[发明专利]一种工业控制设备安全防护方法

权利要求书

1.一种工业控制设备安全防护方法，其特征在于，包括如下步骤：

S1、配置工业控制设备的PLC信息；其中，PLC信息至少包括PLC的IP地址、PLC通信协议类型、认证密码和采集间隔时间；

S2、以配置的PLC的IP地址作为通信地址，根据配置的PLC通信协议类型和认证密码，与PLC建立通信，获取并下载正常状态下的PLC内存状态信息，构建PLC正常内存状态基线；其中，PLC内存状态信息至少包括CPU状态、内存程序块信息和组态文件信息，其中的内存程序块信息至少包括内存中程序块数量，以及各程序块的编译名称、编译时间和大小；

S3、在现网环境中，按照配置的采样间隔时间，周期性与PLC建立通信，问询获取PLC内存状态信息；

S4、留存问询获取的PLC内存状态信息，并与PLC正常内存状态基线进行比对，若无法完全匹配，则判断PLC出现异常。

2.根据权利要求1所述的工业控制设备安全防护方法，其特征在于，该方法还包括如下步骤：

S5、若判断PLC出现异常，则产生警告信息，根据留存的PLC内存状态信息进行安全事件回溯分析，分析PLC出现异常的时间点与攻击类型，并执行应急处置方案。

3.根据权利要求1所述的工业控制设备安全防护方法，其特征在于，

采用采集器实现，所述采集器包括配置模块、通信模块、存储模块、基线模块和比对模块；

其中，所述配置模块用于配置PLC信息；所述通信模块与所述配置模块连接，用于根据配置的PLC信息，通过交换机与PLC建立通信，获取PLC内存状态信息；所述存储模块与所述通信模块连接，用于存储PLC内存状态信息；所述基线模块与所述存储模块连接，用于基于正常状态下的PLC内存状态信息构建PLC正常内存状态基线；所述比对模块与所述基线模块、所述存储模块连接，用于比对现网环境下问询获取的PLC内存状态信息与PLC正常内存状态基线，进而判断PLC是否出现异常。

4.根据权利要求3所述的工业控制设备安全防护方法，其特征在于，

所述通信模块与PLC建立通信时，执行如下步骤：

按照配置的PLC信息，通过交换机向PLC发送三次握手协议进行认证，三次握手协议成功后，通信连接打开；

通过交换机向PLC发送上载指令码；

通过交换机接收PLC内存状态信息；

在接收成功后，通过交换机向PLC发送三次握手协议关闭通信连接。

5.根据权利要求3所述的工业控制设备安全防护方法，其特征在于，

所述存储模块至少包括第一存储单元和第二存储单元，所述第一存储单元与所述通信模块、所述基线模块连接，用于存储正常状态下的PLC内存状态信息，所述第二存储单元与所述通信模块、所述比对模块连接，用于存储现网环境下问询获取的PLC内存状态信息。

6.根据权利要求1所述的工业控制设备安全防护方法，其特征在于，

所述步骤S2中获取并下载正常状态下的PLC内存状态信息来自不联网的PLC或联网初期的PLC，联网初期的PLC的联网时长少于预设时长阈值，或来自在业务正常情况下运行一天的PLC。