[发明专利]一种基于iptables u32的工业协议防护方法

权利要求书

1.一种基于iptables u32的工业协议防护方法，由报文检索指针、IP协议识别模块、TCP协议识别模块，MODBUS协议读取模块和协议防护模块运行组成，其特征在于，包括以下步骤：

S1，IP协议识别模块从IP报头中提取报头长度字段，并将其乘以4，得到以字节为单位的报头长度；

S2，报文检索指针使用此值跳转到TCP标头的开头：

S3，TCP协议识别模块从TCP头中提取头长度字段，并将其乘以4，得到以字节为单位的头长度；

S4，报文检索指针使用此值跳转到SCADA消息的开头；

S5，MODBUS协议读取模块指定SCADA消息开始时的偏移量，然后与所需值匹配。

2.根据权利要求1所述的基于iptables u32的工业协议防护方法，其特征在于：

所述S1中IP协议识别模块在数据包中动态选择一个起始点，以匹配最多32位的数据，通过使用数据包的header length字段来计算报头长度，然后跳转到其有效负载的开头，具体的方法为：

S11，IP协议识别模块从数据包中随机选择一个起始点，然后读取IP报头的前四个字节；

S12，将报文检索指针从0位开始，右移22位,通过右移22位后获得的字符数值与掩码0x3c(00111100)进行运算，得出IP协议字段中HeaderLENGTH的数值阿尔法；

S13，报文检索指针跳转到阿尔法*4的位数上即可获得TCP标头的开头值。

3.根据权利要求1所述的基于iptables u32的工业协议防护方法，其特征在于：

所述S3中TCP协议识别模块的具体运行方法为：

S31，TCP协议识别模块TCP offset字段，其表示TCP头的长度（从TCP头第12字节开始）；

S32，与IP协议识别模块方法相似，TCP协议识别模块将报文检索从当前报文检索指针开始后移12个字节，然后再后移26位，根据掩码: 0x3C(00111100),将当前获得的字符数值与掩码进行运算，得出TCP协议字段中offset的数值贝塔；

S33，报文检索指针跳转到贝塔*4的位数上即可获得MODBUS协议头的开头值。

4.根据权利要求1所述的基于iptables u32的工业协议防护方法，其特征在于：

所述S4中的MODBUS协议读取模块包括协议类型设置、协议读取两部分， ModbusTCP协议为SCADA协议的一种，SCADA协议还包括DNP3、 IEC104和S7，采用ModbusTCP协议的具体读取方法为：

S41，获取ModbusTCP中的功能代码字段（function code），获得指示控制器执行的操作类型；

S42，该字段位于Modbus消息体第七个字节，该协议读取模块将报文检索指针右移24位,通过右移24位后获得的字符数值与掩码0xff进行运算，得出功能码数值，继续后移两个字节，获取到该功能码的子功能数值；

S43，协议防护模块对该数值进行处理。

5.根据权利要求4所述的基于iptables u32的工业协议防护方法，其特征在于：

所述S43中的协议防护模块包括功能定义列表、防护指令集和防护处理模块；

所述功能定义列表包括读取设备标识、清除计数器、清除诊断寄存器、时钟修改、开机、关机、状态修改、配置修改和查询；

所述防护指令集包括允许、拒绝、待确认、跳转至虚拟工业设备、返回模拟信息和阻断指令发起者网络；

所述协议防护模块收到MODBUS协议读取模块读取出来的功能码后，与功能定义列表和防护指令集相匹配，确定执行的防护操作，由防护处理模块进行执行。