为工业控制系统开发的IDS

西南研究所开发了一项技术，帮助政府和行业检测用于关键基础设施和制造系统的工业网络的网络威胁。SwRI资助了这项研究，以解决快速发展的工业自动化生态系统中出现的网络威胁。

该团队使用算法扫描跨网络协议的网络威胁，这些网络协议传输从天然气管道到制造机器人等各种工业控制数据。这项研究导致了工业控制系统(ICS)的入侵检测系统(IDS)的发展。

“从历史上看，工业控制系统在设计时并没有考虑到安全问题，”参与该项目的瑞士wri智能机器工程师伊恩·r·迈因岑(Ian R. Meinzen)说。“他们有一个‘气隙’的好处，可以在不连接IT网络的情况下安全地操作。”

然而，对于依赖物联网(IoT)传输大量数据的现代自动化系统来说，将工业网络与信息技术(IT)网络断开连接不再是一种选择。物联网描述了嵌入传感器和软件的物理对象网络，通过互联网上的通信网络与其他设备和系统连接并交换数据。

SwRI专门研究网络安全的计算机科学家彼得·莫尔登豪尔说:“连接物联网设备和其他硬件会使工业网络面临安全漏洞。”“攻击可以通过物联网设备甚至网络协议和过时的软件发生。”

监控和扫描网络安全攻击

SwRI团队的研究重点是通过Modbus/TCP协议扫描网络攻击。公用事业和工业在监控和数据采集(SCADA)系统设备中使用这种基于以太网的网络协议已经有几十年了。

SwRI的研究人员最初开发了用于扫描汽车硬件中的控制器区域网络(CAN)总线网络的算法。他们定制了网络安全算法来扫描配备了工业设备的模拟网络，然后在现实世界的工业网络上评估新算法。测试系统使用Modbus/TCP协议在网络上发送数据包。该网络采用以太网交换机连接个人电脑、可编程逻辑控制器(plc)和输入/输出(I/O)模块。这种工业计算设备为自动化机器人和机械化设备发送命令并记录数据。

SwRI的计算机科学家Jonathan Esquivel说:“我们必须定制之前的算法，以识别Modbus/TCP协议按顺序和时间特征对数据包分组的不同方式。”

应用于测试网络的新开发算法识别了正常的Modbus/TCP流量，并识别了带外定时、地址探测和数据模糊/操纵等网络攻击向量。如果数据包来自未受损的工业控制设备，算法将其归类为“常规”数据包;如果数据包来源是意外或受损设备，则将其归类为“攻击”数据包。

该研究团队的专家来自SwRI的关键系统部，专门研究嵌入式系统和网络安全，以及该研究所的制造技术部，专门研究机器人和工业自动化的软硬件集成。

SwRI智能系统部副总裁史蒂文·戴伦贝克博士说:“商业趋势和新技术——部分是由大流行对自动化的推动——在工业系统中揭示出更多的网络漏洞。”“我们很自豪能够在网络安全和自动化技术方面为政府和行业提供多学科专业知识。”

-编辑自CFE媒体和技术公司发布的西南研究所(SwRI)新闻稿。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。