目前,大多數流量監控工具都是為Internet協議設計的,因此監控工業網絡流量如IoT和SCADA流量面臨挑戰。其中一個重要原因就是工業網絡所用的協議與Internet網絡協議的不同,現有的流量監控工具無法對檢測工業網絡中的專有協議。
工業網絡流量監控的現狀
隨著工業網絡規模日漸增長,對工業網絡流量的監控也變得加重要。工程師需要及時的了解到網絡流量特征以及網絡的運行情況以便及時解決網絡故障。近年來,對于Internet網絡的流量監控技術和工具迅速發展,然而對于工業網絡流量的監控方面卻少有提及。 由于現有的流量監控工具大多無法對檢測工業網絡中的專有協議。為此我們決定增強ntop工具,即使在工業環境中也能為我們的用戶提供流量可見性。這就需要增強nDPI(深度數據包檢測)以檢測這些協議,并增強ntopng(我們的監控控制臺),以通過提供增強的協議剖析來可視化這些流量,在此基礎上可以觸發警報。接下來我們以SCADA系統為例,介紹如何使用ntopng監控SCANDA系統中的流量。
SCADA系統綜述
SCADA(Supervisory Control And Data Acquisition)系統,即數據采集與監視控制系統,在電力系統中又稱為遠動系統,主要應用于電力系統、冶金、石油、化工、燃氣、鐵路等領域的數據采集與監視控制以及過程控制等諸多領域。
SCADA系統以計算機為基礎實現生產過程的控制、調度、監控為一體的自動化系統,實現設備數據的采集、設備控制、測量、參數調節以及各類信號報警等各項功能,即我們所知的"四遙"功能。
SCADA系統在電力系統以及鐵道電氣化中應用最為廣泛,技術發展也較為成熟。SCADA系統能幫助快速的診斷系統故障,以及維護系統的運行狀態。極大的提高企業生產效率,以及安全性。在諸多領域中成為不可缺少的重要工具。
IEC 60870協議
提到SCADA系統就不得不提到IEC 60870這一重要的協議。在電氣工程和電力系統自動化中,國際電工委員會(IEC)60870標準定義了用于SCADA的系統的傳輸協議。IEC 60870協議是基于網絡傳輸層可靠的TCP傳輸協議,主要用于控制輸電電網和其他的控制系統。通過使用標準化協議,可以使來自許多不同供應商的設備進行互操作。IEC標準60870有六個部分,定義了與標準,操作條件,電氣接口,性能要求和數據傳輸協議有關的一般信息。在SCADA系統工作過程中IEC 60870協議承擔了諸多重要的數據傳輸任務。
使用ntopng監控工業IoT / Scada流量
到目前為止,nDPI支持modbus,DNP3和IEC60870協議。特別是IEC 60870協議非常重要,因為它可用于檢測以下問題,如:
-
未知遙測地址
-
連接丟失和恢復
- 來自遠程系統的數據丟失
該標準非常復雜,如果你想使用開源軟件監控這些流量來觸發警報,則只能選擇suricata IDS或Zeek / Malcom的自定義腳本。由于ntopng可以在特定事件發生時通過用戶腳本觸發警報,因此我們決定增強ntopng來分析這些流量,以便在檢測到特定通信時可以發出自定義警報。
上圖顯示了ntopng如何檢測和報告IEC 60870,除了常規的延遲,吞吐量,重傳…指標外,它還補充了可用于檢測異常和觸發警報的特定協議信息。
-
監控系統
+關注
關注
21文章
3911瀏覽量
174565 -
網絡
+關注
關注
14文章
7560瀏覽量
88748
發布評論請先 登錄
相關推薦
評論