[发明专利]一种基于FF协议的攻击检测方法

说明书

本发明公开了一种基于FF协议的攻击检测方法，属于信息安全技术领域。其包括以下步骤：部署设置有FF协议的防火墙，并通过防火墙的网络监听模块接收含有FF协议的数据包，同时利用预处理模块进行含有FF协议的数据包的检查，检查后的数据包送入规则检测流量模块；部署管理平台，设置规则检测流量模块并将流量规则下发至访问设备，其中规则检测流量模块用于放行或阻断流量规则所定义的流量；部署自学习检测流量模块，其中自学习检测流量模块用于实现阻断不合法的FF协议的流量数据。创造性引入数据包的预处理、规则检测的处理及自学习检测的处理，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。

技术领域

本发明属于信息安全技术领域，具体地说，涉及一种基于FF协议的攻击检测方法。

背景技术

随着网络技术的发展，Internet正在把全世界的计算机系统、通信系统逐渐集成起来，形成信息高速公路，形成公用数据网络。在此基础上，传统的工业控制领域也正经历一场前所未有的变革，开始向网络化方向发展，形成了新的控制网络。控制系统的结构从最初的计算机集中控制系统(CCS，Concentrated Computer Control System)，到第二代的集散控制系统(DCS，Distributed Control System)，发展到现在流行的现场总线控制系统(FCS，Field bus Control Systm)。而以太网又逐渐与现场总线结合并进入工业控制领域。

虽然现场总线技术发展非常迅速，但也存在许多问题，制约其应用范围的进一步扩大。

(a)首先是现场总线的选择。虽然目前IEC组织已达成了国际总线标准，但总线种类仍然过多，而每种现场总线都有自己最合适的应用领域，如何在实际中根据应用对象，将不同层次的现场总线组合使用，使系统的各部分都选择最合适的现场总线，对用户来说，仍然是比较棘手的问题。

(b)系统的集成问题。由于实际应用中一个系统很可能采用多种形式的现场总线，因此如何把工业控制网络与数据网络进行无缝的集成，从而使整个系统实现管控一体化，是关键环节。现场总线系统在设计网络布局时，不仅要考虑各现场节点的距离，还要考虑现场节点之间的功能关系、信息在网络上的流动情况等。由于智能化现场仪表的功能很强，因此许多仪表会有同样的功能块，组态时选哪个功能块是要仔细考虑的，要使网络上的信息流动最小化。同时通信参数的组念也很重要，要在系统的实时性与网络效率之间做好平衡。

以太网现在已经具备作为完全工业化的现场设备级实时控制网络的能力，没有什么可以阻挡以太网成为低成本、透明的控制网络。各个现场总线组织和机构，结合自己的情况，纷纷推出了以太网计划。代表性的有：基金会现场总线组织推出的FF-HSE(High-SpeedEther net，高速以太网)，主干网采用100Base-T以太网技术，通讯协议采用发布者/预订者的实时通讯协议形式，FF-HSE协议也是IEC61158通过的国际现场总线技术标准之一。

当前，鲜有将FF协议应用于攻击检测的方法中。

发明内容

1、要解决的问题

针对上述现有技术存在的问题，本发明提供一种基于FF协议的攻击检测方法，创造性引入数据包的预处理、规则检测的处理及自学习检测的处理三个步骤，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。尤其是，FF协议识别模块，进行所述的含有FF协议的数据包的检查，检查后的数据包送入规则检测流量模块，且配合管理平台的规则检测流量模块，用于放行或阻断流量规则所定义的流量，实现阻断不合法的FF协议的流量数据。

2、技术方案

为解决上述问题，本发明采用如下的技术方案。

一种基于FF协议的攻击检测方法，包括以下步骤：