报文识别方法、系统、装置及存储介质制造方法及图纸

本发明专利技术公开了报文识别方法、系统、装置及存储介质，涉及计算机领域。该方法包括：根据预设的工序定义报文执行的业务逻辑；获取报文组合，报文组合包含至少两个互相关联的报文；对报文组合中的全部报文进行多包关联分析，将报文组合还原成应用层协议；判断应用层协议是否匹配业务逻辑，如果不匹配，则判定报文组合非法，阻断报文组合。本发明专利技术能够实现对报文的业务逻辑进行识别，在工控网络环境中，业务逻辑相对固定，因此，本发明专利技术可以适用于工控网络环境，能够识别并阻断所有不属于正常业务的数据包和数据流，并能识别并阻断单包合法，业务逻辑非法的报文，或者单包组合非法的报文等。

Message identification method, system, device and storage medium

The invention discloses a message identification method, a system, a device and a storage medium, and relates to the computer field. This method includes: defining the business logic of message execution according to the preset process; acquiring message combination, which contains at least two messages related to each other; analyzing all messages in the message combination by multi packet Association, and reducing the message combination to application layer protocol; determining whether the application layer protocol matches the business logic, and if not, determining whether the message combination is illegal, Block message combination. The invention can recognize the business logic of the message. In the industrial control network environment, the business logic is relatively fixed. Therefore, the invention can be applied to the industrial control network environment, can recognize and block all packets and data flows that are not normal business, and can recognize and block the packets with legal single packet, illegal business logic, or illegal single packet combination.

【技术实现步骤摘要】
报文识别方法、系统、装置及存储介质
本专利技术涉及计算机领域，尤其涉及报文识别方法、系统、装置及存储介质。
技术介绍
目前的非法报文识别，主要是基于五元组的方式过滤非法报文，或者使用深度包解析的方式，基于工控协议内部字段对报文进行过滤，或者通过自学习的方式，自动建模添加位置策略。然而，上述方式只能对非法报文进行识别，不能对报文合法，但业务逻辑非法的报文进行识别和阻断。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足，提供报文识别方法、系统、装置及存储介质。本专利技术解决上述技术问题的技术方案如下：一种报文识别方法，包括：根据预设的工序定义报文执行的业务逻辑；获取报文组合，所述报文组合包含至少两个互相关联的报文；对所述报文组合中的全部报文进行多包关联分析，将所述报文组合还原成应用层协议；判断所述应用层协议是否匹配所述业务逻辑，如果不匹配，则判定所述报文组合非法，阻断所述报文组合。本专利技术的有益效果是：本专利技术提供的报文识别方法，通过定义报文的业务逻辑，然而对报文进行多包关联分析，与业务逻辑进行匹配，能够实现对报文的业务逻辑进行识别，在工控网络环境中，业务逻辑相对固定，因此，本专利技术可以适用于工控网络环境，能够识别并阻断所有不属于正常业务的数据包和数据流，并能识别并阻断单包合法，业务逻辑非法的报文，或者单包组合非法的报文等，提高了工控网络环境下报文识别的精确度和实用性。本专利技术解决上述技术问题的另一种技术方案如下：一种报文识别系统，包括：定义单元，用于根据预设的工序定义报文执行的业务逻辑；获取单元，用于获取报文组合，所述报文组合包含至少两个互相关联的报文；还原单元，用于对所述报文组合中的全部报文进行多包关联分析，将所述报文组合还原成应用层协议；判断单元，用于判断所述应用层协议是否匹配所述业务逻辑，如果不匹配，则判定所述报文组合非法，阻断所述报文组合。本专利技术解决上述技术问题的另一种技术方案如下：一种存储介质，所述存储介质中存储有指令，当计算机读取所述指令时，使所述计算机执行如上述技术方案所述的报文识别方法。本专利技术解决上述技术问题的另一种技术方案如下：一种报文识别装置，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序，实现如上述技术方案所述的报文识别方法。本专利技术附加的方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术实践了解到。附图说明图1为本专利技术报文识别方法的实施例提供的流程示意图；图2为本专利技术报文识别系统的实施例提供的结构框架图。具体实施方式以下结合附图对本专利技术的原理和特征进行描述，所举实施例只用于解释本专利技术，并非用于限定本专利技术的范围。目前的非法报文识别，主要分为：1.基于五元组的方式过滤非法报文，例如，Windows/Linux系统自带的防火墙可以通过源IP/目的IP、源端口/目的端口、协议类型等进行包过滤。2.深度度包解析，基于工控协议内部字段对报文进行过滤，常见的开源/商业防火墙，在支持五元组过滤的基础上，对报文进行还原并解析部分应用层协议，支持对协议内部分字段的过滤。3.更高级的防火墙，支持自动学习的方式调节策略。以上方式都是对报文本身的合法性进行识别判断，对于工控网络环境而言，其业务逻辑相对固定，因此，工控网络环境不仅对报文本身的合法性有要求，还对报文的业务逻辑顺序的正确性有要求，基于此，本申请提供如下实施例。如图1所示，为本专利技术报文识别方法的实施例提供的流程示意图，该报文识别方法包括：S1，根据预设的工序定义报文执行的业务逻辑。例如，对于某工控网络环境，其需要首先执行工序1，工序1结果正确后，执行工序2，否则等待5秒钟后再次执行工序1，这个过程可以通过脚本进行描述，生成业务逻辑。S2，获取报文组合，报文组合包含至少两个互相关联的报文。应理解，在获取报文后，还可以对报文本身的合法性进行判断，如果不合法，则阻断该报文，如果合法，再对报文组合关系的合法性进行判断。S3，对报文组合中的全部报文进行多包关联分析，将报文组合还原成应用层协议。通过对报文进行多包关联分析，能够将报文组合还原成应用层协议，即还原成报文执行的工序，那么就可以判断该报文的业务逻辑是否正确。S4，判断应用层协议是否匹配业务逻辑，如果不匹配，则判定报文组合非法，阻断报文组合。例如，假设接收到的报文经处理后，发现有一个报文不在数据流内，那么说明该报文可疑，与业务逻辑不符，因此阻断该报文组合。又例如，假设接收到的报文经处理后，缺少了某个报文或者某个工序，那么说明该报文不完整，执行该报文会出错，与业务逻辑不符，因此阻断该报文组合。本实施例提供的报文识别方法，通过定义报文的业务逻辑，然而对报文进行多包关联分析，与业务逻辑进行匹配，能够实现对报文的业务逻辑进行识别，在工控网络环境中，业务逻辑相对固定，因此，本专利技术可以适用于工控网络环境，能够识别并阻断所有不属于正常业务的数据包和数据流，并能识别并阻断单包合法，业务逻辑非法的报文，或者单包组合非法的报文等，提高了工控网络环境下报文识别的精确度和实用性。可选地，在一些实施例中，根据预设的工序定义报文执行的业务逻辑，具体可以包括：将预设的工序编写成脚本，通过脚本定义报文执行的业务逻辑。通过脚本的方式定义业务逻辑，具有灵活高效的特点。可选地，在一些实施例中，业务逻辑可以包括：合法报文的定义、各个报文之间的关联关系和执行时序。可选地，在一些实施例中，对报文组合中的全部报文进行多包关联分析，将报文组合还原成应用层协议之前，还可以包括：对报文组合进行单包解析，根据合法报文的定义分别对每个报文的合法性进行判断，如果存在不合法的报文，则阻断报文组合。通过单包解析，能够及时地发现非法报文，从而进一步提高系统安全性。可选地，在一些实施例中，判断应用层协议是否匹配业务逻辑，如果不匹配，则判定报文组合非法，阻断报文组合，具体可以包括：判断报文组合中全部报文的关联关系是否匹配业务逻辑中定义的各个报文之间的关联关系，如果不符合，则判定报文组合的关联关系非法，阻断报文组合；如果符合，判断应用层协议的全部报文的执行时序是否匹配业务逻辑中定义的各个报文之间的执行时序，如果不符合，则判定报文组合的业务逻辑非法，阻断报文组合。例如，假设业务逻辑中定义报文1和报文2关联，那么就判断报文组合中的报文1和报文2是否关联，如果是，则合法，否则非法。例如，假设业务逻辑中定义执行报文1之后执行报文2，那么就判断报文组合中是否先执行报文1，后执行报文2，如果是，则合法，否则非法。通过分别对报文的关联关系和执行时序的合法性进行判断，能够保证得到的报文是符合业务逻辑的报文，从而提高系统的安全性本文档来自技高网...

【技术保护点】
1.一种报文识别方法，其特征在于，包括：/n根据预设的工序定义报文执行的业务逻辑；/n获取报文组合，所述报文组合包含至少两个互相关联的报文；/n对所述报文组合中的全部报文进行多包关联分析，将所述报文组合还原成应用层协议；/n判断所述应用层协议是否匹配所述业务逻辑，如果不匹配，则判定所述报文组合非法，阻断所述报文组合。/n

【技术特征摘要】
1.一种报文识别方法，其特征在于，包括：
根据预设的工序定义报文执行的业务逻辑；
获取报文组合，所述报文组合包含至少两个互相关联的报文；
对所述报文组合中的全部报文进行多包关联分析，将所述报文组合还原成应用层协议；
判断所述应用层协议是否匹配所述业务逻辑，如果不匹配，则判定所述报文组合非法，阻断所述报文组合。


2.根据权利要求1所述的报文识别方法，其特征在于，根据预设的工序定义报文执行的业务逻辑，具体包括：
将预设的工序编写成脚本，通过所述脚本定义报文执行的业务逻辑。


3.根据权利要求1或2所述的报文识别方法，其特征在于，所述业务逻辑包括：合法报文的定义、各个报文之间的关联关系和执行时序。


4.根据权利要求3所述的报文识别方法，其特征在于，对所述报文组合中的全部报文进行多包关联分析，将所述报文组合还原成应用层协议之前，还包括：
对所述报文组合进行单包解析，根据所述合法报文的定义分别对每个报文的合法性进行判断，如果存在不合法的报文，则阻断所述报文组合。


5.根据权利要求3所述的报文识别方法，其特征在于，判断所述应用层协议是否匹配所述业务逻辑，如果不匹配，则判定所述报文组合非法，阻断所...

【专利技术属性】
技术研发人员：张文超，
申请(专利权)人：北京卓识网安技术股份有限公司，
类型：发明
国别省市：北京;11