本发明专利技术公开了一种监测西门子S7‑PLC设置会话密码的方法,其特征在于包括以下步骤:S001:将交换机设置为旁路镜像的工作模式,并将西门子S7‑PLC的所有PLC通信流量进行镜像;S002:解析所镜像的PLC通信流量,判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;S003:判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值,如果是,执行步骤S004,否则执行步骤S002;S004:判断s7comm数据包的参数部分的子功能字段值是否为指定值,如果是,执行步骤S005,否则执行步骤S002;S005:记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。
A method of monitoring Siemens S7-PLC to set session password
【技术实现步骤摘要】
一种监测西门子S7-PLC设置会话密码的方法
本专利技术属于工控网络安全领域,具体涉及监测西门子S7-PLC的方法,尤其涉及一种监测西门子S7-PLC设置会话密码的方法。
技术介绍
随着工业4.0、中国制造2025、互联网+、物联网、两化融合进程的不断交叉融合,越来越多的信息技术应用于工控领域,工控系统的开放程度也越来越高,在为工业生产带来极大推动的同时也带来了诸如木马、病毒、网络攻击等安全问题。这些都成为了制约信息化与工业化深度融合发展的重要因素,传统的以物理隔离为主的防护措施已远远不能满足工业信息化发展的需求。目前工业控制系统普遍存在一些严重的安全问题,主要表现为:一、各类安全漏洞不能及时加固,系统存在严重的安全隐患现在运行的工控系统普遍在设备、系统、协议等层面存在安全漏洞,且基于工控系统特殊的运行机制,工控具有系统软件难以实时升级、安全漏洞难以及时加固、设备使用周期长以及系统补丁兼容性差、发布周期长等特点,导致工控系统存在严重的安全隐患。二、工业网络及总线通讯缺乏安全机制,易于被攻击和利用工控系统以实时性和可靠性为目的,追求效率和速度,对身份认证、规则检查、加密传输、完整性检查等缺乏安全措施,极易受到攻击;工控系统现场总线大量使用明码传输,极易被破译和伪造。三、“互联网+工业控制系统”及两化融合等使得工控系统安全威胁全面升级深度网络化和多层面互联互通的两化融合增加了工业环境中潜在的攻击路径,传统IT产品的引入带来了更多安全漏洞,而新兴信息技术在工业控制领域的安全理论、防护体系尚不成熟,安全防护手段亦显不足,这使得工控网络在网络攻击面前“不堪一击”。四、传统信息安全领域的安全产品在工业控制网络中的不适应性传统信息网络安全产品由于要具有广泛的应用场景,因此只能以黑名单为基础进行特征、危险行为检测,而大量的传统信息安全的特征、行为、协议在工控环境中并不存在。并且黑名单方式的安全检测需要长期、成熟的工控安全行业的技术积累和大量样本分析才有可能做到一定的检测有效性。而工控环境中,通信设备相对较少,通信协议相对单一,通信业务相对固定,因此具备以白名单为基础的安全检测。德国西门子(SIEMENS)公司生产的可编程序控制器在我国的应用也相当广泛,在冶金、化工、印刷生产线等领域都有应用。西门子(SIEMENS)公司的PLC产品包括LOGO、S7-200、S7-1200、S7-300、S7-400等。西门子S7系列PLC体积小、速度快、标准化,具有网络通信能力,功能更强,可靠性高。S7系列PLC产品可分为微型PLC(如S7-200),小规模性能要求的PLC(如S7-300)和中、高性能要求的PLC(如S7-400)等。但是,西门子S7-PLC同样也面临本领域的上述问题,具体地,现有技术中尚无一种监测西门子S7-PLC设置会话密码的方法。
技术实现思路
本专利技术针对现有技术的不足问题,提出了一种监测西门子S7-PLC设置会话密码的方法,通过解析西门子S7-PLC控制器的通信数据,判断是否有设置会话密码的行为并记录诸如源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号等关键信息,供后续分析使用,包括以下步骤:S001:将交换机设置为旁路镜像的工作模式,并将西门子S7-PLC的所有PLC通信流量进行镜像;S002:解析所镜像的PLC通信流量,判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;S003:判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值,如果是,执行步骤S004,否则执行步骤S002;S004:判断s7comm数据包的参数部分的子功能字段值是否为指定值,如果是,执行步骤S005,否则执行步骤S002;S005:记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。优选地,所述步骤S002包括以下步骤:S0021:查找数据包中是否包含请求连接标识0x11e00000000100c0010ac1020100c202,如果是,执行步骤S0022,否则执行步骤S0021,其中0xe0表示请求建立PLC通信连接;S0022:查找所述请求连接标识0x11e00000000100c0010ac1020100c202后的数据包中是否包含确认连接标识0x11d00001000100c0010ac1020100c202,如果是,执行步骤S003,否则执行步骤S0021,其中,0xd0表示确认连接。优选地,所述步骤S003中所述指定值为0x07。优选地,所述步骤S003中,所述s7comm数据包的头部分的第2字节的内容为所述远程操作服务控制字段值。优选地,所述步骤S004中,所述指定值为设置密码,其中,设置密码以0x01表示。优选地,所述步骤S004中,所述s7comm数据包的参数部分的第17字节的内容为所述功能字段值。优选地,当前数据包的第1字节至第6字节的内容为所述目标MAC地址,第7字节至第12字节的内容为所述源MAC地址,第27字节至第30字节的内容为所述源IP地址,第31字节至第34字节的内容为所述目标IP地址,第35字节至第36字节的内容为所述源端口号,第37字节至第38字节的内容为所述目标端口号。本专利技术的有益效果是:1.本专利技术获取通信数据是通过交换机旁路镜像方式接入工控网络,被动接受数据,不会影响生产企业工控系统的功能和性能。2.通过解析西门子PLC网络数据包,来识别是否存在设置会话密码的行为,增加了工控网络的安全性。附图说明图1为本专利技术的流程图。具体实施方式下面结合附图和实施例对本专利技术作进一步阐述。如图1所示,本专利技术的方法包括以下步骤:S001:将交换机设置为旁路镜像的工作模式,并将西门子S7-PLC的所有PLC通信流量进行镜像;S002:解析所镜像的PLC通信流量,判断PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;步骤S002的具体步骤包括:S0021:查找数据包中是否包含请求连接标识0x11e00000000100c0010ac1020100c202,如果是,执行步骤S0022,否则执行步骤S0021,其中0xe0表示请求建立PLC通信连接;S0022:查找请求连接标识0x11e00000000100c0010ac1020100c202后的数据包中是否包含确认连接标识0x11d00001000100c0010ac1020100c202,如果是,执行步骤S003,否则执行步骤S0021,其中0xd0表示确认连接。S003:判断s7comm数据包的Header(即头部分)的远程操作服务控制ROSCTR字段值是否为指定值0x07(即Userdat本文档来自技高网...
【技术保护点】
1.一种监测西门子S7-PLC设置会话密码的方法,其特征在于包括以下步骤:/nS001:将交换机设置为旁路镜像的工作模式,并将西门子S7-PLC的所有PLC通信流量进行镜像;/nS002:解析所镜像的PLC通信流量,判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;/nS003:判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值,如果是,执行步骤S004,否则执行步骤S002;/nS004:判断s7comm数据包的参数部分的子功能字段值是否为指定值,如果是,执行步骤S005,否则执行步骤S002;/nS005:记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。/n
【技术特征摘要】
1.一种监测西门子S7-PLC设置会话密码的方法,其特征在于包括以下步骤:
S001:将交换机设置为旁路镜像的工作模式,并将西门子S7-PLC的所有PLC通信流量进行镜像;
S002:解析所镜像的PLC通信流量,判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议,如果是,执行步骤S003,否则执行步骤S002;
S003:判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值,如果是,执行步骤S004,否则执行步骤S002;
S004:判断s7comm数据包的参数部分的子功能字段值是否为指定值,如果是,执行步骤S005,否则执行步骤S002;
S005:记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号,以供后续分析使用。
2.根据权利要求1所述的一种监测西门子S7-PLC设置会话密码的方法,其特征在于,所述步骤S002的具体步骤包括:
S0021:查找数据包中是否包含请求连接标识0x11e00000000100c0010ac1020100c202,如果是,执行步骤S0022,否则执行步骤S0021,其中0xe0表示请求建立PLC通信连接;
S0022:查找所述请求连接标识0x11e00000000100c0010ac1020100c202后的数据包中是否包含确认连接标识0x11d000010...
【专利技术属性】
技术研发人员:梁效宁,黄旭,向科林,杨先珉,
申请(专利权)人:陕西思科锐迪网络安全技术有限责任公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。