[发明专利]一种阻止震网攻击的方法

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种在信息化工业中阻止震网攻击的方法。

背景技术

随着网络信息时代的到来，我国工业模式发生翻天覆地的变化，彻底打破了“信息孤岛”模式，企业全面联网，生产数据轻松实现汇总分析，不但提高了生产效率，还推动节能减排的国家战略。信息化给工业带来的有利变化，显而易见，但随之而来的网络信息安全问题，使人又为之惊慌。

Stuxnet蠕虫(俗称“震网”、“双子”)在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的零日漏洞；伪造驱动程序的数字签名；通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制；利用WinCC系统的2个漏洞，对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计，目前全球已有约45000个网络被该蠕虫感染，其中60％的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

Stuxnet蠕虫病毒的出现让人们意识到，病毒的危害已经不局限于我们身边的办公网络，它已经延伸到了工业网络，控制设备(或系统)成为受攻击对象，严重威胁到我国国家重要工业设施的安全，让我们不得不关注工业网络安全。

目前，针对办公网络中的网络安全问题，目前市场上存在这几类产品解决方案：防火墙(firewall)，入侵检测系统(IDS)，入侵防御系统(IPS)，但以上这几种产品却不适合用于工业以太网。

首先说防火墙，目前市场上出现的防火墙产品基本属于商用防火墙，商用防火墙主要是对网络层的攻击行为进行拦截，部分防火墙具备应用层数据的过滤分析，但仅仅是对于普通的网络协议，比如HTTP，FTP等。在工业以太网中，震网攻击使用的西门子OP/PG协议，商业不具备过滤解析这些协议的能力，因此商用防火墙不具备防护震网攻击的能力。

旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断震网攻击。虽然IDS和防火墙联动，通过IDS来发现，通过防火墙来阻断。但是，震网是属于“瞬间攻击”，即使IDS发现攻击行为，并通知了防火墙，但此攻击已经结束了，防火墙也无能为力了。

入侵防御系统(IPS)，是对防病毒软件和防火墙的补充，它可以有效阻止IPS病毒库中已知病毒的传播和攻击，但震网病毒会变种，病毒一旦变种必须升级IPS病毒库才能检测和阻止，否则变种的病毒还是可以在网络中施虐，wincc或step7一旦受感染，会修改PLC程序，被修改的PLC并不带病毒特征，此时即使IPS升级的病毒库，也无法检测并拦截被修改PLC程序。

震网攻击过程如下：感染震网病毒的计算机先主动搜索网络中的西门子PLC，如发现西门子PLC之后，病毒程序会修改PLC代码，并将修改的代码下载到PLC中，被修改代码将会对PLC所控制的设备进行破坏。

发明内容

为解决上述技术问题，本发明的目的是提供一种可以有效阻止震网攻击的方法。

为实现上述发明目的，本发明所提供的技术方案如下：

一种阻止震网攻击的方法，包括如下步骤：

步骤一在网络通讯中设置安全装置，所述安全装置中存储有特征码；

步骤二过滤分析所有通过安全装置的数据包，并与特征码比较；

步骤三如果数据包与特征码匹配，则对该数据包进行拦截。

进一步地，还包括步骤四：如果数据包与特征码不匹配，则允许该数据包通过。

进一步地，所述安全装置设置在上位机与PLC之间通讯的网络中；

进一步地，所述特征码为上位机向PLC发送的握手数据包中的特定信息。

本发明通过阻止下载程序的数据包实现阻止震网病毒攻击的目的，对通过的数据包进行分析，拦截与特征码匹配的数据包，PLC工程下载的行为被终止，允许与特征码不匹配的数据包通过，实现正常的网络通讯。保护工业以太网的安全运行。

附图说明

图1为本发明的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

图1为本发明所提供的阻止震网攻击方法的流程图，如图1所示，一种阻止震网攻击的方法，包括如下步骤：

步骤一在网络通讯中设置安全装置，所述安全装置中存储有特征码；