本發明涉及網絡安全技術領域，特別涉及一種基于iptables u32的工業協議防護方法，S1，IP協議識別模塊從IP報頭中提取報頭長度字段，并將其乘以4，得到以字節為單位的報頭長度；S2，報文檢索指針使用此值跳轉到TCO標頭的開頭：S3，TCP協議識別模塊從TCP頭中提取頭長度字段，并將其乘以4，得到以字節為單位的頭長度；S4，報文檢索指針使用此值跳轉到SCADA消息的開頭；S5，MODBUS協議讀取模塊指定SCADA消息開始時的偏移量，然后與所需值匹配。本發明的有益效果為，能夠使用iptables u32模塊不經過編程直接對工業協議實現靈活的解析與過濾。

技術領域

本發明涉及網絡安全技術領域，特別涉及一種基于iptables u32的工業協議防護方法。

背景技術

目前針對工業協議的防護主要采用的技術方案是通過工業防火墻進行，工業防火墻是保護工業網絡通信最廣泛使用的安全設備之一。他們通過阻止非法或異常流量進入工控網絡和受保護的工業資產來保障整個工控系統的安全。工業防火墻軟件實現需要在linux內核的基礎上進行編程處理。

常見的工業防火墻支持ICS相關協議的深度解析，但價格十分昂貴。有時會出現工業防火墻的設備高于被保護資產的價格。開源防火墻因iptables無法識別網絡層（即TCP和UDP）以外的協議或字段，主要應用于IT網絡中，無法處理通過TCP傳輸的工業互聯網SCADA消息。

為此，本申請設計了一種基于iptables u32的工業協議防護方法以解決上述問題。

發明內容

本發明為了彌補現有技術中工業防火墻工業協議防護方案需要使用預編譯的Linux或者用戶必須用他們的模塊重新編譯Linux內核, 并需要代碼編程來實現應用層工業協議的識別與過濾；現有工業防火墻工業協議防護方案需要使用專有的硬件來運行的不足，提供了一種基于iptables u32的工業協議防護方法。

本發明是通過如下技術方案實現的：

一種基于iptables u32的工業協議防護方法，由報文檢索指針、IP協議識別模塊、TCP協議識別模塊，MODBUS協議讀取模塊和協議防護模塊運行組成，其特征在于，包括以下步驟：

S1，IP協議識別模塊從IP報頭中提取報頭長度字段，并將其乘以4，得到以字節為單位的報頭長度；

S2，報文檢索指針使用此值跳轉到TCP標頭的開頭：

S3，TCP協議識別模塊從TCP頭中提取頭長度字段，并將其乘以4，得到以字節為單位的頭長度；

S4，報文檢索指針使用此值跳轉到SCADA消息的開頭；

S5，MODBUS協議讀取模塊指定SCADA消息開始時的偏移量，然后與所需值匹配。

進一步地，為了更好的實現本發明，所述S1中IP協議識別模塊在數據包中動態選擇一個起始點，以匹配最多32位的數據，通過使用數據包的header length字段來計算報頭長度，然后跳轉到其有效負載的開頭，具體的方法為：

S11，IP協議識別模塊從數據包中隨機選擇一個起始點，然后讀取IP報頭的前四個字節；

S12，將報文檢索指針從0位開始，右移22位,通過右移22位后獲得的字符數值與掩碼0x3c(00111100)進行運算，得出IP協議字段中HeaderLENGTH的數值阿爾法；

S13，報文檢索指針跳轉到阿爾法*4的位數上即可獲得TCP標頭的開頭值。

進一步地，為了更好的實現本發明，所述S3中TCP協議識別模塊的具體運行方法為：

S31，TCP協議識別模塊TCP offset字段，其表示TCP頭的長度（從TCP頭第12字節開始）；