本發明提供報文獲取方法、裝置、系統及計算機存儲介質。方法包括：接收報文文件，報文文件包含實時捕獲到的OT網絡中報文；將報文文件存儲到存儲系統，在報文文件摘要中添加報文文件在存儲系統中的索引，且報文文件摘要包含每個報文的報文特征；將報文文件的摘要存到搜索引擎中；接收報文分析請求，根據請求指示的報文特征，在搜索引擎中查找對應摘要；根據摘要包含的報文文件在存儲系統中的索引，在存儲系統中查找對應報文文件，在查找到的報文文件中查找對應的報文；對查找到的報文進行解析，將解析得到的報文存到搜索引擎中，使得此后能夠根據該報文特征在搜索引擎中直接查找到對應報文。本發明可支持在運營技術OT網絡中快速定位網絡威脅。

技術領域

本發明涉及網絡威脅檢測技術領域，特別涉及報文獲取方法、裝置、系統及計算機存儲介質。

背景技術

OT(Operational Technology，運營技術)是通過直接監測以及控制企業中的物理設備、過程和事件，來檢測或觸發改變的硬件和軟件。ICS(Industrial Control System，工業控制系統)是最常見的OT系統，用于遠程監測以及控制關鍵過程和物理設備。

傳統的OT系統(如：ICS)是一個封閉的系統，專為生產率、可操作性和可靠性而設計，較少強調安全性。由于封閉系統依賴于專有網絡，因此其硬件一直被認為對網絡攻擊是免疫的。但是隨著自動化制造和過程控制技術的進步，近年來保護IACS(IndustrialAutomation and Control System，工業自動化和控制系統)計算機環境的需求大大增長。信息技術的廣泛采用例如：聯合開發和外包服務的增加、智能ICS設備的出現、與外部設備/軟件的連接、更加智能化的黑客和惡意軟件，使得這些封閉系統演變為開放系統，因此，IACS的保護需求不斷增加。

工業以太網(IE，Industrial Ethernet)在工業環境中使用以太網系列的計算機網絡技術，以實現自動化和過程控制。很多技術用來適應以太網對實時控制工業過程的需求。通過使用標準以太網，來自不同制造商的自動化系統可以實現互連。工業以太網利用以太網降低成本，提高工業控制器之間的通信性能。

隨著工業以太網與其他網絡的互聯，OT系統越來越容易受到外部的安全威脅。此外，OT系統還會受到來自內部的安全威脅。如何能夠及時有效地監測這些安全威脅是一個亟需解決的問題。

發明內容

為解決上述問題，本發明提供報文獲取方法，以實現對OT網絡中的安全威脅進行快速定位；

本發明還提供報文獲取裝置，以實現對OT網絡中的安全威脅進行快速定位；

本發明還提供報文獲取系統，以實現對OT網絡中的安全威脅進行快速定位；

本發明還提供計算機存儲介質，以實現對OT網絡中的安全威脅進行快速定位。

為了達到上述目的，本發明提供了如下技術方案：

第一方面提供一種報文獲取方法，該方法包括：

獲取一個報文文件，所述報文文件包含了實時捕獲到的運營技術OT網絡中的至少一個報文；

將所述報文文件存儲到一個存儲系統中，并在所述報文文件的摘要中添加所述報文文件在所述存儲系統中的索引，且所述報文文件的摘要包含所述報文文件的文件特征以及所述報文文件包含的至少一個報文中每一個的報文特征；

將所述報文文件的摘要存儲到一個搜索引擎中；

接收一個報文的分析請求，所述分析請求指示要獲取的報文所具有的報文特征；

根據所述分析請求指示的要獲取的報文所具有的報文特征，在所述搜索引擎中查找到對應的摘要；