《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 工業(yè)網(wǎng)絡(luò)的高級可持續(xù)性威脅監(jiān)測、溯源技術(shù)
工業(yè)網(wǎng)絡(luò)的高級可持續(xù)性威脅監(jiān)測、溯源技術(shù)
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
趙云龍1,霍朝賓1,于運濤1,王紹杰1,魯華偉2
1.中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所;2.聯(lián)通數(shù)字科技有限公司
摘要: 工業(yè)自動化控制系統(tǒng)多使用專用通信協(xié)議,應(yīng)用場景與生產(chǎn)工藝流程緊密聯(lián)系。目前所普遍采用的工控威脅監(jiān)測技術(shù)是基于被動防御理念,無法有效識別以工業(yè)基礎(chǔ)設(shè)施為目標(biāo),且技術(shù)復(fù)雜、手段隱蔽的入侵威脅。以工業(yè)網(wǎng)絡(luò)中傳輸?shù)墓I(yè)相關(guān)文件還原為數(shù)據(jù)基礎(chǔ),提出基于soft-PLC仿真平臺應(yīng)用級的監(jiān)測分析以及關(guān)鍵安全特征追溯方案,不但可以更加全面覆蓋工業(yè)網(wǎng)絡(luò)威脅模型的多個階段,還可以更加充分地應(yīng)對工業(yè)生產(chǎn)場景入侵、干擾行為的技術(shù)特點,成為工業(yè)網(wǎng)絡(luò)高級可持續(xù)性威脅監(jiān)測、溯源的有效途徑之一。
中圖分類號:TP181;TP393文獻(xiàn)標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2024.09.001
引用格式:趙云龍,霍朝賓,于運濤,等.工業(yè)網(wǎng)絡(luò)的高級可持續(xù)性威脅監(jiān)測、溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(09):1-7.
Advanced persistent threat monitoring and traceability technology for industrial networks
Zhao Yunlong1, Huo Chaobin1, Yu Yuntao1, Wang Shaojie1,Lu Huawe2
1.The 6th Research Institute of China Electronics Corporation;2.China Unicom Digital Technology Co., Ltd
Abstract: Industrial automation control systems often use dedicated communication protocols, and their application scenarios are closely related to production processes. The currently widely used industrial control threat monitoring technology is based on passive defense concepts, which cannot effectively identify intrusion threats targeting industrial infrastructure with complex technology and covert means. Based on the restoration of industrial related files transmitted in industrial networks, a soft PLC simulation platform application level monitoring and analysis, as well as key security feature tracing scheme, is proposed. This scheme can not only comprehensively cover multiple stages of industrial network threat models, but also more fully respond to the technical characteristics of industrial production scene intrusion and interference. It has become one of the effective ways to monitor and trace advanced sustainability threats in industrial networks.
Key words : industrial control system; advanced persistent threat; soft-PLC; traceability

引言

隨著我國國民經(jīng)濟(jì)建設(shè)向工業(yè)數(shù)字化、智能化階段邁進(jìn),工業(yè)自動化控制技術(shù)在越來越多領(lǐng)域得到應(yīng)用的同時,也打破了其原有的封閉性,導(dǎo)致工業(yè)網(wǎng)絡(luò)的安全風(fēng)險不斷加劇。因此,對工控系統(tǒng)威脅監(jiān)測、取證能力提出了更高的要求。

現(xiàn)有工業(yè)網(wǎng)絡(luò)場景下的威脅監(jiān)測往往基于網(wǎng)絡(luò)流量分析技術(shù),并單一通過惡意特征匹配或白名單基線的方式進(jìn)行異常識別,主要以工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品兩種形態(tài)進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)采集、協(xié)議解析和異常識別[1],無法識別未知惡意文件,并且難以對入侵行為背景進(jìn)行溯源。為了解決上述問題,本文在實現(xiàn)工業(yè)相關(guān)文件還原、存儲的能力基礎(chǔ)上提出了基于softPLC仿真平臺對被篡改工業(yè)相關(guān)文件進(jìn)行威脅識別,并通過特征抽取及大數(shù)據(jù)關(guān)聯(lián)實現(xiàn)惡意文件背景追溯的方法,以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測技術(shù)針對高級威脅行為效能不足的局面。

本文主要貢獻(xiàn)如下:

(1) 本文提出工業(yè)相關(guān)文件威脅分析及識別方法,創(chuàng)建了softPLC嵌入式仿真工控運行平臺,通過動態(tài)安全監(jiān)測技術(shù),實現(xiàn)對高級或未知威脅的監(jiān)測和取證。

(2) 本文提出工業(yè)惡意文件分類、聚類的相似性評估方法,基于工控系統(tǒng)監(jiān)測模型的威脅情報資源,通過關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù),實現(xiàn)對黑客組織及技術(shù)同源性的分析和判定。


本文詳細(xì)內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006156


作者信息:

趙云龍1,霍朝賓1,于運濤1,王紹杰1,魯華偉2

 (1.中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,北京100083;

2.聯(lián)通數(shù)字科技有限公司,北京100031)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。