[发明专利]一种基于网络隔离装置的深度报文检测方法

说明书

本发明公开了一种基于网络隔离装置的深度报文检测方法：步骤1、根据输入报文类型过滤输入报文，得到IP报文；步骤2、对IP报文首部的选项进行第一次深度报文检测：若不通过，则丢弃报文；若通过，则进入步骤3；步骤3、根据IP报文首部中的协议类型过滤报文，得到TCP/UDP报文；步骤4、根据隔离装置配置的安全策略对报文进行合法性检测：若不通过，则丢弃报文；若通过，则进入步骤5；步骤5、对TCP报文首部的选项进行第二次深度报文检测，若不通过，则丢弃报文；若通过，则进入步骤6；步骤6、对报文进行网络层协议剥离；步骤7、将剥离后的报文通过隔离岛发送到对侧；步骤8、对报文重新进行网络层协议封装并发送到对应网络。提高装置的隔离程度。

技术领域

本发明涉及一种基于网络隔离装置的深度报文检测方法。

背景技术

网络隔离装置主要部署在电力系统生产控制大区与信息管理大区之间，用于安全I/II区与安全III/IV区的边界保护，主要实现两个安全域之间网络报文的单向安全传输。现有实现方案中，报文处理流程如图1所示，具体如下：

步骤1，根据输入报文类型过滤输入报文，得到IP报文；

步骤2，根据IP报文首部中的协议类型过滤报文，得到TCP/UDP报文；

步骤3，根据隔离装置配置的安全策略对报文进行合法性检测，若检测不通过，则丢弃报文；

步骤4，若步骤3检测通过，则对报文进行网络层协议剥离；

步骤5，将剥离后的报文通过隔离岛发送到对侧；其中，根据GB/T20279-2015，隔离岛理解如下：“专用隔离部件既可以是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡，也可以是经过安全强化的运行专用信息传输逻辑控制程序的主机”。

步骤6，对报文重新进行网络层协议封装并发送到对应网络。

上述报文处理流程对于报文的双向传输和处理都是适用的，而在单向网络隔离装置中，对报文进行网络层协议剥离后，通过对报文应用层内容的限制来达到单向传输的要求，例如在正向网络隔离装置中，反向传输仅允许应用层的单比特数据返回(应用层字节为0x00或0xFF)。值得注意的是，在这种网络层协议剥离的情况下，应用数据依旧有可能隐藏于IP或TCP的首部选项中，从而对反向的数据安全造成威胁。因此，需要研究一种对报文更深层次的检测，以防止通过报文头首部携带应用数据带来的安全威胁。

发明内容

针对上述问题，本发明提供一种基于网络隔离装置的深度报文检测方法，解决现有网络隔离装置因为网络层协议剥离而导致的可能的反向数据流通问题，从而进一步提高装置的隔离程度，增强系统整体的安全性。

为实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

一种基于网络隔离装置的深度报文检测方法，包括如下步骤：

步骤1、根据输入报文类型过滤输入报文，得到IP报文；

步骤2、对IP报文首部的选项进行第一次深度报文检测：若检测不通过，则丢弃报文；若检测通过，则进入步骤3；

步骤3、根据IP报文首部中的协议类型过滤报文，得到TCP/UDP报文；

步骤4、根据隔离装置配置的安全策略对报文进行合法性检测：若检测不通过，则丢弃报文；若检测通过，则进入步骤5；

步骤5、对TCP报文首部的选项进行第二次深度报文检测，若检测不通过，则丢弃报文；若检测通过，则进入步骤6；

步骤6、对报文进行网络层协议剥离；

步骤7、将剥离后的报文通过隔离岛发送到对侧；

步骤8、对报文重新进行网络层协议封装并发送到对应网络。