本發(fā)明屬于工業(yè)防火墻深度防護技術(shù)領(lǐng)域，尤其涉及的是一種實現(xiàn)Ethernet/Ip協(xié)議動態(tài)跟蹤的工業(yè)防火墻的方法。

背景技術(shù)：

目前工業(yè)防護墻中對Ethernet/Ip的防護主要是字段防護以及Tcp/Ip的會話跟蹤防護，字段防護主要分為兩部分，字段合理性檢查和字段具體數(shù)值匹配。一種方式為整個防護過程主要是基于防火墻配置CMP管理端下發(fā)的規(guī)則以及防火墻系統(tǒng)中實現(xiàn)的Tcp/Ip會話連接跟蹤。

SA防火墻基于無IP通信方式，接收來自防火墻配置CMP的管理數(shù)據(jù)包，將數(shù)據(jù)包中的規(guī)則解析到防護墻中，對經(jīng)過防火墻的數(shù)據(jù)進行過濾檢測。利用系統(tǒng)本身支持的連接跟蹤功能對TCP/Ip會話進行跟蹤。另一種方式，是現(xiàn)有方案中防護墻防護Ethernet/Ip需要進行如下操作:

步驟一、防火墻接入防護網(wǎng)絡(luò)：防火墻根據(jù)現(xiàn)場需求，按照設(shè)計使用說明，接入工業(yè)網(wǎng)絡(luò)。

步驟二、管理端配置規(guī)則：根據(jù)Ethernet/Ip規(guī)范配置下發(fā)規(guī)則，包括是否開啟合理性檢測、字段值匹配以及過濾行為控制

步驟三、下發(fā)管理規(guī)則：管理端將規(guī)則下發(fā)至防火墻，防火墻解析并加載至防火墻中；

步驟四、開啟Tcp/Ip會話跟蹤：運用現(xiàn)有連接跟蹤技術(shù)，開啟Tcp/Ip會話跟蹤；

步驟五、防火墻解析匹配：Ethernet/Ip協(xié)議通信開始，防護墻根據(jù)防火墻配置CMP管理端下發(fā)的規(guī)則，對Ethernet/Ip通信包進行解析、檢測以及匹配；

步驟六、防護結(jié)果反饋：根據(jù)管理端的下發(fā)的防護行為配置，將防護結(jié)果反饋到管理股進行動態(tài)展示。

以上現(xiàn)有技術(shù)存在明顯缺點：Ethernet/Ip通信過程中僅僅進行了最基本的防護，防護的信息是可以被攻擊者輕松的獲得非常基本的數(shù)據(jù)，服務(wù)器甚至整個工業(yè)網(wǎng)絡(luò)仍然極易遭受攻擊。

因此，現(xiàn)有技術(shù)存在缺陷，需要改進。

技術(shù)實現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是針對現(xiàn)有技術(shù)的不足，提供一種實現(xiàn)Ethernet/Ip協(xié)議動態(tài)跟蹤的工業(yè)防火墻的方法。

本發(fā)明的技術(shù)方案如下：

一種實現(xiàn)Ethernet/Ip協(xié)議動態(tài)跟蹤的工業(yè)防火墻的方法，其中，包括以下步驟：

步驟102：確定數(shù)據(jù)包是否為Ethernet/Ip協(xié)議數(shù)據(jù)包；

步驟104：判斷是否符合TCP/IP連接跟蹤會話記錄，符合則進行步驟106，不符合直接丟棄該數(shù)據(jù)包；

步驟106：進行配置的字段數(shù)值是否合法，若匹配通過則進行步驟108，匹配未通過則根據(jù)下發(fā)的規(guī)則中的行為方式進行丟棄或放行，并上報日志至防火墻配置CMP管理端；

步驟108：對步驟106中通過的數(shù)據(jù)包繼續(xù)進行處理，查找到則認定該數(shù)據(jù)包合法，進行步驟112，未查找到則進行步驟110；

步驟110：若該數(shù)據(jù)包為SessionHandle動態(tài)協(xié)商的請求包，則防火墻放行通過；若該數(shù)據(jù)包為SessionHandle動態(tài)協(xié)商的響應(yīng)包，則將協(xié)商的SessionHandle值截取出來，并添加到步驟108中對應(yīng)的HASH鏈表中；

步驟112：若該數(shù)據(jù)包為SessionHandle動態(tài)協(xié)商取消包，則將該數(shù)據(jù)包中的SessionHandle截取出來，找到其對應(yīng)的108步驟中鏈表中的節(jié)點并將該SessionHandle從鏈表中移除。

所述的方法，其中，所述步驟102包括：根據(jù)端口是否為44818來確定數(shù)據(jù)包是否為Ethernet/Ip協(xié)議數(shù)據(jù)包。

所述的方法，其中，所述步驟104包括：根據(jù)TCP/IP中IP地址、端口號、SEQ序列號信息，進行TCP/IP連接跟蹤會話。

所述的方法，其中，所述步驟106包括：根據(jù)防火墻配置CMP管理端下發(fā)的規(guī)則，進行基于協(xié)議規(guī)范的合理性檢查以及匹配規(guī)則配置的字段數(shù)值是否合法。

所述的方法，其中，所述步驟106還包括：所述合理性檢查是依據(jù)Ethernet/Ip規(guī)范中規(guī)定的字段值的合法范圍。

所述的方法，其中，所述步驟106還包括：所述匹配規(guī)則為用戶下發(fā)了只允許Ethernet/Ip協(xié)議某種類型包通過的規(guī)則。

所述的方法，其中，所述步驟106還包括：所述行為方式為攔截或匹配到了用戶定義的數(shù)據(jù)包后進行放行或丟棄的行為規(guī)則。

所述的方法，其中，所述步驟108包括：對步驟106中通過的數(shù)據(jù)包繼續(xù)進行處理，截取數(shù)據(jù)包中的IP及端口，并將該四元組信息進行HASH，拿到該HASH值后，在SessionHandle存儲鏈表中查找是否存在該HASH值對應(yīng)的SessionHandle，查找到則認定該數(shù)據(jù)包合法。

所述的方法，其中，所述步驟112還包括：如出現(xiàn)其它數(shù)據(jù)包則認為符合防護墻規(guī)則及SessionHandle會話跟蹤，防火墻進行放行。

采用上述方案，針對組網(wǎng)生產(chǎn)線調(diào)測業(yè)務(wù)中多測試節(jié)點數(shù)據(jù)上傳處理時系統(tǒng)響應(yīng)遲緩、人機交互實時性差的場景，采用異步數(shù)據(jù)收集入庫存儲方式來緩解現(xiàn)場測量軟件的響應(yīng)處理壓力進而提高調(diào)測效率。本發(fā)明所提出Ethernet/Ip協(xié)議動態(tài)會話跟蹤，能夠在目前基于字段、TCP會話狀態(tài)防護的基礎(chǔ)上，進一步提升防護等級，有效攔截工業(yè)網(wǎng)絡(luò)內(nèi)針對Ethernet/Ip協(xié)議通信的非法攻擊，維持工控設(shè)備的正常運行，避免因攻擊造成的重大損失；該發(fā)明的創(chuàng)新點：防火墻針對Ethernet/Ip協(xié)議中實現(xiàn)復(fù)雜度較高的SessionHandle字段，實現(xiàn)了基于應(yīng)用層協(xié)議層面的動態(tài)會話跟蹤，通過該種跟蹤方式與TCP會話狀態(tài)跟蹤結(jié)合形成雙路跟蹤模式，使攻擊者的攻擊難度呈復(fù)數(shù)增長，打破了Ethernet/Ip協(xié)議通信普通的防護模式，使工控網(wǎng)絡(luò)中Ethernet/Ip協(xié)議通信的到充分防護。

附圖說明

圖1為本發(fā)明的方法流程圖。

具體實施方式

以下結(jié)合附圖和具體實施例，對本發(fā)明進行詳細說明。

實施例1

本發(fā)明是一種工業(yè)網(wǎng)絡(luò)環(huán)境下Ethernet/Ip協(xié)議通信過程中對其應(yīng)用層會話進行動態(tài)跟蹤的方法。工業(yè)網(wǎng)絡(luò)環(huán)境中，防護墻對于Ethernet/Ip的防護，僅僅是根據(jù)預(yù)先定義的訪問控制策略和安全防護策略，解析和過濾經(jīng)過防火墻的Ethernet/Ip數(shù)據(jù)流，通過深度檢測DPI，檢測數(shù)據(jù)包內(nèi)容的合理性。Ethernet/IP作為一個重要且復(fù)雜的工業(yè)通信協(xié)議僅做到該種防護是遠遠不夠的。

本發(fā)明所提出的Ethernet/Ip應(yīng)用層會話動態(tài)跟蹤方法，基于Ethernet/Ip協(xié)議中SessionHandle字段的使用，該字段實現(xiàn)復(fù)雜度高，可精準(zhǔn)控制應(yīng)用層會話，方法主要步驟分兩步：

首先是SessionHandle的獲取。在監(jiān)控會話通信的過程中，對通信數(shù)據(jù)包進行過濾篩選，一旦檢測到協(xié)商SessionHandle客戶端的請求數(shù)據(jù)包以及響應(yīng)數(shù)據(jù)包之后，將響應(yīng)包的的SessionHandle截取出來，添加到以該數(shù)據(jù)包元組信息計算的HASH值為鏈表節(jié)點的鏈表中。根據(jù)是否為SessionHandle取消包，將SessionHandle從鏈表中移除。

然后是SessionHandle的使用。在獲取到SessionHandle后，對接下來所有的數(shù)據(jù)包除了正常的防護之外，進行SessionHandle跟蹤，根據(jù)鏈表中存儲的SessionHandle值，對所有的協(xié)議通信數(shù)據(jù)包繼續(xù)匹配，實現(xiàn)動態(tài)跟蹤。

本發(fā)明方法能解決Ethernet/Ip協(xié)議防護力度差，防護覆蓋小的問題。

在以上內(nèi)容基礎(chǔ)上，本發(fā)明如圖1所示，一種實現(xiàn)Ethernet/Ip協(xié)議動態(tài)跟蹤的工業(yè)防火墻的方法，包括以下步驟：

步驟102：確定數(shù)據(jù)包是否為Ethernet/Ip協(xié)議數(shù)據(jù)包；

步驟104：判斷是否符合TCP/IP連接跟蹤會話記錄，符合則進行步驟106，不符合直接丟棄該數(shù)據(jù)包；判斷是利用內(nèi)核Conntrack模塊實現(xiàn)的判斷；

步驟106：進行配置的字段數(shù)值是否合法，若匹配通過則進行步驟108，匹配未通過則根據(jù)下發(fā)的規(guī)則中的行為方式進行丟棄或放行，并上報日志至防火墻配置CMP管理端；行為方式是指：用戶下發(fā)規(guī)則，比如攔截到了異常包用戶決定放行或丟棄，攔截到了未經(jīng)允許的正常數(shù)據(jù)包是放行還是丟棄。就是攔截或匹配到了用戶定義的數(shù)據(jù)包后進行何種處理的行為規(guī)則。

步驟108：對步驟106中通過的數(shù)據(jù)包繼續(xù)進行處理，查找到則認定該數(shù)據(jù)包合法，進行步驟112，未查找到則進行步驟110；

步驟110：若該數(shù)據(jù)包為SessionHandle動態(tài)協(xié)商的請求包，則防火墻放行通過；若該數(shù)據(jù)包為SessionHandle動態(tài)協(xié)商的響應(yīng)包，則將協(xié)商的SessionHandle值截取出來，并添加到步驟108中對應(yīng)的HASH鏈表中；

步驟112：若該數(shù)據(jù)包為SessionHandle動態(tài)協(xié)商取消包，則將該數(shù)據(jù)包中的SessionHandle截取出來，找到其對應(yīng)的108步驟中鏈表中的節(jié)點并將該SessionHandle從鏈表中移除。

所述的方法，其中，所述步驟102包括：根據(jù)端口是否為44818來確定數(shù)據(jù)包是否為Ethernet/Ip協(xié)議數(shù)據(jù)包。

所述的方法，其中，所述步驟104包括：根據(jù)TCP/IP中IP地址、端口號、SEQ序列號信息，進行TCP/IP連接跟蹤會話。

所述的方法，其中，所述步驟106包括：根據(jù)CMP管理端下發(fā)的規(guī)則，進行基于協(xié)議規(guī)范的合理性檢查以及匹配規(guī)則配置的字段數(shù)值是否合法。合理性檢查是指：依據(jù)Ethernet/Ip規(guī)范中規(guī)定的字段值的合法范圍；匹配規(guī)則是指：用戶下發(fā)了什么規(guī)則，防火墻匹配什么規(guī)則，比如用戶下發(fā)了只允許Ethernet/Ip協(xié)議某種類型包通過的規(guī)則；

所述的方法，其中，所述步驟108包括：對步驟106中通過的數(shù)據(jù)包繼續(xù)進行處理，截取數(shù)據(jù)包中的IP及端口，并將該四元組信息進行HASH，拿到該HASH值后，在SessionHandle存儲鏈表中查找是否存在該HASH值對應(yīng)的SessionHandle，查找到則認定該數(shù)據(jù)包合法。

所述的方法，其中，所述步驟112還包括：如出現(xiàn)其它數(shù)據(jù)包則認為符合防護墻規(guī)則及SessionHandle會話跟蹤，防火墻進行放行。

本發(fā)明方法對應(yīng)的系統(tǒng)采用模塊化、組件化設(shè)計原則，改變了以往的防火墻防護協(xié)議的處理方法，基于防火墻配置CMP規(guī)則輸入、下發(fā)組件，實現(xiàn)針對協(xié)議的規(guī)則管控，基于防火墻的規(guī)則解析組件，將規(guī)則加載到防火墻中，基于防火墻的協(xié)議解析組件，將經(jīng)過防火墻的Ethernet/Ip協(xié)議進行解析，得到所需的元組信息及動態(tài)的SessionHandle值；基于防火墻的協(xié)議會話管理組件實現(xiàn)基于SessionHandle的協(xié)議會話動態(tài)跟蹤；基于協(xié)議匹配組件，將不符合規(guī)則或不符合SessionHandle會話跟蹤的通信數(shù)據(jù)包進行特定處理；基于防火墻的日志上傳組件，將不符合的數(shù)據(jù)包信息上傳至防火墻配置CMP管理端；通過防火墻配置CMP的日志處理組件，防火墻上傳的日志進行處理解析為特定格式的字符串；通過防火墻配置CMP的日志展示組件，將日志信息時時展示到對應(yīng)的界面，方面用戶查看、配置。

采用上述方案，針對組網(wǎng)生產(chǎn)線調(diào)測業(yè)務(wù)中多測試節(jié)點數(shù)據(jù)上傳處理時系統(tǒng)響應(yīng)遲緩、人機交互實時性差的場景，采用異步數(shù)據(jù)收集入庫存儲方式來緩解現(xiàn)場測量軟件的響應(yīng)處理壓力進而提高調(diào)測效率。本發(fā)明所提出Ethernet/Ip協(xié)議動態(tài)會話跟蹤，能夠在目前基于字段、TCP會話狀態(tài)防護的基礎(chǔ)上，進一步提升防護等級，有效攔截工業(yè)網(wǎng)絡(luò)內(nèi)針對Ethernet/Ip協(xié)議通信的非法攻擊，維持工控設(shè)備的正常運行，避免因攻擊造成的重大損失；該發(fā)明的創(chuàng)新點：防火墻針對Ethernet/Ip協(xié)議中實現(xiàn)復(fù)雜度較高的SessionHandle字段，實現(xiàn)了基于應(yīng)用層協(xié)議層面的動態(tài)會話跟蹤，通過該種跟蹤方式與TCP會話狀態(tài)跟蹤結(jié)合形成雙路跟蹤模式，使攻擊者的攻擊難度呈復(fù)數(shù)增長，打破了Ethernet/Ip協(xié)議通信普通的防護模式，是工控網(wǎng)絡(luò)中Ethernet/Ip協(xié)議通信的到充分防護。

應(yīng)當(dāng)理解的是，對本領(lǐng)域普通技術(shù)人員來說，可以根據(jù)上述說明加以改進或變換，而所有這些改進和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護范圍。