[發明專利]一種通信異常檢測方法、裝置、電子設備及存儲介質有效
| 申請號: | 202110499712.2 | 申請日: | 2021-05-08 |
| 公開(公告)號: | CN113225342B | 公開(公告)日: | 2023-06-30 |
| 發明(設計)人: | 賈錦輝;付從海;龔海澎;王庭宇 | 申請(專利權)人: | 四川英得賽克科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京集佳知識產權代理有限公司 11227 | 代理人: | 紀志超 |
| 地址: | 610041 四川省成都市自由貿易試驗區成*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 通信 異常 檢測 方法 裝置 電子設備 存儲 介質 | ||
1.一種通信異常檢測方法,其特征在于,包括:
接收網絡報文,并篩選出所述網絡報文中的IEC61850協議報文;
確定所述IEC61850協議報文的報文類型、源設備和目標設備;
判斷所述源設備的網絡訪問行為是否存在攻擊行為且所述目標設備是否為工控設備;所述攻擊行為包括端口掃描攻擊或ARP欺騙攻擊;
當確定所述源設備的網絡訪問行為存在所述攻擊行為且所述目標設備為所述工控設備時,則根據所述報文類型確定所述源設備的通信異常類型;
在篩選出所述網絡報文中的IEC61850協議報文之前,還包括:
確定所述網絡報文中的源設備及對應的網絡訪問行為;
利用預設網絡訪問行為表對所述網絡訪問行為進行驗證,確定所述網絡訪問行為是否為所述攻擊行為;所述預設網絡訪問行為表中包含監聽范圍內的源設備和目標設備原有的網絡訪問行為;
若是,則將所述網絡訪問行為標記為所述源設備的攻擊行為;
所述利用預設網絡訪問行為表對所述網絡訪問行為進行驗證,確定所述網絡訪問行為是否為所述攻擊行為,包括:
確定接收所述網絡報文的時間點,并將所述時間點及所述網絡訪問行為記錄于網絡訪問行為表中;
當所述網絡報文使用的網絡端口為IEC61850協議的服務端口時,判斷所述網絡訪問行為是否處于所述預設網絡訪問行為表中;
若否,則在所述網絡訪問行為表中,確定所述源設備在所述時間點前第一預設時間段內不在所述預設網絡訪問行為表的網絡訪問行為的數量,并利用所述數量及所述第一預設時間段計算所述源設備的異常通信頻率;
當所述異常通信頻率大于預設閾值時,則確定所述網絡報文中的網絡訪問行為為所述端口掃描攻擊。
2.根據權利要求1所述的通信異常檢測方法,其特征在于,所述根據所述報文類型確定所述源設備的通信異常類型,包括:
若所述報文類型為TCP連接報文,則判定所述通信異常類型為異常連接所述工控設備,并將所述源設備標記為異常設備及輸出表示所述異常連接所述工控設備的攻擊告警;
若所述報文類型為遙信報文或遙控報文且所述源設備為所述異常設備,則判定所述通信異常類型為異常控制所述工控設備,并輸出從所述IEC61850協議報文中提取的開關名稱及表示所述異常控制所述工控設備的攻擊告警。
3.根據權利要求1所述的通信異常檢測方法,其特征在于,所述利用預設網絡訪問行為表對所述網絡訪問行為進行驗證,確定所述網絡訪問行為是否為所述攻擊行為,包括:
從所述網絡訪問行為中提取所述源設備的MAC地址及IP地址;
利用所述預設網絡訪問行為表判斷所述MAC地址及所述IP地址的對應關系,與所述源設備在所述預設網絡訪問行為表中的對應關系是否相同;
若否,則確定所述網絡訪問行為為所述ARP欺騙攻擊。
4.根據權利要求1所述的通信異常檢測方法,其特征在于,在接收網絡報文之前,還包括:
利用在第二預設時間段內接收到的網絡報文所包含的源設備的網絡訪問行為生成所述預設網絡訪問行為表。
5.根據權利要求1所述的通信異常檢測方法,其特征在于,在將所述網絡訪問行為標記為所述源設備的攻擊行為之后,還包括:
輸出所述攻擊行為對應的攻擊告警。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于四川英得賽克科技有限公司,未經四川英得賽克科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110499712.2/1.html,轉載請聲明來源鉆瓜專利網。
