基于零信任机制的工业互联网边界防护方案研究

随着互联网和信息技术的快速发展,传统的工业制造与新兴信息技术、互联网技术开始互相融合,“工业互联网”逐渐崭露头角,并广泛应用于能源、电力、交通、军工、航空航天、医疗等关系到国家安全、国计民生的重要行业。工业互联网涉及到众多国家关键基础设施,因此工业互联网的安全将影响到社会安全、公众安全甚至国家安全。该文对工业互联网中存在的网络安全风险进行分析,并提出一种基于“零信任”机制的边界防护方案,在兼容数量庞大、种类繁多的工业设备、操作系统以及生产应用的同时,为整个生产内网提供整体安全防护能力。基于零信任机制的工业互联网边界防护方案区别于传统防护思路,以白名单机制代替黑名单机制,以应用隐身代替技术对抗,以动态验证代替静态检测。最后,给出了基于零信任机制实现的工业互联网边界防护应用案例,并结合系统功能分析了该方案的技术优势。

基于Android内核驱动的白名单网络控制

Android系统是目前主流的移动终端操作系统之一,其数据泄露问题日益受到学术界的广泛关注.恶意应用窃取用户敏感数据后通过互联网发送扩散,从而对用户实施进一步侵害.Android系统中网络权限属于常规权限,应用无需用户授权即可联网发送数据.针对上述问题,本文提出了一种基于Android内核驱动程序的网络白名单网络控制方案,用户可以监控所有应用程序的网络使用状态,选择信任的应用加入白名单中,对白名单中的应用程序实行内核级签名验证,防止程序代码被非法篡改,从而构建安全可控的网络使用环境.本方案为应用和内核的通信构建了专用通道,以确保网络白名单管理权限不会被其他应用窃取,随后通过进程识别针对性地管控网络权限,在不影响正常应用功能的情况下实现权限管理.经过实验验证,本方案可以有效防止恶意应用利用互联网泄露用户隐私,网络管控成功率达到了100%.系统运行稳定,被管控应用启动时间最大增加33.1%,最小增加3.6%.

贵州习酒股份有限公司工业控制安全项目

贵州习酒积极推进白酒传统生产方式的机械化升级,推动了整个行业向信息化、智能化转型,其制造过程中的网络安全防护显得越来越重要。本方案构建了贵州习酒工控网络“垂直分层、水平分区、边界控制、内部监测”的工控安全技术防护体系,实现了对各操作站、工业控制系统连接处、无线网络等进行边界防护和准入控制,以及对工业控制系统内部进行网络流量数据监测。本方案构建的工控网络实战化主动防御体系,提升了工控网络未知威胁检测能力,实现了从被动防御变为主动防御,全面提高了工控网络威胁防御能力,全面快速消除了工控网络威胁,实现了从单点防御到工控网络全网协防,形成了贵州习酒工控网络实战化网络安全防护体系。

可编程逻辑控制器的控制逻辑注入攻击入侵检测方法

可编程逻辑控制器(PLC)的控制逻辑注入攻击通过篡改控制程序操纵物理过程,从而达到影响控制过程或破坏物理设施的目的。针对PLC控制逻辑注入攻击,提出了一种基于白名单规则自动化生成的入侵检测方法PLCShield(Programmable Logic Controller Shield)。所提方法以PLC控制程序承载着全面、完整的物理过程控制信息为依据,主要包括两个阶段:首先,通过分析PLC程序的配置文件、指令功能、变量属性和执行路径等信息,提取程序属性、地址、值域和结构等检测规则;其次,采用主动请求PLC的运行“快照”和被动监听网络流量结合的方式,实时获取PLC当前的运行状态和流量中的操作、状态等信息,并通过对比得到的信息与检测规则识别攻击行为。以4款不同厂商和型号的PLC作为研究案例验证PLCShield的可行性,实验结果表明所提方法的攻击检测准确度达到97.71%以上,验证了所提方法的有效性。

遥感监测在智慧地铁中的应用

城市轨道交通保护区内的工厂施工、基坑开挖、钻探挖井等活动,对地铁结构造成极大影响。以北京地铁为例,通过研究遥感监测在智慧地铁中的应用,以提高城市轨道交通保护区的违规施工监测效率、降低监测成本。充分发挥融合卷积神经网络、语义分割2种方法的各自优势,利用卷积神经网络识别建筑物,再通过语义分割提取建筑物对象轮廓,以提升建筑物提取精度。根据建筑信息识别结果、遥感影像监测结果,结合北京市地铁运营有限公司提供数据,核查北京城市轨道交通保护区周边违规施工行为,将结果整理汇总,并建立北京城市轨道交通保护区白名单数据库。

基于数字化能力的目标号码短信精准治理

近年来,全国通信网涉诈短信引发用户业务使用感知持续下降,投诉工单量逐年上升,每年造成用户财产损失金额达上百亿元,极大危害群众生命财产安全,对不良短信的治理是一个与不法分子博弈的过程。随着打击力度持续加大,不法分子在短信批量发送的过程中也开始通过不停地试错、调整发送号码等手段,寻找存在治理漏洞号码类型,并灵活切换以方便其持续从事不法行为。故针对目标类型发送号码的实时监测及精准治理变得越来越必要且迫切。

基于GA-DE-SVM工业防火墙白名单技术研究

目前提升工业防火墙白名单技术的准确率已成为工控网络安全研究的重点和热点。针对此现状,于是提出了一种利用遗传算法和差分进化算法共同优化支持向量机的白名单技术。首先以准确率作为适应度函数,利用遗传算法与差分进化算法的交叉与变异环节相结合,选择出最佳的支持向量机参数惩罚因子c及高斯核参数g,然后使用支持向量机算法进行训练,最后利用PLC对其仿真验证。实验结果表明,该算法优化了分类效果,而且对正常数据的测试准确率提高了18%,异常数据测试准确率则提高了10%.

基于Trustzone的强安全需求环境下可信代码执行方案

针对工业4.0等具有强安全需求、计算功能相对固定的新型信息化应用场景,基于白名单思想提出了1种移动嵌入式平台可信代码执行方案.利用ARM Trustzone硬件隔离技术构建可信执行环境,结合ARM虚拟内存保护机制,构造内核飞地,确保系统监控模块无法被不可信内核篡改或绕过.以此为基础为可信进程提供可执行文件完整性、运行时代码完整性、控制流完整性3种层次的白名单保护,确保设备只能执行符合白名单策略的授权代码.通过构建通信客户端进程与Trustzone安全世界的安全共享内存区,利用Trustzone对外设中断事件的控制能力构建可信时钟中断源,确保Trustzone安全世界与中控服务器通信的隐私性、不可屏蔽性.在此基础上设计安全的白名单更新与平台状态证明协议.在真实设备上实现了原型系统,实验结果证明了该方案的安全性和较为理想的运行效率.

基于云安全的高级计量体系恶意软件检测方法

高级计量体系(AMI)中,智能电表主要依赖嵌入式硬件加密(ESAM)提供保护,遭破解后可能遭恶意软件攻击威胁。针对智能电表通信和计算资源有限的特征,提出了基于白名单的云安全防护方法。首先利用运行环境封闭固定的特点,在计量中心云端安全服务器中建立并维护合法进程白名单;然后在智能电表中安装运行进程检测模块,由其枚举出所有运行进程,计算唯一标识各进程的哈希值特征码并提交到云端安全服务器,与白名单进行对比即可检出含非法进程的表计。该模式仅需在智能电表中计算并上传进程特征码,可在有限的计算和通信资源约束下满足恶意软件检测需求,能够强化AMI的网络安全防护水平。

白名单主动防御系统的设计与实现

党政机关对于未知木马、恶意程序入侵造成的泄密往往采用安装杀毒软件的方法,但是基于黑名单技术的传统杀毒软件的特征库的更新晚于恶意软件的发现,所以无法从根本上做提前防范,因此提出了一种基于白名单技术的主动防御系统。详细阐述了系统功能模块的划分和客户端验证等关键技术的实现方法。白名单采集的是经过管理员验证后可信任软件的文件指纹,然后通过文件指纹的校验和比对,可以禁止运行未知的软件,从而在根源上节制了恶意软件的运行和传播。

核电厂仪控系统安全防护策略研究及应用

核能行业网络安全事件暴露了核电厂仪控系统缺少网络、主机、应用、数据等各方面的网络安全防护手段,一旦发生网络安全事件后果严重。基于对核电相关网络安全标准的分析,研究了白名单策略与黑名单策略的技术差异,提出了在核电厂场景应用白名单防护策略的工作方向。详细分析了程序白名单、外设白名单、工控协议白名单、工控行为白名单的基本概念、技术特点和实际应用场景;描述了白名单防护策略的具体实施方案,包括规划、设计、验证、实施和维护5个步骤,并在实际的核电站进行产品部署。经过在核电站的实践验证,采用白名单技术防护的网络区域可以有效防止恶意软件的破坏,阻止恶意报文的传输,从而保护核电厂仪控系统的安全。

基于URL智能白名单的Web应用未知威胁阻断技术研究

在网络空间对抗不断加剧的情况下,我国各重要行业单位信息化深度发展过程中建设的大量Web应用系统的安全面临严峻考验,各行业单位防护技术及措施存在不足,急需建立有效技术防护体系。文章提出一种基于URL智能白名单的Web应用未知威胁阻断防护方案,从合规行为角度入手,以访问控制白名单和非合规行为阻断为核心,通过建立业务白名单动态模型、URL访问控制白名单,实现应对Web应用未知威胁的主动防御体系,提升我国重要行业单位Web应用系统安全防护水平。

一种分阶段的恶意域名检测算法

针对现有基于域名字符特征的恶意域名检测方法在检测精度和范围等方面表现不佳的问题,提出一种分阶段的恶意域名检测算法.首先,利用域名黑名单和域名白名单技术实现待测域名的快速过滤与响应,并构造潜在待测域名集合;然后,构建双向长短时记忆神经网络(Bi-Directional Long Short Term Memory,BiLSTM)和卷积神经网络(Convolutional Neural Networks,CNN)的混合模型BiLSTM-CNN,并使用Softmax实现潜在待测域名集合中合法域名与恶意域名的分类;最后,通过在Alexa、DGA Domain List和Malware Domain List等标准数据集上进行测试,并与当前主流恶意域名检测算法进行对比.实验结果表明,本文算法在保持检测精度较高的基础上,具有更广的检测范围.

IDN欺骗行为及其防御技术研究

“网络钓鱼”形式的网络欺诈给企业与个人用户带来严重的威胁。IDN欺骗是众多网路钓鱼者使用的一种欺诈手段。本文探讨了各种IDN欺骗手法,并介绍了相应的防御策略。

基于白名单列表的SCADA网络在石化工控系统安全中的应用

提出一种基于白名单列表的SCADA系统来提高工控系统网络的安全性。白名单列表是一个合法传输网络包的七元组,系统以大小和稳定性两个重要的白名单属性进行安全评估,通过某个时间段的学习,将获得的白名单信息存储在列表中。学习阶段结束后,白名单流之外的任何连接都被视为非法并产生报警信息。在某石化企业实际项目的工控系统中成功应用,证实了该方法的有效性。

一种基于信任/不信任的信誉攻击防御策略及稳定性分析

虽然各电子商务企业采用多种信誉评价机制解决消费者对卖方或平台的信任问题,但是信誉评价系统仍然频繁地遭受各种攻击.这些攻击致使卖方的信誉排名和推荐排名被操控,大量诚实消费者被误导而购买了质量较差的商品.有研究者提出综合考虑消费者之间的信任和不信任信息可以使消费者更好地抵御信誉攻击.然而,现有工作存在"信任或不信任信息融合不足"以及"使用一组顾问评价所有卖方"等局限性,因此导致卖方信誉评价的针对性和准确性较差.提出了一种新的防御策略——T&D,它综合考虑了消费者的可信和不可信2个方面.此外,该策略为消费者设置了白名单(存储若干个最信任的评价者)和黑名单(存储若干个最不信任的评价者).利用黑名单净化白名单,诚实消费者可以找到更可信的评价者并依据这些评价者的评分和诚实消费者自身的经历准确评估每个卖方的信誉值.模拟实验结果显示:该策略在评估准确性和稳定性方面明显优于现有防御策略.

Android智能终端二维码安全检测系统的设计与实现

随着二维码技术的应用与推广,二维码已成为病毒传播的新通道,如钓鱼网站、手机病毒、恶意程序等通过二维码传播的潜在风险日益严重。文中分别分析了恶意钓鱼网站、跨站脚本攻击和恶意APP应用下载等攻击方式的特点,设计并实现了一个全方位深层次的二维码安全检测系统。为提高查询效率,该系统将黑白名单同时保存在客户端服务器端进行黑/白名单检测、并重点针对恶意钓鱼网站采用文本相似度算法、SIFT(尺度不变特征检测)匹配算法、SVM(支持向量机)进行综合分析。该系统不仅可以应用于普通用户的日常扫码行为,同时该系统可被政府机构二维码安全监管提供参考工具。

基于API拦截的主动防御系统

通过分析API拦截的研究成果,开发出基于API拦截的主动防御系统。针对启发式主动防御存在误判的现象,添加白名单机制降低了误判率。同时本系统通过插件模式为使用者开发自定义规则插件,提高了系统的可扩展性。

电力监控系统通信安全技术研究

电力行业是关系到国计民生的重要行业,而电力监控系统的安全关系到电力生产的安全。随着工业4.0的到来,电力监控系统的安全正面临前所未有的考验。介绍了当前电力监控系统通信安全存在的问题,分析了当前解决方案的不足,最后提出一种基于可信网络连接结合工控协议白名单的技术方案。

基于硬件虚拟化的主动防御模型研究

基于HOOK内核代码的传统主动防御软件在放行恶意驱动后对于高危险的恶意代码无法做到有效防御,因此在在已有的病毒行为分析和模式识别技术的基础上,提出了一种基于硬件虚拟化的主动防御模型.详细阐述了硬件虚拟化的主动防御系统的主体构架和实现,系统功能模块的划分及实现原理,行为视窗监控、黑白名单等关键技术的实现方法,从更底层的角度进行行为检测防御,并通过影子页表可以实现高强度的自我保护.