一种变电站智能电子设备防MMS报文DoS攻击的方法与流程
本发明涉及智能变电站网络安全领域,具体涉及一种变电站智能电子设备防mms报文dos攻击的方法。
背景技术:
dos(denialofservice)攻击是一种通过发送大量数据包使得计算机或者网络无法提供正常服务的攻击形式。它可能在短时间内耗尽所有可用的网络资源或者被攻击对象的系统资源,使得合法的用户无法通过或被处理,从而阻碍网络中的正常通信,给被攻击者乃至网络带来巨大的危害。
在中国申请号为201910247959.8,公布日为2019.5.31的专利文献中公开了一种分布式拒绝服务ddos攻击防御方法及装置,该防御方法及装置,统计当前报文流量值,判断当前报文流量值是否达到攻击阈值,若达到,则查询接收到的各报文的源ip地址是否处于黑名单中,如果一个报文的源ip地址处于黑名单中,则阻断该报文,如果一个报文的源地址不处于黑名单中,则判断接收到该报文的接收时间是否处于锁定时间段内,如果接收时间处于锁定时间段内,则将该报文的源ip地址加入黑名单,并阻断该报文。
但是该分布式拒绝服务ddos攻击防御方法及装置,通过判断报文的源ip地址处于白名单中则将该报文放行,这样存在放行虚假连接的dos攻击报文的风险,容易受到dos攻击;且该装置并没有考虑站内信息和站外信息在时间延迟上的区别,从而同一设定一个时间间隔进行判断,势必导致由于存在时间延迟,从而导致在设定的时间间隔内的报文还没有发送完,从而导致误判出现,且该装置还需要通过判定报文流量值大于预警阀值达到攻击阀值这一时段内各报文的源ip地址划到黑名单中,但是没有考虑有多个交换机存在时可能会存在多个终端同时访问的情况,从而导致报文流量过大,从而将正常的报文发送也判定为是dos攻击,导致误判的情况发生;防御dos攻击时占用的内存资源较多,难以保证电力数据传输的实时性;这样在电力通讯中适应性低。
技术实现要素:
本发明提供一种防御效果好、防御方法简单、占用内存小的变电站智能电子设备防mms报文dos攻击的方法。
为达到上述目的,本发明的技术方案是:一种变电站智能电子设备防mms报文dos攻击的方法,包括以下步骤:
a1).预设白名单通行内容;
a2).预设站内报文信息和站外报文信息;
a3).分别针对站内报文和站外报文预设交换机数量n、汇聚时延tp、传输时延tt、拥塞调度时延ts、处理时间tr和延时裕度tm的数值;
a4).进行tlim=n*(tp+tt+ts)+tr+tm运算;计算出站内报文的第一计时时限tlim1和站外报文的第二计时时限tlim2;
a5).接收发送端发出的请求报文,提取请求报文通行内容;
a6).将请求报文通行内容与白名单通行内容匹配,若匹配不通过,进行步骤a7);若匹配通过,进行步骤a8);
a7).丢弃请求报文,与发送端断开连接;
a8).将请求报文通行内容与站内报文信息、站外报文信息进行对比;若请求报文通行属于站内报文,进行步骤a9);若请求报文通行属于站外报文,进行步骤a10);
a9).向发送端发送响应报文,若在第一计时时限tlim1内接收到发送端发出的确认字符,进行步骤a11);若不能在第一计时时限tlim1内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接;
a10).向发送端发送响应报文,若在第二计时时限tlim2内接收到发送端发出的确认字符,进行步骤a11);若不能在第二计时时限tlim2内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接;
a11).与发送端建立连接。
以上方法,进行两次判断,白名单通行内容对报文进行初步识别,将不匹配的报文丢弃,有效过滤非受信任终端发出的报文,减少内存占用;然后再对受信息终端发出的报文进行第二次判断,将多个交换机对应的汇聚时延tp、传输时延tt、拥塞调度时延ts发送端之间的这些时延进行求和,然后加上交换机与接收端之间的处理时间tr和延时裕度tm,使得设定的时间间隔能在充分考虑发送端与交换机端以及接收端与交换机端之间的时延情况,使得在确定的计时时限内,能避免由于时延存在导致没有接收到合法报文的情况发生,同时不符合计时时限的发送端断开链接,并将报文丢弃,这样能将虚假连接的dos攻击报文识别,进一步减少内存占用,保证电力数据传输的实时性,因为电力通讯存在通信延时的情况,通过设置第一计时时限tlim1和第二计时时限tlim2,这样能准确识别出dos攻击报文;又因为变电站接收到站外报文所需时间长比接收到站内报文所需时间长。
进一步的,步骤a1)中,所述白名单通行内容为受信任终端的源地址。
进一步的,步骤a4)中,所述请求报文通行内容包括请求报文的源地址。
进一步的,第一计时时限tlim1的时长小于第二计时时限tlim2的时长;通过设值第二计时时限tlim2的时长大于第一计时时限tlim1,这样能提高识别dos攻击的准确性。
进一步地,在步骤a9)中若不能在第一计时时限tlim1内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接,之后还包括:将所述请求报文通行内容中请求报文的源地址从白名单中删除,并增设第一候选白名单,并将所述请求报文通行内容中请求报文的源地址设定为第一候选白名单。
在站内报文没有收到确认字符时,将请求报文的源地址放入第一候选白名单中,以便后续进行处理。
进一步地,步骤a10)中若不能在第二计时时限tlim2内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接,之后还包括:将所述请求报文通行内容中请求报文的源地址从白名单中删除。
在站外报文没有收到确认字符时,将请求报文的源地址直接从白名单中删除,从而防止站外报文的下一次攻击。
进一步地,a6).将请求报文通行内容与白名单通行内容匹配,若匹配不通过,步骤后还包括:将请求报文通行内容与第一候选白名单通行内容匹配,若匹配通过,则进行步骤a8),若匹配不通过,则进行步骤步骤a7)。
若在请求报文通行内容与白名单不匹配时,再次查找第一候选白名单,若是站内报文,则再次进行判断排除dos攻击的可能,由于站内报文可能经过一定时间修复之后能正常发文,而直接将其从白名单中删除势必导致连接不方便,从而增设第一候选白名单,方便站内报文的发送。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细说明。
如图1所示,一种变电站智能电子设备防mms报文dos攻击的方法,包括以下步骤:
a1).预设白名单通行内容;
a2).预设站内报文信息和站外报文信息;
a3).分别针对站内报文和站外报文预设交换机数量n、汇聚时延tp、传输时延tt、拥塞调度时延ts、处理时间tr和延时裕度tm的数值;
a4).进行tlim=n*(tp+tt+ts)+tr+tm运算;计算出站内报文的第一计时时限tlim1和站外报文的第二计时时限tlim2;
a5).接收发送端发出的请求报文,提取请求报文通行内容;
a6).将请求报文通行内容与白名单通行内容匹配,若匹配不通过,进行步骤a7);若匹配通过,进行步骤a8);
a7).丢弃请求报文,与发送端断开连接;
a8).将请求报文通行内容与站内报文信息、站外报文信息进行对比;若请求报文通行属于站内报文,进行步骤a9);若请求报文通行属于站外报文,进行步骤a10);
a9).向发送端发送响应报文,若在第一计时时限tlim1内接收到发送端发出的确认字符,进行步骤a11);若不能在第一计时时限tlim1内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接;
a10).向发送端发送响应报文,若在第二计时时限tlim2内接收到发送端发出的确认字符,进行步骤a11);若不能在第二计时时限tlim2内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接;
a11).与发送端建立连接。
上述方法,步骤a1)还包括:预设第一候选白名单;所述白名单通行内容为受信任终端的源地址。
步骤a4)中,所述请求报文通行内容包括请求报文的源地址。第一计时时限的时长小于第二计时时限的时长。在本实施例中,交换机数量为两个,则n为2;第一计时时限tlim1为0.1秒;第二计时时限tlim2为1秒。
步骤a6)中将请求报文通行内容与白名单通行内容匹配,若匹配不通过,步骤后还包括:将请求报文通行内容与第一候选白名单匹配,若匹配通过,则进行步骤a8),若匹配不通过,则进行步骤步骤a7)。
步骤a9)中若不能在第一计时时限tlim1内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接,之后还包括:将所述请求报文通行内容中请求报文的源地址从白名单中删除,并将所述请求报文通行内容中请求报文的源地址添加到第一候选白名单。这样,在站内报文没有收到确认字符时,将请求报文的源地址放入第一候选白名单中,以便后续进行处理。
步骤a10)中若不能在第二计时时限tlim2内接收到发送端发出的确认字符,丢弃请求报文,与发送端断开连接,之后还包括:将所述请求报文通行内容中请求报文的源地址从白名单中删除。这样,在站外报文没有收到确认字符时,将请求报文的源地址直接从白名单中删除,从而防止站外报文的下一次攻击。
若在请求报文通行内容与白名单不匹配时,再次查找第一候选白名单,若是站内报文,则再次进行判断排除dos攻击的可能,由于站内报文可能经过一定时间修复之后能正常发文,而直接将其从白名单中删除势必导致连接不方便,从而增设第一候选白名单,方便站内报文的发送。
以上方法,进行两次判断,白名单通行内容对报文进行初步识别,将不匹配的报文丢弃,有效过滤非受信任终端发出的报文,减少内存占用;然后再对受信息终端发出的报文进行第二次判断,将多个交换机对应的汇聚时延tp、传输时延tt、拥塞调度时延ts发送端之间的这些时延进行求和,然后加上交换机与接收端之间的处理时间tr和延时裕度tm,使得设定的时间间隔能在充分考虑发送端与交换机端以及接收端与交换机端之间的时延情况,使得在确定的计时时限内,能避免由于时延存在导致没有接收到合法报文的情况发生,同时不符合计时时限的发送端断开链接,并将报文丢弃,这样能将虚假连接的dos攻击报文识别,进一步减少内存占用,保证电力数据传输的实时性,因为电力通讯存在通信延时的情况,通过设置第一计时时限tlim1和第二计时时限tlim2,这样能准确识别出dos攻击报文;又因为变电站接收到站外报文所需时间长比接收到站内报文所需时间长。
- 还没有人留言评论。精彩留言会获得点赞!