[发明专利]一种监测西门子S7-PLC设置会话密码的方法

说明书

本发明公开了一种监测西门子S7‑PLC设置会话密码的方法，其特征在于包括以下步骤：S001：将交换机设置为旁路镜像的工作模式,并将西门子S7‑PLC的所有PLC通信流量进行镜像；S002：解析所镜像的PLC通信流量，判断所述PLC通信流量中数据包的应用层协议是否为s7comm协议，如果是，执行步骤S003，否则执行步骤S002；S003：判断s7comm数据包的头部分的远程操作服务控制字段值是否为指定值，如果是，执行步骤S004，否则执行步骤S002；S004：判断s7comm数据包的参数部分的子功能字段值是否为指定值，如果是，执行步骤S005，否则执行步骤S002；S005：记录当前数据包中源IP地址、源MAC地址、源端口号、目标IP地址、目标MAC地址、目标端口号，以供后续分析使用。

技术领域

本发明属于工控网络安全领域，具体涉及监测西门子S7-PLC的方法，尤其涉及一种监测西门子S7-PLC设置会话密码的方法。

背景技术

随着工业 4.0、中国制造 2025、互联网+、物联网、 两化融合进程的不断交叉融合，越来越多的信息技术应用于工控领域，工控系统的开放程度也越来越高，在为工业生产带来极大推动的同时也带来了诸如木马、病毒、网络攻击等安全问题。这些都成为了制约信息化与工业化深度融合发展的重要因素，传统的以物理隔离为主的防护措施已远远不能满足工业信息化发展的需求。目前工业控制系统普遍存在一些严重的安全问题，主要表现为：

一、各类安全漏洞不能及时加固，系统存在严重的安全隐患

现在运行的工控系统普遍在设备、系统、协议等层面存在安全漏洞，且基于工控系统特殊的运行机制，工控具有系统软件难以实时升级、安全漏洞难以及时加固、设备使用周期长以及系统补丁兼容性差、发布周期长等特点， 导致工控系统存在严重的安全隐患。

二、工业网络及总线通讯缺乏安全机制，易于被攻击和利用

工控系统以实时性和可靠性为目的，追求效率和速度，对身份认证、规则检查、加密传输、完整性检查等缺乏安全措施，极易受到攻击；工控系统现场总线大量使用明码传输，极易被破译和伪造。

三、“互联网+工业控制系统”及两化融合等使得工控系统安全威胁全面升级

深度网络化和多层面互联互通的两化融合增加了工业环境中潜在的攻击路径，传统IT产品的引入带来了更多安全漏洞，而新兴信息技术在工业控制领域的安全理论、防护体系尚不成熟，安全防护手段亦显不足，这使得工控网络在网络攻击面前“不堪一击”。

四、传统信息安全领域的安全产品在工业控制网络中的不适应性

传统信息网络安全产品由于要具有广泛的应用场景，因此只能以黑名单为基础进行特征、危险行为检测，而大量的传统信息安全的特征、行为、协议在工控环境中并不存在。并且黑名单方式的安全检测需要长期、成熟的工控安全行业的技术积累和大量样本分析才有可能做到一定的检测有效性。而工控环境中，通信设备相对较少，通信协议相对单一，通信业务相对固定，因此具备以白名单为基础的安全检测。

德国西门子（SIEMENS）公司生产的可编程序控制器在我国的应用也相当广泛，在冶金、化工、印刷生产线等领域都有应用。西门子（SIEMENS）公司的PLC产品包括LOGO、S7-200、S7-1200、S7-300、S7-400等。 西门子S7系列PLC体积小、速度快、标准化，具有网络通信能力，功能更强，可靠性高。S7系列PLC产品可分为微型PLC（如S7-200），小规模性能要求的PLC（如S7-300）和中、高性能要求的PLC（如S7-400）等。但是，西门子S7-PLC同样也面临本领域的上述问题，具体地，现有技术中尚无一种监测西门子S7-PLC设置会话密码的方法。

发明内容