- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于工业控制以太网ModbusTcp协议的Snort规则库的设计
基于Snort的Modbus TCP工控协议异常数据
检测规则设计(
姜伟伟1 刘光杰1 戴跃伟1,2
(南京理工大学自动化学院 南京 210094)1
(江苏科技大学 镇江 212003)2
摘 要 工业控制网络通信协议的脆弱性是导致工控网络遭受攻击的主要因素。Modbus TCP是工控网络的典型通信协议。在对Modbus TCP协议进行脆弱性分析的基础上,结合Snort检测机制对典型的异常行为进行归类,提出了一种用于Snort的Modbus TCP协议异常数据流检测模板。Modbus TCP的分析和规则模板的设计方法也可推广至其他基于工业控制协议的网络,具有一定的适用性。
关键词 工控网络安全,Modbus TCP协议,脆弱性分析,Snort规则模板
TP393.08 文献标识码 A
The design of Modbus TCP industrial control network protocol abnormal data detection rules based on Snort
JIANG Wei-wei1 LIU Guang-jie1 DAI Yue-wei1,2
(School of Automation, Nanjing University of Science and Technology, Nanjing 210094, China)1
(Jiangsu University of Science and Technology, Zhenjiang 212003, China)2
Abstract The vulnerability of industrial control network communication protocol is the main reason due to industrial control network attacks. The vulnerability of Modbus TCP, the typical industrial control network communication protocol, is analyzed and synthesize. The abnormal behaviors of Modbus TCP are analyzed and categorized according to the detection mechanisms exploited by Snort, and the detection rule template defined in Snort for anomaly Modbus TCP data is constructed. According to the corresponding analysis, the rule template designing method can be generally extended to other network-based industrial control protocols.
Keywords Industrial control network security,Modbus TCP, Protocol vulnerability analysis, Snort rule template
1 引 言
工业控制系统设备及通信协议的专有性、系统的相对封闭性,使得一般的互联网黑客很难获得相应的工业控制系统攻防研究环境以及相关系统的资料,系统及通信协议的安全缺陷或漏洞也很少被发现。然而,随着工业化与信息化进程的不断交叉融合,越来越多的信息和计算机技术被广泛应用于工业控制领域。规范便利的工业以太网的使用以及企业对生产管理自动化的迫切需求也使得工业控制网络以多种方式与企业网络之间建立了连接。这使得工业控制系统被普通计算机网络中存在的恶意程序或者网络攻击破坏的风险大大增加2003年“震荡波蠕虫”病毒肆虐全球[1]、2010年“震网”病毒攻击伊朗核电站[2,3]及后续一系列工控安全事件[4-6]的发生,表明工业控制系统已经面临新型高级可持续威胁(APT)的攻击也进一步说明了工控网络安全在整个国家信息安全防护中的重要性和迫切性。
文献[7]中分别从安全威胁、安全防护以及安全管理等多个角度讨论了工业控制系统所面临的安全问题,与传统信息系统所面临的安全问题与威胁做了较为详细的对比和分析对工业控制系统专有通信协议的安全性、专有的安全漏洞情况进行详细地分析研究。文献[8]构建了工业控制系统信息安全检测标准架构,对模拟的工控系统的脆弱性进行了分析,并运用常见网络攻击技术对搭建的模拟系统进行了测试。文献[9]结合了Modbus TCP协议的
您可能关注的文档
- 和平解决东海争端法律研究-中南财经政法大学.doc
- 含有分布式电源的智能配电网孤岛划分策略-电测与仪表.doc
- 和《房屋建筑和市政工程标准施工招标文件》-衢州市公共资源交易网.doc
- 和实时流式传输.ppt
- 和网桥MAC地址.ppt
- 周红军-天津水与燃气信息技术开发有限公司首页.ppt
- 和超滤膜.ppt
- 响应时间管理.doc
- 商用数学系DepartmentofBusinessMathematics.doc
- 啮齿类动物局灶性缺血的模型大小、机制和目的.doc
- 国际标准 IEC 61158-5-17:2007 EN Industrial communication networks - Fieldbus specifications - Part 5-17: Application layer service definition - Type 17 elements 工业通信网络 - 现场总线规范 - 第5-17部分:应用层服务定义 - 类型17元素.pdf
- 国际标准 IEC 60939-2-2:2004 EN_D 完整抑制无线电干扰滤波器单元-第2-2部分:空白详细规范-用于抑制电磁干扰的被动滤波器单元-仅需进行安全测试的滤波器(安全测试) Complete filter units for radio interference suppression - Part 2-2: Blank detail specification - Passive filter uits for electromagnetic interference .pdf
- 国际标准 IEC 60939-2-2:2004 EN_D Complete filter units for radio interference suppression - Part 2-2: Blank detail specification - Passive filter uits for electromagnetic interference suppression - Filters for which safety tests are required (safety.pdf
- 国际标准 IEC 60670-23:2006 EN-FR Boxes and enclosures for electrical accessories for household and similar fixed electrical installations - Part 23: Particular requirements for floor boxes and enclosures 家用和类似固定电气安装用电器配件的盒子与封闭装置——第23部分:地板箱和封闭装置的要求.pdf
- 国际标准 IEC 60670-23:2006 EN-FR 家用和类似固定电气安装用电器配件的盒子与封闭装置——第23部分:地板箱和封闭装置的要求 Boxes and enclosures for electrical accessories for household and similar fixed electrical installations - Part 23: Particular requirements for floor boxes and enclosures.pdf
- 2024版完整的货物运输合同书.doc
- 2024版无财产的离婚协议书书模板.doc
- 2024版委托融资租赁合同书书.doc
- 2024版汪怡的离婚协议书书.doc
- 2024版委托活动代理服务协议书书.doc
文档评论(0)