工業網絡的高級可持續性威脅監測、溯源技術
網絡安全與數據治理
趙云龍1,霍朝賓1,于運濤1,王紹杰1,魯華偉2
1.中國電子信息產業集團有限公司第六研究所;2.聯通數字科技有限公司
摘要: 工業自動化控制系統多使用專用通信協議,應用場景與生產工藝流程緊密聯系。目前所普遍采用的工控威脅監測技術是基于被動防御理念,無法有效識別以工業基礎設施為目標,且技術復雜、手段隱蔽的入侵威脅。以工業網絡中傳輸的工業相關文件還原為數據基礎,提出基于soft-PLC仿真平臺應用級的監測分析以及關鍵安全特征追溯方案,不但可以更加全面覆蓋工業網絡威脅模型的多個階段,還可以更加充分地應對工業生產場景入侵、干擾行為的技術特點,成為工業網絡高級可持續性威脅監測、溯源的有效途徑之一。
中圖分類號:TP181;TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.09.001
引用格式:趙云龍,霍朝賓,于運濤,等.工業網絡的高級可持續性威脅監測、溯源技術[J].網絡安全與數據治理,2024,43(09):1-7.
引用格式:趙云龍,霍朝賓,于運濤,等.工業網絡的高級可持續性威脅監測、溯源技術[J].網絡安全與數據治理,2024,43(09):1-7.
Advanced persistent threat monitoring and traceability technology for industrial networks
Zhao Yunlong1, Huo Chaobin1, Yu Yuntao1, Wang Shaojie1,Lu Huawe2
1.The 6th Research Institute of China Electronics Corporation;2.China Unicom Digital Technology Co., Ltd
Abstract: Industrial automation control systems often use dedicated communication protocols, and their application scenarios are closely related to production processes. The currently widely used industrial control threat monitoring technology is based on passive defense concepts, which cannot effectively identify intrusion threats targeting industrial infrastructure with complex technology and covert means. Based on the restoration of industrial related files transmitted in industrial networks, a soft PLC simulation platform application level monitoring and analysis, as well as key security feature tracing scheme, is proposed. This scheme can not only comprehensively cover multiple stages of industrial network threat models, but also more fully respond to the technical characteristics of industrial production scene intrusion and interference. It has become one of the effective ways to monitor and trace advanced sustainability threats in industrial networks.
Key words : industrial control system; advanced persistent threat; soft-PLC; traceability
引言
隨著我國國民經濟建設向工業數字化、智能化階段邁進,工業自動化控制技術在越來越多領域得到應用的同時,也打破了其原有的封閉性,導致工業網絡的安全風險不斷加劇。因此,對工控系統威脅監測、取證能力提出了更高的要求。
現有工業網絡場景下的威脅監測往往基于網絡流量分析技術,并單一通過惡意特征匹配或白名單基線的方式進行異常識別,主要以工業控制系統入侵檢測產品、工業控制系統網絡審計產品兩種形態進行網絡通信的數據采集、協議解析和異常識別[1],無法識別未知惡意文件,并且難以對入侵行為背景進行溯源。為了解決上述問題,本文在實現工業相關文件還原、存儲的能力基礎上提出了基于softPLC仿真平臺對被篡改工業相關文件進行威脅識別,并通過特征抽取及大數據關聯實現惡意文件背景追溯的方法,以改善傳統工業網絡威脅監測技術針對高級威脅行為效能不足的局面。
本文主要貢獻如下:
(1) 本文提出工業相關文件威脅分析及識別方法,創建了softPLC嵌入式仿真工控運行平臺,通過動態安全監測技術,實現對高級或未知威脅的監測和取證。
(2) 本文提出工業惡意文件分類、聚類的相似性評估方法,基于工控系統監測模型的威脅情報資源,通過關鍵特征拓展和融合關聯技術,實現對黑客組織及技術同源性的分析和判定。
本文詳細內容請下載:
http://www.xxav2194.com/resource/share/2000006156
作者信息:
趙云龍1,霍朝賓1,于運濤1,王紹杰1,魯華偉2
(1.中國電子信息產業集團有限公司第六研究所,北京100083;
2.聯通數字科技有限公司,北京100031)
此內容為AET網站原創,未經授權禁止轉載。