本發明公開了一種基于工業防火墻的序列攻擊檢測實現方法。方法包括首條指令到來，建立指令序列表，下一條指令到來，查指令序列表，根據命中情況，刷新指令序列表，后續指令到來，直到指令序列表為空或剩余一條指令序列。本發明優越效果是：能夠應對日益精準的針對性攻擊并顯著提高了攻擊成本且減少了工控系統停機。實現了序列攻擊檢測方法，任一序列非法指令都將被攔截、告警，使得工控系統中所有有序列關系的指令都將被規范運行在按序、合法狀態，從而消除了工控系統因序列攻擊或用戶的誤操作可能產生的危害。

技術領域

本發明屬于工控安全技術領域，尤其涉及一種基于工業防火墻的序列攻擊檢測實現方法。

背景技術

目前，工業防火墻主要通過流量分析、特征庫匹配、工控協議深度解析等安全防護技術來保障工業網絡安全。申請號為201310453267.1的專利公開了一種防火墻自動防御分布式拒絕服務攻擊的方法和裝置，包括：對穿越和到達防火墻設備的數據流量進行流FLOW分析；根據FLOW分析的結果，若檢測出符合某種分布式拒絕服務DDOS攻擊類型的攻擊特征，符合該攻擊特征的數據流量為DDOS攻擊流量，根據預先設置的DDOS攻擊類型與防護安全策略之間的對應關系，自動生成攔截DDOS攻擊流量的防護安全策略，并將生成的防護安全策略配置在防火墻設備上；響應于檢測出符合某種DDOS攻擊類型的攻擊特征消失，從防火墻設備上刪除攔截DDOS攻擊流量的防護安全策略。申請號為201410104519.4的專利公開了一種防御HttpFlood攻擊的方法，包括如下步驟：防火墻生成并維護挑戰列表；防火墻與用戶建立TCP連接，并判斷接收到的來自用戶的get報文的源IP地址是否存在于挑戰列表內；如果防火墻接收到的get報文的源IP地址不存在于挑戰列表內，則防火墻攔截get報文并根據get報文構建JavaScript重定向頁面，以及將get報文的源IP地址、get請求頁面地址、生成的JavaScript重定向頁面地址作為一個條目加入到挑戰列表；防火墻在檢測到挑戰列表中有條目在預設時長內未進行重定向訪問時，將該條目的源IP地址加入黑名單列表以阻止源IP地址的后續流量。

基于工控協議的特點，工業防火墻廠商也開始關注將指令的序列檢測作為一種安全防護手段。工控協議序列攻擊是將合法的操作注入到序列不合法的位置上，迫使工控系統進入異常狀態，損壞設備甚至破壞周邊環境。比如燃氣管道有兩個開關S1,S2，攻擊者通過完全關閉S1，開啟S2的操作序列，導致管道內壓強最大，產生危險。也就是同時開啟S1、S2的指令次序沒有問題，開啟S1、關閉S2的次序異常就會產生問題。目前的工業防火墻指令序列攻擊檢測技術支持配置規則間沒有相同指令的序列規則，甚至同一條規則內都沒有重復的指令。

發明內容

本發明的目的在于提供一種能夠克服上述技術問題的基于工業防火墻的序列攻擊檢測實現方法，本發明所述方法包括以下步驟：

步驟1，首條指令到來，建立指令序列表:

步驟1.1，遍歷所有指令序列規則；

步驟1.2，如果第i條規則r[i]中沒找到首指令，則跳過步驟1.3；

步驟1.3，將r[i]及首指令在第i條規則中的位置記錄到指令序列表；

步驟1.4，重復步驟1.2、步驟1.3，將所有包含首指令的指令序列添加到指令序列表，形成最終的指令序列表。

步驟2，下一條指令到來，查指令序列表，根據命中情況，刷新指令序列表：

步驟2.1，遍歷指令序列表中的每個序列；

步驟2.2，如果序列i的第pos+1位置是當前到來的指令，則將序列i保留在指令序列表，跳過步驟2.3；

步驟2.3，將序列從指令序列表中刪除；

步驟2.4，重復步驟2.2、步驟2.3，完成當前指令對指令序列表的刷新操作。