使用nDPI和ntopng监控工业IoT / Scada流量

目前，大多数流量监控工具都是为Internet协议设计的，因此监控工业网络流量如IoT和SCADA流量面临挑战。其中一个重要原因就是工业网络所用的协议与Internet网络协议的不同，现有的流量监控工具无法对检测工业网络中的专有协议。

工业网络流量监控的现状

接下来我们以SCADA系统为例，介绍如何使用ntopng监控SCANDA系统中的流量。

SCADA系统综述

SCADA(Supervisory Control And Data Acquisition)系统，即数据采集与监视控制系统，在电力系统中又称为远动系统，主要应用于电力系统、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。

SCADA系统以计算机为基础实现生产过程的控制、调度、监控为一体的自动化系统，实现设备数据的采集、设备控制、测量、参数调节以及各类信号报警等各项功能,即我们所知的"四遥"功能。

SCADA系统在电力系统以及铁道电气化中应用最为广泛，技术发展也较为成熟。SCADA系统能帮助快速的诊断系统故障，以及维护系统的运行状态。极大的提高企业生产效率，以及安全性。在诸多领域中成为不可缺少的重要工具。

IEC 60870协议

IEC 60870协议是基于网络传输层可靠的TCP传输协议，主要用于控制输电电网和其他的控制系统。通过使用标准化协议，可以使来自许多不同供应商的设备进行互操作。IEC标准60870有六个部分，定义了与标准，操作条件，电气接口，性能要求和数据传输协议有关的一般信息。在SCADA系统工作过程中IEC 60870协议承担了诸多重要的数据传输任务。

使用ntopng监控工业IoT / Scada流量

到目前为止，nDPI支持modbus，DNP3和IEC60870协议。特别是IEC 60870协议非常重要，因为它可用于检测以下问题，如：

• 未知遥测地址

• 连接丢失和恢复

• 来自远程系统的数据丢失

该标准非常复杂，如果你想使用开源软件监控这些流量来触发警报，则只能选择suricata IDS或Zeek / Malcom的自定义脚本。由于ntopng可以在特定事件发生时通过用户脚本触发警报，因此我们决定增强ntopng来分析这些流量，以便在检测到特定通信时可以发出自定义警报。

上图显示了ntopng如何检测和报告IEC 60870，除了常规的延迟，吞吐量，重传…指标外，它还补充了可用于检测异常和触发警报的特定协议信息。