引用格式:趙云龍,,霍朝賓,于運濤,,等.工業(yè)網(wǎng)絡(luò)的高級可持續(xù)性威脅監(jiān)測,、溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,,43(09):1-7.
引言
隨著我國國民經(jīng)濟建設(shè)向工業(yè)數(shù)字化、智能化階段邁進,,工業(yè)自動化控制技術(shù)在越來越多領(lǐng)域得到應(yīng)用的同時,,也打破了其原有的封閉性,導(dǎo)致工業(yè)網(wǎng)絡(luò)的安全風(fēng)險不斷加劇,。因此,,對工控系統(tǒng)威脅監(jiān)測、取證能力提出了更高的要求,。
現(xiàn)有工業(yè)網(wǎng)絡(luò)場景下的威脅監(jiān)測往往基于網(wǎng)絡(luò)流量分析技術(shù),,并單一通過惡意特征匹配或白名單基線的方式進行異常識別,主要以工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品,、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品兩種形態(tài)進行網(wǎng)絡(luò)通信的數(shù)據(jù)采集,、協(xié)議解析和異常識別[1],,無法識別未知惡意文件,并且難以對入侵行為背景進行溯源,。為了解決上述問題,,本文在實現(xiàn)工業(yè)相關(guān)文件還原,、存儲的能力基礎(chǔ)上提出了基于softPLC仿真平臺對被篡改工業(yè)相關(guān)文件進行威脅識別,,并通過特征抽取及大數(shù)據(jù)關(guān)聯(lián)實現(xiàn)惡意文件背景追溯的方法,以改善傳統(tǒng)工業(yè)網(wǎng)絡(luò)威脅監(jiān)測技術(shù)針對高級威脅行為效能不足的局面,。
本文主要貢獻(xiàn)如下:
(1) 本文提出工業(yè)相關(guān)文件威脅分析及識別方法,,創(chuàng)建了softPLC嵌入式仿真工控運行平臺,通過動態(tài)安全監(jiān)測技術(shù),,實現(xiàn)對高級或未知威脅的監(jiān)測和取證,。
(2) 本文提出工業(yè)惡意文件分類、聚類的相似性評估方法,,基于工控系統(tǒng)監(jiān)測模型的威脅情報資源,,通過關(guān)鍵特征拓展和融合關(guān)聯(lián)技術(shù),實現(xiàn)對黑客組織及技術(shù)同源性的分析和判定,。
本文詳細(xì)內(nèi)容請下載:
http://forexkbc.com/resource/share/2000006156
作者信息:
趙云龍1,,霍朝賓1,于運濤1,,王紹杰1,,魯華偉2
(1.中國電子信息產(chǎn)業(yè)集團有限公司第六研究所,北京100083,;
2.聯(lián)通數(shù)字科技有限公司,,北京100031)
