引言

隨著我國國民經(jīng)濟(jì)建設(shè)向工業(yè)數(shù)字化、智能化階段邁進(jìn)，工業(yè)自動(dòng)化控制技術(shù)在越來越多領(lǐng)域得到應(yīng)用的同時(shí)，也打破了其原有的封閉性，導(dǎo)致工業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)不斷加劇。因此，對工控系統(tǒng)威脅監(jiān)測、取證能力提出了更高的要求。

現(xiàn)有工業(yè)網(wǎng)絡(luò)場景下的威脅監(jiān)測往往基于網(wǎng)絡(luò)流量分析技術(shù)，并單一通過惡意特征匹配或白名單基線的方式進(jìn)行異常識(shí)別，主要以工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品兩種形態(tài)進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)采集、協(xié)議解析和異常識(shí)別［1］，無法識(shí)別未知惡意文件，并且難以對入侵行為背景進(jìn)行溯源。為了解決上述問題，本文在實(shí)現(xiàn)工業(yè)相關(guān)文件還原、存儲(chǔ)的能力基礎(chǔ)上提出了基于softPLC仿真平臺(tái)對被篡改工業(yè)相關(guān)文件進(jìn)行威脅識(shí)別，并通過特征抽取及大數(shù)據(jù)關(guān)聯(lián)實(shí)現(xiàn)惡意文件背景追溯的方法，以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測技術(shù)針對高級威脅行為效能不足的局面。

本文主要貢獻(xiàn)如下：

(1) 本文提出工業(yè)相關(guān)文件威脅分析及識(shí)別方法，創(chuàng)建了softPLC嵌入式仿真工控運(yùn)行平臺(tái)，通過動(dòng)態(tài)安全監(jiān)測技術(shù)，實(shí)現(xiàn)對高級或未知威脅的監(jiān)測和取證。

(2) 本文提出工業(yè)惡意文件分類、聚類的相似性評估方法，基于工控系統(tǒng)監(jiān)測模型的威脅情報(bào)資源，通過關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù)，實(shí)現(xiàn)對黑客組織及技術(shù)同源性的分析和判定。

本文詳細(xì)內(nèi)容請下載：

http://m.jysgc.com/resource/share/2000006156

作者信息：

趙云龍1，霍朝賓1，于運(yùn)濤1，王紹杰1，魯華偉2

 （1.中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京100083；

2.聯(lián)通數(shù)字科技有限公司，北京100031）