基于工业控制以太网ModbusTcp协议的Snort规则库的设计.doc

基于Snort的Modbus TCP工控协议异常数据 检测规则设计( 姜伟伟1 刘光杰1 戴跃伟1，2 (南京理工大学自动化学院 南京 210094)1 (江苏科技大学 镇江 212003）2 摘 要 工业控制网络通信协议的脆弱性是导致工控网络遭受攻击的主要因素。Modbus TCP是工控网络的典型通信协议。在对Modbus TCP协议进行脆弱性分析的基础上，结合Snort检测机制对典型的异常行为进行归类，提出了一种用于Snort的Modbus TCP协议异常数据流检测模板。Modbus TCP的分析和规则模板的设计方法也可推广至其他基于工业控制协议的网络，具有一定的适用性。 关键词 工控网络安全，Modbus TCP协议，脆弱性分析，Snort规则模板 TP393.08 文献标识码 A The design of Modbus TCP industrial control network protocol abnormal data detection rules based on Snort JIANG Wei-wei1 LIU Guang-jie1 DAI Yue-wei1,2 (School of Automation, Nanjing University of Science and Technology, Nanjing 210094, China)1 (Jiangsu University of Science and Technology, Zhenjiang 212003, China)2 Abstract The vulnerability of industrial control network communication protocol is the main reason due to industrial control network attacks. The vulnerability of Modbus TCP, the typical industrial control network communication protocol, is analyzed and synthesize. The abnormal behaviors of Modbus TCP are analyzed and categorized according to the detection mechanisms exploited by Snort, and the detection rule template defined in Snort for anomaly Modbus TCP data is constructed. According to the corresponding analysis, the rule template designing method can be generally extended to other network-based industrial control protocols. Keywords Industrial control network security,Modbus TCP, Protocol vulnerability analysis, Snort rule template 1 引 言 工业控制系统设备及通信协议的专有性、系统的相对封闭性，使得一般的互联网黑客很难获得相应的工业控制系统攻防研究环境以及相关系统的资料，系统及通信协议的安全缺陷或漏洞也很少被发现。然而，随着工业化与信息化进程的不断交叉融合，越来越多的信息和计算机技术被广泛应用于工业控制领域。规范便利的工业以太网的使用以及企业对生产管理自动化的迫切需求也使得工业控制网络以多种方式与企业网络之间建立了连接。这使得工业控制系统被普通计算机网络中存在的恶意程序或者网络攻击破坏的风险大大增加2003年“震荡波蠕虫”病毒肆虐全球[1]、2010年“震网”病毒攻击伊朗核电站[2,3]及后续一系列工控安全事件[4-6]的发生，表明工业控制系统已经面临新型高级可持续威胁(APT)的攻击也进一步说明了工控网络安全在整个国家信息安全防护中的重要性和迫切性。 文献[7]中分别从安全威胁、安全防护以及安全管理等多个角度讨论了工业控制系统所面临的安全问题，与传统信息系统所面临的安全问题与威胁做了较为详细的对比和分析对工业控制系统专有通信协议的安全性、专有的安全漏洞情况进行详细地分析研究。文献[8]构建了工业控制系统信息安全检测标准架构，对模拟的工控系统的脆弱性进行了分析，并运用常见网络攻击技术对搭建的模拟系统进行了测试。文献[9]结合了Modbus TCP协议的