CN111897284B - 一种plc设备的安全防护方法和系统 - Google Patents

Abstract

本发明公开了一种PLC设备的安全防护方法，包括：从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获得该工控通信数据包对应的工控协议信息，判断得到的工控通信数据包中上位机的MAC地址SMAC、以及工控通信数据包中PLC设备的MAC地址DMAC是否存在于预先建立的工控白名单wlist中，如果是，则判断得到的工控通信数据包中上位机的IP地址SIP、以及PLC设备的IP地址DIP是否存在于预先建立的工控白名单wlist中，如果是，则判断得到的工控通信数据包中PLC设备的端口号Dport是否存在于预先建立的工控白名单wlist中。本发明能解决现有基于外接工业防火墙等设备实现入侵检测的方法存在网络安全风险、容易造成资源浪费的技术问题。

Description

一种PLC设备的安全防护方法和系统

技术领域

本发明属于工业控制入侵防御技术领域，更具体地，涉及一种PLC设备的安全防护方法和系统。

背景技术

工业控制系统(以下简称“工控系统”)广泛应用于电力系统、石油化工、铁路系统等国家支柱领域，是国家关键基础设施中的重要组成部分，在国计民生方面发挥着极为重要的作用。与传统的网络系统相比，工控系统的封闭性更高，它使用专用的嵌入式系统和设备，并且通过特定的工控协议与外界通信。

如今，可编程逻辑控制器(Programmable Logic Controller，简称PLC)设备已经被广泛应用于工控系统中，PLC设备是一种专门为在工业环境下应用而设计的数字运算操作电子系统，它采用一种可编程的存储器，在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令，并通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程。

然而，现有工控系统中的PLC设备本身并不具备入侵检测功能(即对网络中的通信数据进行检测和分析，如有异常则发出警报信息)，其要么通过外接工业防火墙等设备进行安全防护，要么采用基于机器学习(包括SVM、决策树和人工神经网络等)的入侵检测技术。

然而，上述应用于PLC的入侵检测方法都存在一些不可忽略的缺陷：第一、基于外接工业防火墙等设备实现入侵检测存在网络安全风险，并且容易造成资源浪费；第二、基于机器学习的入侵检测方法只能识别正常和异常的入侵行为，却不能识别出具体的入侵行为种类；第三、上述入侵检测方法均缺乏自适应性和可扩展性，无法根据周围环境的变化动态调整检测攻击的顺序。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种PLC设备的安全防护方法和系统，其目的在于，解决现有基于外接工业防火墙等设备实现入侵检测的方法存在网络安全风险、容易造成资源浪费的技术问题，以及现有基于机器学习的入侵检测方法只能识别正常和异常的入侵行为，却不能识别出具体的入侵行为种类的技术问题，以及现有入侵检测方法均缺乏自适应性和可扩展性，无法根据周围环境的变化动态调整检测攻击顺序的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种PLC设备的安全防护方法，包括以下步骤：

(1)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获得该工控通信数据包对应的工控协议信息，包括工控通信数据包中上位机的MAC地址SMAC、工控通信数据包中PLC设备的MAC地址DMAC、PLC设备的控制数据Data、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func；

(2)判断步骤(1)得到的工控通信数据包中上位机的MAC地址SMAC、以及工控通信数据包中PLC设备的MAC地址DMAC是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(3)，否则发送报警信息，过程结束；

(3)判断步骤(1)得到的工控通信数据包中上位机的IP地址SIP、以及PLC设备的IP地址DIP是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(4)，否则发送报警信息，过程结束；

(4)判断步骤(1)得到的工控通信数据包中PLC设备的端口号Dport是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(5)，否则发送报警信息，过程结束。

(5)判断步骤(1)得到的工控通信数据包中PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(7)，否则进入步骤(6)。

(6)根据预先建立的工控知识库判断步骤(1)得到的工控通信数据包是否是合法的工控通信数据包，如果是则进入步骤(7)，否则将该工控通信数据包加入拦截封包日志文件中，过程结束；

(7)将工控通信数据包发送到PLC设备所控制的设备执行。

优选地，步骤(1)具体包括以下子步骤：

(1-1)解析工控通信数据包的数据链路层部分，以提取工控通信数据包的数据链路层信息；

(1-2)解析工控通信数据包的网络层部分，以提取工控通信数据包的网络层信息；

(1-3)解析工控通信数据包的传输层部分，以提取工控通信数据包的传输层信息；

(1-4)解析工控通信数据包的应用层部分，以提取工控通信数据包的应用层信息；

优选地，工控通信数据包的链路层信息包括工控通信数据包中上位机的MAC地址SMAC、工控通信数据包中PLC设备的MAC地址DMAC、以及PLC设备的控制数据；

工控通信数据包的网络层信息包括工控通信数据包中上位机的IP地址SIP、以及工控通信数据包中PLC设备的IP地址DIP；

工控通信数据包的传输层信息包括工控通信数据包中上位机的端口号Sport、以及工控通信数据包中PLC设备的端口号Dport；

工控通信数据包的应用层信息包括工控通信数据包中PLC设备的事务处理标识符TID、工控通信数据包中PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、工控通信数据包中PLC设备的地址码Addr、以及工控通信数据包中PLC设备的功能码Func。

优选地，工控白名单是采用以下步骤来实现的：

(2-1)建立空白的工控白名单wlist，对该工控白名单wlist进行初始化，并启动计时器开始计时，其中工控白名单wlist包括多个条目，用于表示不同上位机和不同工控系统之间的通信信息，每个条目包括9个字段：源MAC地址、目标MAC地址、源IP地址、目标IP地址、目标端口号、事务处理标识符、协议ID、功能码、以及地址码；

(2-2)判断当前时间t是否已经达到学习时间阈值T，如果已经达到，则过程结束，否则转入步骤(2-3)；

(2-3)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获取该工控通信数据包对应的工控协议信息，包括上位机的MAC地址SMAC、PLC设备的MAC地址DMAC、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、工控通信数据包中协议数据的长度Len、PLC设备的的功能码Func、PLC设备的地址码Addr，其构成11元组T’＝{SMAC,DMAC,SIP,DIP,Sport,Dport,TID,pID,Len,Addr,Func}；

(2-4)判断11元组T’中工控通信数据包中协议数据的长度Len是小于预设的最短数据包长度min，还是大于预设的最大数据包长度max，如果是小于预设的最短数据包长度min，则将最短数据包长度min更新为通信数据包中协议数据的长度Len，然后进入步骤(2-5)，如果是大于预设的最大数据包长度max，则将最大数据包长度max更新为通信数据包中协议数据的长度Len，然后进入步骤(2-5)；

(2-5)判断11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC是否存在于工控白名单wlist的同一个条目中，如果是则进入步骤(2-6)，否则在工控白名单wlist中创建一个新条目，并使用该11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC更新该创建的新条目，然后转入步骤(2-6)；

(2-6)将11元组T’中上位机的IP地址SIP、PLC设备的IP地址DIP、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、PLC设备的的功能码Func、以及PLC设备的地址码Addr添加到步骤(2-5)的该条目中；

(2-7)输出工控白名单wlist、预设的最短数据包长度min，以及预设的最大数据包长度max。

优选地，预设的最大数据包长度max等于1000到3000字节之间，优选为1518，预设的最小数据包长度min等于0到100字节之间，优选为64。

优选地，工控知识库是按照以下步骤建立的：

(6-1)建立空白的工控知识库，该工控知识库包括多个条目，用于表示PLC设备的敏感执行信息，每个条目包括3个字段：敏感地址码、控制数据阈值(包括最小控制数据Vmin、最大控制数据Vmax)、以及敏感功能码；

(6-2)判断工控知识库对应的学习开关标志位是否为1，如果是则转入步骤(6-3)，否则过程结束；

(6-3)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获取该工控通信数据包对应的工控协议信息，包括PLC设备的地址码Addr，PLC设备的控制数据、PLC设备的的功能码Func，其构成3元组ST＝{Addr，Data，Func}；

(6-4)判断3元组ST中PLC设备的地址码Addr是否存在于工控知识库中，如果是则进入步骤(6-5)，否则在工控知识库中创建一个新条目，并使用该3元组ST中PLC设备的地址码Addr更新该创建的新条目，然后转入步骤(6-5)；

(6-5)判断3元组ST中工控通信数据包中PLC设备的控制数据Val是小于工控知识库中的最小控制数据Vmin，还是大于预设的最大控制数据Vmax，如果是小于工控知识库中的最小控制数据Vmin，则将最小控制数据Vmin更新为通信数据包中PLC设备的控制数据Val，然后进入步骤(6-6)，如果是大于预设的最大数值Vmax，则将最大控制数据Vmax更新为通信数据包中PLC设备的控制数据Val，然后进入步骤(6-6)；

(6-6)判断3元组ST中PLC设备的功能码Func是否存在于工控知识库中，如果是则进入步骤(6-7)，否则使用该3元组ST中PLC设备的功能码Func更新步骤(6-4)中新创建的该条目，然后转入步骤(6-7)；

(6-7)输出执行数据阈值、敏感功能码以及敏感地址码。

优选地，当PLC设备的控制数据是PLC设备所控制的电机的转速时，预设的最大控制数据Vmax等于10000到20000转/分之间，优选为10000，预设的最小控制数据Vmin等于0到500转/分之间，优选为0。

按照本发明的另一方面，提供了一种PLC设备的安全防护系统，包括：

第一模块，用于从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获得该工控通信数据包对应的工控协议信息，包括工控通信数据包中上位机的MAC地址SMAC、工控通信数据包中PLC设备的MAC地址DMAC、PLC设备的控制数据Data、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func；

第二模块，用于判断第一模块得到的工控通信数据包中上位机的MAC地址SMAC、以及工控通信数据包中PLC设备的MAC地址DMAC是否存在于预先建立的工控白名单wlist中，如果是，则进入第三模块，否则发送报警信息，过程结束；

第三模块，用于判断第一模块得到的工控通信数据包中上位机的IP地址SIP、以及PLC设备的IP地址DIP是否存在于预先建立的工控白名单wlist中，如果是，则进入第四模块，否则发送报警信息，过程结束；

第四模块，用于判断第一模块得到的工控通信数据包中PLC设备的端口号Dport是否存在于预先建立的工控白名单wlist中，如果是，则进入第五模块，否则发送报警信息，过程结束。

第五模块，用于判断第一模块得到的工控通信数据包中PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func是否存在于预先建立的工控白名单wlist中，如果是，则进入第七模块，否则进入第六模块。

第六模块，用于根据预先建立的工控知识库判断第一模块得到的工控通信数据包是否是合法的工控通信数据包，如果是则进入第七模块，否则将该工控通信数据包加入拦截封包日志文件中，过程结束；

第七模块，用于将工控通信数据包发送到PLC设备所控制的设备执行。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)由于本发明采用了步骤(1)到步骤(7)，其实现了在PLC内部进行安全保护，不再需要外接工业防火墙等设备，极大的节约了成本，避免了资源浪费的问题；

(2)由于本发明采用了步骤(2)到步骤(6)，其采用PLC内置安全防护功能的机制，因此能够解决现有PLC外接防火墙从而带来的时延及吞吐量有限的问题，却不能识别出具体的入侵行为种类的技术问题；

(3)由于本发明采用了步骤(2)到步骤(5)，其采用工控白名单的安全防御机制，因此能够解决现有黑名单防御机制漏洞库不全或无法及时更新所带来的安全问题；

(4)由于本发明采用了步骤(6)，其采用工控知识库的安全防御机制，因此能够解决现有安全防御机制因工控白名单学习不全或无法及时更新所带来的安全问题。

附图说明

图1是本发明PLC设备的安全防护方法的整体流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

如图1所示，本发明提供了一种PLC设备的安全防护方法，包括以下步骤：

(1)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获得该工控通信数据包对应的工控协议信息，包括工控通信数据包中上位机的MAC地址，即源MAC地址(Source MAC address，简称SMAC)、工控通信数据包中PLC设备的MAC地址，即目标MAC地址(Destination MAC address，简称DMAC)、PLC设备的控制数据Data、上位机的IP地址，即源IP地址(Source IP address，简称SIP)、PLC设备的IP地址，即目标IP地址(Destination IPaddress，简称DIP)、上位机的端口号，即源端口号(Source port，简称Sport)、PLC设备的端口号，即目标端口号(Destination port，简称Dport)、PLC设备的事务处理标识符(Transaction ID，简称TID)、PLC设备的协议标识符(Protocol ID，简称PID)、工控通信数据包中协议数据的长度(Length，简称Len)、PLC设备的地址码(Address，简称Addr)、以及PLC设备的功能码(Function，简称Func)；

具体而言，本发明对工控通信数据包进行解析，使用的是IPTables和Suricate软件。

本步骤具体包括以下子步骤：

(1-1)解析工控通信数据包的数据链路层部分，以提取工控通信数据包的数据链路层信息；

具体而言，工控通信数据包的链路层信息包括工控通信数据包中上位机的MAC地址，即源MAC地址(Source MAC address，简称SMAC)、工控通信数据包中PLC设备的MAC地址，即目标MAC地址(Destination MAC address，简称DMAC)、以及PLC设备的控制数据(诸如PLC设备所控制的电机的转速、温度传感器的工作温度等)；

(1-2)解析工控通信数据包的网络层部分，以提取工控通信数据包的网络层信息；

具体而言，工控通信数据包的网络层信息包括工控通信数据包中上位机的IP地址，即源IP地址(Source IP address，简称SIP)、以及工控通信数据包中PLC设备的IP地址，即目标IP地址(Destination IP address，简称DIP)；

(1-3)解析工控通信数据包的传输层部分，以提取工控通信数据包的传输层信息；

具体而言，工控通信数据包的传输层信息包括工控通信数据包中上位机的端口号，即源端口号(Source port，简称Sport)、以及工控通信数据包中PLC设备的端口号，即目标端口号(Destination port，简称Dport)；

(1-4)解析工控通信数据包的应用层部分，以提取工控通信数据包的应用层信息；

具体而言，工控通信数据包的应用层信息包括工控通信数据包中PLC设备的事务处理标识符(Transaction ID，简称TID)、工控通信数据包中PLC设备的协议标识符(Protocol ID，简称PID)、工控通信数据包中协议数据的长度(Length，简称Len)、工控通信数据包中PLC设备的地址码(Address，简称Addr)、以及工控通信数据包中PLC设备的功能码(Function，简称Func)。

(2)判断步骤(1)得到的工控通信数据包中上位机的MAC地址SMAC、以及工控通信数据包中PLC设备的MAC地址DMAC是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(3)，否则发送报警信息，过程结束；

更具体而言，工控白名单是采用以下步骤来实现的：

(2-1)建立空白的工控白名单wlist，对该工控白名单wlist进行初始化，并启动计时器开始计时，其中工控白名单wlist包括多个条目，用于表示不同上位机和不同工控系统之间的通信信息，每个条目包括9个字段：源MAC地址、目标MAC地址、源IP地址、目标IP地址、目标端口号、事务处理标识符、协议ID、功能码、以及地址码；

(2-2)判断当前时间t是否已经达到学习时间阈值T，如果已经达到，则过程结束，否则转入步骤(2-3)；

具体而言，学习时间阈值T的取值范围是1分钟到1个月，优选是6小时。

(2-3)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获取该工控通信数据包对应的工控协议信息，包括上位机的MAC地址SMAC、PLC设备的MAC地址DMAC、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、工控通信数据包中协议数据的长度Len、PLC设备的的功能码Func、PLC设备的地址码Addr，其构成11元组T’＝{SMAC,DMAC,SIP,DIP,Sport,Dport,TID,pID,Len,Addr,Func}；

(2-4)判断11元组T’中工控通信数据包中协议数据的长度Len是小于预设的最短数据包长度min，还是大于预设的最大数据包长度max，如果是小于预设的最短数据包长度min，则将最短数据包长度min更新为通信数据包中协议数据的长度Len，然后进入步骤(2-5)，如果是大于预设的最大数据包长度max，则将最大数据包长度max更新为通信数据包中协议数据的长度Len，然后进入步骤(2-5)；

具体而言，预设的最大数据包长度max等于1000到3000字节(byte)之间，优选为1518，预设的最小数据包长度min等于0到100字节之间，优选为64。

(2-5)判断11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC是否存在于工控白名单wlist的同一个条目中，如果是则进入步骤(2-6)，否则在工控白名单wlist中创建一个新条目，并使用该11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC更新该创建的新条目，然后转入步骤(2-6)；

(2-6)将11元组T’中上位机的IP地址SIP、PLC设备的IP地址DIP、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、PLC设备的的功能码Func、以及PLC设备的地址码Addr添加到步骤(2-5)的该条目中；

(2-7)输出工控白名单wlist、预设的最短数据包长度min，以及预设的最大数据包长度max；

(3)判断步骤(1)得到的工控通信数据包中上位机的IP地址SIP、以及PLC设备的IP地址DIP是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(4)，否则发送报警信息，过程结束；

(4)判断步骤(1)得到的工控通信数据包中PLC设备的端口号Dport是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(5)，否则发送报警信息，过程结束；

(5)判断步骤(1)得到的工控通信数据包中PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(7)，否则进入步骤(6)；

(6)根据预先建立的工控知识库判断步骤(1)得到的工控通信数据包是否是合法的工控通信数据包，如果是则进入步骤(7)，否则将该工控通信数据包加入拦截封包日志文件中，过程结束；

具体而言，本步骤中的工控知识库是按照以下步骤建立的：

(6-1)建立空白的工控知识库，该工控知识库包括多个条目，用于表示PLC设备的敏感执行信息，每个条目包括3个字段：敏感地址码、控制数据阈值(其包括最小控制数据Vmin、以及最大控制数据Vmax)、以及敏感功能码；

具体而言，当PLC设备的控制数据是PLC设备所控制的电机的转速时，预设的最大控制数据Vmax等于10000到20000(转/分)之间，优选为10000，预设的最小控制数据Vmin等于0到500(转/分)之间，优选为0。

(6-2)判断工控知识库对应的学习开关标志位是否为1，如果是则转入步骤(6-3)，否则过程结束；

(6-3)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获取该工控通信数据包对应的工控协议信息，包括PLC设备的地址码Addr，PLC设备的控制数据、PLC设备的的功能码Func，其构成3元组ST＝{Addr，Data，Func}；

(6-4)判断3元组ST中PLC设备的地址码Addr是否存在于工控知识库中，如果是则进入步骤(6-5)，否则在工控知识库中创建一个新条目，并使用该3元组ST中PLC设备的地址码Addr更新该创建的新条目，然后转入步骤(6-5)；

(6-5)判断3元组ST中工控通信数据包中PLC设备的控制数据Val是小于工控知识库中的最小控制数据Vmin，还是大于预设的最大控制数据Vmax，如果是小于工控知识库中的最小控制数据Vmin，则将最小控制数据Vmin更新为通信数据包中PLC设备的控制数据Val，然后进入步骤(6-6)，如果是大于预设的最大数值Vmax，则将最大控制数据Vmax更新为通信数据包中PLC设备的控制数据Val，然后进入步骤(6-6)；

(6-6)判断3元组ST中PLC设备的功能码Func是否存在于工控知识库中，如果是则进入步骤(6-7)，否则使用该3元组ST中PLC设备的功能码Func更新步骤(6-4)中新创建的该条目，然后转入步骤(6-7)；

(6-7)输出执行数据阈值、敏感功能码以及敏感地址码；

(7)将工控通信数据包发送到PLC设备所控制的设备执行。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种PLC设备的安全防护方法，其特征在于，包括以下步骤：

(1)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获得该工控通信数据包对应的工控协议信息，包括工控通信数据包中上位机的MAC地址SMAC、工控通信数据包中PLC设备的MAC地址DMAC、PLC设备的控制数据Data、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr以及PLC设备的功能码Func；

(2)判断步骤(1)得到的工控通信数据包中上位机的MAC地址SMAC、以及工控通信数据包中PLC设备的MAC地址DMAC是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(3)，否则发送报警信息，过程结束；其中工控白名单wlist是采用以下步骤来实现的：

(2-1)建立空白的工控白名单wlist，对该工控白名单wlist进行初始化，并启动计时器开始计时，其中工控白名单wlist包括多个条目，用于表示不同上位机和不同工控系统之间的通信信息，每个条目包括9个字段：源MAC地址、目标MAC地址、源IP地址、目标IP地址、目标端口号、事务处理标识符、协议ID、功能码、以及地址码；

(2-2)判断当前时间t是否已经达到学习时间阈值T，如果已经达到，则过程结束，否则转入步骤(2-3)；

(2-3)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获取该工控通信数据包对应的工控协议信息，包括上位机的MAC地址SMAC、PLC设备的MAC地址DMAC、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、工控通信数据包中协议数据的长度Len、PLC设备的的功能码Func、PLC设备的地址码Addr，其构成11元组T’＝{SMAC,DMAC,SIP,DIP,Sport,Dport,TID,pID,Len,Addr,Func}；

(2-4)判断11元组T’中工控通信数据包中协议数据的长度Len是小于预设的最短数据包长度min，还是大于预设的最大数据包长度max，如果是小于预设的最短数据包长度min，则将最短数据包长度min更新为通信数据包中协议数据的长度Len，然后进入步骤(2-5)，如果是大于预设的最大数据包长度max，则将最大数据包长度max更新为通信数据包中协议数据的长度Len，然后进入步骤(2-5)；

(2-5)判断11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC是否存在于工控白名单wlist的同一个条目中，如果是则进入步骤(2-6)，否则在工控白名单wlist中创建一个新条目，并使用该11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC更新该创建的新条目，然后转入步骤(2-6)；

(2-6)将11元组T’中上位机的IP地址SIP、PLC设备的IP地址DIP、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、PLC设备的的功能码Func、以及PLC设备的地址码Addr添加到步骤(2-5)的该条目中；

(2-7)输出工控白名单wlist、预设的最短数据包长度min，以及预设的最大数据包长度max；

(3)判断步骤(1)得到的工控通信数据包中上位机的IP地址SIP、以及PLC设备的IP地址DIP是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(4)，否则发送报警信息，过程结束；

(4)判断步骤(1)得到的工控通信数据包中PLC设备的端口号Dport是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(5)，否则发送报警信息，过程结束；

(5)判断步骤(1)得到的工控通信数据包中PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func是否存在于预先建立的工控白名单wlist中，如果是，则进入步骤(7)，否则进入步骤(6)；

(6)根据预先建立的工控知识库判断步骤(1)得到的工控通信数据包是否是合法的工控通信数据包，如果是则进入步骤(7)，否则将该工控通信数据包加入拦截封包日志文件中，过程结束；

(7)将工控通信数据包发送到PLC设备所控制的设备执行。

2.根据权利要求1所述的安全防护方法，其特征在于，步骤(1)具体包括以下子步骤：

(1-1)解析工控通信数据包的数据链路层部分，以提取工控通信数据包的数据链路层信息；

(1-2)解析工控通信数据包的网络层部分，以提取工控通信数据包的网络层信息；

(1-3)解析工控通信数据包的传输层部分，以提取工控通信数据包的传输层信息；

(1-4)解析工控通信数据包的应用层部分，以提取工控通信数据包的应用层信息。

3.根据权利要求1或2所述的安全防护方法，其特征在于，

工控通信数据包的链路层信息包括工控通信数据包中上位机的MAC地址SMAC、工控通信数据包中PLC设备的MAC地址DMAC、以及PLC设备的控制数据；

工控通信数据包的网络层信息包括工控通信数据包中上位机的IP地址SIP、以及工控通信数据包中PLC设备的IP地址DIP；

工控通信数据包的传输层信息包括工控通信数据包中上位机的端口号Sport、以及工控通信数据包中PLC设备的端口号Dport；

工控通信数据包的应用层信息包括工控通信数据包中PLC设备的事务处理标识符TID、工控通信数据包中PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、工控通信数据包中PLC设备的地址码Addr、以及工控通信数据包中PLC设备的功能码Func。

4.根据权利要求3所述的安全防护方法，其特征在于，

预设的最大数据包长度max等于1000到3000字节之间；

预设的最小数据包长度min等于0到100字节之间。

5.根据权利要求1所述的安全防护方法，其特征在于，工控知识库是按照以下步骤建立的：

(6-1)建立空白的工控知识库，该工控知识库包括多个条目，用于表示PLC设备的敏感执行信息，每个条目包括3个字段：敏感地址码、控制数据阈值(包括最小控制数据Vmin、最大控制数据Vmax)、以及敏感功能码；

(6-2)判断工控知识库对应的学习开关标志位是否为1，如果是则转入步骤(6-3)，否则过程结束；

(6-3)从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获取该工控通信数据包对应的工控协议信息，包括PLC设备的地址码Addr，PLC设备的控制数据、PLC设备的的功能码Func，其构成3元组ST＝{Addr，Data，Func}；

(6-4)判断3元组ST中PLC设备的地址码Addr是否存在于工控知识库中，如果是则进入步骤(6-5)，否则在工控知识库中创建一个新条目，并使用该3元组ST中PLC设备的地址码Addr更新该创建的新条目，然后转入步骤(6-5)；

(6-5)判断3元组ST中工控通信数据包中PLC设备的控制数据Val是小于工控知识库中的最小控制数据Vmin，还是大于预设的最大控制数据Vmax，如果是小于工控知识库中的最小控制数据Vmin，则将最小控制数据Vmin更新为通信数据包中PLC设备的控制数据Val，然后进入步骤(6-6)，如果是大于预设的最大数值Vmax，则将最大控制数据Vmax更新为通信数据包中PLC设备的控制数据Val，然后进入步骤(6-6)；

(6-6)判断3元组ST中PLC设备的功能码Func是否存在于工控知识库中，如果是则进入步骤(6-7)，否则使用该3元组ST中PLC设备的功能码Func更新步骤(6-4)中新创建的该条目，然后转入步骤(6-7)；

(6-7)输出执行数据阈值、敏感功能码以及敏感地址码。

6.根据权利要求5所述的安全防护方法，其特征在于，当PLC设备的控制数据是PLC设备所控制的电机的转速时，预设的最大控制数据Vmax等于10000到20000转/分之间，预设的最小控制数据Vmin等于0到500转/分之间。

7.一种PLC设备的安全防护系统，其特征在于，包括：

第一模块，用于从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获得该工控通信数据包对应的工控协议信息，包括工控通信数据包中上位机的MAC地址SMAC、工控通信数据包中PLC设备的MAC地址DMAC、PLC设备的控制数据Data、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func；

第二模块，用于判断第一模块得到的工控通信数据包中上位机的MAC地址SMAC、以及工控通信数据包中PLC设备的MAC地址DMAC是否存在于预先建立的工控白名单wlist中，如果是，则进入第三模块，否则发送报警信息，过程结束；其中工控白名单wlist是采用以下子模块来实现的：

第一子模块，用于建立空白的工控白名单wlist，对该工控白名单wlist进行初始化，并启动计时器开始计时，其中工控白名单wlist包括多个条目，用于表示不同上位机和不同工控系统之间的通信信息，每个条目包括9个字段：源MAC地址、目标MAC地址、源IP地址、目标IP地址、目标端口号、事务处理标识符、协议ID、功能码、以及地址码；

第二子模块，用于判断当前时间t是否已经达到学习时间阈值T，如果已经达到，则过程结束，否则转入第三子模块；

第三子模块，用于从上位机获取工控通信数据包，对该工控通信数据包进行解析，以获取该工控通信数据包对应的工控协议信息，包括上位机的MAC地址SMAC、PLC设备的MAC地址DMAC、上位机的IP地址SIP、PLC设备的IP地址DIP、上位机的端口号Sport、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、工控通信数据包中协议数据的长度Len、PLC设备的的功能码Func、PLC设备的地址码Addr，其构成11元组T’＝{SMAC,DMAC,SIP,DIP,Sport,Dport,TID,pID,Len,Addr,Func}；

第四子模块，用于判断11元组T’中工控通信数据包中协议数据的长度Len是小于预设的最短数据包长度min，还是大于预设的最大数据包长度max，如果是小于预设的最短数据包长度min，则将最短数据包长度min更新为通信数据包中协议数据的长度Len，然后进入第五子模块，如果是大于预设的最大数据包长度max，则将最大数据包长度max更新为通信数据包中协议数据的长度Len，然后进入第五子模块；

第五子模块，用于判断11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC是否存在于工控白名单wlist的同一个条目中，如果是则进入第六子模块，否则在工控白名单wlist中创建一个新条目，并使用该11元组T’中上位机的MAC地址SMAC、以及PLC设备的MAC地址DMAC更新该创建的新条目，然后转入第六子模块；

第六子模块，用于将11元组T’中上位机的IP地址SIP、PLC设备的IP地址DIP、PLC设备的端口号Dport、PLC设备的事务处理标识符TID、PLC设备的协议PID、PLC设备的的功能码Func、以及PLC设备的地址码Addr添加到第五子模块的该条目中；

第七子模块，用于输出工控白名单wlist、预设的最短数据包长度min，以及预设的最大数据包长度max；

第三模块，用于判断第一模块得到的工控通信数据包中上位机的IP地址SIP、以及PLC设备的IP地址DIP是否存在于预先建立的工控白名单wlist中，如果是，则进入第四模块，否则发送报警信息，过程结束；

第四模块，用于判断第一模块得到的工控通信数据包中PLC设备的端口号Dport是否存在于预先建立的工控白名单wlist中，如果是，则进入第五模块，否则发送报警信息，过程结束；

第五模块，用于判断第一模块得到的工控通信数据包中PLC设备的事务处理标识符TID、PLC设备的协议标识符PID、工控通信数据包中协议数据的长度Len、PLC设备的地址码Addr、以及PLC设备的功能码Func是否存在于预先建立的工控白名单wlist中，如果是，则进入第七模块，否则进入第六模块；

第六模块，用于根据预先建立的工控知识库判断第一模块得到的工控通信数据包是否是合法的工控通信数据包，如果是则进入第七模块，否则将该工控通信数据包加入拦截封包日志文件中，过程结束；

第七模块，用于将工控通信数据包发送到PLC设备所控制的设备执行。

Images