引用格式:趙云龍,霍朝賓,于運濤,等.工業(yè)網(wǎng)絡(luò)的高級可持續(xù)性威脅監(jiān)測、溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(09):1-7.
引言
隨著我國國民經(jīng)濟(jì)建設(shè)向工業(yè)數(shù)字化、智能化階段邁進(jìn),工業(yè)自動化控制技術(shù)在越來越多領(lǐng)域得到應(yīng)用的同時,也打破了其原有的封閉性,導(dǎo)致工業(yè)網(wǎng)絡(luò)的安全風(fēng)險不斷加劇。因此,對工控系統(tǒng)威脅監(jiān)測、取證能力提出了更高的要求。
現(xiàn)有工業(yè)網(wǎng)絡(luò)場景下的威脅監(jiān)測往往基于網(wǎng)絡(luò)流量分析技術(shù),并單一通過惡意特征匹配或白名單基線的方式進(jìn)行異常識別,主要以工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品兩種形態(tài)進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)采集、協(xié)議解析和異常識別[1],無法識別未知惡意文件,并且難以對入侵行為背景進(jìn)行溯源。為了解決上述問題,本文在實現(xiàn)工業(yè)相關(guān)文件還原、存儲的能力基礎(chǔ)上提出了基于softPLC仿真平臺對被篡改工業(yè)相關(guān)文件進(jìn)行威脅識別,并通過特征抽取及大數(shù)據(jù)關(guān)聯(lián)實現(xiàn)惡意文件背景追溯的方法,以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測技術(shù)針對高級威脅行為效能不足的局面。
本文主要貢獻(xiàn)如下:
(1) 本文提出工業(yè)相關(guān)文件威脅分析及識別方法,創(chuàng)建了softPLC嵌入式仿真工控運行平臺,通過動態(tài)安全監(jiān)測技術(shù),實現(xiàn)對高級或未知威脅的監(jiān)測和取證。
(2) 本文提出工業(yè)惡意文件分類、聚類的相似性評估方法,基于工控系統(tǒng)監(jiān)測模型的威脅情報資源,通過關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù),實現(xiàn)對黑客組織及技術(shù)同源性的分析和判定。
本文詳細(xì)內(nèi)容請下載:
http://m.jysgc.com/resource/share/2000006156
作者信息:
趙云龍1,霍朝賓1,于運濤1,王紹杰1,魯華偉2
(1.中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,北京100083;
2.聯(lián)通數(shù)字科技有限公司,北京100031)
