[发明专利]Modbus报文检测方法、装置、电子设备及存储介质

说明书

本申请提出一种Modbus报文检测方法、装置、电子设备及存储介质，涉及工业信息安全技术领域，在由设定的ACL策略、协议栈指纹策略以及DPI规则对Modbus报文进行报文结构层面的过滤后，通过按照设定的字序顺序，对Modbus报文中多个字节的值进行排列组合，从而获得Modbus报文对应的点值数据，进而对Modbus报文进行内容层面的过滤，相比于现有技术，在对Modbus报文进行过滤时，不仅需要Modbus报文满足报文结构层面的要求，还需要Modbus报文包含的内容满足设定的要求，提升了数据报文的安全性。

技术领域

本申请涉及工业信息安全技术领域，具体而言，涉及一种Modbus报文检测方法、装置、电子设备及存储介质。

背景技术

商用防火墙是一种常见的网络安全设备，其功能包括访问控制、NAT(NetworkAddress Translation，网络地址转换)、攻击防护、流量审计等。其中访问控制技术是一种实现在不同网络安全域之间的安全保障方法，对网络层和传输层数据过滤，检测数据流中每个数据包的源IP地址(Internet Protocol Address，互联网协议地址)、目标IP地址、源端口号、目标端口号、协议类型等，确定是否允许数据包通过。

数据采集与监控系统(Supervisory Control And Data Acquisition，SCADA)、分布式控制系统(Distributed Control System，DCS)、过程控制系统(Process ControlSystem，PCS)、可编程逻辑控制器(Programmable Logic Controller，PLC)等工业控制广泛运用于工业控制领域的生产设备的运行，例如核设施、钢铁、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等。

然而，在工业控制系统中，工业网络上使用的通讯协议，例如Modbus、OPC(OLE forProcess Control)等都是应用层协议，商用防火墙的访问控制方法只能完成数据包的网络层及传输层关键字段的匹配过滤，缺少针对工业协议数据包深度解析过滤的技术，无法实现对工业协议数据的深度解析与检测，存在被攻击的安全隐患。

发明内容

本申请的目的在于提供一种Modbus报文检测、装置、电子设备及存储介质，能够提升数据报文的安全性。

为了实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供一种Modbus报文检测方法，所述方法包括：

按照设定的访问控制列表ACL策略，对接收的Modbus报文进行过滤；

若所述ACL策略过滤不通过，则丢弃所述Modbus报文，产生告警日志；

若所述ACL策略过滤通过，则按照设定的协议栈指纹策略，对所述Modbus报文进行过滤；

若所述协议栈指纹策略过滤不通过，则执行丢弃所述Modbus报文，产生告警日志的步骤；

若所述协议栈指纹策略过滤通过，则按照设定的深度报文检测DPI规则，对所述Modbus报文进行过滤；

若所述DPI规则过滤不通过，则执行丢弃所述Modbus报文，产生告警日志的步骤；

若所述DPI规则过滤通过，则判断所述Modbus报文的操作类型；

若所述操作类型为读操作，则确定所述Modbus报文检测通过；

若所述操作类型为写操作，则按照设定的字序顺序，排列组合所述Modbus报文中多个字节的值，获得所述Modbus报文对应的点值数据；

判断所述Modbus报文对应的点值数据是否在设定的阈值范围内；