CN106789416A - 工控系统专用协议识别方法与系统 - Google Patents

工控系统专用协议识别方法与系统 Download PDF

Info

Publication number
CN106789416A
CN106789416A CN201611144643.9A CN201611144643A CN106789416A CN 106789416 A CN106789416 A CN 106789416A CN 201611144643 A CN201611144643 A CN 201611144643A CN 106789416 A CN106789416 A CN 106789416A
Authority
CN
China
Prior art keywords
agreement
protocol
control system
industrial control
kinds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611144643.9A
Other languages
English (en)
Inventor
张环宇
殷新兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTEsoft Technology Co Ltd
Original Assignee
ZTEsoft Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTEsoft Technology Co Ltd filed Critical ZTEsoft Technology Co Ltd
Priority to CN201611144643.9A priority Critical patent/CN106789416A/zh
Publication of CN106789416A publication Critical patent/CN106789416A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种工控系统专用协议识别方法和系统,基于端口识别技术、内容识别和流量识别技术相结合的协议识别方法,尤其规定是通过数据挖掘和机器学习的方法对工控系统专用协议进行分析,建立协议特征库;在进行协议识别时,首先进行端口匹配,失败之后再进行内容匹配和流量匹配,后两种方式是根据协议特征库进行的。通过本发明的前述方法,能够高效地识别工业控制系统专用协议。同时可以不断更新特征库,提高识别准确率。

Description

工控系统专用协议识别方法与系统
技术领域
本发明涉及工业控制系统技术领域,具体而言涉及一种工业控制系统专用协议的识别。
背景技术
随着工业控制系统的迅速发展,工控系统专用协议也越来越被人们熟知。目前,协议识别技术主要有端口识别、内容识别和流量识别三种方式。端口协议识别技术是根据由IANA分配的端口号来识别协议的方法,该方法实现简单且识别效率高。但是随着网络通信的发展和大量新协议的出现,且有些协议在通信过程中采用熟知端口或采用随机端口来隐藏自己,导致端口识别技术的准确率降低。鉴于此,人们开始研究基于内容的识别技术,该技术通过分析协议的报文内容识别协议,提高了准确率。但内容识别技术是基于协议特征库的,有时由于特征库的不完善性也存在一些局限性,再者,有些协议在传输过程中进行了加密,使得协议无法识别。因此人们又提出了新的协议识别技术——流量识别技术,根据不同协议具有不同的流量(比如长度)特征来识别,可以解决内容识别技术不能识别加密流量的问题,但准确率较低。
发明内容
本发明旨在解决现有技术中的问题,提出一种工控系统专用协议识别方法,基于端口识别技术、内容识别和流量识别技术相结合的协议识别方法,尤其规定是通过数据挖掘和机器学习的方法对工控系统专用协议进行分析,建立协议特征库;在进行协议识别时,首先进行端口匹配,失败之后再进行内容匹配和流量匹配,后两种方式是根据协议特征库进行的。
根据本发明还提出一种工控系统专用协议识别系统,包括用于构建协议特征库的模块以及用于协议匹配的模块。
通过本发明的前述方法,能够高效地识别工业控制系统专用协议。同时可以不断更新特征库,提高识别准确率。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外,所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1是根据本发明某些实施例的工控系统专用协议识别系统的示意图。
图2是根据本发明某些实施例的工控系统专用协议识别系统的协议识别流程图。
具体实施方式
为了更了解本发明的技术内容,特举具体实施例并配合所附图式说明如下。
在本公开中参照附图来描述本发明的各方面,附图中示出了许多说明的实施例。本公开的实施例不必定意在包括本发明的所有方面。应当理解,上面介绍的多种构思和实施例,以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施,这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外,本发明公开的一些方面可以单独使用,或者与本发明公开的其他方面的任何适当组合来使用。
结合图1、图2所示,根据本发明的实施例,一种工控系统专用协议识别系统,包括用于构建协议特征库的模块以及用于协议匹配的模块。该系统基于端口识别技术、内容识别和流量识别技术相结合进行协议识别,尤其规定是通过数据挖掘和机器学习的方法对工控系统专用协议进行分析,建立协议特征库;在进行协议识别时,首先进行端口匹配,失败之后再进行内容匹配和流量匹配,后两种方式是根据协议特征库进行的。
结合图1所述,本发明提出的专用协议识别系统中,用于建立协议特征库模块,通过数据挖掘和机器学习的方法对工控系统专用协议进行分析,建立协议特征库。
协议匹配模块根据特征库进行协议匹配。尤其是在进行协议识别时,首先进行端口匹配,失败之后再进行内容匹配和流量匹配,后两种方式是根据协议特征库进行的。
结合图2所示,工控系统专用协议识别方法包括下述过程:
首先,对工控系统专用协议进行分析,确定合适的协议特征建立特征库。具体地,可以先选定一些可能作为特征的建立特征集合,然后对集合中的特征进行筛选,得到新的子集。在一些具体的例子中,协议特征库包括三种对应关系,一是端口号与协议的对应,二是特殊字符串与协议的对应,三是流量特征与协议的对应。
提取端口号时,先对报文进行协议分析,然后得到传输层的协议端口号。通过分析协议的报文中的特有字符串作为特征,进行内容匹配。然后再分析工控协议的流量特征,比如包传输时间、长度、包间隔时间或者带宽等特征。因此,协议特征库主要包含端口号、特有字符串和流量特征3种。
然后,对于输入的协议,根据协议特征库进行匹配。首先,进行端口号的匹配,如果成功则输出是工控协议,如果失败则进入下一步内容匹配,通过KMP算法将协议和特征库中的特有字符串进行匹配,如果成功则输出是工控协议,如果失败则进行流量匹配,将协议与特征库中的流量特征进行匹配,如果成功则输出该协议为工控协议。如果三种匹配都不能完成,则输出该协议不是工控协议。对于失败的协议,可以进行特征提取,通过机器学习的方法判断是否是新的特征,如果是则加入特征库,以保证特征库的完善。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。

Claims (8)

1.一种工控系统专用协议识别方法,其特征在于,包括下述步骤:
首先,对工控系统专用协议进行分析,建立协议特征库;
然后,对于输入的协议,根据协议特征库进行匹配。
2.根据权利要求1所述的工控系统专用协议识别方法,其特征在于,所述协议特征库包括三种对应关系和三种特征,三种对应关系包括:端口号与协议的对应;特殊字符串与协议的对应以及流量特征与协议的对应,三种特征包括端口号、特有字符串和流量特征。
3.根据权利要求1所述的工控系统专用协议识别方法,其特征在于,对于输入的协议还包括下述步骤:先提取端口号时,对报文进行协议分析,然后得到传输层的协议端口号;通过分析协议的报文中的特有字符串;分析工控协议的流量特征,包括包传输时间、长度、包间隔时间或者带宽特征。
4.根据权利要求1所述的工控系统专用协议识别方法,其特征在于,在进行特征匹配时,首先,进行端口号的匹配,如果成功则输出是工控协议,如果失败则进入下一步内容匹配,通过KMP算法将协议和协议特征库中的特有字符串进行匹配,如果成功则输出是工控协议,如果失败则进行流量匹配,将协议与特征库中的流量特征进行匹配,如果成功则输出该协议为工控协议;如果三种匹配都不能完成,则输出该协议不是工控协议。
5.根据权利要求1-4中任意一项所述的工控系统专用协议识别方法,其特征在于,所述方法更加包括:
对于失败的协议,进行端口号、特有字符串和流量特征的提取,通过机器学习的方法判断是否是新的特征,如果是则加入协议特征库,否则放弃。
6.一种工控系统专用协议识别系统,其特征在于,包括用于构建协议特征库的模块以及用于协议匹配的模块,其中:
用于构建协议特征库的模块被设置成用于对工控系统专用协议进行分析,建立协议特征库,其中协议特征库包括三种对应关系和三种特征,三种对应关系包括:端口号与协议的对应;特殊字符串与协议的对应以及流量特征与协议的对应,三种特征包括端口号、特有字符串和流量特征;
用于协议匹配的模块,被设置成用于对于输入的协议,根据协议特征库进行匹配。
7.根据权利要求6所述的工控系统专用协议识别系统,其特征在于,所述用于协议匹配的模块被设置成按照下述方式进行匹配:首先,进行端口号的匹配,如果成功则输出是工控协议,如果失败则进入下一步内容匹配,通过KMP算法将协议和协议特征库中的特有字符串进行匹配,如果成功则输出是工控协议,如果失败则进行流量匹配,将协议与特征库中的流量特征进行匹配,如果成功则输出该协议为工控协议;如果三种匹配都不能完成,则输出该协议不是工控协议。
8.根据权利要求6或7所述的工控系统专用协议识别系统,其特征在于,所述系统更加包括:
用于对于失败的协议,进行端口号、特有字符串和流量特征的提取,通过机器学习的方法判断是否是新的特征的模块,其中如果判断为是则加入协议特征库,否则放弃。
CN201611144643.9A 2016-12-13 2016-12-13 工控系统专用协议识别方法与系统 Pending CN106789416A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611144643.9A CN106789416A (zh) 2016-12-13 2016-12-13 工控系统专用协议识别方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611144643.9A CN106789416A (zh) 2016-12-13 2016-12-13 工控系统专用协议识别方法与系统

Publications (1)

Publication Number Publication Date
CN106789416A true CN106789416A (zh) 2017-05-31

Family

ID=58880648

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611144643.9A Pending CN106789416A (zh) 2016-12-13 2016-12-13 工控系统专用协议识别方法与系统

Country Status (1)

Country Link
CN (1) CN106789416A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110061931A (zh) * 2019-04-23 2019-07-26 广东技术师范大学 工控协议的聚类方法、装置、系统及计算机存储介质
CN111506599A (zh) * 2020-04-20 2020-08-07 广州大学 基于规则匹配和深度学习的工控设备识别方法及系统
CN112099867A (zh) * 2020-08-17 2020-12-18 北京天元特通科技有限公司 一种支持在线动态更新的app识别框架
CN114189570A (zh) * 2021-12-07 2022-03-15 北京泰策科技有限公司 一种对工业协议进行深度解析的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730175B1 (en) * 2003-05-12 2010-06-01 Sourcefire, Inc. Systems and methods for identifying the services of a network
CN101741744A (zh) * 2009-12-17 2010-06-16 东南大学 一种网络流量识别方法
CN102546625A (zh) * 2011-12-31 2012-07-04 深圳市永达电子股份有限公司 半监督聚类集成的协议识别系统
CN102801634A (zh) * 2012-08-29 2012-11-28 珠海网博信息科技有限公司 一种三位一体网络流量智能识别方法
CN105516173A (zh) * 2015-12-25 2016-04-20 北京中安智达科技有限公司 一种网络应用层协议识别的方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730175B1 (en) * 2003-05-12 2010-06-01 Sourcefire, Inc. Systems and methods for identifying the services of a network
CN101741744A (zh) * 2009-12-17 2010-06-16 东南大学 一种网络流量识别方法
CN102546625A (zh) * 2011-12-31 2012-07-04 深圳市永达电子股份有限公司 半监督聚类集成的协议识别系统
CN102801634A (zh) * 2012-08-29 2012-11-28 珠海网博信息科技有限公司 一种三位一体网络流量智能识别方法
CN105516173A (zh) * 2015-12-25 2016-04-20 北京中安智达科技有限公司 一种网络应用层协议识别的方法和系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110061931A (zh) * 2019-04-23 2019-07-26 广东技术师范大学 工控协议的聚类方法、装置、系统及计算机存储介质
CN110061931B (zh) * 2019-04-23 2022-08-30 广东技术师范大学 工控协议的聚类方法、装置、系统及计算机存储介质
CN111506599A (zh) * 2020-04-20 2020-08-07 广州大学 基于规则匹配和深度学习的工控设备识别方法及系统
CN111506599B (zh) * 2020-04-20 2023-07-07 广州大学 基于规则匹配和深度学习的工控设备识别方法及系统
CN112099867A (zh) * 2020-08-17 2020-12-18 北京天元特通科技有限公司 一种支持在线动态更新的app识别框架
CN114189570A (zh) * 2021-12-07 2022-03-15 北京泰策科技有限公司 一种对工业协议进行深度解析的方法
CN114189570B (zh) * 2021-12-07 2023-10-20 北京泰策科技有限公司 一种对工业协议进行深度解析的方法

Similar Documents

Publication Publication Date Title
CN101741744B (zh) 一种网络流量识别方法
CN106789416A (zh) 工控系统专用协议识别方法与系统
CN109995601B (zh) 一种网络流量识别方法及装置
CN111144470B (zh) 一种基于深度自编码器的未知网络流量识别方法及系统
CN100429617C (zh) 一种自动协议识别方法及系统
CN111191767B (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN104320304B (zh) 一种易扩展的多方式融合的核心网用户流量应用识别方法
CN107819646A (zh) 一种分布式传输的网络流量分类系统和方法
WO2011050545A1 (zh) 一种未知应用层协议自动分析方法
CN113179223A (zh) 一种基于深度学习和序列化特征的网络应用识别方法及系统
CN105847078B (zh) 一种基于dpi自学习机制的http流量精细化识别方法
CN106549817A (zh) 报文识别方法及装置
CN106875007A (zh) 用于语音欺骗检测的基于卷积长短期记忆端对端深度神经网络
CN107465643A (zh) 一种深度学习的网络流量分类方法
CN109831422A (zh) 一种基于端到端序列网络的加密流量分类方法
CN111314279B (zh) 一种基于网络流量的未知协议逆向方法
CN104468252A (zh) 一种基于正迁移学习的智能网络业务识别方法
CN109299742A (zh) 自动发现未知网络流的方法、装置、设备及存储介质
CN105302885A (zh) 一种全文数据的提取方法和装置
CN110019519A (zh) 数据处理方法、装置、存储介质和电子装置
CN105681389A (zh) 一种基于Skype不同功能通信流的识别方法及装置
CN105183780A (zh) 基于改进agnes算法的协议分类方法
CN111224998B (zh) 一种基于极限学习机的僵尸网络识别方法
CN107707549A (zh) 一种自动提取应用特征的装置及方法
CN108924090A (zh) 一种基于卷积神经网络的shadowsocks流量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 210012 room 627, Ning Shuang Road, Yuhuatai District, Nanjing, Jiangsu, 627

Applicant after: Ho whale cloud computing Polytron Technologies Inc

Address before: 210012 No. 68 Bauhinia Road, Yuhuatai District, Jiangsu, Nanjing

Applicant before: ZTEsoft Technology Co., Ltd.

CB02 Change of applicant information
RJ01 Rejection of invention patent application after publication

Application publication date: 20170531

RJ01 Rejection of invention patent application after publication