本发明专利技术涉及一种用于工业以太网数据帧深度检测的方法和装置,该装置包括:检测模块,用于当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及,丢弃/告警模块,用于如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。利用该方法和装置,能够提高工业自动化控制系统的通信安全。
【技术实现步骤摘要】
—种用于工业以太网数据帧深度检测的方法和装置
本专利技术涉及工业自动化领域,尤其涉及一种用于工业以太网数据帧深度检测的方法和装置。
技术介绍
工业自动化控制系统(IACS)是一种运用控制理论、仪器仪表、计算机和其他信息技术,对工业生产过程实现检测、控制、优化、调度、管理和决策,达到增加产量、提高质量、降低消耗、确保安全等目的系统。在工业自动化控制系统中通常采用工业以太网(IE:1ndustrial Ethernet)以将各个设备和仪器连接在一起。 人们已经发展出了许多基于工业以太网的通信协议,例如,PROFINET、EthernetPowerlink, EtherNet/IP、Modbus/TCP等。由于工业以太网需要满足实时网络要求,因此,为了避免TCP/IP协议栈的开销,这些基于工业以太网的通信协议往往将关键的控制数据直接封装为工业以太网数据帧在工业自动化控制系统中进行传输。在这些(属于OSI网络模型中的第二层(数据链路层)的)工业以太网数据帧中,并未封装IP、TCP等这样的(0SI网络模型中的第三层、第四层等)较高层的通信协议,第二层通信协议就是其最高层协议。换言之,在工业以太网数据帧中,第二层通信协议即为应用层协议。 由于在工业以太网数据帧中不包括第二层通信协议以上的更高的协议层,因此,在通信协议第二层以上的较高协议层中实现的用于保护数据免受网络攻击的方法不能用来保护工业以太网数据帧的安全,从而工业自动化控制系统中的通信存在安全隐患。 现有技术已经存在利用深度报文检测(DP1:Deep Packet Inspect1n)方案来保证通信安全,然而,该DPI方案是通过检测通信协议IP层(第三层)、TCP/UDP层(第四层)以上的应用协议中的有效载荷来保证通信安全的,其并不适用于工业以太网数据帧。
技术实现思路
考虑到现有技术不能适应工业现场控制领域安全防护的需要,本专利技术实施例提出一种用于工业以太网数据帧深度检测的方法和装置,其能够提高工业自动化控制系统的通信安全。 按照本专利技术实施例的一种用于工业以太网数据帧深度检测的方法,包括:当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及,如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。 在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式,所述检测步骤包括:检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式是否匹配;以及,如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。 在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式还包括用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式,以及,所述检测步骤还包括:检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式是否匹配;以及,如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协议的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。 在一种具体实现中,所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个,所述针对该协议的攻击特征的行为模式包括用于描述针对该协议的非法时间行为特征的时间行为模式。 按照本专利技术实施例的一种用于工业以太网数据帧深度检测的装置,包括:检测模块,用于当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及,丢弃/告警模块,用于如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。 在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式,所述检测模块包括:检查模块,用于检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式是否匹配;以及,确定模块,用于如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。 在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括还用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式,所述检查模块还用于检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式是否匹配,以及,所述确定模块还用于如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协议的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。 在一种具体实现中,所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个,所述针对该协议的攻击特征的行为模式包括用于描述针对该协议的非法时间行为特征的时间行为模式。 从上面的描述可以看出,本专利技术实施例所提出的方案根据用于描述工业以太网控制通信的合法特征和/或攻击特征的模式来检测工业以太网数据帧是否合法,并丢弃不合法的工业以太网数据帧和/或告警,从而提高了工业自动化控制系统的通信安全。 【附图说明】 本专利技术的其它特征、特点、优点和益处通过以下结合附图的详细描述将变得更加显而易见。 图1示出了按照本专利技术一个实施例的工业自动化控制系统的示意图。 图2示出了按照本专利技术一个实施例的用于工业以太网数据帧深度检测的方法的流程图。 图3示出了按照本专利技术一个实施例的用于工业以太网数据帧深度检测的装置的示意图。 图4示出了按照本专利技术一个实施例的检测模块的示意图。 图5示出了按照本专利技术一个实施例的用于工业以太网数据帧深度检测的设备的示意图。 【具体实施方式】 下面,将结合附图详细说明本专利技术的各个实施例。 现在参见图1,其示出了按照本专利技术一个实施例的工业自动化控制系统的示意图。如图1所示,工业自动化控制系统10可以包括工作站102、人机界面设备(HMI)104、服本文档来自技高网...
【技术保护点】
一种用于工业以太网数据帧深度检测的方法,包括:当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。
【技术特征摘要】
1.一种用于工业以太网数据帧深度检测的方法,包括: 当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及 如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。2.如权利要求1所述的方法,其中 所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式, 所述检测步骤包括: 检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式是否匹配;以及 如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。3.如权利要求2所述的方法,其中 所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式还包括用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式,以及 所述检测步骤还包括: 检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式是否匹配;以及 如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协协议的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。4.如权利要求2或3所述的方法,其中 所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个, 所述针对该协议的攻击特征的行为模式包括用于描述针对该协议的非法时间行为特征的时间行为模式。5.一种用于工业以太网数据帧深度检测的装置,包括: 检测模块,用于当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工...
【专利技术属性】
技术研发人员:唐文,
申请(专利权)人:西门子公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。