CN104993976B - 一种plc安全防护设备测评方法及系统 - Google Patents
一种plc安全防护设备测评方法及系统 Download PDFInfo
- Publication number
- CN104993976B CN104993976B CN201510395194.4A CN201510395194A CN104993976B CN 104993976 B CN104993976 B CN 104993976B CN 201510395194 A CN201510395194 A CN 201510395194A CN 104993976 B CN104993976 B CN 104993976B
- Authority
- CN
- China
- Prior art keywords
- plc
- attack
- message
- test
- test lead
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本发明提供一种PLC安全防护设备测评方法及系统,方法包括:第一测试端获取对待测设备进行测试的通信方式类型、PLC类型、攻击方式和/或攻击规则,生成待测设备的攻击报文并发送给待测设备,第一测试端根据第二测试端的应答报文得到PLC安全防护设备测评结果。能够快速、客观、全面的对待测设备的安全防护功能进行测试验证。
Description
技术领域
本发明涉及工业控制系统信息安全技术领域,特别是指一种PLC安全防护设备测评方法及系统。
背景技术
2010年,“震网”病毒借助U盘侵入了伊朗布什尔核电站控制系统,并利用“零日”漏洞感染了西门子控制软件的项目文件。通过修改与被感染主机相连的PLC(可编程逻辑控制器,Programmable Logic Controller)中的用户程序,使受控离心机的转速发生剧烈变化,导致机体受损,核设施不能正常运行。作为工业控制系统的核心控制组件,PLC的安全与否直接决定了工业控制系统是否能够正常稳定的运行。“震网”事件发生之后,PLC的安全问题成为了业界关注的焦点。
现有的PLC安全防护设备测评方法只是针对PLC安全防护设备的防御规则进行相应的测评,测评手段较为单一,无法全面的对PLC安全防护设备的安全防护功能进行测评。
发明内容
本发明要解决的技术问题是提供一种PLC安全防护设备测评方法及系统,能够快速、客观、全面的评价PLC安全防护设备的安全防护功能。
为解决上述技术问题,本发明的实施例提供一种PLC安全防护设备测评方法,所述方法包括:
第一测试端获取对待测设备进行测试的通信方式类型,根据所述通信方式类型确定每个所述通信方式类型对应的PLC类型;
根据每个所述PLC类型确定每个所述PLC类型对应的攻击方式和/或攻击规则;
按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发送给所述待测设备;
第二测试端获取所述待测设备接收攻击报文后生成的报文,根据所述待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一测试端;
第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果。
优选的,所述第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果,包括:
第一测试端接收到全部应答报文后,根据所述全部应答报文统计攻击总数、拦截次数和/或报警次数;
将拦截次数和/或报警次数与攻击总数比值得到PLC安全防护设备测评结果。
优选的,所述按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,包括:
获取每个PLC类型对应的通信报文格式和上位机链接命令;
将每个所述攻击方式和/或攻击规则与每个PLC类型对应的通信报文格式和上位机链接命令结合,生成待测设备的攻击报文。
优选的,所述根据每个所述PLC类型确定每个所述PLC类型对应的攻击方式和/或攻击规则之前,还包括:
第一测试端向第二测试端发送初始化信息,所述初始化信息包括通信方式类型、PLC类型和初始化指令;
第二测试端接收所述初始化信息提取提取相应的通信方式和PLC类型。
优选的,所述第一测试端向第二测试端发送初始化信息,包括:
当通信方式类型和/或PLC类型发生变化时,第一测试端向第二测试端发送初始化信息。
本发明还提供一种PLC安全防护设备测评系统,所述系统包括:第一测试端和第二测试端,所述第一测试端包括:
类型确定模块,用于获取对待测设备进行测试的通信方式类型,根据所述通信方式类型确定每个所述通信方式类型对应的PLC类型;
攻击方式确定模块,用于根据每个所述PLC类型确定每个所述PLC类型对应的攻击方式和/或攻击规则;
攻击报文生成模块,用于按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发送给所述待测设备;
测评结果生成模块,用于第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果;
所述第二测试端包括:
应答报文生成模块,用于获取所述待测设备接收攻击报文后生成的报文,根据所述待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一测试端。
优选的,所述测评结果生成模块包括:
统计单元,用于第一测试端接收到全部应答报文后,根据所述全部应答报文统计攻击总数、拦截次数和/或报警次数;
结果输出单元,用于将拦截次数和/或报警次数与攻击总数比值得到PLC安全防护设备测评结果。
优选的,所述攻击报文生成模块包括;
链接命令获取单元,用于获取每个PLC类型对应的通信报文格式和上位机链接命令;
攻击报文生成单元,用于将每个所述攻击方式和/或攻击规则与每个PLC类型对应的通信报文格式和上位机链接命令结合,生成待测设备的攻击报文。
优选的,所述系统还包括:
第一初始化模块,用于第一测试端向第二测试端发送初始化信息,所述初始化信息包括通信方式类型、PLC类型和初始化指令;
第二初始化模块,用于第二测试端接收所述初始化信息提取相应的通信方式和PLC类型。
优选的,所述第一初始化模块包括:
第一初始化单元,用于当通信方式类型和/或PLC类型发生变化时,第一测试端向第二测试端发送初始化信息。
本发明的上述技术方案的有益效果如下:
上述方案中,通过按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则待测设备的攻击报文,并依次将所述攻击报文发送给所述待测设备,能够快速、客观、全面的对待测设备的基于工业控制网络协议深度报文解析的安全防护功能进行测试验证,并评价其应对PLC通信报文网络攻击的能力。
附图说明
图1为本发明的PLC安全防护设备测评方法流程图;
图2为本发明实施例的PLC安全防护设备测评方法测试方式示意图;
图3为本发明实施例的PLC安全防护设备测评方法逻辑流程图;
图4为本发明实施例的PLC安全防护设备测评方法逻辑流程图;
图5为本发明实施例的PLC安全防护设备测评方法逻辑流程图;
图6为本发明实施例的PLC安全防护设备测评方法测试端B初始化逻辑流程图;
图7为本发明实施例的PLC安全防护设备测评系统结构连接框图;
图8为本发明实施例的PLC安全防护设备测评系统硬件接口连接示意图;
图9为本发明实施例的PLC安全防护设备测评系统结构连接框图;
图10为本发明实施例的PLC安全防护设备测评系统测试端A结构示意图;
图11为本发明实施例的PLC安全防护设备测评系统测试端B结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明实施例的一种PLC安全防护设备测评方法,所述方法包括:
步骤101:第一测试端获取对待测设备进行测试的通信方式类型,根据所述通信方式类型确定每个所述通信方式类型对应的PLC类型。
其中,第一测试端可以从通信方式库中获取对待测设备进行测试的通信方式类型,通信方式库存储本系统支持的所有类型的通信方式;可以通过PLC类型库确定每个所述通信方式类型对应的PLC类型,PLC类型库存储本系统支持的所有PLC类型。本系统支持的通信方式类型可以包括Modbus/TCP、Modbus RTU、DNP3、CAN、Fins和Fetch/Write等;支持的PLC类型可以包括:欧姆龙的CPM1A系列、C200H系列和CQM1H系列等,西门子的S7-200系列、S7-300系列和S7-400系列等,支持的PLC类型可通过系统的PLC类型库进行扩展。
本实施例中,通过获取待测设备进行测试的通信方式类型和每个所述通信方式类型对应的PLC类型,能够提高测试的全面性,进一步的从通信方式库中获取对待测设备进行测试的通信方式类型,通过PLC类型库确定每个所述通信方式类型对应的PLC类型,能够测试的效率和准确性。
步骤102:根据每个所述PLC类型确定每个所述PLC类型对应的攻击方式和/或攻击规则。
其中,可以判断待测设备是否有检测规则,如果有检测规则,根据规则扩展库生成对应的攻击规则,遍历攻击规则和攻击方式库中的攻击方式;如果无检测规则,则遍历攻击方式库中的攻击方式。规则扩展库存储本系统支持的所有的检测规则,攻击方式库存储本系统支持的所有的攻击方式。
本实施例中,能够快速准确的确定每个所述PLC类型对应的攻击方式和/或攻击规则,从而提高测评的完备性。
步骤103:按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发送给所述待测设备。
其中,可以获取每个PLC类型对应的通信报文格式和上位机链接命令;将每个所述攻击方式和/或攻击规则与每个PLC类型对应的通信报文格式和上位机链接命令结合,生成待测设备的攻击报文。
可以从报文格式库中获取每个PLC类型对应的通信报文格式,从链接命令库中获取每个PLC类型对应的上位机链接命令,利用攻击方式库生成待测设备的攻击报文。
步骤104:第二测试端获取所述待测设备接收攻击报文后生成的报文,根据所述待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一测试端。
其中,可以利用应答命令库生成应答报文。
本实施例中,通信方式库、报文格式库、链接命令库、应答命令库和攻击方式库等均具有可扩展性,使得本发明可以满足更多的PLC安全防护产品的测试需求。
步骤105:第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果。
其中,可以第一测试端接收到全部应答报文后,根据所述全部应答报文统计攻击总数、拦截次数和/或报警次数;将拦截次数和/或报警次数与攻击总数比值得到PLC安全防护设备测评结果。
本发明实施例的PLC安全防护设备测评方法,通过按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则待测设备的攻击报文,并依次将所述攻击报文发送给所述待测设备,能够快速、客观、全面的对待测设备的基于工业控制网络协议深度报文解析的安全防护功能进行测试验证,并评价其应对PLC通信报文网络攻击的能力。
如图2所示,本发明实施例的PLC安全防护设备测评方法,一次完整的测评过程,包含n组待测通信方式的测评;每组待测通信方式的测评,包括m组待测PLC类型的测评;每组待测PLC类型的测评,包括p组攻击方式和q组攻击规则的测评。同一组PLC类型的测评,攻击报文的生成均基于此PLC类型的通信报文格式和上位机链接命令。
一次完成的测评过程,最终的攻击测试数为(p+q)*m*n。如果攻击报文被拦截数为f,报警记录数为g,则测评分值为(f+g)/[(p+q)*m*n]。
如图3所示,本发明实施例的PLC安全防护设备测评方法,步骤302根据待测设备的测试需求,从通信方式库301中提取所有待测试的通信方式类型,生成待测方式通信方式列表;步骤303根据通信方式类型编号,按顺序选择首个待测通信方式;步骤304进行相应的攻击报文测试,具体详见图4。步骤305判断当前测评的通信方式编号是否为最后一个待测通信方式,如果不是最后一个,则重复步骤303、步骤304和步骤305,如果是最后一个,则进入步骤306。步骤306中,如果待测设备具有检测报警功能,则进入步骤307,测评系统录入待测设备在测试阶段的所有报警记录数,所述检测报警功能是指待测设备检测到攻击报文后生成报警记录,但并未拦截攻击报文。步骤308统计测试结果,步骤39计算测评分数。
如图4所示,本发明实施例的PLC安全防护设备测评方法,步骤402根据选择的待测通信方式类型,从PLC类型库401中提取相应的待测PLC类型,并生成待测PLC列表;步骤403根据待测PLC类型编号,按顺序选择首个待测PLC类型。步骤404进行相应的攻击报文测试,具体详见图5。步骤405判断当前测评的PLC类型编号是否为最后一个待测PLC类型,如果不是最后一个,则重复步骤403、步骤404和步骤405,如果是最后一个,则进入步骤46,提取下一个待测PLC类型。
如图5所示,本发明实施例的PLC安全防护设备测评方法,步骤501按编号顺序提取一种待测PLC类型,步骤502判断待测设备是否有检测规则,如果有检测规则,则进入步骤503,根据规则扩展库504生成对应的攻击规则,之后进入步骤506,遍历攻击规则和攻击方式库505中的攻击方式。如果步骤502中,待测设备无检测规则,则进入步骤508,遍历攻击方式库507中的攻击方式。图中所述的505和507是同一个攻击方式库。步骤511从报文格式库509和链接命令库510中选择相应的通信报文格式和上位机链接命令,经过步骤512,生成针对待测设备的攻击报文列表。步骤513按编号读取列表中的第一条攻击报文,步骤514将攻击报文发送至待测设备。步骤515判断是否收到应答报文,如果没有收到应答报文,则进入步骤516判断是否接收应答报文超时,如果没有超时,则重复步骤515,如果超时,则进入步骤517。如果步骤515收到应答报文,则直接进入步骤517。步骤517记录此次攻击报文测试的结果,步骤518判断本次发送的攻击报文是否为报文列表中的最后一项,如果不是,则重复步骤513至步骤518,如果是最后一项,则进入步骤519,提取下一个待测PLC。
本发明实施例的的PLC安全防护设备测评方法,所述步骤103之前,还包括:
第一测试端向第二测试端发送初始化信息,所述初始化信息包括通信方式类型、PLC类型和初始化指令;
第二测试端接收所述初始化信息提取提取相应的通信方式和PLC类型。
优选的,所述第一测试端向第二测试端发送初始化信息,包括:
当通信方式类型和/或PLC类型发生变化时,第一测试端向第二测试端发送初始化信息。
具体的,如图6所示,步骤601接收来自测试端A的数据,并解析报文,提取其中的功能码。步骤602判断功能码是否为通信方式的初始化命令,如果是,则步骤603根据从提取报文中的数据部分,即待测通信方式的编号,从通信方式库604中提取待测通信方式。如果步骤602中的功能码不是通信方式初始化命令,则进入步骤605,判断是否为PLC初始化命令,如果不是,则返回步骤601,如果是,则进去步骤606。在步骤606中,测试端B会根据从报文中提取的数据部分,即待测PLC类型编号,从PLC类型库中提取相应的待测PLC型号。步骤608根据待测通信类型和待测PLC类型,从报文格式库609提取对应通信报文格式,从应答命令库610中提取对应PLC上位机链接命令的应答命令,完成初始化。之后步骤611通知测试端A准备就绪。
如图7所示,本发明实施例的一种PLC安全防护设备测评系统,所述系统包括:第一测试端A和第二测试端B,所述第一测试端A包括:
类型确定模块701,用于获取对待测设备进行测试的通信方式类型,根据所述通信方式类型确定每个所述通信方式类型对应的PLC类型;
攻击方式确定模块702,用于根据每个所述PLC类型确定每个所述PLC类型对应的攻击方式和/或攻击规则;
攻击报文生成模块703,用于按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发送给所述待测设备;
测评结果生成模块704,用于第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果;
所述第二测试端B包括:
应答报文生成模块705,用于获取所述待测设备接收攻击报文后生成的报文,根据所述待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一测试端。
优选的,所述测评结果生成模块包括:
统计单元,用于第一测试端接收到全部应答报文后,根据所述全部应答报文统计攻击总数、拦截次数和/或报警次数;
结果输出单元,用于将拦截次数和/或报警次数与攻击总数比值得到PLC安全防护设备测评结果。
优选的,所述攻击报文生成模块包括;
链接命令获取单元,用于获取每个PLC类型对应的通信报文格式和上位机链接命令;
攻击报文生成单元,用于将每个所述攻击方式和/或攻击规则与每个PLC类型对应的通信报文格式和上位机链接命令结合,生成待测设备的攻击报文。
优选的,所述系统还包括:
第一初始化模块,用于第一测试端向第二测试端发送初始化信息,所述初始化信息包括通信方式类型、PLC类型和初始化指令;
第二初始化模块,用于第二测试端接收所述初始化信息提取相应的通信方式和PLC类型。
优选的,所述第一初始化模块包括:
第一初始化单元,用于当通信方式类型和/或PLC类型发生变化时,第一测试端向第二测试端发送初始化信息。
具体的,图8为本发明实施例的PLC安全防护设备测评系统,两个测试端的硬件结构可以相同,均是由基于TI AM3359 Cortex-A8处理器的核心板和扩展板构成,所述扩展板的通信接口包括:2路Ethernet千兆以太网接口、2路USB接口、1路RS485接口、1路RS232接口、1路CAN总线接口和1路WIFI接口。其中,Ethernet0接口负责测试端A和测试端B之间的通信,2路USB接口支持USB2.0协议,USB0为USB OTG接口,USB1为USBHOST接口,1路RS485和Profibus共用。除此之外,测试端A和测试端B均配备型号为AT070TN92的触摸屏。本装置支持的通信方式包括,但不限于:Modbus/TCP、Modbus RTU、DNP3、CAN、Fins和Fetch/Write等,支持的协议种类可通过系统的通信方式库进行扩展;本装置支持的PLC的包括,但不限于:欧姆龙的CPM1A系列、C200H系列和CQM1H系列等,西门子的S7-200系列、S7-300系列和S7-400系列等,支持的PLC类型可通过系统的PLC类型库进行扩展。
图9为本发明实施例的PLC安全防护设备测评系统,其中通信链路901、通信链路902和通信链路903均为双向通信链路。测试端A和测试端B之间通过通信链路901通信,此链路的通信接口为图8中的Ethernet0。测试端A和待测设备C之间通过通信链路902连接,测试端B和待测设备C之间通过通信链路903连接,通信链路902和通信链路903的通信接口可根据测试需求,在图8中的Ethernet1、WIFI、RS232、RS485和CAN接口之中选择。测试端A与测试端B通过通信链路901进行数据通信时,采用ASCII码的编解码方式,其通信报文格式如下表所示:
| 起始符 | 功能码 | 数据 | 结束符 |
| 1Byte | 2Byte | 2Byte | 1Byte |
起始符:1个字节,置于每个报文的开头;
功能码:2个字节,用以设置命令代码;
数据:2个字节,用以传输命令的相应参数;
结束符:1个字节,置于每个报文末尾,表示此报文结束。
图10为本发明实施例的一种PLC安全防护设备测评系统,测试端A的结构示意图,包括:通信方式库1001,存储本系统支持的所有通信方式;待测通信生成模块1002,从通信方式库中提取待测的通信方式类型;PLC类型库1003,存储本系统支持的所有PLC型号;待测PLC生成模块1004,从PLC类型库中提取相应的待测的PLC类型;报文格式库1005,存储本系统支持的所有PLC通信报文格式;链接命令库1006,存储本系统支持的所有PLC上位机链接命令;攻击方式库1007,存储本系统支持的所有针对通信报文的攻击方式;规则扩展库1008,用来存储针对待测设备检测规则的攻击规则;攻击报文生成模块1009,负责生成相应的攻击报文;测试端B通信模块1010,负责与测试端B的直接通信;待测设备通信模块1011,将攻击报文发送给待测设备,并接收应答报文;功能评分模块1012,综合分析攻击测试的所有结果,生成相应的功能评分。
图11为本发明实施例的PLC安全防护设备测评系统,测试端B的结构意图,包括:通信方式库1101,存储本系统支持的所有通信方式;待测通信生成模块1102,从通信方式库中提取待测的通信类型;PLC类型库1103,存储本系统支持的所有PLC型号;待测PLC生成模块1104,从PLC类型库中提取待测的PLC类型;报文格式库1105,存储本系统支持的所有PLC通信报文格式;应答命令库1106,存储本系统支持的所有PLC上位机链接命令的应答命令;应答报文生成模块1107,从报文格式库提取相应通信报文格式,从应答命令库中提取相应PLC上位机链接命令的应答命令,并根据来自于测试端A的攻击报文,生成相应的应答报文;测试端A通信模块1108,负责与测试端A的直接通信;待测设备通信模块1109,用以接收攻击报文和返回测试应答报文。
本发明实施例的PLC安全防护设备测评系统,采用的方法为PLC安全防护设备测评方法,因此PLC安全防护设备测评系统的特征与PLC安全防护设备测评方法相同,在此不再赘述。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种PLC安全防护设备测评方法,其特征在于,所述方法包括:
第一测试端获取对待测设备进行测试的通信方式类型,根据所述通信方式类型确定每个所述通信方式类型对应的PLC类型;
第一测试端向第二测试端发送初始化信息,初始化信息包括通信方式类型、PLC类型和初始化指令;
第二测试端接收所述初始化信息提取相应的通信方式类型和PLC类型,根据提取到的通信方式类型和PLC类型,从报文格式库提取对应通信报文格式,从应答命令库中提取对应PLC上位机链接命令的应答命令,完成初始化,通知第一测试端准备就绪;
第一测试端根据每个所述PLC类型确定每个所述PLC类型对应的攻击方式和/或攻击规则;
第一测试端按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发送给所述待测设备;
第二测试端获取所述待测设备接收攻击报文后生成的报文,根据所述待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一测试端;
第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果。
2.根据权利要求1所述的PLC安全防护设备测评方法,其特征在于,所述第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果,包括:
第一测试端接收到全部应答报文后,根据所述全部应答报文统计攻击总数、拦截次数和/或报警次数;
将拦截次数和/或报警次数与攻击总数比值得到PLC安全防护设备测评结果。
3.根据权利要求1或2任意一项所述的PLC安全防护设备测评方法,其特征在于,所述按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,包括:
获取每个PLC类型对应的通信报文格式和上位机链接命令;
将每个所述攻击方式和/或攻击规则与每个PLC类型对应的通信报文格式和上位机链接命令结合,生成待测设备的攻击报文。
4.根据权利要求1所述的PLC安全防护设备测评方法,其特征在于,所述第一测试端向第二测试端发送初始化信息,包括:
当通信方式类型和/或PLC类型发生变化时,第一测试端向第二测试端发送初始化信息。
5.一种PLC安全防护设备测评系统,其特征在于,所述系统包括:第一测试端和第二测试端,所述第一测试端包括:
类型确定模块,用于获取对待测设备进行测试的通信方式类型,根据所述通信方式类型确定每个所述通信方式类型对应的PLC类型;
第一初始化模块,用于第一测试端向第二测试端发送初始化信息,所述初始化信息包括通信方式类型、PLC类型和初始化指令;攻击方式确定模块,用于根据每个所述PLC类型确定每个所述PLC类型对应的攻击方式和/或攻击规则;
攻击报文生成模块,用于按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发送给所述待测设备;
测评结果生成模块,用于第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安全防护设备测评结果;
所述第二测试端包括:
第二初始化模块,用于第二测试端接收所述初始化信息提取相应的通信方式和PLC类型,根据提取到的通信方式类型和PLC类型,从报文格式库提取对应通信报文格式,从应答命令库中提取对应PLC上位机链接命令的应答命令,完成初始化,通知第一测试端准备就绪;
应答报文生成模块,用于获取所述待测设备接收攻击报文后生成的报文,根据所述待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一测试端。
6.根据权利要求5所述的PLC安全防护设备测评系统,其特征在于,所述测评结果生成模块包括:
统计单元,用于第一测试端接收到全部应答报文后,根据所述全部应答报文统计攻击总数、拦截次数和/或报警次数;
结果输出单元,用于将拦截次数和/或报警次数与攻击总数比值得到PLC安全防护设备测评结果。
7.根据权利要求5或6任意一项所述的PLC安全防护设备测评系统,其特征在于,所述攻击报文生成模块包括;
链接命令获取单元,用于获取每个PLC类型对应的通信报文格式和上位机链接命令;
攻击报文生成单元,用于将每个所述攻击方式和/或攻击规则与每个PLC类型对应的通信报文格式和上位机链接命令结合,生成待测设备的攻击报文。
8.根据权利要求5所述的PLC安全防护设备测评系统,其特征在于,所述第一初始化模块包括:
第一初始化单元,用于当通信方式类型和/或PLC类型发生变化时,第一测试端向第二测试端发送初始化信息。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510395194.4A CN104993976B (zh) | 2015-07-07 | 2015-07-07 | 一种plc安全防护设备测评方法及系统 |
| PCT/CN2015/087504 WO2017004867A1 (zh) | 2015-07-07 | 2015-08-19 | 一种plc安全防护设备测评方法及系统 |
| US15/252,223 US10356118B2 (en) | 2015-07-07 | 2016-08-31 | Test method and system for PLC security defense device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510395194.4A CN104993976B (zh) | 2015-07-07 | 2015-07-07 | 一种plc安全防护设备测评方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104993976A CN104993976A (zh) | 2015-10-21 |
| CN104993976B true CN104993976B (zh) | 2018-07-13 |
Family
ID=54305732
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510395194.4A Active CN104993976B (zh) | 2015-07-07 | 2015-07-07 | 一种plc安全防护设备测评方法及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10356118B2 (zh) |
| CN (1) | CN104993976B (zh) |
| WO (1) | WO2017004867A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6484270B2 (ja) * | 2017-03-14 | 2019-03-13 | アンリツ株式会社 | 測定装置及び測定方法 |
| CN107426053B (zh) * | 2017-07-26 | 2021-01-05 | 成都科来软件有限公司 | 一种数据包负载的自动化构造方法 |
| CN112422557B (zh) * | 2020-11-17 | 2023-06-27 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN114003455B (zh) * | 2021-12-31 | 2022-04-08 | 广州鲁邦通物联网科技股份有限公司 | 串口自动化测试系统、接口自动化测试方法和测试小板 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8429393B1 (en) * | 2004-09-30 | 2013-04-23 | Rockwell Automation Technologies, Inc. | Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern |
| CN103780602A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种阻止震网攻击的方法 |
| CN104735043A (zh) * | 2013-12-24 | 2015-06-24 | 北京力控华康科技有限公司 | 一种阻止可疑数据包通过工业以太网攻击plc的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4429987B2 (ja) * | 2005-07-29 | 2010-03-10 | 株式会社ジェイテクト | 安全plc |
| CN102236765B (zh) * | 2010-04-30 | 2015-04-15 | 深圳市合信自动化技术有限公司 | 一种可编程逻辑控制器安全保护的方法及装置 |
| CN102354191B (zh) * | 2011-09-06 | 2013-03-27 | 中联重科股份有限公司 | 一种用于与plc进行通信的方法及上位机 |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| US9245116B2 (en) * | 2013-03-21 | 2016-01-26 | General Electric Company | Systems and methods for remote monitoring, security, diagnostics, and prognostics |
| US9467455B2 (en) * | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
-
2015
- 2015-07-07 CN CN201510395194.4A patent/CN104993976B/zh active Active
- 2015-08-19 WO PCT/CN2015/087504 patent/WO2017004867A1/zh active Application Filing
-
2016
- 2016-08-31 US US15/252,223 patent/US10356118B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8429393B1 (en) * | 2004-09-30 | 2013-04-23 | Rockwell Automation Technologies, Inc. | Method for obscuring a control device's network presence by dynamically changing the device's network addresses using a cryptography-based pattern |
| CN103780602A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种阻止震网攻击的方法 |
| CN104735043A (zh) * | 2013-12-24 | 2015-06-24 | 北京力控华康科技有限公司 | 一种阻止可疑数据包通过工业以太网攻击plc的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170013009A1 (en) | 2017-01-12 |
| WO2017004867A1 (zh) | 2017-01-12 |
| CN104993976A (zh) | 2015-10-21 |
| US10356118B2 (en) | 2019-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104993976B (zh) | 一种plc安全防护设备测评方法及系统 | |
| CN111262722B (zh) | 一种用于工业控制系统网络的安全监测方法 | |
| CN101399710B (zh) | 一种协议格式异常检测方法及系统 | |
| CN105763392B (zh) | 一种基于协议状态的工控协议模糊测试方法 | |
| EP1480096B1 (en) | Field device maintenance tool with enhanced scripts | |
| CN105302055B (zh) | 一种工业控制系统中可编程逻辑控制器的安全监控系统及方法 | |
| CN110597734A (zh) | 一种适用于工控私有协议的模糊测试用例生成方法 | |
| JP2016163352A5 (zh) | ||
| CN108092854B (zh) | 基于iec61375协议的列车级以太网设备的测试方法及装置 | |
| CN108470003A (zh) | 模糊测试方法、装置和系统 | |
| CN105306463A (zh) | 基于支持向量机的Modbus TCP入侵检测方法 | |
| CN109446814A (zh) | 一种漏洞检测方法及装置 | |
| CN108259264A (zh) | 网络设备的测试方法、装置和系统 | |
| CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN101859273A (zh) | 一种产生测试用例的方法及装置 | |
| CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
| CN202499312U (zh) | 烟厂不良检测剔除系统 | |
| CN101808082A (zh) | 一种支持多协议的设备仿真方法 | |
| KR20180086732A (ko) | Plc 통신 모듈의 테스트케이스 생성 방법 | |
| CN206610099U (zh) | 现场可配置的时间同步测试系统 | |
| CN105743735B (zh) | 基于神经网络的ModbusTcp通讯深度包检测方法 | |
| KR101553891B1 (ko) | 원자력발전소 내의 디지털 안전계통의 사이버보안 모니터링 방법 및 그의 시스템 | |
| CN104253786A (zh) | 一种基于正则表达式的深度包检测方法 | |
| CN113821450A (zh) | 一种执行计算机软件测试的集成化方法及系统 | |
| CN105446857A (zh) | 一种故障诊断方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |