-
公开(公告)号:CN110825040A
公开(公告)日:2020-02-21
申请号:CN201911007297.3
申请日:2019-10-22
申请人: 中国科学院信息工程研究所
IPC分类号: G05B19/418
摘要: 本发明实施例提供一种工业控制系统的过程控制攻击检测方法及装置,该方法包括:获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;对所述步进指令代码信息进行程序流分析得到检测白名单信息;根据所述检测白名单信息实现过程控制攻击检测。步进指令代码信息,然后进行程序流分析,提取有效地址、有效值范围、控制逻辑规则作为评估攻击的依据,并通过主动发送读取请求数据和被动读取网络流量信息实现主动方式和被动方式同时进行检测攻击行为,有效实现对于工业控制系统的过程控制攻击检测。
-
公开(公告)号:CN116954707A
公开(公告)日:2023-10-27
申请号:CN202310797374.X
申请日:2023-06-30
申请人: 中国科学院信息工程研究所
摘要: 本申请提供一种基于字段符号表达式的工控协议逆向分析方法,包括:提取PLC固件的入口函数和间接调用函数,配置给符号执行引擎;在每条执行路径上收集符号化的字段访问信息,并基于字段访问信息引导执行路径的搜索;在符号执行期间,提取每条执行路径的字段信息,字段信息包含字段表达式,字段表达式为包含字段的符号表达式;基于符号表达式进行字段合并,从完成合并的字段的符号表达式中提取消息协议格式。本申请在每条执行路径上收集符号化的字段访问信息,并基于字段访问信息引导执行路径搜索,缓解了符号执行的路径爆炸问题,同时沿每条执行路径提取字段信息,从字段表达式中逆向推断消息协议格式,实现了基于符号执行的工控协议逆向分析。
-
公开(公告)号:CN110825040B
公开(公告)日:2021-02-19
申请号:CN201911007297.3
申请日:2019-10-22
申请人: 中国科学院信息工程研究所
IPC分类号: G05B19/418
摘要: 本发明实施例提供一种工业控制系统的过程控制攻击检测方法及装置,该方法包括:获取PLC控制逻辑网络流量信息,并根据所述PLC控制逻辑网络流量信息获取机器码;将所述机器码通过预设映射数据库进行反编译处理,得到步进指令代码信息;对所述步进指令代码信息进行程序流分析得到检测白名单信息;根据所述检测白名单信息实现过程控制攻击检测。步进指令代码信息,然后进行程序流分析,提取有效地址、有效值范围、控制逻辑规则作为评估攻击的依据,并通过主动发送读取请求数据和被动读取网络流量信息实现主动方式和被动方式同时进行检测攻击行为,有效实现对于工业控制系统的过程控制攻击检测。
-
公开(公告)号:CN116800649A
公开(公告)日:2023-09-22
申请号:CN202310796932.0
申请日:2023-06-30
申请人: 中国科学院信息工程研究所
IPC分类号: H04L43/18 , H04L67/125
摘要: 本申请实施例提供一种面向工业上位机的工控协议逆向分析方法,包括:从工控网络流量中进行消息的字段语义识别;基于字段语义识别,定位目标网络消息,提取工业上位机运行时目标网络消息的执行轨迹;从执行轨迹中提取目标网络消息的协议格式;基于协议格式,编写工控协议模糊测试模板,对真实场景下的工控设备进行模糊测试。本申请利用在工控网络流量中识别的字段语义在工业上位机运行时定位目标网络消息,捕获执行轨迹,从执行轨迹中提取目标网络消息的协议格式和字段类型,基于提取的协议格式编写工控协议模糊测试模板,对真实场景下的工控设备进行模糊测试,将工业上位机对工控协议的实现应用到工控协议模糊测试中,提升了模糊测试的效率。
-
-
-
搜索结果
4 条记录 (耗时 0.036 秒)
