面向工控領(lǐng)域APT攻擊威脅智能感知技術(shù)研究.pdf

1、近年來，APT攻擊席卷全球，面向工控領(lǐng)域的APT攻擊直接對關(guān)系國計民生的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行破壞。自2010年伊朗布什爾核電站遭到震網(wǎng)病毒的攻擊以來，針對工業(yè)控制領(lǐng)域的APT攻擊已經(jīng)成為各個國家安全機(jī)構(gòu)、工業(yè)控制行業(yè)和該領(lǐng)域?qū)＜覍W(xué)者的關(guān)注熱點。結(jié)合典型“震網(wǎng)病毒”案例的攻擊特點和現(xiàn)有工控領(lǐng)域安全的文獻(xiàn)研究，本文主要關(guān)注工業(yè)控制領(lǐng)域ICS系統(tǒng)特有的攻擊類型:在網(wǎng)絡(luò)通信數(shù)據(jù)包格式完全正常的情況下，仍會出現(xiàn)基于順序或基于時間的序列攻擊。
　

2、　本文提出一個基于離散馬爾科夫鏈的層次化的時序感知入侵檢測系統(tǒng)，分為數(shù)據(jù)處理和入侵檢測兩部分。數(shù)據(jù)處理部分使用Snort入侵檢測軟件，對基于Modbus協(xié)議的工控網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行捕獲并過濾，將過濾后的數(shù)據(jù)根據(jù)Modbus協(xié)議數(shù)據(jù)特性進(jìn)行提取，結(jié)合馬爾科夫鏈將提取后的數(shù)據(jù)抽象為狀態(tài)和跳轉(zhuǎn)關(guān)系，建立馬爾科夫模型。
　　在入侵檢測部分，本文首先針對ICS系統(tǒng)特有的基于順序和基于時間的序列攻擊進(jìn)行分類，并根據(jù)需要檢測的類別提出異常檢測算法。根