随着工业以太网技术与IT技术的快速发展,信息化与工业生产深度融合,工业控制系统(Industrial control system,ICS)封闭性被破坏,使ICS面临日益严重与复杂的安全问题。在ICS中,企业将工业控制计算机(Industrial Personal Computer,...
详细信息
随着工业以太网技术与IT技术的快速发展,信息化与工业生产深度融合,工业控制系统(Industrial control system,ICS)封闭性被破坏,使ICS面临日益严重与复杂的安全问题。在ICS中,企业将工业控制计算机(Industrial Personal Computer,IPC)引入各种工业生产环境,用于实现自动化生产并提高生产效率。而IPC作为工控系统控制功能的核心,连接上层信息网络和底层生产网络,面临来自外部互联网、内部工控网络等的多重安全威胁。当前烟草行业在工控安全方面,采取的防御措施仍然停留在边界隔离等传统防护手段上,多采用被动防护手段,依赖具体的攻击特征识别已知的安全威胁,不能在未知、新型的威胁发生前阻断攻击。同时这些防御方法侧重于保护网络通信安全、网络通信协议的安全,忽略了对ICS中处于核心地位的工业计算机IPC的保护。 为解决上述问题,本文提出一种面向攻击链的IPC主动防御模型,并重点研究模型中面向攻击链的IPC主动检测方法。本文提出的模型从IPC入手,基于整个工业控制系统的攻击全过程构建攻击链,实现对ICS中工控网络与IPC的全面保护。本文提出的面向攻击链的IPC主动检测方法进一步从网络模型结构与IPC资源角度进行研究,确定了攻击链各阶段的特征模型,并利用协议的深度解析技术与WMI技术等自动化采集攻击链各阶段的特征数据,采用白名单技术实现攻击链各阶段异常状态与行为的快速检测,预测已知或未知安全威胁,实现及时预警与响应,从而在攻击链前期阶段就及时阻断攻击过程,达到主动防御目的。 内存攻击是黑客常用的攻击手段,攻击者能够利用内存安全漏洞篡改程序运行时的控制流,危害极大。内存攻击检测是本文提出的攻击链第二个阶段软件资源检测的难点所在,因此本文针对IPC容易遭受内存攻击篡改程序执行控制流的问题,提出一种基于函数调用关系远程证明的软件控制流检测方法。该方法主要通过PIN二进制动态插桩工具获取程序主要模块的运行时轨迹信息,并根据轨迹信息计算函数调用路径度量值,通过与存储在远程验证端的预期度量值进行匹配,实现已知或未知的内存攻击检测,提高检测效率,应对白名单存储与分析操作存在的性能消耗问题。 最后,本文实现了面向攻击链检测的IPC主动检测系统,并进行了功能与性能验证。实验结果表明,使用本文提出的方法可以及时发现攻击链各阶段的异常状态与行为,且不会对IPC造成较高的性能消耗,不会对IPC的可用性造成影响。
暂无评论