CN110061931B - 工控协议的聚类方法、装置、系统及计算机存储介质 - Google Patents

工控协议的聚类方法、装置、系统及计算机存储介质 Download PDF

Info

Publication number
CN110061931B
CN110061931B CN201910332573.7A CN201910332573A CN110061931B CN 110061931 B CN110061931 B CN 110061931B CN 201910332573 A CN201910332573 A CN 201910332573A CN 110061931 B CN110061931 B CN 110061931B
Authority
CN
China
Prior art keywords
industrial control
control protocol
flow
clustering
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910332573.7A
Other languages
English (en)
Other versions
CN110061931A (zh
Inventor
蔡君
钟纬键
罗建桢
魏文国
赵慧民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Polytechnic Normal University
Original Assignee
Guangdong Polytechnic Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Polytechnic Normal University filed Critical Guangdong Polytechnic Normal University
Priority to CN201910332573.7A priority Critical patent/CN110061931B/zh
Publication of CN110061931A publication Critical patent/CN110061931A/zh
Application granted granted Critical
Publication of CN110061931B publication Critical patent/CN110061931B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Communication Control (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种工控协议的聚类方法,所述工控协议的聚类方法包括步骤:在获取到工控协议流量时,获取所述工控协议流量的维度特征,所述维度特征包括时间特征、空间特征、流特征以及报文特征;根据所述维度特征对所述工控协议流量进行聚类分析;解析聚类分析后的所述工控协议流量。本发明还公开了一种工控协议的聚类装置、系统及计算机存储介质,通过工控协议流量的多种特征进行聚类分析,并解析聚类后的工控协议流量,提高了在处理大量未知工控协议流量时的解析效率。

Description

工控协议的聚类方法、装置、系统及计算机存储介质
技术领域
本发明涉及工控协议技术领域,尤其涉及工控协议的聚类方法、装置、系统及计算机存储介质。
背景技术
工控协议是指工业控制网络中现场设备、控制器、操作员站、通信和应用等服务器、工程师站之间数据通信的规定,与系统功能和网络架构密切相关,对成套设施级可编程逻辑控制器(Programmable Logic Controller,PLC)、厂站级分布式控制系统(Distributed Control System,DCS)、广域的数据采集和监控系统(Supervisory Controland Data Acquisition,SCADA),分别发挥提供核心基础能力的作用。
各工控厂商或个人出于提供个性化功能、优化通信性能、简化协议实现的复杂度等因素的考虑,导致工控行业中有大量的未知工控协议存在,为了保证工控网络的安全,需要对这些未知工控协议流量进行解析,而目前解析主要通过人工逆向的方式来实现的,面对大量未知工控协议流量时解析效率较低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种工控协议的聚类方法、装置、系统及计算机存储介质,旨在通过对未知工控协议流量进行基于限制条件的聚类分析,将不同工控协议的流量划分为不同的类别,再对同一类流量进行解析,从而提高未知工控协议的解析效率。
为实现上述目的,本发明提供一种工控协议的聚类方法,所述工控协议的聚类方法包括步骤:
在获取到工控协议流量时,获取所述工控协议流量的维度特征,所述维度特征包括时间特征、空间特征、流特征以及报文特征;
根据所述维度特征对所述工控协议流量进行聚类分析;
解析聚类分析后的所述工控协议流量。
可选地,所述获取所述工控协议流量的维度特征的步骤包括:
根据时间相关性获取所述时间特征;
根据空间相关性获取所述空间特征;
根据流量统计信息获取所述流特征;
根据报文信息获取所述报文特征。
可选地,所述根据时间相关性获取所述时间特征的步骤包括:
识别出现在同一个事务中的多个所述工控协议流量;
获取所述工控协议流量在预设时间段内出现的次数;
在所述次数大于预设阈值时,对多个所述工控协议流量标记对应的所述时间特征。
可选地,所述根据空间相关性获取所述空间特征的步骤包括:
获取所述工控协议流量的多个连接端口;
获取所述连接端口中满足第一预设条件的连接端口;
对满足所述第一预设条件的连接端口的所述工控协议流量标记对应的所述空间特征。
可选地,所述根据流量统计信息获取所述流特征的步骤包括:
识别所述工控协议流量的多个流量信息,其中,所述流量信息包括平均时延、平均包间隔、包大小方差;
获取所述流量信息中满足第二预设条件的流量信息;
对满足所述第二预设条件的流量信息的所述工控协议流量标记对应的所述流特征。
可选地,所述根据报文信息获取所述报文特征的步骤包括:
识别所述工控协议流量中的所述报文信息,所述报文信息包括报文类型和报文序列;
获取所述报文信息中满足第三预设条件的报文信息;
对满足所述第三预设条件的报文信息的所述工控协议流量标记对应的所述报文特征。
可选地,所述根据所述维度特征对所述工控协议流量进行聚类分析的步骤包括:
根据所述时间特征和所述空间特征获取限制条件,其中,所述限制条件包括捆绑条件和相斥条件;
根据所述流特征和所述报文特征对所述工控协议流量基于所述限制条件进行聚类分析。
此外,为实现上述目的,本发明还提供一种工控协议的聚类装置,所述工控协议的聚类包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控协议的聚类程序,所述工控协议的聚类程序被所述处理器执行时实现如上所述中任一项所述的工控协议的聚类方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机存储介质,所述计算机存储介质上存储有工控协议的聚类程序,所述工控协议的聚类程序被处理器执行时实现如上所述中任一项所述的工控协议的聚类方法的步骤。
此外,为实现上述目的,本发明还提供一种工控协议的聚类系统,所述工控协议的聚类系统包括所述工控协议的聚类程序,用于执行如上所述中任一项所述的工控协议的聚类方法的步骤。
本发明实施例提出的工控协议的聚类方法、装置、系统及计算机存储介质,通过对未知工控协议流量进行基于限制条件的聚类分析,将不同工控协议的流量划分为不同的类别,再对同一类流量进行解析,从而提高未知工控协议的解析效率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明工控协议的聚类方法的一实施例的流程示意图;
图3为本发明工控协议的聚类方法另一实施例的流程示意图;
图4为本发明工控协议的聚类方法再一实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:
在获取到工控协议流量时,获取所述工控协议流量的维度特征,所述维度特征包括时间特征、空间特征、流特征以及报文特征;
根据所述维度特征对所述工控协议流量进行聚类分析;
解析聚类分析后的所述工控协议流量。
由于现有技术中,各工控厂商或个人出于提供个性化功能、优化通信性能、简化协议实现的复杂度等因素的考虑,导致工控行业中有大量的未知工控协议存在,为了保证工控网络的安全,需要对这些未知工控协议流量进行解析,而目前解析主要通过人工逆向的方式来实现的,面对大量未知工控协议流量时解析效率较低。
本发明提供一种解决方案,通过对未知工控协议流量进行基于限制条件的聚类分析,将不同工控协议的流量划分为不同的类别,再对同一类流量进行解析,从而提高未知工控协议的解析效率。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端为工控设备,例如工业控制计算机等。如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及工控协议的聚类程序。在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的工控协议的聚类程序,并执行以下操作:
在获取到工控协议流量时,获取所述工控协议流量的维度特征,所述维度特征包括时间特征、空间特征、流特征以及报文特征;
根据所述维度特征对所述工控协议流量进行聚类分析;
解析聚类分析后的所述工控协议流量。
进一步地,处理器1001可以调用存储器1005中存储的工控协议的聚类程序,还执行以下操作:
根据时间相关性获取所述时间特征;
根据空间相关性获取所述空间特征;
根据流量统计信息获取所述流特征;
根据报文信息获取所述报文特征。
进一步地,处理器1001可以调用存储器1005中存储的工控协议的聚类程序,还执行以下操作:
识别出现在同一个事务中的多个所述工控协议流量;
获取所述工控协议流量在预设时间段内出现的次数;
在所述次数大于预设阈值时,对多个所述工控协议流量标记对应的所述时间特征。
进一步地,处理器1001可以调用存储器1005中存储的工控协议的聚类程序,还执行以下操作:
获取所述工控协议流量的多个连接端口;
获取所述连接端口中满足第一预设条件的连接端口;
对满足所述第一预设条件的连接端口的所述工控协议流量标记对应的所述空间特征。
进一步地,处理器1001可以调用存储器1005中存储的工控协议的聚类程序,还执行以下操作:
识别所述工控协议流量的多个流量信息,其中,所述流量信息包括平均时延、平均包间隔、包大小方差;
获取所述流量信息中满足第二预设条件的流量信息;
对满足所述第二预设条件的流量信息的所述工控协议流量标记对应的所述流特征。
进一步地,处理器1001可以调用存储器1005中存储的工控协议的聚类程序,还执行以下操作:
识别所述工控协议流量中的所述报文信息,所述报文信息包括报文类型和报文序列;
获取所述报文信息中满足第三预设条件的报文信息;
对满足所述第三预设条件的报文信息的所述工控协议流量标记对应的所述报文特征。
进一步地,处理器1001可以调用存储器1005中存储的工控协议的聚类程序,还执行以下操作:
根据所述时间特征和所述空间特征获取限制条件,其中,所述限制条件包括捆绑条件和相斥条件;
根据所述流特征和所述报文特征对所述工控协议流量基于所述限制条件进行聚类分析。
参照图2,在一实施例中,所述工控协议的聚类方法包括以下步骤:
步骤S10,在获取到工控协议流量时,获取所述工控协议流量的维度特征,所述维度特征包括时间特征、空间特征、流特征以及报文特征;
在本实施例中,以工业控制计算机为控制终端,目前,完整的工业控制系统一般包括多个相互关联的工业设备,且工业控制计算机与这些工业设备进行工控数据通信,以获取到工业设备之间传输的工控协议流量。工业设备之间设置有多个工控节点,因此一般将工业控制计算机与各个工控节点相连,从而获取到其中传输的工控协议流量,并且工控协议流量可以是应用层、传输层、网络层、数据链路层中至少一层的数据。由于工控协议流量与常规网络流量的差异,例如,在工控协议流量中,以二进制形式表示的模拟量、数字量类型信息比较多,信息有实时性要求,有相对明确的数据生成者与使用者,并且在多数情况下,数据包具有相对一致的协议控制结构和数据内容结构,因此解析常规网络流量的方法在此并不适用。
工控行业中存在许多未知的非标准协议存在,因此工控协议流量中也会同时存在未知工控协议流量和已知工控协议流量。本实施例的聚类方法主要针对未知工控协议流量,但同样适用于已知工控协议流量。在获取到工控协议流量后,获取工控协议流量的多种维度特征,包括时间特征、空间特征、流特征以及报文特征等。当然,上述多种维度特征的获取步骤不限于本实施例中的获取顺序。在获取时间特征时,根据多个工控协议流量之间的时间相关性获取时间特征,即识别出现在同一个事务中的多个工控协议流量,并且此多个工控协议流量在预设时间段内出现的次数大于预设阈值时,则判定此多个工控协议流量具有相同的时间特征,并对此多个工控协议流量标记相同的时间特征标签,从而对此多个工控协议流量与其他工控协议流量进行区分,其中,标签指一种可识别的标记,内容可以是字符串、特殊值的字节、或比特群。在获取空间特征时,根据多个工控协议流量之间的空间相关性获取空间特征,一般是根据工控协议流量的连接模式进行判断。在获取流特征时,则主要是根据工控协议流量平均时延、平均包间隔、包大小方差等流量统计信息来进行判断。在获取报文特征时,则是根据报文类型、报文序列等报文信息进行判断。在获取多个维度特征的具体过程时,可在上述四种维度特征的基础上做出增删。
步骤S20,根据所述维度特征对所述工控协议流量进行聚类分析;
步骤S30,解析聚类分析后的所述工控协议流量。
在本实施例中,本实施例采用的聚类方法为基于限制条件的近邻传播(AP,affinity propagation)聚类算法。近邻传播聚类算法是根据数据点之间的相似度来进行聚类,可以是对称的,也可以是不对称的。该算法不需要先确定聚类的数目,而是把所有的数据点都看成潜在意义上的聚类中心。当然,也可采用k-均值、k-中心点等算法进行聚类分析。
例如,在获取到工控协议流量的多种维度特征后,首先根据时间特征和空间特征得到限制条件,限制条件一般可分为捆绑条件和互斥条件在获取到限制条件后,根据流特征和报文特征的相似性对工控协议流量进行基于该限制条件的近邻传播聚类算法,从而将工控协议流量分为不同的类别,由于聚类分析后每一类中的工控协议流量具有较高的相似性,因此可将该相似性作为判断是否为同一类工控协议的依据,将同一类中的工控协议流量视为采用同一类工控协议。在解析工控协议流量时,则可根据一类工控协议流量获取工控协议规范,这样,获取到的工控协议规范更加完整准确,且在面对大量工控协议流量时,解析效率更高。
在本实施例公开的技术方案中,通过对未知工控协议流量进行基于限制条件的聚类分析,将不同工控协议的流量划分为不同的类别,再对同一类流量进行解析,从而提高未知工控协议的解析效率。
在另一实施例中,如图3所示,在上述图2所示的实施例基础上,步骤S10包括:
步骤S11,根据时间相关性获取所述时间特征;
在本实施例中,在获取到工控协议流量时,可获取工控协议流量的多种维度特征,维度特征的获取顺序不限于本实施中的顺序。在根据工控协议流量间的时间相关性获取所述时间特征,即识别出现在同一个事务中的多个工控协议流量,并且此多个工控协议流量在预设时间段内出现的次数大于预设阈值时,则判定此多个工控协议流量具有相同的时间特征,并对此多个工控协议流量标记相同的时间特征标签,从而对此多个工控协议流量与其他工控协议流量进行区分。其中,可根据数据流量来判断多个工控协议流量是否出现在同一个事务中,事务通常指一个基本网络动作,例如约束应用协议(CoAP,The ConstrainedApplication Protocol)中的一次“请求及相应的响应”所产生的流量可看做为一个事务。
步骤S12,根据空间相关性获取所述空间特征;
在本实施例中,在获取到工控协议流量时,可根据工控协议流量间的时间相关性获取所述时间特征,根据多个工控协议流量之间的空间相关性获取空间特征,一般是根据工控协议流量的连接模式进行判断。在多个工控协议流量具有相同的连接模式,则此多个工控协议流量具有空间相关性,其中,连接模式可通过工控协议流量的连接端口来进行判断,对满足第一预设条件的连接端口的所述工控协议流量标记相同的空间特征标签。例如,在不同事务中工控协议流量的连接端口均为44444端口和111111端口,则是具有相同的连接模式。此外,对于空间特征,也可采用数据挖掘中的关联挖掘算法获取,即在交易数据、关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构的一种算法,在此不做赘述。
步骤S13,根据流量统计信息获取所述流特征;
步骤S14,根据报文信息获取所述报文特征。
在本实施例中,流量统计信息包括平均时延、平均包间隔、包大小方差等。由于不同协议会有不同的平时时延、平均包间隔、包大小方差等,因此可根据工控协议流量的平均时延、平均包间隔、包大小方差是否满足第二预设条件来获取流特征。例如,在平均时延、平均包间隔、包大小方差相同或相似时,则说明工控协议流量具有相同的流特征,并标记相同的流特征标签。
报文信息包括工控协议流量的报文类型、报文序列等,报文信息的具体类别可根据具体的工控协议来确定,例如超文本传输协议(HTTP,HyperText Transfer Protocol)的报文类型可粗略分为请求报文、响应报文两种,报文序列则是工控协议流量按时间顺序的组成的序列。若多个工控协议流量的报文信息满足第三预设条件,例如报文信息相同或相似,则说明此多个工控协议流量具有相同的报文特征,并标记相同的流特征标签。在本实施例中,标签指一种可识别的标记,内容可以是字符串、特殊值的字节、或比特群。
在本实施例公开的技术方案中,通过获取工控协议流量的多个维度信息,并识别工控协议流量的多种维度特征,为工控协议流量的聚类分析提供聚类依据。
在再一实施例中,如图4所示,在上述图2所示的实施例基础上,步骤S20之后,还包括:
步骤S21,根据所述时间特征和所述空间特征获取限制条件,其中,所述限制条件包括捆绑条件和相斥条件;
在本实施例中,在获取到工控协议流量的多种维度特征后,首先根据时间特征和空间特征得到限制条件,限制条件一般可分为捆绑条件和互斥条件,捆绑条件可表示为RB={r1 B,r2 B,...},互斥条件可表示为RE={r1 E,r2 E,...},捆绑条件可根据具有相同时间特征或相同空间特征的工控协议流量得到,在聚类分析时,将此具有相同时间特征或相同空间特征的工控协议流量始终分在同一类中。同理,互斥条件可根据具有不同时间特征或不同空间特征的工控协议流量得到,在聚类分析时,将此具有不同时间特征或不同空间特征的工控协议流量禁止分在同一类中,也即互斥条件与捆绑条件相互对立。
步骤S22,根据所述流特征和所述报文特征对所述工控协议流量基于所述限制条件进行聚类分析。
在本实施例中,可采用近邻传播聚类算法对工控协议流量进行聚类分析。根据AP算法的原理,将数据集X={x1,x2,...,xn}中的每个对象都视为一个数据点,将所有数据点都作为候选的类代表点,任意数据点xi依据自身与候选类代表点xk的代表程度r(i,k)和适选程度a(i,k)来选择最佳类代表点,即xi的类代表点为
Figure BDA0002037412630000101
r(i,k)表示xk对xi的类代表程度,a(i,k)表示xi选择xk作为类代表点的合适程度,两者的计算公式如下:
Figure BDA0002037412630000102
上式中,s(i,k)表示数据点xi和xk之间的相似度。在此,任意两个流的相似度定义为:
Figure BDA0002037412630000103
其中,fm(xi,xk)表示xi和xk的第m维特征的相似度,不同的特征采用不同的相似度定义,ωm是对应的权重系数,满足
Figure BDA0002037412630000104
与常规的聚类分析不同的是,在进行本实施例中的聚类分析时,需要根据流特征和报文特征进行基于限制条件的聚类,以使聚类分析的结果更加准确。
在本实施例公开的技术方案中,通过时间特征和空间特征获取限制条件,根据所述流特征和所述报文特征对所述工控协议流量基于所述限制条件进行聚类分析,通过对工控协议流量进行聚类分析,提高了工控协议流量的解析效率。
此外,本发明实施例还提出一种工控协议的聚类装置,所述工控协议的聚类装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控协议的聚类程序,所述工控协议的聚类程序被所述处理器执行时实现如上实施例所述的工控协议的聚类方法的步骤。
此外,本发明实施例还提出一种计算机存储介质,所述计算机存储介质上存储有工控协议的聚类程序,所述工控协议的聚类程序被所述处理器执行时实现如上实施例所述的工控协议的聚类方法的步骤。
此外,本发明实施例还提出一种工控协议的聚类系统,所述工控协议的聚类系统包括所述工控协议的聚类程序,用于执行如上实施例中任一项所述的工控协议的聚类方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种工控协议的聚类方法,其特征在于,所述工控协议的聚类方法包括步骤:
在获取到工控协议流量时,获取所述工控协议流量的维度特征,所述维度特征包括时间特征、空间特征、流特征以及报文特征;
根据所述维度特征对具备相同维度特征标签的工控协议流量进行聚类分析,其中,所述维度特征标签在检测到所述工控协议流量的维度特征满足所述维度特征对应的预设条件时生成;
解析聚类分析后的所述工控协议流量,
其中,所述根据所述维度特征对具备相同维度特征标签的工控协议流量进行聚类分析的步骤包括:
根据所述时间特征和所述空间特征获取限制条件,其中,所述限制条件包括捆绑条件和互斥条件,所述捆绑条件和互斥条件对立;
根据所述流特征和所述报文特征,对所述具备相同维度特征标签的工控协议流量进行所述捆绑条件和所述互斥条件下的聚类分析。
2.如权利要求1所述的工控协议的聚类方法,其特征在于,所述获取所述工控协议流量的维度特征的步骤包括:
根据时间相关性获取所述时间特征;
根据空间相关性获取所述空间特征;
根据流量统计信息获取所述流特征;
根据报文信息获取所述报文特征。
3.如权利要求2所述的工控协议的聚类方法,其特征在于,所述根据时间相关性获取所述时间特征的步骤包括:
识别出现在同一个事务中的多个所述工控协议流量;
获取所述工控协议流量在预设时间段内出现的次数;
在所述次数大于预设阈值时,对多个所述工控协议流量标记对应的所述时间特征。
4.如权利要求2所述的工控协议的聚类方法,其特征在于,所述根据空间相关性获取所述空间特征的步骤包括:
获取所述工控协议流量的多个连接端口;
获取所述连接端口中满足第一预设条件的连接端口;
对满足所述第一预设条件的连接端口的所述工控协议流量标记对应的所述空间特征。
5.如权利要求2所述的工控协议的聚类方法,其特征在于,所述根据流量统计信息获取所述流特征的步骤包括:
识别所述工控协议流量的多个流量信息,其中,所述流量信息包括平均时延、平均包间隔、包大小方差;
获取所述流量信息中满足第二预设条件的流量信息;
对满足所述第二预设条件的流量信息的所述工控协议流量标记对应的所述流特征。
6.如权利要求2所述的工控协议的聚类方法,其特征在于,所述根据报文信息获取所述报文特征的步骤包括:
识别所述工控协议流量中的所述报文信息,所述报文信息包括报文类型和报文序列;
获取所述报文信息中满足第三预设条件的报文信息;
对满足所述第三预设条件的报文信息的所述工控协议流量标记对应的所述报文特征。
7.一种工控协议的聚类装置,其特征在于,所述工控协议的聚类包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工控协议的聚类程序,所述工控协议的聚类程序被所述处理器执行时实现如权利要求1至6中任一项所述的工控协议的聚类方法的步骤。
8.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有工控协议的聚类程序,所述工控协议的聚类程序被处理器执行时实现如权利要求1至6中任一项所述的工控协议的聚类方法的步骤。
CN201910332573.7A 2019-04-23 2019-04-23 工控协议的聚类方法、装置、系统及计算机存储介质 Active CN110061931B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910332573.7A CN110061931B (zh) 2019-04-23 2019-04-23 工控协议的聚类方法、装置、系统及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910332573.7A CN110061931B (zh) 2019-04-23 2019-04-23 工控协议的聚类方法、装置、系统及计算机存储介质

Publications (2)

Publication Number Publication Date
CN110061931A CN110061931A (zh) 2019-07-26
CN110061931B true CN110061931B (zh) 2022-08-30

Family

ID=67320463

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910332573.7A Active CN110061931B (zh) 2019-04-23 2019-04-23 工控协议的聚类方法、装置、系统及计算机存储介质

Country Status (1)

Country Link
CN (1) CN110061931B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110648250A (zh) * 2019-09-25 2020-01-03 珠海格力电器股份有限公司 能耗分布的计算方法及装置、数据服务器
CN111585832A (zh) * 2020-04-01 2020-08-25 浙江树人学院(浙江树人大学) 一种基于语义预挖掘的工控协议逆向分析方法
CN113938410B (zh) * 2021-10-14 2023-05-23 广东电网有限责任公司 一种终端协议的识别方法及装置
CN115834738B (zh) * 2023-01-09 2023-04-25 科来网络技术股份有限公司 一种工控业务行为识别方法、装置、电子设备及可读介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789416A (zh) * 2016-12-13 2017-05-31 中兴软创科技股份有限公司 工控系统专用协议识别方法与系统
CN108632252A (zh) * 2018-04-03 2018-10-09 中国人民解放军战略支援部队信息工程大学 一种私有网络协议迭代逆向分析方法、装置及服务器
CN109547409A (zh) * 2018-10-19 2019-03-29 中国电力科学研究院有限公司 一种用于对工业网络传输协议进行解析的方法及系统
CN109639733A (zh) * 2019-01-24 2019-04-16 南方电网科学研究院有限责任公司 适用于工控系统的安全检测与监控系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789416A (zh) * 2016-12-13 2017-05-31 中兴软创科技股份有限公司 工控系统专用协议识别方法与系统
CN108632252A (zh) * 2018-04-03 2018-10-09 中国人民解放军战略支援部队信息工程大学 一种私有网络协议迭代逆向分析方法、装置及服务器
CN109547409A (zh) * 2018-10-19 2019-03-29 中国电力科学研究院有限公司 一种用于对工业网络传输协议进行解析的方法及系统
CN109639733A (zh) * 2019-01-24 2019-04-16 南方电网科学研究院有限责任公司 适用于工控系统的安全检测与监控系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
非标工业控制协议格式逆向方法研究;程必成等;《电子技术应用》;20180406(第04期);全文 *

Also Published As

Publication number Publication date
CN110061931A (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
CN110061931B (zh) 工控协议的聚类方法、装置、系统及计算机存储介质
CN111191767B (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN100456286C (zh) 一种通用的文件搜索系统及方法
CN112118551B (zh) 设备风险识别方法及相关设备
CN113378899B (zh) 非正常账号识别方法、装置、设备和存储介质
CN109962789B (zh) 基于网络数据构建物联网应用标签体系的方法和装置
CN108418727B (zh) 一种探测网络设备的方法及系统
CN112769605B (zh) 一种异构多云的运维管理方法及混合云平台
CN113706100B (zh) 配电网物联终端设备实时探测识别方法与系统
CN111931809A (zh) 数据的处理方法、装置、存储介质及电子设备
CN104615765A (zh) 一种移动用户上网记录的数据处理方法及装置
CN112764920A (zh) 一种边缘应用部署方法、装置、设备和存储介质
CN107704868A (zh) 基于移动应用使用行为的用户分群聚类方法
CN113315851A (zh) 域名检测方法、装置及存储介质
CN110807050B (zh) 性能分析方法、装置、计算机设备及存储介质
CN114265927A (zh) 数据查询方法及装置、存储介质及电子装置
CN113254572B (zh) 一种基于云平台的电子文档分类监管系统
CN108199878B (zh) 高性能ip网络中个人标识信息识别系统及方法
CN112633353B (zh) 基于包长概率分布与k近邻算法的物联网设备识别方法
CN105634781B (zh) 一种多故障数据解耦方法和装置
CN102055620B (zh) 监控用户体验的方法和系统
CN112087450A (zh) 一种异常ip识别方法、系统及计算机设备
CN112487265A (zh) 数据处理方法、装置、计算机存储介质及电子设备
WO2019138073A1 (en) Method for monitoring devices in a network, computerized system and application program interface
CN107391551B (zh) 一种基于数据挖掘的web业务数据分析方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant