文摘

考虑到攻击的工业控制系统大多是有组织,有预谋的行动,IP回溯是重要工业控制系统的安全。基于互联网的基础设施,我们已经开发出一种新型恶意IP回溯模型,ICSTrace,没有部署任何新服务。模型提取函数代码及其参数从攻击数据根据工业控制协议的格式和使用短序列概率方法将功能代码和参数转换为一个矢量,这是恶意IP地址的攻击模式。此外,部分播种K则为模式的聚类算法,这有助于在跟踪攻击回到一个组织。ICSTrace评估基于攻击数据被大规模部署honeypot对于工业控制系统,结果表明,ICSTrace是有效的恶意IP回溯在工业控制系统。

1。介绍

与物联网的快速发展(物联网),越来越多的工业控制系统(ICS)连接到互联网。虚拟信号之间的关键联系和真正的设备,一个联网ICS使生产过程更准确、敏捷。但它也缩小之间的距离和工业基础设施的网络攻击。正如我们所知,Stuxnet蠕虫被披露是第一个蠕虫攻击的能源基础设施1,22010年)。2014年,黑客袭击了在德国的一个钢铁厂,高炉不能正常关闭(3]。2015年12月23日,乌克兰电网遭受黑客攻击,这是第一个成功的攻击电网,导致成千上万的用户遭受停电几个小时(4]。2017年,安全厂商ESET披露一个工业控制网络攻击武器命名为win32 / Industroyer,实现对权力的恶意攻击变电站系统(5]。

女性是高度相互联系和相互依赖的国家重要基础设施(6),因此攻击者已经注意到近年来攻击ICS的高回报。袭击者身份不同。他们可能是黑客,有组织的犯罪集团的成员,甚至是敌对的国家。最糟糕的情况是,ICS已经成为恐怖分子的新目标获得的影响通过破坏真实的物理世界。随着传统ICS从网络物理隔离,大多数研究只关注系统的功能安全而不是网络的安全考虑。没有任何特殊的防护措施,更不用说跟踪攻击后的归因机制(7]。安全研究人员正致力于ICS的入侵检测技术。他们想要识别、拦截和警报的威胁,严重的袭击发生。这些入侵检测技术可以分为如下几类:基于状态(8],基于[9),基于规则(10],基于特性[11],基于模型[12],ML-based(机器学习)13,14]。

因为ICS中扮演一个重要的角色在国家重要基础设施,对集成电路的网络攻击大多是有组织,有预谋的行动。不仅是重要的,以确定是否有追踪网络攻击的威胁ICS也回来了。此外,定位发起者和他们的动机之前或期间的攻击是至关重要的威慑和打击有预谋的,有组织的攻击者。

归因是其中一个最棘手的问题的一个新兴领域,由底层技术架构和地理网络(15]。当前主流IP回溯技术包括数据包标记机制(16),包日志机制(17),而他们的混合18,19]。包标记机制需要路由器写一个标签(如IP地址)到每个包的一些领域。目标检索的所有标签接收到的数据包并发现路由路径。包标记机制包括两类:概率包标记(PPM) (16),确定包标记(DPM) [20.]。包日志机制需要记录所有的路由器转发数据包,以揭示了路由路径。显然,这种机制要消耗大量的存储空间。以上这些IP回溯技术需要重新设计互联网或部署新服务。仍然没有适用的IP回溯系统部署在网络上。

归因的终极目标是识别一个组织或一个政府,不是个人15]。我们的研究确定一个组织通过缩放到一个单一的IP水平,然后缩放回一个组织或一个单位级别不改变互联网架构或部署新服务。而不是直接追溯一个数据包的来源,我们只是认识到恶意IP地址属于同一个组织。

在这项研究中,我们提出一个恶意IP回溯模型(ICSTrace)为工业控制系统,和这个模型使以下贡献:(1)基于S7 ICS协议的深入分析,功能代码和参数从攻击中提取数据。(2)特征向量函数的代码和设计参数来表示攻击模式。(3)采用滑动窗口方法降低维度的多维样本。(4)部分播种K——基于聚类算法K则算法。(5)ICSTrace是被证明是有效的基础上真正的攻击数据被大规模部署honeypot ICS。

部分2介绍了研究背景和我们先前的攻击数据收集工作。部分3描述我们的IP回溯的体系结构模型。部分45介绍了攻击模式提取方法和部分播种K——聚类的算法,分别。节6,我们评估我们的IP回溯模型基础上真正的攻击数据。部分7是我们的相关工作,部分8是结论。

2。背景

ICS是一个业务流程管理与控制系统由各种自动控制和过程控制组件。它收集和监控实时信号,以确保操作或过程自动控制的功能。其应用领域包括程序自动化、工业控制、智能建筑、电力传输和分配,智能电表,汽车交流。ICS协议是指集成电路中使用的通信协议。最知名的ICS协议包括S7、Modbus BACnet, DNP3。

西门子S7协议是一个专有协议(21)上运行的可编程逻辑控制器(plc)的西门子s7 - 200、300和400系列。它适用于以太网、现场总线或MPI网络。因为这项研究的对象是那些工业控制系统访问互联网,我们只讨论基于tcp的S7协议的以太网网络。如图1、S7协议数据包被COTP包装协议,然后由TPKT包装协议TCP连接的包。


图1
头的S7通信数据包格式。

如图2S7协议的通信过程分为三个阶段。第一阶段是建立COTP连接,第二阶段是建立S7沟通,第三阶段是交换的请求和响应函数的代码。


图2
S7协议的通信过程。

S7的魔法标记协议是固定到0×32岁和S7以下字段类型,数据单元ref,参数长度,数据长度,结果信息,参数和数据。在参数字段中,第一个字节代表S7的函数代码。表1显示了S7的可选的函数代码。通讯设置代码是用于构建S7连接;读代码帮助从PLC主机读取数据;编写代码帮助写数据的主机PLC。至于请求下载的代码,下载,下载,下载,上传,上传结束,他们设计的下载或上传操作。PLC控制代码覆盖热酷跑的业务,而PLC站是用来关闭设备。

表1
S7协议功能代码和相应的功能。

当函数代码0×00,它所代表的系统功能用于检查系统设置或状态。所描述的细节4比特函数组代码和字节subfunciton代码参数字段。系统功能进一步分为7组,如表所示2。块函数是用来阅读,和时间函数是用来检查或一组设备的时钟。

表2
当函数代码0×00,这是系统功能,并进一步分为7组。

目前,没有任何安全研究的ICS攻击数据集。因此,我们开发了一种高互动ICS蜜罐命名为S7commTrace在以前的工作22),基于西门子S7协议。

蜜罐是一种安全的资源,用于吸引攻击者非法应用程序没有任何业务效用(23]。蜜罐技术是一个方法来设置一些主机,网络服务,或信息作为诱饵,引诱攻击者,这样的行为攻击可以获取并分析(24]。蜜罐可以用来更好地了解这些攻击是原始的风景25]。

S7commTrace姿势作为一个真正的PLC设备通过模拟S7协议捕获探测和攻击数据。它可以分为四个模块,包括TCP通信模块,S7协议仿真模块、数据存储模块和用户模板,如图3


图3
结构的ICS蜜罐(S7commTrace)。

TCP通信模块的主要功能是监听TCP端口102,将接收的数据提交协议仿真模块,并回复远程对等。S7comm协议仿真模块解析接收到的数据根据协议格式和获得有效的内容。然后,S7comm协议仿真模块生成应答数据指的是用户模板。最后,应答数据发送回TCP通信模块打包。用户模板记录所有用户定义的信息,如PLC序列号和制造商。数据存储模块处理请求和响应的数据存储。

我们部署S7commTrace honeypot在美国、中国、德国、俄罗斯、日本、新加坡和韩国在同一时间。平均每个S7commTrace跑了272天。最后,我们捕获的110501个请求S7comm协议,如表所示3。事实上,并不是所有的请求都是依照S7comm格式。忽视他们,S7commTrace记录共有46492个有效请求。如果我们定义一个不间断的TCP通信连接会话,S7commTrace 5797届和4224个有效会议记录。此外,一个有效的IP地址表明该IP至少有一个有效的会话。

表3
数的所有攻击数据和有效的攻击数据经过13 honeypot运行272天。

根据DNS查询结果,我们发现有26个IP地址指向Shodan。io, 19个IP地址指向eecs.umich.edu16 IP地址指向neu.edu.cn, 5 IP地址指向plcscan.org,如表所示4。这意味着至少573个有效的IP地址属于四个组织。

表4
通过DNS反向查找IP静力学。

Shodan。io (26)的域名后缀Shodan搜索引擎在网络空间。除了传统检索web服务,Shodan使用ICS协议直接爬ICS设备在互联网上和可视化的位置和其他信息。Eecs.umich.edu的域名后缀是电子和计算机科学系(电)美国密歇根大学,这是一个机构的发展中Censys [27,28]。Censys扫描设备在互联网并将结果存储在其数据库中。不仅提供了web和API查询接口还原始数据下载。Neu.edu.cn的域名后缀是东北大学中国发展搜索引擎名称作为检测(29日]。集成电路设备的检测能提供准确的信息和他们的位置。Plcscan.org是灯塔的域名后缀实验室(30.)是致力于集成电路安全相关的研究和实践。这四个组织是众所周知的安全研究机构。他们扫描设备在互联网,包括集成电路设备。除了66个IP地址属于四个著名的组织,仍然有507个IP地址是动态域名解析或没有一个域名。

3所示。ICSTrace结构模型

通常当一个攻击者发动攻击,他隐藏了自己的IP地址诉诸匿名通信网络如跳板主机、VPN等措施。如图4后,ICS从网络遭受攻击,安全人员只能看到最后的IP地址连接到ICS代替真正的攻击者的IP地址,更不用说组织属于。


图4
原理图的攻击流量。

ICSTrace将的特点从每个IP地址的数据转换为一维特征向量。这个特征向量代表的独特的攻击模式。因此,归因的问题变成一个集群模式的问题。

如图5,输入ICSTrace恶意IP数据包。输出是一个集群包含多个IP地址,这表明一个组织。ICSTrace模型由三个阶段,包括协议解析、攻击模式提取,部分播种K——集群。的主要功能解析数据包协议解析和提取功能代码和参数。攻击模式提取将功能代码和参数转换为一维向量的攻击模式特定的IP地址。部分播种方法用于集群攻击模式这样相同的IP地址模式聚合为一个集群。然后,集群是贴上某种组织根据一些辅助信息(例如,域名或地理位置)的IP地址。


图5
ICSTrace结构模型。

函数代码用于实现业务的影响在大多数工业控制协议S7、modbus bacnet, DNP3。由于ICSTrace模型的输入功能代码和它们的参数,该模型适用于除了S7其他工业控制协议。至于一般的互联网协议,他们不仅传播信息功能代码和更复杂的工业控制协议。因此,ICSTrace模型并不完全适用于一般的互联网协议。

4所示。攻击模式提取

与ICS攻击者已经建立连接后,他将进行一系列的操作目的,表达的函数代码和它们的参数(22]。因此,攻击特性,提取S7comm协议数据的函数代码和它们的参数,可以有效地揭示了攻击者的意图。

如图6,一个攻击者可能有几个IP地址来发动攻击。我们定义了一个不间断的TCP通信会话,和一个IP地址可能会攻击一个或多个女性超过一次。因此,一个单一的IP可能建立几个会议。我们称之为包由攻击者发送一个请求,有几个数据包交互,所以一个会话通常包含许多请求。


图6
原理图的攻击IP会话请求。

S7comm协议的功能代码和参数都包含在这些请求,所以我们从通讯数据中提取这些包,是由攻击者发送到接收机,攻击者构造IP回溯的功能模型。

4.1。意味着计数函数代码和参数

意味着计数函数的代码(MCFC)是指每个会话的平均数量的函数代码相同的IP地址。不同的攻击者有不同的动机、目标和方法而进行网络攻击。因此,大量的请求和功能代码是非常不同的在不同的会议:

意味着数的参数(MCP)指的是平均每个会话的函数代码中使用的参数相同的IP地址。一些函数代码不需要参数,一些功能代码需要一个或多个参数,所以不同的攻击者使用不同数量的参数:

4.2。函数代码序列和参数序列

函数代码序列(FCS)表示函数的变化规律在所有会话的代码从单一的IP地址。不同的攻击者可能会使用相同的函数代码,而共进午餐的攻击,但顺序是不同的。如图7,该函数的代码 可以按时间顺序排列形成一个马尔可夫链。


图7
函数代码序列。

数组函数代码在会话中形成一个函数代码序列根据时间顺序:

对于一些会话可能属于同一源IP地址,我们把函数代码序列和参数序列相同的IP地址的所有会话为一组函数代码序列:

来自每个源IP不同数量的会话,以及各种方法是通过每一次的攻击,从而导致不同的函数代码序列在每个会话。因此, 不同的源IP地址是二维矩阵向量与不平等的行和列。

这些fcs与不确定数量和不平等的长度无法直接处理,等聚类算法K则需要和样品相同的维度。在这项研究中,我们提出一个方法来把这些序列与不确定的数量和不平等的长度的向量长度相同;详细过程如下:步骤1:添加开始和结束状态序列。样本集的序列 ,n序列与不平等的长度和长度 ,分别。添加每个序列的开始和结束状态 ,然后让 现在每个序列的长度不少于3: 步骤2:获得不可重复的短序列的集合。设置窗口长度= 3步= 1,使用滑动窗口方法来处理每个序列 然后,得到 短序列的长度相同, 然后,删除重复的序列和短序列添加到集合 第三步:获得短序列集的样本集。处理所有的序列样本集根据步骤1和2,并得到一组短序列 没有重复。步骤4:表达的概率向量序列与不确定数量和不平等的长度: 对一组序列 对应于一个特定的IP,l函数代码序列与不平等的长度和它们的长度 通过添加开始和结束状态序列,我们得到 然后,处理所有的函数代码序列滑动窗口方法构造一个特征向量 根据这些短序列的频率:

FCS特征向量处理的方法显示在图8。我们做一个改进短序列处理方法在文献[13]。改进后的方法具有以下优点:首先,我们将FCS与不确定的数量和不平等的长度相同的IP为特征向量相同的长度,和我们保持信息的函数代码及其参数采取短序列的频率特性。第二,当短序列的长度设置为3,我们可以处理序列与不平等的长度包括1或2的长度,通过添加开始和结束状态。


图8
FCS特征向量处理的方法。

参数序列(PS)表示参数的变化规律在所有使用的函数代码从同一个IP会话,并通过时间顺序排列。类似于FCS,我们使用相同的方法来处理PS。

5。部分播种K则算法

我们已经尝试机器学习方法恶意IP回溯。常用的机器学习方法包括决策树、支持向量机和神经网络,但是所有这些方法需要监督训练样本。但攻击的同源性测试数据,攻击源是未知的,因此样本数据没有标签。无监督学习可以揭示数据的固有性质和法律通过学习标记训练样本。聚类是应用最广泛的无监督学习方法。聚类是将数据样本划分为多个类或簇,这样样品在同一集群有更高程度的相似性和样品在不同的集群更不同。

K——(31日)算法是一种最经典的基于划分的聚类方法。K点周围的基本思想是将集群中心空间,通过分类其他样品最接近他们。每个集群中心的值更新迭代,直到得到最好的聚类结果。在应用程序的集群效应K——算法极大地受到初始中心选择方法。

考虑到可以提高集群性能通过使用标记样本协助选择初始中心,瓦格斯塔夫et al。32)提出了警察K则算法。通过构造两个约束集必须和Cannot-Link样本约束添加到集群,但是初始中心点的选择没有限制。Basu et al。33]提出播种/限制K则算法。它限制选择的初始中心通过种子,和约束也有效样本添加到集群。然而,在这种方法中,每个集群需要一个既存的种子。

在IP回溯过程,可以知道一些IP地址属于一个特定的组织。然而,很难事先知道所有的组织。这意味着一些集群没有既存的种子。因此,我们设计了一个部分播种K则算法来解决这个问题(见算法1)。

输入:给定的样本集 ,聚类数目k,已知的聚类数l, ,已知的样本子集集群分区 ,和未知的样本子集集群分区
(1) 计算样本的均值在每个集群 :
(2) 计算每个样本的距离 已知的的意思 ,并选择最大的值等于平均距离最小距离作为新的初始的意思 ,让 众所周知的意思。
(3) 重复步骤2,直到 选择样本作为初始向量 ,使 最初的意思是向量k的意思。
(4) 计算距离 从每个样品是哪一个 每个平均向量
(5) 选择集群标签样本 根据最近的初始矢量 ,并添加 到相应的集群
(6) 计算新的平均向量 ,如果 和更新
(7) 重复步骤4 - 6,直到没有平均向量更新。
输出:集群分区
算法1
部分播种K则。

部分播种K则算法利用一些样本子集与已知的集群分区(部分种子)为种子,来确定初始中心点。考虑可能会有各种各样的攻击模式在一个组织中,限制种子不应用,同时将样本添加到集群。这意味着样品与已知的集群分区可分为原始集群或新的集群在聚类的过程。使用部分种子聚类的目的不是确定其他未知的集群是正确的,但保持已知的集群是稳定而调整的参数算法。

6。评价

6.1。IP召回率已知的组织

我们使用四种已知的IP地址组织检查有多少IP地址相同的组织召回在同一集群。四个曲线数据9- - - - - -12展示如何召回率随不同K值。Censys,很显然,Shodan的IP地址和信标实验室都分成相同的集群,当集群数K设置在20到25之间。然而,检测召回率最高的IP地址大约是40%。这意味着检测IP地址划分为不同的簇,并可能有多个攻击模式样本的检测。


图9
Shodan召回率的IP地址。

图10
召回率Censys的IP地址。

图11
召回率检测的IP地址。

图12
灯塔的召回率实验室的IP地址。
6.2。预测值和真值之间的相似度

鉴于地面真理的知识随堂作业labels_true和聚类算法labels_pred作业相同的样本,调整兰德指数(ARI) (34]是一个函数的相似性措施两个任务,忽视排列,正常化和机会。互信息是一个函数的措施协议两个作业,忽略排列。调整互信息(AMI)规范化与机会(35]。

我们使用已知的组织的66个IP地址的573个有效的IP地址之间的相似性比较预测值和真实值。图13显示了阿里和AMI分数预测和真实值之间的66个IP地址随不同K值。显然,聚类效果最好,当集群的数量K设置在20到29岁之间。


图13
阿里和AMI分数预测和真实值之间的66个IP地址随不同K值。
6.3。集群性能

在前面的部分中,我们已经评估了集群效应使用样本与已知的标签。如果地面真理标签不明、评价必须执行使用模型本身。轮廓系数(36)是这样的一个例子一个评价,轮廓系数更高分数与模型有更好的定义集群。Calinski-Harabasz指数(37)也可以被用来评估模型,在一个更高的Calinski-Harabasz得分与一个模型有更好的定义集群。

数据1415分别显示轮廓的曲线系数分数和Calinski-Harabasz得分,当集群的数量K设置不同。显然,集群时效果最好K设置为20。


图14
轮廓系数分数随不同K值。

图15
Calinski-Harabasz分数随不同K值。
6.4。攻击模式识别

16显示集群的总数,这些IP地址的四种已知组织分组。没有什么价值K设置,集群的最大数量总是6。它表明,只有6攻击模式在大多数样品与已知组织标签。


图16
集群的总数,这些IP地址的四种已知组织分组。

Censys Shodan的攻击模式,灯塔实验室是独一无二的,当集群数K设置在20到25之间。但是检测的攻击模式并不是唯一的。检测的所有IP地址属于三个不同的集群,除了四个IP地址贴上Shodan并贴上Censys两个IP地址。这些IP地址的具体分布如图17


图17
分布检测的IP地址。
6.5。组织鉴定

我们设置集群的集群要20 K数量,最后得到20集群。这意味着我们发现20种攻击模式。然而,这些20攻击模式并不表明有20个组织,因为一个组织可能有多个攻击模式,和一些不同的组织也可能共享一个共同的攻击模式。DNS查询结果和IP地址的地理位置有助于识别组织。如果集群中的IP地址指向同一个静态域名或者他们在地理上很近,我们可以用这些标签命名这个集群。

如表所示5有20个集群与不少于9的IP地址。据DNS查询结果,一些IP地址在集群1,2,3,4点一个静态域名,IP地址和一些集群11、14和17点到一个动态域名。没有域名供参考集群15日18、19和20。然而,它们都位于一个特定的国家或地区,所以我们可以命名这些集群的地理标签。此外,集群3和13贴上检测,证实了存在多个攻击模式在一个组织。

表5
集群的组织和他们的标签。
7.1。ICS入侵检测

哈利利和萨米8)提出了SysDetect,这是一个系统的临界状态确定方法,来解决这个问题的决定基于状态的入侵检测的关键州。该系统建立了一个完善的数据挖掘和迭代算法,即先验的。Kwon et al。9)提出了一种新颖的基于id的IEC 61850协议使用传统的网络特性和基于规范的统计分析指标。杨et al。10)提出了一个基于规则的id为IEC 60870-5-104驱动SCADA网络使用深入协议分析和深度数据包检测(DPI)方法。McParland et al。11)提出了基于特性的入侵检测,基于规范的扩展方法,通过定义一组良好的属性和寻找行为以外的属性。基于规范的入侵检测模型的目的是加强保护外部攻击和内部错误通过结合物理设备传感器数据的命令序列。莫等。12)已经开发出的基于模型的技术能够检测完整性对传感器的控制系统的攻击。假设攻击者希望破坏操作控制系统的稳态,最终攻击者劫持传感器,观察和记录他们的阅读了一定量的时间,并重复之后伪装他的攻击。基于模型的方法可以有效地防止此类攻击。商等。13)提出了PSO-SVM算法优化参数通过先进的粒子群优化(PSO)算法。Modbus TCP流量的方法识别异常的出现频率模式短序列的Modbus功能代码序列。周et al。14)设计了一种新型multimodel-based异常入侵检测系统与嵌入式智能和弹性协调工业过程自动化控制系统领域。在此系统中,提出了multimodel异常检测方法和相应的智能检测算法的设计。此外,为了克服异常检测的缺点,基于智能隐马尔可夫模型分类器是为了区分实际的攻击和失败。

7.2。IP回溯

野蛮et al。16)已经描述了一个基于概率包标记的通用回溯机制。路由器从概率马克数据包到达时部分路径信息。通过结合适度的数据包数量,受害者可以重建整个路径。Snoeren et al。17)提出了一种基于散列技术的IP回溯为内交通网络和生成审计跟踪的起源可以追溯到一个IP包交付的网络在最近的过去。他们还和安萨里20.)提出了一个确定包标记算法,它只要求边界路由器的16位包ID字段和IP报头中预留出旗。因此,受害者可以获得相应的入口地址和子网攻击源的位置。相比,这种方法是简单和有效的概率包标记算法。Bellovin et al。38提出了一个ICMP回溯信息。当转发数据包,路由器可以,概率低,生成回溯消息一起发送到目的地或回源。有足够的回溯信息足够沿着路径,路由器的流量来源和路径伪造数据包可以确定。古德里奇(39)提出了一种新的IP回溯方法基于概率包标记模式。这种方法叫做randomize-and-link,使用大型校验和绳子链接消息片段的方式是高度可伸缩的,绳子既是联想服务的地址和数据完整性验证。这种方法的主要优势是,攻击者不能制造一个消息,并具有良好的可伸缩性。龚和Sarac18,19)提出了一种新颖的混合IP回溯方法基于包记录和数据包标记。他们保持单包回溯基于散列方法的能力,同时,缓解存储开销和访问时间要求记录在路由器报文摘要。他们的工作提高了实用性的单包IP回溯减少开销。杨,杨40)提出了一种回溯计划标志着路由器的接口数量和与哈希表(RIHT)集成包记录处理日志记录和标记在IP回溯问题。RIHT存储的属性低,效率高、零假阳性和假阴性率为零attack-path重建。Yu et al。41)提出了一个标记(MOD)需求计划基于DPM机制来动态分配标记id DDoS攻击相关的路由器执行回溯的任务。他们建立了一个全球发布服务器(MOD服务器)和一些当地的DDoS攻击探测器。出现可疑的网络流时,探测器从国防部服务器请求惟一id和嵌入分配独特的id标记可疑的流动。同时,国防部服务器存款请求路由器的IP地址分配的标志,用于确定IP地址的攻击来源,分别进入国防部数据库。Fadel医生et al。42)提出了一种新的混合IP回溯框架。这个框架是基于标记和测井技术。在标记算法,每个路由器分配12-bit-length身份证号码;它有助于在部署阻力方法允许合法的交通流畅。包记录方法,记录比管理通过改变一个值k在回溯中指定系统。这个框架可以节省50%以上的路由器的存储空间。程等。43)认为,云服务提供更好的选择的实际部署IP回溯系统。提出了一种新颖的基于云的回溯架构,拥有几个有利属性鼓励isp部署回溯服务网络。该体系结构包括一个时间基于令牌的身份验证框架,事实上,呼吁验证回溯查询服务。努尔和Tozal44)利用IP协议记录路线的特点,提出一种新颖的概率包标记方案来推断从攻击者网站路径转发给受害者的网站,使受害者委托国防上游互联网服务提供商(isp)。与其他技术相比,这种方法需要较少的许多数据包从攻击者网站构建的路径向受害者的网站。

8。结论

IP回溯网络攻击通常需要重新设计互联网部署新服务。在这项研究中,我们提出了一个恶意IP回溯模型,也就是说,ICSTrace,工业控制系统在不改变网络基础设施或部署新服务。通过分析攻击的特征数据,我们提取数字功能和序列转换功能的函数代码和它们的参数。这些特性是由一维的向量表示,这代表着独特的攻击模式。因此,IP回溯的问题变成了这些模式聚类的问题。我们也提出一个部分播种K——集群算法相同的IP地址模式变成一个恶意的组织。ICSTrace的有效性通过实验证明在真正的攻击数据。尽管ICSTrace无法恢复的整个路径攻击,它是重要的在以下方面:(1)发现的恶意IP地址属于同一个组织(2)揭示了未曝光的活跃的IP地址属于已知的组织(3)收集匿名通信网络使用的相同组织发动袭击(4)提供学习样本随后的恶意行为表达攻击模式识别的特征向量的形式

正如我们所知,攻击者的隐藏方法正变得越来越复杂。因此,很难跟踪的原始IP直接攻击者。模型提出了我们的手稿是有利于安全专家以间接的方式跟踪最后IPs属于相同的攻击者的攻击。因此,我们这个模型定义为一个IP回溯模型。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

附加分

未来的工作。在未来,我们将改善ICSTrace并应用到其他类型的ICS协议,甚至传统的互联网协议。与此同时,我们将使用攻击模式作为学习样本设计和验证基于机器学习的入侵检测系统来解决未知的威胁检测的难题。

信息披露

这项工作已经被作者自己提出arXiv在康奈尔大学https://arxiv.org/abs/1912.12828

的利益冲突

作者宣称没有利益冲突。

确认

作者感谢彪Chang Binglei Wang和大中沈有用的反馈和评论。