面向工控領域APT攻擊威脅智能感知技術研究.pdf

1、近年來，APT攻擊席卷全球，面向工控領域的APT攻擊直接對關系國計民生的關鍵基礎設施進行破壞。自2010年伊朗布什爾核電站遭到震網病毒的攻擊以來，針對工業(yè)控制領域的APT攻擊已經成為各個國家安全機構、工業(yè)控制行業(yè)和該領域專家學者的關注熱點。結合典型“震網病毒”案例的攻擊特點和現有工控領域安全的文獻研究，本文主要關注工業(yè)控制領域ICS系統特有的攻擊類型:在網絡通信數據包格式完全正常的情況下，仍會出現基于順序或基于時間的序列攻擊。
　

2、　本文提出一個基于離散馬爾科夫鏈的層次化的時序感知入侵檢測系統，分為數據處理和入侵檢測兩部分。數據處理部分使用Snort入侵檢測軟件，對基于Modbus協議的工控網絡數據進行捕獲并過濾，將過濾后的數據根據Modbus協議數據特性進行提取，結合馬爾科夫鏈將提取后的數據抽象為狀態(tài)和跳轉關系，建立馬爾科夫模型。
　　在入侵檢測部分，本文首先針對ICS系統特有的基于順序和基于時間的序列攻擊進行分類，并根據需要檢測的類別提出異常檢測算法。根