可编程逻辑控制器(PLC)的控制逻辑注入攻击通过篡改控制程序操纵物理过程,从而达到影响控制过程或破坏物理设施的目的。针对PLC控制逻辑注入攻击,提出了一种基于白名单规则自动化生成的入侵检测方法PLCShield (Programmable Logic Controller Shield)。所提方法以PLC控制程序承载着全面、完整的物理过程控制信息为依据,主要包括两个阶段:首先,通过分析PLC程序的配置文件、指令功能、变量属性和执行路径等信息,提取程序属性、地址、值域和结构等检测规则;其次,采用主动请求PLC的运行“快照”和被动监听网络流量结合的方式,实时获取PLC当前的运行状态和流量中的操作、状态等信息,并通过对比得到的信息与检测规则识别攻击行为。以4款不同厂商和型号的PLC作为研究案例验证PLCShield的可行性,实验结果表明所提方法的攻击检测准确度达到97.71%以上,验证了所提方法的有效性。
