CN112671797B - 一种针对dnp3协议的安全防护方法和系统 - Google Patents
一种针对dnp3协议的安全防护方法和系统 Download PDFInfo
- Publication number
- CN112671797B CN112671797B CN202011633118.XA CN202011633118A CN112671797B CN 112671797 B CN112671797 B CN 112671797B CN 202011633118 A CN202011633118 A CN 202011633118A CN 112671797 B CN112671797 B CN 112671797B
- Authority
- CN
- China
- Prior art keywords
- data frame
- dnp3
- tcp
- protocol
- characteristic data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004590 computer program Methods 0.000 claims description 12
- 238000000605 extraction Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000001914 filtration Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 239000000835 fiber Substances 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000003889 chemical engineering Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 238000004870 electrical engineering Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000003209 petroleum derivative Substances 0.000 description 1
- 239000010865 sewage Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明给出了一种针对DNP3协议的安全防护方法和系统,包括提取DNP3客户端的网口的TCP/IP报文中的TCP协议应用层数据包;根据DNP3协议定义的帧结构解析所述数据包,提取所述数据包中符合DNP3协议定义的格式的特征数据帧,判断所述特征数据帧中是否包含服务接口,若否则丢弃所述TCP/IP报文;根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法,若否则丢弃所述TCP/IP报文;提取所述特征数据帧中的请求数据帧,根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法,若是,则允许所述TCP/IP报文传输至DNP3服务器,否则丢弃所述TCP/IP报文。本发明实现了DNP3协议的安全防护,并为构建DNP3协议防火墙提供了基础。
Description
技术领域
本发明涉及工业信息技术领域,尤其是一种针对DNP3协议的安全防护方法和系统。
背景技术
在工业控制领域中,为了实现工业控制系统的应用软件和硬件产品之间的互操作性,需要在应用层面上解决系统集成和数据通信问题。DNP叫做分布式网络协议,是HARRS公司推出的一种远动通信协议,是目前电力系统自动化产品市场上的一种主流通信协议。DNP3是美国IEEE电力工程协会在 IEC的基础上制定的国家标准。
随着工业和信息化的深度融合,在电力、能源、化工、水利、制药、污水处理、石油天然气、交通运输以及航空航天等工业企业中,通常建有企业信息网和工业控制网两种网络系统,通过DNP3协议,实现企业信息网与工业控制网的互连,用户使用企业信息网中的计算机能够远程地监控工业控制网中的工业设备,并获取相应的生产数据。
但是,在企业信息网与工业控制网的互连中,也存在着一些安全风险,企业信息网中常见的安全威胁被引入到工业控制网中,如网络病毒、黑客攻击以及恶意操作等,给工业控制网带来严重的信息安全问题。由于只要遵循了DNP3规则的硬件供应商和软件开发商之间的数据交换就是透明的,因此引入了越来越多的安全隐患。
发明内容
本发明提出了一种针对DNP3协议的安全防护方法和系统,以解决上文提到的现有技术的缺陷。
在一个方面,本发明提出了一种针对DNP3协议的安全防护方法,该方法包括以下步骤:
S1:提取DNP3客户端的网口的TCP/IP报文中的TCP协议应用层数据包;
S2:根据DNP3协议定义的帧结构解析所述数据包,提取所述数据包中符合DNP3协议定义的格式的特征数据帧,判断所述特征数据帧中是否包含服务接口,若是,则生成日志记录并执行S3,否则认为所述特征数据帧不完整,同时丢弃所述TCP/IP报文并生成日志记录;
S3:根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法,若是,则生成日志记录并执行S4,否则丢弃所述TCP/IP报文并生成日志记录;
S4:提取所述特征数据帧中的请求数据帧,根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法,若是,则允许所述TCP/IP报文传输至DNP3服务器并生成日志记录,否则丢弃所述 TCP/IP报文并生成日志记录。
以上方法基于DNP3协议,对TCP/IP报文中的TCP协议应用层数据包进行解析,分析协议的完整性,并进行服务接口过滤和对象组变体过滤,实现了DNP3协议的安全防护,并为构建DNP3协议防火墙提供了基础。
在具体的实施例中,所述根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法的步骤具体包括:
提取所述特征数据帧的服务接口dnp3.al.func,并对所述服务接口dnp3.al.func的所述服务接口白名单进行检查;
当所述服务接口dnp3.al.func为预定接口时,所述特征数据帧合法,否则所述特征数据帧不合法。
在具体的实施例中,所述根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法的具体步骤包括:
提取所述请求数据帧的对象组变体,并检查所述对象组变体白名单判断所述对象组变体是否为预定对象组变体;
若是,则所述请求数据帧合法,否则所述请求数据帧不合法。
在具体的实施例中,当所述服务接口dnp3.al.func满足:
为数字,且在集合{0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15, 16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33}中时,所述服务接口dnp3.al.func为预定接口。
在具体的实施例中,当所述对象组变体满足:
为数字,且在集合{257,258,513,514,515,769,770,1025,1026, 1027,2561,2562,2817,2818,3073,3074,3075,10241,10242,10243,10244,1 0497,10498,10499,10500,7681,7682,7683,7684,7685,7686,5121,5122,51 23,5124,5377,5378,5379,5380,7937,7938,12801,12802,13057,13058,133 13,13314,15361,15362,15363,15364,20481,20737,20993,21249,21250}中时,所述对象组变体为预定对象组变体。
根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上述方法。
根据本发明的第三方面,提出一种针对DNP3协议的安全防护系统,该系统包括:
TCP协议应用层数据包提取模块:配置用于提取DNP3客户端的网口的TCP/IP报文中的TCP协议应用层数据包;
特征数据帧完整性检查模块:配置用于根据DNP3协议定义的帧结构解析所述数据包,提取所述数据包中符合DNP3协议定义的格式的特征数据帧,判断所述特征数据帧中是否包含服务接口,若是,则生成日志记录并执行服务接口白名单检查模块,否则认为所述特征数据帧不完整,同时丢弃所述 TCP/IP报文并生成日志记录;
服务接口白名单检查模块:配置用于根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法,若是,则生成日志记录并执行对象组变体白名单检查模块,否则丢弃所述TCP/IP报文并生成日志记录;
对象组变体白名单检查模块:配置用于提取所述特征数据帧中的请求数据帧,根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法,若是,则允许所述TCP/IP报文传输至DNP3服务器并生成日志记录,否则丢弃所述TCP/IP报文并生成日志记录。
本发明基于DNP3协议,对TCP/IP报文中的TCP协议应用层数据包进行解析,分析协议的完整性,并进行服务接口过滤和对象组变体过滤,实现了 DNP3协议的安全防护,并为构建DNP3协议防火墙提供了基础。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是本发明的一个实施例的一种针对DNP3协议的安全防护方法的流程图;
图3是本发明的一个实施例的一种针对DNP3协议的安全防护系统的框架图;
图4是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请实施例的一种针对DNP3协议的安全防护方法的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104 和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、数据可视化类应用、网页浏览器应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、 102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、 103上展示的特征数据帧提供支持的后台信息处理服务器。后台信息处理服务器可以对获取的服务接口白名单进行处理,并生成处理结果(例如日志记录)。
需要说明的是,本申请实施例所提供的方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应的装置一般设置于服务器105中,也可以设置于终端设备101、102、103中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
根据本发明的一个实施例的一种针对DNP3协议的安全防护方法,图2 示出了根据本发明的实施例的一种针对DNP3协议的安全防护方法的流程图。如图2所示,该方法包括以下步骤:
S201:提取DNP3客户端的网口的TCP/IP报文中的TCP协议应用层数据包;
S202:根据DNP3协议定义的帧结构解析所述数据包,提取所述数据包中符合DNP3协议定义的格式的特征数据帧,判断所述特征数据帧中是否包含服务接口,若是,则生成日志记录并执行S203,否则认为所述特征数据帧不完整,同时丢弃所述TCP/IP报文并生成日志记录;
S203:根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法,若是,则生成日志记录并执行S204,否则丢弃所述TCP/IP报文并生成日志记录;
在具体的实施例中,所述根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法的步骤具体包括:
提取所述特征数据帧的服务接口dnp3.al.func,并对所述服务接口dnp3.al.func的所述服务接口白名单进行检查;
当所述服务接口dnp3.al.func为预定接口时,所述特征数据帧合法,否则所述特征数据帧不合法。
在具体的实施例中,当所述服务接口dnp3.al.func满足:
为数字,且在集合{0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15, 16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33}中时,所述服务接口dnp3.al.func为预定接口。
S204:提取所述特征数据帧中的请求数据帧,根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法,若是,则允许所述TCP/IP报文传输至DNP3服务器并生成日志记录,否则丢弃所述 TCP/IP报文并生成日志记录。
在具体的实施例中,所述根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法的具体步骤包括:
提取所述请求数据帧的对象组变体,并检查所述对象组变体白名单判断所述对象组变体是否为预定对象组变体;
若是,则所述请求数据帧合法,否则所述请求数据帧不合法。
在具体的实施例中,当所述对象组变体满足:
为数字,且在集合{257,258,513,514,515,769,770,1025,1026, 1027,2561,2562,2817,2818,3073,3074,3075,10241,10242,10243,10244,1 0497,10498,10499,10500,7681,7682,7683,7684,7685,7686,5121,5122,51 23,5124,5377,5378,5379,5380,7937,7938,12801,12802,13057,13058,133 13,13314,15361,15362,15363,15364,20481,20737,20993,21249,21250}中时,所述对象组变体为预定对象组变体。
图3示出了本发明的一个实施例的一种针对DNP3协议的安全防护系统的框架图。该系统包括TCP协议应用层数据包提取模块301、特征数据帧完整性检查模块302、服务接口白名单检查模块303和对象组变体白名单检查模块304。
在具体的实施例中,TCP协议应用层数据包提取模块301被配置用于提取DNP3客户端的网口的TCP/IP报文中的TCP协议应用层数据包;
特征数据帧完整性检查模块302被配置用于根据DNP3协议定义的帧结构解析所述数据包,提取所述数据包中符合DNP3协议定义的格式的特征数据帧,判断所述特征数据帧中是否包含服务接口,若是,则生成日志记录并执行服务接口白名单检查模块303,否则认为所述特征数据帧不完整,同时丢弃所述TCP/IP报文并生成日志记录;
服务接口白名单检查模块303被配置用于根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法,若是,则生成日志记录并执行对象组变体白名单检查模块304,否则丢弃所述TCP/IP 报文并生成日志记录;
对象组变体白名单检查模块304被配置用于提取所述特征数据帧中的请求数据帧,根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法,若是,则允许所述TCP/IP报文传输至DNP3 服务器并生成日志记录,否则丢弃所述TCP/IP报文并生成日志记录。本系统基于DNP3协议,对TCP/IP报文中的TCP协议应用层数据包进行解析,分析协议的完整性,并进行服务接口过滤和对象组变体过滤,实现了DNP3协议的安全防护,并为构建DNP3协议防火墙提供了基础。
下面参考图4,其示出了适于用来实现本申请实施例的电子设备的计算机系统400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,计算机系统400包括中央处理单元(CPU)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403 中,还存储有系统400操作所需的各种程序和数据。CPU 401、ROM 402以及 RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线 404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分 409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机 (例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,且这些单元的名称在某种情况下并不构成对该单元本身的限定。
本发明的实施例还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上文中的方法。该计算机程序包含用于执行流程图所示的方法的程序代码。需要说明的是,本申请的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。
本发明基于DNP3协议,对TCP/IP报文中的TCP协议应用层数据包进行解析,分析协议的完整性,并进行服务接口过滤和对象组变体过滤,实现了 DNP3协议的安全防护,并为构建DNP3协议防火墙提供了基础。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (7)
1.一种针对DNP3协议的安全防护方法,其特征在于,包括以下步骤:
S1:提取DNP3客户端的网口的TCP/IP报文中的TCP协议应用层数据包;
S2:根据DNP3协议定义的帧结构解析所述数据包,提取所述数据包中符合DNP3协议定义的格式的特征数据帧,判断所述特征数据帧中是否包含服务接口,若是,则生成日志记录并执行S3,否则认为所述特征数据帧不完整,同时丢弃所述TCP/IP报文并生成日志记录;
S3:根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法,若是,则生成日志记录并执行S4,否则丢弃所述TCP/IP报文并生成日志记录;
S4:提取所述特征数据帧中的请求数据帧,根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法,若是,则允许所述TCP/IP报文传输至DNP3服务器并生成日志记录,否则丢弃所述TCP/IP报文并生成日志记录。
2.根据权利要求1所述的方法,其特征在于,所述根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法的步骤具体包括:
提取所述特征数据帧的服务接口dnp3.al.func,并对所述服务接口dnp3.al.func的所述服务接口白名单进行检查;
当所述服务接口dnp3.al.func为预定接口时,所述特征数据帧合法,否则所述特征数据帧不合法。
3.根据权利要求1所述的方法,其特征在于,所述根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法的具体步骤包括:
提取所述请求数据帧的对象组变体,并检查所述对象组变体白名单判断所述对象组变体是否为预定对象组变体;
若是,则所述请求数据帧合法,否则所述请求数据帧不合法。
4.根据权利要求2所述的方法,其特征在于,当所述服务接口dnp3.al.func满足:
为数字,且在集合{0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33}中时,所述服务接口dnp3.al.func为预定接口。
5.根据权利要求3所述的方法,其特征在于,当所述对象组变体满足:
为数字,且在集合{257,258,513,514,515,769,770,1025,1026,1027,2561,2562,2817,2818,3073,3074,3075,10241,10242,10243,10244,10497,10498,10499,10500,7681,7682,7683,7684,7685,7686,5121,5122,5123,5124,5377,5378,5379,5380,7937,7938,12801,12802,13057,13058,13313,13314,15361,15362,15363,15364,20481,20737,20993,21249,21250}中时,所述对象组变体为预定对象组变体。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被计算机处理器执行时实施权利要求1至5中任一项所述的方法。
7.一种针对DNP3协议的安全防护系统,其特征在于,包括:
TCP协议应用层数据包提取模块:配置用于提取DNP3客户端的网口的TCP/IP报文中的TCP协议应用层数据包;
特征数据帧完整性检查模块:配置用于根据DNP3协议定义的帧结构解析所述数据包,提取所述数据包中符合DNP3协议定义的格式的特征数据帧,判断所述特征数据帧中是否包含服务接口,若是,则生成日志记录并执行服务接口白名单检查模块,否则认为所述特征数据帧不完整,同时丢弃所述TCP/IP报文并生成日志记录;
服务接口白名单检查模块:配置用于根据DNP3协议对所述特征数据帧的服务接口白名单进行检查,判断所述特征数据帧是否合法,若是,则生成日志记录并执行对象组变体白名单检查模块,否则丢弃所述TCP/IP报文并生成日志记录;
对象组变体白名单检查模块:配置用于提取所述特征数据帧中的请求数据帧,根据DNP3协议对所述请求数据帧的对象组变体白名单进行检查判断所述请求数据帧是否合法,若是,则允许所述TCP/IP报文传输至DNP3服务器并生成日志记录,否则丢弃所述TCP/IP报文并生成日志记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011633118.XA CN112671797B (zh) | 2020-12-31 | 2020-12-31 | 一种针对dnp3协议的安全防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011633118.XA CN112671797B (zh) | 2020-12-31 | 2020-12-31 | 一种针对dnp3协议的安全防护方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671797A CN112671797A (zh) | 2021-04-16 |
| CN112671797B true CN112671797B (zh) | 2022-07-15 |
Family
ID=75413211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011633118.XA Active CN112671797B (zh) | 2020-12-31 | 2020-12-31 | 一种针对dnp3协议的安全防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671797B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| CN106326119A (zh) * | 2016-08-19 | 2017-01-11 | 北京匡恩网络科技有限责任公司 | 测试用例生成方法及装置 |
| CN109088861A (zh) * | 2018-07-20 | 2018-12-25 | 杭州安恒信息技术股份有限公司 | Dnp3测试用例生成方法、系统、设备及计算机介质 |
| CN111935061A (zh) * | 2019-12-26 | 2020-11-13 | 长扬科技(北京)有限公司 | 一种工控主机的网络安全防护实现方法及工控主机 |
| CN112152854A (zh) * | 2020-09-25 | 2020-12-29 | 绿盟科技集团股份有限公司 | 一种信息处理方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8756411B2 (en) * | 2010-12-06 | 2014-06-17 | Siemens Aktiengesellschaft | Application layer security proxy for automation and control system networks |
| US10581686B2 (en) * | 2017-03-02 | 2020-03-03 | Schweitzer Engineering Laboratories, Inc. | Automatic configuration in a distributed network |
-
2020
- 2020-12-31 CN CN202011633118.XA patent/CN112671797B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013151543A2 (en) * | 2012-04-04 | 2013-10-10 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
| CN106326119A (zh) * | 2016-08-19 | 2017-01-11 | 北京匡恩网络科技有限责任公司 | 测试用例生成方法及装置 |
| CN109088861A (zh) * | 2018-07-20 | 2018-12-25 | 杭州安恒信息技术股份有限公司 | Dnp3测试用例生成方法、系统、设备及计算机介质 |
| CN111935061A (zh) * | 2019-12-26 | 2020-11-13 | 长扬科技(北京)有限公司 | 一种工控主机的网络安全防护实现方法及工控主机 |
| CN112152854A (zh) * | 2020-09-25 | 2020-12-29 | 绿盟科技集团股份有限公司 | 一种信息处理方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于网络分布式规约的配电网安全防护方案应用;杨宇荣等;《浙江电力》;20190401;第38卷(第3期);第48-53页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671797A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200412767A1 (en) | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
| US9460288B2 (en) | Secure app update server and secure application programming interface (“API”) server | |
| US10389685B2 (en) | Systems and methods for securely transferring selective datasets between terminals | |
| EP3494506A1 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
| CN111163095A (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| CN110795741B (zh) | 对数据进行安全性处理的方法和装置 | |
| CN111464528A (zh) | 网络安全防护方法、系统、计算设备和存储介质 | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| US20230342179A1 (en) | Compliance across multiple cloud environments | |
| CN113572763B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN117131516B (zh) | 一种运维方法和装置 | |
| CN112671797B (zh) | 一种针对dnp3协议的安全防护方法和系统 | |
| CN114449523B (zh) | 用于卫星测控系统的流量过滤方法、装置、设备及介质 | |
| CN113676466B (zh) | 一种网络安全检测的方法和装置 | |
| CN116112172A (zh) | Android客户端gRPC接口安全校验的方法和装置 | |
| CN115291973A (zh) | 云上应用连接数据库的方法、装置、电子设备及存储介质 | |
| CN114430417B (zh) | 工业互联网平台的数据存储、调用方法和装置 | |
| CN114372078A (zh) | 一种数据安全防护方法和装置 | |
| WO2022046365A1 (en) | Advanced detection of identity-based attacks | |
| CN111885006A (zh) | 页面访问、授权访问方法和装置 | |
| CN115859355B (zh) | 日志脱敏方法、装置、电子设备和计算机可读介质 | |
| CN112839008B (zh) | 一种访问监控方法、装置和系统 | |
| US11552808B1 (en) | Method and apparatus for generating a dynamic security certificate |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 01, floor 1, building 104, No. 3 minzhuang Road, Haidian District, Beijing 100195 Patentee after: Changyang Technology (Beijing) Co.,Ltd. Address before: 100195 2nd floor, building 3, yuquanhuigu phase II, No.3 minzhuang Road, Haidian District, Beijing Patentee before: CHANGYANG TECH (BEIJING) Co.,Ltd. |
|
| CP03 | Change of name, title or address |