本发明专利技术提出一种针对工控设备攻击的攻击行为检测方法和系统。其中,方法包括:采集可编程逻辑控制器同工程师站之间的工控网络流量;对所述工控网络流量中的工业协议进行解析,确定协议类型;根据所述协议类型,判定协议中是否涉及工程文件上传与下载的功能码;如果协议中涉及工程文件上传与下载的功能码,则根据所述协议类型,开展文件载荷恶意性的判定。本发明专利技术提出的方案,能够有效识别出工控设备PLC同工程师站之间上传与下载过程中的攻击行为,从而提高攻击检测能力,充分发挥态势感知、入侵检测等平台系统作用。检测等平台系统作用。检测等平台系统作用。
【技术实现步骤摘要】
一种针对工控设备攻击的攻击行为检测方法和系统
[0001]本专利技术属于工控网络领域,尤其涉及一种针对工控设备攻击的攻击行为检测方法和系统。
技术介绍
[0002]工业控制系统是关键信息基础设施的重要组成部分,当前伴随着各种新兴业务的蓬勃发展,工业控制系统同互联网之间建立通道,从而导致近年来针对工控系统的网络攻击事件频繁发生,对于能源、交通、水利、钢铁、制造等依赖于工控系统的行业造成了严重的网络安全威胁。
[0003]针对网络攻击的检测主要包括误用检测与异常检测,虽然异常检测能够有效实现对未知攻击的发现,但是误用检测针对攻击特征进行识别能够有效提高攻击检测的速度与准确度,在网络安全中依然发挥着不可替代的作用。当前,网络攻击行为的识别主要聚焦于通用网络与设备,对于工业控制系统而言,一方面工业控制系统设备、协议、应用自身的复杂性较高,另一方面面向工业控制系统的新兴网络攻击不断涌现,所以需要不断针对面向工业控制系统的新兴网络攻击开展攻击行为识别,从而保证攻击检测的有效性。
[0004]传统针对PLC等工控设备的攻击主要利用功能码进行设备识别与启停控制,聚焦于将工控设备直接作为攻击目标。在一种针对工控设备的新型网络攻击中,攻击者将PLC等工控设备作为攻击跳板,在PLC中嵌入恶意代码,继而利用PLC同工程师站之间的数据传输机制,等待PLC中恶意代码传输至工程师站,最后恶意代码利用工程师站应用软件的漏洞得以执行。
技术实现思路
[0005]为解决上述技术问题,本专利技术提出一种针对工控设备攻击的攻击行为检测方法的技术方案,以解决上述技术问题。
[0006]本专利技术第一方面公开了一种针对工控设备攻击的攻击行为检测方法,所述方法包括:
[0007]步骤S1、采集可编程逻辑控制器同工程师站之间的工控网络流量;
[0008]步骤S2、对所述工控网络流量中的工业协议进行解析,确定协议类型;
[0009]步骤S3、根据所述协议类型,判定协议中是否涉及工程文件上传与下载的功能码;
[0010]步骤S4、如果协议中涉及工程文件上传与下载的功能码,则根据所述协议类型,开展文件载荷恶意性的判定。
[0011]根据本专利技术第一方面的方法,在所述步骤S2中,所述协议类型包括:SDI协议、UMAS协议和CIP协议。
[0012]根据本专利技术第一方面的方法,在所述步骤S3中,在所述SDI协议中,从可编程逻辑控制器中提取工程文件进行上传的SDI功能码为0x25,将工程文件向可编程逻辑控制器下载的SDI功能码为0x18和0x19。
[0013]根据本专利技术第一方面的方法,在所述步骤S3中,在所述UMAS协议中,可编程逻辑控制器将工程文件上传到工程师站的UMAS功能码为0x33、0x34和0x35,将工程文件向可编程逻辑控制器下载的UMAS功能码为0x30、0x31和0x32。
[0014]根据本专利技术第一方面的方法,在所述步骤S3中,在所述CIP协议中,可编程逻辑控制器同工程师站使用文件对象类0x37与厂商对象类0x350进行数据传输。
[0015]根据本专利技术第一方面的方法,在所述步骤S4中,所述根据所述协议类型,开展文件载荷恶意性的判定的方法包括:
[0016]针对所述SDI协议,对device.zip的工程文件开展文件载荷恶意性的判定;
[0017]针对所述UMAS协议,对文件类型为.apx的工程文件开展文件载荷恶意性的判定;
[0018]针对所述CIP协议,对文件类型为.annex的工程文件开展文件载荷恶意性的判定
[0019]本专利技术第二方面公开了一种针对工控设备攻击的攻击行为检测系统,所述系统包括:
[0020]第一处理模块,被配置为,采集可编程逻辑控制器同工程师站之间的工控网络流量;
[0021]第二处理模块,被配置为,对所述工控网络流量中的工业协议进行解析,确定协议类型;
[0022]第三处理模块,被配置为,根据所述协议类型,判定协议中是否涉及工程文件上传与下载的功能码;
[0023]第四处理模块,被配置为,如果协议中涉及工程文件上传与下载的功能码,则根据所述协议类型,开展文件载荷恶意性的判定。
[0024]根据本专利技术第二方面的系统,所述第二处理模块,被配置为,所述协议类型包括:SDI协议、UMAS协议和CIP协议。
[0025]根据本专利技术第二方面的系统,所述第三处理模块,被配置为,在所述SDI协议中,从可编程逻辑控制器中提取工程文件进行上传的SDI功能码为0x25,将工程文件向可编程逻辑控制器下载的SDI功能码为0x18和0x19。
[0026]根据本专利技术第二方面的系统,所述第三处理模块,被配置为,在所述UMAS协议中,可编程逻辑控制器将工程文件上传到工程师站的UMAS功能码为0x33、0x34和0x35,将工程文件向可编程逻辑控制器下载的UMAS功能码为0x30、0x31和0x32。
[0027]根据本专利技术第二方面的系统,所述第三处理模块,被配置为,在所述CIP协议中,可编程逻辑控制器同工程师站使用文件对象类0x37与厂商对象类0x350进行数据传输。
[0028]根据本专利技术第二方面的系统,所述第四处理模块,被配置为,所述根据所述协议类型,开展文件载荷恶意性的判定包括:
[0029]针对所述SDI协议,对device.zip的工程文件开展文件载荷恶意性的判定;
[0030]针对所述UMAS协议,对文件类型为.apx的工程文件开展文件载荷恶意性的判定;
[0031]针对所述CIP协议,对文件类型为.annex的工程文件开展文件载荷恶意性的判定。
[0032]本专利技术第三方面公开了一种电子设备。电子设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时,实现本公开第一方面中任一项的一种针对工控设备攻击的攻击行为检测方法中的步骤。
[0033]本专利技术第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有
计算机程序,计算机程序被处理器执行时,实现本公开第一方面中任一项的一种针对工控设备攻击的攻击行为检测方法中的步骤。
[0034]本专利技术提出的方案,能够有效识别出工控设备PLC同工程师站之间上传与下载过程中的攻击行为,从而提高攻击检测能力,充分发挥态势感知、入侵检测等平台系统作用。
附图说明
[0035]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0036]图1为根据本专利技术实施例的一种针对工控设备攻击的攻击行为检测方法的流程图;
[0037]图2为根据本专利技术实施例的一种针对工控设备攻击的攻击行为检测系统的结构图;
[0038]图3为根据本专利技术实施例的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对工控设备攻击的攻击行为检测方法,其特征在于,所述方法包括:步骤S1、采集可编程逻辑控制器同工程师站之间的工控网络流量;步骤S2、对所述工控网络流量中的工业协议进行解析,确定协议类型;步骤S3、根据所述协议类型,判定协议中是否涉及工程文件上传与下载的功能码;步骤S4、如果协议中涉及工程文件上传与下载的功能码,则根据所述协议类型,开展文件载荷恶意性的判定。2.根据权利要求1所述的一种针对工控设备攻击的攻击行为检测方法,其特征在于,在所述步骤S2中,所述协议类型包括:SDI协议、UMAS协议和CIP协议。3.根据权利要求2所述的一种针对工控设备攻击的攻击行为检测方法,其特征在于,在所述步骤S3中,在所述SDI协议中,从可编程逻辑控制器中提取工程文件进行上传的SDI功能码为0x25,将工程文件向可编程逻辑控制器下载的SDI功能码为0x18和0x19。4.根据权利要求3所述的一种针对工控设备攻击的攻击行为检测方法,其特征在于,在所述步骤S3中,在所述UMAS协议中,可编程逻辑控制器将工程文件上传到工程师站的UMAS功能码为0x33、0x34和0x35,将工程文件向可编程逻辑控制器下载的UMAS功能码为0x30、0x31和0x32。5.根据权利要求4所述的一种针对工控设备攻击的攻击行为检测方法,其特征在于,在所述步骤S3中,在所述CIP协议中,可编程逻辑控制器同工程师站使用文件对象类0x37与厂商对象类0x350进...
【专利技术属性】
技术研发人员:戴超,徐浩,黄石海,郭炳峰,杨丽芳,
申请(专利权)人:中能融合智慧科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。