本公开实施例涉及一种报文拦截方法、装置、设备及介质,其中该方法包括:获取目标工控报文的实时数量;提取目标工控报文对应的目标频率阈值和目标生效时间段;若当前时刻在目标生效时间段内并且根据实时数量确定的实时通过频率大于目标频率阈值,则拦截目标工控报文。采用上述技术方案,通过在白名单中增加工控报文的频率阈值和生效时间段,以在根据工控报文的实时数量确定的实时通过频率超过该频率阈值时对工控报文进行拦截,实现对工控报文的频率控制,防止伪装成合法工控报文的非法工控报文通过,避免对工控报文频率的扰乱,进而避免造成数据传输不及时、连接验证中断等问题。题。题。
【技术实现步骤摘要】
一种报文拦截方法、装置、设备及介质
[0001]本公开涉及工业控制
,尤其涉及一种报文拦截方法、装置、设备及介质。
技术介绍
[0002]工控网络是由工业自动化设备组成的网络,具有专有的通信协议和机制,对网络实时性要求较高。
[0003]相关技术中,工控防火墙一般通过白名单来控制工控报文的放过和拦截,而白名单通常是由用户手动配置或由学习模型生成的模板转换来的,通过白名单能够有效拦截非法的工控报文。但是上述方式的拦截效果有限,当攻击者对合法的工控报文进行复制回放时,会扰乱工控报文的正常频率,导致数据传输不及时、连接验证中断等问题。
技术实现思路
[0004]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种报文拦截方法、装置、设备及介质。
[0005]本公开实施例提供了一种报文拦截方法,所述方法包括:
[0006]获取目标工控报文的实时数量;
[0007]基于预设白名单提取所述目标工控报文对应的目标频率阈值和目标生效时间段;
[0008]若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值,则拦截所述目标工控报文。
[0009]本公开实施例还提供了一种报文拦截装置,所述装置包括:
[0010]获取模块,获取目标工控报文的实时数量;
[0011]提取模块,用于基于预设白名单提取所述目标工控报文对应的目标频率阈值和目标生效时间段;
[0012]拦截模块,用于若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值,则拦截所述目标工控报文。
[0013]本公开实施例还提供了一种电子设备,所述电子设备包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现如本公开实施例提供的报文拦截方法。
[0014]本公开实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行如本公开实施例提供的报文拦截方法。
[0015]本公开实施例提供的技术方案与现有技术相比具有如下优点:本公开实施例提供的报文拦截方案,获取目标工控报文的实时数量;提取目标工控报文对应的目标频率阈值和目标生效时间段;若当前时刻在目标生效时间段内并且根据实时数量确定的实时通过频率大于目标频率阈值,则拦截目标工控报文。采用上述技术方案,通过在白名单中增加工控报文的频率阈值和生效时间段,以在根据工控报文的实时数量确定的实时通过频率超过该频率阈值时对工控报文进行拦截,实现对工控报文的频率控制,防止伪装成合法工控报文
的非法工控报文通过,避免对工控报文频率的扰乱,进而避免造成数据传输不及时、连接验证中断等问题。
附图说明
[0016]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
[0017]为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本公开实施例提供的一种报文拦截方法的流程示意图;
[0019]图2为本公开实施例提供的另一种报文拦截方法的流程示意图;
[0020]图3为本公开实施例提供的一种频率预测模型的构建过程的示意图;
[0021]图4为本公开实施例提供的再一种报文拦截方法的流程示意图;
[0022]图5为本公开实施例提供的一种报文拦截装置的结构示意图;
[0023]图6为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
[0024]为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
[0025]在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
[0026]为了解决相关技术中工控报文的拦截控制的问题,本公开实施例提供了一种报文拦截方法,下面结合具体的实施例对该方法进行介绍。
[0027]图1为本公开实施例提供的一种报文拦截方法的流程示意图,该方法可以由报文拦截装置执行,其中该装置可以采用软件和/或硬件实现,一般可集成在电子设备中。如图1所示,该方法包括:
[0028]步骤101、获取目标工控报文的实时数量。
[0029]其中,工控报文可以是基于单个工控协议传输的报文数据,工控协议可以包括多种,具体不限,并且不同工控协议对应不同的功能码。目标工控报文可以是当前正在处理的工控报文,例如可以是设备当前接收到的一个或多个工控报文。
[0030]报文拦截装置可以开启防护模式,之后可以在统计接收到的目标工控报文时的实时数量,每接收到即可将实时数量加1。
[0031]步骤102、提取目标工控报文对应的目标频率阈值和目标生效时间段。
[0032]其中,目标频率阈值可以是为目标工控报文设置的通过频率的最大值,目标生效时间段可以是目标频率阈值的生效时间的范围,可以包括目标生效开始时间和目标生效结束时间,具体的时间段大小可以根据实际情况设置,例如目标生效时间段的时间段大小为1小时,目标生效开始时间可以为8点,目标生效结束时间可以为9点,超过该目标生效时间段
则该目标频率阈值无效,具体可以从预设白名单中提取得到,也可以根据实际情况设置。
[0033]在一些实施例中,提取目标工控报文对应的目标频率阈值和目标生效时间段,包括:基于目标工控报文的目标功能码在预设白名单中提取对应的目标频率阈值和目标生效时间段。
[0034]其中,预设白名单可以包括预先为各功能码的工控报文设置的通过频率的阈值以及生效时间段,通过该预设白名单可以实现对工控报文的频率控制。报文拦截装置在获取目标工控报文的实时数量之后,可以基于该目标工控报文的功能码在预设白名单中进行提取,得到对应的目标频率阈值和目标生效时间段。
[0035]步骤103、若当前时刻在目标生效时间段内并且根据实时数量确定的实时通过频率大于目标频率阈值,则拦截目标工控报文。
[0036]其中,实时通过频率可以表示一个工控报文在一个时间段的通过数量的多少。
[0037]本公开实施例中,报文拦截装置在提取目标工控报文对应的目标频率阈值和目标生效时间段之后,可以判断当前时刻是否在目标生效时间段内,若是,则可以根据目标工控报文的实时数量确定实时通过频率,具体可以将实时数量除以目标生效时间段的结果确定为实时通过频率,并判断该实时通过频率是否大于目标频率阈值,若是,则说明需要拦截,可以拦截该目标工控报文,以实现本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文拦截方法,其特征在于,包括:获取目标工控报文的实时数量;提取所述目标工控报文对应的目标频率阈值和目标生效时间段;若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值,则拦截所述目标工控报文。2.根据权利要求1所述的方法,其特征在于,提取所述目标工控报文对应的目标频率阈值和目标生效时间段,包括:基于所述目标工控报文的目标功能码在预设白名单中提取对应的目标频率阈值和目标生效时间段。3.根据权利要求1所述的方法,其特征在于,根据所述实时数量确定实时通过频率,包括:将所述实时数量除以所述目标生效时间段的结果确定为所述实时通过频率。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:构建各功能码的频率预测模型,并基于各所述功能码的频率预测模型构建所述预设白名单,其中,所述功能码的数量为多个。5.根据权利要求4所述的方法,其特征在于,构建各功能码的频率预测模型,包括:获取各功能码的工控报文对应的样本频率序列,其中,每个所述样本频率序列包括一个功能码在多个单位时间段的工控报文的通过频率,每个所述样本频率序列为非白噪声序列以及平稳序列;基于各功能码的工控报文对应的样本频率序列对自回归模型进行训练,得到各功能码对应的频率预测模型。6.根据权利要求4所述的方法,其特征在于...
【专利技术属性】
技术研发人员:李文瑞,刘浩岩,范鸿雷,
申请(专利权)人:北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。