[发明专利]基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐

权利要求书

1.一种基于控制器深度内存仿真的工控蜜罐构建方法，其特征在于，包含如下内容：

收集工控系统上位机和工业控制器PLC之间的通信数据，并通过解析获取通信数据中的协议相关数据；

依据工程配置文件和协议相关数据分析工业控制器PLC内存结构，并构建用于仿真模拟工业控制器PLC内存结构的PLC虚拟内存仿真器；

在PLC虚拟内存仿真器中建立用于模拟工控系统控制逻辑及其变化过程的工控内存数据模型，生成内存配置文件并添加至内存配置文件库中；利用对应的内存配置文件将工控系统控制逻辑及其变化过程映射到PLC虚拟内存仿真器中，通过PLC虚拟内存仿真器模拟控制逻辑动态变化来应对攻击者请求；其中，工控内存数据模型中，利用编程语言来仿真模拟工控系统内的数据模型，使内存数据模型与虚拟内存仿真器关联，动态调整运行过程中的虚拟内存仿真器的相关I/O及暂存区；通过分析工业控制器PLC控制逻辑传输过程，提取其控制逻辑代码和二进制字节映射关系，利用该映射关系通过编译器编译执行，将控制逻辑执行的相关操作内存区域映射到虚拟内存仿真器中。

2.根据权利要求1所述的基于控制器深度内存仿真的工控蜜罐构建方法，其特征在于，利用网络抓包工具抓取上位机和工业控制器PLC之间的通信流量包，通过分析来初步划分通信流量包中协议特征，该协议特征至少包含：协议字段、语义及协议数据；并利用反编译工具对上位机软件进行静态逆向分析和动态调试，根据协议特征并通过寻找协议解析库文件来解码通信流量包中协议相关数据，该协议相关数据至少包含：协议字段划分及功能码语义。

3.根据权利要求1所述的基于控制器深度内存仿真的工控蜜罐构建方法，其特征在于，分析工业控制器PLC内存结构中，使用私有协议遍历可读地址空间，通过模拟客户端发送读功能数据包来获取可读的所有虚拟内存范围数据；并利用网络抓包工具抓取工程配置文件下发过程中的配置数据，通过分析配置文件来获取与控制器PLC虚拟内存关系，其中，配置数据包含：关键内存数据地址映射及分布。

4.一种基于控制器深度内存仿真的工控蜜罐，其特征在于，基于权利要求1所述的方法实现，包含：执行器及虚拟内存仿真器，其中，

执行器，用于针对攻击者请求进行解析，获取其请求语义信息；

虚拟内存仿真器，用于针对攻击者请求的语义信息，从内存配置文件库中选择内存配置文件，并通过仿真模拟真实工业控制器PLC内存结构来应对攻击者请求的不同层次内存操作。

5.根据权利要求4所述的基于控制器深度内存仿真的工控蜜罐，其特征在于，所述内存配置文件库存储有预先设置的不同工业控制器PLC内存结构及分布信息。

6.根据权利要求4所述的基于控制器深度内存仿真的工控蜜罐，其特征在于，还包含：与执行器和虚拟内存仿真器两者相连用于记录两者运行日志的日志记录器。

7.根据权利要求6所述的基于控制器深度内存仿真的工控蜜罐，其特征在于，还包含：用于接收攻击者请求并向执行器和/或日志记录器分发相应服务的请求分发器。

8.一种计算机处理设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器执行权利要求1~3任一项所述的方法。