一种用于工业以太网数据帧深度检测的方法和装置制造方法
【专利摘要】本发明涉及一种用于工业以太网数据帧深度检测的方法和装置,该装置包括:检测模块,用于当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及,丢弃/告警模块,用于如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。利用该方法和装置,能够提高工业自动化控制系统的通信安全。
【专利说明】—种用于工业以太网数据帧深度检测的方法和装置
【技术领域】
[0001]本发明涉及工业自动化领域,尤其涉及一种用于工业以太网数据帧深度检测的方法和装置。
【背景技术】
[0002]工业自动化控制系统(IACS)是一种运用控制理论、仪器仪表、计算机和其他信息技术,对工业生产过程实现检测、控制、优化、调度、管理和决策,达到增加产量、提高质量、降低消耗、确保安全等目的系统。在工业自动化控制系统中通常采用工业以太网(IE:1ndustrial Ethernet)以将各个设备和仪器连接在一起。
[0003]人们已经发展出了许多基于工业以太网的通信协议,例如,PROFINET、EthernetPowerlink, EtherNet/IP、Modbus/TCP等。由于工业以太网需要满足实时网络要求,因此,为了避免TCP/IP协议栈的开销,这些基于工业以太网的通信协议往往将关键的控制数据直接封装为工业以太网数据帧在工业自动化控制系统中进行传输。在这些(属于OSI网络模型中的第二层(数据链路层)的)工业以太网数据帧中,并未封装IP、TCP等这样的(0SI网络模型中的第三层、第四层等)较高层的通信协议,第二层通信协议就是其最高层协议。换言之,在工业以太网数据帧中,第二层通信协议即为应用层协议。
[0004]由于在工业以太网数据帧中不包括第二层通信协议以上的更高的协议层,因此,在通信协议第二层以上的较高协议层中实现的用于保护数据免受网络攻击的方法不能用来保护工业以太网数据帧的安全,从而工业自动化控制系统中的通信存在安全隐患。
[0005]现有技术已经存在利用深度报文检测(DP1:Deep Packet Inspect1n)方案来保证通信安全,然而,该DPI方案是通过检测通信协议IP层(第三层)、TCP/UDP层(第四层)以上的应用协议中的有效载荷来保证通信安全的,其并不适用于工业以太网数据帧。
【发明内容】
[0006]考虑到现有技术不能适应工业现场控制领域安全防护的需要,本发明实施例提出一种用于工业以太网数据帧深度检测的方法和装置,其能够提高工业自动化控制系统的通信安全。
[0007]按照本发明实施例的一种用于工业以太网数据帧深度检测的方法,包括:当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及,如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。
[0008]在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式,所述检测步骤包括:检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式是否匹配;以及,如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。
[0009]在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式还包括用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式,以及,所述检测步骤还包括:检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式是否匹配;以及,如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协议的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。
[0010]在一种具体实现中,所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个,所述针对该协议的攻击特征的行为模式包括用于描述针对该协议的非法时间行为特征的时间行为模式。
[0011]按照本发明实施例的一种用于工业以太网数据帧深度检测的装置,包括:检测模块,用于当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及,丢弃/告警模块,用于如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。
[0012]在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式,所述检测模块包括:检查模块,用于检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式是否匹配;以及,确定模块,用于如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。
[0013]在一种具体实现中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括还用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式,所述检查模块还用于检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式是否匹配,以及,所述确定模块还用于如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协议的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。
[0014]在一种具体实现中,所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个,所述针对该协议的攻击特征的行为模式包括用于描述针对该协议的非法时间行为特征的时间行为模式。
[0015]从上面的描述可以看出,本发明实施例所提出的方案根据用于描述工业以太网控制通信的合法特征和/或攻击特征的模式来检测工业以太网数据帧是否合法,并丢弃不合法的工业以太网数据帧和/或告警,从而提高了工业自动化控制系统的通信安全。
【专利附图】
【附图说明】
[0016]本发明的其它特征、特点、优点和益处通过以下结合附图的详细描述将变得更加显而易见。
[0017]图1示出了按照本发明一个实施例的工业自动化控制系统的示意图。
[0018]图2示出了按照本发明一个实施例的用于工业以太网数据帧深度检测的方法的流程图。
[0019]图3示出了按照本发明一个实施例的用于工业以太网数据帧深度检测的装置的示意图。
[0020]图4示出了按照本发明一个实施例的检测模块的示意图。
[0021]图5示出了按照本发明一个实施例的用于工业以太网数据帧深度检测的设备的示意图。
【具体实施方式】
[0022]下面,将结合附图详细说明本发明的各个实施例。
[0023]现在参见图1,其示出了按照本发明一个实施例的工业自动化控制系统的示意图。如图1所示,工业自动化控制系统10可以包括工作站102、人机界面设备(HMI)104、服务器106、可编程逻辑控制器(PLC)108、110、112、工业以太网交换机114、116和数据帧深度检测设备118。其中,工作站102、HMI104和服务器106与工业以太网交换机114连接,可编程逻辑控制器(PLC)108、110和112与工业以太网交换机116连接,工业以太网交换机114和116相互连接,以及,数据帧深度检测设备118连接在工业以太网交换机114和116之间。
[0024]其中,工作站102、HMI 104和服务器106是易受安全攻击以及易感染病毒与恶意软件的设备,其可以将来自用户的和/或生产的组态(配置)指令、管理指令、控制指令封装成工业以太网数据帧并通过工业以太网交换机114和116发送给可编程逻辑控制器108、110和112,以及通过工业以太网交换机114和116接收来自可编程逻辑控制器108、110和112的封装在工业以太网数据帧中的各种控制数据或状态数据。
[0025]可编程逻辑控制器108、110和112属于现场控制设备,其可以根据通过工业以太网交换机114和116从工作站102、HMI104和服务器106接收到的组态(配置)指令、管理指令、控制指令来控制所在区域中的各个现场设备(分布式1设备,未示出)进行各种操作,以及把从这些现场设备收集到的数据封装成工业以太网数据帧并通过工业以太网交换机114和116发送给工作站102、HMI104和服务器106。
[0026]数据帧深度检测设备118是可以用于工业以太网数据帧深度检测的设备,其预先存储有用于描述工业以太网协议的合法特征(白名单)和针对该协议的攻击特征(黑名单)的模式。数据帧深度检测设备118可以拦截在工业以太网交换机114和116之间传送的工业以太网数据帧,根据预先存储的用于描述工业以太网协议的合法特征和针对该协议的攻击特征的模式来检测所拦截的工业以太网数据帧是否合法,并当所拦截的工业以太网数据帧不合法时丢弃该工业以太网数据帧和/或告警。换言之,当所拦截的工业以太网数据帧不合法时,该工业以太网数据帧可被丢弃而不会发送到该工业以太网数据帧所指示的目的地。
[0027]用于描述工业以太网协议的合法特征和针对该协议的攻击特征的模式可以包括用于描述工业以太网协议的合法特征的语法模式、用于描述针对该协议的的攻击特征的语法模式、用于描述工业以太网协议的合法特征的行为模式和用于描述针对该协议的的攻击特征的行为模式。
[0028]用于描述工业以太网协议的合法特征的语法模式可以包括协议规范指定的工业以太网数据帧的合法语法,在此,合法语法可以包括帧中字段出现的位置(相对位置)、合法取值范围、长度等语法特征。用于描述攻击特征的语法模式可以包括但不局限于工业以太网数据帧的不正确语法、畸形的工业以太网数据帧等,在此,畸形的工业以太网数据帧可以包括,例如某些帧字段被设置了恶意值的工业以太网数据帧、帧字段的长度或位置被改变为不同于协议规范所定义的合法语法的工业以太网数据帧。在此,语法模式可以包括但不局限于使用简单的字符串、正则表达式、正则语法、BNF/ABNF/EBNF语法或基于XML的语法等来定义。
[0029]更重要的是用于描述工业以太网协议的合法行为特征的行为模式和针对该协议的攻击行为特征的行为模式,其可以包括但不局限于时间行为模式、信道(通信上下文)行为模式和流量行为模式。
[0030](I)时间行为模式。在各种工业以太网协议中,普遍存在着用于对网络、设备、通信进行工程管理或组态配置的各种协议,例如PROFINET中的DCP协议等。这些协议中都存在着某些类型的工业以太网数据帧,可以对设备、通信的关键参数进行设置,如修改IP地址、将设备复位为出厂设置等。这些工业以太网数据帧本身都是符合协议语法规定的,在对工业以太网及其设备进行(安装调试期间、停产期间)检修维护时是允许的,但当现场控制设备处于工作(控制)状态时,发送这些工业以太网数据帧则会导致控制设备出现异常、停机,导致严重的后果。因此,采用时间行为模式可以描述工业以太网协议的合法时间行为特征或非法时间行为特征。例如,可以使用以下规则来表示用于描述工业以太网协议的合法时间行为特征的时间行为模式:
[0031]<startl, endl>allow srcl — dstl,〈frame pattern),
[0032]其表示只有在从起始时间startl到结束时间endl这一时间窗口中出现的从源地址srcl到目的地址dstl的符合该指定的数据巾贞模式特征或类型frame pattern的工业以太网数据帧才是允许的或合法的。又例如,可以使用以下规则来表示针对该协议的非法时间行为特征的时间行为模式:
[0033]<start2, end2>deny src2 — dst2,〈frame pattern〉,
[0034]其表示在从起始时间start2到结束时间end2这一时间窗口中出现的从源地址src2到目的地址dst2的符合该规定的数据巾贞模式特征或类型frame pattern的工业以太网数据帧是禁止或非法的。
[0035](2)信道(通信上下文)行为模式。所有的(实时)工业以太网协议,由于要考虑以太网的现场设备之间的快速的数据交换,所以普遍采用了预先设定的通信信道(包括预先设定的通信两端的设备及应用实体、通信的时间、可能出现的时间偏移等参数)来定义现场设备之间的通信(包括数据交换、参数传输和调试诊断)。例如在PROFINET 1中,遵循供给者-消费者(provider-consumer)的模型,在1控制器和1设备之间,会建立起一个应用关系(AR Applicat1n Relat1n),这类AR用于周期性的数据交换、参数传输、警报处理等不同的通信,并可在AR内进一步地定义对应的通讯关系(CR:Communicat1n Relat1n)。因此,在现场设备的之间的通信是有严格的通信上下文(信道)的,其行为特征可以包括通信的时间、源设备、目的设备等。因此,采用信道行为模式可以描述工业以太网数据帧的合法信道行为特征。例如,可以使用以下规则来表示用于描述工业以太网协议的合法信道行为特征的信道行为模式:
[0036]〈time, offset>Context<src, dst, frame pattern),
[0037]此规则定义了在通信时间time及可能出现的时间偏移offset范围内,通信上下文Context为从设备src到设备dst之间的以太网数据巾贞的类型模式frame pattern的通信。此规则可以在对现场设备进行组态(配置)时手动或自动部署到数据帧深度检测设备118上。如果拦截的工业以太网数据帧满足上述规则,则该数据帧是合法的;如果不满足上述规则,则该数据帧很可能是攻击性数据帧,会干扰现场设备间的高速实时通信。
[0038](3)流量行为模式。流量行为模式可以用于描述工业以太网协议的合法流量行为特征,包括但不限于工业以太网数据帧被允许传输的单位时间吞吐量阈值及合法的流量统计分布特征等。例如,流量行为模式设置ARP请求帧单位时间吞吐量阈值为200kbs,则当ARP请求帧的每秒请求数量大于这个阈值时,则可判定出现了可以干扰工业以太网控制通信的DoS攻击。
[0039]在此,行为模式可以使用但不局限于有限状态机、UML状态图或状态转换表来定义。
[0040]从以上描述可以看出,本发明实施例所提出的方案根据用于描述合法特征和/或攻击特征的模式来检测工业以太网数据帧是否合法并丢弃不合法的工业以太网数据帧和/或告警,从而提高了工业自动化控制系统的通信安全。此外,时间行为模式、信道行为模式和流量行为模式针对工业以太网控制通信独特的特点,描述了合法和/或非法的工业以太网控制通信协议的时间因素以及通信设备间的应用关系和通讯关系,从而能够对工业以太网中关键的控制数据通信提供有效的安全防护。
[0041]现在参见图2,其示出了按照本发明一个实施例的工业以太网数据帧深度检测的方法的流程图。图2所示的方法是由数据帧深度检测设备118执行的。
[0042]如图2所示,在步骤S200,数据帧深度检测设备118拦截在工业以太网交换机114和116之间传送的工业以太网数据帧。
[0043]在步骤S204,数据帧深度检测设备118检测所拦截的工业以太网数据帧所包括的有效载荷与预先存储的用于描述针对工业以太网协议的攻击特征的语法模式和用于描述工业以太网协议的合法特征的语法模式是否匹配。
[0044]在步骤S208,如果步骤S204的检测结果表明所拦截的工业以太网数据帧所包括的有效载荷与所述攻击特征的语法模式不匹配或者与所述合法特征的语法模式匹配(A分支),则数据帧深度检测设备118检查所拦截的工业以太网数据帧与所述攻击特征的行为模式和所述合法特征的行为模式是否匹配。例如,假设预先存储的用于描述工业以太网协议的合法特征的行为模式包括用于描述从设备Al发送到设备BI的表示复位指令的工业以太网数据巾贞在从开始时间StartTimel到结束时间EndTimel之间出现是合法的时间行为模式,那么数据帧深度检测设备118首先根据所拦截的工业以太网数据帧所包括的信息检查所拦截的工业以太网数据帧是否是从设备Al发送到设备BI的表示复位指令的工业以太网数据帧,如果所拦截的工业以太网数据帧是从设备Al发送到设备BI的表示复位指令的工业以太网数据帧,则数据帧深度检测设备118进一步检查所拦截的工业以太网数据帧被拦截到的时间是否落入在从开始时间StartTimel到结束时间EndTimel之间,如果所拦截的工业以太网数据巾贞被拦截到的时间落入在从开始时间StartTimel到结束时间EndTimel之间,则表明所拦截的工业以太网数据帧与该时间行为模式匹配。例如,假设预先存储的用于描述针对工业以太网协议的攻击特征的行为模式包括用于描述从设备A2发送到设备B2的表示复位指令的工业以太网数据巾贞在从开始时间StartTime2到结束时间EndTime2之间出现是非法的时间行为模式,那么数据帧深度检测设备118首先根据所拦截的工业以太网数据帧所包括的信息检查所拦截的工业以太网数据帧是否是从设备A2发送到设备B2的表示复位指令的工业以太网数据帧,如果所拦截的工业以太网数据帧是从设备A2发送到设备B2的表示复位指令的工业以太网数据帧,则数据帧深度检测设备118进一步检查所拦截的工业以太网数据帧被拦截到的时间是否落入在从开始时间StartTime2到结束时间EndTime2之间,如果所拦截的工业以太网数据帧被拦截到的时间落入在从开始时间StartTime2到结束时间EndTime2之间,则表明所拦截的工业以太网数据帧与该时间行为模式匹配。例如,假设预先存储的用于描述工业以太网协议的合法特征的行为模式包括用于描述从设备A3发送到设备B3的类型为L3的工业以太网数据帧在以PTime3为基点和时间偏差为P0ffset3的时间范围内通信是合法的信道行为模式,那么数据帧深度检测设备118首先根据所拦截的工业以太网数据帧所包括的信息检查所拦截的工业以太网数据帧是否是从设备A3发送到设备B3的类型为L3的工业以太网数据帧,如果所拦截的工业以太网数据帧是从设备A3发送到设备B3的类型为L3的工业以太网数据帧,则数据帧深度检测设备118进一步检查所拦截的工业以太网数据帧的通信时间是否落入在以PTime3为基点和时间偏差为P0ffset3的时间范围内,如果所拦截的工业以太网数据帧被拦截到的时间落入在以PTime3为基点和时间偏差为P0ffset3的时间范围内,则表明所拦截的工业以太网数据帧与该信道行为模式匹配。又例如,假设预先存储的用于描述合法特征的行为模式包括以太网数据帧帧被允许传输的单位时间吞吐量阈值的流量行为模式,那么那么数据帧深度检测设备118检查所拦截的工业以太网数据帧是否是指定类型的以太网数据帧,如果所拦截的工业以太网数据帧是指定类型的以太网数据帧,则数据帧深度检测设备118通过将单位时间内包括所拦截的工业以太网数据帧在内的目前已拦截到的指定类型的以太网数据帧的总数乘以每一个指定类型的以太网数据帧的字节数并除以单位时间来计算得到实际传输的单位时间吞吐量,并且判断所计算出的实际传输的单位时间吞吐量是否大于被允许传输的单位时间吞吐量阈值,如果判断结果表明实际传输的单位时间吞吐量大于被允许传输的单位时间吞吐量阈值,则表明所拦截的工业以太网数据帧与该流量行为模式不匹配。
[0045]在步骤S212,如果步骤S208的检查结果表明所拦截的工业以太网数据帧与用于描述针对工业以太网协议的攻击特征的行为模式不匹配或者与用于描述工业以太网协议的合法特征的行为模式匹配(C分支),则数据帧深度检测设备118确定所拦截的工业以太网数据帧合法并让所拦截的工业以太网数据帧通过,以使得所拦截的工业以太网数据帧到达其目的地。
[0046]在步骤S216,如果步骤S204的检测结果表明所拦截的工业以太网数据帧所包括的有效载荷与用于描述针对工业以太网协议的攻击特征的语法模式匹配或者与用于描述工业以太网协议的合法特征的语法模式不匹配(B分支),或者,如果步骤S208的检查结果表明所拦截的工业以太网数据帧与预先存储的用于描述针对工业以太网协议的攻击特征的行为模式匹配或者与预先存储的用于描述工业以太网协议的合法特征的行为模式不匹配(D分支),则数据帧深度检测设备118确定所拦截的工业以太网数据帧不合法并丢弃该工业以太网数据帧。
[0047]其它变型
[0048]本领域技术人员应当理解,虽然在上面的实施例中,在确定所拦截的工业以太网数据帧是否合法时首先检查所拦截的工业以太网数据帧与语法模式是否匹配,然而,本发明并不局限于此。在本发明的其它一些实施例中,在确定所拦截的工业以太网数据帧是否合法时也可以先检查所拦截的工业以太网数据帧与行为模式是否匹配,或者检查所拦截的工业以太网数据帧与语法模式是否匹配和检查所拦截的工业以太网数据帧与行为模式是否匹配同时进行,或者不用检查所拦截的工业以太网数据帧与语法模式是否匹配。
[0049]本领域技术人员应当理解,虽然在上面的实施例中,通过检查所拦截的工业以太网数据帧与用于描述合法特征的语法模式、用于描述攻击特征的语法模式、用于描述合法特征的行为模式和用于描述攻击特征的行为模式是否匹配来确定所拦截的工业以太网数据帧是否合法,然而,本发明并不局限于此。在本发明的其它一些实施例中,也可以通过检查所拦截的工业以太网数据帧与用于描述合法特征的语法模式、用于描述攻击特征的语法模式、用于描述合法特征的行为模式和用于描述攻击特征的行为模式中的任意其中之一、之二或之三是否匹配来确定所拦截的工业以太网数据帧是否合法。
[0050]本领域技术人员应当理解,虽然在上面的实施例中,确定所拦截的工业以太网数据帧是否合法时所使用的模式包括语法模式和行为模式,然而,本发明并不局限于此。在本发明的其它一些实施例中,确定所拦截的工业以太网数据帧是否合法时所使用的模式可以只包括语法模式或行为模式,或者,确定所拦截的工业以太网数据帧是否合法时所使用的模式可以包括语法模式和行为模式中的至少一个和其它类型的模式,或者,确定所拦截的工业以太网数据帧是否合法时所使用的模式可以包括除了语法模式和行为模式之外的其它类型的模式。
[0051]本领域技术人员应当理解,虽然在上面的实施例中,工业以太网数据帧深度检测的功能是在数据帧深度检测设备118中实现的,然而,本发明并不局限于此。在本发明的其它一些实施例中,工业以太网数据帧深度检测的功能也可以在工业自动化控制系统10中的其它设备(例如,工作站102、HMI104、服务器106、可编程逻辑控制器108、110、112和/或工业以太网交换机114、116等)中实现。
[0052]现在参见图3,其示出了按照本发明一个实施例的用于工业以太网数据帧深度检测的装置的示意图。图3所示的装置可以利用软件、硬件(例如集成电路或FPGA等)或软硬件结合的方式来实现,并且可以安装在工业自动化控制系统10的合适设备(例如,数据帧深度检测设备118、工作站102、HMI104、服务器106、可编程逻辑控制器108、110、112和/或工业以太网交换机114,116)中。
[0053]如图3所示,用于工业以太网数据帧深度检测的装置300可以包括检测模块310和丢弃模块330。其中,检测模块310用于当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法。丢弃/告警模块330用于如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。
[0054]其中,所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式可以包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的的攻击特征的行为模式,以及,如图4所示,检测模块310可以包括:检查模块312,用于检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的的攻击特征的行为模式是否匹配;以及,确定模块314,用于如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。
[0055]其中,所述用于描述合法特征和/或针对该协议的攻击特征的模式还可以包括用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的的攻击特征的语法模式,检查模块312还可以用于检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的的攻击特征的语法模式是否匹配,以及,确定模块314还可以用于如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协议的的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。
[0056]其中,所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个,以及,所述针对工业以太网协议的攻击特征的行为模式包括用于描述针对该协议的的非法时间行为特征的时间行为模式。
[0057]现在参见图5,其示出了按照本发明一个实施例的用于对工业以太网数据帧进行深度检测的设备的示意图。如图5所示,设备500可以包括用于存储可执行指令的存储器510和处理器520。其中,处理器520根据存储器510所存储的可执行指令,执行装置300的各个模块所执行的操作。
[0058]本发明实施例还提供一种机器可读介质,其上存储可执行指令,当该可执行指令被执行时,使得机器实现处理器520所执行的操作。
[0059]本领域技术人员应当理解,上面公开的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。
【权利要求】
1.一种用于工业以太网数据帧深度检测的方法,包括: 当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及 如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。
2.如权利要求1所述的方法,其中 所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式, 所述检测步骤包括: 检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式是否匹配;以及 如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。
3.如权利要求2所述的方法,其中 所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式还包括用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式,以及 所述检测步骤还包括: 检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式是否匹配;以及 如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协协议的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。
4.如权利要求2或3所述的方法,其中 所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个, 所述针对该协议的攻击特征的行为模式包括用于描述针对该协议的非法时间行为特征的时间行为模式。
5.一种用于工业以太网数据帧深度检测的装置,包括: 检测模块,用于当拦截到工业以太网数据帧时,根据用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式,检测所述拦截的工业以太网数据帧是否合法;以及 丢弃/告警模块,用于如果检测结果为否定,则丢弃所述拦截的工业以太网数据帧和/或告警。
6.如权利要求5所述的装置,其中 所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括用于描述工业以太网协议的合法特征的行为模式和/或针对该协议的攻击特征的行为模式, 所述检测模块包括: 检查模块,用于检查所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式和/或针对协议的攻击特征的行为模式是否匹配;以及 确定模块,用于如果检查结果表明所述拦截的工业以太网数据帧与所述用于描述工业以太网协议的合法特征的行为模式不匹配和/或与所述针对该协议的攻击特征的行为模式匹配,则确定所述拦截的工业以太网数据帧不合法。
7.如权利要求6所述的装置,其中 所述用于描述工业以太网协议的合法特征和/或针对该协议的攻击特征的模式包括还用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式, 所述检查模块还用于检测所述拦截的工业以太网数据帧所包括的有效载荷与所述用于描述工业以太网协议的合法特征的语法模式和/或针对该协议的攻击特征的语法模式是否匹配,以及 所述确定模块还用于如果检测结果表明所述有效载荷与所述用于描述工业以太网协议的合法特征的语法模式不匹配和/或与所述针对该协议的攻击特征的语法模式匹配,则确定所述拦截的工业以太网数据帧不合法。
8.如权利要求6或7所述的装置,其中 所述用于描述工业以太网协议的合法特征的行为模式包括用于描述工业以太网协议的合法时间行为特征的时间行为模式、用于描述工业以太网协议的合法信道行为特征的信道行为模式和用于描述工业以太网协议的合法流量行为特征的流量行为模式中的至少一个, 所述针对该协议的攻击特征的行为模式包括用于描述针对该协议的非法时间行为特征的时间行为模式。
9.一种用于工业以太网数据帧深度检测的设备,包括: 存储器,用于存储可执行指令;以及 处理器,用于根据所述存储器所存储的可执行指令,执行权利要求1-4中的任意一个所包括的步骤。
10.一种机器可读介质,其上存储有可执行指令,当该可执行指令被执行时,使得机器执行权利要求1-4中的任意一个所包括的步骤。
【文档编号】H04L12/931GK104079444SQ201310102778
【公开日】2014年10月1日 申请日期:2013年3月27日 优先权日:2013年3月27日
【发明者】唐文 申请人:西门子公司