Modbus/TCP多層訪問控制過濾技術(shù)

蔣　臣　王華忠　凌志浩　路　偉

(華東理工大學(xué)化工過程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室1，上海　200237；吉林石化公司檢測中心2，吉林 吉林　132021)

?

Modbus/TCP多層訪問控制過濾技術(shù)

蔣臣1王華忠1凌志浩1路偉2

(華東理工大學(xué)化工過程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室1，上海200237；吉林石化公司檢測中心2，吉林 吉林132021)

摘要：針對典型工控網(wǎng)絡(luò)協(xié)議——Modbus協(xié)議在信息安全上存在的缺陷，提出了一種基于Modbus/TCP協(xié)議的多層訪問控制過濾技術(shù)，利用分層過濾策略處理網(wǎng)絡(luò)數(shù)據(jù)包以抵御網(wǎng)絡(luò)攻擊。該策略包含分析階段和配置階段。分析階段主要負(fù)責(zé)收集合法報(bào)文并按照規(guī)則進(jìn)行解析，建立三層白名單；配置階段對關(guān)鍵可寫參數(shù)的允許范圍進(jìn)行配置，過濾越限參數(shù)，防止該參數(shù)被寫入控制器。通過對所建試驗(yàn)平臺(tái)的測試，驗(yàn)證了多層訪問控制過濾技術(shù)有效抵御針對協(xié)議應(yīng)用層的網(wǎng)絡(luò)攻擊的能力，有助于消除操作人員誤操作所帶來的影響，提高系統(tǒng)安全性。

關(guān)鍵詞：Modbus/TCP信息安全訪問控制策略數(shù)據(jù)處理兩化融合PLCSCADA

Programmable logic controller(PLC)Supervisory control and data acquisition system(SCADA)

0引言

隨著兩化融合的不斷推進(jìn)，工業(yè)控制系統(tǒng)開始連接到企業(yè)網(wǎng)以及互聯(lián)網(wǎng)。連接的增加與標(biāo)準(zhǔn)協(xié)議的使用有助于優(yōu)化制造過程和擴(kuò)展網(wǎng)絡(luò)分布，但也使工控系統(tǒng)暴露于互聯(lián)網(wǎng)安全威脅之下，作為工業(yè)領(lǐng)域應(yīng)用廣泛的Modbus更是首當(dāng)其沖[1]。因此，如何防范針對Modbus協(xié)議的網(wǎng)絡(luò)攻擊已成為當(dāng)前研究熱點(diǎn)。文獻(xiàn)[2]針對Modbus協(xié)議，給出了50條特征檢測規(guī)則。Niv Goldenberg等人提出一種對Modbus/TCP報(bào)文精確建模的方法[3]，根據(jù)人機(jī)界面和PLC之間的周期性通信構(gòu)建DFA模型，具有較低誤報(bào)率。文獻(xiàn)[4]通過對Modbus/TCP報(bào)文的深度解析，提出基于入侵檢測規(guī)則和白名單相結(jié)合的工業(yè)監(jiān)控與數(shù)據(jù)采集系統(tǒng)(supervisory control and data acquisition system,SCADA)安全防御模型。Valdes A等針對過程控制系統(tǒng)提出了基于模式和流量兩種異常檢測方法[5]。Steven Cheung等人認(rèn)為工控網(wǎng)絡(luò)具有相對固定的拓?fù)浣Y(jié)構(gòu)、通信模式及應(yīng)用協(xié)議，提出了三種基于模型的技術(shù)，對網(wǎng)絡(luò)特征行為建模并監(jiān)測那些引起系統(tǒng)行為偏離的攻擊[6]。

不同的方法有其自身適用環(huán)境和制約條件，網(wǎng)絡(luò)信息安全無疑需要從不同的角度加強(qiáng)。本文以Modbus通信協(xié)議為研究對象，針對其易受應(yīng)用層攻擊的缺陷，提出多層訪問控制過濾策略，以提高系統(tǒng)安全防護(hù)水平。

1Modbus/TCP協(xié)議及安全機(jī)制分析

Modbus是OSI模型最上層的應(yīng)用層報(bào)文傳輸協(xié)議，是工業(yè)領(lǐng)域通信協(xié)議的業(yè)界標(biāo)準(zhǔn)，為工控系統(tǒng)中的設(shè)備提供主從式的通信方式[7]。其實(shí)現(xiàn)方式有基于串行鏈路的實(shí)現(xiàn)(Modbus/RTU與Modbus/ASCII)和基于以太網(wǎng)的實(shí)現(xiàn)(Modbus/TCP)。本文主要關(guān)注Modbus基于以太網(wǎng)TCP/IP的安全。

1.1Modbus/TCP數(shù)據(jù)幀

常見的Modbus RTU應(yīng)用數(shù)據(jù)單元(application data unit,ADU)由從機(jī)地址、功能碼、數(shù)據(jù)域和校驗(yàn)碼組成。以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP校驗(yàn)機(jī)制保證了數(shù)據(jù)傳輸?shù)恼_性，因此Modbus/TCP去除了校驗(yàn)碼，添加了MBAP報(bào)文頭。Modbus/TCP ADU格式如圖1所示。

圖1　Modbus/TCP 應(yīng)用數(shù)據(jù)單元格式示意圖Fig.1　Format of Modbus/TCP ADU

MBAP Header是Modbus在以太網(wǎng)TCP/IP中的報(bào)文頭，用來識(shí)別Modbus的應(yīng)用數(shù)據(jù)單元ADU。該部分主要包含事務(wù)處理標(biāo)志符 (Transaction ID)、協(xié)議標(biāo)志符(Protocol ID)、長度(Length)、單元標(biāo)志符 (Unit ID )四部分。功能碼是Modbus主機(jī)向從機(jī)指示所要進(jìn)行操作的標(biāo)志字，規(guī)定了要執(zhí)行的Modbus相關(guān)功能，能夠表達(dá)主機(jī)的操作意圖。數(shù)據(jù)域是可變長的字段，需要主機(jī)根據(jù)具體功能碼進(jìn)行配置；然后由主機(jī)發(fā)出請求，等待從機(jī)響應(yīng)。

1.2安全機(jī)制分析

Modbus/TCP是通過在TCP/IP協(xié)議中嵌入Modbus數(shù)據(jù)幀實(shí)現(xiàn)的。因此，其底層協(xié)議在安全層面上的缺陷也被保留下來，既適用于以太網(wǎng)的攻擊手段，也同樣適用于工控系統(tǒng)。針對傳統(tǒng)IT攻擊，工控系統(tǒng)開始采取邊界防護(hù)策略，即在網(wǎng)絡(luò)分層、層級(jí)之間安裝防火墻[8]。然而，防火墻無法識(shí)別針對Modbus應(yīng)用層的攻擊，其主要原因在于應(yīng)用層攻擊往往隱藏在幀數(shù)據(jù)域之中。因?yàn)镸odbus協(xié)議沒有考慮安全方面的問題，其協(xié)議的簡單性使得Modbus從機(jī)易受到針對應(yīng)用層的攻擊：僅需明確從機(jī)設(shè)備所支持的功能碼和Modbus地址即可進(jìn)行通信，且報(bào)文使用明文傳輸?shù)姆绞剑子诟`聽分析。若攻擊者通過入侵攻擊獲取了網(wǎng)絡(luò)訪問權(quán)限進(jìn)入Modbus主機(jī)，即可監(jiān)聽TCP鏈接上的通信報(bào)文。經(jīng)過分析可獲取某些關(guān)鍵變量的寄存器信息，并根據(jù)公開的協(xié)議即可構(gòu)建虛假數(shù)據(jù)包，向從機(jī)發(fā)送非法命令，竊取工業(yè)過程中的參數(shù)或更改系統(tǒng)的配置，從而影響系統(tǒng)正常運(yùn)行。

2Modbus/TCP多層訪問控制策略

通過上述分析，提出一種防御策略：通過分析初始化后的網(wǎng)絡(luò)通信數(shù)據(jù)包自動(dòng)生成白名單，并結(jié)合可寫參數(shù)配置，對通信流量中的讀、寫報(bào)文執(zhí)行多層訪問控制過濾操作。假設(shè)分析階段收集到的數(shù)據(jù)僅有正常通信報(bào)文，而不包含攻擊者發(fā)出的含有攻擊行為的報(bào)文。由于工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接有限，攻擊發(fā)生頻率不高且分析階段位于設(shè)備初始化后一段很短時(shí)間內(nèi)，因此這一假設(shè)無疑是合理的。多層訪問控制過濾策略的實(shí)現(xiàn)建立在如下基礎(chǔ)：工控網(wǎng)絡(luò)主、從機(jī)建立通信連接后，主機(jī)在所設(shè)定時(shí)間內(nèi)通過讀命令讀取所有必須監(jiān)控的數(shù)據(jù)，其后在配置階段對可寫參數(shù)進(jìn)行配置，將其允許范圍寫到對應(yīng)保持寄存器。利用白名單匹配讀操作報(bào)文中的攻擊行為，預(yù)先配置的閾值參數(shù)匹配寫操作中的攻擊行為，實(shí)現(xiàn)對通信報(bào)文的全面過濾。

2.1基于白名單的安全策略及實(shí)施

分析階段是建立白名單的初始訓(xùn)練階段，抓取Modbus主機(jī)與現(xiàn)場設(shè)備間的通信報(bào)文進(jìn)行分析。這一階段在預(yù)定義的時(shí)間內(nèi)進(jìn)行，通過分析正常Modbus/TCP報(bào)文建立白名單，Modbus服務(wù)器根據(jù)其判斷接收到的讀操作是否合法。白名單是一系列正常讀操作通信報(bào)文的集合，分為如圖2所示的三個(gè)層次。

圖2　白名單層次組成示意圖Fig.2　The hierarchical composition of whitelist

系統(tǒng)白名單包含網(wǎng)絡(luò)層與傳輸層的信息，即源、目的IP地址、目的端口號(hào)以及源MAC地址，在之后的檢測階段可將其用作授權(quán)系統(tǒng)。MBAP白名單針對MBAP報(bào)文頭內(nèi)關(guān)鍵字段，即Transaction ID、Protocol ID、Length、Unit ID。其中：Protocol ID用于判斷報(bào)文是否為Modbus通信協(xié)議；Length的值表示數(shù)據(jù)的總長度，用于判斷是否為非法數(shù)據(jù)包；Unit ID表示Modbus串行鏈路上的地址。PDU白名單是整個(gè)白名單策略的核心，包含了最能代表主機(jī)操作意圖的功能碼，以及功能碼所對應(yīng)的數(shù)據(jù)域。不同的功能碼可能操作單個(gè)或多個(gè)數(shù)據(jù)對象，數(shù)據(jù)域可拆分為寄存器的起始地址和操作數(shù)量。在分析階段，每條報(bào)文的內(nèi)容按不同層次存儲(chǔ)以建立白名單，其體系結(jié)構(gòu)如圖3所示。一旦白名單建立完畢，在檢測階段會(huì)監(jiān)控讀入的數(shù)據(jù)包，利用分析階段結(jié)果自動(dòng)識(shí)別異常報(bào)文。

配置階段緊鄰分析階段。在工控系統(tǒng)中，Modbus主機(jī)不僅要讀取從機(jī)數(shù)據(jù)進(jìn)行監(jiān)控，還會(huì)在監(jiān)控過程中根據(jù)不同需求向從機(jī)寫數(shù)據(jù)，以實(shí)現(xiàn)對變送器的重新配置，例如更改變送器工作模式、報(bào)警閾值等。僅使用白名單無法實(shí)現(xiàn)對寫操作報(bào)文的過濾，因此在分析階段將寄存器按性質(zhì)分為可寫和只讀，對可寫數(shù)據(jù)先行設(shè)定。對于主機(jī)可寫的參數(shù)，事先將所有與其相關(guān)的允許值寫入到自定義寄存器，為以后檢測階段所涉及的寫操作報(bào)文提供合法與否的識(shí)別依據(jù)。若在允許范圍內(nèi)，則寫操作成功；否則失敗。而對于只讀屬性的狀態(tài)值，則不允許對其所在寄存器寫入數(shù)據(jù)。這些預(yù)先設(shè)定用于比較的數(shù)值只能在配置階段寫入，超過允許時(shí)間則無法再修改。

圖3　生成白名單的體系結(jié)構(gòu)Fig.3　The architecture for generating whitelist

2.2多層訪問控制過濾技術(shù)

為了達(dá)到信息安全防護(hù)的目的，多層訪問控制過濾策略分為三個(gè)層級(jí)和兩條分支。首先，系統(tǒng)過濾層通過對照系統(tǒng)白名單，對物理層、網(wǎng)絡(luò)層與傳輸層的Ethernet Header、IP Header、TCP Header所蘊(yùn)含的信息進(jìn)行判斷，識(shí)別出傳入數(shù)據(jù)包的合法性，進(jìn)而執(zhí)行Modbus幀的接收或丟棄的動(dòng)作。接下來，MBAP過濾層判斷Protocol ID是否符合Modbus通信協(xié)議，Unit ID是否符合鏈路從機(jī)地址，以及Length數(shù)值是否與其后的字節(jié)數(shù)相符。若均相符，則該幀數(shù)據(jù)通過此過濾層；否則丟棄。在檢測階段，PDU檢測是核心部分。對于通過前兩層過濾的數(shù)據(jù)包，按照主機(jī)操作意圖分成讀和寫兩個(gè)分支進(jìn)行PDU檢測。其中，讀操作報(bào)文查詢PDU白名單。只有功能碼、寄存器起始地址與寄存器數(shù)目能夠在PDU白名單內(nèi)找到完全匹配，讀操作才允許執(zhí)行；不完全匹配則一律丟棄。對于寫操作報(bào)文，要識(shí)別欲寫入的寄存器位置及數(shù)值。根據(jù)寄存器位置可以了解其代表的數(shù)據(jù)含義，與此數(shù)據(jù)含義對應(yīng)的自定義寄存器內(nèi)保存有其允許值，將欲寫入的數(shù)值與允許值進(jìn)行比較，滿足條件則成功寫入數(shù)據(jù)，否則丟棄數(shù)據(jù)包。多層訪問控制過濾策略的處理流程如圖4所示。

圖4　數(shù)據(jù)包處理流程圖Fig.4　The processing flow of data packet

該過程主要由以下步驟構(gòu)成：

①接收到一幀數(shù)據(jù)后對當(dāng)前階段是否處在分析階段進(jìn)行判斷。若處在分析階段，則執(zhí)行步驟②，否則轉(zhuǎn)而執(zhí)行步驟③。

②處于分析階段，利用接收到的報(bào)文按層次自動(dòng)生成白名單，增加其對應(yīng)白名單內(nèi)容后，執(zhí)行步驟⑩。

③繼續(xù)判斷當(dāng)前所處在的階段是否為配置階段，若處在配置階段，則執(zhí)行步驟④；否則執(zhí)行步驟⑤。

④對寫敏感的寄存器狀態(tài)值進(jìn)行安全配置，結(jié)束后跳轉(zhuǎn)到步驟⑩。

⑤當(dāng)前處于對網(wǎng)絡(luò)報(bào)文的檢測階段，利用系統(tǒng)白名單對數(shù)據(jù)包進(jìn)行過濾操作。

⑥用MBAP過濾規(guī)則處理通過系統(tǒng)白名單過濾的報(bào)文。

⑦判斷報(bào)文中Modbus功能碼，若為讀功能碼則執(zhí)行步驟⑧，否則執(zhí)行步驟⑨。

⑧通過在分析階段建立的PDU白名單能否找到匹配來過濾讀報(bào)文，結(jié)束后轉(zhuǎn)步驟⑩。

⑨將欲寫入寄存器的數(shù)值與其所允許的范圍進(jìn)行比較，判斷是否允許當(dāng)前寫操作，結(jié)束后轉(zhuǎn)步驟⑩。

⑩一次完整的數(shù)據(jù)包訪問控制過濾處理流程結(jié)束。

3試驗(yàn)驗(yàn)證

3.1試驗(yàn)環(huán)境搭建與設(shè)計(jì)

為驗(yàn)證本文提出的安全策略，搭建了Modbus/TCP通信試驗(yàn)平臺(tái)。試驗(yàn)平臺(tái)分三層，依次是數(shù)據(jù)監(jiān)控層、協(xié)議轉(zhuǎn)換層以及現(xiàn)場設(shè)備層。數(shù)據(jù)監(jiān)控層包含兩個(gè)Modbus客戶端，分別是基于組態(tài)王軟件開發(fā)的監(jiān)控畫面和模擬攻擊源的上位機(jī)調(diào)試軟件Modbus Poll。協(xié)議轉(zhuǎn)換層指的是網(wǎng)關(guān)服務(wù)器，該服務(wù)器采用ARM硬件平臺(tái)，以STM32為核心，實(shí)現(xiàn)HART與Modbus/TCP之間的互相轉(zhuǎn)換，同時(shí)在與上位機(jī)的通信中執(zhí)行Modbus/TCP多層訪問控制過濾策略。現(xiàn)場設(shè)備層采用支持HART應(yīng)用層協(xié)議的壓力變送器。

為使上位機(jī)能夠?qū)ψ兯推鬟M(jìn)行監(jiān)控以及配置，在上位機(jī)與變送器之間連入網(wǎng)關(guān)服務(wù)器。STM32為網(wǎng)關(guān)服務(wù)器的核心，具有豐富的片上資源，性價(jià)比高。其底層通過RS-232接口與壓力變送器連接，通過以太網(wǎng)接口與上位機(jī)組態(tài)軟件連接。串行通信采用HART應(yīng)用層協(xié)議，網(wǎng)關(guān)作為主設(shè)備向壓力變送器發(fā)送HART命令請求，變送器作為從設(shè)備回復(fù)HART響應(yīng)；以太網(wǎng)通信采用Modbus/TCP協(xié)議，上位機(jī)作為Modbus主機(jī)，網(wǎng)關(guān)作為從機(jī)。網(wǎng)關(guān)運(yùn)行嵌入式平臺(tái)FreeModbus協(xié)議棧[9]，定義部分保持寄存器存儲(chǔ)變送器上傳的狀態(tài)值以及上位機(jī)對變送器配置的參數(shù)，并在協(xié)議棧的基礎(chǔ)上增加多層訪問控制過濾策略。網(wǎng)關(guān)負(fù)責(zé)上位機(jī)和變送器之間的通信：一方面將變送器按HART協(xié)議傳送的數(shù)據(jù)提取出來存放在特定保持寄存器供上位機(jī)讀取監(jiān)控，另一方面將上位機(jī)對寄存器的寫操作轉(zhuǎn)化為HART命令通過串口發(fā)送給變送器。為簡化試驗(yàn)，假設(shè)系統(tǒng)中僅存在對動(dòng)態(tài)變量和主變量電流的讀操作和報(bào)警壓力上限值這一個(gè)可寫數(shù)據(jù)對象。表1列出自定義寄存器地址及其對應(yīng)關(guān)系。

表1　自定義寄存器的地址及其對應(yīng)關(guān)系Tab.1　The custom register addresses and corresponding relationship

3.2試驗(yàn)過程與結(jié)果

抵御應(yīng)用層攻擊的方法，就是在試驗(yàn)環(huán)境中網(wǎng)關(guān)服務(wù)器能夠按照多層過濾控制的邏輯正常工作，建立白名單，明確Modbus客戶端與服務(wù)器之間讀操作通信的最小集合，以及寫操作對象的允許值。網(wǎng)關(guān)服務(wù)器的注冊IP是192.168.1.7，子網(wǎng)掩碼是255.255.255.0，僅192.168.1.X網(wǎng)段內(nèi)主機(jī)可與其通信。在實(shí)際工業(yè)環(huán)境中，服務(wù)器與上位機(jī)之間的網(wǎng)絡(luò)地址分配在同網(wǎng)段中，而外部攻擊者的IP地址往往是不同的。外部攻擊者要先偽裝成與注冊IP同網(wǎng)段的主機(jī)之一，然后才能通過Modbus數(shù)據(jù)包與服務(wù)器通信，并對其展開攻擊。試驗(yàn)過程如下。

(1)組態(tài)監(jiān)控上位機(jī)IP為192.168.1.101，與網(wǎng)關(guān)服務(wù)器建立TCP連接后周期性讀取動(dòng)態(tài)變量和主變量電流值，并利用PacketSniffer抓取Mdobus/TCP通信報(bào)文。

控制策略在分析階段捕獲網(wǎng)絡(luò)報(bào)文生成如下白名單。

①系統(tǒng)白名單：

[SourceMAC:0x90,0xe6,0xba,0x7d,0x8c,0x22 ]

[Source IP :192.168.1.101]

[Destination IP:192.168.1.7][Destination Port:502]

②MBAP白名單：[Protocol ID:0][Unit ID:1]

③PDU白名單：[Function Code:03]

[Reference Num:43][Word Count:14]

(2)配置階段內(nèi)，預(yù)定義寄存器地址寫入報(bào)警壓力上限值允許的波動(dòng)范圍，0x0080寄存器存允許最大值0x0045，0x0081寄存器存允許最小值0x0040。配置階段結(jié)束后，利用多層訪問控制過濾策略對數(shù)據(jù)包進(jìn)行處理。

(3)攻擊者通過三次握手建立TCP偽連接，偽裝成注冊IP網(wǎng)段的一個(gè)主機(jī)，IP為192.168.1.110。向服務(wù)器發(fā)送包含讀、寫信息攻擊指令的Modbus數(shù)據(jù)包，其中攻擊者篡改報(bào)警壓力上限值欲寫入數(shù)據(jù)0x0042。

(4)組態(tài)上位機(jī)模擬操作人員的誤操作，向存儲(chǔ)報(bào)警壓力上限值的0x0070寄存器寫入0x0100。

試驗(yàn)結(jié)果表明，攻擊者通過IP地址偽裝與服務(wù)器建立TCP連接，Modbus Poll可以向服務(wù)器發(fā)Modbus數(shù)據(jù)包，但因其IP地址不在系統(tǒng)白名單而被控制邏輯所丟棄。步驟(3)中的攻擊者企圖篡改報(bào)警壓力上限值，盡管寫入值在允許范圍內(nèi)，但寫操作并未成功。Modbus Poll不具有對服務(wù)器的讀、寫權(quán)限，無法攻擊變送器。組態(tài)上位機(jī)則能夠利用03功能碼，從0x0043開始讀取連續(xù)14個(gè)保持寄存器，16功能碼執(zhí)行對0x0070地址的寫操作，但欲寫入數(shù)據(jù)必須在0x0080與0x0081兩個(gè)寄存器存儲(chǔ)數(shù)值范圍內(nèi)。步驟(4)的寫操作并未成功，其操作也受多層過濾策略制約，從而消除了操作人員誤操作對變送器的影響。即使攻擊者能夠冒充組態(tài)上位機(jī)或完全獲取上位機(jī)權(quán)限，也無法對變送器關(guān)鍵參數(shù)進(jìn)行修改。這種將白名單與參數(shù)配置相結(jié)合的多層訪問控制過濾策略，能夠有效抵御針對應(yīng)用層的網(wǎng)絡(luò)攻擊，保障系統(tǒng)的安全運(yùn)行。

4結(jié)束語

針對工控系統(tǒng)破壞性更強(qiáng)的應(yīng)用層數(shù)據(jù)攻擊，本文提出一種Modbus多層訪問控制過濾技術(shù)。此過濾技術(shù)能夠輔助管理者監(jiān)測網(wǎng)絡(luò)上的報(bào)文，并具有極低的誤報(bào)率。經(jīng)過報(bào)文分析階段和配置階段，系統(tǒng)監(jiān)測控制中心與現(xiàn)場設(shè)備間的通信報(bào)文，利用所建立的白名單匹配讀操作報(bào)文中的異常行為，并利用配置參數(shù)匹配寫操作報(bào)文中的攻擊行為，能有效防御針對應(yīng)用層的網(wǎng)絡(luò)攻擊。該安全策略具有簡潔清晰、易于推廣的特點(diǎn)，適用于工控系統(tǒng)這類網(wǎng)絡(luò)中通信模式相對固定的場合，試驗(yàn)結(jié)果也驗(yàn)證了該策略的有效性。

參考文獻(xiàn)：

[1] GARITANO I,URIBEETXEBERRIA R,ZURUTUZA U.A review of SCADA anomaly detection systems[C]// Soft Computing Models in Industrial and Environmental Applications,6th International Conference SOCO 2011Springer Berlin Heidelberg,2011:357-366.

[2] MORRIS T H,JONES B A,VAUGHN R B,et al.Deterministic intrusion detection rules for MODBUS protocols[C]//System Sciences (HICSS),2013 46th Hawaii International Conference on.IEEE,2013: 1773-1781.

[3] GOLDENBERG N,WOOL A.Accurate modeling of Modbus/TCP for intrusion detection in SCADA systems[J].International Journal of Critical Infrastructure Protection,2013,6(2): 63-75.

[4] 張盛山,尚文利,萬明,等.基于區(qū)域/邊界規(guī)則的 Modbus TCP 通訊安全防御模型[J].計(jì)算機(jī)工程與設(shè)計(jì),2014,35(11): 3701-3707.

[5] VALDES A,CHEUNG S.Communication pattern anomaly detection in process control systems[C]// Technologies for Homeland Security.IEEE Conference on IEEE,2009:22-29.

[6] CHEUNG S,DUTERTRE B,FONG M,et al.Using model-based intrusion detection for SCADA networks[C]//Proceedings of the SCADA Security Scientific Symposium,2007: 1-12.

[7] 祝木田,師勇.Modbus協(xié)議通訊的應(yīng)用[J].微計(jì)算機(jī)信息：測控儀表自動(dòng)化,2004,20(6):9-11.

[8] 劉威,李冬,孫波.工業(yè)控制系統(tǒng)安全分析[C]// 第27次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2012:41-43.

[9] 王貫兵,陳潔,李新偉,等.基于μC/OS-Ⅲ的FreeModbus通信協(xié)議的實(shí)現(xiàn)[J].工業(yè)控制計(jì)算機(jī),2015(11):21-23.

中圖分類號(hào)：TH-39;TP309

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201607020

Multilayer Access Control Filtering Technique Based on Modbus/TCP Protocol

Abstract：In view of the information security defects existing in typical industrial control protocol of Modbus,the multilayer access control filtering technique based on Modbus/TCP protocol is proposed.The network data packets are processed by adopting hierarchical filtering strategy,to resist cyber attacks.The strategy consists of two phases,i.e.,analysis phase and configuration phase.In analysis phase,the legal messages are collected and analyzed in accordance with the rules,and the three-tier whitelist is established.In configuration phase,the allowable range of critical writable parameters is configured and the over limit parameters are filtered for preventing them to be written in controller.Through tests on the experimental platform built,the capability of the multiple access control filtering technique for effectively resisting the network attacks aiming at application layer of the protocol is verified.It is helpful to eliminate the influence comes from erroneous handling of operators,thus the system security is improved.

Keywords:Modbus/TCPInformation securityAccess control strategyData processingIntegration of information and industrialization

修改稿收到日期：2016-02-26。

第一作者蔣臣(1990—)，男，現(xiàn)為華東理工大學(xué)控制科學(xué)與工程專業(yè)在讀碩士研究生；主要從事工業(yè)信息安全方向的研究。