一種用于使用單向通信來監控受保護網絡的裝置，包括發送單元，被耦接到受保護網絡的一個或多個裝置，用于獲取與受保護網絡狀態有關的網絡數據。該裝置還包括具有竊聽器的竊聽單元，該竊聽器被配置為經由發送單元的輸入接口與輸出接口之間的回路連接在發送單元內攔截所請求的數據。竊聽器和回路連接被感應耦接并被配置為從發送單元到接收單元的單向通信。接收單元被耦接到竊聽單元，用于接收復制的數據并將復制的數據轉發到位于低安全性外部網絡中的評估系統。可重新配置的應用層包括至少一個模塊化應用，該至少一個模塊化應用被配置為操作支持入侵檢測的安全相關功能。

技術領域

本申請涉及網絡安全。更具體地，本申請涉及一種具有嵌入式軟件應用以支持對受保護網絡和硬件的入侵檢測以確保與外部入侵檢測系統的單向通信的裝置。

背景技術

長期以來，對專用計算機網絡的網絡攻擊一直處于使用信息技術進行檢測和保護的最前沿。現在，網絡攻擊者入侵工業系統，諸如支持關鍵基礎設施的自動化和控制系統的威脅，正在受到關注。由于生產系統的垂直集成和價值鏈的水平集成等方面，工業控制系統(ICS)網絡被通常直接或間接連接到IT網絡(辦公網絡)和因特網，因此為網絡攻擊者提供了機會滲透此類環境并利用任何現有漏洞。諸如可編程邏輯控制器(PLC)、分布式控制系統(DCS)、運動控制器、監督控制和數據采集(SCADA)服務器以及人機界面(HMI)之類的OT(運營技術)系統在涉及部署安全措施方面還面臨許多其它問題。

近年來，攻擊方法已經發生了變化，從好奇的黑客執行的簡單方法，到由積極進取的頂尖專家精心設計的高級持續威脅(APT)，有時還利用由某些國家/地區提供贊助的擴展資源。檢測此類定向攻擊和其它一般攻擊活動需要采用安全監控技術，其中包括基于簽名的入侵檢測、基于行為的異常檢測、端點檢測和響應(EDR)等。

與企業信息技術(IT)系統中采用的用于部署網絡或基于主機的安全檢測機制的解決方案相比，工業系統需要使用非入侵方法來最大程度地減小系統中斷的風險。除了存在大量的傳統設備外，運營技術(OT)網絡還與OT系統原始設計方面(諸如入侵式網絡以及端口掃描和漏洞枚舉工具所采用的系統配置)不支持的嵌入式系統(例如，工業物聯網(IIoT))一起運行。

當前的解決方案通過將工業控制系統的網絡流量轉發到中心監控和入侵檢測系統來為工業控制系統提供異常檢測。但是，這些解決方案完全基于軟件，沒有基于硬件的隔離來避免監控網絡和被監控網絡之間的直接通信。這種基于軟件的解決方案的另一個問題是無法抵抗能夠操縱入侵檢測系統逃避檢測的復雜威脅。此外，對安全軟件的任何修改可能都需要完整的硬件集刪除和替換。盡管此方法在企業IT領域已得到很好的容忍，但由于生產系統的任何修改都涉及高成本和風險，因此部署在生產系統中的OT系統的管理員不愿面對此類精細檢查。

發明內容

為了解決上述問題，公開了一種裝置，該裝置采用完全被動安全性檢測，其結合了用于與遠程入侵檢測系統進行單向通信的硬件屏障和能夠本地托管諸如入侵檢測、異常檢測、加密和完整性特征集、數據分析以及與遠程數據分析平臺的互操作性以進行更深入的評估操作之類的安全應用的一個或多個模塊化應用。模塊化應用(例如，每個被部署為應用容器或虛擬機(VM)的模塊化應用)通過允許來自不同供應商的應用的部署，以及通過允許在需要更新或發現漏洞時快速且輕松地替換任何單個應用，從而實現了靈活性。這樣的解決方案解決了以單向方式監控、捕獲和分析來自關鍵和敏感系統的網絡數據的問題，使得接收網絡(例如，基于云的入侵檢測系統(IDS)服務器)不能與被監控的網絡交互。一個或多個主機安全性應用可用于過濾傳輸到一個或多個網絡外高容量服務器的單向流量，以有效利用帶寬并降低IDS服務成本。

附圖說明

參考以下附圖描述了本實施例的非限制性和非窮舉性的實施例，其中，除非另外指明，否則在整個各個附圖中，相同的附圖標記指代相同的元件。

圖1示出了根據本公開的實施例的單向數據捕獲裝置的示例的框圖。

圖2示出了根據本公開的實施例的數據捕獲裝置的軟件堆棧的示例。