【公益译文】关键基础设施系统攻击的检测、关联与呈现

由于需要运营复杂的物理信息系统,能源部门对于数据采集与监控系统(SCADA)之类的数字工控系统(ICS)越来越依赖。美国斯坦福国际研究中心(SRI)发布报告,介绍了DATES(能源部门威胁检测与分析)项目的部分研究成果,针对工业控制系统,我们修改、开发了几种入侵检测技术,并将整套检测技术集成并连接至ArcSight 的商业安全事件关联框架。

IEEE Xplore是什么

IEEE Xplore是 一个学术文献数据库,主要提供计算机科学、电机工程学和电子学等相关领域文献的索引、摘要以及全文下载服务。 它基本覆盖了电气电子工程师学会( IEEE )和工程技术学会(IET)的文献资料,收录了超过2百万份文献。

DATES研究重点关注网络遍历攻击的检测、关联与呈现

报告在两个相连的试验台环境论证了检测与关联方案的效用,重点关注的是对于网络遍历攻击的检测、关联与呈现。网络遍历攻击中,攻击者可连续穿透各网络层,侵入直接控制下层流程的关键资产。控制系统若是典型的分层架构,尤其需要关注这种攻击。

试验台架构概览

SRI是做什么的

斯坦福国际研究中心是美国一个独立的非营利性研究机构,总部设在美国加州门罗公园市。斯坦福大学的委托人于 1946 年成立创新中心,为政府、商业机构等提供服务,以支持在该地区的经济发展。

据其官方资料显示,

SRI善于识别新的机遇,围绕广泛的学科,从研发部门、 实验室到工作组,提供开发产品和自定义解决方案的能力。我们的团队是致力于解决重要的、 困难的挑战,并将客户及合作伙伴的想法转化为现实。

数控系统对于电力、油气、水处理及制造行业的各种工业流程的安全、高效运行起着至关重要的作用。现代控制系统不仅要与其他控制系统连接,还会与企业系统连接,这种现象越来越常见。此外,这些系统还越来越多地采用传统企业系统中的组网技术以及系统与应用软件。这种趋势下,控制系统容易受到网络攻击,或会影响物理过程,导致环境危害或损伤。

因为要运行复杂的信息物理系统,能源部门对于数据采集与监控系统(SCADA)之类的数字工控系统(ICS)越来越依赖。老旧控制系统独立运行,使用私有协议,因为难以被外界理解而实现了一定程度的安全。现代系统则越来越频繁地使用开放标准(如互联网协议),彼此互联。虽然这会使运营更为安全,成本效益也更高,然而,人们却担心系统本身易于遭受网络攻击,这些攻击长期以来威胁着企业系统的安全。就控制系统而言,人们更担心的是,攻击一旦成功,不仅会导致经济损失,更可能对环境与安全带来影响。

DATES项目使用贝叶斯统计方法及基于学习的异常检测方法

DATES 项目开发了一种分布式的多算法入侵检测能力,适用于能源基础设施广泛使用的数控系统。这种检测能力使用了贝叶斯统计方法与基于学习的异常检测方法,将传统的特征检测法集成于新型部件中。据观察,这些部件对于控制系统环境颇为有效,因为这些环境中的流量有规律,协议数量也有限。我们将检测能力集成至ArcSight 的业界领先的安全信息事件管理系统(SIEM)中,形成了整体监控方案,对边界防护进行补充,并针对各种控制系统攻击,为ICS 安全操作员提供了更高水平的态势感知能力。

本文以网络遍历攻击为例介绍了该综合系统。基础设施系统因为使用的是分层架构,尤其要关注这种攻击。典型的控制系统通过非军事区(DMZ)与其他网络分段架构将公共与企业网络隔离开来。网络间需进行受控连接以满足运营需求。因此,连续渗透网络各层的攻击利用了网络间的信任关系,从公共网络为攻击者提供了遍历路径,使其长驱直入各种高优先级现场设备。

遍历机制

为定义网络遍历攻击,我们假设每个主机H 有一个重要性分值,用criticality(H) 表示,评分基于主机的功能或所管理数据的重要性。模拟网络遍历攻击时,我们将其描述为如H1 → H2 →……→ Hk 这种顺序的网络连接,Hi 代表主机,criticality(Hi–1) ≤ criticality(Hi),其中,i ∈ {2, ……, k}。再假设每个Hi–1 → Hi连接对应违反安全策略(如网络访问策略)的一个或多个事件。
网络遍历攻击与踏脚石攻击类似,但是在动机上不同。在踏脚石攻击中,攻击者使用多个中间主机,使攻击源难以辨识。在网络遍历攻击中,攻击者利用主机间的信任关系攻击其无法直接访问的高价值目标主机。

ArcSight中网络遍历攻击呈现

ArcSight是做什么的

HP ArcSight 是一家网络安全公司,成立于 2000 年,主要提供大数据安全分析和情报软件提供安全信息和事件管理 (SIEM) 和日志管理解决方案。ArcSight 被旨在帮助客户确定和优先考虑的安全威胁、 组织和跟踪事件响应活动和简化审计和法规遵从性活动。 它在 2010 年成为惠普公司的子公司。2013 年 5 月 Gartner 模拟象限SIEM象限中,ArcSight 位于领导者象限。HP ArcSight 总部位于美国加利福尼亚州桑尼维尔,在其他国家设有销售办事处。

ArcSight相关解决方案请参考:

http://www8.hp.com/cn/zh/software-solutions/arcsight-esm-enterprise-security-management/index.html

《关键基础设施系统攻击的检测、关联与呈现》目录

摘要······························································································ 1
1.0 概述························································································· 2
2.0 系统架构··················································································· 3
3.0 试验台······················································································ 6
4.0 攻击场景··················································································· 7
5.0 通过关联确认网络遍历攻击 ····················································· 8
6.0 呈现························································································11
7.0 相关工作················································································· 12
8.0 结论······················································································· 13
参考文献······················································································ 14

关键基础设施系统攻击检测、关联与呈现》文档信息

  • 原文名称:Detection, Correlation, and Visualization of Attacks Against Critical Infrastructure Systems
  • 译者及校对者:小蜜蜂公益翻译组

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

更多内容,请下载附件:

detection_correlation_visualization_attacks_against_critical_infrastructure_systems

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

发表评论