工业互联网OT攻击与杀伤链

工业环境最大的安全威胁是专有的靶向类恶意代码,如著名的震网Stuxnet、火焰Flame等蠕虫(病毒), 其攻击对象是工业控制系统(Industrial Control System,ICS)中的工程师站、操作员站、 服务器等主机以及DCS(Distributed Control System,分布式控制系统)、 PLC(Programmable Logic Controller,可编程逻辑控制器)等控制器。 此类威胁通过逐级渗透至ICS现场层控制网络,即应用ICS网络杀伤链(The industrial control system cyber kill chain) 直接对主机及现场控制设备进行恶意操控和逻辑篡改,达到破坏工业生产流程和损伤物理实体的目的。
CPS/ICS cyber range

OT(Operational Technology)攻击旨在干扰或损害工业互联网底层的传感器、执行器、控制器等工控设备, 操控或破坏工业生产的物理过程。为了产生预期的影响(如Stuxnet损毁离心机),攻击者需要评估其攻击将 如何在控制系统和物理过程中执行。发起这样的攻击需要具备不同于IT安全的知识, 包括设备故障状态、控制原理、过程行为、信号处理等方面的知识,即攻击者需要知道 物理过程是如何被控制的。

包含网络化工业控制系统(Networked Industrial Control System,NICS)的工业互联网一般采用纵深防御或 分区分域的安全策略,直接暴露在Internet中的NICS是不合规的、较少的。为了对处于工业互联网底层(“内网深处”) 的NICS发动OT攻击,须应用ICS网络杀伤链,即首先实施针对NICS的IT攻击,搜集ICS的相关信息并窃取生产环境的访问权限, 与常规的IT攻击类似,可以称之为“踩点、挖(漏)洞、穿(防火)墙”,再利用IT攻击成果实施OT攻击。

Team Mission

工业互联网OT安全

面向电力、石化、水厂等关乎国家社会稳定与安全的关键基础设施网络,研究针对工业互联网(含IIoT)传感器/执行器的攻防技术

工业互联网IT安全

针对OT安全需求,研究以OT为最终攻击目标的IT网络攻击模型、攻击树及基于工业大数据的APT攻击检测与攻击溯源

工业互联网安全

Focus on Safety and Security of Critical Infrastructure

Important Issues

安全研究平台

基于NFV/LXC等虚拟技术的大规模工业互联网分布式仿真技术,石化、电力、水处理等流程工业建模仿真

OT攻击技术

传感器/执行器操控参数攻击,针对控制逻辑的语义攻击,物理干扰、测量替换、回放攻击,其它隐式攻击

IT攻击技术

工业互联网场景识别与OT关键目标识别定位,面向传感器/执行器攻击的工业互联网渗透与攻击模型

plant-topo

工业大数据

工业大数据挖掘及语义信息提取方法,安全威胁数据深度关联模型,基于工业大数据的攻击检测与溯源

异常检测算法

基于工业互联网遥测、遥信、遥控、遥调数据和工控行为驱动的工业互联网异常检测与安全态势感知

抗攻击技术

工业互联网安全威胁建模与脆弱性分析,OT漏洞与安全管理,基于SDN的抗监听、抗毁与灾难恢复技术

成果与愿景

以攻击建模安全测试和异常检测算法为核心,研发系列测试床, 构建基于大数据可视化的系列算法验证、测试平台,积累、分享工业安全研究数据。
Attack and defense safety & security practice platform

工业互联网系列安全测试床

Industrial Internet online custom simulation platform

工业互联网安全在线实验室

Shared data warehouses for safety & security research

工业互联网共享数据仓库

Attack/abnormal behavior detection

工业互联网异常检测系统

Industrial Internet security assessment system

工业互联网安全评估系统

Industrial Internet threat management system

工业互联网威胁管理系统