基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐技术

本发明专利技术属于工控系统防御技术领域，特别涉及一种基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐，收集工控系统上位机和工业控制器PLC之间的通信数据，解析获取通信数据中的协议相关数据；依据工程配置文件和协议相关数据来构建PLC虚拟内存仿真器；并建立用于模拟工控系统控制逻辑及其变化过程的工控内存数据模型，生成相关内存配置文件添加到内存配置文件库中；利用对应内存配置文件将工控系统控制逻辑及其变化过程映射到PLC虚拟内存仿真器中，通过PLC虚拟内存仿真器模拟控制逻辑动态变化来应对攻击者请求。本发明专利技术能够提高工控蜜罐系统仿真模拟功能，有效避免攻击者识别，便于捕获更多、更复杂的工控系统攻击行为，保证工控系统的安全稳定性。保证工控系统的安全稳定性。保证工控系统的安全稳定性。

【技术实现步骤摘要】
基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐


[0001]本专利技术属于工控系统防御
，特别涉及一种基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐。

技术介绍

[0002]工业控制系统广泛应用于发电、输配电、石油化工、油气传输、智能制造炼油和海水淡化等关键基础设施领域。而随着工业4.0的发展，这些原本隔离的系统开始直接或间接的接入了互联网。由于薄弱的安全措施和重要的军事、经济价值，工业控制系统迅速成为网络攻击的重要目标，面临着越来越大的网络攻击威胁。工业控制器，即可编程逻辑控制器（PLC）作为工业控制系统的大脑，是一种专门用于工业控制的计算机，通过其上运行的控制逻辑代码控制整个系统的运行，PLC代码的安全直接管关系到整个工业控制系统的安全。而现有的蜜罐防御技术主要虚拟的对象则是PLC。蜜罐防御技术是一类重要的欺骗防御技术，旨在检测，转移或以某种方式抵消对未经授权使用工控系统的尝试，主要用于研究面临的威胁和抵御的方法，在真实工控场景的防御中起着非常重要的作用。对于蜜罐来说，不被攻击者识别才能最大限度的发挥作用。因此在构建蜜罐时，如本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于控制器深度内存仿真的工控蜜罐构建方法，其特征在于，包含如下内容：收集工控系统上位机和工业控制器PLC之间的通信数据，并通过解析获取通信数据中的协议相关数据；依据工程配置文件和协议相关数据分析工业控制器PLC内存结构，并构建用于仿真模拟工业控制器PLC内存结构的PLC虚拟内存仿真器；在PLC虚拟内存仿真器中建立用于模拟工控系统控制逻辑及其变化过程的工控内存数据模型，生成内存配置文件并添加至内存配置文件库中；利用对应的内存配置文件将工控系统控制逻辑及其变化过程映射到PLC虚拟内存仿真器中，通过PLC虚拟内存仿真器模拟控制逻辑动态变化来应对攻击者请求。2.根据权利要求1所述的基于控制器深度内存仿真的工控蜜罐构建方法，其特征在于，利用网络抓包工具抓取上位机和工业控制器PLC之间的通信流量包，通过分析来初步划分通信流量包中协议特征，该协议特征至少包含：协议字段、语义及协议数据；并利用反编译工具对上位机软件进行静态逆向分析和动态调试，根据协议特征并通过寻找协议解析库文件来解码通信流量包中协议相关数据，该协议相关数据至少包含：协议字段划分及功能码语义。3.根据权利要求1所述的基于控制器深度内存仿真的工控蜜罐构建方法，其特征在于，分析工业控制器PLC内存结构中，使用私有协议遍历可读地址空间，通过模拟客户端发送读功能数据包来获取可读的所有虚拟内存范围数据；并利用网络抓包工具抓取工程配置文件下发过程中的配置数据，通过分析配置文件来获取与控制器PLC虚拟内存关系，其中，配置数据包含：关键内存数据地址映射及分布。4.根据权利要求1所述的基于控制器深度内存仿真的工控蜜罐构建方法...

【专利技术属性】
技术研发人员：魏强，刘可，麻荣宽，耿洋洋，吴茜琼，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：