【技术实现步骤摘要】
一种工业控制器控制逻辑攻击取证方法
[0001]本专利技术属于工业控制系统安全领域,涉及一种工业控制器控制逻辑攻击取证方法。
技术介绍
[0002]工业控制系统(ICS)为工业生成过程提供控制和监控功能,并在关键基础设施行业中发挥关键作用,如天然气、电力、水处理、化学、制药和食品。然而,对这些关键系统的网络攻击将对社会产生广泛和重大的影响。特别是,可编程逻辑控制器(PLC)容易受到控制逻辑攻击。攻击者可以通过篡改PLC的控制逻辑程序来破坏物理生成过程。攻击者通过插入、删除和篡改控制程序的源代码或编译的二进制控制应用程序文件,操纵目标PLC执行恶意功能。这些控制逻辑攻击损害了PLC中二进制控制逻辑程序的完整性。
技术实现思路
[0003]本专利技术提出了一种工业控制器控制逻辑攻击取证方法,以有效地进行控制逻辑攻击的取证,而无需PLC源程序、工厂行为模型和任何网络流量。本专利技术将通过应用程序级指令比较来定位PLC控制应用程序中的被篡改指令,并执行后续事件响应动作。控制逻辑攻击将破坏二进制控制应用程序的完整性,并...
【技术保护点】
【技术特征摘要】
1.一种工业控制器控制逻辑攻击取证方法,其特征在于,包括以下步骤:S1,控制逻辑提取:通过模拟PLC的上传功能,以提取PLC二进制控制应用程序文件;S2,对提取的二进制文件进行逆向分析,包括PLC二进制文件的汇编指令集体系结构识别、反汇编分析、PLC编程语言识别和汇编日志文件生成;S3,基于生成的汇编日志文件,进行攻击检测、攻击定位、攻击分析和攻击恢复,具体为:首先通过计算提取的控制应用程序文件的哈希值并验证其完整性来检测控制逻辑攻击,再在控制逻辑中定位被篡改的运算符和汇编指令,评估攻击对物理过程的影响,最后在定位篡改后的控制应用程序后,将原始控制应用程序写入PLC并恢复正常操作。2.根据权利要求1所述的一种工业控制器控制逻辑攻击取证方法,其特征在于,所述S1中包括以下子步骤:S101,捕获上传功能流量:利用工业控制器配套的编程软件进行n次上传操作,并捕获包含上传功能数据包的流量;S102,流量分析:根据程序开发逻辑,编程软件进行n次上传操作会产生n次上传功能数据包,凭借此统计特征,在流量中筛选出重复出现且顺序相同的n次的数据包序列;S103,流量验证:与工业控制器建立通信并重放S102筛选出的数据包序列,验证是否为上传功能数据包;S104,上传控制应用程序脚本开发:开发相应脚本程序模拟上传操作并存储上传的二进制控制应用程序;S105,二进制文件提取:编程软件在编译过程中将源程序编译生成二进制机器代码;为了提取PLC中的运行时二进制文件,在执行上传控制应用程序脚本时,从响应报文中提取出二进制控制应用程序,包含PLC控制程序、变量数据和配置数据。3.根据权利要求1所述的一种工业控制器控制逻辑攻击取证方法,其特征在于,所述S2中包括以下子步骤:S201,识别专有PLC二进制文件的汇编指令集;利用汇编指令对应的机器码确定二进制文件的汇编架构;S202,对二进制文件进行反汇编和分析;通过反汇编工具将二进制文件的机器码反汇编成汇编指令,并依据汇编指令集的函数序言特征建立函数;S203...
【专利技术属性】
技术研发人员:车欣,耿洋洋,赵成成,邓瑞龙,孙铭阳,程鹏,陈积明,王鹏,陈博,赵玉伟,魏一丁,
申请(专利权)人:山东临工工程机械有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。