面向工控領(lǐng)域APT攻擊威脅智能感知技術(shù)研究.pdf

1、近年來，APT攻擊席卷全球，面向工控領(lǐng)域的APT攻擊直接對(duì)關(guān)系國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行破壞。自2010年伊朗布什爾核電站遭到震網(wǎng)病毒的攻擊以來，針對(duì)工業(yè)控制領(lǐng)域的APT攻擊已經(jīng)成為各個(gè)國家安全機(jī)構(gòu)、工業(yè)控制行業(yè)和該領(lǐng)域?qū)＜覍W(xué)者的關(guān)注熱點(diǎn)。結(jié)合典型“震網(wǎng)病毒”案例的攻擊特點(diǎn)和現(xiàn)有工控領(lǐng)域安全的文獻(xiàn)研究，本文主要關(guān)注工業(yè)控制領(lǐng)域ICS系統(tǒng)特有的攻擊類型:在網(wǎng)絡(luò)通信數(shù)據(jù)包格式完全正常的情況下，仍會(huì)出現(xiàn)基于順序或基于時(shí)間的序列攻擊。
　

2、　本文提出一個(gè)基于離散馬爾科夫鏈的層次化的時(shí)序感知入侵檢測(cè)系統(tǒng)，分為數(shù)據(jù)處理和入侵檢測(cè)兩部分。數(shù)據(jù)處理部分使用Snort入侵檢測(cè)軟件，對(duì)基于Modbus協(xié)議的工控網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行捕獲并過濾，將過濾后的數(shù)據(jù)根據(jù)Modbus協(xié)議數(shù)據(jù)特性進(jìn)行提取，結(jié)合馬爾科夫鏈將提取后的數(shù)據(jù)抽象為狀態(tài)和跳轉(zhuǎn)關(guān)系，建立馬爾科夫模型。
　　在入侵檢測(cè)部分，本文首先針對(duì)ICS系統(tǒng)特有的基于順序和基于時(shí)間的序列攻擊進(jìn)行分類，并根據(jù)需要檢測(cè)的類別提出異常檢測(cè)算法。根