通信网络检测与防攻击保护方法、装置、通信设备及系统的制作方法

通信网络检测与防攻击保护方法、装置、通信设备及系统的制作方法
【专利摘要】本申请公开一种通信网络检测与防攻击保护方法、装置、通信设备及系统，该方法应用于通信设备，在执行检测时，首先接收通信网络内其他通信设备传输的报文，所述报文中包含相应的参数信息，然后将所述参数信息与通信网络动态运行产生的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，从而根据比较结果能够判断出所述通信网络中是否存在疑似攻击设备，并在存在时，执行相应的保护操作。通过该方法，能够根据接收到的报文中包含的参数信息，判断接收报文的合法性，及时检测到通信网络中是否存在疑似攻击设备，并在存在时，执行相应的保护操作，从而提高了通信网络的安全性。
【专利说明】通信网络检测与防攻击保护方法、装置、通信设备及系统
【技术领域】
[0001]本发明涉及通信【技术领域】，特别是涉及一种通信网络检测与防攻击保护方法、装置、通信设备及系统。
【背景技术】
[0002]随着信息技术的发展，通信网络技术也日益成熟，相应的，通信网络在人们的工作、生活中所占据的比重也日益重要。例如，随着工业控制系统大型化、智能化的不断提高，工业通信网络在控制系统中的重要性更加突出。
[0003]但是，发明人在本申请的研究过程中发现，现有技术中的通信网络，主要着重于通信数据的传输，缺乏安全性设计，导致通信网络的安全性能较差。

【发明内容】

[0004]有鉴于此，本发明的目的在于提供一种通信网络检测与防攻击保护方法、装置及通信设备，以提高通信网络的安全性能，具体实施方案如下:
[0005]一种通信网络检测与防攻击保护方法，应用于通信设备，包括:
[0006]接收通信网络内其他通信设备传输的报文，其中，所述报文包含参数信息，所述参数信息包括:所述通信网络的网络运行参数，和/或所述报文的特征检测参数信息；
[0007]解析获取所述报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，根据比较结果判断所述通信网络中是否存在疑似攻击设备；
[0008]当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作。
[0009]优选的，
[0010]所述网络运行参数包括:报文发送时间戳、和/或报文接收时间戳、和/或报文发送序列号、和/或报文优先级；
[0011]所述特征检测参数信息包括:所述通信设备的物理地址、和/或逻辑地址、和/或报文长度、和/或通信协议类型、和/或通信命令号、和/或报文调度序号。
[0012]优选的，所述当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作，包括:
[0013]当所述通信网络中存在主机系统，且所述通信设备不是主机系统时，产生报警报文，并将所述报警报文传输至所述主机系统，以便所述主机系统根据所述报警报文产生相应的全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0014]当所述通信网络中存在主机系统，且所述通信设备为所述主机系统时，或当所述通信网络中不存在主机系统时，产生全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0015]其中，所述报警报文和全网报警报文中包含:所述疑似攻击设备的地址信息和报警报文优先级，或，所述疑似攻击设备的地址信息、报警报文优先级和疑似攻击特征信息。[0016]优选的，所述当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作，包括:
[0017]隔离所述疑似攻击设备传输的所述报文，停止对所述报文的转发，并停止向所述疑似攻击设备发送或传输报文。
[0018]相应的，本发明还公开了一种通信网络检测与防攻击保护方法，应用于通信设备，包括:
[0019]接收通信网络内其他通信设备传输的全网报警报文；
[0020]解析获取所述全网报警报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，判断所述全网报警报文是否合法；
[0021]当根据判断结果，确定所述全网报警报文合法时，获取所述全网报警报文中包含的疑似攻击设备的地址信息，根据所述疑似攻击设备的地址信息确定所述疑似攻击设备，并隔离所述疑似攻击设备传输的报文，停止向所述疑似攻击设备传输报文。
[0022]相应的，本发明还公开了一种通信网络检测与防攻击保护装置，应用于通信设备，包括:
[0023]报文接收模块，用于接收通信网络内其他通信设备传输的报文，其中，所述报文包含参数信息，所述参数信息包括:所述通信网络的网络运行参数，和/或所述报文的特征检测参数信息；
[0024]报文检测模块，用于解析获取所述报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，根据比较结果判断所述通信网络中是否存在疑似攻击设备；
[0025]网络保护模块，用于当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作。
[0026]优选的，所述网络保护模块包括:
[0027]第一报警保护单元，用于当所述通信网络中存在主机系统，且所述通信设备不是主机系统时，产生报警报文，并将所述报警报文传输至所述主机系统，以便所述主机系统根据所述报警报文产生相应的全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0028]第二报警保护单元，用于当所述通信网络中存在主机系统，且所述通信设备为所述主机系统时，或当所述通信网络中不存在主机系统时，产生全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0029]其中，所述报警报文和全网报警报文中包含:所述疑似攻击设备的地址信息和报警报文优先级，或，所述疑似攻击设备的地址信息、报警报文优先级和疑似攻击特征信息。
[0030]优选的，所述网络保护模块包括:
[0031]隔离保护单元，用于隔离所述疑似攻击设备传输的所述报文，停止对所述报文的转发，并停止向所述疑似攻击设备发送或传输报文。
[0032]相应的，本发明还公开了一种通信设备，包括:
[0033]如上所述的通信网络检测与防攻击保护装置。
[0034]相应的，本发明还公开了一种通信网络检测与防攻击保护装置，应用于通信设备，包括:
[0035]接收模块，用于接收通信网络内其他通信设备传输的全网报警报文；
[0036]判断模块，用于解析获取所述全网报警报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，判断所述全网报警报文是否合法；
[0037]隔离保护模块，用于当根据判断结果，确定所述全网报警报文合法时，获取所述全网报警报文中包含的疑似攻击设备的地址信息，根据所述疑似攻击设备的地址信息确定所述疑似攻击设备，并隔离所述疑似攻击设备传输的报文，停止向所述疑似攻击设备传输报文。
[0038]相应的，本发明还公开了一种通信设备，包括:
[0039]如上所述的通信网络检测与防攻击保护装置。
[0040]相应的，本发明还公开了一种通信系统，包括:
[0041]如上所述的两种通信设备。
[0042]本申请公开的通信网络检测与防攻击保护方法应用于通信设备，在执行检测时，首先接收通信网络内其他通信设备传输的报文，所述报文中包含相应的参数信息，然后将所述参数信息与通信网络动态运行产生的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，从而根据比较结果能够判断出所述通信网络中是否存在疑似攻击设备，并在存在时，执行相应的保护操作。
[0043]通过该通信网络检测与防攻击保护方法，能够根据接收到的报文中包含的参数信息，判断接收报文的合法性，及时检测到通信网络中是否存在疑似攻击设备，并在存在时，执行相应的保护操作，从而提高了通信网络的安全性。
【专利附图】

【附图说明】
[0044]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0045]图1为本发明实施例公开的一种通信网络检测与防攻击保护方法的工作流程示意图；
[0046]图2为本发明实施例公开的一种通信网络检测与防攻击保护方法支持的网络拓扑结构的示意图；
[0047]图3为本发明实施例公开的又一种通信网络检测与防攻击保护方法的工作流程示意图；
[0048]图4为本发明实施例公开的又一种通信网络检测与防攻击保护方法的工作流程示意图；
[0049]图5为本发明实施例公开的又一种通信网络检测与防攻击保护方法的工作流程示意图；
[0050]图6为本发明实施例公开的又一种通信网络检测与防攻击保护方法的工作流程示意图；[0051]图7为本发明实施例公开的一种通信网络检测与防攻击保护装置的结构示意图；
[0052]图8为本发明实施例公开的又一种通信网络检测与防攻击保护装置的结构示意图。
【具体实施方式】
[0053]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0054]为了解决现有技术中的通信网络安全性能差的问题，本申请提供一种通信网络检测与防攻击保护方法、装置、通信设备及系统，实施过程参见以下实施例。
[0055]实施例一
[0056]本申请的实施例一公开了一种通信网络检测与防攻击保护方法，该方法应用于通信设备，以解决现有技术中的通信网络存在的安全性能差的问题。参见图1所示的工作流程示意图，本申请公开的通信网络检测与防攻击保护方法包括:
[0057]步骤S11、接收通信网络内其他通信设备传输的报文，其中，所述报文包含参数信息，所述参数信息包括:所述通信网络的网络运行参数，和/或所述报文的特征检测参数信
肩、O
[0058]其中，所述网络运行参数是指通信网络正常运行时，产生的、必备的随着网络运行状况变化的参数信息，通常包括:报文发送时间戳、和/或报文接收时间戳、和/或报文发送序列号、和/或报文优先级；
[0059]所述特征检测参数信息指的是，通信网络系统在运行过程中，报文中包含的具有特征意义的参数信息，能够用于检测该报文是否正确、可靠及合法性，通常包括:所述通信设备的物理地址、和/或逻辑地址、和/或报文长度、和/或通信协议类型、和/或通信命令号、和/或报文调度序号。
[0060]上述公开了多种网络运行参数及特征检测参数，在根据实际的调度特点及检测需要，可使用其中的部分或全部参数，进行通信网络的检测。
[0061]另外，通信网络中产生并发送报文的源端通信设备，通常称为源通信设备。
[0062]步骤S12、解析获取所述报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，根据比较结果判断所述通信网络中是否存在疑似攻击设备。
[0063]为了实现不同的检测需求，本申请的通信网络检测与防攻击保护方法提供了多种比较方式。其中，当接收到的所述报文中包含网络运行参数，和/或特征检测参数时，需要将所述网络运行参数与上一周期缓存的网络运行参数进行对比，和/或将所述特征检测参数与组态配置的相应信息进行对比。这种情况下，需要为各个通信设备进行网络运行参数的误差阈值，和/或特征检测参数的组态配置。在本申请中，可以在通信网络正式运行前，预先为各个通信设备进行网络运行参数误差阈值，和/或特征检测参数的组态配置，也可以在通信网络的检测过程中，对所述网络运行参数的误差阈值，和/或特征检测参数进行组态配置，本申请对此不做限定。[0064]步骤S13、当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作。
[0065]本申请的步骤Sll至步骤S13，公开了一种通信网络检测方法，该方法应用于通信设备，在执行检测时，首先接收通信网络内其他通信设备传输的报文，所述报文中包含相应的参数信息，然后将所述参数信息与通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，从而根据比较结果能够判断出所述通信网络中是否存在疑似攻击设备，并在存在时，执行相应的保护操作。
[0066]通过该通信网络检测方法，能够根据接收到的报文中包含的参数信息，判断接收报文的临时合法性，及时检测到通信网络中是否存在疑似攻击设备，并在存在时，执行相应的保护操作，从而提高了通信网络的安全性。
[0067]通信网络通常包括两种形式，其中一种通信网络中包含主机系统，另一种通信网络中不包含主机系统。根据通信网络中是否包含主机系统，以及本申请公开的通信网络检测与防攻击保护方法针对的通信设备是否为主机系统，执行的保护操作是不同的。
[0068]其中步骤S13中，当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作，包括:
[0069]当所述通信网络中存在主机系统，且所述通信设备不是主机系统时，产生报警报文，并将所述报警报文传输至所述主机系统，以便所述主机系统根据所述报警报文产生相应的全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0070]当所述通信网络中存在主机系统，且所述通信设备为所述主机系统时，或当所述通信网络中不存在主机系统时，产生全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0071]其中，所述报警报文和全网报警报文中包含:所述疑似攻击设备的地址信息和报警报文优先级，或，所述疑似攻击设备的地址信息、报警报文优先级和疑似攻击特征信息。
[0072]其中，疑似攻击特征是指对参数信息中的物理地址MAC与逻辑地址IP、通信协议、命令号、发送序列号、报文长度、报文优先级、报文调度序号、报文传输延时、发送偏移时间、时钟同步抖动误差等检测，由此检测获取到的由于疑似攻击引起的错误类型、状态等，即为疑似攻击特征。
[0073]上述在确定通信网络中存在疑似攻击设备后，执行的保护操作以网络报警形式为主。
[0074]当所述通信网络内不包括主机系统时，则该通信网络为分布式网络，执行相应保护操作的通信设备会产生全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备。当所述通信网络内包括主机系统时，一般由主机系统产生全网报警报文，并将所述全网报警报文传输至通信网络中其他的通信设备中。
[0075]接收到全网报警报文的通信设备，会根据所述全网报警报文中包含的报警报文优先级，判断所述全网报警报文的合法性，并在确定所述全网报警报文合法时，根据所述疑似攻击设备的地址信息确定疑似攻击设备，执行相应的隔尚操作，隔尚所述疑似攻击设备传输的报文，并停止向所述疑似攻击设备传输报文。另外，当所述全网报警报文中还包括疑似攻击特征信息时，接收到所述全网报警报文的通信设备，还会根据所述疑似攻击特征信息确定疑似攻击设备的危害性，并据此执行相应的操作。
[0076]另外，通信设备执行的保护操作，还可以为隔离操作。这种情况下，步骤S13中，当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作，包括:
[0077]隔离所述疑似攻击设备传输的所述报文，停止对所述报文的转发，并断开链接，停止向所述疑似攻击设备发送或传输报文。
[0078]通过上述公开的方案，执行通信网络检测的通信设备不是通信网络中的主机系统时，仍然能够实现相应的保护操作。
[0079]在上述方案中，公开了本申请的通信网络检测与防攻击保护方法针对的通信设备执行网络报警和隔离保护这两方面的方案。其中，根据保护需求，在通信网络中，可同时采用网络报警和隔离保护两种保护方式，也可以任选其中一种。
[0080]在执行网络报警操作时，无论通信网络中是否存在主机系统，通信网络中的各个通信设备都对接收到的报文进行检测，判断网络中是否包含疑似攻击设备。当通信网络中存在主机系统时，若检测出疑似攻击的通信设备为主机系统时，则由该通信设备进行全局调度，产生全网报警报文，并传输至通信网络中的其他通信设备，若检测出疑似攻击的通信设备不是主机系统时，则产生报警报文，并将所述报警报文传输至主机系统，再由主机系统产生全网报警报文，传输至通信网络中的其他通信设备；当通信网络中不存在主机系统时，则由检测出疑似攻击的通信设备直接产生全网报警报文，并传输至其他通信设备。接收到全网报警报文的通信设备，在各自设备中对疑似攻击设备的通信进行隔离保护。
[0081]另外，当全网报警报文中包含疑似攻击特征信息时，产生全网报警报文的通信设备会根据疑似攻击的特征信息，确定造成的不同危害等级，以确定所述全网报警报文的优先级，并根据优先级的高低，向通信网络内不同的通信设备依次发送全网报警报文，通知检测到的疑似攻击。
[0082]执行隔离保护操作，目的是隔离疑似攻击设备，过滤源自疑似攻击设备的报文，阻止疑似攻击报文在网络中的传播，且禁止其他通信设备向疑似攻击设备发送或转发报文，并根据不同网络拓扑结构，封锁相应的通信端口。
[0083]当保护操作中包含隔离保护操作时，检测到疑似攻击设备的通信设备，以及接收到全网报警报文的通信设备，都会执行隔离保护操作。其中，所述隔离保护操作包括:丢弃当前接收到的来自疑似攻击设备发送的报文，且不向任何设备转发该报文，并且，禁止向疑似攻击设备发送任何形式的报文，且不向疑似攻击设备转发任何报文。
[0084]另外，参见图2所示的网络拓扑形式，本申请所公开的通信网络检测与防攻击保护方法，支持的网络拓扑形式包括:星形、线形和环网三种拓扑结构。在执行隔离操作时，对于星形拓扑结构网络，通信设备还可以在内部封锁与该疑似攻击设备相连的端口，在通信链路上断开与该疑似攻击设备的通信连接；对于线形拓扑结构网络，如果疑似攻击设备存在于线形网络的两端，则在正常的通信设备一侧封锁与该疑似攻击设备的端口，在通信链路上断开与该疑似攻击设备的通信连接，在通信逻辑链路上彻底隔离该疑似攻击设备，防止其对通信网络发起攻击，实现隔离保护，从而保证正常通信的安全。
[0085]在进行通信网络检测，通常是根据接收到的报文中包含的参数信息进行判断的，当所述参数信息中包括特征检测参数时，需要对通信网络中的各个通信设备进行组态配置，以使各通信设备中存储组态配置的检测参数。当某一通信设备发送的报文中，所包含的特征检测参数的检测值与组态配置值不匹配，或相邻周期间的网络运行参数的误差超过一定阈值时，则认为产生该报文的源通信设备为疑似攻击设备，需要针对该设备进行相应的保护操作。对于具有主机系统的通信网络，在初始组态配置时，还将主机信息组态在各个通信设备中
[0086]其中，当步骤S12中所述的解析获取所述报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较时，根据所述报文中的参数信息的不同，采用不同的步骤。
[0087]当接收的报文的所述参数信息包含特征检测参数信息中的通信设备的物理地址MAC和逻辑地址IP时，解析接收到的所述报文，解析获取其中的所述通信设备的物理地址MAC和逻辑地址IP ;将所述物理地址MAC和逻辑地址IP与所述预先组态配置的，存储在相应的物理地址MAC和逻辑地址IP列表中的MAC和IP进行对比，以检测接收到的报文中的物理地址MAC和逻辑地址IP的合法性。若所述MAC列表和IP列表中包含报文中的所述物理地址MAC和逻辑地址IP，且所述物理地址MAC和逻辑地址IP对应一致时，则确定接收到的报文中的物理地址MAC和逻辑地址IP合法，若不包含，则确定所述源通信设备为疑似攻击设备。因此，通过所述物理地址MAC和逻辑地址IP，即可确定疑似攻击设备的地址。
[0088]当接收的报文的所述参数信息包含特征检测参数信息中的通信协议类型时，解析获取其中包含的通信协议类型信息，所述通信协议类型信息通常为通信协议编号；将所述通信协议类型信息与所述预先组态配置的特征检测参数信息进行对比，检测该通信协议类型的合法性，其中，预先组态配置的特征检测参数信息通常设置在通信设备的支持协议列表中，如果所述支持协议列表中包含所述通信协议类型信息，则确定接收到的报文中的通信协议类型合法，若不包含，则确定该报文为非法报文，产生该报文的源通信设备为疑似攻击设备。
[0089]在通信网络中，有时利用通信命令号来区分、定义不同通信报文，以实现具体的命令操控。当接收的报文的所述参数信息包含特征检测参数信息中的通信命令号时，解析接收到的报文，获取其中包含的通信命令号，并检索组态配置的特征检测参数，其中，组态配置的特征检测参数通常由通信设备存储在命令号列表中。若根据检索对比的结果，确认通信网络支持所述通信命令号，则认为该报文中的通信命令号合法。如果当前的通信命令号不在通信网络系统所支持的通信命令号范围内，则确认该报文为非法报文，并确定产生该报文的源通信设备为疑似攻击设备。
[0090]另外，在报文中，有时会包含报文发送序列号。报文发送序列号指的是，通信设备每发送一次报文，报文发送序列号按一定的规律变化，例如，每发送一次报文后，报文发送序列号加I。报文发送序列号用于表示对应的通信设备已发送的报文的个数，以及该通信设备发送的报文的先后关系。
[0091]通常，当接收的报文的所述参数信息包含报文发送序列号时，需要检测该报文的发送序列号的合法性。当通信设备上电并执行通信网络的检测后，在接收到通信网络中其他源通信设备传输的报文后，会将解析后得到的当前报文中包含的该源通信设备的标识信息和报文发送序列号存储于发送序号缓存列表中，其中，所述标识信息用于标识所述源通信设备，通常可为所述源通信设备的地址信息，或者预先为其设置的编号信息等。当通信设备后续收到报文后，会对其进行解析，并在报文发送序号缓存列表中，检索与所述当前报文的源通信设备的标识对应的源通信设备在上一周期的发送序列号，将当前对应的发送序列号与缓存中上一周期的发送序列号相减，以比较前后两次接收到的同一源通信设备发送的报文序列号的连续渐增性。如果两者相差1，则确认该报文中的报文发送序列号合法。如果前后两周期的发送序列号相差不等于1，则确认该报文为非法报文，发送该报文的源通信设备为疑似攻击设备。也就是说，一旦检测到报文发送序列号不连续渐增，则认为检测到疑似攻击，并不缓存该报文的地址信息和发送序列号。
[0092]当接收的报文的所述参数信息包含特征检测参数信息中的报文长度时，还可进行报文长度检测，判断是否存在疑似攻击设备。报文长度检测是判断报文数据有效性的一种方法。只有当接收到的报文长度与组态配置时的报文长度一致时，才确认当前接收报文的数据有效性，认可该报文的报文长度合法。如果当前报文长度与初始配置的报文长度不一致，则确认当前报文为非法报文，该报文中的发送源通信设备为疑似攻击设备。
[0093]另外，不同的通信设备，可支持的报文长度可以不同。这种情况下，通信设备接收到的报文中包含有源通信设备的标识信息，所述标识信息用于标识所述源通信设备，通常可为所述源通信设备的地址信息，或者预先为其设置的编号信息等。首先需要对报文进行解析，获取发送该报文的源通信设备支持的数据长度。利用所述报文中包含的源通信设备的标识信息，检索本地通信设备的组态信息中，该源通信设备组态配置的报文长度。将接收到的报文的长度与该源通信设备对应的报文长度进行比较，根据比较结果，即可确定报文是否合法，该源通信设备是否为疑似攻击设备。
[0094]当通信设备接收到的所述报文中，包含报文调度序号时，需要对所述报文调度序号进行检测。基于调度的通信网络，如一些工业网络，可采用调度序号进行调度，报文调度序号规定了调度网络中不同通信设备之间发送报文的先后顺序。该序号是用于区分不同通讯设备间的报文发送先后关系。如果通信网络中存在调度序号，则通过组态配置时确定的调度规则，根据调度序号确定不同源通信设备的报文先后发送顺序，然后由接收到报文的通信设备对报文调度序号进行检测，其中，组态配置时确定的调度规则通常存储在所述通信设备的调度序号列表中。对报文调度序号的检测，是一种监视网络确定性通信调度的有效手段，检测恶意攻击对调度规划的破坏。
[0095]在对报文调度序号进行检测时，需要报文中同时包含源通信设备的标识信息。接收到报文的通信设备首先根据标识信息，检索接收报文的本地通信设备的组态信息中，同一源通信设备对应的报文发送调度序号列表，从中解析获取该源通信设备组态配置的调度序号，并解析接收到的报文中的发送调度序号，并与该源通信设备组态的调度序号进行比较。如果组态配置的当前报文发送源通信设备的调度序号与报文解析的调度序号相同，则认为该报文的调度序号合法。如果两者的调度序号不相同，则认为该报文为非法报文，该源通信设备为疑似攻击设备。
[0096]另外，在一些报文中，包含有报文优先级，这种情况下，通常在报文中加载一个优先级字段信息，以体现该报文的优先级。通信设备中动态地维护着一个当前网络要求发送的报文的优先级列表。在根据报文优先级进行通信网络的检测时，通信设备解析接收到的报文中包含的优先级字段，将其与优先级列表进行比较，检测报文优先级的合法性。如果报文优先级与所述优先级列表中的最高优先级相等，则认为该报文为合法报文。如果不相等，则认为该报文为非法报文，该源通信设备为疑似攻击设备。
[0097]若本申请针对的通信网络是基于时钟同步的确定性调度通信网络，即整个通信网络有且仅有唯一的主时钟设备，且主时钟设备周期性地同步其他从时钟设备，使得整个通信网络中的所有通信设备的运行时钟全局统一、精确同步。在此基础上，采用基于精确发送时间偏移的调度通信，各个通信设备的报文发送具有有序、固定的时间偏移，那么，还可以根据报文的发送时间戳、接收时间戳，分析通信设备间的通信传输延时、报文发送时间偏移量，时钟同步抖动误差等，并与通信周期、上一周期的报文发送时间戳、接收时间戳对比，确定疑似攻击设备。
[0098]当通过报文的发送时间偏移量进行通信网络的检测时，能够有效检测通信调度的准确性，检测因恶意攻击引起的调度紊乱。通信网络中的各个通信设备，都具有全网同步的运行时钟和报文发送周期，每个通信设备都会以设备本地时钟记录其周期性通信的起始时刻。当通信设备接收到其他源通信设备发送来的报文后，会解析接收到的所述报文的报文发送时间戳，并将所述报文发送时间戳与通信设备的当前周期性通信起始时刻相减，得到该源通信设备对应的报文发送时间偏离量。然后检测通信设备本地存储的组态配置信息中，该源通信设备的发送时间偏移量及其允许的误差容限范围，并将组态配置的发送时间偏移量与当前计算得到的实际发送时间偏移时间进行比较。如果这两者的发送时间偏移量的误差在允许的误差容限范围内，则认为通信设备接收到的报文为合法报文。否则，如果两者的发送时间偏移量之差超出允许的发送偏移误差容限，则认为该报文为非法报文，由此确定发送该报文的源通信设备为疑似攻击设备。
[0099]若本申请针对的通信网络是基于时钟同步的确定性调度通信网络，则该通信网络具有基本不变的网络结构和通信设备间的通信传输延时，可通过报文发送时间戳、和/或报文接收时间戳对通信网络进行检测。
[0100]在通信过程中，通信设备在发送和接收报文时，都会记录相应的时间戳信息，并将报文发送时间戳组装在报文中发送至接收的通信设备。当通信设备接收到报文后，解析其发送时间戳，并将本地的接收时间戳和该报文的发送时间戳相减，获得发送该报文的源通信设备与接收报文的通信设备间的通信传输延时。接收报文的通信设备，将得到的当前报文中包含的该源通信设备的标识信息和对应的设备间的传输延时存储于传输延时缓存列表中，其中，所述标识信息用于标识所述源通信设备，通常可为所述源通信设备的地址信息，或者预先为其设置的编号信息等，并将其与前一周期通信过程中这两者设备间的传输延时作对比。如果前后周期间，同样两个设备间的传输延时在组态配置所允许误差范围内，则认为当前网络通信是稳定的。如果同样两设备间的传输延时超过组态配置所允许的误差范围，则认为当前通信网络不够稳定，网络中可能存在疑似攻击。
[0101]另外，当通信设备接收到的报文为时钟同步报文时，通信设备还可以根据接收到的时钟同步报文对应的发送时间戳、接收时间戳和建立初始时钟同步过程时得到的固有线路传输延时，检测从时钟设备与主时钟设备间的时钟同步抖动误差。若接收时钟同步报文的通信设备为从时钟通信设备，其他发送时钟同步报文的源通信设备为主时钟设备，参见图3所示的工作流程示意图，当从时钟通信设备接收到来自主时钟设备的时钟同步报文后，首先以通信接收设备的本地时钟记录接收当前时钟同步报文的接收时间戳，解析获得该时钟同步报文的主时钟基准发送时间戳信息，并用本地时钟记录的接收时间戳减去主时钟设备的基准发送时间戳，再减去主时钟设备和该从时钟设备间的固有线路传输延时，即可得到从时钟通信设备相对主时钟通信设备基准时钟的时钟漂移时间，作为时钟同步抖动误差。如果该时钟漂移时间在组态配置所允许的网络时钟同步抖动误差范围内，则认为整个网络时钟是稳定的。如果该时钟偏移时间超过组态配置所允许的网络同步时钟抖动误差范围，则确认整个网络时钟不稳定，通信网络中存在疑似攻击设备。
[0102]上述解析获取报文中的参数信息，并将所述参数信息与通信网络动态运行的参数，和/或预先组态配置的特征检测参数信息进行比较的方法，提供了多种基于不同参数的比较方式，在实际的通信网络检测过程中，可依次采用全部种类的参数信息进行检测，也可采用上述的部分种类的参数进行相应的检测。
[0103]当报文中同时包括多种参数信息时，在根据参数进行通信网络的检测时，通常具有一定的次序。参见图4所示的工作流程示意图，当所述参数信息中含有多种类型的网络运行参数和多种类型的特征检测参数时，将所述参数信息与各种类型的参数信息进行比较，判断通信网络中是否存在疑似攻击设备，通常按照以下次序:
[0104]一般来说，首先解析报文，获取报文中包含的源通信设备的地址信息，所述地址信息包括物理地址MAC和逻辑地址IP，然后检索组态配置的MAC和IP列表，判断所述报文中的所述物理地址MAC及其对应的逻辑地址IP是否存在，且二者是否对应一致，如果所述地址信息在组态信息中对应存在，则获取其他参数，继续检测，若不存在，则确认发现疑似攻击，并根据地址信息确定疑似攻击设备的地址。
[0105]若根据地址信息在组态信息中对应存在，解析获取接收到的报文的通信协议类型字段，并检索组态配置的支持协议列表，检测所述通信协议类型的合法性，若所述通信协议类型合法，则获取其他参数，继续检测，若所述通信协议类型不合法，则确认发送疑似攻击，并由报文中包含的地址信息确定疑似攻击设备。
[0106]若所述通信协议类型合法，则解析报文，获取其中包含的通信命令号字段，并检索组态配置的通信命令列表，检测接收报文通信命令号的合法性。如果当前通信命令号存在于组态配置信息中，若所述通信命令号合法，则获取其他参数，继续检测，若所述通信命令号不合法，则确认发送疑似攻击，并由报文中包含的地址信息确定疑似攻击设备。
[0107]若所述通信命令号合法，则解析报文，获取其中包含的报文发送序列号，根据源通信设备标识信息，比较前后两次接收到的同一源通信设备发送的报文序列号的连续渐增性。如果接收到的报文的报文发送序列号连续渐增，则缓存当前报文的源通信设备标识信息及其发送序列号，并获取其他参数，继续检测，否则，确认发现疑似攻击，并由地址信息确定疑似攻击设备。
[0108]若报文发送序列号合法，则继续解析报文，获取报文对应的报文长度字段，然后利用发送该报文的源通信设备的标识信息，比较所述标识信息对应的源通信设备支持的报文长度，检测该报文的合法性。如果当前接收报文长度与组态配置信息相等，则获取其他参数，继续检测，若不合法，则确认发送疑似攻击，并由报文中包含的地址信息确定疑似攻击设备。
[0109]若报文长度合法，则继续解析报文，获取报文中包含的报文调度序号，将所述报文的调度序号与组态配置信息中的该报文发送源通信设备的调度序号进行比较，检测报文调度序号的合法性。如果所述报文调度序号合法，获取其他参数，继续检测，若不合法，则确认发送疑似攻击，并由报文中包含的地址信息确定疑似攻击设备。
[0110]若报文长度合法，不同的检测需求下，为了提高检测的精度，还可继续解析报文，获取报文发送时间戳，并与所述报文的周期起始时刻比较，检测所述报文发送偏移时间的合法性。将所述周期起始时刻与所述发送时间戳相减，便可获取报文的发送偏移时间。如果所述发送偏移时间与组态配置信息中该报文源通信设备设置的发送偏移时间相近，其差值在允许范围内，则说明发送时间戳合法，获取其他参数，继续检测，若所述报文发送时间戳不合法，则确认发送疑似攻击，并由报文中包含的地址信息确定疑似攻击设备。
[0111]若确定所述报文发送时间戳合法，则获取通信设备接收所述报文的接收时间戳，将报文接收时间戳和报文发送时间戳相减，即可获取报文的传输延时。将所述报文的传输延时与前一周期的该源通信设备发送报文的传输延时比较，检测报文传输延时的合法性。如果前后周期的传输延时较为接近，在允许范围内，则说明接收时间戳合法，并缓存当前报文的源通信设备的标识信息及其对应传输时延，获取其他参数，继续检测，若不合法，则确认发送疑似攻击，并由报文中包含的地址信息确定疑似攻击设备。
[0112]通常，经过上述步骤，通信设备可鉴定接收到的报文是否合法。另外，为了提高检测的精度，还可以判断报文优先级的合法性和时钟同步抖动误差。根据检测需求，可以在检测出某一参数合法后，继续解析报文，获取当前报文的优先级。将所述报文优先级与所述通信设备本地维护的报文优先级列表中的最高优先级进行比较。如果当前检测的报文的优先级和通信设备本地维护的优先级列表中的最高优先级相同，则认为当前检测的报文的优先级合法。如果当前检测的报文的优先级高于或低于通信设备本地维护的优先级列表中的最高优先级，则确认该报文为非法报文，并由报文中包含的地址信息确定疑似攻击设备。
[0113]另外，根据实际检测需要，还可任意选择其中一种或几种参数进行通信网络的检测。例如，参见图5所示的工作流程示意图，当根据检测需求，只需要检测地址信息和报文优先级的合法性时，可以首先通过报文，获取其中包含的MAC和IP地址，然后在根据上述方法确定MAC和IP地址合法后，再获取报文中的优先级字段，检索报文优先级列表，当该优先级字段与所述报文优先级列表中的最高优先级相符合时，确定该报文合法。
[0114]在通过上述步骤对通信网络进行检测后，若发现通信网络中含有疑似攻击设备时，则会产生报警报文或全网报警报文，其中包含有疑似攻击设备的地址信息、报警报文的优先级，另外，还可以包括疑似攻击特征信息。其他通信设备在接收到全网报警报文后，首先通过上述报文检测方法，判断所述全网报警报文的合法性。当确定所述全网报警报文为合法报文后，会解析其攻击设备地址及其疑似攻击的危害等级，对疑似攻击设备进行通信隔离。
[0115]根据上文陈述可知，本申请公开的通信网络检测与防攻击保护方法，在正常运行之前，或运行时，会进行组态配置。并且，对于具有主机系统的网络，在进行组态配置时，还将主机信息组态在各个通信设备中。在开始检测时，各个通信设备执行报文收发操作和通信网络检测操作。在执行通信网络检测操作后，会解析接收到的报文，通过对报文发送源通信设备的地址信息、报文协议类型、报文命令号、报文优先级、发送序列号、调度序号或发送与接收时间戳、发送时间偏移量和时钟同步抖动误差等特征信息对比，检测通信网络中可能存在的疑似攻击，并定位该疑似攻击设备，执行相应的保护操作。对于检测到的疑似攻击，能够向网络中的主机或全网发送相应的报警信息，以使其他通信设备启动防攻击保护隔离模块，对网络隔离保护。
[0116]本申请公开的方法，通过对接收到的报文的合法性进行判断，能够及时检测通信网络中的疑似攻击设备，并执行相应的保护操作，提高了通信网络的安全性。另外，本申请公开的通信检测方法，还能够在网络中具备疑似攻击设备时，向其他通信设备发布报警信息，启动隔离保护，从通信链路上隔离疑似攻击设备。据此可知，本申请利用分布式检测技术，从疑似攻击设备的源头进行检测与隔离保护，提高了攻击检测的快速性与保护的可靠性。
[0117]实施例二
[0118]相应的，本申请的实施例二公开了一种通信网络检测与防攻击保护方法，该方法应用于通信设备，以解决现有技术中的通信网络存在的安全性能差的问题。参见图6所示的工作流程示意图，本申请公开的通信网络检测与防攻击保护方法包括:
[0119]步骤S21、接收通信网络内其他通信设备传输的全网报警报文；
[0120]步骤S22、解析获取所述全网报警报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，判断所述全网报警报文是否合法；
[0121]步骤S23、当根据判断结果，确定所述报警报文优先级合法后，获取所述全网报警报文中包含的疑似攻击设备的地址信息，根据所述疑似攻击设备的地址信息确定所述疑似攻击设备，并隔离所述疑似攻击设备传输的报文，停止向所述疑似攻击设备传输报文。
[0122]步骤S21至步骤S23公开了一种通信网络检测与防攻击保护方法，该方法应用于通信设备。该通信设备在接收到通信网络内其他通信设备传输的全网报警报文后，获取所述全网报警报文中包含的参数信息，并根据所述参数信息判断所述全网报警报文是否合法，当根据判断结果确定合法后，执行隔离保护操作，从而提高通信网络的安全性。
[0123]其中，步骤S22中，根据全网报警报文中的参数信息判断其是否合法时，所述参数信息包括多种，如全网报警报文对应的源通信设备的地址信息，以及所述全网报警报文对应的报文协议类型、报文命令号、报文优先级、发送序列号、调度序号或发送与接收时间戳、发送时间偏移量和/或时钟同步抖动误差等参数，本申请对此不做限定。可根据实施例一提供的方式，根据所述参数信息，判断所述全网报警报文的合法性。另外，在各类型报文中，所述全网报警报文对应的报文优先级通常最高。
[0124]实施例三
[0125]相应的，本申请的实施例二公开了一种通信网络检测装置，该装置应用于通信设备。
[0126]参见图7所示的结构示意图，所述通信网络检测装置包括:报文接收模块100、报文检测模块200和网络保护模块300，其中，
[0127]所述报文接收模块100，用于接收通信网络内其他通信设备传输的报文，其中，所述报文包含参数信息，所述参数信息包括:所述通信网络的网络运行参数，和/或所述报文的特征检测参数信息；
[0128]其中，所述网络运行参数包括:报文发送时间戳、和/或报文接收时间戳、和/或报文发送序列号、和/或报文优先级；
[0129]所述特征检测参数信息包括:所述通信设备的物理地址、和/或逻辑地址、和/或报文长度、和/或通信协议类型、和/或通信命令号、和/或报文调度序号。
[0130]所述报文检测模块200，用于解析获取所述报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，根据比较结果判断所述通信网络中是否存在疑似攻击设备；
[0131]所述网络保护模块300，用于当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作。
[0132]进一步的，所述网络保护模块300包括:
[0133]第一报警保护单元，用于当所述通信网络中存在主机系统，且所述通信设备不是主机系统时，产生报警报文，并将所述报警报文传输至所述主机系统，以便所述主机系统根据所述报警报文产生相应的全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0134]第二报警保护单元，用于当所述通信网络中存在主机系统，且所述通信设备为所述主机系统时，或当所述通信网络中不存在主机系统时，产生全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备；
[0135]其中，所述报警报文和全网报警报文中包含:所述疑似攻击设备的地址信息和报警报文优先级，或，所述疑似攻击设备的地址信息、报警报文优先级和疑似攻击特征信息。
[0136]进一步的，所述网络保护模块300包括:
[0137]隔离保护单元，用于隔离所述疑似攻击设备传输的所述报文，停止对所述报文的转发，并停止向所述疑似攻击设备发送或传输报文。
[0138]本申请公开的通信网络检测装置，通过对接收到的报文的合法性进行判断，能够及时检测通信网络中出现的疑似攻击设备，并执行相应的保护操作，提高了通信网络的安全性。另外，本申请公开的通信检测装置，还能够在网络中存在疑似攻击设备时，向其他通信设备发布报警信息，启动隔离保护，从通信链路上隔离疑似攻击设备。据此可知，本申请利用分布式检测技术，从疑似攻击设备的源头进行检测与隔离保护，提高了攻击检测的快速性与保护的可靠性。
[0139]相应的，本发明还公开了一种通信设备，所述通信设备的处理器中，集成有如上所述的通信网络检测装置。
[0140]其中，所述通信设备为:交换机、服务器、执行器或传感器，另外，还可以是通信网络中与执行器、传感器等相连的通信设备。
[0141]实施例四
[0142]相应的，本发明还公开了一种通信通信网络检测与防攻击保护装置，应用于通信设备，参见图8所示的结构示意图，包括:接收模块400、判断模块500和隔离保护模块600。其中，
[0143]所述接收模块400，用于接收通信网络内其他通信设备传输的全网报警报文；
[0144]所述判断模块500，用于解析获取所述全网报警报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，判断所述全网报警报文是否合法；
[0145]所述隔离保护模块600，用于当根据判断结果，确定所述全网报警报文合法时，获取所述全网报警报文中包含的疑似攻击设备的地址信息，根据所述疑似攻击设备的地址信息确定所述疑似攻击设备，并隔离所述疑似攻击设备传输的报文，停止向所述疑似攻击设备传输报文。
[0146]通过上述的接收模块、判断模块和隔离保护模块，能够在接收到同一通信网络内，其他的通信设备传输的全网报警报文后，执行相应的隔离保护操作，从而提高通信网络的安全性。
[0147]相应的，本申请还公开了一种通信设备，所述通信设备包括如上所述的通信网络检测与防攻击保护装置。其中，所述通信设备为:交换机、服务器、执行器或传感器，另外，还可以是通信网络中与执行器、传感器等相连的通信设备。
[0148]实施例五
[0149]本申请的实施例五公开了一种通信系统，所述通信系统中，包括实施例三公开的通信设备，以及实施例四公开的通信设备。
[0150]在本申请公开的通信系统中，设置有多个通信设备，其中可包括实施例三公开的第一种通信设备和实施例四公开的第二种通信设备。所述第一种通信设备在接收到报文后，经过检测，发现通信网络中存在疑似攻击设备时，执行报警保护和隔离保护操作。所述第二种通信设备在接收到全网报警报文后，执行相应的隔离保护操作。两种通信设备相互配合，提高了通信网络的安全性。
[0151]另外，所述通信系统中设置的各个通信设备，可同时集成有实施例三和实施例四公开的通信网络检测与防攻击保护装置，这种情况下，各个通信设备能够独立进行通信网络的检测，在发现疑似攻击设备时，执行相应的保护操作，提高通信网络的安全性。
[0152]本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0153]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0154]在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0155]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0156]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
[0157]所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0158]对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【权利要求】
1.一种通信网络检测与防攻击保护方法，应用于通信设备，其特征在于，包括: 接收通信网络内其他通信设备传输的报文，其中，所述报文包含参数信息，所述参数信息包括:所述通信网络的网络运行参数，和/或所述报文的特征检测参数信息； 解析获取所述报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，根据比较结果判断所述通信网络中是否存在疑似攻击设备； 当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作。
2.根据权利要求1所述的方法，其特征在于， 所述网络运行参数包括:报文发送时间戳、和/或报文接收时间戳、和/或报文发送序列号、和/或报文优先级； 所述特征检测参数信息包括:所述通信设备的物理地址、和/或逻辑地址、和/或报文长度、和/或通信协议类型、和/或通信命令号、和/或报文调度序号。
3.根据权利要求1所述的方法，其特征在于，所述当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作，包括: 当所述通信网络中存在主机系统，且所述通信设备不是主机系统时，产生报警报文，并将所述报警报文传输至所述主机系统，以便所述主机系统根据所述报警报文产生相应的全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备； 当所述通信网络中存在主机系统，且所述通信设备为所述主机系统时，或当所述通信网络中不存在主机系统时，产生全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备； 其中，所述报警报文和全网报警报文中包含:所述疑似攻击设备的地址信息和报警报文优先级，或，所述疑似攻击设备的地址信息、报警报文优先级和疑似攻击特征信息。
4.根据权利要求1所述的方法，其特征在于，所述当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作，包括: 隔离所述疑似攻击设备传输的所述报文，停止对所述报文的转发，并停止向所述疑似攻击设备发送或传输报文。
5.一种通信网络检测与防攻击保护方法，应用于通信设备，其特征在于，包括: 接收通信网络内其他通信设备传输的全网报警报文； 解析获取所述全网报警报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，判断所述全网报警报文是否合法； 当根据判断结果，确定所述全网报警报文合法时，获取所述全网报警报文中包含的疑似攻击设备的地址信息，根据所述疑似攻击设备的地址信息确定所述疑似攻击设备，并隔离所述疑似攻击设备传输的报文，停止向所述疑似攻击设备传输报文。
6.一种通信网络检测与防攻击保护装置，应用于通信设备，其特征在于，包括: 报文接收模块，用于接收通信网络内其他通信设备传输的报文，其中，所述报文包含参数信息，所述参数信息包括:所述通信网络的网络运行参数，和/或所述报文的特征检测参数信息； 报文检测模块，用于解析获取所述报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，根据比较结果判断所述通信网络中是否存在疑似攻击设备； 网络保护模块，用于当确定所述通信网络中存在疑似攻击设备时，执行相应的保护操作。
7.根据权利要求6所述的装置，其特征在于，所述网络保护模块包括: 第一报警保护单元，用于当所述通信网络中存在主机系统，且所述通信设备不是主机系统时，产生报警报文，并将所述报警报文传输至所述主机系统，以便所述主机系统根据所述报警报文产生相应的全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备； 第二报警保护单元，用于当所述通信网络中存在主机系统，且所述通信设备为所述主机系统时，或当所述通信网络中不存在主机系统时，产生全网报警报文，并将所述全网报警报文传输至所述通信网络中的其他通信设备； 其中，所述报警报文和全网报警报文中包含:所述疑似攻击设备的地址信息和报警报文优先级，或，所述疑似攻击设备的地址信息、报警报文优先级和疑似攻击特征信息。
8.根据权利要求6所述的装置，其特征在于，所述网络保护模块包括: 隔离保护单元，用于隔离所述疑似攻击设备传输的所述报文，停止对所述报文的转发，并停止向所述疑似攻击设备发送或传输报文。
9.一种通信网络检测与防攻击保护装置，应用于通信设备，其特征在于，包括: 接收模块，用于接收通信网络内其他通信设备传输的全网报警报文； 判断模块，用于解析获取所述全网报警报文中的参数信息，并将所述参数信息与所述通信网络动态运行产生的上一周期的网络运行参数信息，和/或组态配置的特征检测参数信息进行比较，判断所述全网报警报文是否合法； 隔离保护模块，用于当根据判断结果，确定所述全网报警报文合法时，获取所述全网报警报文中包含的疑似攻击设备的地址信息，根据所述疑似攻击设备的地址信息确定所述疑似攻击设备，并隔尚所述疑似攻击设备传输的报文，停止向所述疑似攻击设备传输报文。
10.一种通信设备，其特征在于，包括: 如权利要求6至8任一项所述的通信网络检测与防攻击保护装置。
11.一种通信设备，其特征在于，包括: 如权利要求9所述的通信网络检测与防攻击保护装置。
12.一种通信系统，其特征在于，包括: 如权利要求10所述的通信设备； 如权利要求11所述的通信设备。
【文档编号】H04L12/26GK103997427SQ201410074070
【公开日】2014年8月20日 申请日期:2014年3月3日 优先权日:2014年3月3日
【发明者】冯冬芹, 施宇锋, 褚健, 顾昊, 劳立辉 申请人:浙江大学