实时且独立的网络攻击监控和自动网络攻击响应系统的制作方法

1.本发明的各方面一般涉及实时且独立的网络攻击监控和自动网络攻击响应系统。


背景技术：

2.对生产工厂和运营技术设施的网络攻击，每年给客户和经济造成数十亿美元的损失，并且攻击的次数和由此产生的成本每年都在增加。预计到2021年，与网络犯罪相关的损失每年将达到6万亿美元，因为对网络安全风险的关注日益增加。网络攻击不断上升，使任务和生命面临危险。现在比以往更重要的是积极主动地保护政府设施和工业场所。
3.全球约有230000台计算机受到了比特币勒索病毒的攻击。勒索软件传播到150个国家的计算机系统。在一个特定实例中，具有25个自动化控制器的站点需要超过2000个工作小时来消除和修复设施中的所有it和ot计算机系统。
4.通常，对网络攻击的响应是防病毒、端点控制和监控工具加上手动交互的组合。这些解决方案的问题在于，没有一个单独地完全解决或提供对网络攻击的足够响应，加上它们总是连接到攻击恶意软件所在的网络，从而使它们易受恶意软件重复尝试以使它们失效。一些客户已经使用这些产品的组合以试图提供足够的响应。然而，当涉及设施的运营技术(制造)区域时，该空间中的许多部件都不支持防病毒或端点解决方案，如果它们与整个设施联网或向云环境提供数据，则这些空间对于攻击是开放的。监控解决方案需要手动响应工作，该手动响应工作缓慢并且通常太迟而导致运营技术设备受到感染。严重的攻击可能花费数百万美元来恢复。
5.因此，需要用于监控和处理网络攻击的改进的方法和系统。


技术实现要素：

6.简而言之，本发明的各方面涉及用于网络攻击下的设施的独立监控、高速通知和响应解决方案。在网络攻击的第一指示处，该解决方案自动通知设施该攻击的设施，并且自动地或允许手动命令采取措施，以隔离设施的运营技术空间，从而防止生产中断。该解决方案使用工业标准可编程逻辑控制器通过标准网络监控协议(如syslog)或通过来自商业上可获得的防病毒解决方案、端点管理解决方案、下一代防火墙和入侵预防/检测系统等的数字控制信号接收网络攻击的通知，并且一旦接收到通知，它就生成攻击的站点通知，自动隔离设施网络的预定网络部分以防止攻击的传播，并且执行基于规则的自动化序列以控制应急设备(例如备用发电机)，以确保设施安全或继续运行。一旦设施网络被分割，就可以分析各个分段以查看它们是否已经受到影响并根据关键优先级恢复服务。该解决方案的优点在于它提供自动响应，它将操作区域与恶意软件隔离，并且它防止恶意软件的传播。该解决方案影响全球生产设施中使用的自动化产品、网络产品和下一代防火墙产品。
7.根据本发明的一个说明性实施例，网络安全系统包括响应于网络攻击事件生成网络攻击信号的网络监控逻辑。网络安全系统还包括自动分段控制器，用于响应网络攻击信号生成多个分段电压信号或多个分段消息。所述网络安全系统还包括多个防火墙，被配置
为根据所述多个分段电压信号或所述多个分段消息的输入电压信号电平来调用防火墙规则集，以在多个站点网络分段中对站点网络进行分段，并且响应于所述网络攻击事件来控制一个或多个物理装置。
附图说明
8.图1示出了根据本发明的示例性实施例的实时且独立的网络攻击监控和自动网络攻击响应系统的框图。
9.图2示出了根据本发明的示例性实施例的网络安全自动网络分段。
10.图3示出了根据本发明的示例性实施例的用于运营技术(ot)系统的快速自动网络响应系统。
11.图4示出了根据本发明的示例性实施例的架构选项。
12.图5-8示出了根据本发明的示例性实施例的架构选项网络。
13.图9示出了根据本发明的示例性实施例的操作要求。
14.图10示出了根据本发明的示例性实施例的示出检测网络攻击的用户界面。
具体实施方式
15.为了便于理解本发明的实施例、原理和特征，在下文中参考示意性实施例中的实施方案来解释它们。特别地，它们是在实时且独立的网络攻击监控和自动网络攻击响应系统的上下文中描述的。然而，本发明的实施例不限于在所描述的装置或方法中使用。
16.下文中描述为构成各种实施例的部件和材料旨在是说明性的而非限制性的。将执行与本文所述的材料相同或相似功能的许多合适的部件和材料旨在包括在本发明的实施例的范围内。
17.下面参考图1至图10描述根据本发明的实时且独立的网络攻击监控和自动网络攻击响应系统的这些和其它实施例。在附图中使用的相同的附图标记在几个视图中表示相似或相同的元件。附图不必按比例绘制。
18.网络攻击很像疾病。为了控制它，必须尽可能快地停止它的传播。在网络环境中，阻止疾病传播的方法是将网络分成功能段，使得每个段可以被单独地修复，并且未被感染的那些段可以继续运行。现实世界数据已经表明，网络可以被分割得越快，对停工时间的影响就越小，从而降低了成本，这为网络保护解决方案提供了更高的投资回报率(roi)。
19.工业故障安全或安全系统是广泛使用的概念，其中独立的单独系统用于监督和保护以实现设备和生命安全。这种自动的高速网络分段解决方案非常类似于工业安全系统。当被例如恶意软件检测、入侵检测或依赖于应用的其它事件的网络事件激活时，网络安全系统将自动分割设施网络功能段(网络安全模式)。其好处是通过在网络分段中包含恶意软件来阻止网络攻击的传播，这将简化扫描和修复的缓解过程。
20.网络安全系统是与它所保护的网络隔离的单独的独立系统，这意味着它不太可能受到网络攻击的影响，并且它使用数字硬接线电压信号(优选的)或安全网络消息来分割网络。如果网络攻击检测解决方案提供一个或者网络安全控制器可以接收单个安全网络消息(通过集成在网络安全系统中的防火墙)，例如系统日志消息，并且调用自动分段过程，则触发分段的网络安全事件可以通过数字输入(与网络流量完全隔离)来完成。
21.根据本发明的一个实施例，图1表示网络安全系统105的框图，该系统是根据本发明的示例性实施例的实时且独立的网络攻击监控和自动网络攻击响应系统。网络安全系统105包括网络监控逻辑107，用于响应网络攻击事件112生成网络攻击信号110。网络安全系统105还包括自动分段控制器115(例如可编程逻辑控制器(plc))，以响应于网络攻击信号110生成多个分段电压信号117(1-n)或多个分段消息。网络安全系统105还包括多个防火墙120(1-n)，其被配置为根据多个分段电压信号117(1-n)或多个分段消息的输入电压信号电平125来调用防火墙规则集122，以在多个站点网络分段130(1-n)中分割站点网络127，并响应于网络攻击事件112来控制一个或多个物理装置132。网络攻击事件112通过完全与网络流量隔离的数字输入触发分段。网络安全系统105使用数字输出激活网络安全装置中的防火墙规则集122。网络安全系统105在通知之后提供对网络攻击的次秒响应。
22.网络安全系统105是与它所保护的站点网络127隔离的单独的独立系统。网络安全系统105独立于站点网络127运行。网络安全系统105使用数字硬接线电压信号135作为多个分段电压信号117(1-n)来分割站点网络127以及网络或分段消息137。自动分段控制器115通过集成在网络安全系统105中的防火墙120(1)接收单个网络消息137(1)，以调用自动分段过程140。
23.网络安全系统105与站点信息技术(it)网络142(1)隔离以防止被攻击。网络安全系统105使用到防火墙或功率继电器的数字输出来隔离运营技术(ot)网络142(2)分段。网络安全系统105隔离多个站点网络分段130(1-n)以阻止恶意软件的传播并防止入侵者访问。
24.网络安全系统105自动激活应急备用设备145。网络安全系统105提供手动紧急按钮147激活能力。
25.网络安全系统105允许未受影响的工作单元150(1)和设备组150(2)继续运行。网络安全系统105以优先级顺序155通过修复较小的隔离设备组来简化修复过程152。网络安全系统105在修复过程152期间防止再污染。网络安全系统105允许首先处理最关键的分类修复。
26.网络安全系统105提供基于规则的处理157以确定包含警报或分段的响应动作。网络安全系统105执行应急响应动作，例如激活备用电源。网络安全系统105产生站点报警160，并且可以在协同攻击的情况下与其它站点交互。网络安全系统105基于来自威胁检测装置的威胁等级激活保护。
27.参考图2，其示出了根据本发明的示例性实施例的网络安全自动网络分段。设施205可以通过执行网络监控的网络监控系统的下一代防火墙212连接到互联网或设施网络207。当由诸如恶意软件检测、入侵检测或依赖于应用的其它事件的网络事件被激活时，网络监控系统212向网络安全自动分段控制器217发送网络攻击信号或消息215。网络安全自动分段控制器217向多个安全防火墙222(1-3)提供多个分段电压信号220(1-3)。防火墙根据输入电压信号电平调用防火墙规则集以在站点网络分段225(1-4)中分割站点网络225。电压信号还可以调用设施设备的控制动作以促进对网络攻击的响应，例如启动备用电源或物理保护装置。另外，如果设施的网络分段防火墙不支持硬接线数字信号，网络安全自动分段控制器217可以通过安全隔离向分段装置发送分段消息。隔离消息218可以在分段#4 225(4)中分割站点网络。通知消息219可以提供站点通知解决方案。控制电压信号226可以向站
点应急设备提供输入。
28.网络监控系统212可以包含人机界面(hmi)210。当接收到网络威胁时，人机界面(hmi)210提供网络攻击的通知。
29.网络监控系统212在通知网络攻击之后提供对网络攻击的次秒响应。它与现有控制器和设备安全地交互并且跨站点的能力允许在隔离网络分段以阻止恶意软件的传播并防止入侵者访问时警告协同攻击。利用网络监控系统212，工作单元和设备组能够继续运行，同时防止修复期间的再污染。网络监控系统212通过允许按管理要求对系统进行优先级排序的修复过程来简化修复过程。
30.网络安全系统212可以将运营技术(ot)空间置于安全状态、隔离或隔绝，在来自下一代防火墙、端点解决方案等提供的先进的网络威胁检测技术的网络攻击的可信通知。这些技术提供机器学习、人工智能、入侵检测、入侵预防和恶意软件检测，以通知可信的网络攻击的网络安全系统212解决方案。网络安全系统212然后启动基于规则的设备管理序列以保护该设备。然后可以对优先化的设备组进行快速评估和修复，而没有污染的风险。网络安全系统212将响应于网络攻击启动应急措施，从而设施205能够准备最坏的情况。
31.网络安全系统212自动化技术在几毫秒内响应。网络安全系统212独立于站点网络225运行。当接收到网络攻击通知时，网络安全系统212执行策略上预定的自动动作序列。
32.网络安全系统212通过灯、警笛、电子邮件和文本消息提供网络攻击的通知。网络安全系统212可以由安全员手动激活。网络安全系统212自动激活应急备用设备。网络安全系统212提供“紧急按钮”激活能力。网络安全系统212与现代技术(例如ai和机器学习)一起工作。网络安全系统212与过时的技术(例如以太网集线器)一起工作。恢复可以是一次一个分段或“恢复全部”功能。网络安全系统212与站点it网络隔离以防止被攻击。网络安全系统212使用ot人员理解的技术。网络安全系统212具有工业解决方案的所有益处(速度、可靠性、确定性、可用性、安全性等)。
33.网络安全系统212使用基于规则的处理基于每个设施的要求来确定响应动作。在检测到网络攻击之后，网络安全系统212使用运营技术来激活使用数字输出的安全装置中的防火墙规则集，或者可以通过控制到网络装置的功率来管理传统网络。网络安全系统212然后可以执行应急响应动作以准备设施防御、继续操作和修复。使用网络安全系统212人机界面210上的管理员权限可配置所有响应。在协同攻击的情况下，网络安全系统212具有使用适当的通信技术与其他站点交互的能力，以确保基于广泛的安全性和保护。
34.现在转到图3，其示出了根据本发明的示例性实施例的用于运营技术(ot)系统的快速自动网络响应系统305。图3描述了使用来自不同供应商的下一代防火墙来增加威胁检测的概率的高级架构。来自每个的威胁检测通过分开、独立的安全防火墙传递到威胁处理引擎。威胁处理由容错cpu(可编程逻辑控制器)执行。容错威胁处理引擎通过冗余隔离环与自动化现场装置通信，该自动化现场装置生成数字信号以隔离可信威胁上的网络分段。注意，除了隔离生产单元操作设备组之外，还提供了保护诸如it类型设备(本示例中的服务器)的装置的能力。在一个实施例中，可以响应于网络威胁由威胁检测处理器自动控制应急设备组。
35.站点307连接到互联网310，使得站点307包含it区域312(1)和ot区域312(2)。it区域312(1)包含it网络115(1)，并且ot区域312(2)包含ot网络115(2)。it网络115(1)包含第
一it防火墙保护装置117(1)和第二it防火墙保护装置117(2)，二者都分别存储下一代防火墙。这些不同的下一代防火墙被配置用于检测恶意软件或入侵。
36.第二it防火墙保护装置117(2)连接到第一自动化装置120(1)，第一自动化装置120(1)将网络威胁耦合到隔离威胁控制环网络122。it网络115(1)包含第一隔离装置125(1)和第二隔离装置125(2)，二者都分别存储独立的防火墙。第一隔离装置125(1)中的独立防火墙接收可信网络事件并通过安全加密消息通知网络响应系统305。第二隔离装置125(2)中的独立防火墙通过第二组安全加密消息向快速自动网络响应系统305的冗余cpu提供用于网络事件的冗余接口。第三隔离装置125(3)连接到虚拟服务器以将它们与网络威胁隔离。
37.第二自动化现场装置120(2)允许通过隔离的威胁控制环网络122隔离it网络115(1)。一个或多个办公pc130(1-3)可以连接到it网络115(1)。可以在it网络115(1)中提供安全日志分析器132，并且其可以用于在传送到网络响应系统305之前预处理威胁消息。第四隔离装置125(4)和第三自动化装置120(3)提供ot区域312(2)的隔离。在ot网络115(2)中，第五隔离装置125(5)和第四自动化装置120(4)提供第一设备组135(1)的隔离，并且第六隔离装置125(6)和第五自动化装置120(5)提供第二设备组135(x)的隔离。在ot网络115(2)中，第六自动化装置120(6)提供对隔离应急设备140的控制。
38.在隔离威胁控制环网络122中，第一和第二冗余cpu145(1-2)提供容错威胁处理引擎147。第一冗余cpu145(1)用作自动分段控制器115(例如，可编程逻辑控制器(plc))。参考图1，容错威胁处理引擎147响应于网络攻击信号110生成多个分段电压信号117(1-n)。多个防火墙120(1-n)根据多个分段电压信号117(1-n)的输入电压信号电平125调用防火墙规则集122，以分割多个站点网络分段130(1-n)中的站点网络127，并且响应于网络攻击事件112控制一个或多个物理装置132。来自每个的威胁检测通过分开、独立的安全防火墙传递到容错威胁处理引擎147。威胁处理由容错cpu(可编程逻辑控制器)145(1-2)执行。容错威胁处理引擎147通过冗余隔离环与自动化现场装置通信，该自动化现场装置生成数字信号以隔离可信威胁上的网络分段。
39.快速自动网络空间响应系统305可以在网络攻击的可信通知上将运营技术(ot)空间置于安全状态。快速自动网络响应系统305使用连续的高级网络威胁检测技术(来自高级检测装置或软件(例如下一代防火墙或端点保护软件)的机器学习、入侵检测、入侵预防等)来检测对ot环境的可信威胁，然后启动基于规则的ot设备管理序列以保护ot空间中的设备。然后可以对单个设备组进行快速评估和修复，而没有再污染的风险。
40.快速自动网络响应系统305使用自动化技术来提供快速响应时间，并且它独立于站点网络运行，同时与攻击隔离。快速自动网络响应系统305的四种配置是可能的，包含如图3所示的高可用性配置。快速自动网络响应系统305接收网络攻击通知：来自下一代防火墙、来自日志监控和分析工具、来自plc数字输入、来自隔离的日志消息或其他消息(如端点保护软件)和来自手动输入。快速自动网络响应系统305采取自动或手动措施。
41.图4示出了根据本发明的示例性实施例的架构选项405(1-4)。架构选项405(1-4)包含基本架构选项405(1)，其中ot空间在50ms响应时间(估计值)内与可信威胁隔离。架构选项405(1-4)包含标准架构选项405(2)，其中ot空间和设备在25ms响应时间(估计值)内与可信威胁隔离。架构选项405(1-4)包含高性能架构选项405(3)，其中ot空间和设备在5ms响
应时间(估计值)内与可信威胁隔离。架构选项405(1-4)包含高可用性架构选项405(4)，其中ot空间和设备在35ms响应时间(估计值)内与可信威胁隔离。
42.如图5-8所示，它们示出了根据本发明的示例性实施例的架构选项网络505(1-4)。图5是一种用于在具有少量网络和装置或设备组的小型简单架构上使用的基本解决方案。使用较小的威胁检测处理器导致较慢的响应时间。图6是在使用多个网络和装置以及设备组的应用上使用的标准解决方案。使用具有中等处理能力的威胁检测处理器导致与基本解决方案相比更快的响应时间。图7是当需要最大性能时使用的较高性能解决方案。使用具有极高处理能力的威胁检测处理器导致最快的响应时间。图8是当威胁检测系统的零停机时间可被容忍时使用的高可用性(冗余)解决方案。虽然威胁检测处理器是高性能的，但是冗余处理器之间的逻辑处理结果的同步产生较慢的响应时间。
43.如图9所示，其示出了根据本发明的示例性实施例的操作要求。操作要求包含可靠的攻击检测机制、设备分组和网络拓扑。可靠的攻击检测机制包含下一代防火墙技术，包含内联深度数据包检查、机器学习能力、入侵检测和入侵预防。可靠的攻击检测机制还包含具有消息传送和可选的消息传送服务器的端点装置保护。设备分组包含单个机器、相关机器分组(需要交互性的机器)和应急设备分组。网络拓扑包含it和ot网络层的分离、定义的接口网络部件(即it与ot之间的下一代防火墙)、为每个机器或机器组定义的网络接口部件以及与应急设备的定义的连接性。
44.在图10中，其示出了根据本发明的示例性实施例的用户界面1005，以显示对网络攻击的检测。用户界面1005是自动化系统的人机界面(hmi)。它包含用于手动激活的按钮1007。它还包含声音警报1010。它示出了最后的关键(高优先级)威胁1012和最后的预警威胁1015(低优先级威胁)。关键威胁导致网络响应系统305立即采取措施。预警威胁用于通知，但站点安全人员可基于预警信息采取手动措施。
45.虽然这里描述了自动化系统，但是本发明还考虑了一系列一个或多个其它类型的工业系统或其它形式的工业系统。例如，在不脱离本发明的精神的情况下，可以基于以上呈现的一个或多个特征来实现其他类型的工业系统。
46.这里描述的技术对于可编程逻辑控制器(plc)特别有用。虽然根据可编程逻辑控制器的特定配置描述了特定实施例，但本文所描述的技术不限于这种有限的配置，而是还可以与其它配置和类型的控制器一起使用。
47.虽然已经以示例性形式公开了本发明的实施例，但是对于本领域的技术人员显而易见的是，在不脱离如以下权利要求中阐述的本发明及其等同物的精神和范围的情况下，可以在其中进行许多修改、添加和删除。
48.参考在附图中示出并在以下描述中详述的非限制性实施例更充分地解释实施例及其各种特征和有利细节。省略了对众所周知的起始材料、加工技术、部件和设备的描述，以免不必要地模糊实施例的细节。然而，应该理解的是，详细的描述和具体的示例尽管指出了优选的实施例，但是仅以说明的方式而不是以限制的方式给出。对于本领域技术人员来说，根据本公开内容，在基本发明构思的精神和/或范围内的各种替换、修改、添加和/或重新排列将变得显而易见。
49.如本文所用，术语“包括(comprises)”、“包括(comprising)”、“包含(includes)”、“包含(including)”、“具有(has)”、“具有(having)”或其任何其它变型旨在涵盖非排他性
的包括。例如，包括元素列表的过程、物品或装置不必仅限于那些元素，而是可以包括未明确列出的或此类过程、物品或装置固有的其它元素。
50.另外，本文给出的任何示例或说明不应以任何方式被视为对与其一起使用的任何术语的限制、限定或表达其定义。相反，这些示例或说明应被视为对于一个特定实施例描述的且仅为说明性的。本领域的普通技术人员将理解，使用这些示例或说明的任何一个或多个术语将涵盖可以或可以不与其一起给出或在说明书中的其他地方给出的其他实施例，并且所有这样的实施例旨在被包含在该一个或多个术语的范围内。
51.在前述说明书中，已经参考具体实施例描述了本发明。然而，本领域的普通技术人员应当理解，在不脱离本发明的范围的情况下，可以进行各种修改和改变。因此，说明书和附图应被认为是说明性的而不是限制性的，并且所有这样的修改旨在包含在本发明的范围内。
52.尽管已经参照本发明的特定实施例描述了本发明，但是这些实施例仅仅是说明性的，而不是对本发明的限制。在此对本发明的示例性实施例的描述并非旨在穷举或将本发明限制为在此公开的精确形式(并且特别地，包含任何特定实施例、特征或功能并非旨在将本发明的范围限制为这样的实施例、特征或功能)。相反，本说明书旨在描述说明性实施例、特征和功能，以便向本领域普通技术人员提供理解本发明的上下文，而不将本发明限制为任何具体描述的实施例、特征或功能。虽然这里仅为了说明的目的描述了本发明的特定实施例和示例，但是相关领域的技术人员将认识和理解，在本发明的精神和范围内可以进行各种等效修改。如所指出的，这些修改可以根据本发明的图示实施例的前述描述对本发明做出，并且将被包含在本发明的精神和范围内。因此，虽然在此已经参考本发明的特定实施例描述了本发明，但是在前述公开中意在修改、各种改变和替换，并且应当理解，在一些情况下，在不脱离所阐述的本发明的范围和精神的情况下，将采用本发明的实施例的一些特征而不相应地使用其他特征。因此，可以进行许多修改以使特定的情况或材料适应本发明的基本范围和精神。
53.在本说明书中的各个地方出现的短语“在一个实施例中”、“在实施例中”或“在特定实施例中”或类似术语不一定是指相同的实施例。此外，任何特定实施例的特定特征、结构或特性可以以任何合适的方式与一个或多个其他实施例组合。应当理解，根据本文的教导，本文描述和示出的实施例的其它变化和修改是可能的，并且被认为是本发明的精神和范围的一部分。
54.在本文的描述中，提供了许多具体细节，例如部件和/或方法的示例，以提供对本发明的实施例的透彻理解。然而，相关领域的技术人员将认识到，可以在没有一个或多个具体细节的情况下，或者利用其它装置、系统、组件、方法、部件、材料、零件等来实现实施例。在其它情况下，没有具体示出或详细描述公知的结构、部件、系统、材料或操作，以避免模糊本发明实施例的各方面。虽然本发明可通过使用特定实施例来说明，但这并不是且不将本发明限于任何特定实施例，且所属领域的技术人员将认识到，其它实施例易于理解且为本发明的一部分。
55.还应当理解，附图中描绘的一个或多个元件还可以以更分离或集成的方式来实现，或者甚至在某些情况下被移除或呈现为不可操作，如根据特定应用是有用的。
56.上面已经参照具体实施例描述了益处、其它优点和问题的解决方案。然而，益处、
优点、问题的解决方案以及可导致任何益处、优点或解决方案发生或变得更显著的任何部件不应被解释为关键的、必需的或必要的特征或部件。