[发明专利]一种modbus安全检测方法

说明书

本发明公开了一种modbus安全检测方法,包括：基于ACL策略、协议栈指纹策略以及DPI规则，进行modbus报文结构层面过滤；基于所述modbus报文结构层面过滤，设定报文的子序顺序，对所述子序顺序进行多个字节的值进行排列组合，获得modbus报文对应的点值数据，基于所述点值数据进行modbus报文内容层面过滤。本发明公开了一种Modbus安全检测方法，根据设定的ACL策略、协议栈指纹策略以及DPI规则对Modbus报文进行报文结构层面的过滤后，通过按照设定的字序顺序，对Modbus报文中多个字节的值进行排列组合，进而对Modbus报文进行内容层面的过滤，提高了数据报文的安全性。

技术领域

本发明属于工业信息安全技术领域，尤其涉及一种modbus安全检测方法。

背景技术

商用防火墙是一种常见的网络安全设备,其功能包括访问控制、网络地址转换、攻击防护、流量审计等。其中访问控制技术是一种实现在不同网络安全域之间的安全保障方法，对网络层和传输层数据过滤，检测数据流中每个数据包的源IP地址互联网协议地址、目标IP地址、源端口号、目标端口号、协议类型等，确定是否允许数据包通过。

数据采集与监控系统、分布式控制系统、过程控制系统、可编程逻辑控制器等工业控制广泛运用于工业控制领域的生产设备的运行，例如核设施、钢铁、化工、水电、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等。然而，在工业控制系统中，工业网络上使用的通讯协议，例如modbus、等都是应用层协议，商用防火墙的访问控制方法只能完成数据包的网络层及传输层关键字段的匹配过滤，缺少针对工业协议数据包深度解析过滤的技术，无法实现对工业协议数据的深度解析与检测，存在被攻击的安全隐患。

发明内容

本发明的目的在于提出一种modbus安全检测方法，提升了数据报文的安全性。

为实现上述目的，本发明提供了一种modbus安全检测方法，包括：

基于ACL策略、协议栈指纹策略以及DPI规则，进行modbus报文结构层面过滤；

基于所述modbus报文结构层面过滤，设定报文的子序顺序，对所述子序顺序进行若干个字节的值进行排列组合，获得modbus报文对应的点值数据，基于所述点值数据进行modbus报文内容层面过滤。

可选的，所述modbus报文结构层面过滤包括：

若ACL策略过滤不通过，则丢弃所述modbus报文，产生告警日志；若所述TCP策略过滤通过，则按照协议栈指纹策略，对所述modbus报文进行过滤。

可选的，协议栈指纹策略过滤判断包括：

若所述协议栈指纹策略过滤不通过，则执行丢弃所述modbus报文，产生告警日志；若所述协议栈指纹策略过滤通过，则按照DPI规则，对所述modbus报文进行过滤。

可选的，DPI规则过滤判断包括：

若所述dpi规则过滤不通过，则执行丢弃所述modbus报文，产生告警日志；若所述dpi规则过滤通过，则判断所述modbus报文的操作类型。

可选的，操作类型判断包括：

若所述操作类型为读操作，则确定所述modbus报文检测通过；若所述操作类型为写操作，则按照字序顺序，排列组合所述modbus报文中若干个字节的值，获得所述modbus报文对应的点值数据。

可选的，modbus报文对应的点值数据判断包括：

所述modbus报文对应的点值数据是否在阈值范围内；若所述modbus报文对应的点值数据在所述设定的阈值范围内，则确定所述modbus报文检测通过；若所述modbus报文对应的点值数据不在所述设定的阈值范围内，则执行丢弃所述modbus报文，产生告警日志。