[发明专利]工业控制系统中控制报文的检测方法及装置

权利要求书

1.一种工业控制系统中控制报文的检测方法，其特征在于，所述方法包括：

获取满足当前业务要求的至少一个模拟工控操作指令对应的控制指令参数；

根据配置的通信协议参数、通信环境参数与最大存在时长，以及获取的至少一个控制指令参数，生成所述至少一个控制指令参数对应的报文规则，并存储在报文规则库，具体包括：对所述至少一个控制指令参数中的控制指令参数分配相应的通信协议参数、通信环境参数与最大存在时长，得到所述至少一个控制指令参数对应的至少一条报文规则；

接收目标监控主机在所述当前业务要求下发送的当前实际控制报文，所述控制报文是所述工业控制系统的专属应用协议规定的报文；

采用预设报文推演规则，对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演，获取至少一个待匹配报文，其中，所述报文可变信息包括报文标识和报文序列号；

根据所述至少一个待匹配报文与所述当前实际控制报文的匹配检测结果，确定所述当前实际控制报文是否为正常控制报文。

2.如权利要求1所述的方法，其特征在于，采用预设报文推演规则，对所述至少一个控制指令参数对应的报文规则和存储的上一次过程监控层中目标监控主机发送的实际控制报文的报文可变信息进行推演，获取至少一个待匹配报文，包括：

获取所述通信协议参数对应的报文结构，以及存储的报文可变信息对应的当前报文可变信息；

根据所述预设报文推演规则，对所述报文结构、所述当前报文可变信息以及所述通信环境参数进行报文推演，获取至少一个待匹配报文。

3.如权利要求1所述的方法，其特征在于，确定所述当前实际控制报文是否为正常控制报文之前，所述方法还包括：

将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测。

4.如权利要求3所述的方法，其特征在于，将所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容进行匹配检测，包括：

若所述至少一个待匹配报文中存在一个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容均匹配成功，则确定所述当前实际控制报文为正常控制报文；

若所述至少一个待匹配报文中每个待匹配报文的各个报文字段及相应报文字段内容与所述当前实际控制报文的各个报文字段及相应报文字段内容中均存在匹配失败的报文字段或报文字段内容，则确定所述当前实际控制报文为异常控制报文。

5.如权利要求4所述的方法，其特征在于，确定所述当前实际控制报文为正常控制报文之后，所述方法还包括：

删除所述报文规则库中与所述当前实际控制报文匹配成功的待匹配报文对应的报文规则。

6.如权利要求4所述的方法，其特征在于，所述方法还包括：

若所述异常控制报文与预设的异常特征信息匹配成功，则根据所述预设的异常特征信息对应的异常类型，确定所述异常控制报文的异常类型；

若所述异常控制报文与预设的异常特征信息匹配失败，则确定所述异常控制报文的异常类型为未知异常类型；

生成第一告警信息，所述第一告警信息包括所述异常控制报文的异常类型或所述异常控制报文为未知异常类型的信息。

7.如权利要求1所述的方法，其特征在于，所述方法还包括：

若检测到所述报文规则库中的所述至少一个控制指令参数对应的报文规则的存在时间大于所述最大存在时长，则将所述报文规则确定为异常报文规则，并在所述报文规则库中删除所述报文规则。

8.如权利要求7所述的方法，其特征在于，所述方法还包括：

生成第二告警信息，所述第二告警信息包括所述报文规则为异常报文规则的信息。