目前，大多數(shù)流量監(jiān)控工具都是為Internet協(xié)議設(shè)計(jì)的，因此監(jiān)控工業(yè)網(wǎng)絡(luò)流量如IoT和SCADA流量面臨挑戰(zhàn)。其中一個(gè)重要原因就是工業(yè)網(wǎng)絡(luò)所用的協(xié)議與Internet網(wǎng)絡(luò)協(xié)議的不同，現(xiàn)有的流量監(jiān)控工具無(wú)法對(duì)檢測(cè)工業(yè)網(wǎng)絡(luò)中的專(zhuān)有協(xié)議。

工業(yè)網(wǎng)絡(luò)流量監(jiān)控的現(xiàn)狀

接下來(lái)我們以SCADA系統(tǒng)為例，介紹如何使用ntopng監(jiān)控SCANDA系統(tǒng)中的流量。

SCADA系統(tǒng)綜述

SCADA(Supervisory Control And Data Acquisition)系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，在電力系統(tǒng)中又稱(chēng)為遠(yuǎn)動(dòng)系統(tǒng)，主要應(yīng)用于電力系統(tǒng)、冶金、石油、化工、燃?xì)?、鐵路等領(lǐng)域的數(shù)據(jù)采集與監(jiān)視控制以及過(guò)程控制等諸多領(lǐng)域。

SCADA系統(tǒng)以計(jì)算機(jī)為基礎(chǔ)實(shí)現(xiàn)生產(chǎn)過(guò)程的控制、調(diào)度、監(jiān)控為一體的自動(dòng)化系統(tǒng)，實(shí)現(xiàn)設(shè)備數(shù)據(jù)的采集、設(shè)備控制、測(cè)量、參數(shù)調(diào)節(jié)以及各類(lèi)信號(hào)報(bào)警等各項(xiàng)功能,即我們所知的"四遙"功能。

SCADA系統(tǒng)在電力系統(tǒng)以及鐵道電氣化中應(yīng)用最為廣泛，技術(shù)發(fā)展也較為成熟。SCADA系統(tǒng)能幫助快速的診斷系統(tǒng)故障，以及維護(hù)系統(tǒng)的運(yùn)行狀態(tài)。極大的提高企業(yè)生產(chǎn)效率，以及安全性。在諸多領(lǐng)域中成為不可缺少的重要工具。

IEC 60870協(xié)議

IEC 60870協(xié)議是基于網(wǎng)絡(luò)傳輸層可靠的TCP傳輸協(xié)議，主要用于控制輸電電網(wǎng)和其他的控制系統(tǒng)。通過(guò)使用標(biāo)準(zhǔn)化協(xié)議，可以使來(lái)自許多不同供應(yīng)商的設(shè)備進(jìn)行互操作。IEC標(biāo)準(zhǔn)60870有六個(gè)部分，定義了與標(biāo)準(zhǔn)，操作條件，電氣接口，性能要求和數(shù)據(jù)傳輸協(xié)議有關(guān)的一般信息。在SCADA系統(tǒng)工作過(guò)程中IEC 60870協(xié)議承擔(dān)了諸多重要的數(shù)據(jù)傳輸任務(wù)。

使用ntopng監(jiān)控工業(yè)IoT / Scada流量

到目前為止，nDPI支持modbus，DNP3和IEC60870協(xié)議。特別是IEC 60870協(xié)議非常重要，因?yàn)樗捎糜跈z測(cè)以下問(wèn)題，如：

• 未知遙測(cè)地址

• 連接丟失和恢復(fù)

• 來(lái)自遠(yuǎn)程系統(tǒng)的數(shù)據(jù)丟失

該標(biāo)準(zhǔn)非常復(fù)雜，如果你想使用開(kāi)源軟件監(jiān)控這些流量來(lái)觸發(fā)警報(bào)，則只能選擇suricata IDS或Zeek / Malcom的自定義腳本。由于ntopng可以在特定事件發(fā)生時(shí)通過(guò)用戶(hù)腳本觸發(fā)警報(bào)，因此我們決定增強(qiáng)ntopng來(lái)分析這些流量，以便在檢測(cè)到特定通信時(shí)可以發(fā)出自定義警報(bào)。

上圖顯示了ntopng如何檢測(cè)和報(bào)告IEC 60870，除了常規(guī)的延遲，吞吐量，重傳…指標(biāo)外，它還補(bǔ)充了可用于檢測(cè)異常和觸發(fā)警報(bào)的特定協(xié)議信息。