《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 工業(yè)網(wǎng)絡(luò)的高級(jí)可持續(xù)性威脅監(jiān)測(cè)、溯源技術(shù)
工業(yè)網(wǎng)絡(luò)的高級(jí)可持續(xù)性威脅監(jiān)測(cè)、溯源技術(shù)
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
趙云龍1,霍朝賓1,于運(yùn)濤1,王紹杰1,魯華偉2
1.中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所;2.聯(lián)通數(shù)字科技有限公司
摘要: 工業(yè)自動(dòng)化控制系統(tǒng)多使用專用通信協(xié)議,應(yīng)用場(chǎng)景與生產(chǎn)工藝流程緊密聯(lián)系。目前所普遍采用的工控威脅監(jiān)測(cè)技術(shù)是基于被動(dòng)防御理念,無(wú)法有效識(shí)別以工業(yè)基礎(chǔ)設(shè)施為目標(biāo),且技術(shù)復(fù)雜、手段隱蔽的入侵威脅。以工業(yè)網(wǎng)絡(luò)中傳輸?shù)墓I(yè)相關(guān)文件還原為數(shù)據(jù)基礎(chǔ),提出基于soft-PLC仿真平臺(tái)應(yīng)用級(jí)的監(jiān)測(cè)分析以及關(guān)鍵安全特征追溯方案,不但可以更加全面覆蓋工業(yè)網(wǎng)絡(luò)威脅模型的多個(gè)階段,還可以更加充分地應(yīng)對(duì)工業(yè)生產(chǎn)場(chǎng)景入侵、干擾行為的技術(shù)特點(diǎn),成為工業(yè)網(wǎng)絡(luò)高級(jí)可持續(xù)性威脅監(jiān)測(cè)、溯源的有效途徑之一。
中圖分類(lèi)號(hào):TP181;TP393文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.09.001
引用格式:趙云龍,霍朝賓,于運(yùn)濤,等.工業(yè)網(wǎng)絡(luò)的高級(jí)可持續(xù)性威脅監(jiān)測(cè)、溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(09):1-7.
Advanced persistent threat monitoring and traceability technology for industrial networks
Zhao Yunlong1, Huo Chaobin1, Yu Yuntao1, Wang Shaojie1,Lu Huawe2
1.The 6th Research Institute of China Electronics Corporation;2.China Unicom Digital Technology Co., Ltd
Abstract: Industrial automation control systems often use dedicated communication protocols, and their application scenarios are closely related to production processes. The currently widely used industrial control threat monitoring technology is based on passive defense concepts, which cannot effectively identify intrusion threats targeting industrial infrastructure with complex technology and covert means. Based on the restoration of industrial related files transmitted in industrial networks, a soft PLC simulation platform application level monitoring and analysis, as well as key security feature tracing scheme, is proposed. This scheme can not only comprehensively cover multiple stages of industrial network threat models, but also more fully respond to the technical characteristics of industrial production scene intrusion and interference. It has become one of the effective ways to monitor and trace advanced sustainability threats in industrial networks.
Key words : industrial control system; advanced persistent threat; soft-PLC; traceability

引言

隨著我國(guó)國(guó)民經(jīng)濟(jì)建設(shè)向工業(yè)數(shù)字化、智能化階段邁進(jìn),工業(yè)自動(dòng)化控制技術(shù)在越來(lái)越多領(lǐng)域得到應(yīng)用的同時(shí),也打破了其原有的封閉性,導(dǎo)致工業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)不斷加劇。因此,對(duì)工控系統(tǒng)威脅監(jiān)測(cè)、取證能力提出了更高的要求。

現(xiàn)有工業(yè)網(wǎng)絡(luò)場(chǎng)景下的威脅監(jiān)測(cè)往往基于網(wǎng)絡(luò)流量分析技術(shù),并單一通過(guò)惡意特征匹配或白名單基線的方式進(jìn)行異常識(shí)別,主要以工業(yè)控制系統(tǒng)入侵檢測(cè)產(chǎn)品、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品兩種形態(tài)進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)采集、協(xié)議解析和異常識(shí)別[1],無(wú)法識(shí)別未知惡意文件,并且難以對(duì)入侵行為背景進(jìn)行溯源。為了解決上述問(wèn)題,本文在實(shí)現(xiàn)工業(yè)相關(guān)文件還原、存儲(chǔ)的能力基礎(chǔ)上提出了基于softPLC仿真平臺(tái)對(duì)被篡改工業(yè)相關(guān)文件進(jìn)行威脅識(shí)別,并通過(guò)特征抽取及大數(shù)據(jù)關(guān)聯(lián)實(shí)現(xiàn)惡意文件背景追溯的方法,以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測(cè)技術(shù)針對(duì)高級(jí)威脅行為效能不足的局面。

本文主要貢獻(xiàn)如下:

(1) 本文提出工業(yè)相關(guān)文件威脅分析及識(shí)別方法,創(chuàng)建了softPLC嵌入式仿真工控運(yùn)行平臺(tái),通過(guò)動(dòng)態(tài)安全監(jiān)測(cè)技術(shù),實(shí)現(xiàn)對(duì)高級(jí)或未知威脅的監(jiān)測(cè)和取證。

(2) 本文提出工業(yè)惡意文件分類(lèi)、聚類(lèi)的相似性評(píng)估方法,基于工控系統(tǒng)監(jiān)測(cè)模型的威脅情報(bào)資源,通過(guò)關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù),實(shí)現(xiàn)對(duì)黑客組織及技術(shù)同源性的分析和判定。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000006156


作者信息:

趙云龍1,霍朝賓1,于運(yùn)濤1,王紹杰1,魯華偉2

 (1.中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,北京100083;

2.聯(lián)通數(shù)字科技有限公司,北京100031)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。