1.一种基于工业网络的数据报文检测方法,其特征在于,该方法适用于包含至少一个过滤板卡和至少一个存储板卡的交换设备,该方法包括:
接收网络侧发送的数据报文,根据接收所述数据报文的端口查询自身保存的端口映射列表;
根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡,并将所述数据报文镜像到该接收端口对应的存储板卡进行存储;
过滤板卡接收到所述数据报文,提取所述数据报文的关键字信息,根据自身保存的白名单和病毒数据库,对所述数据报文进行过滤;
并根据过滤结果,确定是否转发所述数据报文;
当在自身保存的白名单和病毒数据库中均未查找到所述关键字信息时,将数据报文总计数器加一,判断单位时间内总计数器的数值是否超过设定的阈值,当确定单位时间内总计数器的数值超过设定的阈值时,将所述数据报文丢弃,并上报超限告警;
当确定单位时间内总计数器的数值未超过设定的阈值时,确定所述数据报文的类型,在自身保存的数据类型映射列表查找是否包含该类型;
当查找所述类型时,将所述类型的计数器加一,判断所述类型的计数器是否超过设定的阈值;
当判定结果为是时,将所述数据报文丢弃,并上报超限告警;
当判定所述类型的计数器不超过设定的阈值时,直接丢弃所述数据报文。
2.如权利要求1所述的方法,其特征在于,所述根据过滤结果,确定是否转发所述数据报文包括:
当自身保存的白名单中查找到所述关键词信息时,转发所述数据报文;
否则,在自身保存的病毒库中查找所述关键字信息,当查找到所述关键词信息时,丢弃所述数据报文,并上报攻击告警。
3.如权利要求1所述的方法,其特征在于,当未查找所述数据报文对应数据类型时,所述方法还包括:
建立针对该数据类型的计数器,并将该建立的计数器加一。
4.如权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
存储板卡根据过滤板卡过滤的每个数据报文,在本地存储的数据报文中丢弃过滤板卡转发的数据报文;并
根据病毒数据库,在本地存储的数据报文中丢弃包含在病毒数据库中的数据报文。
5.一种基于工业网络的数据报文检测装置,其特征在于,所述装置包括:
接收模块,用于接收网络侧发送的数据报文,根据接收所述数据报文的端口查询自身保存的端口映射列表;
重定向镜像模块,用于根据查询结果将所述数据报文重定向到该接收端口对应的过滤板卡,并将所述数据报文镜像到该接收端口对应的存储板卡进行存储;
过滤转发模块,用于过滤板卡接收到所述数据报文,提取所述数据报文的关键字信息,根据自身保存的白名单和病毒数据库,对所述数据报文进行过滤;并根据过滤结果,确定是否转发所述数据报文,当在自身保存的白名单和病毒数据库中均未查找到所述关键字信息时,将数据报文总计数器加一,判断单位时间内总计数器的数值是否超过设定的阈值,当确定单位时间内总计数器的数值超过设定的阈值时,将所述数据报文丢弃,并上报超限告警;当确定单位时间内总计数器的数值未超过设定的阈值时,确定所述数据报文的类型,在自身保存的数据类型映射列表查找是否包含该类型;当查找所述类型时,将所述类型的计数器加一,判断所述类型的计数器是否超过设定的阈值;当判定结果为是时,将所述数据报文丢弃,并上报超限告警;当判定所述类型的计数器不超过设定的阈值时,直接丢弃所述数据报文。
6.如权利要求5所述的装置,其特征在于,所述过滤转发模块,具体用于当自身保存的白名单中查找到所述关键词信息时,转发所述数据报文;否则,在自身保存的病毒库中查找所述关键字信息,当查找到所述关键词信息时,丢弃所述数据报文,并上报攻击告警。
7.如权利要求5所述的装置,其特征在于,所述过滤转发模块,具体还用于当未查找所述数据报文对应数据类型时,建立针对该数据类型的计数器,并将该建立的计数器加一。
8.如权利要求5-7中任一所述的装置,其特征在于,所述装置还包括:存储模块,用于存储板卡根据过滤板卡过滤的每个数据报文,在本地存储的数据报文中丢弃过滤板卡转发的数据报文;并根据病毒数据库,在本地存储的数据报文中丢弃包含在病毒数据库中的数据报文。