一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法和裝置制造方法
【專利摘要】本發(fā)明涉及一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法和裝置,該裝置包括:檢測(cè)模塊,用于當(dāng)攔截到工業(yè)以太網(wǎng)數(shù)據(jù)幀時(shí),根據(jù)用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式,檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法;以及,丟棄/告警模塊,用于如果檢測(cè)結(jié)果為否定,則丟棄所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警。利用該方法和裝置,能夠提高工業(yè)自動(dòng)化控制系統(tǒng)的通信安全。
【專利說(shuō)明】—種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及工業(yè)自動(dòng)化領(lǐng)域,尤其涉及一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法和裝置。
【背景技術(shù)】
[0002]工業(yè)自動(dòng)化控制系統(tǒng)(IACS)是一種運(yùn)用控制理論、儀器儀表、計(jì)算機(jī)和其他信息技術(shù),對(duì)工業(yè)生產(chǎn)過(guò)程實(shí)現(xiàn)檢測(cè)、控制、優(yōu)化、調(diào)度、管理和決策,達(dá)到增加產(chǎn)量、提高質(zhì)量、降低消耗、確保安全等目的系統(tǒng)。在工業(yè)自動(dòng)化控制系統(tǒng)中通常采用工業(yè)以太網(wǎng)(IE:1ndustrial Ethernet)以將各個(gè)設(shè)備和儀器連接在一起。
[0003]人們已經(jīng)發(fā)展出了許多基于工業(yè)以太網(wǎng)的通信協(xié)議,例如,PROFINET、EthernetPowerlink, EtherNet/IP、Modbus/TCP等。由于工業(yè)以太網(wǎng)需要滿足實(shí)時(shí)網(wǎng)絡(luò)要求,因此,為了避免TCP/IP協(xié)議棧的開銷,這些基于工業(yè)以太網(wǎng)的通信協(xié)議往往將關(guān)鍵的控制數(shù)據(jù)直接封裝為工業(yè)以太網(wǎng)數(shù)據(jù)幀在工業(yè)自動(dòng)化控制系統(tǒng)中進(jìn)行傳輸。在這些(屬于OSI網(wǎng)絡(luò)模型中的第二層(數(shù)據(jù)鏈路層)的)工業(yè)以太網(wǎng)數(shù)據(jù)幀中,并未封裝IP、TCP等這樣的(0SI網(wǎng)絡(luò)模型中的第三層、第四層等)較高層的通信協(xié)議,第二層通信協(xié)議就是其最高層協(xié)議。換言之,在工業(yè)以太網(wǎng)數(shù)據(jù)幀中,第二層通信協(xié)議即為應(yīng)用層協(xié)議。
[0004]由于在工業(yè)以太網(wǎng)數(shù)據(jù)幀中不包括第二層通信協(xié)議以上的更高的協(xié)議層,因此,在通信協(xié)議第二層以上的較高協(xié)議層中實(shí)現(xiàn)的用于保護(hù)數(shù)據(jù)免受網(wǎng)絡(luò)攻擊的方法不能用來(lái)保護(hù)工業(yè)以太網(wǎng)數(shù)據(jù)幀的安全,從而工業(yè)自動(dòng)化控制系統(tǒng)中的通信存在安全隱患。
[0005]現(xiàn)有技術(shù)已經(jīng)存在利用深度報(bào)文檢測(cè)(DP1:Deep Packet Inspect1n)方案來(lái)保證通信安全,然而,該DPI方案是通過(guò)檢測(cè)通信協(xié)議IP層(第三層)、TCP/UDP層(第四層)以上的應(yīng)用協(xié)議中的有效載荷來(lái)保證通信安全的,其并不適用于工業(yè)以太網(wǎng)數(shù)據(jù)幀。
【發(fā)明內(nèi)容】
[0006]考慮到現(xiàn)有技術(shù)不能適應(yīng)工業(yè)現(xiàn)場(chǎng)控制領(lǐng)域安全防護(hù)的需要,本發(fā)明實(shí)施例提出一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法和裝置,其能夠提高工業(yè)自動(dòng)化控制系統(tǒng)的通信安全。
[0007]按照本發(fā)明實(shí)施例的一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法,包括:當(dāng)攔截到工業(yè)以太網(wǎng)數(shù)據(jù)幀時(shí),根據(jù)用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式,檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法;以及,如果檢測(cè)結(jié)果為否定,則丟棄所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警。
[0008]在一種具體實(shí)現(xiàn)中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的攻擊特征的行為模式,所述檢測(cè)步驟包括:檢查所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的攻擊特征的行為模式是否匹配;以及,如果檢查結(jié)果表明所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式不匹配和/或與所述針對(duì)該協(xié)議的攻擊特征的行為模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
[0009]在一種具體實(shí)現(xiàn)中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式還包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式,以及,所述檢測(cè)步驟還包括:檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式是否匹配;以及,如果檢測(cè)結(jié)果表明所述有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式不匹配和/或與所述針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
[0010]在一種具體實(shí)現(xiàn)中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法時(shí)間行為特征的時(shí)間行為模式、用于描述工業(yè)以太網(wǎng)協(xié)議的合法信道行為特征的信道行為模式和用于描述工業(yè)以太網(wǎng)協(xié)議的合法流量行為特征的流量行為模式中的至少一個(gè),所述針對(duì)該協(xié)議的攻擊特征的行為模式包括用于描述針對(duì)該協(xié)議的非法時(shí)間行為特征的時(shí)間行為模式。
[0011]按照本發(fā)明實(shí)施例的一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的裝置,包括:檢測(cè)模塊,用于當(dāng)攔截到工業(yè)以太網(wǎng)數(shù)據(jù)幀時(shí),根據(jù)用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式,檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法;以及,丟棄/告警模塊,用于如果檢測(cè)結(jié)果為否定,則丟棄所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警。
[0012]在一種具體實(shí)現(xiàn)中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的攻擊特征的行為模式,所述檢測(cè)模塊包括:檢查模塊,用于檢查所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的攻擊特征的行為模式是否匹配;以及,確定模塊,用于如果檢查結(jié)果表明所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式不匹配和/或與所述針對(duì)該協(xié)議的攻擊特征的行為模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
[0013]在一種具體實(shí)現(xiàn)中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式包括還用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式,所述檢查模塊還用于檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式是否匹配,以及,所述確定模塊還用于如果檢測(cè)結(jié)果表明所述有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式不匹配和/或與所述針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
[0014]在一種具體實(shí)現(xiàn)中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法時(shí)間行為特征的時(shí)間行為模式、用于描述工業(yè)以太網(wǎng)協(xié)議的合法信道行為特征的信道行為模式和用于描述工業(yè)以太網(wǎng)協(xié)議的合法流量行為特征的流量行為模式中的至少一個(gè),所述針對(duì)該協(xié)議的攻擊特征的行為模式包括用于描述針對(duì)該協(xié)議的非法時(shí)間行為特征的時(shí)間行為模式。
[0015]從上面的描述可以看出,本發(fā)明實(shí)施例所提出的方案根據(jù)用于描述工業(yè)以太網(wǎng)控制通信的合法特征和/或攻擊特征的模式來(lái)檢測(cè)工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法,并丟棄不合法的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警,從而提高了工業(yè)自動(dòng)化控制系統(tǒng)的通信安全。
【專利附圖】
【附圖說(shuō)明】
[0016]本發(fā)明的其它特征、特點(diǎn)、優(yōu)點(diǎn)和益處通過(guò)以下結(jié)合附圖的詳細(xì)描述將變得更加顯而易見。
[0017]圖1示出了按照本發(fā)明一個(gè)實(shí)施例的工業(yè)自動(dòng)化控制系統(tǒng)的示意圖。
[0018]圖2示出了按照本發(fā)明一個(gè)實(shí)施例的用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法的流程圖。
[0019]圖3示出了按照本發(fā)明一個(gè)實(shí)施例的用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的裝置的示意圖。
[0020]圖4示出了按照本發(fā)明一個(gè)實(shí)施例的檢測(cè)模塊的示意圖。
[0021]圖5示出了按照本發(fā)明一個(gè)實(shí)施例的用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的設(shè)備的示意圖。
【具體實(shí)施方式】
[0022]下面,將結(jié)合附圖詳細(xì)說(shuō)明本發(fā)明的各個(gè)實(shí)施例。
[0023]現(xiàn)在參見圖1,其示出了按照本發(fā)明一個(gè)實(shí)施例的工業(yè)自動(dòng)化控制系統(tǒng)的示意圖。如圖1所示,工業(yè)自動(dòng)化控制系統(tǒng)10可以包括工作站102、人機(jī)界面設(shè)備(HMI)104、服務(wù)器106、可編程邏輯控制器(PLC)108、110、112、工業(yè)以太網(wǎng)交換機(jī)114、116和數(shù)據(jù)幀深度檢測(cè)設(shè)備118。其中,工作站102、HMI104和服務(wù)器106與工業(yè)以太網(wǎng)交換機(jī)114連接,可編程邏輯控制器(PLC)108、110和112與工業(yè)以太網(wǎng)交換機(jī)116連接,工業(yè)以太網(wǎng)交換機(jī)114和116相互連接,以及,數(shù)據(jù)幀深度檢測(cè)設(shè)備118連接在工業(yè)以太網(wǎng)交換機(jī)114和116之間。
[0024]其中,工作站102、HMI 104和服務(wù)器106是易受安全攻擊以及易感染病毒與惡意軟件的設(shè)備,其可以將來(lái)自用戶的和/或生產(chǎn)的組態(tài)(配置)指令、管理指令、控制指令封裝成工業(yè)以太網(wǎng)數(shù)據(jù)幀并通過(guò)工業(yè)以太網(wǎng)交換機(jī)114和116發(fā)送給可編程邏輯控制器108、110和112,以及通過(guò)工業(yè)以太網(wǎng)交換機(jī)114和116接收來(lái)自可編程邏輯控制器108、110和112的封裝在工業(yè)以太網(wǎng)數(shù)據(jù)幀中的各種控制數(shù)據(jù)或狀態(tài)數(shù)據(jù)。
[0025]可編程邏輯控制器108、110和112屬于現(xiàn)場(chǎng)控制設(shè)備,其可以根據(jù)通過(guò)工業(yè)以太網(wǎng)交換機(jī)114和116從工作站102、HMI104和服務(wù)器106接收到的組態(tài)(配置)指令、管理指令、控制指令來(lái)控制所在區(qū)域中的各個(gè)現(xiàn)場(chǎng)設(shè)備(分布式1設(shè)備,未示出)進(jìn)行各種操作,以及把從這些現(xiàn)場(chǎng)設(shè)備收集到的數(shù)據(jù)封裝成工業(yè)以太網(wǎng)數(shù)據(jù)幀并通過(guò)工業(yè)以太網(wǎng)交換機(jī)114和116發(fā)送給工作站102、HMI104和服務(wù)器106。
[0026]數(shù)據(jù)幀深度檢測(cè)設(shè)備118是可以用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的設(shè)備,其預(yù)先存儲(chǔ)有用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征(白名單)和針對(duì)該協(xié)議的攻擊特征(黑名單)的模式。數(shù)據(jù)幀深度檢測(cè)設(shè)備118可以攔截在工業(yè)以太網(wǎng)交換機(jī)114和116之間傳送的工業(yè)以太網(wǎng)數(shù)據(jù)幀,根據(jù)預(yù)先存儲(chǔ)的用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和針對(duì)該協(xié)議的攻擊特征的模式來(lái)檢測(cè)所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法,并當(dāng)所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法時(shí)丟棄該工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警。換言之,當(dāng)所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法時(shí),該工業(yè)以太網(wǎng)數(shù)據(jù)幀可被丟棄而不會(huì)發(fā)送到該工業(yè)以太網(wǎng)數(shù)據(jù)幀所指示的目的地。
[0027]用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和針對(duì)該協(xié)議的攻擊特征的模式可以包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式、用于描述針對(duì)該協(xié)議的的攻擊特征的語(yǔ)法模式、用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和用于描述針對(duì)該協(xié)議的的攻擊特征的行為模式。
[0028]用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式可以包括協(xié)議規(guī)范指定的工業(yè)以太網(wǎng)數(shù)據(jù)幀的合法語(yǔ)法,在此,合法語(yǔ)法可以包括幀中字段出現(xiàn)的位置(相對(duì)位置)、合法取值范圍、長(zhǎng)度等語(yǔ)法特征。用于描述攻擊特征的語(yǔ)法模式可以包括但不局限于工業(yè)以太網(wǎng)數(shù)據(jù)幀的不正確語(yǔ)法、畸形的工業(yè)以太網(wǎng)數(shù)據(jù)幀等,在此,畸形的工業(yè)以太網(wǎng)數(shù)據(jù)幀可以包括,例如某些幀字段被設(shè)置了惡意值的工業(yè)以太網(wǎng)數(shù)據(jù)幀、幀字段的長(zhǎng)度或位置被改變?yōu)椴煌趨f(xié)議規(guī)范所定義的合法語(yǔ)法的工業(yè)以太網(wǎng)數(shù)據(jù)幀。在此,語(yǔ)法模式可以包括但不局限于使用簡(jiǎn)單的字符串、正則表達(dá)式、正則語(yǔ)法、BNF/ABNF/EBNF語(yǔ)法或基于XML的語(yǔ)法等來(lái)定義。
[0029]更重要的是用于描述工業(yè)以太網(wǎng)協(xié)議的合法行為特征的行為模式和針對(duì)該協(xié)議的攻擊行為特征的行為模式,其可以包括但不局限于時(shí)間行為模式、信道(通信上下文)行為模式和流量行為模式。
[0030](I)時(shí)間行為模式。在各種工業(yè)以太網(wǎng)協(xié)議中,普遍存在著用于對(duì)網(wǎng)絡(luò)、設(shè)備、通信進(jìn)行工程管理或組態(tài)配置的各種協(xié)議,例如PROFINET中的DCP協(xié)議等。這些協(xié)議中都存在著某些類型的工業(yè)以太網(wǎng)數(shù)據(jù)幀,可以對(duì)設(shè)備、通信的關(guān)鍵參數(shù)進(jìn)行設(shè)置,如修改IP地址、將設(shè)備復(fù)位為出廠設(shè)置等。這些工業(yè)以太網(wǎng)數(shù)據(jù)幀本身都是符合協(xié)議語(yǔ)法規(guī)定的,在對(duì)工業(yè)以太網(wǎng)及其設(shè)備進(jìn)行(安裝調(diào)試期間、停產(chǎn)期間)檢修維護(hù)時(shí)是允許的,但當(dāng)現(xiàn)場(chǎng)控制設(shè)備處于工作(控制)狀態(tài)時(shí),發(fā)送這些工業(yè)以太網(wǎng)數(shù)據(jù)幀則會(huì)導(dǎo)致控制設(shè)備出現(xiàn)異常、停機(jī),導(dǎo)致嚴(yán)重的后果。因此,采用時(shí)間行為模式可以描述工業(yè)以太網(wǎng)協(xié)議的合法時(shí)間行為特征或非法時(shí)間行為特征。例如,可以使用以下規(guī)則來(lái)表示用于描述工業(yè)以太網(wǎng)協(xié)議的合法時(shí)間行為特征的時(shí)間行為模式:
[0031]<startl, endl>allow srcl — dstl,〈frame pattern),
[0032]其表示只有在從起始時(shí)間startl到結(jié)束時(shí)間endl這一時(shí)間窗口中出現(xiàn)的從源地址srcl到目的地址dstl的符合該指定的數(shù)據(jù)巾貞模式特征或類型frame pattern的工業(yè)以太網(wǎng)數(shù)據(jù)幀才是允許的或合法的。又例如,可以使用以下規(guī)則來(lái)表示針對(duì)該協(xié)議的非法時(shí)間行為特征的時(shí)間行為模式:
[0033]<start2, end2>deny src2 — dst2,〈frame pattern〉,
[0034]其表示在從起始時(shí)間start2到結(jié)束時(shí)間end2這一時(shí)間窗口中出現(xiàn)的從源地址src2到目的地址dst2的符合該規(guī)定的數(shù)據(jù)巾貞模式特征或類型frame pattern的工業(yè)以太網(wǎng)數(shù)據(jù)幀是禁止或非法的。
[0035](2)信道(通信上下文)行為模式。所有的(實(shí)時(shí))工業(yè)以太網(wǎng)協(xié)議,由于要考慮以太網(wǎng)的現(xiàn)場(chǎng)設(shè)備之間的快速的數(shù)據(jù)交換,所以普遍采用了預(yù)先設(shè)定的通信信道(包括預(yù)先設(shè)定的通信兩端的設(shè)備及應(yīng)用實(shí)體、通信的時(shí)間、可能出現(xiàn)的時(shí)間偏移等參數(shù))來(lái)定義現(xiàn)場(chǎng)設(shè)備之間的通信(包括數(shù)據(jù)交換、參數(shù)傳輸和調(diào)試診斷)。例如在PROFINET 1中,遵循供給者-消費(fèi)者(provider-consumer)的模型,在1控制器和1設(shè)備之間,會(huì)建立起一個(gè)應(yīng)用關(guān)系(AR Applicat1n Relat1n),這類AR用于周期性的數(shù)據(jù)交換、參數(shù)傳輸、警報(bào)處理等不同的通信,并可在AR內(nèi)進(jìn)一步地定義對(duì)應(yīng)的通訊關(guān)系(CR:Communicat1n Relat1n)。因此,在現(xiàn)場(chǎng)設(shè)備的之間的通信是有嚴(yán)格的通信上下文(信道)的,其行為特征可以包括通信的時(shí)間、源設(shè)備、目的設(shè)備等。因此,采用信道行為模式可以描述工業(yè)以太網(wǎng)數(shù)據(jù)幀的合法信道行為特征。例如,可以使用以下規(guī)則來(lái)表示用于描述工業(yè)以太網(wǎng)協(xié)議的合法信道行為特征的信道行為模式:
[0036]〈time, offset>Context<src, dst, frame pattern),
[0037]此規(guī)則定義了在通信時(shí)間time及可能出現(xiàn)的時(shí)間偏移offset范圍內(nèi),通信上下文Context為從設(shè)備src到設(shè)備dst之間的以太網(wǎng)數(shù)據(jù)巾貞的類型模式frame pattern的通信。此規(guī)則可以在對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行組態(tài)(配置)時(shí)手動(dòng)或自動(dòng)部署到數(shù)據(jù)幀深度檢測(cè)設(shè)備118上。如果攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀滿足上述規(guī)則,則該數(shù)據(jù)幀是合法的;如果不滿足上述規(guī)則,則該數(shù)據(jù)幀很可能是攻擊性數(shù)據(jù)幀,會(huì)干擾現(xiàn)場(chǎng)設(shè)備間的高速實(shí)時(shí)通信。
[0038](3)流量行為模式。流量行為模式可以用于描述工業(yè)以太網(wǎng)協(xié)議的合法流量行為特征,包括但不限于工業(yè)以太網(wǎng)數(shù)據(jù)幀被允許傳輸?shù)膯挝粫r(shí)間吞吐量閾值及合法的流量統(tǒng)計(jì)分布特征等。例如,流量行為模式設(shè)置ARP請(qǐng)求幀單位時(shí)間吞吐量閾值為200kbs,則當(dāng)ARP請(qǐng)求幀的每秒請(qǐng)求數(shù)量大于這個(gè)閾值時(shí),則可判定出現(xiàn)了可以干擾工業(yè)以太網(wǎng)控制通信的DoS攻擊。
[0039]在此,行為模式可以使用但不局限于有限狀態(tài)機(jī)、UML狀態(tài)圖或狀態(tài)轉(zhuǎn)換表來(lái)定義。
[0040]從以上描述可以看出,本發(fā)明實(shí)施例所提出的方案根據(jù)用于描述合法特征和/或攻擊特征的模式來(lái)檢測(cè)工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法并丟棄不合法的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警,從而提高了工業(yè)自動(dòng)化控制系統(tǒng)的通信安全。此外,時(shí)間行為模式、信道行為模式和流量行為模式針對(duì)工業(yè)以太網(wǎng)控制通信獨(dú)特的特點(diǎn),描述了合法和/或非法的工業(yè)以太網(wǎng)控制通信協(xié)議的時(shí)間因素以及通信設(shè)備間的應(yīng)用關(guān)系和通訊關(guān)系,從而能夠?qū)I(yè)以太網(wǎng)中關(guān)鍵的控制數(shù)據(jù)通信提供有效的安全防護(hù)。
[0041]現(xiàn)在參見圖2,其示出了按照本發(fā)明一個(gè)實(shí)施例的工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法的流程圖。圖2所示的方法是由數(shù)據(jù)幀深度檢測(cè)設(shè)備118執(zhí)行的。
[0042]如圖2所示,在步驟S200,數(shù)據(jù)幀深度檢測(cè)設(shè)備118攔截在工業(yè)以太網(wǎng)交換機(jī)114和116之間傳送的工業(yè)以太網(wǎng)數(shù)據(jù)幀。
[0043]在步驟S204,數(shù)據(jù)幀深度檢測(cè)設(shè)備118檢測(cè)所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與預(yù)先存儲(chǔ)的用于描述針對(duì)工業(yè)以太網(wǎng)協(xié)議的攻擊特征的語(yǔ)法模式和用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式是否匹配。
[0044]在步驟S208,如果步驟S204的檢測(cè)結(jié)果表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與所述攻擊特征的語(yǔ)法模式不匹配或者與所述合法特征的語(yǔ)法模式匹配(A分支),則數(shù)據(jù)幀深度檢測(cè)設(shè)備118檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述攻擊特征的行為模式和所述合法特征的行為模式是否匹配。例如,假設(shè)預(yù)先存儲(chǔ)的用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式包括用于描述從設(shè)備Al發(fā)送到設(shè)備BI的表示復(fù)位指令的工業(yè)以太網(wǎng)數(shù)據(jù)巾貞在從開始時(shí)間StartTimel到結(jié)束時(shí)間EndTimel之間出現(xiàn)是合法的時(shí)間行為模式,那么數(shù)據(jù)幀深度檢測(cè)設(shè)備118首先根據(jù)所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的信息檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否是從設(shè)備Al發(fā)送到設(shè)備BI的表示復(fù)位指令的工業(yè)以太網(wǎng)數(shù)據(jù)幀,如果所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是從設(shè)備Al發(fā)送到設(shè)備BI的表示復(fù)位指令的工業(yè)以太網(wǎng)數(shù)據(jù)幀,則數(shù)據(jù)幀深度檢測(cè)設(shè)備118進(jìn)一步檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀被攔截到的時(shí)間是否落入在從開始時(shí)間StartTimel到結(jié)束時(shí)間EndTimel之間,如果所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)巾貞被攔截到的時(shí)間落入在從開始時(shí)間StartTimel到結(jié)束時(shí)間EndTimel之間,則表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與該時(shí)間行為模式匹配。例如,假設(shè)預(yù)先存儲(chǔ)的用于描述針對(duì)工業(yè)以太網(wǎng)協(xié)議的攻擊特征的行為模式包括用于描述從設(shè)備A2發(fā)送到設(shè)備B2的表示復(fù)位指令的工業(yè)以太網(wǎng)數(shù)據(jù)巾貞在從開始時(shí)間StartTime2到結(jié)束時(shí)間EndTime2之間出現(xiàn)是非法的時(shí)間行為模式,那么數(shù)據(jù)幀深度檢測(cè)設(shè)備118首先根據(jù)所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的信息檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否是從設(shè)備A2發(fā)送到設(shè)備B2的表示復(fù)位指令的工業(yè)以太網(wǎng)數(shù)據(jù)幀,如果所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是從設(shè)備A2發(fā)送到設(shè)備B2的表示復(fù)位指令的工業(yè)以太網(wǎng)數(shù)據(jù)幀,則數(shù)據(jù)幀深度檢測(cè)設(shè)備118進(jìn)一步檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀被攔截到的時(shí)間是否落入在從開始時(shí)間StartTime2到結(jié)束時(shí)間EndTime2之間,如果所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀被攔截到的時(shí)間落入在從開始時(shí)間StartTime2到結(jié)束時(shí)間EndTime2之間,則表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與該時(shí)間行為模式匹配。例如,假設(shè)預(yù)先存儲(chǔ)的用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式包括用于描述從設(shè)備A3發(fā)送到設(shè)備B3的類型為L(zhǎng)3的工業(yè)以太網(wǎng)數(shù)據(jù)幀在以PTime3為基點(diǎn)和時(shí)間偏差為P0ffset3的時(shí)間范圍內(nèi)通信是合法的信道行為模式,那么數(shù)據(jù)幀深度檢測(cè)設(shè)備118首先根據(jù)所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的信息檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否是從設(shè)備A3發(fā)送到設(shè)備B3的類型為L(zhǎng)3的工業(yè)以太網(wǎng)數(shù)據(jù)幀,如果所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是從設(shè)備A3發(fā)送到設(shè)備B3的類型為L(zhǎng)3的工業(yè)以太網(wǎng)數(shù)據(jù)幀,則數(shù)據(jù)幀深度檢測(cè)設(shè)備118進(jìn)一步檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀的通信時(shí)間是否落入在以PTime3為基點(diǎn)和時(shí)間偏差為P0ffset3的時(shí)間范圍內(nèi),如果所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀被攔截到的時(shí)間落入在以PTime3為基點(diǎn)和時(shí)間偏差為P0ffset3的時(shí)間范圍內(nèi),則表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與該信道行為模式匹配。又例如,假設(shè)預(yù)先存儲(chǔ)的用于描述合法特征的行為模式包括以太網(wǎng)數(shù)據(jù)幀幀被允許傳輸?shù)膯挝粫r(shí)間吞吐量閾值的流量行為模式,那么那么數(shù)據(jù)幀深度檢測(cè)設(shè)備118檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否是指定類型的以太網(wǎng)數(shù)據(jù)幀,如果所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是指定類型的以太網(wǎng)數(shù)據(jù)幀,則數(shù)據(jù)幀深度檢測(cè)設(shè)備118通過(guò)將單位時(shí)間內(nèi)包括所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀在內(nèi)的目前已攔截到的指定類型的以太網(wǎng)數(shù)據(jù)幀的總數(shù)乘以每一個(gè)指定類型的以太網(wǎng)數(shù)據(jù)幀的字節(jié)數(shù)并除以單位時(shí)間來(lái)計(jì)算得到實(shí)際傳輸?shù)膯挝粫r(shí)間吞吐量,并且判斷所計(jì)算出的實(shí)際傳輸?shù)膯挝粫r(shí)間吞吐量是否大于被允許傳輸?shù)膯挝粫r(shí)間吞吐量閾值,如果判斷結(jié)果表明實(shí)際傳輸?shù)膯挝粫r(shí)間吞吐量大于被允許傳輸?shù)膯挝粫r(shí)間吞吐量閾值,則表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與該流量行為模式不匹配。
[0045]在步驟S212,如果步驟S208的檢查結(jié)果表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與用于描述針對(duì)工業(yè)以太網(wǎng)協(xié)議的攻擊特征的行為模式不匹配或者與用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式匹配(C分支),則數(shù)據(jù)幀深度檢測(cè)設(shè)備118確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀合法并讓所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀通過(guò),以使得所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀到達(dá)其目的地。
[0046]在步驟S216,如果步驟S204的檢測(cè)結(jié)果表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與用于描述針對(duì)工業(yè)以太網(wǎng)協(xié)議的攻擊特征的語(yǔ)法模式匹配或者與用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式不匹配(B分支),或者,如果步驟S208的檢查結(jié)果表明所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與預(yù)先存儲(chǔ)的用于描述針對(duì)工業(yè)以太網(wǎng)協(xié)議的攻擊特征的行為模式匹配或者與預(yù)先存儲(chǔ)的用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式不匹配(D分支),則數(shù)據(jù)幀深度檢測(cè)設(shè)備118確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法并丟棄該工業(yè)以太網(wǎng)數(shù)據(jù)幀。
[0047]其它變型
[0048]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,雖然在上面的實(shí)施例中,在確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法時(shí)首先檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與語(yǔ)法模式是否匹配,然而,本發(fā)明并不局限于此。在本發(fā)明的其它一些實(shí)施例中,在確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法時(shí)也可以先檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與行為模式是否匹配,或者檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與語(yǔ)法模式是否匹配和檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與行為模式是否匹配同時(shí)進(jìn)行,或者不用檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與語(yǔ)法模式是否匹配。
[0049]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,雖然在上面的實(shí)施例中,通過(guò)檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與用于描述合法特征的語(yǔ)法模式、用于描述攻擊特征的語(yǔ)法模式、用于描述合法特征的行為模式和用于描述攻擊特征的行為模式是否匹配來(lái)確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法,然而,本發(fā)明并不局限于此。在本發(fā)明的其它一些實(shí)施例中,也可以通過(guò)檢查所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與用于描述合法特征的語(yǔ)法模式、用于描述攻擊特征的語(yǔ)法模式、用于描述合法特征的行為模式和用于描述攻擊特征的行為模式中的任意其中之一、之二或之三是否匹配來(lái)確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法。
[0050]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,雖然在上面的實(shí)施例中,確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法時(shí)所使用的模式包括語(yǔ)法模式和行為模式,然而,本發(fā)明并不局限于此。在本發(fā)明的其它一些實(shí)施例中,確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法時(shí)所使用的模式可以只包括語(yǔ)法模式或行為模式,或者,確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法時(shí)所使用的模式可以包括語(yǔ)法模式和行為模式中的至少一個(gè)和其它類型的模式,或者,確定所攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法時(shí)所使用的模式可以包括除了語(yǔ)法模式和行為模式之外的其它類型的模式。
[0051]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,雖然在上面的實(shí)施例中,工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的功能是在數(shù)據(jù)幀深度檢測(cè)設(shè)備118中實(shí)現(xiàn)的,然而,本發(fā)明并不局限于此。在本發(fā)明的其它一些實(shí)施例中,工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的功能也可以在工業(yè)自動(dòng)化控制系統(tǒng)10中的其它設(shè)備(例如,工作站102、HMI104、服務(wù)器106、可編程邏輯控制器108、110、112和/或工業(yè)以太網(wǎng)交換機(jī)114、116等)中實(shí)現(xiàn)。
[0052]現(xiàn)在參見圖3,其示出了按照本發(fā)明一個(gè)實(shí)施例的用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的裝置的示意圖。圖3所示的裝置可以利用軟件、硬件(例如集成電路或FPGA等)或軟硬件結(jié)合的方式來(lái)實(shí)現(xiàn),并且可以安裝在工業(yè)自動(dòng)化控制系統(tǒng)10的合適設(shè)備(例如,數(shù)據(jù)幀深度檢測(cè)設(shè)備118、工作站102、HMI104、服務(wù)器106、可編程邏輯控制器108、110、112和/或工業(yè)以太網(wǎng)交換機(jī)114,116)中。
[0053]如圖3所示,用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的裝置300可以包括檢測(cè)模塊310和丟棄模塊330。其中,檢測(cè)模塊310用于當(dāng)攔截到工業(yè)以太網(wǎng)數(shù)據(jù)幀時(shí),根據(jù)用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式,檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法。丟棄/告警模塊330用于如果檢測(cè)結(jié)果為否定,則丟棄所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警。
[0054]其中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式可以包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的的攻擊特征的行為模式,以及,如圖4所示,檢測(cè)模塊310可以包括:檢查模塊312,用于檢查所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的的攻擊特征的行為模式是否匹配;以及,確定模塊314,用于如果檢查結(jié)果表明所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式不匹配和/或與所述針對(duì)該協(xié)議的的攻擊特征的行為模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
[0055]其中,所述用于描述合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式還可以包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的的攻擊特征的語(yǔ)法模式,檢查模塊312還可以用于檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的的攻擊特征的語(yǔ)法模式是否匹配,以及,確定模塊314還可以用于如果檢測(cè)結(jié)果表明所述有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式不匹配和/或與所述針對(duì)該協(xié)議的的攻擊特征的語(yǔ)法模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
[0056]其中,所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法時(shí)間行為特征的時(shí)間行為模式、用于描述工業(yè)以太網(wǎng)協(xié)議的合法信道行為特征的信道行為模式和用于描述工業(yè)以太網(wǎng)協(xié)議的合法流量行為特征的流量行為模式中的至少一個(gè),以及,所述針對(duì)工業(yè)以太網(wǎng)協(xié)議的攻擊特征的行為模式包括用于描述針對(duì)該協(xié)議的的非法時(shí)間行為特征的時(shí)間行為模式。
[0057]現(xiàn)在參見圖5,其示出了按照本發(fā)明一個(gè)實(shí)施例的用于對(duì)工業(yè)以太網(wǎng)數(shù)據(jù)幀進(jìn)行深度檢測(cè)的設(shè)備的示意圖。如圖5所示,設(shè)備500可以包括用于存儲(chǔ)可執(zhí)行指令的存儲(chǔ)器510和處理器520。其中,處理器520根據(jù)存儲(chǔ)器510所存儲(chǔ)的可執(zhí)行指令,執(zhí)行裝置300的各個(gè)模塊所執(zhí)行的操作。
[0058]本發(fā)明實(shí)施例還提供一種機(jī)器可讀介質(zhì),其上存儲(chǔ)可執(zhí)行指令,當(dāng)該可執(zhí)行指令被執(zhí)行時(shí),使得機(jī)器實(shí)現(xiàn)處理器520所執(zhí)行的操作。
[0059]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,上面公開的各個(gè)實(shí)施例可以在不偏離發(fā)明實(shí)質(zhì)的情況下做出各種變形和修改。因此,本發(fā)明的保護(hù)范圍應(yīng)當(dāng)由所附的權(quán)利要求書來(lái)限定。
【權(quán)利要求】
1.一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的方法,包括: 當(dāng)攔截到工業(yè)以太網(wǎng)數(shù)據(jù)幀時(shí),根據(jù)用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式,檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法;以及 如果檢測(cè)結(jié)果為否定,則丟棄所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警。
2.如權(quán)利要求1所述的方法,其中 所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的攻擊特征的行為模式, 所述檢測(cè)步驟包括: 檢查所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的攻擊特征的行為模式是否匹配;以及 如果檢查結(jié)果表明所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式不匹配和/或與所述針對(duì)該協(xié)議的攻擊特征的行為模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
3.如權(quán)利要求2所述的方法,其中 所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式還包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式,以及 所述檢測(cè)步驟還包括: 檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式是否匹配;以及 如果檢測(cè)結(jié)果表明所述有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式不匹配和/或與所述針對(duì)該協(xié)協(xié)議的攻擊特征的語(yǔ)法模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
4.如權(quán)利要求2或3所述的方法,其中 所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法時(shí)間行為特征的時(shí)間行為模式、用于描述工業(yè)以太網(wǎng)協(xié)議的合法信道行為特征的信道行為模式和用于描述工業(yè)以太網(wǎng)協(xié)議的合法流量行為特征的流量行為模式中的至少一個(gè), 所述針對(duì)該協(xié)議的攻擊特征的行為模式包括用于描述針對(duì)該協(xié)議的非法時(shí)間行為特征的時(shí)間行為模式。
5.一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的裝置,包括: 檢測(cè)模塊,用于當(dāng)攔截到工業(yè)以太網(wǎng)數(shù)據(jù)幀時(shí),根據(jù)用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式,檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀是否合法;以及 丟棄/告警模塊,用于如果檢測(cè)結(jié)果為否定,則丟棄所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀和/或告警。
6.如權(quán)利要求5所述的裝置,其中 所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)該協(xié)議的攻擊特征的行為模式, 所述檢測(cè)模塊包括: 檢查模塊,用于檢查所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式和/或針對(duì)協(xié)議的攻擊特征的行為模式是否匹配;以及 確定模塊,用于如果檢查結(jié)果表明所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式不匹配和/或與所述針對(duì)該協(xié)議的攻擊特征的行為模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
7.如權(quán)利要求6所述的裝置,其中 所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征和/或針對(duì)該協(xié)議的攻擊特征的模式包括還用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式, 所述檢查模塊還用于檢測(cè)所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀所包括的有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式和/或針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式是否匹配,以及 所述確定模塊還用于如果檢測(cè)結(jié)果表明所述有效載荷與所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的語(yǔ)法模式不匹配和/或與所述針對(duì)該協(xié)議的攻擊特征的語(yǔ)法模式匹配,則確定所述攔截的工業(yè)以太網(wǎng)數(shù)據(jù)幀不合法。
8.如權(quán)利要求6或7所述的裝置,其中 所述用于描述工業(yè)以太網(wǎng)協(xié)議的合法特征的行為模式包括用于描述工業(yè)以太網(wǎng)協(xié)議的合法時(shí)間行為特征的時(shí)間行為模式、用于描述工業(yè)以太網(wǎng)協(xié)議的合法信道行為特征的信道行為模式和用于描述工業(yè)以太網(wǎng)協(xié)議的合法流量行為特征的流量行為模式中的至少一個(gè), 所述針對(duì)該協(xié)議的攻擊特征的行為模式包括用于描述針對(duì)該協(xié)議的非法時(shí)間行為特征的時(shí)間行為模式。
9.一種用于工業(yè)以太網(wǎng)數(shù)據(jù)幀深度檢測(cè)的設(shè)備,包括: 存儲(chǔ)器,用于存儲(chǔ)可執(zhí)行指令;以及 處理器,用于根據(jù)所述存儲(chǔ)器所存儲(chǔ)的可執(zhí)行指令,執(zhí)行權(quán)利要求1-4中的任意一個(gè)所包括的步驟。
10.一種機(jī)器可讀介質(zhì),其上存儲(chǔ)有可執(zhí)行指令,當(dāng)該可執(zhí)行指令被執(zhí)行時(shí),使得機(jī)器執(zhí)行權(quán)利要求1-4中的任意一個(gè)所包括的步驟。
【文檔編號(hào)】H04L12/931GK104079444SQ201310102778
【公開日】2014年10月1日 申請(qǐng)日期:2013年3月27日 優(yōu)先權(quán)日:2013年3月27日
【發(fā)明者】唐文 申請(qǐng)人:西門子公司