一种阻止可疑数据包通过工业以太网攻击plc的方法

一种阻止可疑数据包通过工业以太网攻击plc的方法
【技术领域】
[0001]本发明涉及工业以太网安全技术领域，特别是涉及一种阻止可疑数据包通过工业以太网攻击PLC的方法。
【背景技术】
[0002]随着网络信息时代的到来，我国工业模式发生翻天覆地的变化，彻底打破了 “信息孤岛”模式，企业全面联网，生产数据轻松实现汇总分析，不但提高了生产效率，还推动节能减排的国家战略。信息化给工业带来的有利变化，显而易见，但随之而来的网络信息安全问题，使人又为之惊慌。
[0003]商用防火墙是一种比较常见的网络安全设备，是网络边界上最常用的一种防护设施。一般提供这些功能:包过滤、审核和报警机制、NAT、代理、流量控制等，其中，“包过滤”是一项最重要的功能，基本原理是检查过滤每一个通过的网络包，查看包中可用的基本信息(源地址和目标地址、端口号、协议等)，将这些信息与设定的规则相比较，如果符合规则的包会被放行通过，违背规则的包会被拒绝丢弃。因此，商用防火墙具备较强的抗攻击和抵御入侵的能力。
[0004]商用防火墙是根据办公网络安全要求设计的一种防火墙，它可以对办公网络中传输使用的大部分通用网络协议(如http、ftp等)进行包过滤，能给办公网络提供有效的保护。但是，对于工业网络上使用的工业通信协议(如ModbuS、0PC等应用层协议)的网络包，商用防火墙只能做网络层和传输层的浅层包过滤，它无法对网络包中应用层数据进行深层检查，因此，商用防火墙有一定的局限性，无法满足工业网络的要求。
[0005]在工业网络中，运行着DCS、PLC、SCADA等各种过程控制系统，它们往往是生产系统中的核心，负责完成基本的生产控制。但是，如果这些控制系统一旦遭受入侵或破坏，就会对工业生产造成影响，可能使企业蒙受重大的经济损失，甚至危及生产人员的生命安全。因此，保证这些控制系统的运行安全是非常重要的一件事情，但传统的商用防火墙无法保护工业网络，自动化行业内迫切需要一款专用于工业网络的工业防火墙，可以针对工业通信协议进行有效的过滤检查。
[0006]PLC(可编程控制器)，常用于工业生产的实时控制。PLC的用户经常通过以太网进行上位机和PLC交换数据，采集生产工况和下达控制指令。如果黑客或病毒侵入计算机，试图破坏PLC中的数据，将会酿成生产事故，这是一种恶意的攻击行为。

【发明内容】

[0007]为解决上述技术问题，本发明提供了一种阻止可疑数据包通过工业以太网攻击PLC的方法。
[0008]为实现上述发明目的，本发明公开的技术方案如下:
[0009]一种阻止可疑数据包通过工业以太网攻击PLC的方法，包括以下步骤:
[0010]步骤一在用户计算机和PLC之间设置保护装置；
[0011]步骤二保护装置截取工业以太网网络中的数据包并进行分析；
[0012]步骤三将分析结果与保护装置中预设规则进行比较，查找相应的深度防御模块；
[0013]步骤四由深度防御模块对协议进行具体解析；
[0014]步骤五根据深度防御的判断阻止或者允许数据包通过。
[0015]进一步地，还包括步骤六:数据包被丢弃或允许通过或进行其他操作。
[0016]进一步地，所述其他操作包括TCP复位或/和异常答复。
[0017]进一步地，还包括步骤四':输出深度防御日志。
[0018]进一步地，还包括步骤五':输出防火墙报警信息。
[0019]本发明是基于深度包检测技术，对试图访问PLC的数据包的应用层内容进行深入分析检查并阻止可疑的数据包，以阻止针对PLC寄存器的攻击行为。可疑数据包一旦被截获，除拒绝进入保护区域之外，还根据设定处理方法，对TCP连接进行复位或对上位机发送表示错误的数据包及对攻击行为进行报警，以达到阻止误操作或恶意攻击的数据包进入PLC的目的。有效拦截黑客和病毒的攻击，保护PLC中数据的安全。
【附图说明】
[0020]图1为本发明流程图；
[0021]图2为本发明一实施例示意图。
【具体实施方式】
[0022]为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
[0023]图1为本发明流程图，如图1所示，一种阻止可疑数据包通过工业以太网攻击PLC的方法，包括以下步骤:
[0024]步骤一在用户计算机和PLC之间设置保护装置；
[0025]步骤二保护装置截取工业以太网网络中的数据包并进行分析；
[0026]步骤三将分析结果与保护装置中预设规则进行比较，查找相应的深度防御模块；
[0027]步骤四由深度防御模块对协议进行具体解析；
[0028]步骤四'输出深度防御日志。
[0029]步骤五根据深度防御的判断阻止或者允许数据包通过。
[0030]步骤五，输出防火墙报警信息。
[0031 ] 步骤六数据包被丢弃或允许通过或进行TCP复位或异常答复等其他操作。
[0032]图2为本发明一实施例示意图，如图2所示，保护装置先截取工业以太网网络中的数据包，对数据包的全部应用层内容的每一个字节内容进行分析，以西门子通信协议为例，以下是截取一段与西门子PLC通讯的数据包报文内容:
[0033]03 00 00 If 02 f0 80 32 01 00 00 03 23 00 Oe 00 00 04 01 12 Oa 10 0500 Oa 00 00 83 00 00 00
[0034]第18字节的值为04，代表读写属性为读；
[0035]第23字节的值为05，代表解析数据类型是INT型；
[0036]第28字节的值为83，代表数据寄存器区是M区；
[0037]......
[0038]数据包分析完成之后，把分析出来的信息与预先的设定(预设规则)进行比较，如果完全匹配则允许通过，不完全匹配则拒绝通过。以上述数据包报文为例，假设设定内容为读写属性是读，数据类型是INT，数据寄存器区是M区，上述数据包报文则完全符合此设定规则，则此数据包将允许进入保护区域；假设设定内容中的读写属性为写，数据类型为Real，上述数据包报文则不完全符合此设定规则，那么此数据包将被拒绝进入保护区域。
[0039]本发明方法所承载的装置(保护装置)是用户计算机与PLC相连时必须先经过的装置，用户可以根据现场情况设置PLC当中受保护的安全数据区，装置可以根据用户设置好的受保护数据区的数据类型、数据地址范围，数据值范围，读写属性等等，对通过的数据包进行分析比较，可以有效拦截黑客和病毒的攻击，保护PLC中数据的安全。
[0040]以上所述实施例仅表达了本发明的实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种阻止可疑数据包通过工业以太网攻击PLC的方法，其特征在于包括以下步骤: 步骤一在用户计算机和PLC之间设置保护装置； 步骤二保护装置截取工业以太网网络中的数据包并进行分析； 步骤三将分析结果与保护装置中预设规则进行比较，查找相应的深度防御模块； 步骤四由深度防御模块对协议进行具体解析； 步骤五根据深度防御的判断阻止或者允许数据包通过。
2.根据权利要求1所述的阻止可疑数据包通过工业以太网攻击PLC的方法，其特征在于还包括步骤六:数据包被丢弃或允许通过或进行其他操作。
3.根据权利要求2所述的阻止可疑数据包通过工业以太网攻击PLC的方法，其特征在于:所述其他操作包括TCP复位或/和异常答复。
4.根据权利要求1所述的阻止可疑数据包通过工业以太网攻击PLC的方法，其特征在于还包括步骤四':输出深度防御日志。
5.根据权利要求1所述的阻止可疑数据包通过工业以太网攻击PLC的方法，其特征在于还包括步骤五':输出防火墙报警信息。
【专利摘要】一种阻止可疑数据包通过工业以太网攻击PLC的方法，包括以下步骤：在用户计算机和PLC之间设置保护装置；保护装置截取工业以太网网络中的数据包并进行分析；将分析结果与保护装置中预设规则进行比较，查找相应的深度防御模块；由深度防御模块对协议进行具体解析；根据深度防御的判断阻止或者允许数据包通过。本发明是基于深度包检测技术，对试图访问PLC的数据包的应用层内容进行深入分析检查并阻止可疑的数据包，以阻止针对PLC寄存器的攻击行为。可疑数据包一旦被截获，除拒绝进入保护区域之外，还可对TCP连接进行复位或对上位机发送表示错误的数据包及对攻击行为进行报警，有效拦截黑客和病毒的攻击，保护PLC中数据的安全。
【IPC分类】H04L29-06
【公开号】CN104735043
【申请号】CN201310755533
【发明人】谷永国, 何迪江
【申请人】北京力控华康科技有限公司
【公开日】2015年6月24日
【申请日】2013年12月24日