发布时间:2022-2-8 15:00:10
网络安全态势感知平台主要是通过提取网络安全态势分析指标体系,建立基于复杂网络行为模型和模拟的工业互联网网络安全态势分析预测体系,得出量化或定性的网络安全态势评价结果。UIPower构建的网络安全态势感知平台,主要具备以下能力。
一、资产发现与管理
工业互联网安全态势感知平台内置了丰富的资产指纹库,可通过指纹比对等方式自动识别网络中的IT和OT资产信息,并能将被监控工业企业的网络拓扑在页面上动态地呈现。
在系统数据库中支持IP自动发现、自动指纹识别、数据同步输入等功能,实现了资产流量监控、端口状态统计、协议状态统计、资产活动状态监控、资产访问行为监控等管理,并随时响应资产可能发生的变更或退出。可以识别的资产包括但不限于工业互联网平台、网络设备和系统、工业数据等;
二、检测工业网络的入侵
工控系统属于生产运行系统,现场控制层对实时性、可用性要求很高,因此需要动态信息安全保护结构。工业互联网安全态势感知平台内置工业网络入侵检测模块,对采集的数据进行入侵检测分析,及时报警。它是根据实时入侵检测感知到的系统的攻击预警和异常预警,对系统的安全态势进行评估,及时制定和实施最佳的安全策略来减轻入侵攻击的影响。
该入侵响应由安全策略决策和策略执行两部分组成。前一种方法根据检测报警、综合多方面约束和目标,制定最佳安全策略;后者对已检测的信息安全策略和可能的功能安全策略进行协调,并制定具体的实施方案。评价入侵攻击的危害程度,是制定安全策略优化策略的重要依据。对于因信息攻击而造成的损失大于对入侵响应的损失,应谨慎考虑是否需要应对措施,以免发生过激反应。
三、僵木蠕动状态感知
木马,蠕虫,僵尸网络,三者合称僵木蠕。僵木蠕动对互联网和企业内网的危害很大。网络全态势感知平台针对僵木蠕的传播特性,通过网络对传播的僵木蠕进行识别,跟踪僵木蠕虫的传播路径,最终发现命令控制服务器。利用所找到的指令控制服务器,再次反查受控主机,最终实现对僵木蠕动网络态势的感知,为僵木蠕动的后续行动创造条件。
四、工业控制系统漏洞扫描
攻击扫描主要包括传统网络漏洞扫描和工控系统漏洞扫描两种功能。该系统支持对传统网络和工业控制网络同时进行漏洞扫描。其中包括常见的HTTP服务、FTP服务、TELNET服务、邮件服务等的漏洞扫描,支持对包括Oracle、MSsql、Mysql、DB2、Sybase、达梦等,可以对弱口令检测、配置风险、帐号风险等进行检测。
特别是在石油化工、电力、交通、核工业、水利等行业的工业控制系统中,其连续、健康状况都非常重要。通过对SCADA、现场总线、数字化设计制造软件的漏洞扫描,实现了对Schneider、Siemens、VxWorks等以DCS控制器(包括PLC等)为核心的嵌入式软件漏洞扫描,具有完整的发现漏洞、评估漏洞、显示漏洞、追踪漏洞等功能。
五、安全事故的关联分析和态势评价
对安全事件进行预处理后,需要对安全事件进行全面的关联分析,充分考虑整个网络攻击的危害程度和区域安全防护能力,并可直观地将所获得的结果直观地显示出来。通常事件关联技术包括决策树、贝叶斯网络等。
但网络安全态势评估主要是对网络安全状况进行综合评价,即利用网络安全属性的历史记录,为用户提供准确的网络安全状态判断和网络安全发展趋势,使网络管理者有针对性地进行决策和防范。通过引入神经网络、模糊推理等方法,可对态势估计进行合理规则推理,以获得合理的判断结果。
六、网络安全形势预测
主动防御的关键环节是实现安全态势预警。网络安全态势感知平台利用大量的报警数据,发现黑客入侵规律,根据入侵前奏实现对入侵行为的早期预测,预测系统未来可能面临的入侵行为、黑客入侵目的和可能受到威胁的设备,即达到“分析过去,预测未来”的目的。针对这一问题,必须对入侵行为进行准确预测,采取有效的预防措施。
相关阅读:航天战场态势感知平台的功能介绍
网络安全态势感知大屏可视化决策系统
什么是网络安全态势感知系统?
网络安全态势感知可视化系统的价值