一种防护Modbus攻击的方法及装置制造方法及图纸

技术编号:17784114 阅读:45 留言:0更新日期:2018-04-22 15:29
本申请提供一种防护Modbus攻击的方法及装置,应用于安全设备,所述方法包括:接收第一报文,确定所述第一报文的源IP是否命中预设的IP黑名单;如果否,确定所述第一报文是否为异常报文;如果所述第一报文为异常报文,基于所述第一报文更新预设的异常地址表中与所述第一报文对应的异常地址表项;其中,所述异常地址表包括IP地址和异常数的映射关系;基于预设的周期,确定所述异常地址表的各异常地址表项中的异常数是否达到预设的阈值;如果任一异常数达到所述阈值,将所述异常数对应的IP地址加入到所述IP黑名单。本申请阻断了攻击者广播请求报文以收集启用Modbus协议的设备的性能参数的行为,实现了对攻击者彻底的防护。

【技术实现步骤摘要】
一种防护Modbus攻击的方法及装置
本申请涉及安全防护领域,特别涉及一种防护Modbus攻击的方法及装置。
技术介绍
Modbus通信协议是一种应用于工业环境的C/S架构的总线通信协议。基于Modbus的通信过程一般由客户端向服务端发起,服务端再回应客户端。Modbus协议本身不涉及通信双方的认证,不支持通信内容加密,安全性存在欠缺。攻击者可以通过向多个设备广播Modbus请求报文来扫描设备,确定启用Modbus协议的设备,后续再向启用Modbus协议的设备继续发送请求报文,接收返回的响应报文以收集设备的性能参数。后续攻击者可以通过收集到的性能参数对启用Modbus协议的设备发起攻击。现有技术通常可以在安全设备上配置防护规则对Modbus报文进行过滤,然而,攻击者广播的Modbus请求报文数量众多,实际上防护规则很难完全过滤掉上述请求报文。
技术实现思路
有鉴于此,本申请提供一种防护Modbus攻击的方法及装置,用于阻断攻击者收集启用Modbus的设备的性能参数,以防止攻击者后续的攻击。具体地,本申请是通过如下技术方案实现的:一种防护Modbus攻击的方法,应用于安全设备,包括:接收第一报文,确定所述第一报文的源IP是否命中预设的IP黑名单;如果否,确定所述第一报文是否为异常报文;如果所述第一报文为异常报文,基于所述第一报文更新预设的异常地址表中与所述第一报文对应的异常地址表项;其中,所述异常地址表包括IP地址和异常数的映射关系;基于预设的周期,确定所述异常地址表的各异常地址表项中的异常数是否达到预设的阈值;如果任一异常数达到所述阈值,将所述异常数对应的IP地址加入到所述IP黑名单。在所述防护Modbus攻击的方法中,所述方法还包括:在确定所述第一报文是否为异常报文前,确定所述第一报文是否为Modbus报文;如果否,转发所述第一报文;如果是,执行后续流程。在所述防护Modbus攻击的方法中,所述确定所述第一报文是否为异常报文,包括:若所述第一报文由会话发起方发送,检查所述第一报文是否携带指定的功能码;如果是,确定所述第一报文为所述异常报文;若所述第一报文由会话响应方发送,检查所述第一报文是否携带指定的异常响应码;如果是,确定所述第一报文为所述异常报文。在所述防护Modbus攻击的方法中,所述基于所述第一报文更新预设的异常地址表中与所述第一报文对应的异常地址表项,包括:若所述第一报文由所述会话发起方发送,基于所述第一报文的源IP查找所述异常地址表,确定对应的异常地址表项;如果不存在对应的异常地址表项,基于所述源IP新建异常地址表项,并将所述异常地址表项中的异常数置为1;如果存在对应的异常地址表项,为所述异常地址表项中的异常数加1;若所述第一报文由所述会话响应方发送,基于所述第一报文的目的IP查找所述异常地址表,确定对应的异常地址表项,并为所述异常地址表项中的异常数加1。在所述防护Modbus攻击的方法中,所述方法还包括:将所述异常数对应的IP地址加入到所述IP黑名单后,清空所述异常地址表。一种防护Modbus攻击的装置,应用于安全设备,包括:接收单元,用于接收第一报文,确定所述第一报文的源IP是否命中预设的IP黑名单;第一确定单元,用于如果否,确定所述第一报文是否为异常报文;更新单元,用于如果所述第一报文为异常报文,基于所述第一报文更新预设的异常地址表中与所述第一报文对应的异常地址表项;其中,所述异常地址表包括IP地址和异常数的映射关系;第二确定单元,用于基于预设的周期,确定所述异常地址表的各异常地址表项中的异常数是否达到预设的阈值;加入单元,用于如果任一异常数达到所述阈值,将所述异常数对应的IP地址加入到所述IP黑名单。在所述防护Modbus攻击的装置中,所述第一确定单元,进一步用于:在确定所述第一报文是否为异常报文前,确定所述第一报文是否为Modbus报文;如果否,转发所述第一报文;如果是,执行后续流程。在所述防护Modbus攻击的装置中,所述第一确定单元,进一步用于:若所述第一报文由会话发起方发送,检查所述第一报文是否携带指定的功能码;如果是,确定所述第一报文为所述异常报文;若所述第一报文由会话响应方发送,检查所述第一报文是否携带指定的异常响应码;如果是,确定所述第一报文为所述异常报文。在所述防护Modbus攻击的装置中,所述更新单元,进一步用于:若所述第一报文由所述会话发起方发送,基于所述第一报文的源IP查找所述异常地址表,确定对应的异常地址表项;如果不存在对应的异常地址表项,基于所述源IP新建异常地址表项,并将所述异常地址表项中的异常数置为1;如果存在对应的异常地址表项,为所述异常地址表项中的异常数加1;若所述第一报文由所述会话响应方发送,基于所述第一报文的目的IP查找所述异常地址表,确定对应的异常地址表项,并为所述异常地址表项中的异常数加1。在所述防护Modbus攻击的装置中,所述装置还包括:清空单元,用于将所述异常数对应的IP地址加入到所述IP黑名单后,清空所述异常地址表。在本申请实施例中,安全设备接收第一报文后,首先基于IP黑名单进行删选,丢弃命中IP黑名单的报文,然后确定上述第一报文是否为异常报文,如果是,更新预设的异常地址表中与上述第一报文对应的异常地址表项;其中,上述异常地址表包括IP地址和异常数的映射关系;安全设备可以基于预设的周期确定上述异常地址表的各异常地址表项中的异常数是否达到预设的阈值,然后将达到阈值的异常数对应的IP地址加入到IP黑名单中;由于上述安全设备可以在确定异常报文后,更新会话发起方的IP地址对应的异常数,从而能在异常数达到阈值时确定出攻击者的IP地址,并针对攻击者的IP地址进行彻底的防护,阻断了攻击者广播请求报文以收集启用Modbus协议的设备的性能参数的行为,进而防止攻击者后续的攻击。附图说明图1是本申请示出的一种Modbus的应用数据单元的格式示意图;图2是本申请示出的一种Modbus/TCP协议的交互示意图;图3是本申请示出的另一种Modbus/TCP协议的交互示意图;图4是本申请示出的一种防护Modbus攻击的方法的流程图;图5是本申请示出的一种防护Modbus攻击的装置的实施例框图;图6是本申请示出的一种防护Modbus攻击的装置的硬件结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本专利技术实施例中的技术方案作进一步详细的说明。参见图1,为本申请示出的一种Modbus的应用数据单元(ADU,ApplicationDataUnit)的格式示意图,如图1所示,应用层数据单元中的协议数据单元(PDU,ProtocolDataUnit)中具有功能码(functioncode)字段,其中可以填入Modbus协议规定的若干种功能码,各功能码分别指示不同的动作。一般启用Modbus协议的设备基于自身的配置可以支持其中的几种功能码。Modbus可以细分为Modbus/TCP(TransmissionControlProtocol,传输控制协议)、Modbus/UDP(UserDatagramProtocol,用户数据报协议)、Modbus/RT本文档来自技高网
...
一种防护Modbus攻击的方法及装置

【技术保护点】
一种防护Modbus攻击的方法,应用于安全设备,其特征在于,包括:接收第一报文,确定所述第一报文的源IP是否命中预设的IP黑名单;如果否,确定所述第一报文是否为异常报文;如果所述第一报文为异常报文,基于所述第一报文更新预设的异常地址表中与所述第一报文对应的异常地址表项;其中,所述异常地址表包括IP地址和异常数的映射关系;基于预设的周期,确定所述异常地址表的各异常地址表项中的异常数是否达到预设的阈值;如果任一异常数达到所述阈值,将所述异常数对应的IP地址加入到所述IP黑名单。

【技术特征摘要】
1.一种防护Modbus攻击的方法,应用于安全设备,其特征在于,包括:接收第一报文,确定所述第一报文的源IP是否命中预设的IP黑名单;如果否,确定所述第一报文是否为异常报文;如果所述第一报文为异常报文,基于所述第一报文更新预设的异常地址表中与所述第一报文对应的异常地址表项;其中,所述异常地址表包括IP地址和异常数的映射关系;基于预设的周期,确定所述异常地址表的各异常地址表项中的异常数是否达到预设的阈值;如果任一异常数达到所述阈值,将所述异常数对应的IP地址加入到所述IP黑名单。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在确定所述第一报文是否为异常报文前,确定所述第一报文是否为Modbus报文;如果否,转发所述第一报文;如果是,执行后续流程。3.根据权利要求1所述的方法,其特征在于,所述确定所述第一报文是否为异常报文,包括:若所述第一报文由会话发起方发送,检查所述第一报文是否携带指定的功能码;如果是,确定所述第一报文为所述异常报文;若所述第一报文由会话响应方发送,检查所述第一报文是否携带指定的异常响应码;如果是,确定所述第一报文为所述异常报文。4.根据权利要求3所述的方法,其特征在于,所述基于所述第一报文更新预设的异常地址表中与所述第一报文对应的异常地址表项,包括:若所述第一报文由所述会话发起方发送,基于所述第一报文的源IP查找所述异常地址表,确定对应的异常地址表项;如果不存在对应的异常地址表项,基于所述源IP新建异常地址表项,并将所述异常地址表项中的异常数置为1;如果存在对应的异常地址表项,为所述异常地址表项中的异常数加1;若所述第一报文由所述会话响应方发送,基于所述第一报文的目的IP查找所述异常地址表,确定对应的异常地址表项,并为所述异常地址表项中的异常数加1。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:将所述异常数对应的IP地址加入到所述IP黑名单后,清空所述异常地址表。6.一种防护Modb...

【专利技术属性】
技术研发人员:贾新奎
申请(专利权)人:杭州迪普科技股份有限公司
类型:发明
国别省市:浙江,33

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1