工控系统专用协议识别方法与系统与流程

本发明涉及工业控制系统技术领域，具体而言涉及一种工业控制系统专用协议的识别。

背景技术：

随着工业控制系统的迅速发展，工控系统专用协议也越来越被人们熟知。目前，协议识别技术主要有端口识别、内容识别和流量识别三种方式。端口协议识别技术是根据由IANA分配的端口号来识别协议的方法，该方法实现简单且识别效率高。但是随着网络通信的发展和大量新协议的出现，且有些协议在通信过程中采用熟知端口或采用随机端口来隐藏自己，导致端口识别技术的准确率降低。鉴于此，人们开始研究基于内容的识别技术，该技术通过分析协议的报文内容识别协议，提高了准确率。但内容识别技术是基于协议特征库的，有时由于特征库的不完善性也存在一些局限性，再者，有些协议在传输过程中进行了加密，使得协议无法识别。因此人们又提出了新的协议识别技术——流量识别技术，根据不同协议具有不同的流量（比如长度）特征来识别，可以解决内容识别技术不能识别加密流量的问题，但准确率较低。

技术实现要素：

本发明旨在解决现有技术中的问题，提出一种工控系统专用协议识别方法，基于端口识别技术、内容识别和流量识别技术相结合的协议识别方法，尤其规定是通过数据挖掘和机器学习的方法对工控系统专用协议进行分析，建立协议特征库；在进行协议识别时，首先进行端口匹配，失败之后再进行内容匹配和流量匹配，后两种方式是根据协议特征库进行的。

根据本发明还提出一种工控系统专用协议识别系统，包括用于构建协议特征库的模块以及用于协议匹配的模块。

通过本发明的前述方法，能够高效地识别工业控制系统专用协议。同时可以不断更新特征库，提高识别准确率。

应当理解，前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外，所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。

结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见，或通过根据本发明教导的具体实施方式的实践中得知。

附图说明

附图不意在按比例绘制。在附图中，在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见，在每个图中，并非每个组成部分均被标记。现在，将通过例子并参考附图来描述本发明的各个方面的实施例，其中：

图1是根据本发明某些实施例的工控系统专用协议识别系统的示意图。

图2是根据本发明某些实施例的工控系统专用协议识别系统的协议识别流程图。

具体实施方式

为了更了解本发明的技术内容，特举具体实施例并配合所附图式说明如下。

在本公开中参照附图来描述本发明的各方面，附图中示出了许多说明的实施例。本公开的实施例不必定意在包括本发明的所有方面。应当理解，上面介绍的多种构思和实施例，以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施，这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外，本发明公开的一些方面可以单独使用，或者与本发明公开的其他方面的任何适当组合来使用。

结合图1、图2所示，根据本发明的实施例，一种工控系统专用协议识别系统，包括用于构建协议特征库的模块以及用于协议匹配的模块。该系统基于端口识别技术、内容识别和流量识别技术相结合进行协议识别，尤其规定是通过数据挖掘和机器学习的方法对工控系统专用协议进行分析，建立协议特征库；在进行协议识别时，首先进行端口匹配，失败之后再进行内容匹配和流量匹配，后两种方式是根据协议特征库进行的。

结合图1所述，本发明提出的专用协议识别系统中，用于建立协议特征库模块，通过数据挖掘和机器学习的方法对工控系统专用协议进行分析，建立协议特征库。

协议匹配模块根据特征库进行协议匹配。尤其是在进行协议识别时，首先进行端口匹配，失败之后再进行内容匹配和流量匹配，后两种方式是根据协议特征库进行的。

结合图2所示，工控系统专用协议识别方法包括下述过程：

首先，对工控系统专用协议进行分析，确定合适的协议特征建立特征库。具体地，可以先选定一些可能作为特征的建立特征集合，然后对集合中的特征进行筛选，得到新的子集。在一些具体的例子中，协议特征库包括三种对应关系，一是端口号与协议的对应，二是特殊字符串与协议的对应，三是流量特征与协议的对应。

提取端口号时，先对报文进行协议分析，然后得到传输层的协议端口号。通过分析协议的报文中的特有字符串作为特征，进行内容匹配。然后再分析工控协议的流量特征，比如包传输时间、长度、包间隔时间或者带宽等特征。因此，协议特征库主要包含端口号、特有字符串和流量特征3种。

然后，对于输入的协议，根据协议特征库进行匹配。首先，进行端口号的匹配，如果成功则输出是工控协议，如果失败则进入下一步内容匹配，通过KMP算法将协议和特征库中的特有字符串进行匹配，如果成功则输出是工控协议，如果失败则进行流量匹配，将协议与特征库中的流量特征进行匹配，如果成功则输出该协议为工控协议。如果三种匹配都不能完成，则输出该协议不是工控协议。对于失败的协议，可以进行特征提取，通过机器学习的方法判断是否是新的特征，如果是则加入特征库，以保证特征库的完善。

虽然本发明已以较佳实施例揭露如上，然其并非用以限定本发明。本发明所属技术领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作各种的更动与润饰。因此，本发明的保护范围当视权利要求书所界定者为准。