CN116939065B - 一种Modbus协议TCP分段快速深度检查方法 - Google Patents
一种Modbus协议TCP分段快速深度检查方法 Download PDFInfo
- Publication number
- CN116939065B CN116939065B CN202310980702.XA CN202310980702A CN116939065B CN 116939065 B CN116939065 B CN 116939065B CN 202310980702 A CN202310980702 A CN 202310980702A CN 116939065 B CN116939065 B CN 116939065B
- Authority
- CN
- China
- Prior art keywords
- modbus
- data message
- tcp
- structure body
- coil
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007689 inspection Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000011218 segmentation Effects 0.000 title claims description 13
- 238000004891 communication Methods 0.000 claims abstract description 65
- 238000009825 accumulation Methods 0.000 claims description 12
- 239000012634 fragment Substances 0.000 claims description 8
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims description 3
- 238000013467 fragmentation Methods 0.000 claims description 3
- 238000006062 fragmentation reaction Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 10
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000011161 development Methods 0.000 abstract description 4
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40228—Modbus
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
一种Modbus协议TCP分段快速深度检查方法,涉及工业安全技术领域,实现了对Modbus协议TCP分段通信数据的快速处理和精确检查,增强了现有安全产品的性能,为工业控制网络提供更强大、可靠的安全保护。其高效处理能力使其适用于高速工业通信环境,可确保数据传输的稳定性和准确性,有效避免通信超时中断和数据丢失的风险。此项发明填补了现有技术在处理Modbus协议TCP分段通信数据方面的空白,为工业控制网络安全领域带来了创新突破,推动了工业控制网络安全技术的进步和发展,为工业控制系统的稳定运行和发展提供了有力支持。
Description
技术领域
本发明涉及工业安全技术领域,具体涉及一种Modbus协议TCP分段快速深度检查方法。
背景技术
在当前快速发展的工业领域,工业控制网络的安全问题日益引起人们的关注。随着工业控制系统的数字化和网络化程度不断提高,工业通信数据的安全性愈发成为关键问题。Modbus协议作为工业控制网络中最常用的通信协议之一,在工业自动化领域得到广泛应用。然而,随着工业通信数据的增多和通信规模的扩大,传统的安全产品在对Modbus协议TCP通信数据进行深度安全检查时面临着一系列挑战。
当前工业安全产品在对Modbus协议TCP通信数据进行深度安全检查时,一般采用缓存全部通信数据包分段的方式,以便在获取完整数据包后再进行深度检查。然而,这种传统检查方式导致了多方面的问题。首先,由于需要等待所有通信分段的到达,导致通信延迟增加,影响了工业控制系统的实时性和响应性,从而可能导致通信超时中断和数据丢失等严重后果。其次,由于数据包的分段可能占用大量缓存空间,导致安全产品的缓存资源被大量消耗,影响了系统性能和扩展性,从而可能导致安全产品工作异常,降低了工业控制网络的整体安全防护能力。
发明内容
本发明为了克服以上技术的不足,提供了一种有效提升工业控制系统的安全性、稳定性和实时性的Modbus协议TCP分段快速深度检查方法。
本发明克服其技术问题所采用的技术方案是:
一种Modbus协议TCP分段快速深度检查方法,包括如下步骤:
a)在安全设备中截获工业控制网络通信数据报文,该通信数据报文中的协议字段为TCP,如果TCP层中目的端口字段为502则判定该通信数据报文为Modbus TCP数据报文;
b)截取Modbus TCP数据报文的IP层的数据报文头及TCP层的数据报文头,获取IP层数据报文头结构体及TCP层数据报文头结构体,从IP层数据报文头结构体中得到数据报文总长度IPL,从TCP层数据报文头结构体中得到TCP层数据报文头长度TPL,通过公式PLL=IPL-TPL计算得到TCP层数据报文负载长度PLL;
c)在IP层数据报文头结构体中得到源IP地址、目的IP地址,在TCP层数据报文头结构体中得到通信数据报文的源端口、目的端口,将源IP地址、目的IP地址、源端口、目的端口与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则执行步骤d),否则,则则拦截该通信数据报文并返回执行步骤a);
d)截取Modbus TCP数据报文的Modbus数据报文头,得到Modbus数据报文头结构体,从Modbus数据报文头结构体中得到Modbus数据报文负载长度MSL;
e)如果TCP层数据报文负载长度PLL等于Modbus数据报文负载长度MSL则步骤a)中截获的通信数据报文为未进行TCP分段的完整数据报文,执行步骤f);
f)从Modbus数据报文头结构体中得到指向Modbus数据报文体的指针,获取Modbus功能码结构体,从Modbus功能码结构体中得到Modbus线圈地址和/或Modbus线圈数,将Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则放行该通信数据报文,否则,则拦截该通信数据报文并返回执行步骤a);
g)如果TCP层数据报文负载长度PLL小于Modbus数据报文负载长度MSL则步骤a)中截获的通信数据报文为TCP分段数据报文,执行步骤h);
h)从Modbus数据报文头结构体中得到指向Modbus数据报文体的指针,通过指针移动及偏移量累加方式截取Modbus数据报文头结构体后的两字节Modbus功能码,根据Modbus协议规范中定义的Modbus功能码结构,通过指针移动及偏移量累加方式截取Modbus线圈地址和/或Modbus线圈数,当偏移量累加至TCP层数据报文负载长度PLL且最后累加的偏移量与Modbus协议规范中定义的Modbus功能码结构中正在处理的字段长度相同,则表示截取的Modbus线圈地址和/或Modbus线圈数完整,则执行步骤i);
i)将步骤h)中截取的Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则放行该TCP分段数据报文,否则,则拦截该TCP分段数据报文并返回执行步骤a);
j)当步骤h)中偏移量累加至TCP层数据报文负载长度PLL且最后累加的偏移量小于Modbus协议规范中定义的Modbus功能码结构中正在处理的字段长度,则表示截取的Modbus线圈地址和/或Modbus线圈数中存在碎片;
k)将截取完整的Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配并根据碎片的Modbus线圈地址和/或Modbus线圈数将安全策略中的对应字段同步进行碎片化至对应的字节数量,如果全部字段匹配成功则放行该TCP分段数据报文,否则,则拦截该TCP分段数据报文并返回执行步骤a)。
进一步的,步骤a)中安全设备为防火墙。
进一步的,步骤a)中通过HOOK或DPDK的方式在安全设备中截获工业控制网络通信数据报文。
进一步的,步骤b)中通过指针移动及偏移量累加的方式截取Modbus TCP数据报文的IP层的数据报文头及TCP层的数据报文头,根据OSI网络模型和TCP/IP协议标准规范,利用结构体套用的方式获取IP层数据报文头结构体及TCP层数据报文头结构体。
进一步的,步骤c)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a)。
进一步的,步骤d)中通过指针移动及偏移量累加方式截取Modbus TCP数据报文的Modbus数据报文头,根据Modbus协议规范中定义的Modbus数据报文头结构,利用结构体套用的方式获取Modbus数据报文头结构体。
进一步的,步骤i)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a)。
进一步的,步骤k)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a)。
本发明的有益效果是:解决传统安全产品在处理分段通信数据时的瓶颈问题,实现对工业通信数据的快速、准确的深度安全检查。通过针对分段数据的快速处理和智能化策略分段,该技术可以高效地实现对分段通信数据的实时监控和安全检查,从而有效提升工业控制系统的安全性、稳定性和实时性。同时,该技术还能降低对系统资源的消耗,为工业控制网络的安全防护提供了一种高效、可靠的解决方案。在当前工业行业安全背景下,这种Modbus协议TCP分段快速深度检查技术具有重要的应用价值和推广意义。
具体实施方式
下面对本发明做进一步说明。
一种Modbus协议TCP分段快速深度检查方法,用于在工业控制网络Modbus TCP协议通信数据报文存在分段的情况下,实现快速深度检查,提升数据匹配效率,防止工业控制通信因深度检查导致的超时中断,具体的包括如下步骤:
a)在安全设备中截获工业控制网络通信数据报文,该通信数据报文中的协议字段为TCP,如果TCP层中目的端口字段为502则判定该通信数据报文为Modbus TCP数据报文。
b)截取Modbus TCP数据报文的IP层的数据报文头及TCP层的数据报文头,获取IP层数据报文头结构体及TCP层数据报文头结构体,从IP层数据报文头结构体中得到数据报文总长度IPL,从TCP层数据报文头结构体中得到TCP层数据报文头长度TPL,通过公式PLL=IPL-TPL计算得到TCP层数据报文负载长度PLL。
c)在IP层数据报文头结构体中得到源IP地址、目的IP地址,在TCP层数据报文头结构体中得到通信数据报文的源端口、目的端口,将源IP地址、目的IP地址、源端口、目的端口与用户配置的安全策略中对应字段进行逐一匹配,提升非策略放行数据的处理速度,如果全部字段匹配成功则执行步骤d),否则,则则拦截该通信数据报文并返回执行步骤a)。
d)截取Modbus TCP数据报文的Modbus数据报文头,得到Modbus数据报文头结构体,从Modbus数据报文头结构体中得到Modbus数据报文负载长度MSL。
e)如果TCP层数据报文负载长度PLL等于Modbus数据报文负载长度MSL则步骤a)中截获的通信数据报文为未进行TCP分段的完整数据报文,执行步骤f)。
f)从Modbus数据报文头结构体中得到指向Modbus数据报文体的指针,获取Modbus功能码结构体,从Modbus功能码结构体中得到Modbus线圈地址和/或Modbus线圈数,将Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则放行该通信数据报文,否则,则拦截该通信数据报文并返回执行步骤a)。
g)如果TCP层数据报文负载长度PLL小于Modbus数据报文负载长度MSL则步骤a)中截获的通信数据报文为TCP分段数据报文,执行步骤h)。
h)从Modbus数据报文头结构体中得到指向Modbus数据报文体的指针,通过指针移动及偏移量累加方式截取Modbus数据报文头结构体后的两字节Modbus功能码,根据Modbus协议规范中定义的Modbus功能码结构,通过指针移动及偏移量累加方式截取Modbus线圈地址和/或Modbus线圈数,当偏移量累加至TCP层数据报文负载长度PLL且最后累加的偏移量与Modbus协议规范中定义的Modbus功能码结构中正在处理的字段长度相同,则表示截取的Modbus线圈地址和/或Modbus线圈数完整,则执行步骤i)。
i)将步骤h)中截取的Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则放行该TCP分段数据报文,否则,则拦截该TCP分段数据报文并返回执行步骤a)。
j)当步骤h)中偏移量累加至TCP层数据报文负载长度PLL且最后累加的偏移量小于Modbus协议规范中定义的Modbus功能码结构中正在处理的字段长度,则表示截取的Modbus线圈地址和/或Modbus线圈数中存在碎片,则只截取到这一字段的部分字节。
k)将截取完整的Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配并根据碎片的Modbus线圈地址和/或Modbus线圈数将安全策略中的对应字段同步进行碎片化至对应的字节数量,如果全部字段匹配成功则放行该TCP分段数据报文,否则,则拦截该TCP分段数据报文并返回执行步骤a),只进行截取到的字段碎片与安全策略中的对应字段的对应碎片的匹配。通过在防火墙等安全设备上引入HOOK或DPDK等方式接收工业通信数据,并根据TCP协议类型及502端口确认通信数据为Modbus TCP数据,采用ISO模型来截取数据包二层、三层及TCP报文头,并根据各报文头结构中的长度信息获取TCP报文负载长度。进一步截取Modbus协议头中的信息并根据其协议头结构获取Mobdus负载长度。通过对获取的长度进行比较,判断通信数据是完整数据报文还是分段数据报文。对于完整数据报文,执行完整的数据包深度检查,根据检查结果进行放行或拦截操作。而对于分段数据报文,采取分段同步策略进行处理。通过提取每个分段数据中的关键字段信息,准确截取出每个字段,对于包含碎片的字段,根据其偏移量和长度信将安全策略同步碎片化并进行碎片化字段匹配,只有当所有字段及碎片的匹配结果符合安全策略要求时,才会放行该分段数据包;若不符合,将对该分段进行拦截并告警。
实现了对Modbus协议TCP分段通信数据的快速处理和精确检查,增强了现有安全产品的性能,为工业控制网络提供更强大、可靠的安全保护。其高效处理能力使其适用于高速工业通信环境,可确保数据传输的稳定性和准确性,有效避免通信超时中断和数据丢失的风险。此项发明填补了现有技术在处理Modbus协议TCP分段通信数据方面的空白,为工业控制网络安全领域带来了创新突破,推动了工业控制网络安全技术的进步和发展,为工业控制系统的稳定运行和发展提供了有力支持。
在本发明的一个实施例中,步骤a)中安全设备为防火墙。
在本发明的一个实施例中,步骤a)中通过HOOK或DPDK的方式在安全设备中截获工业控制网络通信数据报文。
在本发明的一个实施例中,步骤b)中通过指针移动及偏移量累加的方式截取Modbus TCP数据报文的IP层的数据报文头及TCP层的数据报文头,根据OSI网络模型和TCP/IP协议标准规范,利用结构体套用的方式获取IP层数据报文头结构体及TCP层数据报文头结构体。
在本发明的一个实施例中,步骤c)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a),防止数据报文的重传。
在本发明的一个实施例中,步骤d)中通过指针移动及偏移量累加方式截取ModbusTCP数据报文的Modbus数据报文头,根据Modbus协议规范中定义的Modbus数据报文头结构,利用结构体套用的方式获取Modbus数据报文头结构体。在本发明的一个实施例中,步骤i)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a),防止数据报文的重传。
在本发明的一个实施例中,步骤k)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a),防止数据报文的重传。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种Modbus协议TCP分段快速深度检查方法,其特征在于,包括如下步骤:
a)在安全设备中截获工业控制网络通信数据报文,该通信数据报文中的协议字段为TCP,如果TCP层中目的端口字段为502则判定该通信数据报文为Modbus TCP数据报文;
b)截取Modbus TCP数据报文的IP层的数据报文头及TCP层的数据报文头,获取IP层数据报文头结构体及TCP层数据报文头结构体,从IP层数据报文头结构体中得到数据报文总长度IPL,从TCP层数据报文头结构体中得到TCP层数据报文头长度TPL,通过公式PLL=IPL-TPL计算得到TCP层数据报文负载长度PLL;
c)在IP层数据报文头结构体中得到源IP地址、目的IP地址,在TCP层数据报文头结构体中得到通信数据报文的源端口、目的端口,将源IP地址、目的IP地址、源端口、目的端口与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则执行步骤d),否则,则拦截该通信数据报文并返回执行步骤a);
d)截取Modbus TCP数据报文的Modbus数据报文头,得到Modbus数据报文头结构体,从Modbus数据报文头结构体中得到Modbus数据报文负载长度MSL;
e)如果TCP层数据报文负载长度PLL等于Modbus数据报文负载长度MSL则步骤a)中截获的通信数据报文为未进行TCP分段的完整数据报文,执行步骤f);
f)从Modbus数据报文头结构体中得到指向Modbus数据报文体的指针,获取Modbus功能码结构体,从Modbus功能码结构体中得到Modbus线圈地址和/或Modbus线圈数,将Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则放行该通信数据报文,否则,则拦截该通信数据报文并返回执行步骤a);
g)如果TCP层数据报文负载长度PLL小于Modbus数据报文负载长度MSL则步骤a)中截获的通信数据报文为TCP分段数据报文,执行步骤h);
h)从Modbus数据报文头结构体中得到指向Modbus数据报文体的指针,通过指针移动及偏移量累加方式截取Modbus数据报文头结构体后的两字节Modbus功能码,根据Modbus协议规范中定义的Modbus功能码结构,通过指针移动及偏移量累加方式截取Modbus线圈地址和/或Modbus线圈数,当偏移量累加至TCP层数据报文负载长度PLL且最后累加的偏移量与Modbus协议规范中定义的Modbus功能码结构中正在处理的字段长度相同,则表示截取的Modbus线圈地址和/或Modbus线圈数完整,则执行步骤i);
i)将步骤h)中截取的Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配,如果全部字段匹配成功则放行该TCP分段数据报文,否则,则拦截该TCP分段数据报文并返回执行步骤a);
j)当步骤h)中偏移量累加至TCP层数据报文负载长度PLL且最后累加的偏移量小于Modbus协议规范中定义的Modbus功能码结构中正在处理的字段长度,则表示截取的Modbus线圈地址和/或Modbus线圈数中存在碎片;
k)将截取完整的Modbus线圈地址和/或Modbus线圈数与用户配置的安全策略中对应字段进行逐一匹配并根据碎片的Modbus线圈地址和/或Modbus线圈数将安全策略中的对应字段同步进行碎片化至对应的字节数量,如果全部字段匹配成功则放行该TCP分段数据报文,否则,则拦截该TCP分段数据报文并返回执行步骤a)。
2.根据权利要求1所述的Modbus协议TCP分段快速深度检查方法,其特征在于:步骤a)中安全设备为防火墙。
3.根据权利要求1所述的Modbus协议TCP分段快速深度检查方法,其特征在于:步骤a)中通过HOOK或DPDK的方式在安全设备中截获工业控制网络通信数据报文。
4.根据权利要求1所述的Modbus协议TCP分段快速深度检查方法,其特征在于:步骤b)中通过指针移动及偏移量累加的方式截取Modbus TCP数据报文的IP层的数据报文头及TCP层的数据报文头,根据OSI网络模型和TCP/IP协议标准规范,利用结构体套用的方式获取IP层数据报文头结构体及TCP层数据报文头结构体。
5.根据权利要求1所述的Modbus协议TCP分段快速深度检查方法,其特征在于:步骤c)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a)。
6.根据权利要求1所述的Modbus协议TCP分段快速深度检查方法,其特征在于:步骤d)中通过指针移动及偏移量累加方式截取Modbus TCP数据报文的Modbus数据报文头,根据Modbus协议规范中定义的Modbus数据报文头结构,利用结构体套用的方式获取Modbus数据报文头结构体。
7.根据权利要求1所述的Modbus协议TCP分段快速深度检查方法,其特征在于:步骤i)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a)。
8.根据权利要求1所述的Modbus协议TCP分段快速深度检查方法,其特征在于:步骤k)中如果任一字段匹配不成功,则生成告警信息并通过RST方式通知通信双方断开连接后返回执行步骤a)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310980702.XA CN116939065B (zh) | 2023-08-07 | 2023-08-07 | 一种Modbus协议TCP分段快速深度检查方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310980702.XA CN116939065B (zh) | 2023-08-07 | 2023-08-07 | 一种Modbus协议TCP分段快速深度检查方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116939065A CN116939065A (zh) | 2023-10-24 |
| CN116939065B true CN116939065B (zh) | 2024-02-06 |
Family
ID=88377186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310980702.XA Active CN116939065B (zh) | 2023-08-07 | 2023-08-07 | 一种Modbus协议TCP分段快速深度检查方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116939065B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104519065A (zh) * | 2014-12-22 | 2015-04-15 | 北京卓越信通电子股份有限公司 | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 |
| CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
| EP3771182A1 (fr) * | 2019-07-23 | 2021-01-27 | Schneider Electric Industries SAS | Procédé pour détecter et identifier des equipements communiquant selon un protocole modbus et controleur de communication pour la mise en oeuvre d'un tel procédé |
| CN114244609A (zh) * | 2021-12-17 | 2022-03-25 | 北京国泰网信科技有限公司 | 用于工业防火墙的Modbus TCP协议防护方法 |
-
2023
- 2023-08-07 CN CN202310980702.XA patent/CN116939065B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104702584A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 一种基于自学习规则的Modbus通信访问控制方法 |
| CN104519065A (zh) * | 2014-12-22 | 2015-04-15 | 北京卓越信通电子股份有限公司 | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 |
| CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
| EP3771182A1 (fr) * | 2019-07-23 | 2021-01-27 | Schneider Electric Industries SAS | Procédé pour détecter et identifier des equipements communiquant selon un protocole modbus et controleur de communication pour la mise en oeuvre d'un tel procédé |
| CN114244609A (zh) * | 2021-12-17 | 2022-03-25 | 北京国泰网信科技有限公司 | 用于工业防火墙的Modbus TCP协议防护方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于Modbus协议的工业自动化网络规范――基于串行链路和TCP/IP的Modbus应用协议;丛航, 孙昕, 欧阳劲松;仪器仪表标准化与计量(第01期);16-19、50 * |
| 嵌入式Modbus/TCP协议的研究与实现;张益南;王文海;;组合机床与自动化加工技术(第02期);30-33、37 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116939065A (zh) | 2023-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7725938B2 (en) | Inline intrusion detection | |
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| US7356599B2 (en) | Method and apparatus for data normalization | |
| US7420931B2 (en) | Using TCP/IP offload to accelerate packet filtering | |
| US10834126B2 (en) | Method and system for processing forged TCP packet | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| EP3678333B1 (en) | Data processing method and device, and computer | |
| CN102510385A (zh) | 防ip数据报分片攻击的方法 | |
| CN116939065B (zh) | 一种Modbus协议TCP分段快速深度检查方法 | |
| JP2004282748A (ja) | パケット分配装置およびその分配方法 | |
| CN115022069B (zh) | 用于网络攻击检测的ip分片报文重组方法及装置 | |
| CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 | |
| CN100579075C (zh) | 一种快速响应icmp回送请求报文的方法 | |
| CN113453278B (zh) | 一种基于5g upf下的tcp包分段组包方法及终端 | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| KR101446280B1 (ko) | 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법 | |
| CN111327590A (zh) | 一种攻击处理方法及装置 | |
| CN116320087A (zh) | 报文处理方法、报文处理装置、电子设备及存储介质 | |
| CN117955940A (zh) | 一种ip分片报文快速重组的方法 | |
| CN116961938A (zh) | 通信方法及装置 | |
| CN117997856A (zh) | 一种用于网络消息排序的方法、系统及可编程交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |