[发明专利]具有嵌入式安全应用和单向通信的数据捕获装置

说明书

一种用于使用单向通信来监控受保护网络的装置，包括发送单元，被耦接到受保护网络的一个或多个装置，用于获取与受保护网络状态有关的网络数据。该装置还包括具有窃听器的窃听单元，该窃听器被配置为经由发送单元的输入接口与输出接口之间的回路连接在发送单元内拦截所请求的数据。窃听器和回路连接被感应耦接并被配置为从发送单元到接收单元的单向通信。接收单元被耦接到窃听单元，用于接收复制的数据并将复制的数据转发到位于低安全性外部网络中的评估系统。可重新配置的应用层包括至少一个模块化应用，该至少一个模块化应用被配置为操作支持入侵检测的安全相关功能。

技术领域

本申请涉及网络安全。更具体地，本申请涉及一种具有嵌入式软件应用以支持对受保护网络和硬件的入侵检测以确保与外部入侵检测系统的单向通信的装置。

背景技术

长期以来，对专用计算机网络的网络攻击一直处于使用信息技术进行检测和保护的最前沿。现在，网络攻击者入侵工业系统，诸如支持关键基础设施的自动化和控制系统的威胁，正在受到关注。由于生产系统的垂直集成和价值链的水平集成等方面，工业控制系统(ICS)网络被通常直接或间接连接到IT网络(办公网络)和因特网，因此为网络攻击者提供了机会渗透此类环境并利用任何现有漏洞。诸如可编程逻辑控制器(PLC)、分布式控制系统(DCS)、运动控制器、监督控制和数据采集(SCADA)服务器以及人机界面(HMI)之类的OT(运营技术)系统在涉及部署安全措施方面还面临许多其它问题。

近年来，攻击方法已经发生了变化，从好奇的黑客执行的简单方法，到由积极进取的顶尖专家精心设计的高级持续威胁(APT)，有时还利用由某些国家/地区提供赞助的扩展资源。检测此类定向攻击和其它一般攻击活动需要采用安全监控技术，其中包括基于签名的入侵检测、基于行为的异常检测、端点检测和响应(EDR)等。

与企业信息技术(IT)系统中采用的用于部署网络或基于主机的安全检测机制的解决方案相比，工业系统需要使用非入侵方法来最大程度地减小系统中断的风险。除了存在大量的传统设备外，运营技术(OT)网络还与OT系统原始设计方面(诸如入侵式网络以及端口扫描和漏洞枚举工具所采用的系统配置)不支持的嵌入式系统(例如，工业物联网(IIoT))一起运行。

当前的解决方案通过将工业控制系统的网络流量转发到中心监控和入侵检测系统来为工业控制系统提供异常检测。但是，这些解决方案完全基于软件，没有基于硬件的隔离来避免监控网络和被监控网络之间的直接通信。这种基于软件的解决方案的另一个问题是无法抵抗能够操纵入侵检测系统逃避检测的复杂威胁。此外，对安全软件的任何修改可能都需要完整的硬件集删除和替换。尽管此方法在企业IT领域已得到很好的容忍，但由于生产系统的任何修改都涉及高成本和风险，因此部署在生产系统中的OT系统的管理员不愿面对此类精细检查。

发明内容

为了解决上述问题，公开了一种装置，该装置采用完全被动安全性检测，其结合了用于与远程入侵检测系统进行单向通信的硬件屏障和能够本地托管诸如入侵检测、异常检测、加密和完整性特征集、数据分析以及与远程数据分析平台的互操作性以进行更深入的评估操作之类的安全应用的一个或多个模块化应用。模块化应用(例如，每个被部署为应用容器或虚拟机(VM)的模块化应用)通过允许来自不同供应商的应用的部署，以及通过允许在需要更新或发现漏洞时快速且轻松地替换任何单个应用，从而实现了灵活性。这样的解决方案解决了以单向方式监控、捕获和分析来自关键和敏感系统的网络数据的问题，使得接收网络(例如，基于云的入侵检测系统(IDS)服务器)不能与被监控的网络交互。一个或多个主机安全性应用可用于过滤传输到一个或多个网络外高容量服务器的单向流量，以有效利用带宽并降低IDS服务成本。

附图说明

参考以下附图描述了本实施例的非限制性和非穷举性的实施例，其中，除非另外指明，否则在整个各个附图中，相同的附图标记指代相同的元件。

图1示出了根据本公开的实施例的单向数据捕获装置的示例的框图。

图2示出了根据本公开的实施例的数据捕获装置的软件堆栈的示例。