[发明专利]一种IEC104通信访问控制方法

摘要

本发明公开了一种IEC 60870‑5‑104通信访问控制方法，通过提取IEC 60870‑5‑104协议中控制域第一个八位位组的第1位、控制域第一个八位位组的第2位、控制域第三个八位位组的第1位、类型标识和传送原因作为特征，利用神经网络学习上述特征的特定组合，从而得到访问控制的标准匹配规则；再将捕获的数据包通过预处理得到待检测序列，将得到的序列与标准匹配规则进行匹配，判断数据包是否允许通过，从而完成IEC 60870‑5‑104通信访问控制。

主权项

一种IEC 60870‑5‑104通信访问控制方法，其特征在于，包括以下步骤：(1)、捕获数据包在主站与子站之间利用以太网数据包捕捉工具，根据IEC 60870‑5‑104协议端口捕获IEC 60870‑5‑104数据包，并且剔除不含IEC 60870‑5‑104协议的数据包；(2)、数据预处理(2.1)、提取每条IEC 60870‑5‑104数据包的控制域第一个八位位组的第1位、第2位的比特的值，分别记为CF1‑1、CF1‑2，控制域第三个八位位组的第1位的比特的值，记为CF3‑1，类型标识位的一个字节的值，记为TI，以及传送原因位的两个字节的值，记为为TR；(2.2)、将每条IEC 60870‑5‑104数据包中提取到的CF1‑1、CF1‑2、CF3‑1、TI、TR组合成一组数据，数据格式为：(CF1‑1,CF1‑2,CF3‑1,TI,TR)；(3)、判断每组数据(CF1‑1,CF1‑2,CF3‑1,TI,TR)是否为合法数据若CF1‑1＝1，CF1‑2＝0，CF3‑1＝0，或者CF1‑1＝1，CF1‑2＝1，CF3‑1＝0，则该组数据为合法数据，否非为非法数据；若CF1‑1＝0，CF3‑1＝0，则按如下规则判断：1)、TI为9或11或13或38‑40时，则该条数据为合法数据，否非为非法数据；2)、TI为1和3或30‑32时，若TR为3，则该条数据为合法数据，否非为非法数据；3)、TI为15时，若TR为37，则该条数据为合法数据，否非为非法数据；4)、TI为46或47或100或101时，若TR为6或7或10，则该条数据为合法数据，否非为非法数据；5)、TI为104时，若TR为6或7，则该条数据为合法数据包，否非为非法数据；(4)、构建基于神经网络的访问控制将数据(CF1‑1,CF1‑2,CF3‑1,TI,TR)作为神经网络模型的输入，其合法数据(CF1‑1,CF1‑2,CF3‑1,TI,TR)对应的输出设置为1，非法数据(CF1‑1,CF1‑2,CF3‑1,TI,TR)对应的输出设置为0，完成对神经网络模型进行训练；(5)、通信访问控制模块对通信数据包进行异常流量检测在实际的工业环境中进行检测，通信访问控制模块在获取数据包之后，将数据包按照步骤(1)～(2)所述方法调整成标准输入数据(CF1‑1,CF1‑2,CF3‑1,TI,TR)，并输入到神经网络模型中进行检测，若神经网络模型输出为1，则判断该数据正常，若神经网络模型输出为0，则判断该数据异常。