(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211322758.8 (22)申请日 2022.10.27 (71)申请人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 申请人 北京六方云科技有限公司 (72)发明人 田洋　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 宋朝政 (51)Int.Cl. H04L 69/22(2022.01) H04L 9/40(2022.01) (54)发明名称 报文识别方法、 装置、 终端设备以及存储介 质 (57)摘要 本发明公开了一种报文识别方法、 装置、 终 端设备以及存储介质， 所述报文识别方法涉及网 络安全领域， 所述报文识别方法在建立工业敏 感 操作特征库的前提下， 通过 获取待识别的工业网 络报文， 将所述待识别的工业网络报文结合所述 工业敏感操作特征库进行敏感操作比对检测， 得 到工业敏感操作检测结果， 若基于所述工业敏 感 操作检测结果识别所述工业网络报文是工业敏 感操作报文， 则对所述工业网络报文进行处理。 本发明解决了识别报文中的敏感操作耗时过长 的技术问题， 在兼顾工业生产安全性的前提下保 障了工业生产的正常运行。 权利要求书2页 说明书12页 附图6页 CN 115379029 A 2022.11.22 CN 115379029 A 1.一种报文识别方法， 其特 征在于， 所述报文识别方法包括以下步骤： 获取待识别的工业网络报文； 将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏感操作比对检 测， 得到工业敏感操作检测结果； 所述预设的工业敏感操作特征库包含工业协议特征信息 和工业敏感操作特 征信息。 2.如权利要求1所述的报文识别方法， 其特征在于， 所述获取待识别的工业网络报文的 步骤之前还 包括： 在离线状态下， 对预先采集的工业网络样本报文进行特征提取， 建立工业敏感操作特 征库。 3.如权利要求2所述的报文识别方法， 其特征在于， 所述在离线状态下， 对预先采集的 工业网络样本报文 进行特征提取， 建立工业敏感操作特 征库的步骤 包括： 在离线状态下， 从所述预先采集的工业网络样本报文中提取工业协议特征信 息和工业 敏感操作报文； 从所述工业敏感操作报文中提取工业敏感操作特 征信息； 将所述工业协议特征信 息和所述工业敏感操作 特征信息融合， 建立工业敏感操作 特征 库。 4.如权利要求1所述的报文识别方法， 其特征在于， 所述将所述待识别的工业网络报文 结合预设的工业敏感操作特征库进行敏感操作比对检测， 得到工业敏感操作检测结果的步 骤包括： 将所述待识别的工业网络报文进行特征提取， 获取待比对检测的特征信息； 将所述待 比对检测的特征信息结合所述工业协议特征信息和所述工业敏感操作特征信息进行多线 程一次性敏感操作比对检测， 得到 工业敏感操作检测结果； 或 将所述工业协议特征信 息和所述工业敏感操作 特征信息使用超有限自动机进行加载， 得到加载 结果； 将所述待比对检测的特征信 息结合所述加载结果进行一 次性敏感操作比对检测， 得到 工业敏感操作检测结果。 5.如权利要求4所述的报文识别方法， 其特征在于， 所述将所述工业协议特征信 息和所 述工业敏感操作特征信息使用超有限自动机进行加载， 得到加载结果再将所述特征信息结 合所述加载 结果进行一次性敏感操作比对检测， 得到 工业敏感操作检测结果的步骤 包括： 将所述工业协议特征信息和所述工业敏感操作特征信息通过超有限自动机进行编译 压缩， 生成有向图； 将所述特征信 息结合所述有向图进行一 次性敏感操作比对检测， 获得工业敏感操作检 测结果。 6.如权利要求1所述的报文识别方法， 其特征在于， 所述将所述工业网络报文结合预设 的工业敏感操作特征库进 行敏感操作比对检测， 得到工业敏感操作检测结果的步骤之后还 包括： 若基于所述工业敏感操作检测结果识别所述工业网络报文是工业敏感操作报文， 则记 录所述工业网络报文； 基于所述工业网络报文输出告警； 或权　利　要　求　书 1/2 页 2 CN 115379029 A 2阻断所述工业网络报文的传输过程。 7.如权利要求1所述的报文识别方法， 其特征在于， 所述将所述工业网络报文结合预设 的工业敏感操作特征库进 行敏感操作比对检测， 得到工业敏感操作检测结果的步骤之后还 包括： 若基于所述工业敏感操作检测结果识别所述工业网络报文不是工业敏感操作报文， 则 对所述工业网络报文不作传输约束。 8.一种报文识别装置， 其特 征在于， 所述报文识别装置包括： 获取模块， 用于获取待识别的工业网络报文； 检测模块， 用于将所述待识别的工业网络报文结合预设的工业敏感操作特征库进行敏 感操作比对检测， 得到 工业敏感操作检测结果。 9.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的报文识别程序， 所述报文识别程序被所述处理器执行时实现 如权利要求1 ‑7中任一项所述的报文识别方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有报文识 别程序， 所述报文识别程序被处理器执行时实现如权利要求1 ‑7中任一项所述的报文识别 方法的步骤。权　利　要　求　书 2/2 页 3 CN 115379029 A 3