方式库存储本 系统支持的所有的攻击方式。
[0060] 本实施例中,能够快速准确的确定每个所述PLC类型对应的攻击方式和/或攻击 规则,从而提尚测评的完备性。
[0061] 步骤103:按照通信方式类型和通信方式类型对应的PLC类型的顺序生成每个所 述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发送给所述待测设 备。
[0062] 其中,可以获取每个PLC类型对应的通信报文格式和上位机链接命令;将每个所 述攻击方式和/或攻击规则与每个PLC类型对应的通信报文格式和上位机链接命令结合, 生成待测设备的攻击报文。
[0063] 可以从报文格式库中获取每个PLC类型对应的通信报文格式,从链接命令库中获 取每个PLC类型对应的上位机链接命令,利用攻击方式库生成待测设备的攻击报文。
[0064] 步骤104:第二测试端获取所述待测设备接收攻击报文后生成的报文,根据所述 待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一测试 端。
[0065] 其中,可以利用应答命令库生成应答报文。
[0066] 本实施例中,通信方式库、报文格式库、链接命令库、应答命令库和攻击方式库等 均具有可扩展性,使得本发明可以满足更多的PLC安全防护产品的测试需求。
[0067] 步骤105:第一测试端接收到全部应答报文后,根据所述全部应答报文得到PLC安 全防护设备测评结果。
[0068] 其中,可以第一测试端接收到全部应答报文后,根据所述全部应答报文统计攻击 总数、拦截次数和/或报警次数;将拦截次数和/或报警次数与攻击总数比值得到PLC安全 防护设备测评结果。
[0069] 本发明实施例的PLC安全防护设备测评方法,通过按照通信方式类型和通信方式 类型对应的PLC类型的顺序生成每个所述攻击方式和/或攻击规则待测设备的攻击报文, 并依次将所述攻击报文发送给所述待测设备,能够快速、客观、全面的对待测设备的基于工 业控制网络协议深度报文解析的安全防护功能进行测试验证,并评价其应对PLC通信报文 网络攻击的能力。
[0070] 如图2所示,本发明实施例的PLC安全防护设备测评方法,一次完整的测评过程, 包含n组待测通信方式的测评;每组待测通信方式的测评,包括m组待测PLC类型的测评; 每组待测PLC类型的测评,包括p组攻击方式和q组攻击规则的测评。同一组PLC类型的 测评,攻击报文的生成均基于此PLC类型的通信报文格式和上位机链接命令。
[0071] -次完成的测评过程,最终的攻击测试数为(p+q)*m*n。如果攻击报文被拦截数为 f,报警记录数为g,则测评分值为(f+g) / [ (P+q) *m*n]。
[0072] 如图3所示,本发明实施例的PLC安全防护设备测评方法,步骤302根据待测设备 的测试需求,从通信方式库301中提取所有待测试的通信方式类型,生成待测方式通信方 式列表;步骤303根据通信方式类型编号,按顺序选择首个待测通信方式;步骤304进行相 应的攻击报文测试,具体详见图4。步骤305判断当前测评的通信方式编号是否为最后一个 待测通信方式,如果不是最后一个,则重复步骤303、步骤304和步骤305,如果是最后一个, 则进入步骤306。步骤306中,如果待测设备具有检测报警功能,则进入步骤307,测评系统 录入待测设备在测试阶段的所有报警记录数,所述检测报警功能是指待测设备检测到攻击 报文后生成报警记录,但并未拦截攻击报文。步骤308统计测试结果,步骤39计算测评分 数。
[0073] 如图4所示,本发明实施例的PLC安全防护设备测评方法,步骤402根据选择的待 测通信方式类型,从PLC类型库401中提取相应的待测PLC类型,并生成待测PLC列表;步 骤403根据待测PLC类型编号,按顺序选择首个待测PLC类型。步骤404进行相应的攻击 报文测试,具体详见图5。步骤405判断当前测评的PLC类型编号是否为最后一个待测PLC 类型,如果不是最后一个,则重复步骤403、步骤404和步骤405,如果是最后一个,则进入步 骤46,提取下一个待测PLC类型。
[0074] 如图5所示,本发明实施例的PLC安全防护设备测评方法,步骤501按编号顺序提 取一种待测PLC类型,步骤502判断待测设备是否有检测规则,如果有检测规则,则进入步 骤503,根据规则扩展库504生成对应的攻击规则,之后进入步骤506,遍历攻击规则和攻击 方式库505中的攻击方式。如果步骤502中,待测设备无检测规则,则进入步骤508,遍历攻 击方式库507中的攻击方式。图中所述的505和507是同一个攻击方式库。步骤511从报 文格式库509和链接命令库510中选择相应的通信报文格式和上位机链接命令,经过步骤 512,生成针对待测设备的攻击报文列表。步骤513按编号读取列表中的第一条攻击报文, 步骤514将攻击报文发送至待测设备。步骤515判断是否收到应答报文,如果没有收到应 答报文,则进入步骤516判断是否接收应答报文超时,如果没有超时,则重复步骤515,如果 超时,则进入步骤517。如果步骤515收到应答报文,则直接进入步骤517。步骤517记录 此次攻击报文测试的结果,步骤518判断本次发送的攻击报文是否为报文列表中的最后一 项,如果不是,则重复步骤513至步骤518,如果是最后一项,则进入步骤519,提取下一个待 测 PLC。
[0075] 本发明实施例的的PLC安全防护设备测评方法,所述步骤103之前,还包括:
[0076] 第一测试端向第二测试端发送初始化信息,所述初始化信息包括通信方式类型、 PLC类型和初始化指令;
[0077] 第二测试端接收所述初始化信息提取提取相应的通信方式和PLC类型。
[0078] 优选的,所述第一测试端向第二测试端发送初始化信息,包括:
[0079] 当通信方式类型和/或PLC类型发生变化时,第一测试端向第二测试端发送初始 化信息。
[0080] 具体的,如图6所示,步骤601接收来自测试端A的数据,并解析报文,提取其中的 功能码。步骤602判断功能码是否为通信方式的初始化命令,如果是,则步骤603根据从提 取报文中的数据部分,即待测通信方式的编号,从通信方式库604中提取待测通信方式。如 果步骤602中的功能码不是通信方式初始化命令,则进入步骤605,判断是否为PLC初始化 命令,如果不是,则返回步骤601,如果是,则进去步骤606。在步骤606中,测试端B会根据 从报文中提取的数据部分,即待测PLC类型编号,从PLC类型库中提取相应的待测PLC型 号。步骤608根据待测通信类型和待测PLC类型,从报文格式库609提取对应通信报文格 式,从应答命令库610中提取对应PLC上位机链接命令的应答命令,完成初始化。之后步骤 611通知测试端A准备就绪。
[0081] 如图7所示,本发明实施例的一种PLC安全防护设备测评系统,所述系统包括:第 一测试端A和第二测试端B,所述第一测试端A包括:
[0082] 类型确定模块701,用于获取对待测设备进行测试的通信方式类型,根据所述通信 方式类型确定每个所述通信方式类型对应的PLC类型;
[0083] 攻击方式确定模块702,用于根据每个所述PLC类型确定每个所述PLC类型对应的 攻击方式和/或攻击规则;
[0084] 攻击报文生成模块703,用于按照通信方式类型和通信方式类型对应的PLC类型 的顺序生成每个所述攻击方式和/或攻击规则对应的攻击报文,并依次将所述攻击报文发 送给所述待测设备;
[0085] 测评结果生成模块704,用于第一测试端接收到全部应答报文后,根据所述全部应 答报文得到PLC安全防护设备测评结果;
[0086] 所述第二测试端B包括:
[0087] 应答报文生成模块705,用于获取所述待测设备接收攻击报文后生成的报文,根据 所述待测设备接收攻击报文后生成的报文生成应答报文,将所述应答报文发送给所述第一 测试端。
[0088] 优选的,所述测评结果生成模块包括:
[0089] 统计单元,用于第一测试端接收到全部应答报文后,根据所述全部应答报文统计 攻击总数、拦截次数和/或报警次数;
[0090] 结果输出单元,用于将拦截次数和/或报警次数与攻击总数比值得到PLC安全防 护设备测评结果。
[0091] 优选的,所述攻击报文生成模块包括;
[0092] 链接命令获取单元,用于获取每个PLC类型对应的通信报文格式和上位机链接命 令;
[0093] 攻击报文生成单元,用于将每个所述攻击方式和/或攻击规则与每个PLC类型对 应的通信报文格式和上位机链接命令结合,生成待测设备的攻击报文。
[0094] 优选的,所述系统还包括:
[0095] 第一初始化模块,用于第一测试端向第二测试端发送初始化信息,所述初始化信 息包括通信方式类型、PLC类型和初始化指令;
[0096] 第二初始化模块,用于第二测试端接收所述初始化信息提取相应的通信方式和 PLC类型。
[0097] 优选的,所述第一初始化模块包括:
[0098] 第一初始化单元,用于当通信方式类型和/或PLC类型发生变化时,第一测试端向 第二测试端发送初始化信息。
[0099] 具体的,图8为本发明实施例的PLC安全防护设备测评系统,两个测试端的硬件结 构可以相同,均是由基于TI AM3359 Cortex-A8处理器的核心板和扩展板构成,所述扩展