[发明专利]一种涉及网络安全的S7-300PLC私有协议逆向方法

说明书

本发明提供了一种涉及网络安全的S7‑300PLC私有协议逆向方法，使用Step7建立与PLC基于S7comm的通信会话，捕获各交互行为所对应的请求‑响应数据包序列，根据协议标准以及交互行为与数据包序列间的对应关系，对S7comm协议的交互逻辑和各字段含义及填充规范进行分析，根据S7comm协议的逆向分析结果，对Conpot中的S7服务交互框架进行功能码的扩充，根据S7comm服务仿真单元对于各项交互请求的响应正确与否，来判断逆向结果的准确性。本发明大大提高对于西门子S7‑300PLC设备私有协议的逆向效率，大大提高了协议逆向结果的可靠性。

技术领域

本发明涉及工业控制系统安全研究领域，尤其是一种仿真PLC私有协议逆向方法。

背景技术

PLC(Programmable Logic,可编程逻辑器件)是关键基础设施中的基础控制设备，其安全性涉及整个控制系统的稳定运行。德国西门子公司生产的S7系列PLC体积小、速度快，具有网络通信能力和较高的可靠性，在我国工控领域的应用相当广泛。近年来，随着传统工业开始了信息化、数字化和智能化的产业升级，工业控制系统在提高了信息化水平的同时，其信息安全问题也愈加突出。PLC遭受黑客攻击的途径也日趋多样化，各种木马和病毒变体数量不断攀升，威胁着工业控制系统的安全稳定运行和人员生命财产安全。

蜜罐技术作为一种安全威胁的主动检测技术，通过设置诱饵性质的虚拟系统来吸引攻击者入侵并对其威胁行为进行捕获和分析，来了解攻击方所使用的工具与方法，帮助防御方掌握所面临的安全威胁。将蜜罐技术应用于工控系统安全防护领域，研发面向西门子S7-300PLC的蜜罐系统，可有效提升工业企业的威胁感知能力和应急响应能力。

而西门子S7-300PLC与外部的通信基于其企业专有的S7comm协议，面向该款PLC设备的蜜罐系统则需支持尽可能多的S7comm协议服务类型，进而提升PLC蜜罐系统的仿真度，延缓攻击者的滞留时间，捕获更多的威胁行为数据。

由此可见，在工业控制系统安全研究领域中，掌握私有工控协议的逆向方法至关重要。一方面便于研究者从协议通信过程安全性的角度，审查协议规范制定的合理性；另一方面基于私有工控协议的逆向结果，可有效辅助提升PLC蜜罐系统的仿真度。

发明内容

为了克服现有技术的不足，本发明提供一种涉及网络安全的S7-300PLC私有协议逆向方法。本发明基于西门子PLC典型上位机软件Step7、开源蜜罐框架Conpot和常用网络抓包工具Wireshark，可有效验证协议逆向结果的可靠性。

本发明解决其技术问题所采用的技术方案包括以下步骤：

S1.使用Step7建立与PLC基于S7comm的通信会话；

S2.交互实验阶段，捕获各交互行为所对应的请求-响应数据包序列；

S3.逆向分析阶段，根据S7comm协议标准以及交互行为与数据包序列间的对应关系，对S7comm协议的交互逻辑和各字段含义及填充规范进行分析，具体步骤为：

通过建立设备之间基于S7comm的通信会话连接，使用网络抓包工具Wireshark记录下各协议交互行为所对应的交互序列数据，根据捕获到的交互序列数据与交互行为间的对应关系，根据S7comm协议标准进行分析整合，还原S7comm通信交互序列逻辑，提取出关键特征字段及各字段的填充规范；

所述通信交互序列逻辑的还原过程为：