(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210964702.6 (22)申请日 2022.08.12 (65)同一申请的已公布的文献号 申请公布号 CN 115033881 A (43)申请公布日 2022.09.09 (73)专利权人 中国电子科技 集团公司第三十 研 究所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 饶志宏　康荣保　张晓　徐锐　 杜艳霞　薛常庆　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 吴彦峰 (51)Int.Cl. G06F 21/56(2013.01) H04L 9/40(2022.01)(56)对比文件 CN 110825040 A,2020.02.21 CN 111611591 A,2020.09.01 CN 111427336 A,2020.07.17 CN 114417355 A,2022.04.29 CN 10723970 5 A,2017.10.10 CN 114371682 A,202 2.04.19 CN 110008713 A,2019.07.12 CN 111881451 A,2020.1 1.03 CN 114238980 A,202 2.03.25 US 9430646 B1,2016.08.3 0 EP 317932 2 A1,2017.0 6.14 WO 2021146649 A1,2021.07.2 2 CN 112668010 A,2021.04.16 廖向东 等.新型PLC病毒特 征分析与检测方 法研究. 《信息技 术》 .2018,(第3期),62- 66.(续) 审查员 肖倩 (54)发明名称 PLC控制器病毒检测方法、 装置、 设备及存储 介质 (57)摘要 本发明公开了一种PLC控制器病毒检测方 法、 装置、 设备及存储介质， 利用PLC控制器主动 探测技术向工控系统网络内的主机发送探测报 文， 通过对响应报 文的深度解析， 实现对PLC控制 器基础信息的主动识别发现。 针对 具备本地工程 逻辑等先验知识的情况下， 可基于PLC控制器工 程逻辑的稳定性特征， 利用PLC控制器逻辑信息 提取技术可实现对逻辑信息的探测获取， 继而与 本地抽取的逻辑信息进行文本化对比分析， 最终 实现对PLC控制器植入病毒的快速检测。 针对无 本地工程逻辑等先验知 识的情况下， 面对可能存 在的病毒， 还可通过对PLC控制器完整工程逻辑 的获取， 结合静态特征分析技术， 实现对病毒检 测的准确判断。 [转续页] 权利要求书2页 说明书8页 附图7页 CN 115033881 B 2022.12.09 CN 115033881 B (56)对比文件 Huan Yang 等.Detecti ng Payload Attacks on Program mable Logic Controllers (PLCs). 《2018 IE EE Conference o n Communications and Netw ork Security (CNS)》 .2018,1-9.饶志宏.工业控制系统信息安全防护. 《信息 安全与通信保密》 .2014,(第12期),45 -46+48. 方栋梁 等.工业控制系统协议 安全综述. 《计算机 研究与发展》 .202 2,第59卷(第0 5期), 978-993.2/2 页 2[接上页] CN 115033881 B1.一种PLC控制器病毒检测方法， 其特 征在于， 包括以下步骤： 在接收到检测指令时， 向目标PLC控制器发送标识信息 探测报文； 接收目标PLC控制器发送的响应报文， 并对所述响应报文执行信息提取， 获得目标PLC 控制器的标识信息； 基于标识信息， 判断目标PLC控制器在本地是否存 储有工程逻辑信息； 若是， 向目标PLC控制器发送时间戳探测报文， 并接收响应报文； 提取响应报文中目标 PLC控制器的逻辑载入时间戳， 将所述逻辑载入时间戳与工程逻辑信息中记录的本地时间 戳进行匹配； 若匹配成功， 则向目标PLC控制器发送逻辑信息探测报文， 并接收响应报文； 若 匹配不成功， 生成病毒检测报警； 提取响应报文中目标PLC控制器的逻辑信息， 将所述逻辑 信息与工程逻辑信息中记录的本地工程逻辑信息进行匹配， 若匹配不成功， 生成病毒检测 报警； 若否， 向目标PLC控制器发送工程逻辑提取报文， 并根据病毒样本特征对目标PLC控制 器发送的响应报文 进行特征匹配， 判断目标PLC控制器是否病毒检测异常。 2.如权利要求1所述的PLC控制器病毒检测方法， 其特征在于， 所述在接收到检测指令 时， 向目标PLC控制器发送标识信息 探测报文步骤， 具体包括： 在接收到检测指令时， 提取检测指令中的IP段地址； 对IP段地址中每 个IP地址对应的PLC控制器进行存活性和端口探测； 构建标识信息探测报文， 并将标识信息探测报文发送至目标PLC控制器； 其中， 所述目 标PLC控制器为存活且端口开启的PLC控制器。 3.如权利要求1所述的PLC控制器病毒检测方法， 其特征在于， 所述标识信息包括IP地 址、 开放端口、 生产厂 商、 设备型号或设备序列号中的一种或多种。 4.如权利要求1所述的PLC控制器病毒检测方法， 其特征在于， 所述逻辑信息包括项目 名称、 逻辑调用函数名称或变量 参数名称中的一种或多种。 5.如权利 要求1所述的PLC控制器病毒检测方法， 其特征在于， 所述向目标PLC控制器发 送工程逻辑提取报文， 并根据病毒样本特征对目标PLC控制器发送的响应报文进行特征匹 配， 判断目标PLC控制器是否病毒检测异常步骤， 具体包括： 向目标PLC控制器发送工程逻辑 提取报文， 并接收响应报文； 提取响应报文中目标PLC控制器的工程逻辑文件， 利用静态工程分析法对上述工程逻 辑文件与病毒样本进行 特征匹配； 若检测到工程逻辑文件中存在与病 毒样本特征匹配的非常规逻辑代码， 则生成病 毒检 测报警。 6.如权利要求5所述的PLC控制器病毒检测方法， 其特征在于， 所述非常规逻辑代码包 括： 地址靠后OB块、 TCON系统函数以及循环向不 合理IP地址发起 通信连接 。 7.一种PLC控制器病毒检测装置， 其特 征在于， 所述PLC控制器病毒检测装置包括： 发送模块， 用于在接收到检测指令时， 向目标PLC控制器发送标识信息 探测报文； 提取模块， 用于接收目标PLC控制器发送的响应报文， 并对所述响应报文执行信息提 取， 获得目标PLC控制器的标识信息； 第一判断模块， 用于基于标识信息， 判断目标PLC控制器在本地是否存储有工程逻辑信 息；权　利　要　求　书 1/2 页 2 CN 115033881 B 3