【技术实现步骤摘要】
本申请涉及网络安全,具体涉及一种报文检测方法及装置。
技术介绍
1、profinet是一种用于工业自动化的以太网通信协议,其提供了高性能和实时性的通信,通常应用于工业控制系统。随着工业控制系统的网络数字化和互联化程度的提高,工业控制系统的安全问题变得越来越重要,而如何对工业控制系统采用的profinet协议传输的报文进行检测,以提高工业控制系统的安全性,是当前亟需解决的问题。
技术实现思路
1、本申请旨在至少解决相关技术中存在的技术问题之一。为此,本申请提出一种报文检测方法及装置,能够对profinet协议传输的报文进行异常检测,提高工业控制系统的安全性。
2、根据本申请第一方面实施例的报文检测方法,包括:
3、获取通过profinet协议传输的pnio-cm报文;
4、根据各目标信息在所述pnio-cm报文中的预设位置,从所述pnio-cm报文中,获取各所述目标信息与预设告警规则进行匹配,得到所述pnio-cm报文的检测结果;
5、其中,所述目标信息包括块信息和槽信息;
6、所述块信息用于定义所述pnio-cm报文的数据格式和数据内容,所述槽信息用于定义发送所述pnio-cm报文的第一设备,以及接收所述pnio-cm报文的第二设备之间数据交换的时间间隔和优先级。
7、本申请实施例提供的报文检测方法,通过获取由profinet协议传输的pnio-cm报文,以根据各目标信息在pnio-cm报文中的预设位置,从所述
8、根据本申请的一个实施例,获取通过profinet协议传输的pnio-cm报文,包括:
9、获取通过profinet协议传输的报文的镜像流量;
10、从所述镜像流量中获取所述pnio-cm报文。
11、根据本申请的一个实施例,根据各目标信息在所述pnio-cm报文中的预设位置,从所述pnio-cm报文中,获取各所述目标信息与预设告警规则进行匹配,包括:
12、确定所述pnio-cm报文中的接口标识符的检测结果为正常,根据各目标信息在所述pnio-cm报文中的预设位置,从所述pnio-cm报文中,获取各所述目标信息与预设告警规则进行匹配。
13、根据本申请的一个实施例,还包括:
14、根据所述pnio-cm报文中接口标识符的位置信息和字节序,拼接所述接口标识符;
15、根据所述接口标识符的拼接结果,得到所述接口标识符的检测结果。
16、根据本申请的一个实施例,根据所述接口标识符的拼接结果,得到所述接口标识符的检测结果,包括:
17、在所述接口标识符拼接失败的情况下,确定所述接口标识符的检测结果为接口标识符异常;
18、在所述接口标识符拼接完成的情况下,将所述接口标识符与预设标识符进行匹配,得到所述接口标识符的检测结果。
19、根据本申请的一个实施例,还包括:
20、确定所述pnio-cm报文中的接口标识符的检测结果为异常,得到所述pnio-cm报文的检测结果为所述pnio-cm报文异常。
21、根据本申请的一个实施例,从所述pnio-cm报文中,获取各所述目标信息与预设告警规则进行匹配,得到所述pnio-cm报文的检测结果,包括:
22、从所述pnio-cm报文中,依次获取各所述目标信息与预设告警规则进行匹配,每次匹配均检测当前所述目标信息中的块信息与槽信息与预设告警规则是否匹配,以在得到当前所述目标信息中的块信息和槽信息与预设告警规则的匹配结果情况下,获取下一所述目标信息作为当前所述目标信息与预设告警规则进行匹配,直至得到各所述目标信息中的块信息和槽信息与预设告警规则的匹配结果;
23、在至少一个所述目标信息中的块信息或槽信息,与所述预设告警规则相匹配的情况下,确定所述pnio-cm报文的检测结果为异常。
24、根据本申请的一个实施例,所述目标信息中的块信息与槽信息依次与所述预设告警规则进行匹配;在所述块信息与所述预设告警规则相匹配的情况下,将所述槽信息与所述预设告警规则进行匹配;在所述块信息与所述预设告警规则不相匹配的情况下,确定所述槽信息与所述预设告警规则不匹配。
25、根据本申请的一个实施例,还包括:
26、确定所述目标信息中的块信息与所述预设告警规则相匹配,生成告警信息;或者,
27、确定所述目标信息中的块信息以及所述槽信息与所述预设告警规则相匹配,生成告警信息并拦截所述pnio-cm报文。
28、根据本申请第二方面实施例的报文检测装置,包括:
29、报文获取模块,用于获取通过profinet协议传输的pnio-cm报文;
30、报文检测模块,用于根据各目标信息在所述pnio-cm报文中的预设位置,从所述pnio-cm报文中,获取各所述目标信息与预设告警规则进行匹配,得到所述pnio-cm报文的检测结果;
31、其中,所述目标信息包括块信息和槽信息;
32、所述块信息用于定义所述pnio-cm报文的数据格式和数据内容,所述槽信息用于定义发送所述pnio-cm报文的第一设备,以及接收所述pnio-cm报文的第二设备之间数据交换的时间间隔和优先级。
33、根据本申请第三方面实施例的电子设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述计算机程序时实现上述任一实施例所述的报文检测方法。
34、根据本申请第四方面实施例的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的报文检测方法。
35、根据本申请第五方面实施例的计算机程序产品,包括:所述计算机程序被处理器执行时实现如上述任一实施例所述的报文检测方法。
本文档来自技高网...【技术保护点】
1.一种报文检测方法,其特征在于,包括:
2.根据权利要求1所述的报文检测方法,其特征在于,获取通过Profinet协议传输的PNIO-CM报文,包括:
3.根据权利要求1或2所述的报文检测方法,其特征在于,根据各目标信息在所述PNIO-CM报文中的预设位置,从所述PNIO-CM报文中,获取各所述目标信息与预设告警规则进行匹配,包括:
4.根据权利要求3所述的报文检测方法,其特征在于,还包括:
5.根据权利要求4所述的报文检测方法,其特征在于,根据所述接口标识符的拼接结果,得到所述接口标识符的检测结果,包括:
6.根据权利要求3所述的报文检测方法,其特征在于,还包括:
7.根据权利要求1所述的报文检测方法,其特征在于,从所述PNIO-CM报文中,获取各所述目标信息与预设告警规则进行匹配,得到所述PNIO-CM报文的检测结果,包括:
8.根据权利要求1或7所述的报文检测方法,其特征在于,所述目标信息中的块信息与槽信息依次与所述预设告警规则进行匹配;在所述块信息与所述预设告警规则相匹配的情况下,将所述
9.根据权利要求1或7所述的报文检测方法,还包括:
10.一种报文检测装置,其特征在于,包括:
11.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至9任一项所述的报文检测方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至9任一项所述的报文检测方法。
...【技术特征摘要】
1.一种报文检测方法,其特征在于,包括:
2.根据权利要求1所述的报文检测方法,其特征在于,获取通过profinet协议传输的pnio-cm报文,包括:
3.根据权利要求1或2所述的报文检测方法,其特征在于,根据各目标信息在所述pnio-cm报文中的预设位置,从所述pnio-cm报文中,获取各所述目标信息与预设告警规则进行匹配,包括:
4.根据权利要求3所述的报文检测方法,其特征在于,还包括:
5.根据权利要求4所述的报文检测方法,其特征在于,根据所述接口标识符的拼接结果,得到所述接口标识符的检测结果,包括:
6.根据权利要求3所述的报文检测方法,其特征在于,还包括:
7.根据权利要求1所述的报文检测方法,其特征在于,从所述pnio-cm报文中,获取各所述目标信息与预设告警规则进行匹配,得到...
【专利技术属性】
技术研发人员:张天宇,
申请(专利权)人:湖北天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。