本发明专利技术实施例提供一种工业控制系统的过程控制攻击检测方法及装置,该方法包括:获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;对所述步进指令代码信息进行程序流分析得到检测白名单信息;根据所述检测白名单信息实现过程控制攻击检测。步进指令代码信息,然后进行程序流分析,提取有效地址、有效值范围、控制逻辑规则作为评估攻击的依据,并通过主动发送读取请求数据和被动读取网络流量信息实现主动方式和被动方式同时进行检测攻击行为,有效实现对于工业控制系统的过程控制攻击检测。
A process control attack detection method and device for industrial control system
【技术实现步骤摘要】
一种工业控制系统的过程控制攻击检测方法及装置
本专利技术涉及工业控制
,尤其涉及一种工业控制系统的过程控制攻击检测方法及装置。
技术介绍
工业控制系统(IndustrialControlSystem,ICS)是工业生产中使用的一类控制系统的总称,它包括监控和数据采集系统、分布式控制系统和其他工业部门常见的控制系统,以及用于基础设施的关键小型控制系统。随着工业的发展,ICS在提高信息化水平的同时,将原本位于串行链路上的通信协议转移到了TCP/IP上,但是,这种转变也为黑客实施攻击提供了便利。在工业控制领域,PLC控制技术的应用已经成为行业不可或缺的一部分,甚至是当今工业自动化的支柱。ICS通过PLC控制物理过程。PLC对传感器数据执行逻辑操作,将结果输出到执行器,最后作用到物理设备。这种闭环级联反馈使工业过程能够根据所需规则或预定程序自动化进行,而无需人为直接参与。ICS攻击的目的是攻击实际的物理设备。基本手段是破坏ICS的正常控制过程。对于攻击者而言,PLC提供最有效的渗透点,因为它们控制着目标进程。因此,对PLC控制器的过程控制攻击是最常见,最有效的攻击方法。因此如何实现工业控制系统的过程控制攻击检测,已经成为业界亟待解决的技术问题。
技术实现思路
本专利技术实施例提供一种工业控制系统的过程控制攻击检测方法及装置,用以解决上述
技术介绍
中提出的技术问题,或至少部分解决上述
技术介绍
中提出的技术问题。第一方面,本专利技术实施例提供一种工业控制系统的过程控制攻击检测方法,包括:获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;对所述步进指令代码信息进行程序流分析得到检测白名单信息;根据所述检测白名单信息实现过程控制攻击检测。更具体的,在所述将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息的步骤之前,所述方法还包括:对步进指令代码信息转换为机器码的过程进行分析,得到步进指令代码信息与机器码的对应关系;根据所述步进指令代码信息与机器码的对应关系构建预设映射数据库。更具体的,所述对所述步进指令代码信息进行程序流分析得到检测白名单信息的步骤,具体包括:对所述步进指令代码信息进行词法分析和语法分析,得到有效地址白名单和有效值域范围白名单;对所述步进指令代码信息进行语义分析,得到逻辑控制白名单;根据所述逻辑控制白名单、有效地址白名单和有效值域范围白名单得到检测白名单信息。更具体的,在所述对所述步进指令代码信息进行词法分析和语法分析的步骤之前,所述方法还包括:对所述步进指令代码信息进行预处理;其中所述预处理包括代码段切割和程序压缩处理。更具体的,所述根据所述检测白名单信息实现过程控制攻击检测的步骤,具体包括:根据所述检测白名单信息中的有效值域范围白名单和有效地址白名单来实现过程控制攻击被动检测;根据所述检测白名单信息中的逻辑控制白名单来实现过程控制攻击主动检测。更具体的,所述根据所述检测白名单信息中的有效值域范围白名单和有效地址白名单来实现过程控制攻击被动检测的步骤,具体包括:获取PLC控制逻辑网络流量信息中的地址信息和数值信息;根据所述有效地址白名单对所述地址信息进行分析,得到地址分析结果;根据所述有效值域范围白名单对所述数值信息进行分析,得到数值分析结果;根据地址分析结果和数值分析结果实现过程控制攻击被动检测。更具体的,所述根据所述检测白名单信息实现过程控制攻击检测的步骤,具体还包括:发送读取请求数据,以根据所述读取请求数据获取寄存器数据;根据所述逻辑控制白名单对所述寄存器数据进行分析,得到逻辑控制分析结果,以根据所述逻辑控制分析结果实现过程控制攻击主动检测。第二方面,本专利技术实施例提供一种工业控制系统的过程控制攻击检测装置,包括:获取模块,用于获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;反编译模块,用于将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;分析模块,用于对所述步进指令代码信息进行程序流分析得到检测白名单信息;检测模块,用于根据所述检测白名单信息实现过程控制攻击检测。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所工业控制系统的过程控制攻击检测方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述工业控制系统的过程控制攻击检测方法的步骤。本专利技术实施例提供的一种工业控制系统的过程控制攻击检测方法及装置,通过对机器码格式的PLC控制逻辑网络流量信息进行反编译,得到步进指令代码信息,然后进行程序流分析,提取有效地址、有效值范围、控制逻辑规则作为评估攻击的依据,并通过主动发送读取请求数据和被动读取网络流量信息实现主动方式和被动方式同时进行检测攻击行为,有效实现对于工业控制系统的过程控制攻击检测。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例所描述的工业控制系统的过程控制攻击检测方法流程示意图;图2为本专利技术一实施例所描述的工业控制系统的过程控制攻击检测装置结构示意图;图3为本专利技术一实施例所描述的电子设备结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术一实施例所描述的工业控制系统的过程控制攻击检测方法流程示意图,如图1所示,包括:步骤S1,获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;步骤S2,将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;步骤S3,对所述步进指令代码信息进行程序流分析得到检测白名单信息;步骤S4,根据所述检测白名单信息实现过程控制攻击检测。具体的,本专利技术实施例中所描述的PLC控制逻辑网络流量信息是指PLC和控制中心之间的网络传输流量信息。本专利技术实施例中所描述的机器码是指二进制的机器码,可以是指MC7代码。本专利技术实施例中的预设映射数据库具体是指,对步进指令代码转换为机本文档来自技高网...
【技术保护点】
1.一种工业控制系统的过程控制攻击检测方法,其特征在于,包括:/n获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;/n将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;/n对所述步进指令代码信息进行程序流分析得到检测白名单信息;/n根据所述检测白名单信息实现过程控制攻击检测。/n
【技术特征摘要】
1.一种工业控制系统的过程控制攻击检测方法,其特征在于,包括:
获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;
将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;
对所述步进指令代码信息进行程序流分析得到检测白名单信息;
根据所述检测白名单信息实现过程控制攻击检测。
2.根据权利要求1所述工业控制系统的过程控制攻击检测方法,其特征在于,在所述将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息的步骤之前,所述方法还包括:
对步进指令代码信息转换为机器码的过程进行分析,得到步进指令代码信息与机器码的对应关系;
根据所述步进指令代码信息与机器码的对应关系构建预设映射数据库。
3.根据权利要求1所述工业控制系统的过程控制攻击检测方法,其特征在于,所述对所述步进指令代码信息进行程序流分析得到检测白名单信息的步骤,具体包括:
对所述步进指令代码信息进行词法分析和语法分析,得到有效地址白名单和有效值域范围白名单;
对所述步进指令代码信息进行语义分析,得到逻辑控制白名单;
根据所述逻辑控制白名单、有效地址白名单和有效值域范围白名单得到检测白名单信息。
4.根据权利要求3所述工业控制系统的过程控制攻击检测方法,其特征在于,在所述对所述步进指令代码信息进行词法分析和语法分析的步骤之前,所述方法还包括:
对所述步进指令代码信息进行预处理;
其中所述预处理包括代码段切割和程序压缩处理。
5.根据权利要求3所述工业控制系统的过程控制攻击检测方法,其特征在于,所述根据所述检测白名单信息实现过程控制攻击检测的步骤,具体包括:
根据所述检测白名单信息中的有效值域范围白名单和有效地址白名单来实现过程控制攻击被动检测;
根据所述检测白名单信息中的逻辑控制白名单来实...
【专利技术属性】
技术研发人员:孙利民,刘俊矫,陈新,文辉,辛明峰,孙越,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。