【技术实现步骤摘要】
报文获取方法、装置、系统及计算机存储介质
本专利技术涉及网络威胁检测
,特别涉及报文获取方法、装置、系统及计算机存储介质。
技术介绍
OT(OperationalTechnology,运营技术)是通过直接监测以及控制企业中的物理设备、过程和事件,来检测或触发改变的硬件和软件。ICS(IndustrialControlSystem,工业控制系统)是最常见的OT系统,用于远程监测以及控制关键过程和物理设备。传统的OT系统(如:ICS)是一个封闭的系统,专为生产率、可操作性和可靠性而设计,较少强调安全性。由于封闭系统依赖于专有网络,因此其硬件一直被认为对网络攻击是免疫的。但是随着自动化制造和过程控制技术的进步,近年来保护IACS(IndustrialAutomationandControlSystem,工业自动化和控制系统)计算机环境的需求大大增长。信息技术的广泛采用例如:联合开发和外包服务的增加、智能ICS设备的出现、与外部设备/软件的连接、更加智能化的黑客和恶意软件,使得这些封闭系统演变为开放系统,因此,IACS的保护需求不断增加。工业以太网(IE,Indus ...
【技术保护点】
1.一种报文获取方法,其特征在于,该方法包括:获取一个报文文件,所述报文文件包含了实时捕获到的运营技术OT网络中的至少一个报文;将所述报文文件存储到一个存储系统中,并在所述报文文件的摘要中添加所述报文文件在所述存储系统中的索引,且所述报文文件的摘要包含所述报文文件的文件特征以及所述报文文件包含的至少一个报文中每一个的报文特征;将所述报文文件的摘要存储到一个搜索引擎中;接收一个报文的分析请求,所述分析请求指示要获取的报文所具有的报文特征;根据所述分析请求指示的要获取的报文所具有的报文特征,在所述搜索引擎中查找到对应的摘要;若查找到对应的摘要,则根据查找到的摘要中包含的报文文件 ...
【技术特征摘要】
1.一种报文获取方法,其特征在于,该方法包括:获取一个报文文件,所述报文文件包含了实时捕获到的运营技术OT网络中的至少一个报文;将所述报文文件存储到一个存储系统中,并在所述报文文件的摘要中添加所述报文文件在所述存储系统中的索引,且所述报文文件的摘要包含所述报文文件的文件特征以及所述报文文件包含的至少一个报文中每一个的报文特征;将所述报文文件的摘要存储到一个搜索引擎中;接收一个报文的分析请求,所述分析请求指示要获取的报文所具有的报文特征;根据所述分析请求指示的要获取的报文所具有的报文特征,在所述搜索引擎中查找到对应的摘要;若查找到对应的摘要,则根据查找到的摘要中包含的报文文件在所述存储系统中的索引,在所述存储系统中查找到对应的报文文件,并在查找到的报文文件中查找到对应的至少一个报文;将查找到的至少一个报文存储到所述搜索引擎中,以使得此后能够根据所述报文特征在所述搜索引擎中直接查找到对应的报文。2.根据权利要求1所述的方法,其特征在于,所述将查找到的至少一个报文存储到所述搜索引擎中为:将查找到的至少一个报文的数据载荷存储到所述搜索引擎中,以使得此后能够根据所述报文特征在所述搜索引擎中直接查找到对应的报文的数据载荷;或者,所述将查找到的至少一个报文存储到所述搜索引擎中为:将查找到的至少一个报文的数据载荷解析后得到的信息存储到所述搜索引擎中,以使得此后能够根据所述报文特征在所述搜索引擎中直接查找到对应的报文解析后的信息。3.根据权利要求1或2所述的方法,其特征在于,所述报文文件的摘要进一步包括所述报文文件包含的至少一个报文中每一个报文在所述报文文件中的索引;且,所述在查找到的报文文件中查找到对应的至少一个报文之前进一步包括:根据所述要获取的报文所具有的报文特征,在查找到的摘要中查找到对应报文的索引,根据查找到的索引,在查找到的报文文件中查找到对应的报文。4.根据权利要求1至3任一所述的方法,其特征在于,所述获取一个报文文件之后、将所述报文文件存储到一个存储系统中之前进一步包括:为所述报文文件生成摘要;且,所述报文文件的摘要包含的所述报文文件的文件特征包括:所述报文文件中包含的报文的数量,且,所述报文文件包含的至少一个报文中每一个的报文特征包括:每一个报文的源和目的IP地址、源和目的端口号、协议类型、时间戳;或者,所述报文文件的摘要包含的所述报文文件的文件特征包括:所述报文文件中包含的报文的数量和所述报文文件中包含的会话的数量,且,所述报文文件包含的至少一个报文中每一个的报文特征包括:每一个报文的源和目的IP地址、源和目的端口号、协议类型、时间戳,每一个会话的源和目的IP地址、源和目的端口号、协议类型,以及每个会话包含的所有报文在报文文件中的索引,每个会话的起始时间和结束时间。5.根据权利要求1至4任一所述的方法,其特征在于,所述获取一个报文文件之后进一步包括:在所述报文文件或/和所述报文文件的摘要中,查找预定义的网络威胁相关特征;对于查找到的每一网络威胁相关特征,在一个特征库中查找该网络威胁相关特征的历史活动数据和背景数据,所述历史活动数据为:具有该网络威胁相关特征的历史网络活动的数据,所述背景数据为用于识别该网络威胁相关特征对应主体的属性的数据;建立一个数据项,所述数据项包括网络威胁相关特征及其对应的历史活动数据和背景数据;建立一个数据项列表,将所述数据项列表添加到搜索引擎中,以使得能够根据网络威胁相关特征在所述数据项列表中查找到对应的历史活动数据和背景数据。6.一种报文获取方法,其特征在于,该方法包括:将实时捕获到的运营技术OT网络中的报文封装成至少一个报文文件,并为各报文文件生成摘要,所述摘要包含所述报文文件的文件特征以及所述报文文件包含的每一个报文的报文特征;发送所述报文文件及其摘要,以使得:所述报文文件及其摘要的接收者将所述报文文件存储到一个存储系统中,并在所述报文文件的摘要中添加所述报文文件在所述存储系统中的索引,并将所述报文文件的摘要存储到一个搜索引擎中。7.根据权利要求6所述的方法,其特征在于,所述报文文件的摘要包含的所述报文文件的文件特征包括:所述报文文件中包含的报文的数量,且,所述报文文件包含的每一个报文的报文特征包括:每一个报文的源和目的IP地址、源和目的端口号、协议类型、时间戳;或者,所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。