《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信与网络 > 设计应用 > 工业网络的高级可持续性威胁监测、溯源技术
工业网络的高级可持续性威胁监测、溯源技术
网络安全与数据治理
赵云龙1,霍朝宾1,于运涛1,王绍杰1,鲁华伟2
1.中国电子信息产业集团有限公司第六研究所;2.联通数字科技有限公司
摘要: 工业自动化控制系统多使用专用通信协议,应用场景与生产工艺流程紧密联系。目前所普遍采用的工控威胁监测技术是基于被动防御理念,无法有效识别以工业基础设施为目标,且技术复杂、手段隐蔽的入侵威胁。以工业网络中传输的工业相关文件还原为数据基础,提出基于soft-PLC仿真平台应用级的监测分析以及关键安全特征追溯方案,不但可以更加全面覆盖工业网络威胁模型的多个阶段,还可以更加充分地应对工业生产场景入侵、干扰行为的技术特点,成为工业网络高级可持续性威胁监测、溯源的有效途径之一。
中圖分類號(hào):TP181;TP393文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.09.001
引用格式:趙云龍,霍朝賓,于運(yùn)濤,等.工業(yè)網(wǎng)絡(luò)的高級(jí)可持續(xù)性威脅監(jiān)測(cè)、溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(09):1-7.
Advanced persistent threat monitoring and traceability technology for industrial networks
Zhao Yunlong1, Huo Chaobin1, Yu Yuntao1, Wang Shaojie1,Lu Huawe2
1.The 6th Research Institute of China Electronics Corporation;2.China Unicom Digital Technology Co., Ltd
Abstract: Industrial automation control systems often use dedicated communication protocols, and their application scenarios are closely related to production processes. The currently widely used industrial control threat monitoring technology is based on passive defense concepts, which cannot effectively identify intrusion threats targeting industrial infrastructure with complex technology and covert means. Based on the restoration of industrial related files transmitted in industrial networks, a soft PLC simulation platform application level monitoring and analysis, as well as key security feature tracing scheme, is proposed. This scheme can not only comprehensively cover multiple stages of industrial network threat models, but also more fully respond to the technical characteristics of industrial production scene intrusion and interference. It has become one of the effective ways to monitor and trace advanced sustainability threats in industrial networks.
Key words : industrial control system; advanced persistent threat; soft-PLC; traceability

引言

隨著我國(guó)國(guó)民經(jīng)濟(jì)建設(shè)向工業(yè)數(shù)字化、智能化階段邁進(jìn),工業(yè)自動(dòng)化控制技術(shù)在越來(lái)越多領(lǐng)域得到應(yīng)用的同時(shí),也打破了其原有的封閉性,導(dǎo)致工業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)不斷加劇。因此,對(duì)工控系統(tǒng)威脅監(jiān)測(cè)、取證能力提出了更高的要求。

現(xiàn)有工業(yè)網(wǎng)絡(luò)場(chǎng)景下的威脅監(jiān)測(cè)往往基于網(wǎng)絡(luò)流量分析技術(shù),并單一通過(guò)惡意特征匹配或白名單基線的方式進(jìn)行異常識(shí)別,主要以工業(yè)控制系統(tǒng)入侵檢測(cè)產(chǎn)品、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品兩種形態(tài)進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)采集、協(xié)議解析和異常識(shí)別[1],無(wú)法識(shí)別未知惡意文件,并且難以對(duì)入侵行為背景進(jìn)行溯源。為了解決上述問(wèn)題,本文在實(shí)現(xiàn)工業(yè)相關(guān)文件還原、存儲(chǔ)的能力基礎(chǔ)上提出了基于softPLC仿真平臺(tái)對(duì)被篡改工業(yè)相關(guān)文件進(jìn)行威脅識(shí)別,并通過(guò)特征抽取及大數(shù)據(jù)關(guān)聯(lián)實(shí)現(xiàn)惡意文件背景追溯的方法,以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測(cè)技術(shù)針對(duì)高級(jí)威脅行為效能不足的局面。

本文主要貢獻(xiàn)如下:

(1) 本文提出工業(yè)相關(guān)文件威脅分析及識(shí)別方法,創(chuàng)建了softPLC嵌入式仿真工控運(yùn)行平臺(tái),通過(guò)動(dòng)態(tài)安全監(jiān)測(cè)技術(shù),實(shí)現(xiàn)對(duì)高級(jí)或未知威脅的監(jiān)測(cè)和取證。

(2) 本文提出工業(yè)惡意文件分類、聚類的相似性評(píng)估方法,基于工控系統(tǒng)監(jiān)測(cè)模型的威脅情報(bào)資源,通過(guò)關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù),實(shí)現(xiàn)對(duì)黑客組織及技術(shù)同源性的分析和判定。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://m.ihrv.cn/resource/share/2000006156


作者信息:

趙云龍1,霍朝賓1,于運(yùn)濤1,王紹杰1,魯華偉2

 (1.中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,北京100083;

2.聯(lián)通數(shù)字科技有限公司,北京100031)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。