一种工业控制设备内生安全防护方法技术

本发明专利技术涉及一种工业控制设备内生安全防护方法及工业控制系统，该方法包括：配置工业控制设备的PLC信息；获取并下载正常状态下的PLC内存状态信息，构建PLC正常内存状态基线；周期性与PLC建立通信，问询获取PLC内存状态信息；留存问询获取的PLC内存状态信息，并与PLC正常内存状态基线进行比对，若无法完全匹配，则判断PLC出现异常。本发明专利技术能够快速、准确地检测PLC是否出现异常，并且可适用于不同品类、应用领域的工业控制设备。

【技术实现步骤摘要】
一种工业控制设备内生安全防护方法
本专利技术涉及工业控制与信息安全
，尤其涉及一种工业控制设备内生安全防护方法及工业控制系统。
技术介绍
工业控制是国家工业体系与基础建设中的重要环节，近年来，工业控制逐渐由封闭走向互联，随着相关的安全事件的高发，尤其是针对工业控制设备的攻击，攻击威胁呈现出定向性、精准性，技术手段复杂化、专业化，攻击行为组织化、周期长的显著特征，工业控制设备信息安全问题受到了越来越多的重视。可编程逻辑控制器（PLC）是实现工业控制的重要基础性控制设备，在现网环境及时发现针对PLC的攻击类安全风险对于维护国家的战略安全与社会生产稳定都具有重要意义。然而，由于工业控制设备大多来自国外，涉及的应用领域和设备品类众多，且具有工业控制协议大多私有等特点，往往难以获取控制器进程数据或更改控制器组态软件，这使得对于工业控制设备的安全威胁发现和防护更加困难。为应对国家级的多步骤、多层次的攻击和复杂多变的安全挑战，聚焦攻防过程，从信息化系统内生长出安全防护能力，实现设备运行异常的自动发现并有效防止攻击范围及危害进一步扩大，对于工业控制系统的安全具有重大价值和意义。
技术实现思路
本专利技术的目的是提供一种不基于控制器进程数据、不需要修改组态软件的工业控制设备内生安全防护方法，实现工业控制设备安全监测。为了实现上述目的，本专利技术提供了一种工业控制设备内生安全防护方法，包括如下步骤：S1、配置工业控制设备的PLC信息；其中，PLC信息至少包括PLC的IP地址、PLC通信协议类型、认证密码和采集间隔时间；S2、以配置的PLC的IP地址作为通信地址，根据配置的PLC通信协议类型和认证密码，与PLC建立通信，获取并下载正常状态下的PLC内存状态信息，构建PLC正常内存状态基线；其中，PLC内存状态信息至少包括CPU状态、内存程序块信息和组态文件信息，其中的内存程序块信息至少包括内存中程序块数量，以及各程序块的编译名称、编译时间和大小；S3、在现网环境中，按照配置的采样间隔时间，周期性与PLC建立通信，问询获取PLC内存状态信息；S4、留存问询获取的PLC内存状态信息，并与PLC正常内存状态基线进行比对，若无法完全匹配，则判断PLC出现异常。优选地，该方法还包括如下步骤：S5、若判断PLC出现异常，则产生警告信息，根据留存的PLC内存状态信息进行安全事件回溯分析，分析PLC出现异常的时间点与攻击类型，并执行应急处置方案。优选地，该方法采用采集器实现，所述采集器包括配置模块、通信模块、存储模块、基线模块和比对模块；其中，所述配置模块用于配置PLC信息；所述通信模块与所述配置模块连接，用于根据配置的PLC信息，通过交换机与PLC建立通信，获取PLC内存状态信息；所述存储模块与所述通信模块连接，用于存储PLC内存状态信息；所述基线模块与所述存储模块连接，用于基于正常状态下的PLC内存状态信息构建PLC正常内存状态基线；所述比对模块与所述基线模块、所述存储模块连接，用于比对现网环境下问询获取的PLC内存状态信息与PLC正常内存状态基线，进而判断PLC是否出现异常。优选地，所述通信模块与PLC建立通信时，执行如下步骤：按照配置的PLC信息，通过交换机向PLC发送三次握手协议进行认证，三次握手协议成功后，通信连接打开；通过交换机向PLC发送上载指令码；通过交换机接收PLC内存状态信息；在接收成功后，通过交换机向PLC发送三次握手协议关闭通信连接。优选地，所述存储模块至少包括第一存储单元和第二存储单元，所述第一存储单元与所述通信模块、所述基线模块连接，用于存储正常状态下的PLC内存状态信息，所述第二存储单元与所述通信模块、所述比对模块连接，用于存储现网环境下问询获取的PLC内存状态信息。优选地，所述步骤S2中获取并下载正常状态下的PLC内存状态信息来自不联网的PLC或联网初期的PLC，联网初期的PLC的联网时长少于预设时长阈值，或来自在业务正常情况下运行一天的PLC。优选地，所述步骤S4中，留存问询获取的PLC内存状态信息，并与PLC正常内存状态基线进行比对时，首先比对CPU状态，其次比对程序块数量，以及各程序块的编译名称、编译时间和大小，最后比对组态文件信息；若比对CPU状态，发现CPU当前处于非正常状态，则认为CPU状态无法完全匹配，判断PLC出现系统故障异常；若比对程序块数量，发现程序块数量增多，则认为内存程序块信息无法完全匹配，判断PLC出现程序块增多异常；若比对各程序块的编译名称、编译时间，发现程序块编译名称、编译时间发生改变，则认为内存程序块信息无法完全匹配，判断PLC出现程序非法更新异常；若比对各程序块的大小，发现程序块的大小发生改变，则认为内存程序块信息无法完全匹配，判断PLC出现程序注入异常；若比对组态文件信息，发现组态文件信息发生改变，则认为组态文件信息无法完全匹配，判断PLC出现组态文件异常。优选地，所述步骤S4中，当判断PLC出现系统故障异常，则初步诊断为PLC发生非法指令攻击，或者PLC出现了系统故障；当判断PLC出现程序块增多异常，且出现异常的程序块名称时，则初步诊断为PLC感染蠕虫病毒；当判断PLC出现程序非法更新异常，则初步诊断为PLC被非法更新；当判断PLC出现程序注入异常，则初步诊断为PLC被植入恶意程序；当判断PLC出现组态文件异常，则初步诊断为PLC被非法更新。本专利技术还提供了一种工业控制系统，采用如上述任一项所述的工业控制设备内生安全防护方法监控PLC运行。本专利技术的上述技术方案具有如下优点：本专利技术提供了一种工业控制设备内生安全防护方法及工业控制系统，本专利技术获取正常状态下的PLC内存状态信息，构建PLC正常内存状态基线，通过周期性比对现网环境下PLC内存状态信息与PLC正常内存状态基线，判断是否出现异常。本专利技术无需更改PLC组态软件或获取进程数据，无需建立安全风险黑名单，也不考虑PLC中各个程序块的输入、输出，能够快速、准确地检测PLC出现异常和安全风险，可适用于不同品类、应用领域的工业控制设备。附图说明图1是本专利技术实施例中一种工业控制设备内生安全防护方法流程示意图；图2是本专利技术实施例中采集器的结构示意图；图3是本专利技术实施例中采集器的通信过程示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。如图1所示，本专利技术实施例提供的一种工业控制设备内生安全防护方法，该方法包括如下步骤：S1、配置工业控制设备的PLC信息。其中，PLC信息至少包括PL本文档来自技高网...

【技术保护点】
1.一种工业控制设备内生安全防护方法，其特征在于，包括如下步骤：/nS1、配置工业控制设备的PLC信息；其中，PLC信息至少包括PLC的IP地址、PLC通信协议类型、认证密码和采集间隔时间；/nS2、以配置的PLC的IP地址作为通信地址，根据配置的PLC通信协议类型和认证密码，与PLC建立通信，获取并下载正常状态下的PLC内存状态信息，构建PLC正常内存状态基线；其中，PLC内存状态信息至少包括CPU状态、内存程序块信息和组态文件信息，其中的内存程序块信息至少包括内存中程序块数量，以及各程序块的编译名称、编译时间和大小；/nS3、在现网环境中，按照配置的采样间隔时间，周期性与PLC建立通信，问询获取PLC内存状态信息；/nS4、留存问询获取的PLC内存状态信息，并与PLC正常内存状态基线进行比对，若无法完全匹配，则判断PLC出现异常。/n

【技术特征摘要】
1.一种工业控制设备内生安全防护方法，其特征在于，包括如下步骤：
S1、配置工业控制设备的PLC信息；其中，PLC信息至少包括PLC的IP地址、PLC通信协议类型、认证密码和采集间隔时间；
S2、以配置的PLC的IP地址作为通信地址，根据配置的PLC通信协议类型和认证密码，与PLC建立通信，获取并下载正常状态下的PLC内存状态信息，构建PLC正常内存状态基线；其中，PLC内存状态信息至少包括CPU状态、内存程序块信息和组态文件信息，其中的内存程序块信息至少包括内存中程序块数量，以及各程序块的编译名称、编译时间和大小；
S3、在现网环境中，按照配置的采样间隔时间，周期性与PLC建立通信，问询获取PLC内存状态信息；
S4、留存问询获取的PLC内存状态信息，并与PLC正常内存状态基线进行比对，若无法完全匹配，则判断PLC出现异常。


2.根据权利要求1所述的工业控制设备内生安全防护方法，其特征在于，该方法还包括如下步骤：
S5、若判断PLC出现异常，则产生警告信息，根据留存的PLC内存状态信息进行安全事件回溯分析，分析PLC出现异常的时间点与攻击类型，并执行应急处置方案。


3.根据权利要求1所述的工业控制设备内生安全防护方法，其特征在于，
采用采集器实现，所述采集器包括配置模块、通信模块、存储模块、基线模块和比对模块；
其中，所述配置模块用于配置PLC信息；所述通信模块与所述配置模块连接，用于根据配置的PLC信息，通过交换机与PLC建立通信，获取PLC内存状态信息；所述存储模块与所述通信模块连接，用于存储PLC内存状态信息；所述基线模块与所述存储模块连接，用于基于正常状态下的PLC内存状态信息构建PLC正常内存状态基线；所述比对模块与所述基线模块、所述存储模块连接，用于比对现网环境下问询获取的PLC内存状态信息与PLC正常内存状态基线，进而判断PLC是否出现异常。


4.根据权利要求3所述的工业控制设备内生安全防护方法，其特征在于，
所述通信模块与PLC建立通信时，执行如下步骤：
按照配置的PLC信息，通过交换机向PLC发送三次握手协议进行认证，三次握手协议成功后，通信连接打开；
通过交换机向PLC发送上载指令码；
通过交换机接收PLC内存状态信息；
在接收成功后，通过交换机向PLC发送三次握手协议关闭通信连接。


5.根据权利...

【专利技术属性】
技术研发人员：姜双林，徐菲，周磊，饶志波，
申请(专利权)人：北京安帝科技有限公司，
类型：发明
国别省市：北京;11