一种基于FF协议的攻击检测方法与流程

一种基于ff协议的攻击检测方法
技术领域
1.本发明属于信息安全技术领域，具体地说，涉及一种基于ff协议的攻击检测方法。


背景技术：

2.随着网络技术的发展，internet正在把全世界的计算机系统、通信系统逐渐集成起来，形成信息高速公路，形成公用数据网络。在此基础上，传统的工业控制领域也正经历一场前所未有的变革，开始向网络化方向发展，形成了新的控制网络。控制系统的结构从最初的计算机集中控制系统(ccs，concentrated computer control system)，到第二代的集散控制系统(dcs，distributed control system)，发展到现在流行的现场总线控制系统(fcs，field bus control systm)。而以太网又逐渐与现场总线结合并进入工业控制领域。
3.虽然现场总线技术发展非常迅速，但也存在许多问题，制约其应用范围的进一步扩大。
4.(a)首先是现场总线的选择。虽然目前iec组织已达成了国际总线标准，但总线种类仍然过多，而每种现场总线都有自己最合适的应用领域，如何在实际中根据应用对象，将不同层次的现场总线组合使用，使系统的各部分都选择最合适的现场总线，对用户来说，仍然是比较棘手的问题。
5.(b)系统的集成问题。由于实际应用中一个系统很可能采用多种形式的现场总线，因此如何把工业控制网络与数据网络进行无缝的集成，从而使整个系统实现管控一体化，是关键环节。现场总线系统在设计网络布局时，不仅要考虑各现场节点的距离，还要考虑现场节点之间的功能关系、信息在网络上的流动情况等。由于智能化现场仪表的功能很强，因此许多仪表会有同样的功能块，组态时选哪个功能块是要仔细考虑的，要使网络上的信息流动最小化。同时通信参数的组念也很重要，要在系统的实时性与网络效率之间做好平衡。
6.以太网现在已经具备作为完全工业化的现场设备级实时控制网络的能力，没有什么可以阻挡以太网成为低成本、透明的控制网络。各个现场总线组织和机构，结合自己的情况，纷纷推出了以太网计划。代表性的有：基金会现场总线组织推出的ff-hse(high-speed ether net，高速以太网)，主干网采用100base-t以太网技术，通讯协议采用发布者/预订者的实时通讯协议形式，ff-hse协议也是iec61158通过的国际现场总线技术标准之一。
7.当前，鲜有将ff协议应用于攻击检测的方法中。


技术实现要素：

8.1、要解决的问题
9.针对上述现有技术存在的问题，本发明提供一种基于ff协议的攻击检测方法，创造性引入数据包的预处理、规则检测的处理及自学习检测的处理三个步骤，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。尤其是，ff协议识别模块，进行所述的含有ff协议的数据包的检查，检查后的数据包送入规则检测流量模块，且配合管理平台的规则检测流量模块，用于放行或阻断流量规则所定义的流
量，实现阻断不合法的ff协议的流量数据。
10.2、技术方案
11.为解决上述问题，本发明采用如下的技术方案。
12.一种基于ff协议的攻击检测方法，包括以下步骤：
13.(1)数据包的预处理：部署设置有ff协议的防火墙，并通过所述的防火墙的网络监听模块接收含有ff协议的数据包，同时利用预处理模块进行所述的含有ff协议的数据包的检查，检查后的数据包送入规则检测流量模块；
14.(2)规则检测的处理：部署管理平台，设置规则检测流量模块并将流量规则下发至访问设备，其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量；
15.(3)自学习检测的处理：部署自学习检测流量模块，其中所述的自学习检测流量模块用于实现阻断不合法的ff协议的流量数据。
16.上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的防火墙设置在基于inte l x86_64的硬件平台上；
17.其中所述的硬件平台的传输层采用tcp/udp协议。
18.上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的网络监听模块上还连接有ff协议识别模块，所述的ff协议识别模块用于识别所述的含有ff协议的数据包；
19.步骤(1)中所述的预处理模块内置有ff协议插件，所述的ff协议插件用于分析数据包中属于ff协议的数据单元；
20.其中所述的属于ff协议的数据单元的内容包括协议类型特征字段、服务类型特征字段、消息类型特征字段；所述的ff协议插件通过判断所述的数据包的特征字段是否符合所述的属于ff协议的数据单元的内容，若是，将ff协议中的协议类型特征字段、服务类型特征字段、消息类型特征字段记录在审计日志中且存入数据库中，并转移送至所述的规则检测流量模块。
21.上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的防火墙与中央处理器相连，所述的防火墙通过所述的中央处理器与通信模块相连；
22.所述的通信模块上设置有以太网网卡，所述的以太网网卡设置有以太网通信单元、rs485通信单元及rs232通信单元，所述的中央处理器的数据接口通过rmii接口与所述的以太网通信单元相连，所述的中央处理器的数据接口还通过usart接口与所述的rs485通信单元、所述的rs232通信单元相连。
23.上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的管理平台设置在服务器中，所述的管理平台与所述的访问设备相连。
24.上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的规则检测流量模块的流量规则用于检测所述的ff协议的特征字段。
25.上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的规则检测流量模块检查流量规则中所列出的字段，并对数据包进行协议特征检查、服务特征检查、消息特征检查，当发现待检查的字段与数据包匹配，产生流量规则所设置的动作；
26.其中所述的动作包括告警动作、阻断动作、拒绝动作或放行动作。
27.上述所述的应用于防火墙的安全防护方法中，步骤(3)中所述的自学习检测流量模块设置在所述的服务器中，其中所述的自学习检测流量模块将符合标准ff协议的合法数
据包进行记录处理。
28.上述所述的应用于防火墙的安全防护方法中，步骤(3)中所述的自学习检测流量模块的配准识别优化算法如下：
[0029][0030]
式中，k是数据包的偏移值，xi是第i个合法数据包，ρ和c分别是配准识别运行最短时间和配准识别运行最长时间，t0为初始时刻，t为匹配值，ω为计算域，r为源点的数据包与场点的数据包之间的距离，r为场点的数据包与作用点的数据包之间的距离，αa、ak和a0为待定系数，φa为径向基函数，f表示为：
[0031][0032]
式中，b(x)为阻尼函数，γ为计算域ω的边界，g为权函数。
[0033]
3、有益效果
[0034]
相比于现有技术，本发明的有益效果为：
[0035]
创造性引入数据包的预处理、规则检测的处理及自学习检测的处理三个步骤，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。尤其是，ff协议识别模块，进行所述的含有ff协议的数据包的检查，检查后的数据包送入规则检测流量模块，且配合管理平台的规则检测流量模块，用于放行或阻断流量规则所定义的流量，实现阻断不合法的ff协议的流量数据。
附图说明
[0036]
图1为本发明的基于ff协议的攻击检测方法的流程图；
[0037]
图2为本发明的规则检测的处理中基于自定义特征的流量识别的新建ff规则字段的示意图；
[0038]
图3为本发明的规则检测的处理中基于自定义特征的流量识别的将ff规则添加到名单模板的示意图；
[0039]
图4为本发明的规则检测的处理中基于自定义特征的流量识别的将新建名单模板应用到策略里的示意图；
[0040]
图5为本发明的自学习检测的处理中基于自学习的流量识别的新建ff协议学习模板的示意图；
[0041]
图6为本发明的自学习检测的处理中基于自学习的流量识别的新建ff协议学习模板的示意图。
具体实施方式
[0042]
下面结合具体实施例对本发明进一步进行描述。
[0043]
foundation fieldbus(下文简称ff)是目前最具发展前景、最具竞争力的现场总
线之一。以fisher-rosemount公司为首，联合80家公司组成的isp组织和以honeywell公司为首，联合欧洲150家公司组成的worldfip北美分部，这两大集团于1994年合并，成立现场总线基金会，致力于开发统一的现场总线标准。ff目前拥有120多个成员，包括世界上最主要的自动化设备供应商：a-b、abb、foxboro、honeywell、smar、fuji electric等。
[0044]
ff的通信模型以iso/osi开放系统模型为基础，采用了物理层、数据链路层、应用层，并在其上增加了用户层，各厂家的产品在用户层的基础上实现。ff总线采用的是令牌总线通信方式，可分为周期通信和非周期通信。ff目前有高速和低速两种通信速率，其中低速总线协议h1已于1996年发表，现在已应用于工作现场，高速协议原定为h2协议，但目前h2很有可被hse取而代之。h1的传输速率为31.25kbps，传输距离可达1900m，可采用中继器延长传输距离，并可支持总线供电，支持本质安全防爆环境；hse目前的通信速率为10m bps，更高速的以太网正在研制中。ff可采用总线型、树型、菊花链等网络拓扑结构，网络中的设备数量取决于总线带宽、通信段数、供电能力和通信介质的规格等因素。ff支持双绞线、同轴电缆、光缆和无线发射等传输介质，物理传输协议符合iecll57-2标准，编码采用曼彻斯特编码。ff总线拥有非常出色的互操作性，这在于ff采用了功能模块和设备描述语言(ddl，device description language)使得现场节点之间能准确、可靠地实现信息互通。通过利用foundation fieldbus总线通信协议为基础，来为工业现场控制提供一种较现有模拟信号传输和控制更为稳定的和高效的工业现场控制装置。
[0045]
需要说明的是，为了更好搭配防火墙的使用，还设计了一块适用于ff协议的通信卡，适于与ff总线连接，包括第一控制器和第二控制器，还包括：与所述第一控制器相连的，并对所述第一控制器所发送的信号进行存储的存储器；连接ff总线，并分别与所述第二控制器和所述第一控制器相连接的调制解调/总线供电电路；以及所述第二控制器与所述第一控制器连接，且所述第二控制器为内部集成有ff协议的，对总线信号进行调制解调的通信控制器。
[0046]
如图1所示，本实施例的基于ff协议的攻击检测方法，包括以下步骤：
[0047]
(1)数据包的预处理：部署设置有ff协议的防火墙，并通过所述的防火墙的网络监听模块接收含有ff协议的数据包，同时利用预处理模块进行所述的含有ff协议的数据包的检查，检查后的数据包送入规则检测流量模块；
[0048]
需要说明的是，基于ff协议的防火墙，能够满足工业现场的安全性要求，在硬件层面上，通信控制器芯片内部集成有ff协议，实现信息的传输处理，提高了系统的可靠性。其中，现场总线仪表通信卡是现场总线实现全分布控制的关键部件，通信卡是基于foundation fieldbu s h1通信协议标准设计的，与防火墙相结合构成了现场总线设备。ff总线通信卡作为核心部件，为防火墙提供所必须的通信控制。同时，由于运行在通信卡上的ff现场总线协议栈具有链路调度功能(las)，所以ff总线通信卡既可作为现场总线上的链路主设备，也可以作为basic设备，并可提供丰富的现场总线功能块，具有抗干扰能力强、接线简单和调试容易等特点。
[0049]
(2)规则检测的处理：如图2、图3及图4所示，部署管理平台，设置规则检测流量模块并将流量规则下发至访问设备，其中所述的规则检测流量模块用于放行或阻断流量规则所定义的流量；
[0050]
(3)自学习检测的处理：如图5与图6所示，部署自学习检测流量模块，其中所述的
自学习检测流量模块用于实现阻断不合法的ff协议的流量数据。
[0051]
上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的防火墙设置在基于inte l x86_64的硬件平台上；
[0052]
其中所述的硬件平台的传输层采用tcp/udp协议。
[0053]
进一步来说，在硬件平台上，还可以进行如下操作：
[0054]
网关的内核用于根据ff主站协议栈对所述网络层数据执行ff协议转换。但需要提醒的是，现有技术中，在工业控制的实际应用场景中会由于存在不同格式，不同协议的控制信息，因此现有技术中通常采用工业网关对不同协议的数据进行转换，以便进行不同协议数据之间的相互转换，提高不同设备之间的兼容性。但是，现有技术中的工业网关主要是采用协议栈专用芯片实现工业环境中不同协议之间的转换操作，但是由于采用的是专用芯片成本较高，并且当网关对不同的多个协议数据进行转换时，则需要新增加新的芯片用于适配，会更加增加工业网关的成本，不利于大规模实施，并且，由于工业网关的更改涉及到硬件的变更，因此，工业网关实现的灵活度较低，不利于快速开发。
[0055]
上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的网络监听模块上还连接有ff协议识别模块，所述的ff协议识别模块用于识别所述的含有ff协议的数据包；
[0056]
具体来说，网络监听模块为常见防火墙自带的功能模块，实质上用于进出防火墙的数据监听，具体使用是还可配合网关来监管流量，所述流量网关监测到所述应用客户端发送的数据包中携带有特征标识时，根据预先设置的应用服务器的五元组信息，在所述应用客户端首次访问的目的数据源地址为外部数据源服务器的目的数据源地址时，创建所述应用客户端的ip地址、所述特征标识和外部数据源服务器的目的数据源地址的流量记录表项，记录所述应用数据流的流量信息；所述流量记录表项包括所述应用客户端的ip地址、所述特征标识、外部数据源服务器的目的数据源地址和流量信息。
[0057]
步骤(1)中所述的预处理模块内置有ff协议插件，所述的ff协议插件用于分析数据包中属于ff协议的数据单元；
[0058]
其中所述的属于ff协议的数据单元的内容包括协议类型特征字段、服务类型特征字段、消息类型特征字段；所述的ff协议插件通过判断所述的数据包的特征字段是否符合所述的属于ff协议的数据单元的内容，若是，将ff协议中的协议类型特征字段、服务类型特征字段、消息类型特征字段记录在审计日志中且存入数据库中，并转移送至所述的规则检测流量模块。
[0059]
进一步来说，首先针对ff协议新建待检测的ff特征码，然后将待检测的ff特征码添加到名单模板里，名单模板包含的信息包括，黑名单或白名单以及未来采取的动作，如告警，阻断，拒绝等，然后再将模板应用到策略里，到这里实现对ff规则的下发。
[0060]
上述所述的应用于防火墙的安全防护方法中，步骤(1)中所述的防火墙与中央处理器相连，所述的防火墙通过所述的中央处理器与通信模块相连；
[0061]
所述的通信模块上设置有以太网网卡，所述的以太网网卡设置有以太网通信单元、rs485通信单元及rs232通信单元，所述的中央处理器的数据接口通过rmii接口与所述的以太网通信单元相连，所述的中央处理器的数据接口还通过usart接口与所述的rs485通信单元、所述的rs232通信单元相连。
[0062]
进一步来说，其中所述的中央处理器是一种完备的8位中央处理器(cpu)，型号为
ln8085ah，它的指令系统与8080a完全兼容，并采用较高的系统速度改进8080a的性能。它的系统集成度高，允许由三块集成电路即ln8085ah(cpu)、8156(ram/10)和8355/8755(rom/prom/10)组成一个最小系统而保持整个系统的可扩性。ln8085ah把8080a所具备的8224(时钟发生器)和8228(系统控制器)所有功能都包括进去，因此提高了本系统器件的集成度。
[0063]
所述的ln8085ah采用多重数据总线,把16位地址分为8位地址总线和8位地址/数据总线。8155h/8156h/8355/8755a具有片内存贮器的地址锁存器，允许直接同ln8085ah接口。ln8085ah型微处理器由算术逻辑运算单元、指令译码器和机器周期编码、寄存器堆、内部数据总线、中断定时和串行i/o控制电路、地址数据缓冲器等构成。lnso85ah有12个可寻址的8位寄存器，其中四个可成对组成2个16位寄存器对，另外6个能用作可互换的8位寄存器或16位寄存器对。
[0064]
上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的管理平台设置在服务器中，所述的管理平台与所述的访问设备相连。
[0065]
上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的规则检测流量模块的流量规则用于检测所述的ff协议的特征字段。
[0066]
上述所述的应用于防火墙的安全防护方法中，步骤(2)中所述的规则检测流量模块检查流量规则中所列出的字段，并对数据包进行协议特征检查、服务特征检查、消息特征检查，当发现待检查的字段与数据包匹配，产生流量规则所设置的动作；
[0067]
其中所述的动作包括告警动作、阻断动作、拒绝动作或放行动作。
[0068]
上述所述的应用于防火墙的安全防护方法中，步骤(3)中所述的自学习检测流量模块设置在所述的服务器中，其中所述的自学习检测流量模块将符合标准ff协议的合法数据包进行记录处理。
[0069]
上述所述的应用于防火墙的安全防护方法中，步骤(3)中所述的自学习检测流量模块的配准识别优化算法如下：
[0070][0071]
式中，k是数据包的偏移值，xi是第i个合法数据包，ρ和c分别是配准识别运行最短时间和配准识别运行最长时间，t0为初始时刻，t为匹配值，ω为计算域，r为源点的数据包与场点的数据包之间的距离，r为场点的数据包与作用点的数据包之间的距离，αa、ak和a0为待定系数，φa为径向基函数，f表示为：
[0072][0073]
式中，b(x)为阻尼函数，γ为计算域ω的边界，g为权函数。
[0074]
创造性引入数据包的预处理、规则检测的处理及自学习检测的处理三个步骤，并利用自学习检测流量模块的配准识别优化算法，检测流量中的攻击行为，实现非白名单的阻断。尤其是，ff协议识别模块，进行所述的含有ff协议的数据包的检查，检查后的数据包送入规则检测流量模块，且配合管理平台的规则检测流量模块，用于放行或阻断流量规则
所定义的流量，实现阻断不合法的ff协议的流量数据。
[0075]
需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
[0076]
上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。
[0077]
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0078]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0079]
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
[0080]
对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在
不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
[0081]
此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。