本發明公開了報文識別方法、系統、裝置及存儲介質，涉及計算機領域。該方法包括：根據預設的工序定義報文執行的業務邏輯；獲取報文組合，報文組合包含至少兩個互相關聯的報文；對報文組合中的全部報文進行多包關聯分析，將報文組合還原成應用層協議；判斷應用層協議是否匹配業務邏輯，如果不匹配，則判定報文組合非法，阻斷報文組合。本發明能夠實現對報文的業務邏輯進行識別，在工控網絡環境中，業務邏輯相對固定，因此，本發明可以適用于工控網絡環境，能夠識別并阻斷所有不屬于正常業務的數據包和數據流，并能識別并阻斷單包合法，業務邏輯非法的報文，或者單包組合非法的報文等。

技術領域

本發明涉及計算機領域，尤其涉及報文識別方法、系統、裝置及存儲介質。

背景技術

目前的非法報文識別，主要是基于五元組的方式過濾非法報文，或者使用深度包解析的方式，基于工控協議內部字段對報文進行過濾，或者通過自學習的方式，自動建模添加位置策略。

然而，上述方式只能對非法報文進行識別，不能對報文合法，但業務邏輯非法的報文進行識別和阻斷。

發明內容

本發明所要解決的技術問題是針對現有技術的不足，提供報文識別方法、系統、裝置及存儲介質。

本發明解決上述技術問題的技術方案如下：

一種報文識別方法，包括：

根據預設的工序定義報文執行的業務邏輯；

獲取報文組合，所述報文組合包含至少兩個互相關聯的報文；

對所述報文組合中的全部報文進行多包關聯分析，將所述報文組合還原成應用層協議；

判斷所述應用層協議是否匹配所述業務邏輯，如果不匹配，則判定所述報文組合非法，阻斷所述報文組合。

本發明的有益效果是：本發明提供的報文識別方法，通過定義報文的業務邏輯，然而對報文進行多包關聯分析，與業務邏輯進行匹配，能夠實現對報文的業務邏輯進行識別，在工控網絡環境中，業務邏輯相對固定，因此，本發明可以適用于工控網絡環境，能夠識別并阻斷所有不屬于正常業務的數據包和數據流，并能識別并阻斷單包合法，業務邏輯非法的報文，或者單包組合非法的報文等，提高了工控網絡環境下報文識別的精確度和實用性。

本發明解決上述技術問題的另一種技術方案如下：

一種報文識別系統，包括：

定義單元，用于根據預設的工序定義報文執行的業務邏輯；

獲取單元，用于獲取報文組合，所述報文組合包含至少兩個互相關聯的報文；

還原單元，用于對所述報文組合中的全部報文進行多包關聯分析，將所述報文組合還原成應用層協議；

判斷單元，用于判斷所述應用層協議是否匹配所述業務邏輯，如果不匹配，則判定所述報文組合非法，阻斷所述報文組合。

本發明解決上述技術問題的另一種技術方案如下：

一種存儲介質，所述存儲介質中存儲有指令，當計算機讀取所述指令時，使所述計算機執行如上述技術方案所述的報文識別方法。

本發明解決上述技術問題的另一種技術方案如下：

一種報文識別裝置，包括：

存儲器，用于存儲計算機程序；

處理器，用于執行所述計算機程序，實現如上述技術方案所述的報文識別方法。

本發明附加的方面的優點將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發明實踐了解到。

附圖說明