工控物联网安全威胁解析及流量检测.pdf

工控物联网安全威胁解析及异常流量检测 1 背景——正被打开的潘多拉魔盒 2 工业控制系统网络杀伤链 3 工业控制系统协议脆弱性分析 4 工控流量特点及异常检测方法 5 应用及总结 背景——正被打开的潘多拉魔盒 STUXNET，破坏 伊朗核计划 Blackenergy，乌克兰停电 委内瑞拉全国大面积停电 2010年 2015年 2019年 2014年 2018年 2019年 德国钢厂遭受APT攻击 俄罗斯黑客入侵美国电网 美国纽约停电 1. 黑客或黑客组织已将触角逐渐伸入到工业控制领域 两大趋势： 2. 瘫痪对方的基础设施也逐渐成为一种国与国之间对抗的手段 工控物联网系统已成为网络战的理想攻击目标 工业控制系统网络杀伤链 2011年 ，美国国防承包商洛克希德·马丁公司提出了应用到网络安全威胁的杀伤链模型 ，即所谓的 “网络杀 伤链”，指成功发起网络攻击的七个阶段。 Cognitive Attack Loop 工业控制系统网络杀伤链是分阶段进行的： 第一阶段 网络入侵的准备与执行 （跟 “网络杀伤链”相似） 第二阶段 工控系统的攻击开发与执行 工业控制系统网络杀伤链 阶段1-网络入侵的准备与执行 工控系统网络攻击的第一阶段以获取工控系统的相关信息为目的 ，寻找内部边界保护的突破 方法 ，从而获得生产环境的访问权限。 工业控制系统网络杀伤链 阶段2-攻击开发与执行 第二阶段主要包含三个步骤 ： Attack Development and Tuning 针对特定的工控系统 ，需要开发专门的攻击模块 ，以达到想 要造成的影响。 Validation 攻击者必须在类似或相同配置的系统上测试他们的攻击功能 ， 确认该攻击模块能对目标系统产生有意义和可靠的影响。 ICS Attack 攻击者将投递其实现的攻击功能 （Deliver），安装或修改现 有系统功能 （Install/ Modify），然后执行攻击 （Execute）。 黑客攻击工业控制系统的3大目的 攻击者要达到的目标分为三类 ： 丢失(Loss) • 监视信息丢失(Loss of view) • 失