引言
随着我国国民经济建设向工业数字化、智能化阶段迈进,工业自动化控制技术在越来越多领域得到应用的同时,也打破了其原有的封闭性,导致工业网络的安全风险不断加剧。因此,对工控系统威胁监测、取证能力提出了更高的要求。
现有工业网络场景下的威胁监测往往基于网络流量分析技术,并单一通过恶意特征匹配或白名单基线的方式进行异常识别,主要以工业控制系统入侵检测产品、工业控制系统网络审计产品两种形态进行网络通信的数据采集、协议解析和异常识别[1],无法识别未知恶意文件,并且难以对入侵行为背景进行溯源。为了解决上述问题,本文在实现工业相关文件还原、存储的能力基础上提出了基于softPLC仿真平台对被篡改工业相关文件进行威胁识别,并通过特征抽取及大数据关联实现恶意文件背景追溯的方法,以改善传统工业网络威胁监测技术针对高级威胁行为效能不足的局面。
本文主要贡献如下:
(1) 本文提出工业相关文件威胁分析及识别方法,创建了softPLC嵌入式仿真工控运行平台,通过动态安全监测技术,实现对高级或未知威胁的监测和取证。
(2) 本文提出工业恶意文件分类、聚类的相似性评估方法,基于工控系统监测模型的威胁情报资源,通过关键特征拓展和融合关联技术,实现对黑客组织及技术同源性的分析和判定。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006156
作者信息:
赵云龙1,霍朝宾1,于运涛1,王绍杰1,鲁华伟2
(1.中国电子信息产业集团有限公司第六研究所,北京100083;
2.联通数字科技有限公司,北京100031)
此内容为AET网站原创,未经授权禁止转载。
