目前，大多數流量監控工具都是為Internet協議設計的，因此監控工業網絡流量如IoT和SCADA流量面臨挑戰。其中一個重要原因就是工業網絡所用的協議與Internet網絡協議的不同，現有的流量監控工具無法對檢測工業網絡中的專有協議。

工業網絡流量監控的現狀

接下來我們以SCADA系統為例，介紹如何使用ntopng監控SCANDA系統中的流量。

SCADA系統綜述

SCADA(Supervisory Control And Data Acquisition)系統，即數據采集與監視控制系統，在電力系統中又稱為遠動系統，主要應用于電力系統、冶金、石油、化工、燃氣、鐵路等領域的數據采集與監視控制以及過程控制等諸多領域。

SCADA系統以計算機為基礎實現生產過程的控制、調度、監控為一體的自動化系統，實現設備數據的采集、設備控制、測量、參數調節以及各類信號報警等各項功能,即我們所知的"四遙"功能。

SCADA系統在電力系統以及鐵道電氣化中應用最為廣泛，技術發展也較為成熟。SCADA系統能幫助快速的診斷系統故障，以及維護系統的運行狀態。極大的提高企業生產效率，以及安全性。在諸多領域中成為不可缺少的重要工具。

IEC 60870協議

IEC 60870協議是基于網絡傳輸層可靠的TCP傳輸協議，主要用于控制輸電電網和其他的控制系統。通過使用標準化協議，可以使來自許多不同供應商的設備進行互操作。IEC標準60870有六個部分，定義了與標準，操作條件，電氣接口，性能要求和數據傳輸協議有關的一般信息。在SCADA系統工作過程中IEC 60870協議承擔了諸多重要的數據傳輸任務。

使用ntopng監控工業IoT / Scada流量

到目前為止，nDPI支持modbus，DNP3和IEC60870協議。特別是IEC 60870協議非常重要，因為它可用于檢測以下問題，如：

• 未知遙測地址

• 連接丟失和恢復

• 來自遠程系統的數據丟失

該標準非常復雜，如果你想使用開源軟件監控這些流量來觸發警報，則只能選擇suricata IDS或Zeek / Malcom的自定義腳本。由于ntopng可以在特定事件發生時通過用戶腳本觸發警報，因此我們決定增強ntopng來分析這些流量，以便在檢測到特定通信時可以發出自定義警報。

上圖顯示了ntopng如何檢測和報告IEC 60870，除了常規的延遲，吞吐量，重傳…指標外，它還補充了可用于檢測異常和觸發警報的特定協議信息。