工业协议深度解析方案-伏羲引擎

admin 2020年12月10日08:00:50评论290 views字数 2425阅读8分5秒阅读模式

工业协议深度解析方案-伏羲引擎

引  言


与IT网络不同,工控网络有着专用的信息交换机制和自动化生产控制设备。要对工控网络进行安全防护,将有很大概率需要对其中的工业控制通信协议进行识别和解析,这样才能了解到数据流量中包含的各种操作指令和收发双方,从而对异常报文和违反业务逻辑操作进行处理,以达到保护或者审计的目的。

除了通用的各类工业控制系统网络通信协议(如OPC,Modbus,IEC104等)和自动化厂家自己定义的私有控制协议(如S7、Profinet等)之外,还有特殊行业(核电、军工等)专用的通信协议;出于对安全性和私密性的要求,私有协议没有公开的资料支持,专有协议则不允许暴露任何细节。那么面对这么多的协议类型和使用场景,应该如何接招?


客户场景与问题




私有协议隔离


部分用户使用私有工业控制系统协议,不允许暴露协议特征细节。这对于安全厂商的产品适配工作提出相当大的挑战,无论是培训客户人员或者是进驻客户现场开发都需要相当大的成本,且不论还需要附加各种保密协议等冗杂工作,这对于双方都是一种折磨。



新协议适配慢


从0分析适配新协议耗时长,工作量大,如果遇上排期紧张的情况,势必会对适配的质量和时间造成影响。在开发完成后一般还需要调试和验证,再加上双方联调除错需要的时间成本,这些因素都会使得项目交付承受压力。



业务逻辑固化


完成协议适配后,还需要对配套的业务逻辑进行梳理,将告警规则、危险性定义、日志分类等等相关周边配套模块进行配置。以往都是和用户不断沟通需求,双向同步后确保理解无误再将规则作为定制版本固化,这种方式无法单方面微调,非常死板。


威努特化解之法





独创利器-IPDL

工业协议深度解析方案-伏羲引擎


IPDL, ICS Protocol Description Language(工业协议描述语言)

IPDL中的各项协议特征定义是由标签树组织的,从最顶层的<IPDL>到最末梢的赋值参数都无一例外使用标签来描述。

这样设计有几大好处:
1.可阅读性高,方便开发人员维护;
2.内容与结构分离,无需关注处理过程和接口定义;
3.兼容性好,规范统一跨平台成本低廉;
4.可扩展性强,可以基于现有规则拓展新标签。

威努特通过将工业协议的签名、指纹、偏移量等各种特征抽象提炼成为各种标准化的语义标签,只要对照协议进行“填空”即可快速适配新的工业控制协议,大大简化新协议扩展过程。无论是由威努特开发还是协助客户自行适配维护都可以明显提高适配效率,还可以解决后续维护调试等一系列问题,实属一举多得之利器。




伏羲引擎,一步到位


工业协议深度解析方案-伏羲引擎



工业协议深度解析并不只是一个功能模块或者能力,而是一整套的解决方案,主要包括:

解析引擎(协议解码+配套规则+流量匹配)+配套知识库+底层能力互通平台


开发人员通过对应的知识库来定义协议特征描述文件,通过文件读取的方式来调用解析引擎的能力:其中协议解码模块首先对数据报文进行解包处理,将解码数据传递给数据转换模块,转换模块会给出上报所需格式数据(日志、告警、学习)以及匹配引擎所需格式数据,最后流量匹配引擎通过读取配套的解析规则来实现流量白名单和自定义告警能力,至此解析引擎处理完成。

如同伏羲师蛛网而造渔网,我们希望通过伏羲引擎来提供一种通用化的手段来解决所有新协议适配的问题,而不是研究“只抓某一条鱼”。对外我们可以只暴露协议的描述规则,而背后的一系列的解码方式、业务规则、版本管理等或细节或琐碎的工作都统统被隐藏,甚至还可以直接在产品间横向移植(目前已支持工业防火墙和监测审计产品),做到:复杂问题简单化,简单问题标准化,标准能力方案化。


客户案例与效果




某电力系统工程公司-监测审计平台


项目背景

客户为某电站交付工业控制系统安全解决方案,设备上线配置完成后测试发现,在触发一些组态变更和PLC下装等敏感操作时监测审计平台展示的告警信息有部分缺失。经过简单排查和沟通,得知用户使用了某种专用的私有工控协议,不仅在市面上没有任何相关信息,而且我们也无法拿到协议特征等细节。鉴于这部分业务确实比较重要,客户要求在一个月内适配这种协议的识别和深度解析。

实施方案

通过与客户沟通,大致了解了协议的复杂程度,评估结论认为工作量整体可控。我们决定将引擎接口和使用手册同步给客户,由客户自行开发协议扩展支持包,我们全程提供技术支持和指导。

最终效果

达成共识后,我们将引擎的基本原理和完整知识库全部同步给最终用户,经过一周左右的培训,我们开始指导用户侧研发团队着手协议适配工作。面对在适配中后期遇到的技术难点,我们与对端工程师共同联调分析,对测试现象问题逐个排查。最终,解决了所有疑难问题,在客户要求的时间点完成了新协议适配工作,通过了实机测试验收,而且后续与此协议相关的新需求都由用户自行开发维护,各方对效果都比较满意。
工业协议深度解析方案-伏羲引擎
威努特简介
工业协议深度解析方案-伏羲引擎

北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了5大类30款全系列网络安全专用产品,拥有64项发明专利、64项软件著作权、70项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、全国两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!

工业协议深度解析方案-伏羲引擎

工业协议深度解析方案-伏羲引擎
工业协议深度解析方案-伏羲引擎
工业协议深度解析方案-伏羲引擎
工业协议深度解析方案-伏羲引擎
工业协议深度解析方案-伏羲引擎
渠道合作咨询   张先生 18201311186
稿件合作   微信:shushu12121

本文始发于微信公众号(威努特工控安全):工业协议深度解析方案-伏羲引擎

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月10日08:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   工业协议深度解析方案-伏羲引擎https://cn-sec.com/archives/198955.html

发表评论

匿名网友 填写信息