[发明专利]PLC控制逻辑攻击检测方法及装置

权利要求书

1.一种可编程逻辑控制器PLC控制逻辑攻击检测方法，其特征在于，包括：

获取PLC基线程序；所述PLC基线程序为PLC未遭受控制逻辑攻击时运行的控制程序；

对所述PLC基线程序进行反编译处理和文本分析，确定基线程序特征信息；所述基线程序特征信息包括基线程序梯级信息；

基于所述基线程序特征信息生成白名单规则；

基于所述白名单规则进行PLC控制逻辑攻击检测。

2.根据权利要求1所述的PLC控制逻辑攻击检测方法，其特征在于，所述获取PLC基线程序，包括：

根据PLC设备对应的通信协议构造控制程序上载数据包获取所述PLC基线程序。

3.根据权利要求1所述的PLC控制逻辑攻击检测方法，其特征在于，所述对所述PLC基线程序进行反编译处理和文本分析，确定基线程序特征信息，包括：

将二进制的所述PLC基线程序通过预设映射数据库进行反编译处理，得到指令表IL语言控制程序；

对所述IL语言控制程序进行文本分析，确定所述基线程序特征信息。

4.根据权利要求1所述的PLC控制逻辑攻击检测方法，其特征在于，所述白名单规则包括程序列表白名单，程序块属性白名单和程序内容白名单；所述程序列表白名单为基线程序的列表集合；所述程序块属性白名单为基线程序块的元信息集合；所述程序内容白名单为基线程序块的梯级信息集合。

5.根据权利要求1所述的PLC控制逻辑攻击检测方法，其特征在于，所述基于所述白名单规则进行PLC控制逻辑攻击检测，包括：

按照预设周期实时获取PLC程序；

将二进制的所述PLC程序进行反编译处理和文本分析后与所述白名单规则进行比对，确定PLC控制逻辑攻击检测结果。

6.根据权利要求1所述的PLC控制逻辑攻击检测方法，其特征在于，所述基于所述白名单规则进行PLC控制逻辑攻击检测，包括：

监控具有PLC程序下载功能码或PLC数据读写功能码的数据包；

解析所述数据包获取对应的二进制的PLC程序；

将所述PLC程序进行反编译处理和文本分析后与所述白名单规则进行比对，确定PLC控制逻辑攻击检测结果。

7.一种PLC控制逻辑攻击检测装置，其特征在于，包括：

获取模块，用于获取PLC基线程序；所述PLC基线程序为PLC未遭受控制逻辑攻击时运行的控制程序；

程序解析模块，用于对所述PLC基线程序进行反编译处理和文本分析，确定基线程序特征信息；所述基线程序特征信息包括基线程序梯级信息；

生成模块，用于基于所述基线程序特征信息生成白名单规则；

检测模块，用于基于所述白名单规则进行PLC控制逻辑攻击检测。

8.一种PLC控制逻辑攻击检测系统，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述PLC控制逻辑攻击检测方法的步骤。

9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述PLC控制逻辑攻击检测方法的步骤。

10.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述PLC控制逻辑攻击检测方法的步骤。