CN107196931B - 一种基于网络隔离装置的深度报文检测方法 - Google Patents
一种基于网络隔离装置的深度报文检测方法 Download PDFInfo
- Publication number
- CN107196931B CN107196931B CN201710346561.0A CN201710346561A CN107196931B CN 107196931 B CN107196931 B CN 107196931B CN 201710346561 A CN201710346561 A CN 201710346561A CN 107196931 B CN107196931 B CN 107196931B
- Authority
- CN
- China
- Prior art keywords
- message
- detection
- option
- header
- options
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网络隔离装置的深度报文检测方法:步骤1、根据输入报文类型过滤输入报文,得到IP报文;步骤2、对IP报文首部的选项进行第一次深度报文检测:若不通过,则丢弃报文;若通过,则进入步骤3;步骤3、根据IP报文首部中的协议类型过滤报文,得到TCP/UDP报文;步骤4、根据隔离装置配置的安全策略对报文进行合法性检测:若不通过,则丢弃报文;若通过,则进入步骤5;步骤5、对TCP报文首部的选项进行第二次深度报文检测,若不通过,则丢弃报文;若通过,则进入步骤6;步骤6、对报文进行网络层协议剥离;步骤7、将剥离后的报文通过隔离岛发送到对侧;步骤8、对报文重新进行网络层协议封装并发送到对应网络。提高装置的隔离程度。
Description
技术领域
本发明涉及一种基于网络隔离装置的深度报文检测方法。
背景技术
网络隔离装置主要部署在电力系统生产控制大区与信息管理大区之间,用于安全I/II区与安全III/IV区的边界保护,主要实现两个安全域之间网络报文的单向安全传输。现有实现方案中,报文处理流程如图1所示,具体如下:
步骤1,根据输入报文类型过滤输入报文,得到IP报文;
步骤2,根据IP报文首部中的协议类型过滤报文,得到TCP/UDP报文;
步骤3,根据隔离装置配置的安全策略对报文进行合法性检测,若检测不通过,则丢弃报文;
步骤4,若步骤3检测通过,则对报文进行网络层协议剥离;
步骤5,将剥离后的报文通过隔离岛发送到对侧;其中,根据GB/T20279-2015,隔离岛理解如下:“专用隔离部件既可以是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡,也可以是经过安全强化的运行专用信息传输逻辑控制程序的主机”。
步骤6,对报文重新进行网络层协议封装并发送到对应网络。
上述报文处理流程对于报文的双向传输和处理都是适用的,而在单向网络隔离装置中,对报文进行网络层协议剥离后,通过对报文应用层内容的限制来达到单向传输的要求,例如在正向网络隔离装置中,反向传输仅允许应用层的单比特数据返回(应用层字节为0x00或0xFF)。值得注意的是,在这种网络层协议剥离的情况下,应用数据依旧有可能隐藏于IP或TCP的首部选项中,从而对反向的数据安全造成威胁。因此,需要研究一种对报文更深层次的检测,以防止通过报文头首部携带应用数据带来的安全威胁。
发明内容
针对上述问题,本发明提供一种基于网络隔离装置的深度报文检测方法,解决现有网络隔离装置因为网络层协议剥离而导致的可能的反向数据流通问题,从而进一步提高装置的隔离程度,增强系统整体的安全性。
为实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
一种基于网络隔离装置的深度报文检测方法,包括如下步骤:
步骤1、根据输入报文类型过滤输入报文,得到IP报文;
步骤2、对IP报文首部的选项进行第一次深度报文检测:若检测不通过,则丢弃报文;若检测通过,则进入步骤3;
步骤3、根据IP报文首部中的协议类型过滤报文,得到TCP/UDP报文;
步骤4、根据隔离装置配置的安全策略对报文进行合法性检测:若检测不通过,则丢弃报文;若检测通过,则进入步骤5;
步骤5、对TCP报文首部的选项进行第二次深度报文检测,若检测不通过,则丢弃报文;若检测通过,则进入步骤6;
步骤6、对报文进行网络层协议剥离;
步骤7、将剥离后的报文通过隔离岛发送到对侧;
步骤8、对报文重新进行网络层协议封装并发送到对应网络。
优选,步骤2中,对IP报文首部的选项进行检测,若IP报文首部中存在下述任意一项选项类型,则检测不通过,包括安全和处理限制、记录路径、时间戳、宽松的源站选路、严格的源站选路。
优选,步骤4中,合法性检测包括报文的源MAC、源IP、目的IP、源端口、目的端口、连接方向和报文关键字检测项。
优选,合法性检测还包括对报文流进行病毒特征检测:将报文的特征在本地病毒库中进行匹配。
优选,步骤5中对TCP报文首部的选项进行检测时,仅能局限于七种类型:包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认,超出上述七种类型,则检测不通过。
优选,在对TCP报文首部的选项进行扫描时,遵循如下原则:
1)选项类型只能局限于七种类型:包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认;
2)最大报文段长度、窗口扩大因子和包括是否支持SACK选项的选择确认只能出现在含有TCP标志位SYN的报文中;
3)包括具体SACK信息选项的选择确认满足每一块确认号的右边沿值大于左边沿值,且所有的确认号在其对侧的滑动窗口范围内;
以上三条原则均满足时,检测通过,否则,丢弃该报文。
本发明的有益效果是:本发明能够有效的避免网络隔离装置中,尤其是单向网络隔离装置,由于只对网络层进行协议剥离而可能导致的反向数据传输,进一步提高安全域之间的隔离程度,增强系统整体的安全性。
附图说明
图1是现有实现方案中报文处理流程示意图;
图2是本发明一种基于网络隔离装置的深度报文检测方法的结构示意图;
图3是本发明允许通过的七种TCP首部选项类型。
具体实施方式
下面结合附图和具体的实施例对本发明技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
一种基于网络隔离装置的深度报文检测方法,如图2所示,包括如下步骤:
步骤1、根据输入报文类型过滤输入报文,得到IP报文,此处检测的是以太网首部的两个字节的报文类型。
步骤2、对IP报文首部的选项进行第一次深度报文检测:若检测不通过,则丢弃报文;若检测通过,则进入步骤3。
IP报文首部格式包括选项(Options),其长度可变,TCP首部可以有多达40字节的可选信息,用于把附加信息传递给终点,或用来对齐其它选项。根据互联网协议RFC791,IP报文首部的主要功能有安全和处理限制、记录路径、时间戳、宽松的源站选路、严格的源站选路,根据网络隔离装置的应用场景,这些选项应当禁用,故,步骤2中,对IP报文首部的选项进行检测,若IP报文首部中存在下述任意一项选项类型,则检测不通过,包括安全和处理限制、记录路径、时间戳、宽松的源站选路(Loose Source Routing)、严格的源站选路(Strict Source Routing),其中,Loose Source Routing,Strict Source Routing参考借鉴《TCP/IP详解卷1:协议》的中文翻译版本。
步骤3、根据IP报文首部中的协议类型过滤报文,得到TCP/UDP报文。
步骤4、根据隔离装置配置的安全策略对报文进行合法性检测:若检测不通过,则丢弃报文;若检测通过,则进入步骤5。
优选,此处的合法性检测除了包括报文的源MAC、源IP、目的IP、源端口、目的端口、连接方向、报文关键字这些常规检测项之外,还需要对报文流进行病毒特征检测:将报文的特征在本地病毒库中进行匹配,匹配成功后丢弃该帧及该连接的后续所有报文。
步骤5、对TCP报文首部的选项进行第二次深度报文检测,若检测不通过,则丢弃报文;若检测通过,则进入步骤6。
根据互联网协议RFC793、RFC1323和RFC2018,步骤5中对TCP报文首部的选项进行检测时,仅能局限于七种类型:包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认,超出上述七种类型,则检测不通过。
如图3所示,是七种常用的TCP报文首部选项类型,允许通过的七种类型分别代表:选项表结束,无操作,最大报文段长度,窗口扩大因子,时间戳,选择确认(包含两种类型:是否支持SACK选项,具体SACK信息选项)。即只允许图3所示的TCP报文首部选项类型存在,且需要对其进行进一步的检测,若检测不通过,则丢弃报文,在对TCP报文首部的选项进行扫描时,遵循如下原则:
1)选项类型只能局限于七种类型:包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认。
2)最大报文段长度、窗口扩大因子和包括是否支持SACK选项的选择确认只能出现在含有TCP标志位SYN的报文中。
3)包括具体SACK信息选项的选择确认满足每一块确认号的右边沿值大于左边沿值,且所有的确认号在其对侧的滑动窗口范围内。
以上三条原则均满足时,检测通过,否则,丢弃该报文。
步骤6、对报文进行网络层协议剥离,此要求为GB/T20279对网络隔离装置的要求。
步骤7、将剥离后的报文通过隔离岛发送到对侧。
步骤8、对报文重新进行网络层协议封装并发送到对应网络。
本发明能够有效的避免网络隔离装置中,尤其是单向网络隔离装置,由于只对网络层进行协议剥离而可能导致的反向数据传输,进一步提高安全域之间的隔离程度,增强系统整体的安全性。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或者等效流程变换,或者直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (4)
1.一种基于网络隔离装置的深度报文检测方法,其特征在于,包括如下步骤:
步骤1、根据输入报文类型过滤输入报文,得到IP报文;
步骤2、对IP报文首部的选项进行第一次深度报文检测:若检测不通过,则丢弃报文;若检测通过,则进入步骤3;
步骤3、根据IP报文首部中的协议类型过滤报文,得到TCP/UDP报文;
步骤4、根据隔离装置配置的安全策略对报文进行合法性检测:若检测不通过,则丢弃报文;若检测通过,则进入步骤5;
步骤5、对TCP报文首部的选项进行第二次深度报文检测,若检测不通过,则丢弃报文;若检测通过,则进入步骤6;
步骤6、对报文进行网络层协议剥离;
步骤7、将剥离后的报文通过隔离岛发送到对侧;
步骤8、对报文重新进行网络层协议封装并发送到对应网络;
步骤2中,对IP报文首部的选项进行检测,若IP报文首部中存在下述任意一项选项类型,则检测不通过,包括安全和处理限制、记录路径、时间戳、宽松的源站选路、严格的源站选路;
步骤5中对TCP报文首部的选项进行检测时,仅能局限于七种类型:包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认,超出上述七种类型,则检测不通过;
在对TCP报文首部的选项进行扫描时,遵循如下原则:
1)选项类型只能局限于七种类型:包括选项表结束、无操作、最大报文段长度、窗口扩大因子、时间戳、包括是否支持SACK选项的选择确认和包括具体SACK信息选项的选择确认;
2)最大报文段长度、窗口扩大因子和包括是否支持SACK选项的选择确认只能出现在含有TCP标志位SYN的报文中;
3)包括具体SACK信息选项的选择确认满足每一块确认号的右边沿值大于左边沿值,且所有的确认号在其对侧的滑动窗口范围内;
以上三条原则均满足时,检测通过,否则,丢弃该报文。
2.根据权利要求1所述的一种基于网络隔离装置的深度报文检测方法,其特征在于,步骤4中,合法性检测包括报文的源MAC、源IP、目的IP、源端口、目的端口、连接方向和报文关键字检测项。
3.根据权利要求2所述的一种基于网络隔离装置的深度报文检测方法,其特征在于,合法性检测还包括对报文流进行病毒特征检测:将报文的特征在本地病毒库中进行匹配。
4.根据权利要求3所述的一种基于网络隔离装置的深度报文检测方法,其特征在于,匹配成功后丢弃该帧及该连接的后续所有报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710346561.0A CN107196931B (zh) | 2017-05-17 | 2017-05-17 | 一种基于网络隔离装置的深度报文检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710346561.0A CN107196931B (zh) | 2017-05-17 | 2017-05-17 | 一种基于网络隔离装置的深度报文检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107196931A CN107196931A (zh) | 2017-09-22 |
| CN107196931B true CN107196931B (zh) | 2020-09-08 |
Family
ID=59872804
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710346561.0A Active CN107196931B (zh) | 2017-05-17 | 2017-05-17 | 一种基于网络隔离装置的深度报文检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107196931B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107948139B (zh) * | 2017-11-09 | 2021-04-20 | 南京捷安信息科技有限公司 | 一种基于安全策略管控的变电站监控网络调试方法 |
| CN115632878B (zh) * | 2022-12-06 | 2023-03-31 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685224A (zh) * | 2013-09-05 | 2014-03-26 | 北京安博达通科技有限责任公司 | 网络入侵检测方法 |
| CN106254361A (zh) * | 2016-08-12 | 2016-12-21 | 上海斐讯数据通信技术有限公司 | 一种无线传输设备的网址过滤方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040073617A1 (en) * | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| CN101754221B (zh) * | 2008-12-19 | 2012-07-04 | 中国移动通信集团山东有限公司 | 异构系统间的数据传输方法及数据传输系统 |
| CN103944865B (zh) * | 2013-01-22 | 2018-11-27 | 横河电机株式会社 | 隔离保护系统及其执行双向数据包过滤检查的方法 |
| US9497107B1 (en) * | 2013-06-06 | 2016-11-15 | Cisco Technology, Inc. | Seamless path monitoring and rapid fault isolation using bidirectional forwarding detection in a network environment |
| CN104539600B (zh) * | 2014-12-22 | 2018-01-26 | 北京卓越信通电子股份有限公司 | 一种支持过滤iec104协议的工控防火墙实现方法 |
| CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
-
2017
- 2017-05-17 CN CN201710346561.0A patent/CN107196931B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685224A (zh) * | 2013-09-05 | 2014-03-26 | 北京安博达通科技有限责任公司 | 网络入侵检测方法 |
| CN106254361A (zh) * | 2016-08-12 | 2016-12-21 | 上海斐讯数据通信技术有限公司 | 一种无线传输设备的网址过滤方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107196931A (zh) | 2017-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1774716B1 (en) | Inline intrusion detection using a single physical port | |
| US9154512B2 (en) | Transparently proxying transport protocol connections using an external server | |
| US6708218B1 (en) | IpSec performance enhancement using a hardware-based parallel process | |
| US8611351B2 (en) | Marked packet forwarding | |
| EP1928127B1 (en) | Method and system for tunneling MACSEC packets through non-MACSEC nodes | |
| EP2739002B1 (en) | Systems and methods for transparently monitoring network traffic for denial of service attacks | |
| US10110557B2 (en) | FTP application layer packet filtering method, device and computer storage medium | |
| KR101228640B1 (ko) | 프래그먼트 필터링 방법 | |
| CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
| CN101132396A (zh) | Tcp片段流的切入式内容分析 | |
| EP4044546A1 (en) | Message processing method, device and apparatus as well as computer readable storage medium | |
| CN102217251A (zh) | 一种数据转发方法、数据处理方法、系统以及相关设备 | |
| CN107196931B (zh) | 一种基于网络隔离装置的深度报文检测方法 | |
| CN101426014B (zh) | 防止组播源攻击的方法及系统 | |
| CN104519065A (zh) | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 | |
| CN112165460A (zh) | 流量检测方法、装置、计算机设备和存储介质 | |
| US11032257B1 (en) | Method for covertly delivering a packet of data over a network | |
| US9241048B2 (en) | Mechanism for processing network event protocol messages | |
| CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
| CN113114622A (zh) | 一种不动产登记多源异构数据交换方法 | |
| CN112235329A (zh) | 一种识别syn报文真实性的方法、装置及网络设备 | |
| EP3346663B1 (en) | Apparatus, system, and method for accelerating security inspections using inline pattern matching | |
| CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
| CN104348785B (zh) | IPv6网中防止主机PMTU攻击的方法、装置与系统 | |
| JP2007228449A (ja) | パケット中継装置、パケット中継方法及びパケット中継プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |