工控 ICS 惡意代碼包括哪些類型

工控ICS惡意代碼包括以下類型：

• Rootkit：Rootkit被看作信息安全世界中復雜程度較高的惡意代碼之一。對于試圖在一段較長的時間內駐留在目標機器內的惡意代碼，都可以將其歸為Rootkit。除了能夠持續駐留在主機中，Rootkit通常還利用反病毒引擎對抗技術來規避檢測。Rootkit通常需要獲取被感染主機的root或者admin權限，這也是Rootkit得名的原因。

• 病毒：病毒同用戶的交互主要發生在攻擊者試圖滲透被攻擊者的機器時。病毒能夠在被攻擊者的主機中對從引導扇區到可移動介質，再到二進制文件的多個不同位置進行感染。就像本章所提到的其他形式的惡意代碼那樣，病毒同樣會對工控系統網絡與設備造成影響。

• 廣告軟件與間諜程序：廣告軟件，或者說是廣告支持軟件，是通過播放廣告的方式幫助惡意代碼的廣告商或開發者牟取利益的惡意代碼。廣告既可以自動包含在軟件自身界面中顯示，也可以借助Web瀏覽器顯示，還可以借助操作系統中的彈出窗口或者“不可關閉的窗口”進行顯示。大多數被分類為惡意代碼的廣告軟件會使用間諜軟件或者其他軟件采集用戶個人信息。

• 蠕蟲：蠕蟲是一種已經存在多年的典型惡意軟件。蠕蟲的主要功能是自我復制，通常借助兩種方法實現計算機網絡和類似于U盤的可移動介質。蠕蟲的獨特之處在于，它無須附加到已有的程序就能正常工作。蠕蟲可以完全獨立于任何應用程序運行。借助網絡，蠕蟲的影響可更加深遠，幾乎所有在網絡中傳播的蠕蟲都會導致網絡延遲，從而影響控制網絡中遠程操作的正常進行。

• 木馬：木馬一般指木馬病毒。 木馬病毒是計算機黑客用于遠程控制計算機的程序，將控制程序寄生于被控制的計算機系統中，里應外合，對被感染木馬病毒的計算機實施操作。一般的木馬病毒程序主要是尋找計算機后門，伺機竊取被控計算機中的密碼和重要文件等。

• 勒索軟件：勒索軟件是一種通過限制受害者訪問感染勒索軟件的計算機，來向受害者索要贖金的惡意代碼，而用戶重新獲取訪問權限的唯一方法就是支付贖金。大多數勒索軟件對其感染的硬盤驅動器中的內容進行了加密，只有在受害者支付贖金后攻擊者才會賦予受害者訪問權限。由于比特幣等數字貨幣的流行，自2013年以來，勒索軟件變得越來越流行。

加強工業網絡方法有以下這些：

• 工業主機白名單控制：工業主機由于長期不間斷運行，不能及時打補丁，并且受到聯網條件的限制，無法實時更新病毒庫，因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術，對工業軟件相關的進程文件進行掃描識別，為每個可信文件生成唯一的特征碼，特征碼的集合構成特征庫，即白名單。只有白名單內的軟件才可以運行，其他進程都被阻止，以防止病毒、木馬、違規軟件的攻擊。

• 工控協議識別與控制：為了保障數據傳輸的可靠性與實時性，工業生產網已發展了多套成熟的通信協議，主流的有幾十種，大致分為工業總線協議和工業以太網協議兩大類，如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎，也是評價產品能力的重要指標。

• 工控漏洞利用識別與防護：工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級，因此普遍存在可被攻擊的漏洞，而由于技術的專業性和封閉性，這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力，以及相應的防護能力，是工控安全防護能力建設的核心。

• 工控網絡流量采集與分析：獲取網絡流量是發現網絡攻擊的前提，流量采集與分析廣泛應用于網絡安全方案，是一項比較成熟的技術。對于工控網絡，除了基本的流量識別與統計分析外，還需要理解生產過程的操作功能碼，根據業務邏輯判斷是否發生異常。此外，根據設備間通信的規律建立流量基線模型，對多源數據進行關聯分析，能夠有效地識別異常行為和網絡攻擊。

• 工業網絡安全態勢感知：態勢感知是安全防御的重要手段，對于工控網絡，通過安全態勢感知平臺，可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件，對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持，包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等，是工控網絡安全防護的核心產品。

回答所涉及的環境：聯想天逸510S、Windows 10。