一种使用可满足性模数理论模型检查可编程逻辑控制器系统的恶意软件检测方法

最新推荐文章于 2024-05-20 20:48:19 发布
VIP文章 最新推荐文章于 2024-05-20 20:48:19 发布
阅读量820 收藏
点赞数
分类专栏: # 工控安全之防御篇 工控安全 文章标签: 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45877880/article/details/122901614
版权

A malware detection method using satisfiability modulo theory model checking for the programmable logic controller system

一、摘要

本文提出了一种基于模型检测的PLC恶意软件检测方法。PLC恶意软件是针对目标高度定制的,因此很难提取通用模式来检测它们,本文提出了一种基于模型检测的PLC恶意软件检测方法。我们基于SMT的模型可以处理PLC系统的特征,如输入信号不确定、边缘检测等。其次,针对恶意软件检测问题,提出了两种检测规则生成方法:不变量提取和规则设计模式。 前者可以从原始程序中提取不变量,后者可以降低用户设计检测规则的门槛。最后,我们实现了一个原型,并在三个具有代表性的ICS场景中对其进行了评估。评估结果表明,我们提出的方法可以成功地检测出四种攻击模式的恶意软件。

二、模型设计

在本文中,我们提出了一种可满足性模数理论(SMT)模型检查方法来检测PLC恶意软件。
图1

  1. 第一阶段是检测规则生成。为了检测恶意软件,我们需要定义白名单或规则。在我们的方案中,这项工作由目标控制系统的工程师完成。这些规则表示为时态逻辑公式。
  2. 第二阶段为PLC建模。我们的目标是PLC和现场控制系统,因此我们从内部代码对其行为进行建模。无论何时检测到目标,我们都必须从目标PLC提取字节码,并生成基于约束的模型(smv格式)作为模型检查器的输入。
  3. 模型生成后,可以验证模型是否满足规则。nuXmv模型检查器用于处理检测。如果模型不能满足其中一条规则,则表示发生了违反正常行为的行为,并检测到恶意软件。

三、具体实现

(一)生成检测规则

1.不变提取

第一种方法是从原始PLC程序中自动提取不变量。原始程序是指由工程师编写并下载到PLC的程序,可以认为是可靠的。虽然原始程序可能有几个不同的版本(由于系统进化或代码修改),但它们应该共享一些共同的行为。19例如,这些程序应遵循相同的安全要求。其中一个程序中的不变量可以表示作为检测规则的部分常见行为。在实践中,我们使用工程站中的程序作为原始程序,并以运行在PLC上的程序为目标。

最低0.47元/天 解锁文章
工控小白2021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
boolector:用于固定大小位向量,数组和未解释函数的理论的可满足性模理论(SMT)求解器
04-29
鼓泡器 Boolector是可满足性模理论(SMT)的求解器,用于固定大小的位向量,数组和未解释函数的理论。 它支持逻辑BV, , , 和 。 Boolector提供了丰富的C和Python API,并支持通过SMT-LIB命令push和pop以及假设条件下的求解进行增量求解。 其API的文档可在找到。 网站 有关Boolector的更多信息,请访问: ://boolector.github.io 下载 最新版本的Boolector可在GitHub上找到: : 先决条件 要从源代码构建Boolector,您需要: cmake> = 3.3 gcc / clang g ++ / c ++ 要构建python模块pyboolector您还需要: Cython> = 0.22 建造 可以通过支持SAT解算器CaDiCaL , CryptoMiniSat , Lingeling
程序验证(七):可满足性模理论(Satisfiability Modulo Theories)
热门推荐
SWY's Workshop
06-10 1万+
满足性模理论(Satisfiability Modulo Theories) SMT Satisfiability Modulo Theories(SMT)是以下情况的公式的判定问题: 一些一阶理论的复合 具有任意的布尔结构 DPLL(TTT): DPLL Modulo Theories 这是现代SMT求解器的基础技术 将SMT问题分解为我呢吧可以高效求解的子问题: 使用SAT求解技术来处理布尔结构(宏观) 使用专门的理论求解器(theory solver)来判定背景理论的可满足(微观) 布尔结
满足性模理论(SMT)基础 - 01 - 自动机和斯皮尔伯格算术
weixin_30851409的博客
07-03 1231
满足性模理论(SMT)基础 - 01 - 自动机和斯皮尔伯格算术 前言 如果,我们只给出一个数学问题的(比如一道数独题)约束条件,是否有程序可以自动求出一个解? 可满足性模理论(SMT - Satisfiability Modulo Theories)已经可以实现这个需求。 因此,最近想搞明白z3的实现原理。源代码没有读两句,还是找了本教材来看。 Vijay Ganesh (PhD. Thes...
模型检测model checking
02-20 1976
一、基本概念 模型检测(model checking)是一种很重要的自动验证技术。它最早由Clarke和Emerson以及Quielle和Sifakis在1981年分别提出的,主要通过显式状态搜索或隐式不动点计算来验证有穷状态并发系统的模态/命题质。由于模型检测可以自动执行,并能在系统满足质时提供反例路径,因此在工业界比演绎证明更受推崇。尽管限制在有穷系统上是一个缺点,但模型检查可以应
linux系统编程
weever7的博客
05-07 5732
​ 第一章 系统调用 内核提供了一系列的服务、资源、支持一系列功能,应用程序通过调用系统调用 API 函数来使用内核提供的服务、资源以及各种各样的功能 1.2 库函数 库函数也就是 C 语言库函数 在 Linux 下,通常以动态(.so) 库文件的形式提供,存放在根文件系统/lib 目录下 ​库函数是属于应用层,而系统调用是内核提供给应用层的编程接口,属于系统内核的一部分 库函数运行在用户空间,调用系统调用会由用户空间(用户态)陷入到内核空间(内核态) 库函数通常是有缓存的,而系统调用是无缓存的,所以在
用AD5370模数转换器组成的可编程40通道输出电路
01-20
而且可设置20 V输出电压范围能使调整电压输出等级更具灵活,此外,可将AD5370分为5组8通道DAC。每组都有独立的输入,以实现远端接地信号测量。提供64引脚LFCSP和64引脚LQFP两种封装。它有两个Vref引脚和两个失调...
模拟技术中的用AD5370模数转换器组成的可编程40通道输出电路
10-23
而且可设置20 V输出电压范围能使调整电压输出等级更具灵活,此外,可将AD5370分为5组8通道DAC。每组都有独立的输入,以实现远端接地信号测量。提供64引脚LFCSP和64引脚LQFP两种封装。它有两个Vref引脚和两个失调...
基于可编程增益放大器和ADC实现低功耗高能数据采集系统的设计
01-20
每个数据采集节点都由以下元件组成:一个地震检波器或水下听诊器(分别用于陆地勘探和水下勘探)、一个可编程增益放大器、一个品模数转换器、一个多功能抽样滤波器和一个用于校准和自检测的高 
行业资料-交通装置-一种可按模数调整高度的桥墩.zip
08-25
行业资料-交通装置-一种可按模数调整高度的桥墩.zip
模拟技术中的TI推出可满足高精度信号采集需求16位模数转换器
11-21
 ADS1174与ADS1178模数转换器不仅具有25kHz的带宽、2uV/C的失调电压漂移、高达97dB的信噪比(SNR),而且还支持两种操作模式,从而可实现速度优化(52kSPS)或功耗优化(每通道仅消耗7mW)。  过去,可提供出色漂移...
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治、人民,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 365
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络能、安全、多功能、易用以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要
XRY_XIAO的博客
05-20 403
Web应用防火墙的重要
富格林:梳理可信经验保障安全
fgl100的博客
05-13 243
通过多渠道的收集和分析找到市场的波动趋势,在根据趋势的变化进行交易。如果投资者对趋势变化没有把握的话,可以多留意正规专业的交易平台讯息,一般情况下都会给大家分享市场最新的走势变化,阅读贵金属知识课堂的文章就能够知道很多基本面消息,也能学到各种技术分析方法。富格林悉知,现货黄金被视作一种稳健的投资工具,因其对抗通货膨胀和政治不确定的能力而备受青睐。如果处于亏损状态的时候,应该保持冷静,理分析市场波动情况,如果亏损情况严重,应该及时离场保住自己的最大利益,重新调整心态再进场。
数智赋能内涝治理,四信城市排水防涝解决方案保障城市安全运行
rtu遥测终端机
05-20 313
四信城市排水防涝解决方案,采用先进的洪涝预测模型和智能监测设备,实现对城市内涝的精准预测和实时监控。方案通过智能化感知终端设备提升排水防涝智慧化水平,确保人民生命财产安全。四信的技术和服务已在多个城市内涝监测项目中得到应用,展现了其在城市安全运行保障方面的专业实力。
构建安全的GenAI/LLMs核心技术解密之大模型对抗攻击(五)
段智华的博客
05-16 29
构建安全的GenAI/LLMs核心技术解密之大模型对抗攻击(五)
Java应用中文件上传安全分析与安全实践
最新发布
喔的嘛呀的博客
05-20 363
这些措施涵盖了文件路径、文件权限、目录结构、Web服务器配置等多个方面,为开发人员提供了一套全面的指南,以确保文件上传功能不仅方便实用,而且具备较高的安全。在现代Web应用程序中,数据上传是一个普遍存在的需求,然而,随之而来的是对上传数据安全的担忧。通过检查文件的扩展名或使用浏览器提供的API验证文件的类型,可以在文件上传之前排除不安全的文件。在Web服务器的配置中,确保上传目录是禁止目录浏览的。客户端与服务端的数据验证是确保上传数据安全的重要步骤,可以通过一系列验证手段来防范潜在的安全威胁。
基于 STM32微控制器设计一种心率检测
04-04
2. 采用STM32F103C8T6微控制器作为主控芯片,通过ADC模块对放大器输出信号进行模数转换,获取心率信号模拟值。 3. 采用OLED显示屏进行数据显示,显示屏分辨率为128*64,采用I2C总线进行数据传输。 软件设计: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值