本發明提供了一種涉及網絡安全的S7?300PLC私有協議逆向方法，使用Step7建立與PLC基于S7comm的通信會話，捕獲各交互行為所對應的請求?響應數據包序列，根據協議標準以及交互行為與數據包序列間的對應關系，對S7comm協議的交互邏輯和各字段含義及填充規范進行分析，根據S7comm協議的逆向分析結果，對Conpot中的S7服務交互框架進行功能碼的擴充，根據S7comm服務仿真單元對于各項交互請求的響應正確與否，來判斷逆向結果的準確性。本發明大大提高對于西門子S7?300PLC設備私有協議的逆向效率，大大提高了協議逆向結果的可靠性。

技術領域

本發明涉及工業控制系統安全研究領域，尤其是一種仿真PLC私有協議逆向方法。

背景技術

PLC(Programmable Logic,可編程邏輯器件)是關鍵基礎設施中的基礎控制設備，其安全性涉及整個控制系統的穩定運行。德國西門子公司生產的S7系列PLC體積小、速度快，具有網絡通信能力和較高的可靠性，在我國工控領域的應用相當廣泛。近年來，隨著傳統工業開始了信息化、數字化和智能化的產業升級，工業控制系統在提高了信息化水平的同時，其信息安全問題也愈加突出。PLC遭受黑客攻擊的途徑也日趨多樣化，各種木馬和病毒變體數量不斷攀升，威脅著工業控制系統的安全穩定運行和人員生命財產安全。

蜜罐技術作為一種安全威脅的主動檢測技術，通過設置誘餌性質的虛擬系統來吸引攻擊者入侵并對其威脅行為進行捕獲和分析，來了解攻擊方所使用的工具與方法，幫助防御方掌握所面臨的安全威脅。將蜜罐技術應用于工控系統安全防護領域，研發面向西門子S7-300PLC的蜜罐系統，可有效提升工業企業的威脅感知能力和應急響應能力。

而西門子S7-300PLC與外部的通信基于其企業專有的S7comm協議，面向該款PLC設備的蜜罐系統則需支持盡可能多的S7comm協議服務類型，進而提升PLC蜜罐系統的仿真度，延緩攻擊者的滯留時間，捕獲更多的威脅行為數據。

由此可見，在工業控制系統安全研究領域中，掌握私有工控協議的逆向方法至關重要。一方面便于研究者從協議通信過程安全性的角度，審查協議規范制定的合理性；另一方面基于私有工控協議的逆向結果，可有效輔助提升PLC蜜罐系統的仿真度。

發明內容

為了克服現有技術的不足，本發明提供一種涉及網絡安全的S7-300PLC私有協議逆向方法。本發明基于西門子PLC典型上位機軟件Step7、開源蜜罐框架Conpot和常用網絡抓包工具Wireshark，可有效驗證協議逆向結果的可靠性。

本發明解決其技術問題所采用的技術方案包括以下步驟：

S1.使用Step7建立與PLC基于S7comm的通信會話；

S2.交互實驗階段，捕獲各交互行為所對應的請求-響應數據包序列；

S3.逆向分析階段，根據S7comm協議標準以及交互行為與數據包序列間的對應關系，對S7comm協議的交互邏輯和各字段含義及填充規范進行分析，具體步驟為：

通過建立設備之間基于S7comm的通信會話連接，使用網絡抓包工具Wireshark記錄下各協議交互行為所對應的交互序列數據，根據捕獲到的交互序列數據與交互行為間的對應關系，根據S7comm協議標準進行分析整合，還原S7comm通信交互序列邏輯，提取出關鍵特征字段及各字段的填充規范；

所述通信交互序列邏輯的還原過程為：