The invention discloses a message identification method, a system, a device and a storage medium, and relates to the computer field. This method includes: defining the business logic of message execution according to the preset process; acquiring message combination, which contains at least two messages related to each other; analyzing all messages in the message combination by multi packet Association, and reducing the message combination to application layer protocol; determining whether the application layer protocol matches the business logic, and if not, determining whether the message combination is illegal, Block message combination. The invention can recognize the business logic of the message. In the industrial control network environment, the business logic is relatively fixed. Therefore, the invention can be applied to the industrial control network environment, can recognize and block all packets and data flows that are not normal business, and can recognize and block the packets with legal single packet, illegal business logic, or illegal single packet combination.
【技术实现步骤摘要】
报文识别方法、系统、装置及存储介质
本专利技术涉及计算机领域,尤其涉及报文识别方法、系统、装置及存储介质。
技术介绍
目前的非法报文识别,主要是基于五元组的方式过滤非法报文,或者使用深度包解析的方式,基于工控协议内部字段对报文进行过滤,或者通过自学习的方式,自动建模添加位置策略。然而,上述方式只能对非法报文进行识别,不能对报文合法,但业务逻辑非法的报文进行识别和阻断。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足,提供报文识别方法、系统、装置及存储介质。本专利技术解决上述技术问题的技术方案如下:一种报文识别方法,包括:根据预设的工序定义报文执行的业务逻辑;获取报文组合,所述报文组合包含至少两个互相关联的报文;对所述报文组合中的全部报文进行多包关联分析,将所述报文组合还原成应用层协议;判断所述应用层协议是否匹配所述业务逻辑,如果不匹配,则判定所述报文组合非法,阻断所述报文组合。本专利技术的有益效果是:本专利技术提供的报文识别方法,通过定义报文的业务逻辑,然而对报文进行多包关联分析,与业务逻辑进行匹配,能够实现对报文的业务逻辑进行识别,在工控网络环境中,业务逻辑相对固定,因此,本专利技术可以适用于工控网络环境,能够识别并阻断所有不属于正常业务的数据包和数据流,并能识别并阻断单包合法,业务逻辑非法的报文,或者单包组合非法的报文等,提高了工控网络环境下报文识别的精确度和实用性。本专利技术解决上述技术问题的另一种技术方 ...
【技术保护点】
1.一种报文识别方法,其特征在于,包括:/n根据预设的工序定义报文执行的业务逻辑;/n获取报文组合,所述报文组合包含至少两个互相关联的报文;/n对所述报文组合中的全部报文进行多包关联分析,将所述报文组合还原成应用层协议;/n判断所述应用层协议是否匹配所述业务逻辑,如果不匹配,则判定所述报文组合非法,阻断所述报文组合。/n
【技术特征摘要】
1.一种报文识别方法,其特征在于,包括:
根据预设的工序定义报文执行的业务逻辑;
获取报文组合,所述报文组合包含至少两个互相关联的报文;
对所述报文组合中的全部报文进行多包关联分析,将所述报文组合还原成应用层协议;
判断所述应用层协议是否匹配所述业务逻辑,如果不匹配,则判定所述报文组合非法,阻断所述报文组合。
2.根据权利要求1所述的报文识别方法,其特征在于,根据预设的工序定义报文执行的业务逻辑,具体包括:
将预设的工序编写成脚本,通过所述脚本定义报文执行的业务逻辑。
3.根据权利要求1或2所述的报文识别方法,其特征在于,所述业务逻辑包括:合法报文的定义、各个报文之间的关联关系和执行时序。
4.根据权利要求3所述的报文识别方法,其特征在于,对所述报文组合中的全部报文进行多包关联分析,将所述报文组合还原成应用层协议之前,还包括:
对所述报文组合进行单包解析,根据所述合法报文的定义分别对每个报文的合法性进行判断,如果存在不合法的报文,则阻断所述报文组合。
5.根据权利要求3所述的报文识别方法,其特征在于,判断所述应用层协议是否匹配所述业务逻辑,如果不匹配,则判定所述报文组合非法,阻断所...
【专利技术属性】
技术研发人员:张文超,
申请(专利权)人:北京卓识网安技术股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。