[发明专利]检测并阻止网络攻击

说明书

本公开涉及检测网络攻击。在一个实施例中，第一装置可以接收高精度时间信号，并且可以使用该信号来将第一时间戳与多个数据分组中的每个关联，从而反映传输每个数据分组的时间。第二装置可以经由数据网络从第一装置接收多个数据分组。第二装置还可以接收高精度时间信号，并且可以使用该信号将第二时间戳与多个数据分组中的每个关联，从而反映接收每个数据分组的时间。可以基于第一时间戳和第二时间戳来确定飞行时间。第二装置可以确定第一多个数据分组中的每个的飞行时间是否与有效飞行时间一致。

技术领域

本公开涉及检测并阻止网络攻击。更具体地但非排他性地，本公开涉及检测并阻止运行技术网络中的中间人(“MITM”)攻击。

附图说明

参考附图描述了本公开的非限制性和非穷举的实施例，包括本公开的各种实施例，在附图中：

图1A示出了与本公开的实施例一致的系统的框图，该系统包括通过包括多个交换机的网络进行通信的第一智能电子装置(“IED”)和第二IED。

图1B示出了与本公开的实施例一致的图1A的系统，其中黑客已拦截了两个交换机之间的通信。

图2示出了与本公开的实施例一致的系统的框图，其中多个网络装置可以被配置为确定飞行时间。

图3示出了与本公开的实施例一致的系统，该系统包括与第一IED通信的第一时间源和与第二IED通信的第二时间源。

图4示出了在与本公开一致的包括无线通信信道的系统中的MITM攻击的框图。

图5示出了与本公开的实施例一致的用于检测并阻止网络攻击的方法的流程图。

图6示出了与本公开的实施例一致的用于确定多个网络分组的飞行时间的系统的框图。

具体实施方式

本公开涉及基于经过数据网络的数据分组的飞行时间和/或跳数来检测并阻止各种攻击。某些实施例可以针对与关键基础设施相关联的运营技术网络。此类网络可能容易受到攻击，因为基础设施元件通常分布在较大的地理区域内，保持长期使用，并且出于实际原因和经济原因两者而不被连续监视。

数据网络可以包括各种元件，诸如数据产生元件、数据消耗元件或数据路由元件。数据产生元件可以包括诸如传感器、监视器的部件，或产生要经由网络传输的信息的其他部件。一些数据产生装置可以创建机器生成的数据，而其他数据产生装置也可以包括人类生成的数据。数据消耗装置可以接收数据并作用于该数据，并且可以包括诸如控制系统、监视器和人机界面的部件。网络也可以包括路由或管理网络流量的各种元件，诸如交换机、路由器、防火墙等。

可以使用高精度时间源来使与本公开一致的网络元件同步。网络可以监视经过各个网络段的分组的飞行时间，并可以确定每个此类段的预期飞行时间。高精度时间源可用于确定飞行时间，因此提供飞行时间的高精度测量。在各种实施例中，可以选择高精度时间源以提供纳秒级的准确度。

可以将数据分组的飞行时间与一个或更多个网络段的预期飞行时间进行比较，以确定通信信道是否已因攻击而改变。在一些实施例中，可以分析单个网络段；而在其他实施例中，可以分析可以使用多个网络元件连接的两个通信网络元件之间的总飞行时间。在飞行时间偏离预期值的情况下(例如，飞行时间长于预期值)，该偏离可能归因于攻击。

在检测到攻击时，各种实施例可以实施保护动作以停止攻击。此类动作可以包括停用受损的网络段、重新路由所包括的网络段周围的流量、警告运行商等。