基于可信的工业控制系统主动协同防御技术研究

In recent years, WannaCry and other malicious codes have caused great harm to the Industrial Control System (ICS), and their method of transmission can break through the existed security protection. The security problem of the ICS is urgent in China. It is very significant to strengthen the ICS security research for our national defense security and social stability. Because active defense is our dominant technology, this project will build an active collaborative defense model based on trust to against new intelligent ICS attacks. We will establish a trusted access connection model to prevent the man-in-middle attack or wiretapping, and form the first defense line for the ICS. We will construct an intrusion detection system based on trusted behavior template, and discover the mechanism of intrusion attacks. We study vulnerability mining technology based on the deep learning to form a collaborative defense line. In this project, we will put forward a set of security key technology and theory for the ICS security, and implement a defense prototype system with active and collaborative advantage. The result has important theoretical significance and practical value to accelerate deployment and upgrades of the Industrial Internet of Thing in China, and get considerable social and economic benefits.

近年来，WannaCry等恶意代码对工控系统造成了巨大危害，其扩散手段可以突破现有安全防护措施。我国工控安全问题突出，加强工控安全研究对于我国的国防安全和社会稳定有着至关重要的意义。主动防御是我国国家安全层面的战略性目标，项目组具备将具有主动控制特点的可信计算技术实现于主动防御的优势，构建基于可信的工控系统主动协同防御模型，以防御新型的、智能化的网络攻击。建立工控系统的可信准入模型，保障准入终端安全可信，形成工控系统的第一道防线；对于突破安全防线的攻击，构建基于可信行为模板的入侵检测系统，构建工控系统的第二道防线；为提升工控系统自身安全，研究工控系统漏洞挖掘技术，形成基于漏洞发现的协同防御措施。通过本项目研究，将会形成一套工控系统安全防护的关键技术和理论，有助于解决传统安全防御技术无法简单移植的问题，加快我国工业互联网的部署和升级，具有重要的理论意义。

随着2010年“震网”病毒的出现，2018年乌克兰氯气站遭VPNFilter恶意软件突袭，2019年委内瑞拉遭受停电等安全事件的发生，工业控制系统正成为网络空间对抗的主战场。我国工控安全问题突出，加强工控安全研究对于我国的国防安全和社会稳定有着至关重要的意义。主动防御是我国国家安全层面的战略性目标，项目组具备将具有主动控制特点的可信计算技术实现于主动防御的优势，构建基于可信的工控系统主动协同防御模型，以防御新型的、智能化的网络攻击。本项目建立了工控系统的可信准入模型，保障准入终端安全可信，形成了工控系统的第一道防线；对于突破安全防线的攻击，构建了基于可信行为模板的入侵检测系统，形成了工控系统的第二道防线；为提升工控系统自身安全，研究工控系统漏洞挖掘技术，形成了基于漏洞发现的协同防御措施。通过本项目研究，形成了防护工控系统安全的一系列关键技术和理论，有助于解决传统安全防御技术无法简单移植的问题，加快我国工业互联网的部署和升级，具有重要的理论意义。. 本项目经过一年的研究，取得了良好的进展。在SCI/EI期刊上发表文章5篇（含录用），已检索4篇；申请技术发明专利3项及软件著作权3项；实现专利转让1项；培养博士研究生1人，硕士研究生3人。此外，采用本项目提出方法成功发现了西门子S7的一个协议漏洞，向国家信息安全漏洞共享平台提交了关于其原创性的详细信息，通过了CNVD认可并授予漏洞编号：CNVD-2019-10130。参加国家标准制定项目，承担《信息安全技术 工业控制系统漏洞检测技术要求及测试评价方法》和《信息安全技术 工业控制网络监测安全技术要求及测试评价方法》两项国家标准的制定工作，是国家标准制定项目的主持单位之一，目前这两项标准已经成为国家正式标准GB∕T 37954-2019、GB∕T 37953-2019。