使用nDPI和ntopng監(jiān)控工業(yè)IoT / Scada流量

目前，大多數(shù)流量監(jiān)控工具都是為Internet協(xié)議設(shè)計的，因此監(jiān)控工業(yè)網(wǎng)絡(luò)流量如IoT和SCADA流量面臨挑戰(zhàn)。其中一個重要原因就是工業(yè)網(wǎng)絡(luò)所用的協(xié)議與Internet網(wǎng)絡(luò)協(xié)議的不同，現(xiàn)有的流量監(jiān)控工具無法對檢測工業(yè)網(wǎng)絡(luò)中的專有協(xié)議。

工業(yè)網(wǎng)絡(luò)流量監(jiān)控的現(xiàn)狀

接下來我們以SCADA系統(tǒng)為例，介紹如何使用ntopng監(jiān)控SCANDA系統(tǒng)中的流量。

SCADA系統(tǒng)綜述

SCADA(Supervisory Control And Data Acquisition)系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，在電力系統(tǒng)中又稱為遠動系統(tǒng)，主要應(yīng)用于電力系統(tǒng)、冶金、石油、化工、燃氣、鐵路等領(lǐng)域的數(shù)據(jù)采集與監(jiān)視控制以及過程控制等諸多領(lǐng)域。

SCADA系統(tǒng)以計算機為基礎(chǔ)實現(xiàn)生產(chǎn)過程的控制、調(diào)度、監(jiān)控為一體的自動化系統(tǒng)，實現(xiàn)設(shè)備數(shù)據(jù)的采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報警等各項功能,即我們所知的"四遙"功能。

SCADA系統(tǒng)在電力系統(tǒng)以及鐵道電氣化中應(yīng)用最為廣泛，技術(shù)發(fā)展也較為成熟。SCADA系統(tǒng)能幫助快速的診斷系統(tǒng)故障，以及維護系統(tǒng)的運行狀態(tài)。極大的提高企業(yè)生產(chǎn)效率，以及安全性。在諸多領(lǐng)域中成為不可缺少的重要工具。

IEC 60870協(xié)議

IEC 60870協(xié)議是基于網(wǎng)絡(luò)傳輸層可靠的TCP傳輸協(xié)議，主要用于控制輸電電網(wǎng)和其他的控制系統(tǒng)。通過使用標(biāo)準(zhǔn)化協(xié)議，可以使來自許多不同供應(yīng)商的設(shè)備進行互操作。IEC標(biāo)準(zhǔn)60870有六個部分，定義了與標(biāo)準(zhǔn)，操作條件，電氣接口，性能要求和數(shù)據(jù)傳輸協(xié)議有關(guān)的一般信息。在SCADA系統(tǒng)工作過程中IEC 60870協(xié)議承擔(dān)了諸多重要的數(shù)據(jù)傳輸任務(wù)。

使用ntopng監(jiān)控工業(yè)IoT / Scada流量

到目前為止，nDPI支持modbus，DNP3和IEC60870協(xié)議。特別是IEC 60870協(xié)議非常重要，因為它可用于檢測以下問題，如：

• 未知遙測地址

• 連接丟失和恢復(fù)

• 來自遠程系統(tǒng)的數(shù)據(jù)丟失

該標(biāo)準(zhǔn)非常復(fù)雜，如果你想使用開源軟件監(jiān)控這些流量來觸發(fā)警報，則只能選擇suricata IDS或Zeek / Malcom的自定義腳本。由于ntopng可以在特定事件發(fā)生時通過用戶腳本觸發(fā)警報，因此我們決定增強ntopng來分析這些流量，以便在檢測到特定通信時可以發(fā)出自定義警報。

上圖顯示了ntopng如何檢測和報告IEC 60870，除了常規(guī)的延遲，吞吐量，重傳…指標(biāo)外，它還補充了可用于檢測異常和觸發(fā)警報的特定協(xié)議信息。