[发明专利]一种针对goose攻击的防护方法

权利要求书

1.一种针对goose攻击的防护方法，其特征在于：包括以下步骤：

S1、在IEDs设备之间部署防火墙，防火墙抓取所有经过防火墙的goose报文，并对goose报文建立信息流进行监控；

S2、对二层goose报文以源MAC、目的MAC和ethtype信息建立流，对三层goose报文以五元组信息建立流，在此基础上对每条流的goose报文内容进行深度解析和监控；

S3、防火墙根据数据流记录同一条goose流的协议解析信息，将解析出的报文p.StNum和p.SqNum和流中记录的f.StNum、f.SqNum和f.alm.StNum、f.alm.SqNum进行对比，分析是否有goose攻击，当有goose攻击时，将goose攻击类型分为高速泛洪攻击和语义攻击；

S4、攻击者在检查GOOSE帧后向用户多播一个具有高状态号的欺骗GOOSE帧，用户一旦处理了该GOOSE帧，将不会处理状态号等于或小于此值的任何合法GOOSE帧；将该goose攻击类型定义为语义攻击；

如果p.StNum大于f.SqNum+1，发送攻击告警，丢弃报文，更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum；

S5、攻击者在开始使用低于正常StNum的状态号发送goose报文，逐渐递增StNum，当StNum增大到比当前正常StNum大1时，用户就会处理该攻击goose报文，并拒绝处理后续的正常goose报文；将该goose攻击类型定义为高速泛洪攻击；

S51、p.StNum小于f.StNum时，p.StNum与f.alm.StNum继续对比，如果p.StNum等于f.alm.StNum，同时连续计数和丢弃报文，如果计数超过限定次数说明f.StNum已经被攻击，发送已被攻击严重告警，这是因为p.StNum比f.StNum小，IEDs还在连续发送正常的goose报文；其他情况，更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum，清除连续计数，发送攻击告警；

S52、p.StNum等于f.StNum时，如果p.SqNum等于f.SqNum加1，更新f.StNum和f.SqNum为p.StNum和p.SqNum；否则，更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum，发送报文丢失告警,并丢弃报文；

S53、p.StNum等于f.StNum加1时，如果p.SqNum等于0，发送状态改变告警，更新f.StNum和f.SqNum为p.StNum和p.SqNum；如果p.SqNum不等于0，发送攻击告警，丢弃报文，更新f.alm.StNum和f.alm.SqNum为p.StNum和p.SqNum。

2.如权利要求1所述的针对goose攻击的防护方法，其特征在于：goose报文的APDU有10个字段：DatSet、AppId、GoCbRef、T、StNum、SqNum、Test、ConfRev、NdsCom、Data。

3.如权利要求2所述的针对goose攻击的防护方法，其特征在于：每次发送GOOSE消息时数据集的值发生任何变化，该StNum增加。

4.如权利要求3所述的针对goose攻击的防护方法，其特征在于：每次发送GOOSE消息时都包含一个增量计数器，该值在StNum不变时SqNum递增，StNum发生改变时SqNum变为0再开始递增。

5.如权利要求4所述的针对goose攻击的防护方法，其特征在于：高速泛洪攻击是指攻击者在检查初始GOOSE帧后，通过增加状态号来组播一系列欺骗性GOOSE消息；欺骗分组的高速率泛滥最终将用大于用户预期状态号的状态号。

6.如权利要求5所述的针对goose攻击的防护方法，其特征在于：语义攻击分两个阶段执行；第一阶段攻击者观察网络流量并检查GOOSE消息以确定使用中的状态号并推断状态攻击速率；第二阶段攻击者推断出攻击速率，该攻击速率高于观察到的攻击速率；然后，以攻击速率对欺骗的GOOSE消息进行多播，状态号递增1；预计攻击流量将与合法流量竞争，并阻止订户处理真实GOOSE消息。