专利一种基于工业防火墙的断链重连检测方法及系统

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111633518.5 (22)申请日 2021.12.2 9 (71)申请人北京威努特技术有限公司地址 100085 北京市海淀区上地三街9号F 座9层907 (72)发明人初清晨　赵彦斌　冯全宝　 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/069(2022.01) H04L 43/0811(2022.01) (54)发明名称一种基于工业防火墙的断链重连检测方法及系统 (57)摘要本申请涉及工控网络技术领域，尤其是涉及一种基于工业防火墙的断链重连检测方法及系统，包括：解析接收到的业务流量得到待检测报文，通过待检测报文得到是否发生断链或重连事件；若发生断链或重连事件，则产生告警日志；依据告警日志获得发生异常的业务流量，以便于排除该业务流量的异常。本申请提供的基于工业防火墙的断链重连检测方法及系统，可以检测工业生产现场网络中出现的异常情况，从而避免发生安全事故。权利要求书2页说明书6页附图3页 CN 114389865 A 2022.04.22 CN 114389865 A 1.一种基于工业防火墙的断链重连检测方法，其特征在于，包括如下步骤：步骤S110、解析接收到的业务流量得到待检测报文，通过待检测报文得到是否发生断链或重连事件；步骤S120、若发生断链或重连事件，则产生告警日志；步骤S130、依据告警日志获得发生异常的业务流量，以便于排除该业务流量的异常。 2.根据权利要求1所述的基于工业防火墙的断链重连检测方法，其特征在于，步骤S110 包括如下子步骤：步骤S111、解析接收到的待检测节点的业务流量得到待检测报文，检查待检测报文是否与服务异常规则匹配；步骤S112、若匹配成功，则查看待检测报文的源端口是否发生变化；步骤S113、若待检测报文的源端口发生变化，则查看是否满足上报间隔要求；步骤S114、若满足上报间隔要求，则查看是否满足上报限速要求；步骤S115、若满足上报限速要求，则发生重连事件。 3.根据权利要求2所述的基于工业防火墙的断链重连检测方法，其特征在于，还包括：步骤S112’、若匹配不成功，则未发生断链或重连事件。 4.根据权利要求2或3所述的基于工业防火墙的断链重连检测方法，其特征在于，还包括：步骤S113 ”、若待检测报文的源端口未发生变化，或者不满足上报间隔要求，再或者不满足上报限速要求，则更新待检测节点的时间戳；步骤S114”、更新时间戳后，定时判断是否超过检测超时时间；步骤S115”、若超过检测超时时间，则发生断链事件。 5.根据权利要求4所述的基于工业防火墙的断链重连检测方法，其特征在于，还包括：步骤S115’ ”、若未超过检测超时时间，则未发生断链事件。 6.一种基于工业防火墙的断链重连检测系统，其特征在于，包括：解析模块、检测模块、日志产生模块和处理模块；解析模块解析接收到的业务流量得到待检测报文，检测模块通过待检测报文得到是否发生断链或重连事件；若发生断链或重连事件，日志产生模块则产生告警日志；处理模块依据告警日志获得发生异常的业务流量，排除该业务流量的异常。 7.根据权利要求6所述的基于工业防火墙的断链重连检测系统，其特征在于，解析模块解析接收到的待检测节点的业务流量得到待检测报文，检测模块检查待检测报文是否与服务异常规则匹配；若匹配成功，则检测模块查看待检测报文的源端口是否发生变化；若待检测报文的源端口发生变化，检测模块则查看是否满足上报间隔要求；若满足上报间隔要求，检测模块则查看是否满足上报限速要求；若满足上报限速要求，检测模块则检测到发生重连事件。 8.根据权利要求7所述的基于工业防火墙的断链重连检测系统，其特征在于，若匹配不成功，检测模块则检测到未发生断链或重连事件。 9.根据权利要求7或8所述的基于工业防火墙的断链重连检测系统，其特征在于，若待权　利　要　求　书 1/2 页 2 CN 114389865 A 2检测报文的源端口未发生变化，或者不满足上报间隔要求，再或者不满足上报限速要求，检测模块则更新待检测节点的时间戳；更新时间戳后，定时判断是否超过检测超时时间；若超过检测超时时间，检测模块则检测到发生断链事件。 10.根据权利要求9所述的基于工业防火墙的断链重连检测系统，其特征在于，若未超过检测超时时间，检测模块则检测到未发生断链事件。权　利　要　求　书 2/2 页 3 CN 114389865 A 3

专利 一种基于工业防火墙的断链重连检测方法及系统

专利一种基于工业防火墙的断链重连检测方法及系统