引用格式:趙云龍,霍朝賓,于運(yùn)濤,等.工業(yè)網(wǎng)絡(luò)的高級(jí)可持續(xù)性威脅監(jiān)測(cè)、溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(09):1-7.
引言
隨著我國(guó)國(guó)民經(jīng)濟(jì)建設(shè)向工業(yè)數(shù)字化、智能化階段邁進(jìn),工業(yè)自動(dòng)化控制技術(shù)在越來(lái)越多領(lǐng)域得到應(yīng)用的同時(shí),也打破了其原有的封閉性,導(dǎo)致工業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)不斷加劇。因此,對(duì)工控系統(tǒng)威脅監(jiān)測(cè)、取證能力提出了更高的要求。
現(xiàn)有工業(yè)網(wǎng)絡(luò)場(chǎng)景下的威脅監(jiān)測(cè)往往基于網(wǎng)絡(luò)流量分析技術(shù),并單一通過(guò)惡意特征匹配或白名單基線的方式進(jìn)行異常識(shí)別,主要以工業(yè)控制系統(tǒng)入侵檢測(cè)產(chǎn)品、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品兩種形態(tài)進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)采集、協(xié)議解析和異常識(shí)別[1],無(wú)法識(shí)別未知惡意文件,并且難以對(duì)入侵行為背景進(jìn)行溯源。為了解決上述問(wèn)題,本文在實(shí)現(xiàn)工業(yè)相關(guān)文件還原、存儲(chǔ)的能力基礎(chǔ)上提出了基于softPLC仿真平臺(tái)對(duì)被篡改工業(yè)相關(guān)文件進(jìn)行威脅識(shí)別,并通過(guò)特征抽取及大數(shù)據(jù)關(guān)聯(lián)實(shí)現(xiàn)惡意文件背景追溯的方法,以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測(cè)技術(shù)針對(duì)高級(jí)威脅行為效能不足的局面。
本文主要貢獻(xiàn)如下:
(1) 本文提出工業(yè)相關(guān)文件威脅分析及識(shí)別方法,創(chuàng)建了softPLC嵌入式仿真工控運(yùn)行平臺(tái),通過(guò)動(dòng)態(tài)安全監(jiān)測(cè)技術(shù),實(shí)現(xiàn)對(duì)高級(jí)或未知威脅的監(jiān)測(cè)和取證。
(2) 本文提出工業(yè)惡意文件分類、聚類的相似性評(píng)估方法,基于工控系統(tǒng)監(jiān)測(cè)模型的威脅情報(bào)資源,通過(guò)關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù),實(shí)現(xiàn)對(duì)黑客組織及技術(shù)同源性的分析和判定。
本文詳細(xì)內(nèi)容請(qǐng)下載:
http://m.viuna.cn/resource/share/2000006156
作者信息:
趙云龍1,霍朝賓1,于運(yùn)濤1,王紹杰1,魯華偉2
(1.中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,北京100083;
2.聯(lián)通數(shù)字科技有限公司,北京100031)
