本發明實施例提供一種檢測工控協議是否存在異常的方法及裝置，所述方法包括：獲取工控協議的通信報文；所述通信報文是具有相同報文長度、且達到預設數量的多個通信報文；對所有通信報文進行多序列比對，并根據多序列比對結果，獲取序列內容可變的目標字段；確定所有目標字段分別對應的分類類型，對每類目標字段分別進行語義推斷，將每類語義推斷結果與預設異常檢測規則進行比對，并根據語義推斷比對結果確定所述工控協議是否存在異常；其中，所述分類類型是基于報文格式進行劃分的，所述預設異常檢測規則包括與預設分類類型對應的預設語義約束關系。所述裝置執行上述方法。本發明實施例提供的方法及裝置，能夠全面地檢測工控協議是否存在異常。

技術領域

本發明涉及工控網絡安全技術領域，尤其涉及一種檢測工控協議是否存在異常的方法及裝置。

背景技術

隨著工控技術的發展，工控網絡極易發生高危安全風險，因此，對這些高危安全風險進行識別顯得尤為重要。

現有技術通常針對工控環境或工控協議進行高危安全風險的識別，對于工控環境，通常是基于工控行業的應用場景來實現的，例如針對石化行業有對應的高危安全風險的識別方法，由于該識別方法與石化行業應用場景密切相關，因此，無法將該方法應用到其他工控行業的應用場景，即具有較大的應用局限性，對于工控協議，通過提取工控行為特征，從而生成檢測規則，例如，對于Modbus請求報文，必須有響應報文，但是，該檢測方法無法全面、準確地檢測到潛在的工控網絡安全風險。

因此，如何避免上述缺陷，準確、高效、全面地檢測工控協議是否存在異常，進而，確定是否存在工控網絡安全風險，成為亟須解決的問題。

發明內容

針對現有技術存在的問題，本發明實施例提供一種檢測工控協議是否存在異常的方法及裝置。

本發明實施例提供一種檢測工控協議是否存在異常的方法，包括：

獲取工控協議的通信報文；所述通信報文是具有相同報文長度、且達到預設數量的多個通信報文；

對所有通信報文進行多序列比對，并根據多序列比對結果，獲取序列內容可變的目標字段；

確定所有目標字段分別對應的分類類型，對每類目標字段分別進行語義推斷，將每類語義推斷結果與預設異常檢測規則進行比對，并根據語義推斷比對結果確定所述工控協議是否存在異常；其中，所述分類類型是基于報文格式進行劃分的，所述預設異常檢測規則包括與預設分類類型對應的預設語義約束關系。

本發明實施例提供一種檢測工控協議是否存在異常的裝置，包括：

獲取單元，用于獲取工控協議的通信報文；所述通信報文是具有相同報文長度、且達到預設數量的多個通信報文；

對比單元，用于對所有通信報文進行多序列比對，并根據多序列比對結果，獲取序列內容可變的目標字段；

檢測單元，用于確定所有目標字段分別對應的分類類型，對每類目標字段分別進行語義推斷，將每類語義推斷結果與預設異常檢測規則進行比對，并根據語義推斷比對結果確定所述工控協議是否存在異常；其中，所述分類類型是基于報文格式進行劃分的，所述預設異常檢測規則包括與預設分類類型對應的預設語義約束關系。

本發明實施例提供一種電子設備，包括：存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，其中，

所述處理器執行所述程序時實現如下方法步驟：

獲取工控協議的通信報文；所述通信報文是具有相同報文長度、且達到預設數量的多個通信報文；

對所有通信報文進行多序列比對，并根據多序列比對結果，獲取序列內容可變的目標字段；