用于识别网络流量类型的方法、装置及存储介质与流程

本申请涉及网络安全，具体地涉及一种用于识别网络流量类型的方法、装置、存储介质及计算机程序产品。

背景技术：

1、目前，随着信息化和工业化深度融合的快速发展，工业控制系统越来越多地采用标准、开放的通信协议，通信协议所存在的安全隐患日益突出，容易受到网络攻击例如数据的篡改、窃取、丢失等威胁。在现有技术中，对于异常报文只是对报文的丢失、重复、乱序等问题进行检测，而无法对报文中的数据信息进行监控，且无法判断报文是否遭受非法访问、数据窃取等安全威胁。而如果存在非法的外部设备对可编程控制器进行操作和攻击，可能会导致无法及时发现问题，现场设备受损严重。

技术实现思路

1、本申请实施例的目的是提供一种用于识别网络流量类型的方法、装置、存储介质及计算机程序产品，用以解决现有技术中无法对报文的数据信息进行监控和识别，而受到非法外部设备的攻击威胁的技术问题。

2、为了实现上述目的，本申请第一方面提供一种用于识别网络流量类型的方法，方法包括：

3、获取第一设备向第二设备发起访问请求所传输的网络流量；

4、在网络流量对应的通信协议为目标通信协议的情况下，对网络流量包括的数据帧的头部信息进行解析，以确定头部信息包括的报文类型；

5、确定报文类型对应的哈希值；

6、在查询到预设哈希表中存在哈希值的情况下，对数据帧的数据信息进行解析，预设哈希表包括的预设哈希值是根据允许访问的预设报文类型计算得到的；

7、将数据信息与安全规则列表进行匹配，以根据匹配结果确定网络流量是异常流量或正常流量。

8、在本申请的实施例中，方法还包括：对数据帧的头部信息进行解析之前，提取网络流量的报文标志头和报文总长度；在报文标志头和报文总长度符合目标通信协议的规定的情况下，确定网络流量对应的协议为目标通信协议。

9、在本申请的实施例中，安全规则列表包括允许的预设数据操作类型、预设内存类型和操作数据范围，数据信息包括的数据操作类型、内存类型和操作数据值，将数据信息与安全规则列表进行匹配，以根据匹配结果确定网络流量是异常流量或正常流量包括：在数据操作类型与预设数据操作类型相同、内存类型与预设内存类型相同，且数据操作值处于操作数据范围的情况下，确定网络流量是正常流量，并生成审计日志；在存在数据操作类型与预设数据操作类型不相同、内存类型与预设内存类型不相同、数据操作值不处于操作数据范围中的任意一者的情况下，确定网络流量是异常流量，并生成第一告警日志。

10、在本申请的实施例中，报文类型包括报文交互类型和报文操作类型，确定报文类型对应的哈希值包括：确定报文交互类型对应的第一标识，以及报文操作类型对应的标识；基于预设哈希函数根据第一标识和第二标识确定报文类型对应的哈希值。

11、在本申请的实施例中，允许访问的预设报文类型包括预设报文交互类型和预设报文操作类型，预设报文交互类型包括预设请求操作、预设响应操作以及预设填充操作。

12、在本申请的实施例中，第三设备旁挂于交换机，获取第一设备向第二设备发起访问请求所传输的网络流量包括：在第一设备向第二设备发起访问请求时，第三设备通过交换机的镜像端口获取第一设备向第二设备传输的网络流量。

13、在本申请的实施例中，方法还包括：在网络流量对应的通信协议不为目标通信协议的情况下，停止对网络流量进行处理；在确定预设哈希表中未存在哈希值的情况下，确定网络流量是异常流量，并生成第二告警日志。

14、本申请第二方面提供一种用于识别网络流量类型的装置，其特征在于，包括：

15、存储器，被配置成存储指令；以及

16、处理器，被配置成从存储器调用指令以及在执行指令时能够实现根据上述的用于识别网络流量类型的方法。

17、本申请第三方面提供一种机器可读存储介质，其特征在于，该机器可读存储介质上存储有指令，该指令用于使得机器执行根据上述的用于识别网络流量类型的方法。

18、本申请第四方面提供一种计算机程序产品，包括计算机程序，其特征在于，计算机程序在被处理器执行时实现根据上述的用于识别网络流量类型的方法。

19、通过上述技术方案，通过获取第一设备向第二设备发起访问请求所传输的网络流量；在网络流量对应的通信协议为目标通信协议的情况下，对网络流量包括的数据帧的头部信息进行解析，以确定头部信息包括的报文类型；确定报文类型对应的哈希值；在查询到预设哈希表中存在哈希值的情况下，对数据帧的数据信息进行解析，预设哈希表包括的预设哈希值是根据允许访问的预设报文类型计算得到的；将数据信息与安全规则列表进行匹配，以根据匹配结果确定网络流量是异常流量或正常流量。上述方案，可以帮助用户识别和预防潜在的安全风险和威胁，提高网络系统的安全性和稳定性。

20、本申请实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。

技术特征：

1.一种用于识别网络流量类型的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的用于识别网络流量类型的方法，其特征在于，所述方法还包括：

3.根据权利要求1所述的用于识别网络流量类型的方法，其特征在于，所述安全规则列表包括允许的预设数据操作类型、预设内存类型和操作数据范围，所述数据信息包括的数据操作类型、内存类型和操作数据值，将所述数据信息与安全规则列表进行匹配，以根据匹配结果确定所述网络流量是异常流量或正常流量包括：

4.根据权利要求1所述的用于识别网络流量类型的方法，其特征在于，所述报文类型包括报文交互类型和报文操作类型，所述确定所述报文类型对应的哈希值包括：

5.根据权利要求1所述的用于识别网络流量类型的方法，其特征在于，所述允许访问的预设报文类型包括预设报文交互类型和预设报文操作类型，所述预设报文交互类型包括预设请求操作、预设响应操作以及预设填充操作。

6.根据权利要求1中所述的用于识别网络流量类型的方法，其特征在于，第三设备旁挂于交换机，其特征在于，获取第一设备向第二设备发起访问请求所传输的网络流量包括：

7.根据权利要求1至6中任意一项所述的用于识别网络流量类型的方法，其特征在于，所述方法还包括：

8.一种用于识别网络流量类型的装置，其特征在于，包括：

9.一种机器可读存储介质，其特征在于，该机器可读存储介质上存储有指令，该指令用于使得机器执行根据权利要求1至7中任一项所述的用于识别网络流量类型的方法。

10.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序在被处理器执行时实现根据权利要求1至7中任一项所述的用于识别网络流量类型的方法。

技术总结本申请公开了一种用于识别网络流量类型的方法、装置及存储介质，获取第一设备向第二设备发起访问请求所传输的网络流量；在网络流量对应的通信协议为目标通信协议的情况下，对网络流量包括的数据帧的头部信息进行解析，以确定头部信息包括的报文类型；确定报文类型对应的哈希值；在查询到预设哈希表中存在哈希值的情况下，对数据帧的数据信息进行解析，预设哈希表包括的预设哈希值是根据允许访问的预设报文类型计算得到的；将数据信息与安全规则列表进行匹配，以根据匹配结果确定网络流量是异常流量或正常流量。上述方案，可以帮助用户识别和预防潜在的安全风险和威胁，提高网络系统的安全性和稳定性。技术研发人员：刘金河受保护的技术使用者：湖北天融信网络安全技术有限公司技术研发日：技术公布日：2024/9/2