[发明专利]一种非法TCP数据流的检测方法、装置及计算机设备

说明书

本发明公开了一种非法TCP数据流的检测方法、装置及计算机设备，该方法包括：接收被测端发送的待检测TCP数据流；获取待检测TCP数据流的多个数据报文中任意一个数据报文的第一确认序列号和任意一个数据报文的上一个数据报文的第二确认序列号，根据第一确认序列号和第二确认序列号得到位于第一确认序列号和第二确认序列号之间的目标确认序列号；向被测端发送包括目标确认序列号的确认报文；接收被测端发送的数据报文，数据报文包含待检测TCP数据流中目标确认序列号之后的数据报文；根据数据报文的接收结果，确定待检测TCP数据流是否为非法TCP数据流。通过实施本发明，可准确检测整个TCP数据流的状态，避免了非法TCP数据流对工控系统和军工系统的攻击行为。

技术领域

本发明涉及工业控制技术领域，具体涉及一种非法TCP数据流的检测方法、装置及计算机设备。

背景技术

随着工业化与信息化进程的不断交叉融合，越来越多的信息技术应用到了工业领域。与此同时，由于工业控制系统广泛采用通用软硬件和网络设施，以及与企业管理信息系统的集成，导致工业控制或军工专用系统越来越开放。因此，针对工业控制设备的非法攻击也越来越多，这样的非法攻击可能导致工业控制设备拒绝提供服务或者数据泄密等危险。针对这种危险，通过识别非法数据流，来有针对性的阻断危害的发生，对于工业控制设备的防护工作至关重要。

相关技术中，对非法攻击的检测主要是包过滤，包过滤方法是指针对每一个数据包的包头，按照包过滤规则进行判定，与规则相匹配的包则可以依据路由信息继续转发，否则就丢弃来抵抗非法攻击。但是包过滤方法一般只能检测某些字段的异常，不能检测整个TCP数据流的异常，影响了对非法攻击行为的检测效果。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中的包过滤方法只能检测某些字段的异常，不能检测TCP数据流的异常，影响了对非法攻击行为的检测效果的缺陷，从而提供一种非法TCP数据流的检测方法、装置及计算机设备。

根据第一方面，本发明实施例公开了一种非法TCP数据流的检测方法，应用于测试端，包括如下步骤：接收被测端发送的待检测TCP数据流；获取所述待检测TCP数据流的多个数据报文中任意一个数据报文的第一确认序列号和所述任意一个数据报文的上一个数据报文的第二确认序列号，根据所述第一确认序列号和所述第二确认序列号得到目标确认序列号，所述目标确认序列号位于所述第一确认序列号和第二确认序列号之间；向所述被测端发送确认报文，所述确认报文包括所述目标确认序列号；接收所述被测端发送的数据报文，所述数据报文包含所述待检测TCP数据流中目标确认序列号之后的数据报文；根据数据报文的接收结果，确定所述待检测TCP数据流是否为非法的TCP数据流。

可选地，所述根据数据报文的接收结果，确定所述待检测TCP数据流是否为非法的TCP数据流，包括：当在预设时间内未接收到重发的数据报文，确定所述待检测TCP数据流为非法的TCP数据流；或当在预设时间内接收到的重发的数据报文和上次接收的数据报文不一致，确定所述待检测TCP数据流为非法的TCP数据流。

可选地，在获取所述待检测TCP数据流的多个数据报文中任意一个数据报文的第一确认序列号和所述任意一个数据报文的上一个数据报文的第二确认序列号之前，所述方法还包括：对所述待检测TCP数据流中的数据报文进行合法性验证。

可选地，所述方法还包括：当所述待检测TCP数据流中的数据报文不符合预设行为模型规则库时，暂停转发所述待检测TCP数据流。

根据第二方面，本发明实施例还公开了一种非法TCP数据流的检测方法，包括如下步骤：向测试端发送待检测TCP数据流；接收所述测试端发送的确认报文，所述确认报文包括目标确认序列号；根据所述确认报文向所述测试端再次发送所述待检测TCP数据流中的数据报文，所述待检测TCP数据流中的数据报文包含所述待检测TCP数据流中目标确认序列号之后的数据报文。