本申請公開一種報文檢測方法、裝置、系統及存儲介質，該方法包括：接收多路工業現場總線信號；對所述多路工業現場總線信號進行在線實時解碼得到報文數據；根據所述報文數據判斷是否存在惡意的總線網絡入侵行為。相比現有的總線診斷工具，本申請方案可以更有效的對工業現場總線網絡的報文進行檢測，提升了工業現場總線網絡的信息安全，滿足了工業現場總線網絡的安全防護需求。

技術領域

本申請涉及工業控制技術領域，尤其涉及一種報文檢測方法、裝置、系統及存儲介質。

背景技術

隨著自動化技術的發展，現場總線技術被廣泛應用于工業控制系統中，它將控制器、輸入和輸出模塊、傳感器和執行機構等現場設備相互連接，構成了現場總線控制系統。當前市場主流現場總線系統包括:Profibus、Modbus、CAN、FF等。此外，市場上還存在一些針對特定行業應用而開發的行業性較強的特殊現場總線規范，如構成列車通信網絡的WTB及MVB總線。

對于不同種類的現場總線，當前市場上已有廠商推出針對特定總線的診斷工具，例如對于市場保有量較大、應用較廣泛的Profibus-DP總線的診斷工具等。這些診斷工具通常由PC端診斷程序和專用總線接口模塊組成。總線接口模塊一端接入現場總線系統，一端通過USB端口與PC機相連，完成從總線上獲取報文，并將總線報文通過 USB端口傳送給PC端診斷程序。最后由運行在PC上的診斷程序完成總線診斷功能。

由于功能定位等因素，現有技術的主要局限在于：

1.總線診斷工具僅適用于檢測工業現場總線運行中的常規通信錯誤，而不能監測識別惡意的總線入侵行為并報警；

2.總線診斷工具一般是針對某種特定的現場總線而設計，無法同時監測多種現場總線；

3.總線診斷工具通常采用“實時獲取總線報文-離線解析”的方式完成診斷功能，無法反應現場總線的實時運行狀態；

4.診斷工具通常僅在需要分析已發生的總線錯誤時使用，而錯誤的重現通常是困難的。當總線網絡發生不可重現的瞬時錯誤時，診斷工具所能起到作用將變得微乎其微；

5.惡意的總線入侵行為通常是不可預知、不可復現的，因而試圖通過診斷工具發現惡意入侵行為的方法是不可行的。

綜上所述，現有的總線診斷技術并不能適用于工業現場總線網絡的信息安全防護。

發明內容

本申請的主要目的在于提供一種適用于工業現場總線網絡的報文檢測方法、裝置、系統及存儲介質，旨在提升工業現場總線網絡的信息安全。

為實現上述目的，本申請提供一種報文檢測方法，所述方法應用于報文檢測裝置，所述方法包括以下步驟：

接收多路工業現場總線信號；

對所述多路工業現場總線信號進行在線實時解碼得到報文數據；

根據所述報文數據判斷是否存在惡意的總線網絡入侵行為。

可選地，所述接收多路工業現場總線信號的步驟之后還包括：

對所述工業現場總線信號進行電平轉換；

所述對所述多路工業現場總線信號進行在線實時解碼得到報文數據的步驟包括：

對電平轉換后的多路工業現場總線信號進行在線實時解碼得到報文數據。

可選地，所述根據所述報文數據判斷是否存在惡意的總線網絡入侵行為的步驟包括：

采用深度報文檢測技術，將所述報文數據與預設的惡意特征庫比對；

根據比對結果檢測是否存在隱藏在所述報文數據中的惡意代碼攻擊。

可選地，所述方法還包括：

在檢測到所述報文數據存在惡意的總線網絡入侵行為時進行報警。

可選地，所述在檢測到所述報文數據存在惡意的總線網絡入侵行為時進行報警的步驟包括：