一种基于报文交互行为分层审计的方法及装置

本发明公开一种基于报文交互行为分层审计的方法及装置，涉及工控安全技术领域。所述方法包括：按照报文的OSI模型进行分层；按照OSI模型分层进行审计：数据链路层和网络层只负责传送数据，不做审计及分析；对传输层和会话层的TCP报文进行审计：锁定五元组，监控五元组全生命周期，记录握手情况、数据交互情况、链接断开情况，对记录的五元组情况进行自然语言展示；针对应用层的审计：对工控协议进行分类，提取关键字段并记录关键字段交互情况，对交互过程进行自然语言展示；对传输层和应用层进行审计：将传输层和应用层的数据进行融合审计，发现异常问题。本发明可以审计整个生命周期的情况，分析出可能的异常情况。