产品背景:

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，高度信息化的同时也减弱了控制系统及SCADA系统等与外界的隔离，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。与此同时，与传统的基于TCP/IP 协议的网络与信息系统的安全相比，我国ICS的安全保护水平明显偏低，长期以来没有得到关注。随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时，也带来了ICS的安全问题，如系统终端平台安全防护弱点，系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、以及隐藏的后门和未知漏洞、TCP/IP自身的安全问题，用户权限控制的接入，网络安全边界防护以及密钥管理等各种信息安全的风险和漏洞。为了最大程度地提高网络的运行质量，实现管理的规范化、科学化，对网络的数据流量进行综合分析，对潜在隐患争取提前预警，对各种发生的故障进行及时定位、分析、处理，保障全网安全、高效、稳定的运行，合理有效地利用网络资源等就变得日趋重要。

需求分析:

由于工业控制网络的开放性，攻击者可采取多种手段攻击该网络，比如利用工控设备漏洞、TCP/IP协议缺陷及工控专用通讯协议漏洞等。工控系统本身有着通信协议种类繁杂、厂家众多，许多厂家都是自己开发的私有协议进行通信，使大量工业互联网控制层、设备层、网络层、标识解析层、平台层等安全问题逐渐暴露出来，安全形式更加复杂，极大威胁到了工业企业、民生、国民经济甚至国家安全。流量作为贯穿工业互联网安全的“血液”，通过流量监测与分析可使用户全面掌握全网的运行状况、安全状况，处理大量设备产生的安全数据和监控信息，通过集中高效的告警机制快速发现定位问题，快速的处置安全故障和威胁，从而做好工业互联网信息网络环境整体安全防护。

目标、重点要解决的问题:

工业网络全流量安全分析系统通过对接入的网络通讯进行7*24小时的捕获、存储、回溯、挖掘以及对海量网络数据的定性分析，针对重点工控协议规则数据分析、异常HTTP/HTTPS通讯分析、DNS检索、特征回查等，结合工业信息安全漏洞库、攻击知识库等多源威胁情报，对可以网络交互行为及各种隐蔽、狡猾的网络窃密行为进行全方位、多维度、综合性安全分析，支持原始数据包下载，实现攻击事件报警、分析、回溯、取证全流程一站式追踪取证,及时发现工业互联网流量中的安全风险及威胁，提升威胁响应及处置效率，有效提高工业互联网安全防护能力。

产品介绍:

本产品针对工业控制系统中可能存在的安全问题，构建了全流量安全分析系统，用来发现攻击威胁。在深入理解工控系统的工业属性以及安全需求的基础上,结合全流量数据包检测,网络威胁情报库,协议解析及数据挖掘等人工智能方法,设计全流量工控网络安全分析系统,实现数据驱动的工业互联网态势感知,检测预警,攻击溯源及数据取证,有效提升工控系统的安全实时检测,安全事件预警与防护水平。该系统在捕获流量的同时进行数据包深度解析，并将解析结果与流量数据关联存储，为后续检索分析提供强有力的数据支撑。

通过主机流量态势、会话流量态势、应用流量态势三个不同的维度进行分析。站在主机的角度 通过图形界面可查看总流量，进网流量，出网流量，以及工控流量的流量态势，可直观的反应当前网络，并分析内网主机的流量排行，上传与下载的情况，对新增的IP做流量排名展示，以及对外网IP的流量情况进行分析。对进一步进行异常数据挖掘及安全事件溯源提供基础。通过会话角度，查看当前的异常会话，长会话流，会话数量、会话流量的角度查看端对端的会话详情，针对每一个会话都能直接查看源与目的及中间使用的协议，传输流量大小，持续时长，并能看详细传输pcap包内容。通过应用角度，通过入网协议及出网协议能够直观的查看选中时间内各协议流量趋势。通过网络快照可感知网络中变动的IP资产，协议，端口，以及每个IP资产的流量变动等信息。并对每个资产的进行多维度深度解析，包含资产通讯协议，关联拓扑关系及安全事件等等。

工业网络全流量安全分析系统提供工控网络中全流量的数据留存、会话分析、工控协议解析、关联分析、统计分析及安全事件分析溯源等功能，提供便于海量数据的检索分析的WEB界面以及丰富的在线数据处理工具。能够解析工控协议中常用的S7,modbus,IEC104,并可支持自定义协议。支持界面导出特定数据包和分析日志。具有全流量留存、全流量回溯、全流量检索等产品特色。系统7*24小时实时通过Arkime收集数据包，并将所有数据以PCAP文件的形式留存在服务器。全流量安全分析系统就像工控网络中的摄像头，无论是正常的流量，还是异常的流量，都全部收集并保存，提供了具有法律效力的连续的流量会话记录，以供用户随时调取。

网络全流量安全分析系统基于全流量的入侵监测功能，通过与suricata规则库进行规则匹配检测已知威胁并对应到att&ck模型，通过回溯分析数据包特征、异常网络行为，发现潜伏已久的高级未知攻击。att&ck技术模型它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。ATT&CK可以帮助企业建立一个基于威胁的防御体系。ATT&CK架构中的全部攻击技术都是有相对应的攻击目的和实行攻击所需要的环境和依赖性。分解还可以提取适用于每种攻击技术的攻击对象，评估攻击表面的暴露和风险水平，有助于制定有效的攻击表面缩小、消除或监控手段。

ATT&CK架构还可以帮助防御者掌握攻击目标，提取攻击面，制定减少攻击面的手段。同时，它还能够利用攻击面评估为后续增强威胁感知、汇总防御差别、制定改进方案提供参考标准。本产品以全流量作为数据源提供覆盖面最广，多维度高质量的数据。建立一个吞吐海量异构多源数据，快速检测、推理、响应、追踪威胁事件的高度自动化的统一平台，辅助人进行安全的运营、研究和对抗，建立威胁感知系统。及时有效地监控威胁事件、安全风险和入侵过程。通过对安全事件发生的前后流量分析，及溯源形成完整的企业安全形势，为防守方实现实时威胁监控、安全分析和响应处理提供基础。

通过旁路镜像采集并存储网络全部流量，通过网络协议实时解码、元数据提取，建立完整的日志、协议、数据包全字段索引，以便于快速提取多维度的网络元数据进行异常行为建模，为后续异常数据挖掘、分析、取证建立扎实的基础。系统具备长时间的原始数据存储能力，通过网络安全运维人员对原始网络流量日志进行查询检索及关联回溯分析，实现从线索挖掘到整个攻击过程的完整复盘。为安全事件的准确响应提供依据。


为更方便于用户对黑客网络攻击的行为分析、监控和网络风险威胁预判，了解黑客攻击时所发出的请求数据信息和使用的协议类型，对历史已发生的流量数据进行统计展示非常重要，本产品中加入了针对单一攻击事件的全流量日志分析功能模块，采用按照发生时间进行排序的方式，对黑客攻击行为的数据流展示及安全事件前后发生的相关其他事件进行关联分析，定位其行踪，洞察分析背后的动因意图，并及时进行安全处理。

产品特点、优势、效果及价值:

（一）工业网络全流量安全分析系统其创新性和先进性在于以下三个方面：

1、工业网络全流量安全分析系统提供工控网络中全流量的数据留存、会话分析、工控协议解析、关联分析、统计分析及安全事件分析溯源等功能，提供便于数据检索分析的WEB界面以及在线数据处理工具。

2、系统基于全流量的入侵监测功能，通过与suricata规则库进行已知威胁检测并对应到att&ck模型，通过回溯分析数据包特征、异常网络行为，发现潜伏已久的高级未知攻击。

3、通过网络协议实时解码、元数据提取，建立完整的日志、协议、数据包全字段索引，以便于快速提取多维度的网络元数据进行异常行为建模，为后续异常数据挖掘、分析、取证建立扎实的基础。

（二）工业网络全流量安全分析解决方案的价值在于可帮助企业以下四个方面：

1、实时感知资产异动情况

通过网络快照可感知网络中变动的IP资产，协议，端口，以及每个IP资产的流量变动等信息。

2、攻击事件溯源取证

系统可长时间存储原始数据，通过内置的威胁情报与检测出的威胁行为数据以及历史数据进行智能关联分析，实现从线索挖掘到整个攻击过程的完整复盘。

3、实时检测攻击行为

对网络攻击行为映射到att&ck模型，通过对被攻击主机进行流量分析及相关IP安全分析，将攻击者的活动过程、影响范围、入侵进度进行简洁直观的展示。

4、提升威胁响应及处置效率

通过交互式数据图谱可清晰、精确、高效的呈现网络安全状态，发现重要的统计型特征，通过阈值过滤，找出异常数据，提升威胁响应及处置效率。

应用案例:

应用案例一：

1、案例名称：

云上神州浪潮国创大数据产线发展有限公司安全运营平台项目的解决方案

2、案例介绍概述：

云上神州浪潮国创大数据产线发展有限公司安全运营平台项目，项目金额940万元，其中为用户部署了10套流量工控流量分析系统并进行相应的策略设置和运行测试。

工控网络全流量安全分析系统提供工控网络中全流量的数据留存、会话分析、协议解析、关联分析、统计分析及安全事件分析溯源等功能，提供便于海量数据的检索分析的WEB界面以及丰富的在线数据处理工具。支持用户自定义协议，自定义安全事件，自建流量模型，安全事件分析模型等进行更进一步的网络分析。支持界面导出特定数据包和分析日志，具有全流量留存、全流量回溯、全流量检索等产品特色。系统7*24小时实时通过Arkime收集数据包，并将所有数据以PCAP文件的形式留存在服务器。全流量安全分析系统就像工控网络中的摄像头，无论是正常的流量，还是异常的流量，都全部收集并保存，提供了具有法律效力的连续的流量会话记录，以供用户随时调取。另外系统提供和防火墙联动和自动阻断功能（可关闭），有效隔离攻击源并保护关键资产。

网络全流量安全分析系统基于全流量的入侵监测功能，通过与suricata规则库进行规则匹配检测已知威胁并对应到att&ck模型，通过回溯分析数据包特征、异常网络行为，发现潜伏已久的高级未知攻击。为更方便于用户对黑客网络攻击的行为分析、监控和网络风险威胁预判，了解黑客攻击时所发出的请求数据信息和使用的协议类型，对历史已发生的流量数据进行统计展示非常重要，本产品中加入了针对单一攻击事件的全流量日志分析功能模块，采用按照发生时间进行排序的方式，对黑客攻击行为的数据流展示及安全事件前后发生的相关其他事件进行关联分析，定位其行踪，洞察分析背后的动因意图，并及时进行安全处理。

Suricata利用外部开发的规则集来监控网络流量，并在发生可疑事件时向系统管理员发出警报。Suricata还使用“嗅探器”引擎来分析进出网络系统的流量。多线程功能允许嗅探器快速匹配更多流量规则，并将更多计算能力应用于安全流程。引擎基于多线程，充分利用多核优势。它支持多种协议，如：ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则，支持多种文件格式统计数据输出，如pcap、json、等。本系统通过自定义协议可深度解析工控协议，通过抓取工控协议的流量，同时也添加自定义工控规则来提高检测效率。通过alert唯一的SID号，可以去rules里面找到对应命中的是哪条规则：成功的把Suricata使用于工控安全方面。

3、案例实践及效果：

本项目在深入了解企业内部工控系统的工业属性以及安全需求的基础上,结合全流量数据包检测,网络威胁情报库,协议解析及数据挖掘等人工智能方法,为用户设计了全流量工控网络安全分析系统,实现数据驱动的工业互联网态势感知,检测预警,攻击溯源及数据取证,有效提升工控系统的安全实时检测,安全事件预警与防护水平。

设备经客户经验收合格，为用户的工控安全提供了很好的安全防护和监控，得到用户广泛认可。

4、案例已产生的效益：

通过该项目的实施，构建一整套行之有效的工业APP安全防护技术及应用服务体系，减少由网络攻击带来的经济损失。经济效益新增销售收入940万元，新增利润347万元，新增税收50.52万元。社会效益保障工业互联网系统安全，降低国民经济损失。对各个行业全流量分析与处理等相关安全技术、产品的研制，形成工业信息共享、组件复用、按岗定制的应用服务体系、标准化软件研发体系，并在社会应用中，创新性的解决了各个安全事件全程溯源：溯源困难，及时发现异常行为，全面感知网络态势，数据取证与责任判定，有利于保障国家工业安全，维护社会稳定。

应用案例二：

1、案例名称：

浪潮云信息技术有限公司安全设备销售项目的解决方案

2、案例介绍概述：

该项目金额为799万元，其中为用户部署了15台流量安全分析系统。通过旁路镜像采集并存储网络全部流量，通过网络协议实时解码、元数据提取，建立完整的日志、协议、数据包全字段索引，以便于快速提取多维度的网络元数据进行异常行为建模，为后续异常数据挖掘、分析、取证建立扎实的基础。系统具备长时间的原始数据存储能力，通过网络安全运维人员对原始网络流量日志进行查询检索及关联回溯分析，实现从线索挖掘到整个攻击过程的完整复盘。为安全事件的准确响应提供依据。并对用户接入的网络通讯设备进行7*24小时的捕获、存储、回溯、挖掘以及对海量网络数据的定性分析，针对重点工控协议规则数据分析、异常HTTP/HTTPS通讯分析、DNS检索、特征回查等，对可以网络交互行为及各种隐蔽、狡猾的网络窃密行为进行全方位、多维度、综合性安全分析，找出异常数据，提升威胁响应及处置效率。为客户进行相应的策略设置和运行测试。

3、案例实践及效果：

该项目实际应用后可达到全面感知网络态势，对网络全流量实施7*24小时的长期监控及分析。对网路原始通讯数据进行全流量完整保存，通过分析和挖掘帮助用户对时间进行原始数据取证；同时可对通讯数据流内容和安全事件发生过程进行再现还原，帮助用户进行责任判断。及时发现异常行为，支持全方位的网络行为异常预警，能够更准确的发现异常网络行为。并对通讯数据进行深入的智能分析。安全事件全程溯源，对原始全流量数据包进行完整保存，保全证据，并能快速回溯所有流量，就能够将当前检测到的攻击行为与历史流量进行关联，实现完整的攻击溯源和取证分析。数据取证与责任判定，对网络原始通讯数据进行全流量完整保存，通过秒级提取海量历史流量数据，还原网络安全事件发生时的全部网络通讯内容，实现数据包级的数据取证和责任判断，并对攻击事件的影响和处置效果进行长期跟踪与评估。

经验收合格，为用户的工控安全提供了很好的安全防护和监控，得到用户广泛认可。

4、案例已产生的效益：

通过该项目的实施，经济效益新增销售收入799万元，新增利润288万元，新增税收42万元。社会效益有利于保障国家工业安全，保障企业经济财产安全，维护社会稳定。项目的实施对各个行业全流量分析与处理等相关安全技术、产品的研制，形成工业信息共享、组件复用、按岗定制的应用服务体系、标准化软件研发体系，并在社会应用中，创新性的解决了各个安全事件全程溯源：溯源困难，及时发现异常行为，全面感知网络态势，数据取证与责任判定。