可编程逻辑控制器（PLC）的控制逻辑注入攻击通过篡改控制程序操纵物理过程，从而达到影响控制过程或破坏物理设施的目的。针对PLC控制逻辑注入攻击，提出了一种基于白名单规则自动化生成的入侵检测方法PLCShield (Programmable Logic Controller Shield)。所提方法以PLC控制程序承载着全面、完整的物理过程控制信息为依据，主要包括两个阶段：首先，通过分析PLC程序的配置文件、指令功能、变量属性和执行路径等信息，提取程序属性、地址、值域和结构等检测规则；其次，采用主动请求PLC的运行“快照”和被动监听网络流量结合的方式，实时获取PLC当前的运行状态和流量中的操作、状态等信息，并通过对比得到的信息与检测规则识别攻击行为。以4款不同厂商和型号的PLC作为研究案例验证PLCShield的可行性，实验结果表明所提方法的攻击检测准确度达到97.71%以上，验证了所提方法的有效性。

• 出版日期2023
• 单位中国科学院信息工程研究所; 中国科学院大学; 河南中烟工业有限责任公司