ShadowPLCs A Novel Scheme for Remote Detection of Industrial Process Control Attacks

最新推荐文章于 2024-08-10 15:48:22 发布
最新推荐文章于 2024-08-10 15:48:22 发布
阅读量698 收藏 2
点赞数
分类专栏: # 工控安全之防御篇 工控安全 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45877880/article/details/121773813
版权
SHADOWPLCS是针对工业过程控制攻击的新检测方案,通过分析PLC控制代码,提取关键参数进行实时检测。方案包括主动与被动检测,能有效检测非法地址访问、恶意数据注入等攻击,克服传统IDS局限。
摘要由CSDN通过智能技术生成

SHADOWPLCS:一种新的工业过程控制攻击远程检测方案

一、摘要

  本文提出了一种检测工业过程控制攻击的新方案,称为SHADOWPLCS。该方案首先对PLC控制代码进行自动分析,然后提取PLC的关键参数,包括有效寄存器地址、有效值范围、控制逻辑规则等,作为评估攻击的依据。通过主动与PLC通信和被动监控网络流量,从不同角度实时检测攻击行为。

二、介绍

  目前仍存在现有工业网络入侵检测系统(IDS)无法检测或阻止的关键攻击,IDS很难从根源上检测隐蔽的攻击。主要有三方面的原因:

  • 从目标系统中并不总是观察到一致的特征,限制了检测规则的提取。
  • 每个ICS都是唯一的,因此,领域专家必须密切参与检测规则的创建。但是,这个过程是非常昂贵和耗时的,可能源于专家的错误,从而错过了检测规则中的关键细节。
  • 攻击者通常使用各种策略来逃避检测。

  为了克服现有解决方案的局限性,我们提出了一种新的攻击检测方案SHADOWPLCS。通过分析五种具有代表性的工业过程控制攻击:非法访问地址攻击、恶意数据注入攻击、配置篡改攻击、控制逻辑感染攻击和控制程序替换攻击,激发了ICS对SHADOWPLCS的需求。
  SHADOWPLCS自动分析PLC控制代码,提取PLC关键参数,包括有效寄存器地址、有效值范围、控制逻辑规则等,作为检测攻击的基本。基于这些规则SHADOWPLCS主动与PLC通信,映射其存储空间,被动监控网络流量,并从不同角度实时检测过程控制攻击。

三、攻击建模

(一)对手模型

  对手可以对PLC进行远程网络攻击,如获取控制中心的控制权限或作为中间人攻击PLC。我们认为对手的目标是操纵或扰乱实际的工业控制过程。在本文中,我们将近年来针对PLC的网络攻击方法分为两类:1)虚假数据注入;2)控制逻辑注入。
  虚假数据注入是指将不符合工业控制过程的恶意数据注入PLC,最终导致过程控制的破坏。例如,写反转或最小/最大,修改关键设定点变量和进程值。
  控制逻辑注入是指篡改或替换在目标PLC上运行的原始控制逻辑,攻击者通过干扰正常的下载/上传控制逻辑工程操作,向目标PLC注入恶意控制逻辑。

(二)攻击场景

  基于上面讨论的对手模型,我们考虑以下可能严重扰乱工业控制过程的攻击场景: 非法访问地址攻击、恶意数据注入攻击、配置篡改攻击、控制逻辑感染攻击、控制程序替换攻击。
  非法地址访问攻击。 在这个攻击场景中,假设PLC是对手的黑盒,但对手有能力远程访问PLC的寄存器空间。为了有效地攻击PLC,攻击者首先会探测PLC的寄存器空间,找到攻击的关键执行点。这种攻击很容易发动,而且对手不需要知道实际的工业流程。
  恶意数据注入攻击。 假设对手已经知道PLC中的一些关键控制点,例如控制阀门打开或关闭的寄存器Q0.0。对手聚焦在这些关键控制点上,导致控制混乱。一种常见的攻击方法是强制对一个寄存器地址进行写操作,覆盖寄存器的当前值。
  配置篡改攻击。 假设攻击者获得了工业流程的一些知识,他们通过恶意篡改关键程序配置信息间接地破坏了工业流程。例如,篡改计时器和计数器设置等,发动延迟攻击。
  控制逻辑感染攻击。 假设对手有能力窃取PLC当前的控制程序。它们通过感染控制程序干扰实际的工业生产过程。例如,将I/O寄存器中的值替换为内存中某个地方的可控值,以控制执行器的状态。
  控制程序替换攻击。 在这种攻击场景中,攻击者并不感染原PLC控制程序,而是植入恶意控制代码,试图让PLC执行。因为这种攻击完全由对手控制,摧毁任何他们想要完成的工业过程,它具有很强的隐蔽性和破坏性,随时可以发动。

四、SHADOWPLCS方案原理

(一)规则生成

  利用PLC代码进行基于签名的检测规则生成。 通过分析PLC代码,可以识别的IDS签名集主要有三种白名单规则:有效地址规则、有效取值范围规则和控制逻辑规则。 如下图所示,演示如何使用PLC代码生成基于签名的检测规则。
检测规则
构建SHADOWPLCS的系统方法

(二)攻击检测

  本文提出了一种主动和被动相结合的入侵检测方案。 如下图所示,该IDS包括两个部分:被动检测引擎和主动检测引擎。被动检测引擎通过被动监控网络流量,检测非法地址操作、非法值违规等异常行为。主动检测引擎主动与PLC通信,映射低中断和轮询的PLC内存空间,实时监控工业控制过程中的异常情况。对于攻击者来说,要避免主动和被动相结合的入侵检测方案,实现隐身是非常困难和昂贵的。因为他们需要不断模拟正常的工业场状态,符合控制逻辑,甚至需要篡改设备的固件或网络通信模块,而不是通过简单的ARP欺骗和重放报文等传统手段欺骗IDS和控制中心。
过程控制攻击检测

①被动检测

  被动检测引擎首先将流经工业交换机的网络流量镜像,通过对工业控制协议的深入解析,提取出五元组信息(源IP、目的IP、源端口、目的端口、传输层协议)、操作地址、操作指令和具体值。然后检查上述信息是否符合有效地址白名单和有效值范围白名单,检测非法链接、非法地址操作、非法值等异常行为。
  算法1给出了被动检测的过程。第1行

最低0.47元/天 解锁文章
工控小白2021
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Attacking the IEC-61131 Logic Engine in Programmable Logic Controllers in Industrial Control Systems
工控小白2021的博客
11-22 2695
攻击ICS中PLC的IEC-61131逻辑引擎一、摘要二、介绍(一)PLC攻击类型(二)MITRE ATT&CK攻击三、威胁建模 一、摘要   可编程逻辑控制器(PLC)配备了用IEC-61131语言编写的控制逻辑(如梯形图和结构化文本),定义了PLC应如何控制物理过程。本文提出了一种新的控制逻辑攻击维度,其目标是PLC的控制逻辑引擎(负责运行控制逻辑)。通过利用PLC固有的功能(如程序模式和启动/停止引擎),网络攻击可以成功禁用IEC-61131控制逻辑引擎。我们利用MITRE ATT&C
一种针对工控系统攻击的远程检测方案(工控系统安全
qq_40229814的博客
11-09 9671
随着针对工业控制系统(ICS)的攻击越来越多,工业控制系统(ICS)安全变得越来越重要。尽管过去已经提出了许多现成的工业网络入侵检测机制,但攻击者总能找到独特的伪装方法来绕过检测并破坏实际的工业控制过程。为了缓解这一缺陷,我们提出了一种新的检测工业过程控制攻击的方案,称为ShadowPLC。 具体来说,该方案首先自动分析PLC的控制代码,然后提取PLC的关键参数,包括有效寄存器地址、有效值范围和控制逻辑规则,作为评估攻击的基础。通过与PLC的主动通信和对网络流量的被动监控,从不同角度实时检测攻击行为。
PEM: Remote forensic acquisition of PLC memory in industrial control systems(PLC内存的远程取证)
weixin_44564338的博客
08-03 236
获取PLC易失性存储空间的内容对于调查针对PLC网络攻击是至关重要的。但是,现有的内存获取技术,如基于硬件调试接口或网络传输协议的方法,是难以用于实际取证场景的。因为这些方法往往需要逆向PLC、重启PLC且只能获得部分内存。本文提出了一种新的内存获取框架——PEM,利用该框架可以远程获得PLC的易失性内存的内容而不打断PLC现有的控制流程。...
会议室预订系统源码java-cs2511-ass1:cs2511-ass1
06-06
订阅系统源码java 作业 1 - 场地租用系统 截止日期:第 4 周,星期三,下午 5 点 价值:10分 宗旨 练习如何应用系统的面向对象设计过程 获得实现具有多个交互类的面向对象程序的经验 了解有关 Java 类库的更多信息 前言 在本作业中,您将设计并实现一个原型系统,该系统可作为场地租用系统(例如用于举行会议)的“后端”。 在开发设计和实现它之前,请仔细注意这些要求,并确保您对它们有一个完整而合理的理解。 要求 在这个场地租用系统中,客户可以进行、更改和取消预订。 每个场地都有许多不同大小的房间:房间有小、中或大。 预订请求具有命名标识符,并且针对由开始日期和结束日期给定的时间段的一个或多个特定大小的房间(例如,两个小房间和一个大房间)。 保留请求要么被系统完全批准,要么被系统完全拒绝(不能部分满足请求)。 除了正确性之外,评估还将基于您的程序设计。 您应该至少提交一个用于程序设计的 UML 类图,即不是之后从代码生成的。 实现应该以 JSON 格式输入和输出数据。 它将从 STDIN(Java 中的System.in )读取并输出到 STDOUT(Java 中的System.
Assingment6:Assinment6
06-10
评估6 Assinment6 应用规范 这是一个 RailApplication,它将存储有关铁路公司实体的信息。 信息将被存储并从应用程序数据库中检索。 实体如下 1.Station 2.Train 3.Driver 4.Commuter 5.Travelling(火车) 6.Security Officer 7.Train guard 8.AccessController 9.Ticket 10.Inspector
计算机会议级别
vontear的专栏
04-29 4万+
一、A类会议 序号 英 文 名 称 英文简称 中 文 名 称 备  注 1.          International Symposium on Computer Architecture ISCA 计算机体系结构国际会议
A novel fragile watermarking scheme for image tamper detection and recovery
02-09
We propose a fragile watermarking scheme capable of image tamper detection and recovery with a block-wise dependency mechanism. Initially, the image is divided into blocks with size of 2×2 in order ...
A novel detection scheme for MP3Stego with low payload
02-09
A novel detection scheme for MP3Stego with low payload
Novel Neural Control for a Class of Uncertain Pure-Feedback Systems
02-09
This paper is concerned with the problem of adaptive neural tracking control for a class of uncertain pure-feedback nonlinear systems. Using the implicit function theorem and back-stepping technique, ...
A novel scheme of all optical header extraction for optical packet switching network
02-21
A novel scheme of all optical header extraction for optical packet switching network
Current-Control Scheme for a PMSM Vector Drive With a Simple DOB
06-15
本文“带有简单自适应扰动观测器的PMSM矢量驱动的稳健电流控制策略”(Design and Implementation of a Robust Current-Control Scheme for a PMSM Vector Drive With a Simple Adaptive Disturbance Observer)深入...
zseob6jv7jq3dz.html,Open H.323 — [OpenH323]Intel codecs G729 A AB B, G723.1 6.3, G723.1 5.3 plugin f...
热门推荐
weixin_30591519的博客
06-18 18万+
------------61301EA571264FContent-Type: text/plain; charset=Windows-1251Content-Transfer-Encoding: 8bitHello all,Extract archive and compile Audio Plugin "IntelCodecs" in MS VisualStudio .NET 2003. To...
Visual Studio 生成AssemlyInfo.cs的作用
ahch8077的博客
04-16 104
AssemblyInfo.cs使用自定义属性定义manifest中的一些自定义属性,版本信息。 在生成的文件的属性页中,版本中可以看到这些信息。 结构都已经定义好了,需要做的就是改变里面字符串的值。 转载于:https://www.cnblogs.com/oyjj/archive/2009/04/16/2133015.html...
深度解密CRLF注入与重定向漏洞:从原理到实践
2301_80064376的博客
08-08 884
重定向漏洞(Open Redirect)是一种安全漏洞,攻击者可以利用它将用户从受信任的网站重定向到恶意网站。这种漏洞通常出现在网站处理 URL 参数时,没有对用户输入进行适当验证。
开发android app用于移远模块读写IMEI 模组EC200DEULA-D08-SNNDA 支持socket连接读写IMEI
chenhao0568的专栏
08-07 357
发送{“function”: “write_imei”,“imei”: “860004050179648”}响应{“message”: “success”,“imei”: “860004050179648”}当结果正常时message为success,否则message给出英文具体原因,其它参数可能为空。发送{“function”: “read_imei”}响应{“message”: “success”}前面本地5902 转发到 后面设备为5902。PC与终端APP之间 json通信协议。
OSPF小实验
sgdhshshhs的博客
08-07 397
【代码】OSPF小实验。
mpls vpn基础实验
最新发布
wudongfang666的专栏
08-10 376
场景:异地两个站点通过mpls vpn骨干网络实现安全通讯虚拟路由转发 VRF ,相当于在设备内建立一条虚拟通道,一个vpn的实例(vrf)可以简单的理解为一台虚拟设备。拓扑图。
杭州等保测评的基础概念
weixin_62641226的博客
08-07 201
该系统共划分为五个等级,每个等级都有不同的安全需求,目的是针对不同敏感程度的信息建立相应的防护机制。在杭州这块“土地”上,“等保”测评既是防范数据泄漏和黑客攻击的“挡箭牌”,也是对企业信用的“试金石”,推动营商环境的优化,助力“数字经济”的繁荣发展。🚀等级保护测评,又称“等保测评”,是杭州这座创新型城市建设的一道重要基础,它既是一个合规要求,也是数字生态系统的捍卫者。借着“智慧城市”的东风,让我们一起揭开“等保测评”的神秘面纱,为建设一个更安全、更可靠的数字化社会作出贡献。
48天笔试训练错题——day44
ミカミミミ博客
08-08 813
48天笔试训练错题——day44.
a dual weighting label assignment scheme for object detection
03-16
"双重加权标签分配方案"是目标检测中常用的一种方法。这种方法的主要思想是通过对每个训练样本中的正负样本进行不同的加权,从而更好地训练分类器。 具体来说,这种方法会对每个训练样本中的正样本和负样本进行不同的加权,其中正样本的权重会更高,负样本的权重会更低。这样做的目的是让分类器更加关注那些难以分类的样本,从而提高模型的准确率和鲁棒性。 在实际应用中,双重加权标签分配方案可以与其他技术一起使用,例如数据增强和模型融合,以进一步提高目标检测的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值