本发明专利技术公开了一种modbus安全检测方法,包括:基于ACL策略、协议栈指纹策略以及DPI规则,进行modbus报文结构层面过滤;基于所述modbus报文结构层面过滤,设定报文的子序顺序,对所述子序顺序进行多个字节的值进行排列组合,获得modbus报文对应的点值数据,基于所述点值数据进行modbus报文内容层面过滤。本发明专利技术公开了一种Modbus安全检测方法,根据设定的ACL策略、协议栈指纹策略以及DPI规则对Modbus报文进行报文结构层面的过滤后,通过按照设定的字序顺序,对Modbus报文中多个字节的值进行排列组合,进而对Modbus报文进行内容层面的过滤,提高了数据报文的安全性。高了数据报文的安全性。高了数据报文的安全性。
【技术实现步骤摘要】
一种modbus安全检测方法
[0001]本专利技术属于工业信息安全
,尤其涉及一种modbus安全检测方法。
技术介绍
[0002]商用防火墙是一种常见的网络安全设备,其功能包括访问控制、网络地址转换、攻击防护、流量审计等。其中访问控制技术是一种实现在不同网络安全域之间的安全保障方法,对网络层和传输层数据过滤,检测数据流中每个数据包的源IP地址互联网协议地址、目标IP地址、源端口号、目标端口号、协议类型等,确定是否允许数据包通过。
[0003]数据采集与监控系统、分布式控制系统、过程控制系统、可编程逻辑控制器等工业控制广泛运用于工业控制领域的生产设备的运行,例如核设施、钢铁、化工、水电、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等。然而,在工业控制系统中,工业网络上使用的通讯协议,例如modbus、等都是应用层协议,商用防火墙的访问控制方法只能完成数据包的网络层及传输层关键字段的匹配过滤,缺少针对工业协议数据包深度解析过滤的技术,无法实现对工业协议数据的深度解析与检测,存在被攻击的安全隐患。
技术实现思路
[0004]本专利技术的目的在于提出一种modbus安全检测方法,提升了数据报文的安全性。
[0005]为实现上述目的,本专利技术提供了一种modbus安全检测方法,包括:
[0006]基于ACL策略、协议栈指纹策略以及DPI规则,进行modbus报文结构层面过滤;
[0007]基于所述modbus报文结构层面过滤,设定报文的子序顺序,对所述子序顺序进行若干个字节的值进行排列组合,获得modbus报文对应的点值数据,基于所述点值数据进行modbus报文内容层面过滤。
[0008]可选的,所述modbus报文结构层面过滤包括:
[0009]若ACL策略过滤不通过,则丢弃所述modbus报文,产生告警日志;若所述TCP策略过滤通过,则按照协议栈指纹策略,对所述modbus报文进行过滤。
[0010]可选的,协议栈指纹策略过滤判断包括:
[0011]若所述协议栈指纹策略过滤不通过,则执行丢弃所述modbus报文,产生告警日志;若所述协议栈指纹策略过滤通过,则按照DPI规则,对所述modbus报文进行过滤。
[0012]可选的,DPI规则过滤判断包括:
[0013]若所述dpi规则过滤不通过,则执行丢弃所述modbus报文,产生告警日志;若所述dpi规则过滤通过,则判断所述modbus报文的操作类型。
[0014]可选的,操作类型判断包括:
[0015]若所述操作类型为读操作,则确定所述modbus报文检测通过;若所述操作类型为写操作,则按照字序顺序,排列组合所述modbus报文中若干个字节的值,获得所述modbus报文对应的点值数据。
[0016]可选的,modbus报文对应的点值数据判断包括:
[0017]所述modbus报文对应的点值数据是否在阈值范围内;若所述modbus报文对应的点值数据在所述设定的阈值范围内,则确定所述modbus报文检测通过;若所述modbus报文对应的点值数据不在所述设定的阈值范围内,则执行丢弃所述modbus报文,产生告警日志。
[0018]可选的,所述modbus报文结构层面过滤包括:根据报文进行校验,通过事件统计、流量统计、关联分析、异常时间分析,进行流量监测预警、异常指令告警、接入安全预警。
[0019]可选的,所述modbus报文内容层面过滤包括:通过用户录入的每一条数据与白名单的数据,进行过滤、NAT、状态监测、动态开放端口、地址绑定、抗拒拒绝服务攻击、网络扫描防护,得到资产、配置设备状态的管理。
[0020]本专利技术技术效果:本专利技术公开了一种Modbus安全检测方法,根据设定的ACL策略、协议栈指纹策略以及DPI规则对Modbus报文进行报文结构层面的过滤后,通过按照设定的字序顺序,对Modbus报文中多个字节的值进行排列组合,从而获得Modbus报文对应的点值数据,进而对Modbus报文进行内容层面的过滤,相比于现有技术,在对Modbus报文进行过滤时,不仅需要Modbus报文满足报文结构层面的要求,还需要Modbus报文包含的内容满足设定的要求,提升了数据报文的安全性。
附图说明
[0021]构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0022]图1为本专利技术实施例的modbus安全检测方法的流程示意图;
[0023]图2为本专利技术实施例的modbus安全检测方法的结构示意图。
具体实施方式
[0024]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0025]需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0026]如图1
‑
2所示,本实施例中提供一种modbus安全检测方法,包括:
[0027]基于ACL策略、协议栈指纹策略以及DPI规则,进行modbus报文结构层面过滤;
[0028]基于所述modbus报文结构层面过滤,设定报文的子序顺序,对所述子序顺序进行若干个字节的值进行排列组合,获得modbus报文对应的点值数据,基于所述点值数据进行modbus报文内容层面过滤。
[0029]进一步优化方案,所述modbus报文结构层面过滤包括:
[0030]若ACL策略过滤不通过,则丢弃所述modbus报文,产生告警日志;若所述TCP策略过滤通过,则按照协议栈指纹策略,对所述modbus报文进行过滤。
[0031]进一步优化方案,协议栈指纹策略过滤判断包括:
[0032]若所述协议栈指纹策略过滤不通过,则执行丢弃所述modbus报文,产生告警日志;若所述协议栈指纹策略过滤通过,则按照DPI规则,对所述modbus报文进行过滤。
[0033]进一步优化方案,DPI规则过滤判断包括:
[0034]若所述dpi规则过滤不通过,则执行丢弃所述modbus报文,产生告警日志;若所述dpi规则过滤通过,则判断所述modbus报文的操作类型。
[0035]进一步优化方案,操作类型判断包括:
[0036]若所述操作类型为读操作,则确定所述modbus报文检测通过;若所述操作类型为写操作,则按照字序顺序,排列组合所述modbus报文中若干个字节的值,获得所述modbus报文对应的点值数据。
[0037]进一步优化方案,modbus报文对应的点值数据判断包括:
[0038]所述modbus报文对应的点值数据是否在阈值范围内;若所述modbus报文对应的点值本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种modbus安全检测方法,其特征在于,包括:基于ACL策略、协议栈指纹策略以及DPI规则,进行modbus报文结构层面过滤;基于所述modbus报文结构层面过滤,设定报文的子序顺序,对所述子序顺序进行若干个字节的值进行排列组合,获得modbus报文对应的点值数据,基于所述点值数据进行modbus报文内容层面过滤。2.根据权利要求1所述的modbus安全检测方法,其特征在于,所述modbus报文结构层面过滤包括:若ACL策略过滤不通过,则丢弃所述modbus报文,产生告警日志;若所述TCP策略过滤通过,则按照协议栈指纹策略,对所述modbus报文进行过滤。3.根据权利要求2所述的modbus安全检测方法,其特征在于,协议栈指纹策略过滤判断包括:若所述协议栈指纹策略过滤不通过,则执行丢弃所述modbus报文,产生告警日志;若所述协议栈指纹策略过滤通过,则按照DPI规则,对所述modbus报文进行过滤。4.根据权利要求3所述的modbus安全检测方法,其特征在于,DPI规则过滤判断包括:若所述dpi规则过滤不通过,则执行丢弃所述modbus报文,产生告警日志;若所述dpi规则过滤通过,则判断所述modbus报文的操作类型。5.根据权利要求4所述的modb...
【专利技术属性】
技术研发人员:金璐,龚钢军,党名豪,
申请(专利权)人:北京华电云博科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。