《電子技術(shù)應用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 工业网络的高级可持续性威胁监测、溯源技术
工业网络的高级可持续性威胁监测、溯源技术
网络安全与数据治理
赵云龙1,霍朝宾1,于运涛1,王绍杰1,鲁华伟2
1.中国电子信息产业集团有限公司第六研究所;2.联通数字科技有限公司
摘要: 工业自动化控制系统多使用专用通信协议,应用场景与生产工艺流程紧密联系。目前所普遍采用的工控威胁监测技术是基于被动防御理念,无法有效识别以工业基础设施为目标,且技术复杂、手段隐蔽的入侵威胁。以工业网络中传输的工业相关文件还原为数据基础,提出基于soft-PLC仿真平台应用级的监测分析以及关键安全特征追溯方案,不但可以更加全面覆盖工业网络威胁模型的多个阶段,还可以更加充分地应对工业生产场景入侵、干扰行为的技术特点,成为工业网络高级可持续性威胁监测、溯源的有效途径之一。
中圖分類號:TP181;TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.09.001
引用格式:趙云龍,霍朝賓,于運濤,等.工業(yè)網(wǎng)絡(luò)的高級可持續(xù)性威脅監(jiān)測、溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(09):1-7.
Advanced persistent threat monitoring and traceability technology for industrial networks
Zhao Yunlong1, Huo Chaobin1, Yu Yuntao1, Wang Shaojie1,Lu Huawe2
1.The 6th Research Institute of China Electronics Corporation;2.China Unicom Digital Technology Co., Ltd
Abstract: Industrial automation control systems often use dedicated communication protocols, and their application scenarios are closely related to production processes. The currently widely used industrial control threat monitoring technology is based on passive defense concepts, which cannot effectively identify intrusion threats targeting industrial infrastructure with complex technology and covert means. Based on the restoration of industrial related files transmitted in industrial networks, a soft PLC simulation platform application level monitoring and analysis, as well as key security feature tracing scheme, is proposed. This scheme can not only comprehensively cover multiple stages of industrial network threat models, but also more fully respond to the technical characteristics of industrial production scene intrusion and interference. It has become one of the effective ways to monitor and trace advanced sustainability threats in industrial networks.
Key words : industrial control system; advanced persistent threat; soft-PLC; traceability

引言

隨著我國國民經(jīng)濟建設(shè)向工業(yè)數(shù)字化、智能化階段邁進,工業(yè)自動化控制技術(shù)在越來越多領(lǐng)域得到應用的同時,也打破了其原有的封閉性,導致工業(yè)網(wǎng)絡(luò)的安全風險不斷加劇。因此,對工控系統(tǒng)威脅監(jiān)測、取證能力提出了更高的要求。

現(xiàn)有工業(yè)網(wǎng)絡(luò)場景下的威脅監(jiān)測往往基于網(wǎng)絡(luò)流量分析技術(shù),并單一通過惡意特征匹配或白名單基線的方式進行異常識別,主要以工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品兩種形態(tài)進行網(wǎng)絡(luò)通信的數(shù)據(jù)采集、協(xié)議解析和異常識別[1],無法識別未知惡意文件,并且難以對入侵行為背景進行溯源。為了解決上述問題,本文在實現(xiàn)工業(yè)相關(guān)文件還原、存儲的能力基礎(chǔ)上提出了基于softPLC仿真平臺對被篡改工業(yè)相關(guān)文件進行威脅識別,并通過特征抽取及大數(shù)據(jù)關(guān)聯(lián)實現(xiàn)惡意文件背景追溯的方法,以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測技術(shù)針對高級威脅行為效能不足的局面。

本文主要貢獻如下:

(1) 本文提出工業(yè)相關(guān)文件威脅分析及識別方法,創(chuàng)建了softPLC嵌入式仿真工控運行平臺,通過動態(tài)安全監(jiān)測技術(shù),實現(xiàn)對高級或未知威脅的監(jiān)測和取證。

(2) 本文提出工業(yè)惡意文件分類、聚類的相似性評估方法,基于工控系統(tǒng)監(jiān)測模型的威脅情報資源,通過關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù),實現(xiàn)對黑客組織及技術(shù)同源性的分析和判定。


本文詳細內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006156


作者信息:

趙云龍1,霍朝賓1,于運濤1,王紹杰1,魯華偉2

 (1.中國電子信息產(chǎn)業(yè)集團有限公司第六研究所,北京100083;

2.聯(lián)通數(shù)字科技有限公司,北京100031)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。