CN105141596A - 一种支持可扩展协议检测的工控防火墙实现方法 - Google Patents
一种支持可扩展协议检测的工控防火墙实现方法 Download PDFInfo
- Publication number
- CN105141596A CN105141596A CN201510494244.4A CN201510494244A CN105141596A CN 105141596 A CN105141596 A CN 105141596A CN 201510494244 A CN201510494244 A CN 201510494244A CN 105141596 A CN105141596 A CN 105141596A
- Authority
- CN
- China
- Prior art keywords
- configuration
- content
- message
- user
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种支持可扩展协议检测的工控防火墙实现方法,特征是:通过用户的配置扩展安全网关检测的协议、使用配置文件定义协议特征以及检测的位置、能够保证协议升级过程中不停止安全业务;本发明的优点是:1.配置能够实现热切换,升级过程中不用停止安全检测业务;2.配置灵活简单,协议升级不依赖网关设备生产厂商。
Description
技术领域
本发明涉及一种支持可扩展协议检测的工控防火墙实现方法,属于工控网络安全防护技术领域。
背景技术
目前,工业控制系统网络是由工业自动化生产设备组成的网络,不同于IT网络,工控网络有着专有的通信协议和通信机制。根据工控网络的特点,威努特技术有限公司提出“白环境”的解决方案,即“只有可信任的设备,才能接入控制网络;只有可信任的消息,才能在网络上传输;只有可信任的软件,才允许被执行”。除了比较知名的工控协议,如Modbus,IEC-104,还有很多工控协议是私有的,甚至是保密的。这就造成了安全网关类产品往往覆盖不到所有的工控协议,在安全防护上对这些协议也就无能为力了。
目前,现有的工业协议检测通过编码实现常用工业协议的解码,然后根据用户的配置对特定的字段进行检测并做出通过、丢弃或者告警的动作;所述用户的配置是指用户根据自己网络流量的情况配置关键参数;所述关键参数是指待检测报文的IP地址、端口、传输层协议、报文的指纹特征、待检测内容的提取规则、待检测内容的合法值以及网关设备采取的相应动作。如专利CN104539600A,该发明将工业协议IEC-104的解码模块内置到防火墙内核中,这种解决方案对安全网关的依赖较高。当遇到不支持的工业协议或者不常见的工业协议时,往往需要联系网关生产厂商提供支持。
综上所述,传统的现有技术的缺点如下:
1.网关内置支持的工业协议有限,当网关内置协议无法满足需求时,需要联系网关生产厂商升级设备;
2.考虑到部分工业自动化设备之间通信协议的保密性,在某些情况下,网关生产厂商可能无法获得通信协议的详细信息,从而影响对该协议的支持;
3.网关升级的成本高,时间长。
发明内容
本发明的目的在于提供一种能够克服上述技术问题的支持可扩展协议检测的工控防火墙实现方法,本发明在现有安全网关的基础上提供一套能够给用户使用的配置方案,当需要扩展协议类型时,用户能够根据实际情况自行配置而无需寻求网关生产商的支持。本发明提供的配置方案是根据工业网络特点抽象出来的一套规则,该规则应用范围广泛。
本发明的支持可扩展协议检测的工控防火墙实现方法的特征是:通过用户的配置扩展安全网关检测的协议、使用配置文件定义协议特征以及检测的位置、能够保证协议升级过程中不停止安全业务;所述用户的配置是指用户根据自己网络流量的情况配置关键参数,所述关键参数是指待检测报文的IP地址、端口、传输层协议、报文的指纹特征、待检测内容的提取规则、待检测内容的合法值以及网关设备采取的相应动作,所述配置文件是指以一定的格式保存包含用户配置内容的文件。
本发明包括以下步骤:
(1)报文处理流程;
(11)首先,根据用户指定的传输层协议、IP地址、TCP/UDP端口号、报文的指纹特征来判断该报文是否需要检测;所述报文的指纹特征是指该报文区别于其他报文的唯一特征;
(12)其次,对于需要检测的报文,通过用户的配置的方法提取相应的内容;
(13)最后,将提取的内容与用户的配置的合法值进行比较,并根据用户的配置做出相应的动作;
(2)配置规则;配置规则分为三个部分:特征配置、提取位置配置和合法内容配置;
(21)特征配置,特征配置指明什么样的报文会进入本条规则的后续检测,即配置IP地址、端口、传输层协议、报文的指纹特征,例如,配置TCP协议端口为135为XXX协议。
(22)提取相应位置内容的规则,即提示网关设备从什么地方开始提取一段内容跟后续的合法值进行匹配,使用TLV配置形式、特殊字符定位形式、特殊偏移定位形式;所述TLV是Type(类型)、Length(长度)、Value(值)的缩写,所述TLV是一种常用的编码方式。例如,指定偏移为5的位置开始的两个字节的取值范围为十六进制0x01ab到十六进制0x02cf,当报文该位置的值超出上述范围后网关设备做出相应动作,例如,丢弃或者告警。
(23)配置指定位置内容的合法值及其相应的动作,即提示网关设备当提取内容以后判断该内容是否合法以及需要采取的动作。
(3)配置升级流程;
当完成配置以后,例如,通过web界面或者配置文件完成,网关设备将用户的配置的规则导入备份内存中,导入完成后,网关设备进行热切换,新来的流量将采用新的配置来进行检测;所述热切换是指在不停止系统的情况下切换配置,网关设备预留两份内存保存系统配置,一份系统正在使用,另一份用来保存正在进行的配置,当配置解析完成以后,网关设备将备份配置切换为正在使用的状态同时将正在使用的配置切换为备份的状态。
用户的配置能够通过网页、命令行、配置文件的形式传递到网关设备中。
本发明的优点是:
1.配置能够实现热切换,升级过程中不用停止安全检测业务;
2.配置灵活简单,协议升级不依赖网关设备生产厂商。
附图说明
图1是本发明所述一种支持可扩展协议检测的工控防火墙实现方法的报文处理流程图;
图2是本发明所述一种支持可扩展协议检测的工控防火墙实现方法的配置升级流程图。
具体实施方式
下面结合附图对本发明的实施方式进行详细描述。如图1所示,本发明包括以下步骤:
(1)报文处理流程;
(11)首先,根据用户指定的传输层协议、IP地址、TCP/UDP端口号、报文的指纹特征来判断该报文是否需要检测;所述报文的指纹特征是指该报文区别于其他报文的唯一特征;
(12)其次,对于需要检测的报文,通过用户的配置的方法提取相应的内容;
(13)最后,将提取的内容与用户的配置的合法值进行比较,并根据用户的配置做出相应的动作;
(2)配置规则;配置规则分为三个部分:特征配置、提取位置配置和合法内容配置;
(21)特征配置,特征配置指明什么样的报文会进入本条规则的后续检测,即配置IP地址、端口、传输层协议、报文的指纹特征,例如,配置TCP协议端口为135为XXX协议。
(22)提取相应位置内容的规则,即提示网关设备从什么地方开始提取一段内容跟后续的合法值进行匹配,使用TLV配置形式、特殊字符定位形式、特殊偏移定位形式;所述TLV是Type(类型)、Length(长度)、Value(值)的缩写,所述TLV是一种常用的编码方式。例如,指定偏移为5的位置开始的两个字节的取值范围为十六进制0x01ab到十六进制0x02cf,当报文该位置的值超出上述范围后网关设备做出相应动作,例如,丢弃或者告警。
(23)配置指定位置内容的合法值及其相应的动作,即提示网关设备当提取内容以后判断该内容是否合法以及需要采取的动作。
(3)配置升级流程;
如图2所示,当完成配置以后,例如,通过web界面或者配置文件完成,网关设备将用户的配置的规则导入备份内存中,导入完成后,网关设备进行热切换,新来的流量将采用新的配置来进行检测;所述热切换是指在不停止系统的情况下切换配置,网关设备预留两份内存保存系统配置,一份系统正在使用,另一份用来保存正在进行的配置,当配置解析完成以后,网关设备将备份配置切换为正在使用的状态同时将正在使用的配置切换为备份的状态。
用户的配置能够通过网页、命令行、配置文件的形式传递到网关设备中。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的范围内,能够轻易想到的变化或替换,都应涵盖在本发明权利要求的保护范围内。
Claims (4)
1.一种支持可扩展协议检测的工控防火墙实现方法,其特征在于,通过用户的配置扩展安全网关检测的协议、使用配置文件定义协议特征以及检测的位置、能够保证协议升级过程中不停止安全业务;所述用户的配置是指用户根据自己网络流量的情况配置关键参数,所述关键参数是指待检测报文的IP地址、端口、传输层协议、报文的指纹特征、待检测内容的提取规则、待检测内容的合法值以及网关设备采取的相应动作,所述配置文件是指以一定的格式保存包含用户配置内容的文件。
2.根据权利要求1所述的一种支持可扩展协议检测的工控防火墙实现方法,其特征在于,包括以下步骤:
(1)报文处理流程;
(11)首先,根据用户指定的传输层协议、IP地址、TCP/UDP端口号、报文的指纹特征来判断该报文是否需要检测;所述报文的指纹特征是指该报文区别于其他报文的唯一特征;
(12)其次,对于需要检测的报文,通过用户的配置的方法提取相应的内容;
(13)最后,将提取的内容与用户的配置的合法值进行比较,并根据用户的配置做出相应的动作;
(2)配置规则;配置规则分为三个部分:特征配置、提取位置配置和合法内容配置;
(21)特征配置,特征配置指明什么样的报文会进入本条规则的后续检测,即配置IP地址、端口、传输层协议、报文的指纹特征,例如,配置TCP协议端口为135为XXX协议;
(22)提取相应位置内容的规则,即提示网关设备从什么地方开始提取一段内容跟后续的合法值进行匹配,使用TLV配置形式、特殊字符定位形式、特殊偏移定位形式;
(23)配置指定位置内容的合法值及其相应的动作,即提示网关设备当提取内容以后判断该内容是否合法以及需要采取的动作;
(3)配置升级流程。
3.根据权利要求1或2任意一项所述的一种支持可扩展协议检测的工控防火墙实现方法,其特征在于,当完成配置以后,网关设备将用户的配置的规则导入备份内存中,导入完成后,网关设备进行热切换,新来的流量将采用新的配置来进行检测;所述热切换是指在不停止系统的情况下切换配置,网关设备预留两份内存保存系统配置,一份系统正在使用,另一份用来保存正在进行的配置,当配置解析完成以后,网关设备将备份配置切换为正在使用的状态同时将正在使用的配置切换为备份的状态。
4.根据权利要求1或2任意一项所述的一种支持可扩展协议检测的工控防火墙实现方法,其特征在于,用户的配置能够通过网页、命令行、配置文件的形式传递到网关设备中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510494244.4A CN105141596A (zh) | 2015-08-12 | 2015-08-12 | 一种支持可扩展协议检测的工控防火墙实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510494244.4A CN105141596A (zh) | 2015-08-12 | 2015-08-12 | 一种支持可扩展协议检测的工控防火墙实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105141596A true CN105141596A (zh) | 2015-12-09 |
Family
ID=54726804
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510494244.4A Pending CN105141596A (zh) | 2015-08-12 | 2015-08-12 | 一种支持可扩展协议检测的工控防火墙实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105141596A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600279A (zh) * | 2018-07-31 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN108933784A (zh) * | 2018-06-26 | 2018-12-04 | 北京威努特技术有限公司 | 一种工控协议解码规则的表述及优化解码方法 |
| CN109842656A (zh) * | 2017-11-28 | 2019-06-04 | 厦门雅迅网络股份有限公司 | 智能兼容多协议的车联网服务方法、车联网网关系统 |
| CN110011968A (zh) * | 2019-02-28 | 2019-07-12 | 郑州轨道交通信息技术研究院 | 一种基于工控协议通用框架的策略访问控制方法 |
| CN110035013A (zh) * | 2019-02-28 | 2019-07-19 | 郑州轨道交通信息技术研究院 | 一种基于工控协议配置文件的流重组实现方法 |
| CN113676436A (zh) * | 2020-05-14 | 2021-11-19 | 北京广利核系统工程有限公司 | 一种实现工控协议解析规则热切换的方法及网络设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547353A (zh) * | 2003-12-05 | 2004-11-17 | 浩 李 | 一种高性能多业务的网络安全处理设备 |
| CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
| CN101197709A (zh) * | 2007-12-24 | 2008-06-11 | 华为技术有限公司 | 对电信设备进行升级的方法及系统 |
| US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
-
2015
- 2015-08-12 CN CN201510494244.4A patent/CN105141596A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
| CN1547353A (zh) * | 2003-12-05 | 2004-11-17 | 浩 李 | 一种高性能多业务的网络安全处理设备 |
| CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
| US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
| CN101197709A (zh) * | 2007-12-24 | 2008-06-11 | 华为技术有限公司 | 对电信设备进行升级的方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109842656A (zh) * | 2017-11-28 | 2019-06-04 | 厦门雅迅网络股份有限公司 | 智能兼容多协议的车联网服务方法、车联网网关系统 |
| CN109842656B (zh) * | 2017-11-28 | 2023-07-14 | 厦门雅迅网络股份有限公司 | 智能兼容多协议的车联网服务方法、车联网网关系统 |
| CN108933784A (zh) * | 2018-06-26 | 2018-12-04 | 北京威努特技术有限公司 | 一种工控协议解码规则的表述及优化解码方法 |
| CN108933784B (zh) * | 2018-06-26 | 2021-02-09 | 北京威努特技术有限公司 | 一种工控协议解码规则的表述及优化解码方法 |
| CN108600279A (zh) * | 2018-07-31 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN108600279B (zh) * | 2018-07-31 | 2020-09-25 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110011968A (zh) * | 2019-02-28 | 2019-07-12 | 郑州轨道交通信息技术研究院 | 一种基于工控协议通用框架的策略访问控制方法 |
| CN110035013A (zh) * | 2019-02-28 | 2019-07-19 | 郑州轨道交通信息技术研究院 | 一种基于工控协议配置文件的流重组实现方法 |
| CN113676436A (zh) * | 2020-05-14 | 2021-11-19 | 北京广利核系统工程有限公司 | 一种实现工控协议解析规则热切换的方法及网络设备 |
| CN113676436B (zh) * | 2020-05-14 | 2022-12-20 | 北京广利核系统工程有限公司 | 一种实现工控协议解析规则热切换的方法及网络设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105141596A (zh) | 一种支持可扩展协议检测的工控防火墙实现方法 | |
| US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
| KR101453364B1 (ko) | 사물인터넷 환경에서 디바이스의 동적 식별 시스템 및 그 방법 | |
| US20070101422A1 (en) | Automated network blocking method and system | |
| US20160094517A1 (en) | Apparatus and method for blocking abnormal communication | |
| CN107959715A (zh) | 基于无线通讯的远程终端信息识别软件系统及识别方法 | |
| JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
| CN103561405A (zh) | 一种对恶意无线接入点进行反制的方法及装置 | |
| CN103475751A (zh) | 一种ip地址切换的方法及装置 | |
| US20140105119A1 (en) | System and method for correlating security events with subscriber information in a mobile network environment | |
| CN101895552B (zh) | 一种安全网关及其检测代理上网的方法 | |
| CN104202814A (zh) | 一种实现信息自注册的方法、终端、服务器及系统 | |
| KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
| CN102932811A (zh) | 检测丢失终端的方法及系统 | |
| US10027622B2 (en) | Recovering lost device information in cable networks | |
| CN111935085A (zh) | 工业控制网络异常网络行为的检测防护方法和系统 | |
| CN114244610B (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
| CN103227733A (zh) | 一种拓扑发现方法及系统 | |
| CN108737454B (zh) | 用于在虚拟网关服务器间进行信息同步的方法和设备 | |
| US8737413B2 (en) | Relay server and relay communication system | |
| EP2600568B1 (en) | Relay server and relay communication system | |
| CN105391565A (zh) | 备份业务配置实现同步的方法 | |
| CN103825846A (zh) | 一种端口安全的实现方法及装置 | |
| CN103973678A (zh) | 一种终端计算机的接入管控方法 | |
| CN103684888A (zh) | 一种批量配置网络设备的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151209 |
|
| RJ01 | Rejection of invention patent application after publication |