上山打老虎 发表于 2021-7-6 16:32:33

使用nDPI和ntopng监控工业IoT / Scada流量

  
简介
  目前,大多数流量监控工具都是为Internet协议设计的,因此监控工业网络流量如IoT和SCADA流量面临挑战。其中一个重要原因就是工业网络所用的协议与Internet网络协议的不同,现有的流量监控工具无法对检测工业网络中的专有协议。

工业网络流量监控的现状
  随着工业网络规模日渐增长,对工业网络流量的监控也变得加重要。工程师需要及时的了解到网络流量特征以及网络的运行情况以便及时解决网络故障。近年来,对于Internet网络的流量监控技术和工具迅速发展,然而对于工业网络流量的监控方面却少有提及。
由于现有的流量监控工具大多无法对检测工业网络中的专有协议。为此我们决定增强ntop工具,即使在工业环境中也能为我们的用户提供流量可见性。这就需要增强nDPI(深度数据包检测)以检测这些协议,并增强ntopng(我们的监控控制台),以通过提供增强的协议剖析来可视化这些流量,在此基础上可以触发警报。
接下来我们以SCADA系统为例,介绍如何使用ntopng监控SCADA系统中的流量。

SCADA系统综述
  SCADA(Supervisory Control And Data Acquisition)系统,即数据采集与监视控制系统,在电力系统中又称为远动系统,主要应用于电力系统、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。
  SCADA系统以计算机为基础实现生产过程的控制、调度、监控为一体的自动化系统,实现设备数据的采集、设备控制、测量、参数调节以及各类信号报警等各项功能,即我们所知的"四遥"功能。
  SCADA系统在电力系统以及铁道电气化中应用最为广泛,技术发展也较为成熟。SCADA系统能帮助快速的诊断系统故障,以及维护系统的运行状态。极大的提高企业生产效率,以及安全性。在诸多领域中成为不可缺少的重要工具。

IEC 60870协议
  提到SCADA系统就不得不提到IEC 60870这一重要的协议。在电气工程和电力系统自动化中,国际电工委员会(IEC)60870标准定义了用于SCADA的系统的传输协议。
IEC 60870协议是基于网络传输层可靠的TCP传输协议,主要用于控制输电电网和其他的控制系统。通过使用标准化协议,可以使来自许多不同供应商的设备进行互操作。IEC标准60870有六个部分,定义了与标准,操作条件,电气接口,性能要求和数据传输协议有关的一般信息。在SCADA系统工作过程中IEC 60870协议承道担了诸多重要的数据传输任务。

使用ntopng监控工业IoT / Scada流量
  到目前为止,nDPI支持modbus,DNP3和IEC60870协议。特别是IEC 60870协议非常重要,因为它可用于检测以下问题,如:

[*]  未知遥测地址
[*]  连接丢失和恢复
[*]  来自远程系统的数据丢失
  该标准非常复杂,如果你想使用开源软件监控这些流量来触发警报,则只能选择suricata IDS或Zeek / Malcom的自定义脚本。由于ntopng可以在特定事件发生时通过用户脚本触发警报,因此我们决定增强ntopng来分析这些流量,以便在检测到特定通信时可以发出自定义警报。

  上图显示了ntopng如何检测和报告IEC 60870,除了常规的延迟,吞吐量,重传…指标外,它还补充了可用于检测异常和触发警报的特定协议信息。

关注我们

  

  
文档来源:51CTO技术博客https://blog.51cto.com/u_14928887/2991367
页: [1]
查看完整版本: 使用nDPI和ntopng监控工业IoT / Scada流量