优秀论文 | 工业网络的高级可持续性威胁监测、溯源技术

 工业自动化控制系统多使用专用通信协议，应用场景与生产工艺流程紧密联系。目前所普遍采用的工控威胁监测技术是基于被动防御理念，无法有效识别以工业基础设施为目标，且技术复杂、手段隐蔽的入侵威胁。以工业网络中传输的工业相关文件还原为数据基础，提出基于soft-PLC仿真平台应用级的监测分析以及关键安全特征追溯方案，不但可以更加全面覆盖工业网络威胁模型的多个阶段，还可以更加充分地应对工业生产场景入侵、干扰行为的技术特点，成为工业网络高级可持续性威胁监测、溯源的有效途径之一。

 工业控制系统 高级可持续性威胁 soft-PLC  溯源

随着我国国民经济建设向工业数字化、智能化阶段迈进，工业自动化控制技术在越来越多领域得到应用的同时，也打破了其原有的封闭性，导致工业网络的安全风险不断加剧。因此，对工控系统威胁监测、取证能力提出了更高的要求。

现有工业网络场景下的威胁监测往往基于网络流量分析技术，并单一通过恶意特征匹配或白名单基线的方式进行异常识别，主要以入侵检测产品、工业控制系统网络审计产品两种形态进行网络通信的数据采集、协议解析和异常识别［1］，无法识别未知恶意文件，并且难以对入侵行为背景进行。为了解决上述问题，本文在实现工业相关文件还原、存储的能力基础上提出了基于softPLC仿真平台对被篡改工业相关文件进行威胁识别，并通过特征抽取及大数据关联实现恶意文件背景追溯的方法，以改善传统工业网络威胁监测技术针对高级威胁行为效能不足的局面。

本文主要贡献如下：

(1) 本文提出工业相关文件威胁分析及识别方法，创建了softPLC嵌入式仿真工控运行平台，通过动态安全监测技术，实现对高级或未知威胁的监测和取证。

(2) 本文提出工业恶意文件分类、聚类的相似性评估方法，基于工控系统监测模型的威胁情报资源，通过关键特征拓展和融合关联技术，实现对黑客组织及技术同源性的分析和判定。

赵云龙1，霍朝宾1，于运涛1，王绍杰1，鲁华伟2

（1.中国电子信息产业集团有限公司第六研究所，北京100083；

2.联通数字科技有限公司，北京100031）