一种基于FF协议的攻击检测方法技术

本发明专利技术公开了一种基于FF协议的攻击检测方法，属于信息安全技术领域。其包括以下步骤：部署设置有FF协议的防火墙，并通过防火墙的网络监听模块接收含有FF协议的数据包，同时利用预处理模块进行含有FF协议的数据包的检查，检查后的数据包送入规则检测流量模块；部署管理平台，设置规则检测流量模块并将流量规则下发至访问设备，其中规则检测流量模块用于放行或阻断流量规则所定义的流量；部署自学习检测流量模块，其中自学习检测流量模块用于实现阻断不合法的FF协议的流量数据。创造性引入数据包的预处理、规则检测的处理及自学习检测的处理，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。阻断。

【技术实现步骤摘要】
一种基于FF协议的攻击检测方法


[0001]本专利技术属于信息安全
，具体地说，涉及一种基于FF协议的攻击检测方法。

技术介绍

[0002]随着网络技术的发展，Internet正在把全世界的计算机系统、通信系统逐渐集成起来，形成信息高速公路，形成公用数据网络。在此基础上，传统的工业控制领域也正经历一场前所未有的变革，开始向网络化方向发展，形成了新的控制网络。控制系统的结构从最初的计算机集中控制系统(CCS，Concentrated Computer Control System)，到第二代的集散控制系统(DCS，Distributed Control System)，发展到现在流行的现场总线控制系统(FCS，Field bus Control Systm)。而以太网又逐渐与现场总线结合并进入工业控制领域。
[0003]虽然现场总线技术发展非常迅速，但也存在许多问题，制约其应用范围的进一步扩大。
[0004](a)首先是现场总线的选择。虽然目前IEC组织已达成了国际总线标准，但总线种类仍然过多，而每种现场总线都有自己最合适的应用领域，如何在实际中根据应用对象，将不同层次的现场总线组合使用，使系统的各部分都选择最合适的现场总线，对用户来说，仍然是比较棘手的问题。
[0005](b)系统的集成问题。由于实际应用中一个系统很可能采用多种形式的现场总线，因此如何把工业控制网络与数据网络进行无缝的集成，从而使整个系统实现管控一体化，是关键环节。现场总线系统在设计网络布局时，不仅要考虑各现场节点的距离，还要考虑现场节点之间的功能关系、信息在网络上的流动情况等。由于智能化现场仪表的功能很强，因此许多仪表会有同样的功能块，组态时选哪个功能块是要仔细考虑的，要使网络上的信息流动最小化。同时通信参数的组念也很重要，要在系统的实时性与网络效率之间做好平衡。
[0006]以太网现在已经具备作为完全工业化的现场设备级实时控制网络的能力，没有什么可以阻挡以太网成为低成本、透明的控制网络。各个现场总线组织和机构，结合自己的情况，纷纷推出了以太网计划。代表性的有：基金会现场总线组织推出的FF
‑
HSE(High
‑
Speed Ether net，高速以太网)，主干网采用100Base
‑
T以太网技术，通讯协议采用发布者/预订者的实时通讯协议形式，FF
‑
HSE协议也是IEC61158通过的国际现场总线技术标准之一。
[0007]当前，鲜有将FF协议应用于攻击检测的方法中。

技术实现思路

[0008]1、要解决的问题
[0009]针对上述现有技术存在的问题，本专利技术提供一种基于FF协议的攻击检测方法，创造性引入数据包的预处理、规则检测的处理及自学习检测的处理三个步骤，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。尤其是，FF协议识别模块，进行所述的含有FF协议的数据包的检查，检查后的数据包送入规则检测流量模块，且配合管理平台的规则检测流量模块，用于放行或阻断流量规则所定义的流
量，实现阻断不合法的FF协议的流量数据。
[0010]2、技术方案
[0011]为解决上述问题，本专利技术采用如下的技术方案。
[0012]一种基于FF协议的攻击检测方法，包括以下步骤：
[0013](1)数据包的预处理：部署设置有FF协议的防火墙，并通过所述的防火墙的网络监听模块接收含有FF协议的数据包，同时利用预处理模块进行所述的含有FF协议的数据包的检查，检查后的数据包送入规则检测流量模块；
[0014](2)规则检测的处理：部署管理平台，设置规则检测流量模块并将流量规则下发至访问设备，其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量；
[0015](3)自学习检测的处理：部署自学习检测流量模块，其中所述的自学习检测流量模块用于实现阻断不合法的FF协议的流量数据。
[0016]上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的防火墙设置在基于inte l x86_64的硬件平台上；
[0017]其中所述的硬件平台的传输层采用TCP/UDP协议。
[0018]上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的网络监听模块上还连接有FF协议识别模块，所述的FF协议识别模块用于识别所述的含有FF协议的数据包；
[0019]步骤(1)中所述的预处理模块内置有FF协议插件，所述的FF协议插件用于分析数据包中属于FF协议的数据单元；
[0020]其中所述的属于FF协议的数据单元的内容包括协议类型特征字段、服务类型特征字段、消息类型特征字段；所述的FF协议插件通过判断所述的数据包的特征字段是否符合所述的属于FF协议的数据单元的内容，若是，将FF协议中的协议类型特征字段、服务类型特征字段、消息类型特征字段记录在审计日志中且存入数据库中，并转移送至所述的规则检测流量模块。
[0021]上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的防火墙与中央处理器相连，所述的防火墙通过所述的中央处理器与通信模块相连；
[0022]所述的通信模块上设置有以太网网卡，所述的以太网网卡设置有以太网通信单元、RS485通信单元及RS232通信单元，所述的中央处理器的数据接口通过RMII接口与所述的以太网通信单元相连，所述的中央处理器的数据接口还通过USART接口与所述的RS485通信单元、所述的RS232通信单元相连。
[0023]上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的管理平台设置在服务器中，所述的管理平台与所述的访问设备相连。
[0024]上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的规则检测流量模块的流量规则用于检测所述的FF协议的特征字段。
[0025]上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的规则检测流量模块检查流量规则中所列出的字段，并对数据包进行协议特征检查、服务特征检查、消息特征检查，当发现待检查的字段与数据包匹配，产生流量规则所设置的动作；
[0026]其中所述的动作包括告警动作、阻断动作、拒绝动作或放行动作。
[0027]上述所述的应用于防火墙的安全防护方法中，步骤(3)中所述的自学习检测流量模块设置在所述的服务器中，其中所述的自学习检测流量模块将符合标准FF协议的合法数
据包进行记录处理。
[0028]上述所述的应用于防火墙的安全防护方法中，步骤(3)中所述的自学习检测流量模块的配准识别优化算法如下：
[0029][0030]式中，k是数据包的偏移值，x
i
是第i个合法数据包，ρ和c分别是配准识别运行最短时间和配准识别运行最长时间，t0为初始时刻，T为匹配值，Ω为计算域，r为源点的数据包与场点的数据包之间的距离，R为场点的数据包与作用点的数据包之间的距离，α
A
、本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于FF协议的攻击检测方法，其特征在于：包括以下步骤：(1)数据包的预处理：部署设置有FF协议的防火墙，并通过所述的防火墙的网络监听模块接收含有FF协议的数据包，同时利用预处理模块进行所述的含有FF协议的数据包的检查，检查后的数据包送入规则检测流量模块；(2)规则检测的处理：部署管理平台，设置规则检测流量模块并将流量规则下发至访问设备，其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量；(3)自学习检测的处理：部署自学习检测流量模块，其中所述的自学习检测流量模块用于实现阻断不合法的FF协议的流量数据。2.根据权利要求1所述的应用于防火墙的安全防护方法，其特征在于：步骤(1)中所述的防火墙设置在基于intel x86_64的硬件平台上；其中所述的硬件平台的传输层采用TCP/UDP协议。3.根据权利要求2所述的应用于防火墙的安全防护方法，其特征在于：步骤(1)中所述的网络监听模块上还连接有FF协议识别模块，所述的FF协议识别模块用于识别所述的含有FF协议的数据包；步骤(1)中所述的预处理模块内置有FF协议插件，所述的FF协议插件用于分析数据包中属于FF协议的数据单元；其中所述的属于FF协议的数据单元的内容包括协议类型特征字段、服务类型特征字段、消息类型特征字段；所述的FF协议插件通过判断所述的数据包的特征字段是否符合所述的属于FF协议的数据单元的内容，若是，将FF协议中的协议类型特征字段、服务类型特征字段、消息类型特征字段记录在审计日志中且存入数据库中，并转移送至所述的规则检测流量模块。4.根据权利要求3所述的应用于防火墙的安全防护方法，其特征在于：步骤(1)中所述的防火墙与中央处理器相连，所述的防火墙通过所述的中央处理器与通信模块相连；所述的通信模块上设置有以太网网卡，所述的以太网网卡设置有以太网通信单元、RS485通信单元及RS2...

【专利技术属性】
技术研发人员：姚瑶，李建北，房志鹏，陈英辉，毛庆威，
申请(专利权)人：杭州立思辰安科科技有限公司，
类型：发明
国别省市：