◆王涵 卜佑軍 陳博 張雙雙 陳韻 蔡翰智

工控蜜罐的擬態(tài)化探索與研究

◆王涵1卜佑軍2陳博2張雙雙1陳韻1蔡翰智1

（1.網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 江蘇 211100；2.中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 河南450002）

隨著工業(yè)化與信息化的融合發(fā)展，原本封閉的工業(yè)控制系統(tǒng)在接入互聯(lián)網(wǎng)后逐漸趨向于開(kāi)放化和智能化，工業(yè)控制系統(tǒng)在提高了生產(chǎn)效率的同時(shí)也引入了新的網(wǎng)絡(luò)安全威脅。由于針對(duì)工業(yè)控制系統(tǒng)的攻擊往往是以系統(tǒng)中的IT網(wǎng)絡(luò)為突破口，進(jìn)而影響其OT系統(tǒng)的運(yùn)行，而當(dāng)前互聯(lián)網(wǎng)上存在著大量的攻擊，且攻擊手段復(fù)雜多樣，直接影響著工業(yè)控制系統(tǒng)的安全。本文針對(duì)當(dāng)前工控網(wǎng)絡(luò)面臨的嚴(yán)峻安全形勢(shì)，探索工控蜜罐擬態(tài)化技術(shù)的實(shí)現(xiàn)路徑，探索突破工控私有協(xié)議深度仿真模擬、高仿真蜜網(wǎng)構(gòu)建、蜜網(wǎng)自動(dòng)化配置、威脅誘捕與溯源、聯(lián)動(dòng)防御、擬態(tài)防御等關(guān)鍵核心技術(shù)的可行性。

擬態(tài)蜜罐；工控蜜罐；異構(gòu)冗余；攻擊誘導(dǎo)

1 引言

隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)互聯(lián)網(wǎng)技術(shù)已廣泛運(yùn)用于工業(yè)生產(chǎn)領(lǐng)域和其他公共服務(wù)領(lǐng)域，工控網(wǎng)絡(luò)作為工業(yè)互聯(lián)網(wǎng)的重要構(gòu)成部分，其面臨的安全形勢(shì)越來(lái)越嚴(yán)峻，工控領(lǐng)域的網(wǎng)絡(luò)安全事件層出不窮[1]。從2014年的Havex事件、2015年的烏克蘭電力事件、2017年勒索病毒“WannaCry”感染事件、2019年委內(nèi)瑞拉水電站攻擊事件到2020年的本田汽車(chē)遭受Ekans病毒勒索，由此可以看出，全球的工控系統(tǒng)都在面臨著前所未有的安全威脅和挑戰(zhàn)。

因此，研究工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的防御方法至關(guān)重要，而蜜罐技術(shù)作為一種新型的主動(dòng)防御技術(shù)，通過(guò)模擬真實(shí)的工業(yè)網(wǎng)絡(luò)環(huán)境，偽裝成為具備高價(jià)值、存在安全漏洞的工控設(shè)備，吸引攻擊者的注意力，誘導(dǎo)攻擊者對(duì)蜜罐進(jìn)行攻擊[2]，一方面可以減少真實(shí)設(shè)備所受的攻擊，從而實(shí)現(xiàn)延緩攻擊者的攻擊進(jìn)程，爭(zhēng)取應(yīng)急響應(yīng)時(shí)間，保護(hù)真實(shí)的網(wǎng)絡(luò)環(huán)境；另一方面通過(guò)捕獲和記錄攻擊數(shù)據(jù)，研究分析攻擊工具、攻擊方法、攻擊特征，推測(cè)攻擊者意圖和動(dòng)機(jī)，從而提前制定對(duì)應(yīng)的防御措施，徹底扭轉(zhuǎn)網(wǎng)絡(luò)攻防過(guò)程中的不對(duì)稱(chēng)局面。但是，蜜罐如果被攻擊者所探測(cè)，就會(huì)變成一種識(shí)破即失效的被動(dòng)式主動(dòng)防御手段。所以，本文探索將主動(dòng)防御中的蜜罐與擬態(tài)防御技術(shù)相互融合，以增加攻擊者探測(cè)真實(shí)資產(chǎn)的時(shí)間，同時(shí)利用現(xiàn)有信息安全技術(shù)對(duì)攻擊行為和攻擊策略進(jìn)行審計(jì)，從而采取更有針對(duì)性的防護(hù)手段，確保工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境的安全與穩(wěn)定[3]。

2 工控蜜罐研究進(jìn)展

隨著信息化技術(shù)不斷發(fā)展，出現(xiàn)了針對(duì)不同業(yè)務(wù)應(yīng)用場(chǎng)景的蜜罐系統(tǒng)，如：Web蜜罐、數(shù)據(jù)庫(kù)蜜罐、移動(dòng)應(yīng)用蜜罐、網(wǎng)絡(luò)協(xié)議棧蜜罐、IoT蜜罐等。蜜罐的分類(lèi)標(biāo)準(zhǔn)多樣，基于蜜罐的物理特性，可以分為物理蜜罐和虛擬蜜罐；基于相互作用的方向，可以分為服務(wù)器蜜罐和客戶端蜜罐；基于攻防交互程度，可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。近年來(lái)，隨著工控安全形勢(shì)的嚴(yán)峻，蜜罐技術(shù)被越來(lái)越多地應(yīng)用在工控領(lǐng)域，工控蜜罐作為面向工業(yè)控制、工業(yè)生產(chǎn)業(yè)務(wù)環(huán)境的新一代蜜罐系統(tǒng)也得到了越來(lái)越多的關(guān)注，當(dāng)前主流的工控蜜罐種類(lèi)很多，包括HosTaGe[4]、Honeyd、Conpot、Honeyd+、SHaPe、CryPLH、S7commTrace[5]、Snap7等，在工控現(xiàn)場(chǎng)環(huán)境中，工控蜜罐主要仿真的工控協(xié)議包括Modbus、S7、DNP3、IEC104/101等。

下面以幾種工控蜜罐為例進(jìn)行簡(jiǎn)單介紹，包括所支持的協(xié)議、功能。

（1）Conpot蜜罐，屬于低交互蜜罐，實(shí)現(xiàn)了對(duì)HTTP、SNMP、Modbus等協(xié)議的仿真，對(duì)西門(mén)子S7-200 ICS，IPMI等設(shè)備的仿真，Conpot部署簡(jiǎn)單，能夠提供5種蜜罐模板；

（2）CryPLH蜜罐，屬于高交互蜜罐，實(shí)現(xiàn)了對(duì)HTTP、SNMP、S7comm等協(xié)議的仿真，對(duì)西門(mén)子S300 PLC、西門(mén)子ET200S PLC等設(shè)備的仿真，通過(guò)nginx/SSH代理等實(shí)現(xiàn)一個(gè)Web服務(wù)，對(duì) SNMP 協(xié)議可以使用設(shè)置的信息進(jìn)行響應(yīng)。

（3）Snap7蜜罐，屬于高交互蜜罐，實(shí)現(xiàn)了對(duì)s7comm協(xié)議棧的仿真，對(duì)西門(mén)子S7-300、S7-400、S7-1200系列PLC的仿真，可以模擬實(shí)際設(shè)備的信息與狀態(tài)，與PLC進(jìn)行互操作。

3 工控蜜罐擬態(tài)化探索

工控蜜罐的擬態(tài)化探索方向很多，本文重點(diǎn)從蜜罐技術(shù)、蜜罐技術(shù)在工控領(lǐng)域的應(yīng)用兩個(gè)角度進(jìn)行研究，并從典型工控私有協(xié)議深度仿真模擬技術(shù)研究到基于動(dòng)態(tài)異構(gòu)冗余機(jī)制的工控?cái)M態(tài)蜜罐系統(tǒng)構(gòu)建共計(jì)7個(gè)研究方向進(jìn)行介紹，具體研究思路如圖1所示。

（1）針對(duì)蜜罐技術(shù)，研究典型工控私有協(xié)議深度仿真模擬技術(shù)、研究基于虛擬化技術(shù)的高仿真蜜網(wǎng)構(gòu)建技術(shù)、研究基于Docker的工控蜜網(wǎng)自動(dòng)化配置技術(shù)；

（2）針對(duì)蜜罐技術(shù)在工控領(lǐng)域的應(yīng)用，研究基于蜜標(biāo)技術(shù)的威脅誘捕與攻擊溯源技術(shù)、研究基于蜜罐技術(shù)的聯(lián)動(dòng)式網(wǎng)絡(luò)安全防御體系、研究基于蜜網(wǎng)的工控網(wǎng)絡(luò)安全攻防演練平臺(tái)、研究基于動(dòng)態(tài)異構(gòu)冗余機(jī)制的工控?cái)M態(tài)蜜罐系統(tǒng)。

圖1 工控蜜罐研究思路

①典型工控私有協(xié)議深度仿真模擬技術(shù)研究

針對(duì)工控設(shè)備生產(chǎn)廠家眾多、使用私有協(xié)議進(jìn)行通信、且通信協(xié)議格式不對(duì)外公布的現(xiàn)狀，對(duì)所有工控協(xié)議進(jìn)行深度仿真模擬不太實(shí)際。本研究主要針對(duì)Modbus TCP、S7、DNP3等主流的工控私有協(xié)議進(jìn)行深度仿真模擬研究，提高工控蜜罐與攻擊者之間的信息交互能力，當(dāng)攻擊者發(fā)起請(qǐng)求時(shí)，能夠?qū)粽叩恼?qǐng)求進(jìn)行準(zhǔn)確的回應(yīng)，欺騙誘導(dǎo)攻擊繼續(xù)攻擊，以此方式收集到更多有價(jià)值的攻擊數(shù)據(jù)，為防御者制定防御策略、溯源取證提供支撐。

② 基于虛擬化技術(shù)的高仿真蜜網(wǎng)構(gòu)建技術(shù)研究

單個(gè)蜜罐因仿真度和交互性有限，難以吸引和捕獲深層次的攻擊行為，且很容易被攻擊者識(shí)別，為了更好地吸引、欺騙攻擊者，需要構(gòu)建一個(gè)集網(wǎng)絡(luò)拓?fù)?、設(shè)備、協(xié)議以及業(yè)務(wù)流程為一體的大型虛擬業(yè)務(wù)系統(tǒng)，但是構(gòu)建如此龐大的系統(tǒng)，部署成本、部署條件要求較高，不適合大規(guī)模部署。本研究基于虛擬網(wǎng)絡(luò)技術(shù)與蜜罐技術(shù)深度結(jié)合，利用虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)拓、設(shè)備、協(xié)議、流程等資源的虛擬化，通過(guò)定制化配置，集中部署在一臺(tái)主機(jī)上，從而實(shí)現(xiàn)構(gòu)建一個(gè)具備低成本、高仿真特性的工控蜜網(wǎng)。

③ 基于Docker的工控蜜網(wǎng)自動(dòng)化配置技術(shù)研究

為提升對(duì)工控網(wǎng)絡(luò)威脅監(jiān)測(cè)的覆蓋面，一般采用分布式蜜網(wǎng)（由多個(gè)蜜罐組成），在網(wǎng)絡(luò)中多個(gè)位置（邊界、內(nèi)網(wǎng)）部署多個(gè)誘餌節(jié)點(diǎn)，形成面向多工控業(yè)務(wù)過(guò)程的誘餌網(wǎng)絡(luò)，但是對(duì)大規(guī)模蜜罐的網(wǎng)絡(luò)配置、服務(wù)管理、蜜罐狀態(tài)監(jiān)視以及恢復(fù)都是一個(gè)難點(diǎn)。本研究基于Docker的工控蜜網(wǎng)自動(dòng)化配置，使用Docker技術(shù)，在容器中部署工控設(shè)備服務(wù)，這些服務(wù)以配置文件的形式展開(kāi)部署，配置文件中配置廠家信息、功能碼信息、操作對(duì)象、操作對(duì)象值等信息，在業(yè)務(wù)功能啟動(dòng)后，自動(dòng)將上述信息全部加載到內(nèi)存中，使容器成為一個(gè)高仿真的工控設(shè)備服務(wù)器，如果容器被攻擊癱瘓，只需要根據(jù)已有且配置好的文件再啟動(dòng)一個(gè)容器，即可恢復(fù)蜜罐，實(shí)現(xiàn)了對(duì)工控蜜網(wǎng)中蜜罐的自動(dòng)化配置、部署以及管理。

④ 基于蜜標(biāo)技術(shù)的威脅誘捕與攻擊溯源技術(shù)研究

傳統(tǒng)的基于IP的溯源方法對(duì)攻擊者的身份信息獲取十分有限，很難及時(shí)對(duì)攻擊者進(jìn)行有效溯源和反制。本研究基于蜜標(biāo)技術(shù)的威脅誘捕與攻擊溯源技術(shù)，針對(duì)攻擊者感興趣的文件類(lèi)型或文件名稱(chēng)（即蜜標(biāo)文件），通過(guò)代碼捆綁等技術(shù)向蜜標(biāo)文件中嵌入特定數(shù)據(jù)和代碼，通過(guò)構(gòu)造場(chǎng)景誘導(dǎo)攻擊者去訪問(wèn)、下載蜜標(biāo)文件，當(dāng)攻擊者下載并在本地打開(kāi)蜜標(biāo)文件時(shí)，就會(huì)觸發(fā)內(nèi)嵌代碼，記錄并回傳攻擊主機(jī)和攻擊者特征信息，如攻擊者的主機(jī)IP地址、IP地理位置、網(wǎng)絡(luò)狀態(tài)等信息，實(shí)現(xiàn)對(duì)威脅的誘捕和攻擊的精準(zhǔn)溯源，同時(shí)可根據(jù)反饋的攻擊者信息制定相應(yīng)反制措施。

⑤ 基于蜜罐技術(shù)的聯(lián)動(dòng)式網(wǎng)絡(luò)安全防御體系研究

傳統(tǒng)的以入侵檢測(cè)系統(tǒng)、防火墻、反病毒等設(shè)備為核心的聯(lián)動(dòng)防御體系只能檢測(cè)已知的攻擊和威脅，針對(duì)高級(jí)持續(xù)性威脅（APT）攻擊無(wú)能為力，而蜜罐技術(shù)可以識(shí)別和捕獲0day攻擊，因此研究基于蜜罐技術(shù)的聯(lián)動(dòng)式網(wǎng)絡(luò)安全防御體十分有必要，將未知的數(shù)據(jù)流量通過(guò)端口重定向技術(shù)轉(zhuǎn)發(fā)給工控蜜罐，判斷是否為攻擊數(shù)據(jù)，如果是攻擊數(shù)據(jù)，工控蜜罐可以對(duì)捕獲的攻擊代碼進(jìn)行特征提取、分析，然后加入到入侵檢測(cè)、防火墻等邊界防護(hù)檢測(cè)設(shè)備的特征庫(kù)中，當(dāng)同樣的攻擊再次出現(xiàn)時(shí)，即可直接阻斷。

⑥ 基于蜜網(wǎng)的工控網(wǎng)絡(luò)安全攻防演練平臺(tái)的構(gòu)建

在現(xiàn)實(shí)環(huán)境中，對(duì)1:1實(shí)體環(huán)境進(jìn)行工控網(wǎng)絡(luò)攻擊試驗(yàn)并不實(shí)際，存在代價(jià)大、成本高、毀傷效果不可逆等問(wèn)題，構(gòu)建基于蜜網(wǎng)的工控網(wǎng)絡(luò)安全攻防演練平臺(tái)后，可以對(duì)模擬的工控蜜罐（如PLC設(shè)備）進(jìn)行各種網(wǎng)絡(luò)攻擊測(cè)試，如嗅探、中間人攻擊、DDoS等，蜜罐崩潰后只需執(zhí)行相應(yīng)的配置文件即可恢復(fù)，同時(shí)，能夠?qū)暨^(guò)程的數(shù)據(jù)進(jìn)行采集，學(xué)員可對(duì)數(shù)據(jù)進(jìn)行分析，研究攻擊的過(guò)程、路徑、手法等，提高學(xué)員的實(shí)戰(zhàn)能力。

⑦ 基于動(dòng)態(tài)異構(gòu)冗余機(jī)制的工控?cái)M態(tài)蜜罐系統(tǒng)構(gòu)建

針對(duì)攻擊者可能利用工控蜜罐內(nèi)生（非故意暴露）的漏洞，以工控蜜罐為跳板對(duì)真實(shí)的業(yè)務(wù)系統(tǒng)進(jìn)行攻擊的現(xiàn)象，研究運(yùn)用擬態(tài)防御思想，基于動(dòng)態(tài)異構(gòu)冗余機(jī)制，構(gòu)造工控?cái)M態(tài)蜜罐（含多個(gè)子蜜罐），對(duì)工控?cái)M態(tài)蜜罐本身進(jìn)行擬態(tài)防護(hù)，防止工控蜜罐逃逸攻擊。首先構(gòu)造上層應(yīng)用（如Web應(yīng)用）相同而底層基礎(chǔ)架構(gòu)（如操作系統(tǒng)、中間件）不同的異構(gòu)擬態(tài)子蜜罐（擬態(tài)子蜜罐A：Windows server操作系統(tǒng)、Nginx程序；擬態(tài)子蜜罐B：CentOS 6.2操作系統(tǒng)、Apache程序；擬態(tài)子蜜罐C：Ubuntu 18.04操作系統(tǒng)、IIS程序），工控?cái)M態(tài)蜜罐默認(rèn)情況下以擬態(tài)子蜜罐A與攻擊者進(jìn)行交換，當(dāng)擬態(tài)子蜜罐A被攻陷時(shí)（通過(guò)擬態(tài)裁決器分析得出），工控?cái)M態(tài)蜜罐可通過(guò)擬態(tài)子蜜罐B或者擬態(tài)子蜜罐C給攻擊者發(fā)送回復(fù)信息，同時(shí)擬態(tài)子蜜罐A快速回滾至初始狀態(tài)，采用這種設(shè)計(jì)具有下面幾個(gè)方面的優(yōu)點(diǎn)，一是實(shí)現(xiàn)了對(duì)攻擊者的欺騙，擬態(tài)子蜜罐B/C回復(fù)了攻擊者，讓攻擊者以為沒(méi)有被識(shí)別；二是能夠搜集攻擊者的所有攻擊信息，包括攻擊方式、攻擊工具和手段等；三是能夠保證蜜罐自身的安全，擬態(tài)子蜜罐A已回滾，攻擊者前期實(shí)現(xiàn)的攻擊失效。

4 擬態(tài)工控蜜罐的價(jià)值

以美國(guó)能源部的國(guó)家SCADA測(cè)試系統(tǒng)為例，NSTB（National SCADA Testbed）被用來(lái)識(shí)別系統(tǒng)級(jí)的漏洞，分析漏洞利用的后果以及研究消除脆弱性的方法，能夠進(jìn)行帶有破壞性的網(wǎng)絡(luò)攻防實(shí)驗(yàn)[6]。綜上所述，擬態(tài)工控蜜罐的未來(lái)的應(yīng)用價(jià)值主要體現(xiàn)在以下幾個(gè)方面：

（1）延緩攻擊進(jìn)程，保護(hù)真實(shí)網(wǎng)絡(luò)：高交互工控蜜罐具有高甜度，能夠誘使攻擊者耗費(fèi)大量時(shí)間攻擊工控蜜罐設(shè)備，工控蜜罐在被攻擊時(shí)，向用戶發(fā)出告警，延緩攻擊者攻擊進(jìn)程，爭(zhēng)取應(yīng)急響應(yīng)時(shí)間。

（2）實(shí)現(xiàn)對(duì)APT等未知威脅的檢測(cè)：傳統(tǒng)的基于規(guī)則、特征碼的方式無(wú)法檢測(cè)到APT等未知威脅攻擊，工控蜜罐能夠?qū)崿F(xiàn)新型未知網(wǎng)絡(luò)威脅、高級(jí)持續(xù)性威脅（APT）等高層次網(wǎng)絡(luò)攻擊的檢測(cè)。

（3）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的溯源與取證：能夠全面記錄攻擊者的攻擊過(guò)程，對(duì)攻擊數(shù)據(jù)可分析，精準(zhǔn)刻畫(huà)攻擊者畫(huà)像，為溯源反制、取證提供支撐。

（4）在虛擬化攻防演練平臺(tái)中應(yīng)用：與實(shí)物進(jìn)行攻擊測(cè)試相比，在虛擬化攻防演練平臺(tái)中進(jìn)行攻擊測(cè)試成本代價(jià)低、可多次使用的優(yōu)勢(shì)，不必考慮工控蜜罐受到不可逆的毀傷。

（5）增強(qiáng)工控蜜罐自身的安全性方面：采用擬態(tài)防御技術(shù)，增強(qiáng)了自身的安全性，防止攻擊者以工控蜜罐的漏洞/脆弱性為跳板對(duì)真實(shí)業(yè)務(wù)系統(tǒng)進(jìn)行攻擊。

5 總結(jié)與展望

工控蜜罐是新的網(wǎng)絡(luò)安全形勢(shì)下對(duì)于主動(dòng)防御的一種有效手段，可以有效對(duì)抗大規(guī)模的工控設(shè)備的攻擊。工控蜜罐的擬態(tài)化改造是對(duì)工控蜜罐系統(tǒng)進(jìn)行二次防御，形成雙保險(xiǎn)，正如本文所述：通過(guò)基于動(dòng)態(tài)異構(gòu)冗余機(jī)制，研究基于Docker的工控蜜網(wǎng)自動(dòng)化配置技術(shù)，基于虛擬化技術(shù)的高仿真蜜網(wǎng)構(gòu)建技術(shù)，基于蜜標(biāo)技術(shù)的威脅誘捕與攻擊溯源技術(shù)，對(duì)典型工控私有協(xié)議深度仿真模擬研究，既可以保證有效捕獲工控攻擊行為，又可以防止攻擊者利用蜜罐系統(tǒng)作為跳板發(fā)起二次攻擊。

上述工控蜜罐的擬態(tài)化改造是基于Docker自動(dòng)化配置技術(shù)實(shí)現(xiàn)底層操作系統(tǒng)的異構(gòu)冗余來(lái)保證其安全性?，F(xiàn)如今虛擬化逃逸技術(shù)越發(fā)的成熟，虛擬化安全也是重中之重。在后續(xù)的研究中，對(duì)于基于虛擬化平臺(tái)的擬態(tài)改造也是趨勢(shì)之一，對(duì)于工控蜜罐的安全問(wèn)題，打造一個(gè)全平臺(tái)，多系統(tǒng)，全鏈條的擬態(tài)化系統(tǒng)將是研究的重點(diǎn)之一。

[1]GAO H H，PENG Y，DAI Z H，et al. The design of ICS testbedbasedon emulation，physical，and simulation（EPS-ICS Testbed）[J]. NinthInternational Conference on Intelli?gent Information Hiding and Multi?media Signal Processing，2013，111：420-423.

[2]杜淑琴．主動(dòng)防御系統(tǒng)蜜罐技術(shù)在網(wǎng)絡(luò)安全中的研究與設(shè)計(jì)[D]．廣州：廣東工業(yè)大學(xué)，2005．

[3]石樂(lè)義，劉德莉，邢文娟，馮海杰．基于自適應(yīng)遺傳算法的擬態(tài)蜜罐演化策略[C]/ /第二十屆全國(guó)網(wǎng)絡(luò)與數(shù)據(jù)通信學(xué)術(shù)會(huì)議．中國(guó)計(jì)算機(jī)學(xué)會(huì)網(wǎng)絡(luò)與數(shù)據(jù)通信專(zhuān)業(yè)委員會(huì)．武漢．2014．

[4]Vasilomanolakis，Emmanouil，et al.Multi-stage Attack Detection and Signature Generation with ICS Honeypots[C]. IEEE/IFIPWorkshop on Security for Emerging Distributed Network Technologies IEEE，2016.

[5]Xiao，F(xiàn)eng，E. Chen，and Q. Xu . S7commTrace： A High Interactive Honeypot for Industrial Control System Based on S7Protocol[M].Information and Communications Security. 2018.

[6]鎖延鋒，王少杰，秦宇，等. 工業(yè)控制系統(tǒng)的安全技術(shù)與應(yīng)用研究綜述[J]. 計(jì)算機(jī)科學(xué)， 2018，45（4）：25-33.Suo Yanfeng，Wang Shaojie，Qin Yu，et al. Summary ofSecurity Technology and Application in IndustrialControl System[J]. Computer Science，2018，45（4）：25-33.

國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目（2017YFB0803201，2017YFB0803204，2016YFB0801200）；國(guó)家自然科學(xué)基金項(xiàng)目（61572519，61802429，61521003）；上海市科學(xué)技術(shù)委員會(huì)科研計(jì)劃項(xiàng)目（16DZ1120503）；中國(guó)博士后基金項(xiàng)目（44595）