是否有期望數(shù)據(jù)業(yè)務(wù)。如果沒有檢測(cè)到這種期望數(shù)據(jù)業(yè)務(wù)�,則推斷違反安全�,并且產(chǎn)生告警����。配置數(shù)據(jù)提供描述例如源、目的地����、所使用服務(wù)和預(yù)計(jì)出現(xiàn)頻率等的業(yè)務(wù)特性的預(yù)計(jì)業(yè)務(wù)的模型。遺漏業(yè)務(wù)檢測(cè)器然后進(jìn)行操作以檢測(cè)這種預(yù)計(jì)業(yè)務(wù)的不存在��,以及在這種不存在時(shí)���,產(chǎn)生告警�。配置數(shù)據(jù)的生成能夠根據(jù)需要重復(fù)進(jìn)行���,如步驟S16所確定�����。如果不需要其它配置數(shù)據(jù)���,則該過(guò)程結(jié)束(步驟S17)。這個(gè)概念的不同實(shí)施例能夠?qū)崿F(xiàn)不同剖析器和/或不同配置數(shù)據(jù)生成器�����。下面均參照?qǐng)D4來(lái)描述兩個(gè)示例第一示例將系統(tǒng)描述數(shù)據(jù)、例如IEC 61850 SCL文件轉(zhuǎn)換為配置數(shù)據(jù)��,以及第二示例將ABB 系統(tǒng)800XA系統(tǒng)計(jì)劃文件轉(zhuǎn)換為配置數(shù)據(jù)����。為了清楚起見�, SCL文件和系統(tǒng)計(jì)劃文件稱作系統(tǒng)描述數(shù)據(jù)。第一示例描述將SCL系統(tǒng)描述數(shù)據(jù)自動(dòng)轉(zhuǎn)換為侵入檢測(cè)系統(tǒng)(1此)配置�、防火墻配置文件和遺漏業(yè)務(wù)檢測(cè)器配置數(shù)據(jù)。系統(tǒng)描述數(shù)據(jù)60描述網(wǎng)絡(luò)中所有裝置的配置參數(shù)和組件��。剖析器62提取安全相關(guān)的顯式信息��,并且將該信息作為中間表示64來(lái)存儲(chǔ)����。另外,還分析系統(tǒng)描述數(shù)據(jù)60�����,以便從顯式數(shù)據(jù)以及諸如描述語(yǔ)言的語(yǔ)義之類的一組預(yù)定規(guī)則和條件提取隱式安全相關(guān)信息�。例如��,系統(tǒng)描述文件60數(shù)據(jù)可定義諸如智能電子裝置(IED)的實(shí)體�,包括IED的網(wǎng)絡(luò)地址�����。在這種實(shí)體中�����,數(shù)據(jù)可定義GOOSE消息塊(GSE)�。如果找到這種GOOSE消息塊, 則剖析器62生成定義來(lái)自IED網(wǎng)絡(luò)地址的GOOSE業(yè)務(wù)作為預(yù)計(jì)業(yè)務(wù)的模型元素��。此外����,使用協(xié)議MMS和ICMP的業(yè)務(wù)缺省地是合法業(yè)務(wù),即使沒有在SCL文件中顯式指定�。為了生成這種隱式信息,剖析器62參閱與系統(tǒng)描述語(yǔ)言和數(shù)據(jù)有關(guān)的所存儲(chǔ)規(guī)則和信息���。能夠進(jìn)一步處理或優(yōu)化中間表示64(例如中間表示的排序�,以便更易于生成防火墻規(guī)則)?�;谥虚g表示64:1.防火墻配置數(shù)據(jù)生成器65生成防火墻的配置數(shù)據(jù)(規(guī)則)66��。在一個(gè)示例中���, 防火墻能夠用于檢測(cè)和阻塞任何無(wú)意(非預(yù)計(jì))業(yè)務(wù)�����。從中間表示64�,提取被允許或不允許的通信的細(xì)節(jié)���。2. IDS配置數(shù)據(jù)生成器68生成侵入檢測(cè)系統(tǒng)(1此)70的配置數(shù)據(jù)69。在這種情況下����,基于輸入數(shù)據(jù),IDS能夠配置為對(duì)于系統(tǒng)中不應(yīng)當(dāng)允許的數(shù)據(jù)業(yè)務(wù)或惡意數(shù)據(jù)業(yè)務(wù)進(jìn)
行告警��。3.遺漏業(yè)務(wù)檢測(cè)器生成器71生成遺漏業(yè)務(wù)檢測(cè)器73的配置數(shù)據(jù)72����,例如以便檢測(cè)遺漏GOOSE業(yè)務(wù),下面更詳細(xì)描述?�,F(xiàn)在描述處理來(lái)自SCL文件的摘錄的一個(gè)具體示例。要理解����,這個(gè)文件只表示一個(gè)可能示例,而完全不應(yīng)當(dāng)被理解為進(jìn)行限制����。示例摘錄SCL文件如圖5所示,并且自動(dòng)地確定若干特性��。1.系統(tǒng)中存在兩個(gè) IED (參見 ConnectedAP ), BP, AA1D1Q09A1 和 AA1D1Q10A12.只有AA1D1Q10A1能夠發(fā)出GOOSE消息(參見GSE塊)3.缺省地允許ICMP和MMS對(duì)于這個(gè)示例���,SCL剖析器62提取必要信息�,使得能夠生成下列配置1.防火墻配置數(shù)據(jù)生成器65在這個(gè)示例中生成僅允許來(lái)自和送往所列IP地址����、 本例中為192. 168. 8. 1和192. 168. 9. 1的業(yè)務(wù)的防火墻規(guī)則66。
2. IDS配置數(shù)據(jù)生成器���,對(duì)于這個(gè)示例-生成檢測(cè)惡意MMS業(yè)務(wù)(例如利用所使用協(xié)議版本中的已知弱點(diǎn)或者所使用產(chǎn)品版本中的已知弱點(diǎn)的業(yè)務(wù))的簽名��,以及-檢測(cè)是否存在除了來(lái)自AA1D1Q10A1的GOOSE消息之外的任何GOOSE消息3.遺漏業(yè)務(wù)檢測(cè)器生成器71生成配置數(shù)據(jù)72�����,以便使遺漏業(yè)務(wù)生成器73能夠檢測(cè)來(lái)自AA1D1Q09A1的任何遺漏GOOSE業(yè)務(wù)��。第二示例描述將ABB(R)系統(tǒng)800XA系統(tǒng)計(jì)劃文件轉(zhuǎn)換為侵入檢測(cè)系統(tǒng)(IDS)配置和防火墻配置數(shù)據(jù)����。系統(tǒng)計(jì)劃文件包含系統(tǒng)安裝的描述?��;谶@些文件���,安裝程序安裝和配置系統(tǒng)的所有軟件組件。剖析器62提取安全相關(guān)的顯式信息�,并且將那個(gè)信息作為中間表示64來(lái)存儲(chǔ)。另外��,還分析系統(tǒng)描述數(shù)據(jù)60��,以便從顯式數(shù)據(jù)和描述語(yǔ)言的語(yǔ)義提取隱式安全相關(guān)信息�。隱式信息還按照與前一個(gè)示例相似的方式存儲(chǔ)在中間表示64中��。然后�,系統(tǒng)按照以下所述進(jìn)行操作1.防火墻配置數(shù)據(jù)生成器65生成規(guī)則66,以便阻塞不允許業(yè)務(wù)而允許所允許業(yè)務(wù)。例如���,典型ABB(R)系統(tǒng)800XA包括若干元件���,其中的每個(gè)提供一些服務(wù)。各服務(wù)僅允許經(jīng)由一個(gè)或若干所確定協(xié)議和端口的通信����。因此,未使用的端口沒有用于通信���,并且因而需要被阻塞����。2. IDS配置數(shù)據(jù)生成器68生成IDS 70的配置數(shù)據(jù)69�����。例如���,生成器能夠創(chuàng)建配置數(shù)據(jù)����,以便保護(hù)數(shù)據(jù)總線業(yè)務(wù),例如工業(yè)標(biāo)準(zhǔn)M0DBUS����。3.遺漏業(yè)務(wù)檢測(cè)器生成器71生成遺漏業(yè)務(wù)檢測(cè)器73的配置數(shù)據(jù)72,例如跟蹤和存儲(chǔ)系統(tǒng)變化��、預(yù)定義數(shù)據(jù)點(diǎn)等等的歷史日志服務(wù)器的數(shù)據(jù)����。ABB(R)系統(tǒng)800 X A系統(tǒng)計(jì)劃文件的示例摘錄如圖6所示。這種文件摘錄再次僅作為示例來(lái)描述����,而不應(yīng)當(dāng)被認(rèn)為限制本發(fā)明的范圍。在給定ABB (R)系統(tǒng)800 X A系統(tǒng)計(jì)劃文件中�����,有可能識(shí)別下列特性1.存在五個(gè)節(jié)點(diǎn)EngClient����、PriAC800MCS����、PriAS����、SecAC800MCS 和 SecAS �;2.各節(jié)點(diǎn)具有至少兩個(gè)IP地址;以及3.冗余網(wǎng)絡(luò)路由選擇協(xié)議的業(yè)務(wù)缺省地是可用的��。在接收到這個(gè)示例系統(tǒng)計(jì)劃文件之后��,剖析器62提取必要信息�,使得下列配置能夠進(jìn)行1.防火墻配置數(shù)據(jù)生成器65例如能夠生成阻塞每一個(gè)節(jié)點(diǎn)處的不必要端口的防火墻規(guī)則66。例如�,節(jié)點(diǎn)和SecAS經(jīng)由端口 80來(lái)接收通信。然后生成防火墻規(guī)則 66以便阻塞除了端口 80之外的每一個(gè)端口��。2. IDS配置數(shù)據(jù)生成器68對(duì)于這個(gè)示例能夠-生成檢測(cè)惡意MODBUS業(yè)務(wù)(例如利用所使用協(xié)議版本中的已知弱點(diǎn)或者所使用產(chǎn)品版本中的已知弱點(diǎn)的業(yè)務(wù))的簽名����;以及-生成檢測(cè)送往除了PriAS和SecAS之外的節(jié)點(diǎn)的非期望端口 80業(yè)務(wù)的簽名。3.遺漏業(yè)務(wù)檢測(cè)器生成器71生成配置數(shù)據(jù)72����,以便檢測(cè)遺漏歷史業(yè)務(wù)、例如日志文件����。通過(guò)上文給出的描述會(huì)理解���,本發(fā)明的實(shí)施例能夠提供根據(jù)系統(tǒng)描述數(shù)據(jù)自動(dòng)地確定網(wǎng)絡(luò)配置并且能夠使用配置信息來(lái)確定安全設(shè)定和遺漏業(yè)務(wù)設(shè)定的系統(tǒng)和技術(shù)。
權(quán)利要求
1.一種分析網(wǎng)絡(luò)的方法����,包括下列步驟接收包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息的描述數(shù)據(jù);通過(guò)從所述描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)來(lái)自動(dòng)地確定模型數(shù)據(jù)���,所述顯式數(shù)據(jù)顯式包含在所述描述數(shù)據(jù)中�,以及所述隱式數(shù)據(jù)是從所述顯式數(shù)據(jù)以及預(yù)定規(guī)則和條件中推導(dǎo)出的��;以及使用這種模型數(shù)據(jù)來(lái)構(gòu)建所述網(wǎng)絡(luò)的表示���。
2.如權(quán)利要求1所述的方法�����,還包括根據(jù)所述網(wǎng)絡(luò)的所述表示自動(dòng)地確定多個(gè)安全參數(shù)���;以及使用這種安全參數(shù)來(lái)配置安全措施。
3.一種分析網(wǎng)絡(luò)的方法����,包括下列步驟根據(jù)所述網(wǎng)絡(luò)的表示自動(dòng)地確定多個(gè)安全參數(shù);以及使用這種安全參數(shù)來(lái)配置安全措施����,其中所述表示產(chǎn)生于接收描述數(shù)據(jù),所述描述數(shù)據(jù)包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息�����;通過(guò)從所述描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)來(lái)自動(dòng)地確定模型數(shù)據(jù)��,所述顯式數(shù)據(jù)顯式包含在所述描述數(shù)據(jù)中��,而所述隱式數(shù)據(jù)是從所述顯式數(shù)據(jù)以及預(yù)定規(guī)則和條件中推導(dǎo)出的���;以及使用這種模型數(shù)據(jù)來(lái)構(gòu)建所述網(wǎng)絡(luò)的表示��。
4.如權(quán)利要求2或3所述的方法���,其中,所述安全參數(shù)包括用于防火墻的參數(shù)���,并且所述方法包括根據(jù)這種參數(shù)來(lái)配置防火墻以防止未經(jīng)授權(quán)訪問(wèn)�。
5.如權(quán)利要求2����、3或4所述的方法���,其中,所述安全參數(shù)包括用于侵入檢測(cè)的參數(shù)���,并且所述方法包括根據(jù)這種參數(shù)來(lái)配置侵入檢測(cè)單元�。
6.如權(quán)利要求2至5中的任一項(xiàng)所述的方法�,其中,所述安全參數(shù)包括用于預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的參數(shù)�,以及所述方法包括自動(dòng)監(jiān)測(cè)數(shù)據(jù)業(yè)務(wù),以及根據(jù)這種參數(shù)來(lái)發(fā)信號(hào)通知預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的缺少����。
7.如以上權(quán)利要求中的任一項(xiàng)所述的方法,其中�,所述模型數(shù)據(jù)包括與預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)、 節(jié)點(diǎn)間通信模式和裝置安全信息中的至少一個(gè)有關(guān)的信息�����。
8.如以上權(quán)利要求中的任一項(xiàng)所述的方法�,其中,所述描述數(shù)據(jù)表示所述網(wǎng)絡(luò)的設(shè)計(jì)fn息ο
9.如以上權(quán)利要求中的任一項(xiàng)所述的方法,其中����,所述規(guī)范信息包括與網(wǎng)絡(luò)節(jié)點(diǎn)信息、 節(jié)點(diǎn)互連信息���、已安裝軟件信息和裝置配置信息中的至少一個(gè)有關(guān)的信息。
10.一種用于分析網(wǎng)絡(luò)的系統(tǒng)�����,包括剖析器�,連接成用于接收包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息的描述數(shù)據(jù),其中所述剖析器可操作用于通過(guò)從所接收描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)來(lái)自動(dòng)地確定模型數(shù)據(jù)�����, 以及使用這種模型數(shù)據(jù)來(lái)構(gòu)建這種網(wǎng)絡(luò)的表示數(shù)據(jù)��,所述顯式數(shù)據(jù)顯式包含在所述描述數(shù)據(jù)中以及所述隱式數(shù)據(jù)是從所述顯式數(shù)據(jù)和預(yù)定規(guī)則和條件中推導(dǎo)出的�����。
11.如權(quán)利要求10所述的系統(tǒng)����,還包括配置生成器����,連接成用于從所述剖析器接收表示數(shù)據(jù)����,并且可操作用于根據(jù)這種所接收表示數(shù)據(jù)自動(dòng)地確定多個(gè)安全參數(shù),以便傳輸給安全單元��。
12.如權(quán)利要求11所述的系統(tǒng)���,還包括安全單元��,所述安全單元連接成用于從所述配置生成器接收安全參數(shù)����,并且可操作用于使用這種所接收安全參數(shù)來(lái)運(yùn)行至少一個(gè)安全措施�����。
13.一種用于分析網(wǎng)絡(luò)的系統(tǒng)���,包括安全單元���,所述安全單元連接成用于接收安全參數(shù)��,并且可操作用于使用這種所接收安全參數(shù)來(lái)配置至少一個(gè)安全措施�����,其中��,所述安全參數(shù)由配置生成器來(lái)生成,所述配置生成器連接成用于接收表示數(shù)據(jù)����,并且可操作用于根據(jù)這種所接收表示數(shù)據(jù)來(lái)自動(dòng)地確定多個(gè)安全參數(shù)以便傳輸給所述安全單元,以及其中所述表示數(shù)據(jù)由剖析器來(lái)生成�,所述剖析器連接成用于接收包含與網(wǎng)絡(luò)的規(guī)范有關(guān)的規(guī)范信息的描述數(shù)據(jù),所述剖析器可自動(dòng)地操作用于通過(guò)從所接收描述數(shù)據(jù)提取顯式數(shù)據(jù)和隱式數(shù)據(jù)來(lái)確定模型數(shù)據(jù)���,以及用于使用這種模型數(shù)據(jù)來(lái)構(gòu)建這種網(wǎng)絡(luò)的表示數(shù)據(jù)�����,所述顯式數(shù)據(jù)顯式包含在所述描述數(shù)據(jù)中以及所述隱式數(shù)據(jù)是從所述顯式數(shù)據(jù)和預(yù)定規(guī)則和條件中推導(dǎo)出的�。
14.如權(quán)利要求10至13中的任一項(xiàng)所述的系統(tǒng)��,其中,所述安全參數(shù)包括用于防火墻的參數(shù)��,并且所述安全單元可操作用于根據(jù)這種參數(shù)來(lái)運(yùn)行防火墻���,以便防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)�。
15.如權(quán)利要求10至14中的任一項(xiàng)所述的系統(tǒng)����,其中,所述安全參數(shù)包括用于預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的參數(shù)����,以及所述安全單元可操作用于自動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù),以及用于根據(jù)這種參數(shù)來(lái)發(fā)信號(hào)通知預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)的缺少��。
全文摘要
一種用于自動(dòng)分析網(wǎng)絡(luò)的技術(shù)���,其中將網(wǎng)絡(luò)規(guī)范信息(11)轉(zhuǎn)換為網(wǎng)絡(luò)的單個(gè)中間表示(13)���。中間表示則能夠用于確定安全參數(shù)(21)和預(yù)計(jì)數(shù)據(jù)業(yè)務(wù)參數(shù)(31)。
文檔編號(hào)H04L29/06GK102257787SQ200980151617
公開日2011年11月23日 申請(qǐng)日期2009年11月19日 優(yōu)先權(quán)日2008年12月17日
發(fā)明者C·圖杜斯, H·哈德利, M·布雷恩德爾, R·施爾霍爾茨 申請(qǐng)人:Abb研究有限公司