[发明专利]一种基于iptables u32的工业协议防护方法

说明书

本发明涉及网络安全技术领域，特别涉及一种基于iptables u32的工业协议防护方法，S1，IP协议识别模块从IP报头中提取报头长度字段，并将其乘以4，得到以字节为单位的报头长度；S2，报文检索指针使用此值跳转到TCO标头的开头：S3，TCP协议识别模块从TCP头中提取头长度字段，并将其乘以4，得到以字节为单位的头长度；S4，报文检索指针使用此值跳转到SCADA消息的开头；S5，MODBUS协议读取模块指定SCADA消息开始时的偏移量，然后与所需值匹配。本发明的有益效果为，能够使用iptables u32模块不经过编程直接对工业协议实现灵活的解析与过滤。

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于iptables u32的工业协议防护方法。

背景技术

目前针对工业协议的防护主要采用的技术方案是通过工业防火墙进行，工业防火墙是保护工业网络通信最广泛使用的安全设备之一。他们通过阻止非法或异常流量进入工控网络和受保护的工业资产来保障整个工控系统的安全。工业防火墙软件实现需要在linux内核的基础上进行编程处理。

常见的工业防火墙支持ICS相关协议的深度解析，但价格十分昂贵。有时会出现工业防火墙的设备高于被保护资产的价格。开源防火墙因iptables无法识别网络层（即TCP和UDP）以外的协议或字段，主要应用于IT网络中，无法处理通过TCP传输的工业互联网SCADA消息。

为此，本申请设计了一种基于iptables u32的工业协议防护方法以解决上述问题。

发明内容

本发明为了弥补现有技术中工业防火墙工业协议防护方案需要使用预编译的Linux或者用户必须用他们的模块重新编译Linux内核, 并需要代码编程来实现应用层工业协议的识别与过滤；现有工业防火墙工业协议防护方案需要使用专有的硬件来运行的不足，提供了一种基于iptables u32的工业协议防护方法。

本发明是通过如下技术方案实现的：

一种基于iptables u32的工业协议防护方法，由报文检索指针、IP协议识别模块、TCP协议识别模块，MODBUS协议读取模块和协议防护模块运行组成，其特征在于，包括以下步骤：

S1，IP协议识别模块从IP报头中提取报头长度字段，并将其乘以4，得到以字节为单位的报头长度；

S2，报文检索指针使用此值跳转到TCP标头的开头：

S3，TCP协议识别模块从TCP头中提取头长度字段，并将其乘以4，得到以字节为单位的头长度；

S4，报文检索指针使用此值跳转到SCADA消息的开头；

S5，MODBUS协议读取模块指定SCADA消息开始时的偏移量，然后与所需值匹配。

进一步地，为了更好的实现本发明，所述S1中IP协议识别模块在数据包中动态选择一个起始点，以匹配最多32位的数据，通过使用数据包的header length字段来计算报头长度，然后跳转到其有效负载的开头，具体的方法为：

S11，IP协议识别模块从数据包中随机选择一个起始点，然后读取IP报头的前四个字节；

S12，将报文检索指针从0位开始，右移22位,通过右移22位后获得的字符数值与掩码0x3c(00111100)进行运算，得出IP协议字段中HeaderLENGTH的数值阿尔法；

S13，报文检索指针跳转到阿尔法*4的位数上即可获得TCP标头的开头值。

进一步地，为了更好的实现本发明，所述S3中TCP协议识别模块的具体运行方法为：

S31，TCP协议识别模块TCP offset字段，其表示TCP头的长度（从TCP头第12字节开始）；