一种报文拦截方法、装置、设备及介质与流程

1.本公开涉及工业控制技术领域，尤其涉及一种报文拦截方法、装置、设备及介质。


背景技术：

2.工控网络是由工业自动化设备组成的网络，具有专有的通信协议和机制，对网络实时性要求较高。
3.相关技术中，工控防火墙一般通过白名单来控制工控报文的放过和拦截，而白名单通常是由用户手动配置或由学习模型生成的模板转换来的，通过白名单能够有效拦截非法的工控报文。但是上述方式的拦截效果有限，当攻击者对合法的工控报文进行复制回放时，会扰乱工控报文的正常频率，导致数据传输不及时、连接验证中断等问题。


技术实现要素：

4.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种报文拦截方法、装置、设备及介质。
5.本公开实施例提供了一种报文拦截方法，所述方法包括：
6.获取目标工控报文的实时数量；
7.基于预设白名单提取所述目标工控报文对应的目标频率阈值和目标生效时间段；
8.若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值，则拦截所述目标工控报文。
9.本公开实施例还提供了一种报文拦截装置，所述装置包括：
10.获取模块，获取目标工控报文的实时数量；
11.提取模块，用于基于预设白名单提取所述目标工控报文对应的目标频率阈值和目标生效时间段；
12.拦截模块，用于若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值，则拦截所述目标工控报文。
13.本公开实施例还提供了一种电子设备，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现如本公开实施例提供的报文拦截方法。
14.本公开实施例还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行如本公开实施例提供的报文拦截方法。
15.本公开实施例提供的技术方案与现有技术相比具有如下优点：本公开实施例提供的报文拦截方案，获取目标工控报文的实时数量；提取目标工控报文对应的目标频率阈值和目标生效时间段；若当前时刻在目标生效时间段内并且根据实时数量确定的实时通过频率大于目标频率阈值，则拦截目标工控报文。采用上述技术方案，通过在白名单中增加工控报文的频率阈值和生效时间段，以在根据工控报文的实时数量确定的实时通过频率超过该频率阈值时对工控报文进行拦截，实现对工控报文的频率控制，防止伪装成合法工控报文
的非法工控报文通过，避免对工控报文频率的扰乱，进而避免造成数据传输不及时、连接验证中断等问题。
附图说明
16.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
17.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
18.图1为本公开实施例提供的一种报文拦截方法的流程示意图；
19.图2为本公开实施例提供的另一种报文拦截方法的流程示意图；
20.图3为本公开实施例提供的一种频率预测模型的构建过程的示意图；
21.图4为本公开实施例提供的再一种报文拦截方法的流程示意图；
22.图5为本公开实施例提供的一种报文拦截装置的结构示意图；
23.图6为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
24.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
25.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
26.为了解决相关技术中工控报文的拦截控制的问题，本公开实施例提供了一种报文拦截方法，下面结合具体的实施例对该方法进行介绍。
27.图1为本公开实施例提供的一种报文拦截方法的流程示意图，该方法可以由报文拦截装置执行，其中该装置可以采用软件和/或硬件实现，一般可集成在电子设备中。如图1所示，该方法包括：
28.步骤101、获取目标工控报文的实时数量。
29.其中，工控报文可以是基于单个工控协议传输的报文数据，工控协议可以包括多种，具体不限，并且不同工控协议对应不同的功能码。目标工控报文可以是当前正在处理的工控报文，例如可以是设备当前接收到的一个或多个工控报文。
30.报文拦截装置可以开启防护模式，之后可以在统计接收到的目标工控报文时的实时数量，每接收到即可将实时数量加1。
31.步骤102、提取目标工控报文对应的目标频率阈值和目标生效时间段。
32.其中，目标频率阈值可以是为目标工控报文设置的通过频率的最大值，目标生效时间段可以是目标频率阈值的生效时间的范围，可以包括目标生效开始时间和目标生效结束时间，具体的时间段大小可以根据实际情况设置，例如目标生效时间段的时间段大小为1小时，目标生效开始时间可以为8点，目标生效结束时间可以为9点，超过该目标生效时间段
则该目标频率阈值无效，具体可以从预设白名单中提取得到，也可以根据实际情况设置。
33.在一些实施例中，提取目标工控报文对应的目标频率阈值和目标生效时间段，包括：基于目标工控报文的目标功能码在预设白名单中提取对应的目标频率阈值和目标生效时间段。
34.其中，预设白名单可以包括预先为各功能码的工控报文设置的通过频率的阈值以及生效时间段，通过该预设白名单可以实现对工控报文的频率控制。报文拦截装置在获取目标工控报文的实时数量之后，可以基于该目标工控报文的功能码在预设白名单中进行提取，得到对应的目标频率阈值和目标生效时间段。
35.步骤103、若当前时刻在目标生效时间段内并且根据实时数量确定的实时通过频率大于目标频率阈值，则拦截目标工控报文。
36.其中，实时通过频率可以表示一个工控报文在一个时间段的通过数量的多少。
37.本公开实施例中，报文拦截装置在提取目标工控报文对应的目标频率阈值和目标生效时间段之后，可以判断当前时刻是否在目标生效时间段内，若是，则可以根据目标工控报文的实时数量确定实时通过频率，具体可以将实时数量除以目标生效时间段的结果确定为实时通过频率，并判断该实时通过频率是否大于目标频率阈值，若是，则说明需要拦截，可以拦截该目标工控报文，以实现将频率较大的工控报文拦截，并可以发送告警信息。若当前时刻不在目标生效时间段内或者实时通过频率不大于目标频率阈值，则说明不需要拦截，可以放过该目标工控报文。
38.本公开实施例提供的报文拦截方案，获取目标工控报文的实时数量；提取目标工控报文对应的目标频率阈值和目标生效时间段；若当前时刻在目标生效时间段内并且根据实时数量确定的实时通过频率大于目标频率阈值，则拦截目标工控报文。采用上述技术方案，通过增加工控报文的频率阈值和生效时间段，以在根据工控报文的实时数量确定的实时通过频率超过该频率阈值时对工控报文进行拦截，实现对工控报文的频率控制，防止伪装成合法工控报文的非法工控报文通过，进而避免造成数据传输不及时、连接验证中断等问题。
39.示例性的，图2为本公开实施例提供的另一种报文拦截方法的流程示意图，如图2所示，本公开实施例的报文拦截方法还可以包括如下步骤：
40.步骤201、构建各功能码的频率预测模型。
41.其中，功能码的数量为多个。其中，频率预测模型可以是用于对工控报文在未来的一个时间段的通过频率进行预估或预测的模型，该频率预测模型可以为深度学习模型，例如可以为自回归模型(autoregressive model，ar)。
42.在一些实施例中，构建各功能码的频率预测模型，可以包括：获取各功能码的工控报文对应的样本频率序列，其中，每个样本频率序列包括一个功能码在多个单位时间段的工控报文的通过频率，每个样本频率序列为非白噪声序列以及平稳序列；基于各功能码的工控报文对应的样本频率序列对自回归模型进行训练，得到各功能码对应的频率预测模型。
43.针对每个功能码，可以获取该功能码的工控报文的样本频率序列，样本频率序列可以基于该功能码的工控报文历史的通过频率确定，具体可以将工控报文在历史的多个单位时间段的通过频率组合确定为样本频率序列，具体单位时间段的数量根据实际情况设
置，例如可以设置为20。之后针对每个功能码，将其样本频率序列中各单位时间段作为输入，各单位时间段的通过频率作为输出，对自回归模型进行训练，得到满足收敛条件的自回归序数和相关系数，进而将训练好的包括该自回归序数和相关系数的自回归模型确定为该功能码对应的频率预测模型。
44.以一个功能码的频率预测模型的构建为例，统计该功能码在历史的第一个单位时间段内的通过频率x1，通过频率计算方式为将含有该种功能码的工控报文的数量除以单位时间段，单位时间段可以根据实际情况设置，单位为小时，以此类推总共得到历史的p个单位时间段内的频率序列{x
p
}作为样本频率序列，基于对该样本频率序列构建频率预测模型，从而预估接下来未来第t个单位时间段内携带该类功能码的工控报文的通过频率x
t
，频率预测模型的公式可以表示为：
[0045][0046]
其中p为单位时间段的总数量，aj为参数，aj＝(a1,a2,,
…
,ap)为自回归序数，若{εt}不服从n(0，σ2)，则称之为白噪声。
[0047]
可选的，针对每个样本频率序列可以进行白噪声检测和平稳性检验，将其中白噪声序列删除，并对其中非平稳序列进行平稳化处理转化为平稳序列。也即若每个样本频率序列为非白噪声序列以及平稳序列，则不进行操作；若一个样本频率序列为白噪声序列，则可以删除，若一个样本频率序列为非平稳序列，则进行平稳化处理之后再进行平稳性检验确定其为平稳序列。通过上述白噪声检测和平稳性检验可以确保全部样本频率序列均为非白噪声序列和平稳序列，避免因数据的不平稳性会带来伪回归等问题。
[0048]
可选的，上述平稳性检验可以通过daniel检验法实现，具体假设一个样本频率序列为x
t
(t＝1，2，
…
，n)，记x
t
的秩为r
t
＝r(x
t
)，考虑变量对(t,r
t
)的斯皮尔曼相关系数qs，有：构造统计量：作如下假设：h0表示x
t
平稳，对于显著水平α，由x
t
计算(t,r
t
)的斯皮尔曼相关系数qs，若则拒绝h0，认为x
tt
是非平稳的；若时，接受h0，认为x
t
是平稳的。通过daniel检验法进行平稳性校验方式能够提升计算速度，仅为示例。
[0049]
步骤201之后可以执行步骤202和步骤203，步骤202和步骤203的执行没有先后顺序。
[0050]
步骤202、基于各功能码的频率预测模型构建预设白名单。
[0051]
其中，预设白名单可以包括预先为各功能码的工控报文设置的通过频率的阈值以及生效时间段，通过该预设白名单可以实现对工控报文的频率控制。
[0052]
在一些实施例中，基于各功能码的频率预测模型构建预设白名单，可以包括：针对每个功能码，基于该功能码的频率预测模型确定工控报文在多个未来单位时间段的预测频率，将各未来单位时间段确定为生效时间段并将各未来单位时间段对应的预测频率确定为
频率阈值添加至预设白名单中。
[0053]
报文拦截装置在构建预设白名单时，针对每个功能码，可以利用上述实施例中构建的该功能码的频率预测模型，将多个未来时间段输入该频率预测模型中，得到对应的预测频率，之后可以将每个未来单位时间段确定为生效时间段并将该未来单位时间段的预测频率确定为频率阈值，将各生效时间段以及对应的频率阈值添加至预设白名单中，得到预设白名单。
[0054]
上述方案中，通过构建不同功能码的频率预测模型可以有效预测未来工控报文的通过频率，并将该预测的通过频率确定为频率阈值添加至预设白名单中，以在后续可以基于该预设白名单进行各功能码的工控报文的拦截，实现了频率控制。
[0055]
步骤203、按照预设时间间隔对各功能码的频率预测模型进行适用性校验，并对校验未通过的频率预测模型进行重新构建。
[0056]
其中，预设时间间隔可以理解为各功能码的频率预测模型的生效时间，不同功能码的该预设时间间隔可以相同，也可以不同，具体可以根据实际情况设置，例如预设时间间隔可以设置为1天，仅为示例。
[0057]
报文拦截装置可以每间隔预设时间间隔对各功能码的频率预测模型进行适用性校验，具体适用性校验的方式可以为通过一个功能码的频率预测模型预测确定一个未来时间段的预测频率，并将预测频率与实际频率进行对比，若预测频率与实际频率的偏差小于偏差阈值，则确定该频率预测模型的适用性校验通过，否则，确定该频率预测模型的适用性校验未通过；针对适用性校验未通过的频率预测模型重新利用上述步骤201的方式进行构建。
[0058]
上述方案中，通过周期性地对各功能码的频率预测模型地适用性校验，可以确保频率预测模型的可用性，进而确保预测白名单的准确性，有助于提升报文拦截控制的准确性，使得报文拦截控制实现更好的控制效果。
[0059]
接下来通过一个具体的示例对本公开实施例的报文拦截方法进行进一步说明。示例性的，图3为本公开实施例提供的一种频率预测模型的构建过程的示意图，如图3所示，一个功能码的频率预测模型的构建过程可以包括：步骤301、开启频率检测功能。步骤302、识别工控报文并统计通过频率。步骤303、生成样本频率序列。步骤304、判断样本频率序列是否为白噪声序列，若否，则执行步骤305；若是，执行步骤309。步骤305、判断样本频率序列是否是平稳序列，若是，则执行步骤306，否则，对该样本频率序列进行平文化处理之后返回执行步骤304。步骤306、基于样本频率序列训练得到频率预测模型。步骤307、通过频率预测模型确定未来单位时间段的预测频率。步骤308、将未来单位时间段确定为生效时间段并将该未来单位时间段的预测频率确定为频率阈值更新到预设白名单中。步骤309、结束。
[0060]
示例性的，图4为本公开实施例提供的再一种报文拦截方法的流程示意图，如图4所示，报文拦截过程可以包括：步骤401、开启防护模式。步骤402、工控报文的功能码命中预设白名单。步骤403、判断预设白名单中是否存在该功能码的频率阈值和生效时间段，若是，则执行步骤404，否则，执行步骤408。步骤404、当前时刻是否在该功能码的生效时间段，若是，则执行步骤405，否则，执行步骤408。步骤405、该功能码的工控报文的实时数量加1。步骤406、根据实时数量确定的实时通过频率是否大于该功能码的频率阈值，若是，则执行步骤407；否则，执行步骤408。步骤407、拦截该功能码的工控报文。并发送告警信息。步骤408、
放过该功能码的工控报文或对该功能码的工控报文进行深度检查。
[0061]
例如：工控现场采用modbus协议对电气设备进行控制，此时设备开启学习模式统计设备的modbus协议的工控报文，单位时间段为6小时，单位时间段的数量为20，根据统计得知带有功能码5:write_single_coils的工控报文的通过频率序列为{5885，5852，5816，5799，5799，5758，5728，5720，5711，5699，5963，5710，5698，5685，5672，5658，5646，5652，5710，5701}，该序列作为样本频率序列；之后通过公式计算该样本频率序列{ε
t
}服从n(0，σ2)，为非白噪声序列，并进行平稳性检验，假设通过计算得到显著水平α＝0.05的qs＝0.0892，计算统计量t＝26.95，t
α/2
(16)＝2.12，符合确定样本频率序列为非平稳性序列，之后可以对该样本频率序列做一阶差分运算，得到平稳的样本频率序列{y
t
}；之后利用该平稳的样本频率序列训练频率预测模型，确认频率预测模型阶数为2和相关参数，利用最小二乘法确定频率预测模型的公式为y
t
＝0.5881y
t-1
+0.05801y
t-2
+ε
t
，根据此公式确定多个未来到位时间段的预测频率，进而构建预设白名单；如果下一个单位时间段内通过的携带该种功能码的工控报文的实时数量对应的实时通过频率大于预设白名单中该单位时间段对应的预测频率，则拦截后续报文并告警。
[0062]
本公开实施例通过对所有经过设备的单个协议的携带功能码的工控报文进行统计，对每种功能码统计历史多个单位时间段的通过频率，设置时间段总数与时间段的大小，生成每个功能码的样本频率序列，之后根据各功能码的样本频率序列构建频率预测模型，并基于该频率预测模型预测未来的多个单位时间段的工控报文的通过频率，生成带有该预测的通过频率和生效的未来单位时间段的预设白名单；如果未来单位时间段内通过的携带该功能码的工控报文的实时数量的实时通过频率大于预测的通过频率，则拦截后续工控报文并告警。
[0063]
本公开实施例提供了一种能有效预测未来时间段内工控报文的通过频率并根据预测的通过频率构建预设白名单对工控报文进行拦截控制的方案，能够有效拦截超出预测频率的合法的工控报文，实现对工控报文的频率控制，防止伪装成合法工控报文的非法工控报文通过，进而避免造成数据传输不及时、连接验证中断等问题。
[0064]
图5为本公开实施例提供的一种报文拦截装置的结构示意图，该装置可由软件和/或硬件实现，一般可集成在电子设备中。如图5所示，该装置包括：
[0065]
获取模块501，获取目标工控报文的实时数量；
[0066]
提取模块502，用于提取所述目标工控报文对应的目标频率阈值和目标生效时间段；
[0067]
拦截模块503，用于若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值，则拦截所述目标工控报文。
[0068]
可选的，提取模块502用于：
[0069]
基于所述目标工控报文的目标功能码在预设白名单中提取对应的目标频率阈值和目标生效时间段。
[0070]
可选的，拦截模块503包括频率单元，用于：
[0071]
将所述实时数量除以所述目标生效时间段的结果确定为所述实时通过频率。
[0072]
可选的，所述装置还包括白名单模块，用于：
[0073]
构建各功能码的频率预测模型，并基于各所述功能码的频率预测模型构建所述预设白名单，其中，所述功能码的数量为多个。
[0074]
可选的，所述白名单模块包括第一单元，用于：
[0075]
获取各功能码的工控报文对应的样本频率序列，其中，每个所述样本频率序列包括一个功能码在多个单位时间段的工控报文的通过频率，每个所述样本频率序列为非白噪声序列以及平稳序列；
[0076]
基于各功能码的工控报文对应的样本频率序列对自回归模型进行训练，得到各功能码对应的频率预测模型。
[0077]
可选的，所述白名单模块包括第二单元，用于：
[0078]
针对每个功能码，基于该功能码的所述频率预测模型确定工控报文在多个未来单位时间段的预测频率，将各所述未来单位时间段确定为生效时间段并将各所述未来单位时间段对应的预测频率确定为频率阈值添加至预设白名单中。
[0079]
可选的，所述装置还包括校验模块，用于：
[0080]
按照预设时间间隔对各所述功能码的频率预测模型进行适用性校验，并对校验未通过的频率预测模型进行重新构建。
[0081]
本公开实施例所提供的报文拦截装置可执行本公开任意实施例所提供的报文拦截方法，具备执行方法相应的功能模块和有益效果。
[0082]
图6为本公开实施例提供的一种电子设备的结构示意图。如图6所示，电子设备600包括一个或多个处理器601和存储器602。
[0083]
处理器601可以是中央处理单元(cpu)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备600中的其他组件以执行期望的功能。
[0084]
存储器602可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(ram)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(rom)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器601可以运行所述程序指令，以实现上文所述的本公开的实施例的报文拦截方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
[0085]
在一个示例中，电子设备600还可以包括：输入装置603和输出装置604，这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
[0086]
此外，该输入装置603还可以包括例如键盘、鼠标等等。
[0087]
该输出装置604可以向外部输出各种信息，包括确定出的距离信息、方向信息等。该输出装置604可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
[0088]
当然，为了简化，图6中仅示出了该电子设备600中与本公开有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备600还可以包括任何其他适当的组件。
[0089]
除了上述方法和设备以外，本公开的实施例还可以是计算机程序产品，其包括计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例
所提供的报文拦截方法。
[0090]
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如java、c++等，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
[0091]
此外，本公开的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的报文拦截方法。
[0092]
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0093]
需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0094]
以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

技术特征：
1.一种报文拦截方法，其特征在于，包括：获取目标工控报文的实时数量；提取所述目标工控报文对应的目标频率阈值和目标生效时间段；若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值，则拦截所述目标工控报文。2.根据权利要求1所述的方法，其特征在于，提取所述目标工控报文对应的目标频率阈值和目标生效时间段，包括：基于所述目标工控报文的目标功能码在预设白名单中提取对应的目标频率阈值和目标生效时间段。3.根据权利要求1所述的方法，其特征在于，根据所述实时数量确定实时通过频率，包括：将所述实时数量除以所述目标生效时间段的结果确定为所述实时通过频率。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：构建各功能码的频率预测模型，并基于各所述功能码的频率预测模型构建所述预设白名单，其中，所述功能码的数量为多个。5.根据权利要求4所述的方法，其特征在于，构建各功能码的频率预测模型，包括：获取各功能码的工控报文对应的样本频率序列，其中，每个所述样本频率序列包括一个功能码在多个单位时间段的工控报文的通过频率，每个所述样本频率序列为非白噪声序列以及平稳序列；基于各功能码的工控报文对应的样本频率序列对自回归模型进行训练，得到各功能码对应的频率预测模型。6.根据权利要求4所述的方法，其特征在于，基于各功能码的所述频率预测模型构建所述预设白名单，包括：针对每个功能码，基于该功能码的所述频率预测模型确定工控报文在多个未来单位时间段的预测频率，将各所述未来单位时间段确定为生效时间段并将各所述未来单位时间段对应的预测频率确定为频率阈值添加至预设白名单中。7.根据权利要求4所述的方法，其特征在于，所述方法还包括：按照预设时间间隔对各所述功能码的频率预测模型进行适用性校验，并对校验未通过的频率预测模型进行重新构建。8.一种报文拦截装置，其特征在于，包括：获取模块，获取目标工控报文的实时数量；提取模块，用于提取所述目标工控报文对应的目标频率阈值和目标生效时间段；拦截模块，用于若当前时刻在所述目标生效时间段内并且根据所述实时数量确定的实时通过频率大于所述目标频率阈值，则拦截所述目标工控报文。9.一种电子设备，其特征在于，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述权利要求1-7中任一所述的报文拦截方法。
10.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序用于执行上述权利要求1-7中任一所述的报文拦截方法。

技术总结
本公开实施例涉及一种报文拦截方法、装置、设备及介质，其中该方法包括：获取目标工控报文的实时数量；提取目标工控报文对应的目标频率阈值和目标生效时间段；若当前时刻在目标生效时间段内并且根据实时数量确定的实时通过频率大于目标频率阈值，则拦截目标工控报文。采用上述技术方案，通过在白名单中增加工控报文的频率阈值和生效时间段，以在根据工控报文的实时数量确定的实时通过频率超过该频率阈值时对工控报文进行拦截，实现对工控报文的频率控制，防止伪装成合法工控报文的非法工控报文通过，避免对工控报文频率的扰乱，进而避免造成数据传输不及时、连接验证中断等问题。题。题。


技术研发人员：李文瑞 刘浩岩 范鸿雷
受保护的技术使用者：北京天融信网络安全技术有限公司 北京天融信科技有限公司 北京天融信软件有限公司
技术研发日：2023.06.30
技术公布日：2023/9/6