一种基于树形结构的可视化工业协议规则定义方法和装置与流程

本发明涉及工业控制网络安全，尤其涉及一种基于树形结构的可视化工业协议规则定义方法和装置。

背景技术：

1、工业数据通信与控制网络是近年来发展形成的自动控制领域的网络技术，是计算机网络、通信技术与自动控制技术结合的产物。工业控制网络适应了企业信息集成系统和管理控制一体化系统的发展趋势与需要，是it技术在自动控制领域的延伸，是自动控制领域的局域网。

2、现阶段工业控制网络包含现场总线、工业以太网、工业无线网等。而其中工业以太网是应用于工业控制领域的以太网技术，在技术上与商用以太网(即ieee 802.3标准)兼容，但是实际产品和应用却又完全不同。不同于传统it网络，工业以太网有着多种专用的通讯协议和通讯标准，例如modbus_tcp、s7、opcda等。现有的工业网络安全检测类设备，为了检测对设备间通信的细节，会对工控协议进行深度解析。在解析时，会提前定义工控协议规则，并按照定义好的协议规则对网络流量包进行解析和匹配。

3、一般在定义工控协议规则时，会根据工控协议规范进行硬编码。这种硬编码的方式不便于协议规则的调整，以及遇到不公开的工业协议时，无法支持。

技术实现思路

1、为了解决上述问题，本发明提出一种基于树形结构的可视化工业协议规则定义方法和装置，针对无论是公开的工业协议还是私有的工业协议，通过可视化配置便可以生成协议规则，减少二次开发。

2、本发明采用的技术方案如下：

3、一方面，本发明提供了一种基于树形结构的可视化工业协议规则定义方法，包括：

4、协议模型创建：基于可视化组件创建工业协议模型，所述可视化组件包括根节点、特征节点、值节点和五元组节点；

5、协议树创建：将可视化组件的根节点、特征节点、值节点和五元组节点按照设定顺序连接起来形成协议树；

6、协议树解析：对协议树进行解析并生成协议检测规则。

7、进一步地，所述根节点被配置为定义协议，包括协议名称、协议特征和动作；所述特征节点被配置为定义协议细节，包括协议特征名称、偏移量、深度和内容；所述值节点被配置为定义协议特征的值，包括协议特征的名称、偏移量、深度和值；所述五元组节点被配置为定义源ip、目的ip、源端口、目的端口和传输层协议。

8、进一步地，所述协议树创建的规则包括：一个协议树只能有一个根节点，根节点下有一个五元组节点，五元组节点下有至少有一个特征节点；特征节点下至少有一个值节点或特征节点。

9、进一步地，所述协议树解析的方法包括：对协议树进行遍历，每次从根节点出发，到末端叶子节点，记为一条路径；每一条路径，对应一条协议规则。

10、进一步地，对协议树进行解析生成的协议检测规则包括suricata协议规则，所述suricata协议规则是描述流量包解析的一组值，只要流量包中匹配到这组值，就认为流量包里面有协议特征或者特征值。

11、另一方面，本发明提供了一种基于树形结构的可视化工业协议规则定义装置，包括：

12、协议模型创建模块，被配置为基于可视化组件创建工业协议模型，所述可视化组件包括根节点、特征节点、值节点和五元组节点；

13、协议树创建模块，被配置为将可视化组件的根节点、特征节点、值节点和五元组节点按照设定顺序连接起来形成协议树；

14、协议树解析模块，被配置为对协议树进行解析并生成协议检测规则。

15、进一步地，所述根节点被配置为定义协议，包括协议名称、协议特征和动作；所述特征节点被配置为定义协议细节，包括协议特征名称、偏移量、深度和内容；所述值节点被配置为定义协议特征的值，包括协议特征的名称、偏移量、深度和值；所述五元组节点被配置为定义源ip、目的ip、源端口、目的端口和传输层协议。

16、进一步地，所述协议树创建模块的创建规则包括：一个协议树只能有一个根节点，根节点下有一个五元组节点，五元组节点下有至少有一个特征节点；特征节点下至少有一个值节点或特征节点。

17、进一步地，所述协议树解析模块被配置为对协议树进行遍历，每次从根节点出发，到末端叶子节点，记为一条路径；每一条路径，对应一条协议规则。

18、进一步地，对协议树进行解析生成的协议检测规则包括suricata协议规则，所述suricata协议规则是描述流量包解析的一组值，只要流量包中匹配到这组值，就认为流量包里面有协议特征或者特征值。

19、本发明的有益效果在于：

20、本发明提出了一种基于树形结构的可视化工业协议规则定义方法和装置，不仅适用于已公开的工业协议，对于私有的工业协议，按照协议规范去定义协议模型，再通过协议树即可生成协议规则，不仅操作上简单且可复用，同时减少了二次开发，提升了规则配置的效率。

技术特征：

1.一种基于树形结构的可视化工业协议规则定义方法，其特征在于，包括：

2.根据权利要求1所述的一种基于树形结构的可视化工业协议规则定义方法，其特征在于，所述根节点被配置为定义协议，包括协议名称、协议特征和动作；所述特征节点被配置为定义协议细节，包括协议特征名称、偏移量、深度和内容；所述值节点被配置为定义协议特征的值，包括协议特征的名称、偏移量、深度和值；所述五元组节点被配置为定义源ip、目的ip、源端口、目的端口和传输层协议。

3.根据权利要求1所述的一种基于树形结构的可视化工业协议规则定义方法，其特征在于，所述协议树创建的规则包括：一个协议树只能有一个根节点，根节点下有一个五元组节点，五元组节点下有至少有一个特征节点；特征节点下至少有一个值节点或特征节点。

4.根据权利要求1所述的一种基于树形结构的可视化工业协议规则定义方法，其特征在于，所述协议树解析的方法包括：对协议树进行遍历，每次从根节点出发，到末端叶子节点，记为一条路径；每一条路径，对应一条协议规则。

5.根据权利要求1所述的一种基于树形结构的可视化工业协议规则定义方法，其特征在于，对协议树进行解析生成的协议检测规则包括suricata协议规则，所述suricata协议规则是描述流量包解析的一组值，只要流量包中匹配到这组值，就认为流量包里面有协议特征或者特征值。

6.一种基于树形结构的可视化工业协议规则定义装置，其特征在于，包括：

7.根据权利要求6所述的一种基于树形结构的可视化工业协议规则定义装置，其特征在于，所述根节点被配置为定义协议，包括协议名称、协议特征和动作；所述特征节点被配置为定义协议细节，包括协议特征名称、偏移量、深度和内容；所述值节点被配置为定义协议特征的值，包括协议特征的名称、偏移量、深度和值；所述五元组节点被配置为定义源ip、目的ip、源端口、目的端口和传输层协议。

8.根据权利要求6所述的一种基于树形结构的可视化工业协议规则定义装置，其特征在于，所述协议树创建模块的创建规则包括：一个协议树只能有一个根节点，根节点下有一个五元组节点，五元组节点下有至少有一个特征节点；特征节点下至少有一个值节点或特征节点。

9.根据权利要求6所述的一种基于树形结构的可视化工业协议规则定义装置，其特征在于，所述协议树解析模块被配置为对协议树进行遍历，每次从根节点出发，到末端叶子节点，记为一条路径；每一条路径，对应一条协议规则。

10.根据权利要求6所述的一种基于树形结构的可视化工业协议规则定义装置，其特征在于，对协议树进行解析生成的协议检测规则包括suricata协议规则，所述suricata协议规则是描述流量包解析的一组值，只要流量包中匹配到这组值，就认为流量包里面有协议特征或者特征值。

技术总结
本发明公开了一种基于树形结构的可视化工业协议规则定义方法和装置，其中方法包括：基于可视化组件创建工业协议模型，所述可视化组件包括根节点、特征节点、值节点和五元组节点；将可视化组件的根节点、特征节点、值节点和五元组节点按照设定顺序连接起来形成协议树；对协议树进行解析并生成协议检测规则。本发明不仅适用于已公开的工业协议，对于私有的工业协议，按照协议规范去定义协议模型，再通过协议树即可生成协议规则，不仅操作上简单且可复用，同时减少了二次开发，提升了规则配置的效率。

技术研发人员：李欣,李元正,焦威
受保护的技术使用者：北京国泰网信科技有限公司
技术研发日：
技术公布日：2024/2/29