【技术实现步骤摘要】
一种基于iptables u32的工业协议防护方法
[0001]本专利技术涉及网络安全
,特别涉及一种基于iptables u32的工业协议防护方法。
技术介绍
[0002]目前针对工业协议的防护主要采用的技术方案是通过工业防火墙进行,工业防火墙是保护工业网络通信最广泛使用的安全设备之一。他们通过阻止非法或异常流量进入工控网络和受保护的工业资产来保障整个工控系统的安全。工业防火墙软件实现需要在linux内核的基础上进行编程处理。
[0003]常见的工业防火墙支持ICS相关协议的深度解析,但价格十分昂贵。有时会出现工业防火墙的设备高于被保护资产的价格。开源防火墙因iptables无法识别网络层(即TCP和UDP)以外的协议或字段,主要应用于IT网络中,无法处理通过TCP传输的工业互联网SCADA消息。
[0004]为此,本申请设计了一种基于iptables u32的工业协议防护方法以解决上述问题。
技术实现思路
[0005]本专利技术为了弥补现有技术中工业防火墙工业协议防护方案需要使用预编...
【技术保护点】
【技术特征摘要】
1.一种基于iptables u32的工业协议防护方法,由报文检索指针、IP协议识别模块、TCP协议识别模块,MODBUS协议读取模块和协议防护模块运行组成,其特征在于,包括以下步骤:S1,IP协议识别模块从IP报头中提取报头长度字段,并将其乘以4,得到以字节为单位的报头长度;S2,报文检索指针使用此值跳转到TCP标头的开头:S3,TCP协议识别模块从TCP头中提取头长度字段,并将其乘以4,得到以字节为单位的头长度;S4,报文检索指针使用此值跳转到SCADA消息的开头;S5,MODBUS协议读取模块指定SCADA消息开始时的偏移量,然后与所需值匹配。2.根据权利要求1所述的基于iptables u32的工业协议防护方法,其特征在于:所述S1中IP协议识别模块在数据包中动态选择一个起始点,以匹配最多32位的数据,通过使用数据包的header length字段来计算报头长度,然后跳转到其有效负载的开头,具体的方法为:S11,IP协议识别模块从数据包中随机选择一个起始点,然后读取IP报头的前四个字节;S12,将报文检索指针从0位开始,右移22位,通过右移22位后获得的字符数值与掩码0x3c(00111100)进行&运算,得出IP协议字段中HeaderLENGTH的数值阿尔法;S13,报文检索指针跳转到阿尔法*4的位数上即可获得TCP标头的开头值。3.根据权利要求1所述的基于iptables u32的工业协议防护方法,其特征在于:所述S3中TCP协议识别模块的具体运行方法为:S31,TCP协议识别模块TCP offset字段,其表示TCP头的长度(从TCP头第12字节开始);S32,与IP协议识别模块方法相似,TCP协议识别模块将报文检...
【专利技术属性】
技术研发人员:孙晓鹏,张雨,和希文,曹璐,李峰,王绍密,孙瑞勇,候绪森,李艳虎,水沝,
申请(专利权)人:山东云天安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。