(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111551637.6 (22)申请日 2021.12.17 (71)申请人 北京国泰网信科技有限公司 地址 100195 北京市海淀区昆明湖南路51 号B座3层3 03号 申请人 成都国泰网信科技有限公司 (72)发明人 李欣　李元正　陈君　王思同　 蒙兴　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 代理人 孙元伟 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/16(2022.01) H04L 69/22(2022.01) (54)发明名称 用于工业防火墙的Modbus TCP协议防护方 法 (57)摘要 本发明公开了一种用于工业防火墙的 Modbus TCP协议防护方法， 属于工控网络安全 技 术领域， 包括步骤： S1， 下发规则到防火墙引擎； S2， 防火墙系统进行预过滤， 把需要进行深度检 测的报文送到防火墙引 擎做深度检测处理； S3， 防火墙引擎对收到的报文按照Modbus  TCP协议 规定的格式来进行深度解析， 提取报文中携带的 功能码、 起始地址和值； S4， 将步骤S3中提取的功 能码、 起始地址和值， 按照预先设定格式发送给 中间件， 完成规则学习； S5， 匹配功能码、 起始地 址和值， 对规则匹配成功的报文根据规则配置相 应动作； 未匹配成功的报文， 根据设定的规则进 行处理。 本发明提高了引擎 性能及系统安全性。 权利要求书2页 说明书6页 附图3页 CN 114244609 A 2022.03.25 CN 114244609 A 1.一种用于 工业防火墙的Modbus  TCP协议防护方法， 其特 征在于， 包括 步骤： S1， 下发规则到防火墙引擎； S2， 防火墙系统进行预过滤， 把需要进行深度检测的报文送到防火墙引擎做深度检测 处理； S3， 防火墙引擎对收到 的报文按照Modbus  TCP协议规定 的格式来进行深度解析， 提取 报文中携带的功能码、 起始地址和值； S4， 将步骤S3中提取的功能码、 起始地址和值， 按照预先设定格式发送给中间件， 完成 规则学习； S5， 匹配功能码、 起始地址和值， 对规则匹配成功的报文根据规则配置相应动作； 未匹 配成功的报文， 根据设定的规则结果进行处 理。 2.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S5中， 对未匹配成功的报文， 所述根据设定的规则结果进行处理具体为通知内核协议 栈转发或者丢弃报文。 3.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S1中， 所述下发规则包括下发手写规则或下发学习规则； 所述下发手写规则包括子步骤： 由用户配置Modbus  TCP协议， 包括配置： 协议名称、 端 口号、 传输层协议、 功能码、 起始 地址、 值的大小范围、 配置源目的IP和事件日志记录以及报 文处理方式， 完成手写规则的下发； 所述下发学习规则包括子步骤： 防火墙工作在全通模式下打开深度检测开关， 设置学 习时间， 然后打开学习开关， 等待学习完成后， 根据需求调整学习到的规则， 手动调整 Modbus TCP功能码、 起始地址、 值的大小范围后， 再 下发给防火墙引擎。 4.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S2中， 所述预过滤包括子步骤： 内核空间对源IP地址、 目的IP地址、 源MAC地址、 目的MAC 地址、 源端口、 目的端口、 协 议、 时间进 行过滤， 只把需要进 行深度检测的报文送到用户空间 的防火墙引擎。 5.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S2中， 包括子步骤： 将防火墙系统设置为默认丢弃所有报文， 对需要通过的报文， 需要 手动配置规则放行。 6.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S3中， 包括子步骤： 在深度解析前， 用户空间运行防火墙引擎， 对Modbus  TCP流进行重 组。 7.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S3中， 包括子步骤： 在提取报文中携带的功能码、 起始地址和值前， 根据报文的特征以 及端口信息进行协 议识别； 然后对Modbus  TCP协议的报文， 先进行格式检查， 确认报文合法 性， 检测传输过程中的会话速率和会话总数的合法性。 8.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S4中， 所述按照预先设定格式发送给中间件， 完成规则学习包括子步骤： 打开规则学习 开关， 然后将解析出 的功能码和起始地址以及值信息按照设定格式展示出来； 或管理员根 据学习到的Modbus  TCP规则做出调整下发给防火墙引擎； 或管 理员能够自定义配置Modbus  权　利　要　求　书 1/2 页 2 CN 114244609 A 2TCP的功能码和起始地址以及值信息 。 9.根据权利要求1所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 在 步骤S5中， 所述匹配功能码、 起始地址和值包括子步骤： 首先匹配功能码， 若功能码匹配成 功， 则继续匹配起始地址； 若起始地址匹配成功， 则再继续匹配值。 10.根据权利要求7所述的用于工业防火墙的Modbus  TCP协议防护方法， 其特征在于， 所述根据报文的特征以及端口信息进行协议识别具体为根据协议特征 的偏移、 深度、 值及 端口信息， 然后由开发人员实现对应协 议的识别， 报文合法性检查以及解析代码； 所述确认 报文合法性具体为对Modbus  TCP报文的长度以及功能码做出检查， 丢弃不 合法报文。权　利　要　求　书 2/2 页 3 CN 114244609 A 3