CN115379029A

CN115379029A - 报文识别方法、装置、终端设备以及存储介质

Info

Publication number: CN115379029A
Application number: CN202211322758.8A
Authority: CN
Inventors: 田洋
Original assignee: Beijing 6Cloud Technology Co Ltd; Beijing 6Cloud Information Technology Co Ltd
Current assignee: Beijing 6Cloud Technology Co Ltd; Beijing 6Cloud Information Technology Co Ltd
Priority date: 2022-10-27
Filing date: 2022-10-27
Publication date: 2022-11-22

Abstract

本发明公开了一种报文识别方法、装置、终端设备以及存储介质，所述报文识别方法涉及网络安全领域，所述报文识别方法在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果，若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。本发明解决了识别报文中的敏感操作耗时过长的技术问题，在兼顾工业生产安全性的前提下保障了工业生产的正常运行。

Description

报文识别方法、装置、终端设备以及存储介质

技术领域

本发明涉及网络安全领域，尤其涉及一种报文识别方法、装置、终端设备以及存储介质。

背景技术

随着互联网技术在工业生产中日益普及，工业生产也不得不面临各种各样的网络安全问题。其中一种网络安全问题就是，攻击者通过入侵网络，在网络中对工业执行设备下发危险或不合规范的敏感操作，这些敏感操作大部份会直接影响甚至破坏工业生产，造成巨大经济损失。为确保工业生产免受此种攻击或威胁，在工业网络报文中有必要对这些工业敏感操作进行识别和处理。

现有技术中通用的工业报文识别方法，是先通过端口号或特征比对的方式来识别工业网络报文中的工业协议，再根据识别的工业协议规约对协议进行解析，然后再将解析出来的工业操作指令逐一比对，以获取是否为敏感操作。这种方式需要进行协议识别、协议解析、指令匹配三次操作，大大消耗了检测的时间，而对于工业生产网络其中一个指标就是实时性要求较高，所以现有技术对于工业报文中敏感操作的识别方法会对工业生产造成较大影响，甚至因为指令执行不及时而导致生产停产等重大事故。因此，现有技术的应用具有一定的局限性。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种报文识别方法、装置、终端设备以及存储介质，旨在解决识别报文中的敏感操作耗时过长的技术问题。

为实现上述目的，本发明提供一种报文识别方法，所述报文识别方法包括：

获取待识别的工业网络报文；

将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果；所述预设的工业敏感操作特征库包含工业协议特征信息和工业敏感操作特征信息。

可选地，所述方法还包括：

若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。

可选地，所述获取待识别的工业网络报文的步骤之前还包括：

在离线状态下，对预先采集的工业网络样本报文进行特征提取，建立工业敏感操作特征库。

可选地，所述在离线状态下，对预先采集的工业网络样本报文进行特征提取，建立工业敏感操作特征库的步骤包括：

在离线状态下，从所述预先采集的工网络样本报文中提取工业协议特征信息和工业敏感操作报文；

从所述工业敏感操作报文中提取工业敏感操作特征信息；

将所述工业协议特征信息和所述工业敏感操作特征信息融合，建立工业敏感操作特征库。

可选地，所述将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果的步骤包括：

将所述待识别的工业网络报文进行特征提取，获取待比对检测的特征信息；所述待比对检测的特征信息包括工业协议特征信息和工业敏感操作特征信息；

获取预设的工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息；

做如下处理：

将所述特征信息结合所述工业协议特征信息和所述工业敏感操作特征信息进行多线程一次性敏感操作比对检测，得到工业敏感操作检测结果；或

将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果；

将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果。

可选地，所述将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果再将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果的步骤包括：

将所述工业协议特征信息和所述工业敏感操作特征信息通过超有限自动机进行编译压缩，生成有向图；

将所述特征信息结合所述有向图进行一次性敏感操作比对检测，获得工业敏感操作检测结果。

可选地，所述若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理的步骤包括：

若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则记录所述工业网络报文；

基于所述工业网络报文输出告警；或

阻断所述工业网络报文的传输过程。

可选地，所述将所述工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果的步骤之后还包括：

若基于所述工业敏感操作检测结果识别所述工业网络报文不是工业敏感操作报文，则对所述工业网络报文不作传输约束。

此外，为实现上述目的，本发明还提供一种报文识别装置，所述报文识别装置包括：

获取模块，用于获取待识别的工业网络报文；

检测模块，用于将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果。

可选地，所述装置还包括：

处理模块，用于若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。

此外，为实现上述目的，本发明还提供一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文识别程序，所述报文识别程序被所述处理器执行时实现如上所述的报文识别方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有报文识别程序，所述报文识别程序被所述处理器执行时实现如上所述的报文识别方法的步骤。

本发明实施例提出的一种报文识别方法、装置、终端设备以及存储介质，涉及网络安全领域，所述报文识别方法在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果。通过预先构建工业敏感操作特征库，所述工业敏感操作特征库内包含有离线状态下提取的工业协议特征信息和工业敏感操作特征信息，在获取到待识别的工业网络报文时，无需经过线上协议解析以及分析工作，而是直接将报文结合工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息进行比对检测，进而获取检测结果。省去了线上协议解析以及分析工作，提升了对报文中敏感操作识别的处理效率，为网络安全提供检测方法。

附图说明

图1为本发明报文识别装置所属终端设备的功能模块示意图；

图2为本发明报文识别方法第一示例性实施例的流程示意图；

图3为工业协议特征示意图；

图4为工业敏感操作特征示意图；

图5为本发明报文识别方法第二示例性实施例的流程示意图；

图6为本发明报文识别方法中，在离线状态下，对预先采集的工业网络样本报文进行特征提取，建立工业敏感操作特征库步骤的细化流程示意图；

图7为本发明报文识别方法第三实施例的流程示意图；

图8本发明报文识别方法中，将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果再将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果的细化流程示意图；

图9本发明报文识别方法的工作原理图；

图10发明报文识别方法中建立工业敏感操作特征库的原理图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例提出的一种报文识别方法、装置、终端设备以及存储介质，所述报文识别方法涉及网络安全领域，所述报文识别方法在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果。通过预先构建工业敏感操作特征库，所述工业敏感操作特征库内包含有离线提取的特征信息，在获取到工业网络报文时，无需经过线上协议解析以及分析工作，而是直接将报文结合工业敏感操作特征库内的特征信息进行比对检测，进而获取检测结果。省去了线上协议解析以及分析工作，提升了敏感操作识别的处理效率，为网络安全提供检测方法。

本发明实施例涉及的技术术语：

HFA：超有限自动机(higher finite automata)亦称时序机，有限离散数字系统的抽象数学模型。一个超有限自动机M由五元组(X,Y,S,δ,λ)给定，其中X,Y和S都是非空有限集，分别称为M的输入集、输出集和状态集；δ是笛卡儿积集合S×X到S的映射，称为M的下一状态函数；λ是S×X到Y的单值映射，称为M的输出函数。当δ是单值映射时，称M为确定型有限自动机；当δ是多值映射时，称M为非确定型有限自动机。超有限自动机有三种功能：作为序列转换器，将输入序列变换为输出序列；作为序列识别器，识别输入的序列是否具有某种性质；作为序列产生器，产生具有所要求性质的序列。

TCP：传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC 793 定义。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。原则上，TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。

PLC：可编程逻辑处理器（Programmable Logic Controller），是一种专门为在工业环境下应用而设计的数字运算操作电子系统。它采用一种可编程的存储器，在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令，通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程。

作为互联网信息时代的载体，网络设备在各个行业都扮演着至关重要的角色。因此，网络安全的重要性也就不言而喻。随着互联网技术在工业生产中日益普及，工业生产也不得不面临各种各样的网络安全问题。其中一种网络安全问题就是，攻击者通过入侵网络，在网络中对工业执行设备下发危险或不合规范的敏感操作，这些敏感操作大部份会直接影响甚至破坏工业生产，造成巨大经济损失。为确保工业生产免受此种攻击或威胁，在工业网络中有必要对这些工业敏感操作进行识别和处理。

现有技术中通用的工业报文识别方法，是先通过端口号或特征比对的方式来识别工业网络报文中的工业协议，再根据识别的工业协议规约对协议进行解析，然后再将解析出来的工业操作指令逐一比对，以获取是否为敏感操作。这种方式需要进行协议识别、协议解析、指令匹配三次操作，大大消耗了检测的时间，而对于工业生产网络其中一个特点就是实时性要求较高，所以现有技术对于工业敏感操作识别的防护方法会对工业生产产生较大影响，甚至因为指令执行不及时而带来生产停产等糟糕影响。因此现有技术具有一定的局限性。基于现有技术的局限性，针对识别报文中的敏感操作耗时过长的技术问题，提出本方法。

本发明提出的报文识别方法，在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果，若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。通过预先构建工业敏感操作特征库，所述工业敏感操作特征库内包含有离线状态下提取的工业协议特征信息和工业敏感操作特征信息，在获取到待识别的工业网络报文时，无需经过线上协议解析以及分析工作，而是直接将报文结合工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息进行比对检测，进而获取检测结果。省去了线上协议解析以及分析工作，提升了对报文中敏感操作识别的处理效率，为网络安全提供检测方法。

参照图1，图1为本发明报文识别装置所属终端设备的功能模块示意图。该报文识别装置可以为独立于终端设备的、能够进行报文识别的装置，其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等具有数据处理功能的智能移动终端，还可以为具有数据处理功能的固定终端设备或服务器等。

在本实施例中，该报文识别装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。

存储器130中存储有操作系统以及报文识别程序，报文识别装置可以在获取待识别的工业网络报文之后，将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果，基于所述工业敏感操作检测结果识别所述工业网络报文是否为工业敏感操作报文，获取的工业网络报文、工业敏感操作特征库、检测得到的工业敏感操作检测结果等信息存储于该存储器130中；输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等，通过通信模块140与外部设备或服务器进行通信。

其中，存储器130中的报文识别程序被处理器执行时实现以下步骤：

获取待识别的工业网络报文；

将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果；所述预设的工业敏感操作特征库包含工业协议特征信息和工业敏感操作特征信息；

进一步地，存储器130中的报文识别程序被处理器执行时还实现以下步骤：

在离线状态下，从所述预先采集的工业网络样本报文中提取工业协议特征信息和工业敏感操作报文；

从所述工业敏感操作报文中提取工业敏感操作特征信息；

做如下处理：

若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则：

记录所述工业网络报文；

基于所述工业网络报文输出告警；或

阻断所述工业网络报文的传输过程。

本实施例通过上述方案，在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果。通过预先构建工业敏感操作特征库，所述工业敏感操作特征库内包含有离线提取的工业协议特征信息和工业敏感操作特征信息，在获取到待识别的工业网络报文时，无需经过线上协议解析以及分析工作，而是直接将报文结合工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息进行比对检测，进而获取检测结果。省去了线上协议解析以及分析工作，提升了敏感操作识别的处理效率，为网络安全提供检测方法。

基于上述终端设备架构但不限于上述架构，提出本申请方法实施例。

本实施例方法的执行主体可以为一种报文识别装置或终端设备等，本实施例以报文识别装置进行举例。

参照图2，图2为本发明报文识别方法第一示例性实施例的流程示意图。所述报文识别方法包括：

步骤S10，获取待识别的工业网络报文；

随着互联网的普及，工业生产也逐渐并入互联网的快车道，但是在享受高速信息福利的同时也需要面对来自外界网络的攻击与威胁。

其中一种网络安全问题就是，攻击者通过入侵网络，在网络中对工业执行设备下发危险或不合规范的敏感操作，这些敏感操作大部份会直接影响甚至破坏工业生产，造成巨大经济损失。为确保工业生产免受此种攻击或威胁，在工业网络中有必要对这些工业敏感操作进行识别和处理。

可以在工控系统或设备所处的网络架构中建立防火墙等防护架构，所述防火墙等防护架构布设有对应的网络报文检测设备，在检测到有网络报文传输时，截取所述工业网络报文，等待识别。

步骤S20，将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果；所述预设的工业敏感操作特征库包含工业协议特征信息和工业敏感操作特征信息；

参照图3，图3为工业协议特征示意图；对于所述图3做出解释，\x06表示传输层为TCP协议；第一个\x66\x00表示协议的源端口号为0x66或任意端口号，第二个\x66\x00表示目的端口号为0x66或任意端口号；对于目的端口号后面的省略信息（..）与（…）为源地址和目的IP地址，因为环境不同会导致IP地址不同，所以在图中显示为任意地址；在源地址和目的IP地址之后的以\x03开头的后续信息就是S7报文自有特征信息。当具备这些S7报文自有特征信息的的报文进入装置后就会被识别为S7协议。

对于被识别为S7协议的报文，参照图4，图4为工业敏感操作特征示意图；所述示意图以示意利用S7协议更改PLC密码的操作指令。在开头content标识为具体的操作指令特征内容—|00 01 12 04 11 45 01 00|，offset为该指令在报文中的偏移位置为17，depth则表示操作特征长度为8。这样以来当具有所述特征的S7报文便被确定为设置PLC密码的敏感操作行为。

将所述待识别的工业网络报文进行特征提取，获取待比对检测的特征信息；所述待比对检测的特征信息包括工业协议特征信息和工业敏感操作特征信息，获取预设的工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息，将所述特征信息结合所述工业协议特征信息和所述工业敏感操作特征信息进行多线程一次性敏感操作比对检测，得到工业敏感操作检测结果。

在本实施例中，在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果，若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。通过预先构建工业敏感操作特征库，所述工业敏感操作特征库内包含有离线提取的工业协议特征信息和工业敏感操作特征信息，在获取到待识别的工业网络报文时，无需经过线上协议解析以及分析工作，而是直接将报文结合工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息进行一次性比对检测，进而获取检测结果。通过对协议、敏感操作一次性比对检测，将检测的处理时间缩短了近一半，同时省去了线上协议解析以及分析工作，提升了敏感操作识别的处理效率，为网络安全提供检测方法。

进一步地，如图2所示，所述方法还包括：

步骤S30，若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。

得到工业敏感操作检测结果，所述结果对于所述工业网络报文内是否有工业敏感操作指令的判断为是或否。

若所述工业网络报文内基于所述工业敏感操作检测结果识别为包含有工业敏感操作指令，则所述工业网络报文被识别为工业敏感操作报文；

所述被识别为工业敏感操作报文的所述工业网络报文可被如下方式进行处理：

记录所述工业网络报文；

作为一种实施方式，基于所述工业网络报文输出告警；

作为另一种实施方式，阻断所述工业网络报文的传输过程。

若所述工业网络报文内基于所述工业敏感操作检测结果识别未包含有工业敏感操作指令，则所述工业网络报文被识别正常工业网络报文；

所述被识别为正常的工业网络报文会不受到通信约束，可以正常向工业设备下发操作指令。

进一步地，参照图5，图5为本发明报文识别方法第二示例性实施例的流程示意图。基于上述图2所示的实施例，在本实施例中，步骤S10，获取待识别的工业网络报文之前，所述报文识别方法还包括：

步骤S09，在离线状态下，对预先采集的工业网络样本报文进行特征提取，建立工业敏感操作特征库。

在离线状态下，通过对预先采集的工业网络样本报文进行人工分析处理，首先将工业敏感操作报文挑拣出来，同时对工业协议自身所带有的特征提取出来。再对于工业敏感操作报文作进一步深入分析，将敏感操作相关的特征信息提取出来。最后把工业协议特征信息和工业敏感操作特征信息融合，形成最终的工业敏感操作特征库，用于报文比对使用。

在本实施例中，通过预先建立工业敏感操作特征库，所述工业敏感特征库包含工业特征信息以及敏感操作相关的特征信息，将协议解析、分析工作放到了线下处理，去掉敏感操作检测过程中的协议解析工作，省去了所述协议解析部分的处理时间，也提升了敏感操作识别的处理效率。

进一步地，参照图6，图6为本发明报文识别方法中在离线状态下，对预先采集的工业网络样本报文进行特征提取，建立工业敏感操作特征库的细化流程示意图。

本实施例基于上述图5所示的实施例，在本实施例中，上述步骤S09，在离线状态下，对预先采集的工业网络样本报文进行特征提取，建立工业敏感操作特征库的步骤包括：

步骤S091，在离线状态下，从所述预先采集的工业网络样本报文中提取工业协议特征信息和工业敏感操作报文；

在工业生产场景中，在连接到工控网络时预先通过采集工具采集大量的工业网络样本报文，并下载到本地。

在离线状态下，对下载到本地的工业网络样本报文进行人工分析处理，首先将工业敏感操作报文挑选出来，同时对于所有的工业网络样本报文中携带的工业协议进行分析，提取对应协议的对应特征信息，将所述对应协议的对应特征信息存放在开辟的存储空间中。

步骤S092，基于所述工业敏感操作报文提取工业敏感操作特征信息；

将被挑选出来的工业敏感操作报文作进一步深入分析，将报文中包含的工业敏感操作特征信息解析出来，所述特征信息可以是具体的操作指令特征内容、操作指令在报文中的偏移位置、操作特征长度等具有辨识度的信息。将所述解析得到的工业敏感操作特征信息进行存储。

步骤S093，将所述工业协议特征信息和所述工业敏感操作特征信息融合，建立工业敏感操作特征库。

提取存储于相对应空间的工业协议特征信息和工业敏感操作特征信息；

将所述数据特征信息建立为数据表，导入信息库中并批量创建脚本，建立有关工业敏感操作特征库。所述脚本可在线上结合工业网络报文时，自动引导对应的位置信息进行比对。

本实施例中，通过预先采集工业网络样本报文，在离线状态下，从所述预先采集的工业网络样本报文中提取工业协议特征信息和工业敏感操作报文，基于所述工业敏感操作报文提取工业敏感操作特征信息，将所述工业协议特征信息和所述工业敏感操作特征信息融合，建立工业敏感操作特征库。所述工业敏感特征库包含工业特征信息以及敏感操作相关的特征信息，同时在批量创建脚本后，可自动应对信息的比对。将协议解析、分析工作放到了线下处理，去掉敏感操作检测过程中的协议解析工作，省去了该部分的处理时间，也提升了敏感操作识别的处理效率。

进一步地，参照图7，图7为本发明报文识别方法第三示例性实施例的流程示意图。基于上述图2所示的实施例，在本实施例中，步骤S20，将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果包括：

步骤S201，将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果再将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果。

在本实施例中，所述报文识别方法包括：

步骤S10，获取待识别的工业网络报文；

步骤S201，将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果再将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果；

在所述预设的工业敏感操作特征库中使用超有限自动机对特征信息进行特征编译压缩；

将获得的编译压缩结果结合所述截取得到的工业网络报文进行一次性敏感操作比对检测，得到工业敏感操作检测结果。

记录所述是工业敏感操作报文的工业网络报文；

作为一种实施方式，基于所述是工业敏感操作报文的工业网络报文输出告警；

作为另一种实施方式，阻断所述是工业敏感操作报文的工业网络报文的传输过程。

所述被识别为正常的工业网络报文会不受到通信约束，可以正常向工业设备下发指令。

在本实施例中，通过使用超有限自动机对对特征信息进行加载，并将待识别的工业网络报文结合加载结果进行一次性敏感操作比对检测，将检测的处理时间大大缩短的同时提升了敏感操作识别的处理效率，为网络安全提供检测方法。

进一步地，参照图8，图8为本发明报文识别方法中将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果再将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果步骤的细化流程示意图。

本实施例基于上述图7所示的第三实施例，在本实施例中，上述步骤S201，将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果再将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果的步骤包括：

步骤S2011，将所述待识别的工业网络报文进行特征提取，获取待比对检测的特征信息；所述待比对检测的特征信息包括工业协议特征信息和工业敏感操作特征信息；

对所述待识别的工业网络报文进行工业协议特征信息和工业敏感操作特征信息解析，获取工业协议特征信息和工业敏感操作特征信息所处的报文位置。

步骤S2012，获取预设的工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息；

从所述工业敏感操作特征库提取所述工业协议特征信息和所述工业敏感操作特征信息；

作为一种实施方式，可根据设定的脚本直接获得以表形式存储于工业敏感操作特征库内的特征信息。

步骤S2013，将所述工业协议特征信息和所述工业敏感操作特征信息通过超有限自动机进行编译压缩，生成有向图；

确认所述工业协议特征信息和所述工业敏感操作特征信息的编译信息，将所述状态信息作为输入，基于有限自动机的原理进行压缩加载，得到有向图。

步骤S2014，将所述特征信息结合所述有向图进行一次性敏感操作比对检测，获得工业敏感操作检测结果。

在被输入待识别的工业网络报文时，HFA可作为序列识别器，自动识别所述工业网络报文是否具有有向图的相关特征信息，并将结果进行输出。

本实施例中，通过采用超有限自动机的加载方式，对输入的待识别的工业网络报文进行快速的识别。HFA作为一种序列识别器，可快速识别输入数据是否具有设定的特征，并将识别结果输出到交互端。提高了识别速度，提高了工业生产过程的安全防护时效性。

此外，本发明实施例还提出一种报文识别装置，所述报文识别装置包括：

获取模块，用于获取待识别的工业网络报文；

检测模块，用于将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果；

进一步地，参照图9，图9为本发明报文识别方法的原理图，通过获取模块在获取待识别的工业网络报文之后，将所述获取的工业网络报文结合预设的工业敏感操作特征库在检测模块中进行比对检测。预设的工业敏感操作特征库可参照图10，图10为本发明工业报文识别方法中工业敏感操作特征库的建立原理图。得到检测结果后，处理模块基于检测结果对所述是工业敏感操作报文的工业网络报文进行处理。

在本实施例中，在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果，若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。通过预先构建工业敏感操作特征库，所述工业敏感操作特征库内包含有离线状态下提取的工业协议特征信息和工业敏感操作特征信息，在获取到待识别的工业网络报文时，无需经过线上协议解析以及分析工作，而是直接将报文结合工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息进行比对检测，进而获取检测结果。省去了线上协议解析以及分析工作，提升了对报文中敏感操作识别的处理效率，为网络安全提供检测方法。

此外，本发明还提供一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文识别程序，所述报文识别程序被所述处理器执行时实现如上所述的报文识别方法的步骤。

由于本报文识别程序被处理器执行时，采用了前述所有实施例的全部技术方案，因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果，在此不再一一赘述。

此外，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有报文识别程序，所述报文识别程序被处理器执行时实现如上所述的报文识别方法的步骤。

相比现有技术，本发明实施例提出的一种报文识别方法、装置、终端设备以及存储介质，所述报文识别方法在建立工业敏感操作特征库的前提下，通过获取待识别的工业网络报文，将所述待识别的工业网络报文结合所述工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果，若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文，则对所述工业网络报文进行处理。通过预先构建工业敏感操作特征库，所述工业敏感操作特征库内包含有离线状态下提取的工业协议特征信息和工业敏感操作特征信息，在获取到待识别的工业网络报文时，无需经过线上协议解析以及分析工作，而是直接将报文结合工业敏感操作特征库内的工业协议特征信息和工业敏感操作特征信息进行一次性比对检测，进而获取检测结果。省去了线上协议解析以及分析工作，减少了比对的步骤，提升了对报文中敏感操作识别的处理效率，为网络安全提供检测方法。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，被控终端，或者网络设备等)执行本申请每个实施例的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种报文识别方法，其特征在于，所述报文识别方法包括以下步骤：

获取待识别的工业网络报文；

2.如权利要求1所述的报文识别方法，其特征在于，所述获取待识别的工业网络报文的步骤之前还包括：

3.如权利要求2所述的报文识别方法，其特征在于，所述在离线状态下，对预先采集的工业网络样本报文进行特征提取，建立工业敏感操作特征库的步骤包括：

从所述工业敏感操作报文中提取工业敏感操作特征信息；

4.如权利要求1所述的报文识别方法，其特征在于，所述将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果的步骤包括：

将所述待识别的工业网络报文进行特征提取，获取待比对检测的特征信息；将所述待比对检测的特征信息结合所述工业协议特征信息和所述工业敏感操作特征信息进行多线程一次性敏感操作比对检测，得到工业敏感操作检测结果；或

将所述待比对检测的特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果。

5.如权利要求4所述的报文识别方法，其特征在于，所述将所述工业协议特征信息和所述工业敏感操作特征信息使用超有限自动机进行加载，得到加载结果再将所述特征信息结合所述加载结果进行一次性敏感操作比对检测，得到工业敏感操作检测结果的步骤包括：

6.如权利要求1所述的报文识别方法，其特征在于，所述将所述工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果的步骤之后还包括：

基于所述工业网络报文输出告警；或

阻断所述工业网络报文的传输过程。

7.如权利要求1所述的报文识别方法，其特征在于，所述将所述工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检测，得到工业敏感操作检测结果的步骤之后还包括：

8.一种报文识别装置，其特征在于，所述报文识别装置包括：

获取模块，用于获取待识别的工业网络报文；

9.一种终端设备，其特征在于，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文识别程序，所述报文识别程序被所述处理器执行时实现如权利要求1-7中任一项所述的报文识别方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有报文识别程序，所述报文识别程序被处理器执行时实现如权利要求1-7中任一项所述的报文识别方法的步骤。