工业协议解码方法、装置、电子设备及存储介质与流程

1.本技术涉及通讯技术领域，具体而言，涉及一种工业协议解码方法、装置、电子设备及存储介质。


背景技术：

2.由于工业协议多数为私有协议，各工业厂商出于基于不同的需求，设定的协议格式也存在差别，导致不同的厂商可能都有自己专有的工业协议。部分协议由于本身没有经过认证，所以没有相应的应用协议，在网络中，可能被识别为单纯的tcp/ip数据。防火墙无法对这些报文进行准确的识别以及解码操作。


技术实现要素：

3.有鉴于此，本技术实施例的目的在于提供一种工业协议解码方法、装置、电子设备及存储介质。能够达到缓解一些小众工业协议不能解码的问题。
4.第一方面，本技术实施例提供了一种工业协议解码方法，包括：
5.根据当前报文确定出目标解码规则，所述目标解码规则为预先配置的解码规则集中的任一解码规则；
6.根据所述目标解码规则确定出各项报文元素的限定因素，所述报文元素至少包括功能码；
7.根据所述限定因素，解码出所述当前报文的解码结果，所述解码结果为所述当前报文中的报文元素的值。
8.在一可选的实施方式中，所述根据当前报文确定出目标解码规则，包括：
9.将第一解码规则中报文元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述第一解码规则的要求，所述第一解码规则为所述预先配置的解码规则集中的其中一项解码规则；
10.若所述当前报文满足所述第一解码规则的要求，则所述第一解码规则为所述当前报文的目标解码规则。
11.在一可选的实施方式中，所述根据当前报文确定出目标解码规则，包括：
12.按照第二解码规则中限定的元素优先级，将第二解码规则中当前元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述第二解码规则的当前元素的要求，所述当前元素为五元组、协议特征、功能码中的任意一项，其中，首次对比时，所述当前元素为所述第二解码规则中限定的元素优先级中优先级最高的报文元素，所述五元组和所述协议特征的优先级高于所述功能码的优先级；
13.若所述当前报文满足所述第二解码规则中当前元素的要求，则将所述第二解码规则中的下一优先级的元素作为当前元素，直到所述当前报文与所述第二解码规则中的报文元素对比完成，且所述当前报文满足所述第二解码规则的要求，则所述第二解码规则为所述当前报文的目标解码规则。
14.在一可选的实施方式中，所述根据当前报文确定出目标解码规则，包括：
15.按照当前解码规则中限定的元素优先级，将当前解码规则中当前元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述当前解码规则的当前元素的要求，所述当前解码规则为所述预先配置的解码规则集中的其中一项解码规则，所述当前元素为五元组、协议特征、功能码中的任意一项，其中，首次对比时，所述当前元素为优先级最高的报文元素，所述五元组和所述协议特征的优先级高于所述功能码的优先级；
16.若所述当前报文满足所述当前解码规则中当前元素的要求，则将所述当前解码规则中的下一优先级的元素作为当前元素，直到所述当前报文与所述当前解码规则中的报文元素对比完成，且所述当前报文满足所述当前解码规则的要求，则所述当前解码规则为所述当前报文的目标解码规则；
17.若所述当前报文不满足所述当前解码规则中当前元素的要求，则中断所述当前报文与所述当前解码规则的对比，将所述预先配置的解码规则集中的另一解码规则作为当前解码规则。
18.在上述实施方式中，基于当前报文的内容确定出对应的解码规则，可以使确定的解码规则能够更好地满足当前报文的解码需求。
19.在一可选的实施方式中，所述方法还包括：
20.若基于所述当前报文未能确定出所述目标解码规则，则结束对所述当前报文的工业解码操作，对所述当前报文采用非工业报文解码方式进行解码。
21.在上述实施方式中，如果未确定出需要的目标解码规则，还可以及时中断当前的工业解码操作，切换为非工业报文解码方式解码，能够提高解码场景的适应性。
22.在一可选的实施方式中，所述方法还包括：
23.判断所述解码结果中的各项参数是否合理；
24.若所述解码结果中的任一参数判定为不合理参数，则阻断所述当前报文的转发；
25.若所述解码结果中的所有参数判定为合理参数，则将所述当前报文转发给目标设备。
26.在上述实施方式中，在需要解码完成后，还可以对解码结果中的各项参数，在参数合理的情况下再进行转发操作，可以提高报文转发的准确性。
27.在一可选的实施方式中，所述方法还包括：
28.接收针对一种或多种工业协议配置的最新解码规则；
29.使用所述最新解码规则对所述预先配置的解码规则集进行更新。
30.在上述实施方式中，还可以基于需求对预先配置的解码规则集进行更新，以增加可解码的场景，提高工业报文的解码成功率。
31.第二方面，本技术实施例还提供一种工业协议解码装置，包括：
32.规则确定模块，用于根据当前报文确定出目标解码规则，所述目标解码规则为预先配置的解码规则集中的任一解码规则；
33.参数确定模块，用于根据所述目标解码规则确定出各项报文元素的限定因素，所述报文元素至少包括功能码；
34.第一解码模块，用于根据所述限定因素，解码出所述当前报文的解码结果，所述解码结果为所述当前报文中的报文元素的值。
35.第三方面，本技术实施例还提供一种电子设备，包括：处理器、存储器，所述存储器存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面的任一种可能的实施方式中的工业协议解码方法的步骤。
36.第四方面，本技术实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述第一方面，或第一方面的任一种可能的实施方式中工业协议解码方法的步骤。
37.本技术实施例提供的工业协议解码方法、装置、电子设备及存储介质，采用预先配置适配需要解码的报文对应的解码规则，在需要对一报文进行解码时，可以在预先配置的解码规则集中确定出用于解码个性化报文的解码规则，以适应不同的工业协议下的报文的解码需求。
38.为使本技术的上述目的、特征和优点能更明显易懂，下文特举实施例，并配合所附附图，作详细说明如下。
附图说明
39.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
40.图1为本技术实施例提供的电子设备的方框示意图。
41.图2为本技术实施例提供的工业协议解码方法的流程图。
42.图3为本技术实施例提供的工业协议解码方法的部分流程图。
43.图4为本技术实施例提供的工业协议解码装置的功能模块示意图。
具体实施方式
44.下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行描述。
45.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
46.在一些现有技术中：防火墙设备可以识别各大主流工业协议，并且根据各大主流协议对报文进行解码，然后结合本身安全配置，对报文进行安全检查等操作。但是不可避免的是，部分工业协议由于没有经过认证，所以没有相应的应用协议，导致在网络中，仅能够识别为单纯的tcp/ip数据。防火墙则无法对这些报文进行准确的识别以及解码操作。
47.在另一些现有技术中：采用基于脚本语言lua实现工控私有协议检测，利用ui组件以可视化的方式进行组态和lua编程，定义工控私有协议；其中所述工控私有协议包括协议格式和扩展的检测逻辑。但是该方案主要是根据设定协议的特征格式，然后形成工控协议的snort规则，此方式需要协议的格式是高度固定，但是现有工业协议中，存在很多工业协议本身不包含协议特征，且协议格式不固定，尤其是在进行不同的操作时，协议报文的格式可能存在很大的差异。导致该方案可以适应协议头部格式固定的协议，但是无法对协议头
部外不固定的部分进行解码检测梳理。
48.基于此，本技术提供的一种工业协议解码方法、装置、电子设备和计算机可读存储介质。可以基于具体的需求配置对应的解码规则。
49.实施例一
50.为便于对本实施例进行理解，首先对执行本技术实施例所公开的一种工业协议解码方法的电子设备进行详细介绍。
51.如图1所示，是电子设备的方框示意图。电子设备100可以包括存储器111、处理器113。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对电子设备100的结构造成限定。例如，电子设备100还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。
52.上述的存储器111和处理器113各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器113用于执行存储器中存储的可执行模块。
53.其中，存储器111可以是，但不限于，随机存取存储器(random access memory，简称ram)，只读存储器(read only memory，简称rom)，可编程只读存储器(programmable read
‑
only memory，简称prom)，可擦除只读存储器(erasable programmable read
‑
only memory，简称eprom)，电可擦除只读存储器(electric erasable programmable read
‑
only memory，简称eeprom)等。其中，存储器111用于存储程序，所述处理器113在接收到执行指令后，执行所述程序，本技术实施例任一实施例揭示的过程定义的电子设备100所执行的方法可以应用于处理器113中，或者由处理器113实现。
54.上述的处理器113可能是一种集成电路芯片，具有信号的处理能力。上述的处理器113可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processor，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
55.本实施例中，该电子设备100可以是实现防火墙技术的安全设备。该安全设备中可以运行有用于实现工业协议解码的软件模块。
56.本实施例中的电子设备100可以用于执行本技术实施例提供的各个方法中的各个步骤。下面通过几个实施例详细描述工业协议解码方法的实现过程。
57.实施例二
58.请参阅图2，是本技术实施例提供的工业协议解码方法的流程图。下面将对图2所示的具体流程进行详细阐述。
59.步骤201，根据当前报文确定出目标解码规则。
60.该目标解码规则为预先配置的解码规则集中的任一解码规则。
61.本实施例中的工业协议解码方法可以应用于能够实现防火墙技术的安全设备形成的防火墙。该安全设备中可以存储有上述预先配置的解码规则集。可选地，该预先配置的解码规则集中可以包括一项或多项解码规则。
62.每一项解码规则可以用于对一种工业协议下的报文进行解码处理。可选地，每一项解码规则中可以包括多项解码策略，每一解码策略可以用于报文中的一项元素进行解码处理。示例性地，其中一项解码策略可以是用于对报文中的五元组中的一项信息进行解码的策略。示例性地，解码策略可以包括各项报文元素对应的限定因素。例如，该限定因素可以包括：五元组中的一项信息在报文中的位置、长度等。解码策略还可以包括：解析各项报文元素所需使用的算法。示例性地，其中一项解码策略可以是用于对一项操作码进行解码的策略。例如，该解码策略的限定因素可以包括：操作码数据类型、在报文中的位置、长度、取值范围等。
63.示例性地，该五元组源ip地址、源端口、目的ip地址、目的端口和传输层协议。
64.本实施例中，若预先配置的解码规则集中仅一项解码规则，则可以将当前报文与该项解码规则中的解码策略进行对比，以确定该项解码规则能否用于解码当前报文。若预先配置的解码规则集中包括多项解码规则，则可以将当前报文与多项解码规则中的各项解码规则逐一对比，以确定能够用于解码当前报文的目标解码规则。
65.在一种实施方式中，步骤201可以包括：将第一解码规则中报文元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述第一解码规则的要求。
66.本实施例中，上述第一解码规则为所述预先配置的解码规则集中的其中一项解码规则。
67.若所述当前报文满足所述第一解码规则的要求，则所述第一解码规则为所述当前报文的目标解码规则。
68.本实施方式中，可以将该当前报文中所有报文元素与该第一解码规则限定的报文元素的限定因素是否匹配。
69.示例性地，该第一解码规则限定的报文元素的限定因素可以包括：对应报文元素的位置、长度、数据类型、元素名称、以及数值范围等一项或多项因素。例如，限定因素可以仅包括报文元素的位置、数据类型。再例如，限定因素可以仅包括报文元素的位置、元素名称。
70.示例性地，可以将报文元素的限定因素与当前报文中的报文元素进行匹配，若当前报文的报文元素在第一解码规则限定的报文元素的限定因素限定条件内，则表示当前报文的报文元素满足第一解码规则限定的报文元素的要求。
71.可选地，若当前报文中的所有报文元素均在第一解码规则限定条件内，则表示当前报文满足所述第一解码规则的要求。
72.可选地，当前报文可以仅包括目标解码规则中限定的报文元素中的部分报文元素。可选地，在当前报文包含的部分报文元素满足第一解码规则中限定的报文元素中的要求时，则表示当前报文的报文元素满足第一解码规则限定的报文元素的要求。
73.可选地，当前报文可以包括目标解码规则中限定的报文元素中的全部报文元素。可选地，在当前报文包含的全部报文元素满足第一解码规则中限定的报文元素中的要求时，则表示当前报文的报文元素满足第一解码规则限定的报文元素的要求。
74.在另一种实施方式中，步骤201可以包括以下步骤。
75.步骤2011，按照第二解码规则中限定的元素优先级，将第二解码规则中当前元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述第二解码规则的当前
元素的要求。
76.所述当前元素为五元组、协议特征、功能码中的任意一项，其中，首次对比时，所述当前元素为所述第二解码规则中限定的元素优先级中优先级最高的报文元素。
77.若所述当前报文满足所述第二解码规则中当前元素的要求，则执行步骤2012。
78.可选地，上述的元素优先级可以根据不同工业协议设定不同的优先级。例如，五元组的优先级可以最高、协议特征的优先级为第二、功能码的优先级为第三。
79.可选地，解码规则中可以不对五元组和协议特征进行限定。当解码规则不对五元组和协议特征进行限定时，则可以不对五元组和协议特征进行对比。在此示例中，可以表示任意报文的五元组和协议特征均满足该解码规则，则可以仅对报文的功能码进行对比，以确定出对应的解码规则。
80.步骤2012，将所述第二解码规则中的下一优先级的元素作为当前元素。
81.本实施例中，在确定更新后的当前元素后，返回步骤2011对当前元素进行对比。
82.直到所述当前报文与所述第二解码规则中的报文元素对比完成，且所述当前报文满足所述第二解码规则的要求，则所述第二解码规则为所述当前报文的目标解码规则。
83.本实施例中，当前报文与第二解码规则中的报文元素对比完成，可以为将当前报文中所拥有的报文元素与第二解码规则中的报文元素的限定因素对比完成。
84.若所述当前报文任一优先级的报文元素不满足所述第二解码规则中当前元素的要求，则结束流程，采用其它方式对当前报文进行解码操作。示例性地，若当前报文中优先级最高的报文元素与第二解码规则中的报文元素的限定因素进行对比后，该当前报文中优先级最高的报文元素不满足第二解码规则中的报文元素的限定因素所限定的条件，则不再对后续其它优先级较低的报文元素进行对比。
85.通过上述的及时中断对比流程，以及后续的报文解码动作，可以减少一些不必要的操作，节省处理资源。
86.在另一种实施方式中，步骤201可以包括以下步骤。
87.步骤2013，按照当前解码规则中限定的元素优先级，将当前解码规则中当前元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述当前解码规则的当前元素的要求。
88.当前解码规则为所述预先配置的解码规则集中的其中一项解码规则，所述当前元素为五元组、协议特征、功能码中的任意一项。
89.其中，首次对比时，当前元素为优先级最高的报文元素。本实施例中，，五元组和所述协议特征的优先级高于所述功能码的优先级。
90.若所述当前报文满足所述当前解码规则中当前元素的要求，则执行步骤2014。若所述当前报文不满足所述当前解码规则中当前元素的要求，则执行步骤2015。
91.步骤2014，将所述当前解码规则中的下一优先级的元素作为当前元素。
92.本实施例中，在确定更新后的当前元素后，返回步骤2013对当前元素进行对比。
93.直到所述当前报文与所述当前解码规则中的报文元素对比完成，且所述当前报文满足所述当前解码规则的要求，则所述当前解码规则为所述当前报文的目标解码规则。
94.步骤2015，中断所述当前报文与所述当前解码规则的对比，将所述预先配置的解码规则集中的另一解码规则作为当前解码规则。
95.本实施例中，在确定更新后的当前解码规则后，返回步骤2013将当前报文与当前解码规则进行对比。
96.可选地，该预先配置的解码规则集可以是以列表的形式存储，则可以按照列表的顺序，按顺序确定当前解码规则。
97.可选地，该解码规则中也可以包括自解码策略名，还可以基于该自解码策略名确定当前报文是否为该自解码策略名所限定的报文。
98.可选地，解码规则中也可以包括各项报文元素的位置，也可以仅基于该报文元素的位置确定当前报文中的报文元素是否满足该解码规则的要求。
99.步骤202，根据所述目标解码规则确定出各项报文元素的限定因素。
100.本实施中，该报文元素至少包括功能码。该报文元素还可以包括五元组、协议特征。可以理解为，对任意一项工业报文而言，该工业报文中包含功能码、五元组和协议特征，该工业报文也可以仅包含功能码和五元组。
101.示例性地，该限定因素可以包括协议id、各项报文元素的目标位置参数、各项报文元素的长度、各项报文元素的数据类型等。
102.示例性地，该解码规则中设定了各项报文元素的位置，则可以根据该解码规则确定出报文元素的目标位置参数。
103.例如，报文的第一个字节可以为协议id，id值为0x32。则从该目标解码规则能够获取到协议id的值，以及该id值为0x32。
104.再例如，功能码的位置、长度和数据类型。该功能码的位置可以是在应用层数据的偏移。例如，报文的功能码在应用层数据的第3个字节，长度为2个字节。则对应的限定因素可以是：配置功能码的位置为3，长度为2。可选地，功能码的数据类型可以为number或字符串两种类型。示例性地，数据类型为number的单个数据最大长度可以为8个字节，数据类型为字符串的单个数据的最大长度可以为128个字节。
105.步骤203，根据所述限定因素，解码出所述当前报文的解码结果。
106.该解码结果包括当前报文中的报文元素的值。例如，五元组参数、协议特征参数、功能码值等。
107.可选地，针对功能码、地址和值的解码，可以解码规则中可以指定功能码、地址和值的数据类型。示例性地，功能码和地址的数据类型可以是number或字符串。值的数据类型可以是char、unsigend char、short、unsigned short、int、unsigned int、float等数据类型。
108.示例性地，可以根据解码规则中对应报文元素的数据类型和数据位置，得到对应的报文元素的具体参数。
109.本实施例中，在确定限定因素后，可根据限定因素解析出当前报文中的各项信息。示例性地，可以获取相应长度的内存，将当前报文中的各项报文元素按照操作码、起始地址、结束地址、数据类型、单个值长度、值数量以及所有值的格式存储存入对应的内存中。
110.本实施例中，为了提高防火墙对转发的流量的安全性，还可以对解码结果进行进一步地识别，以过滤掉一些不合理的流量。
111.可选地，可以针对每一项报文元素均采用步骤201至步骤203的顺序进行处理。例如，可以先对目标报文中的五元组与解码规则进行对比，若目标报文中的五元组命中指定
解码规则，则可以继续后续对该目标报文的其它报文元素进行对比及解码操作；若目标报文中的五元组未命中该指定解码规则，则退出当前对比流程，不使用该指定解码规则对目标报文进行解码处理。示例性地，在五元组使用指定解码规则进行解码完成后，可以再进行后续的报文元素的对比和解码，例如，对目标报文中的协议特征与解码规则进行对比，若目标报文中的协议特征命中指定解码规则，则采用解码规则中的限定因素解码出目标报文的协议特征；若目标报文中的协议特征未命中该指定解码规则，则退出当前对比流程，不再使用该指定解码规则对目标报文进行解码处理。
112.可选地，若一解码规则中未对五元组和协议特征进行限定，则可以直接进行功能码对比，以及功能码的解码操作。
113.如图3所示，本实施例中的工业协议解码方法还可以包括以下步骤。
114.步骤204，判断所述解码结果中的各项参数是否合理。
115.其中，可以对解码结果中的每一项参数均进行合理性判断，若所述解码结果中的任一参数判定为不合理参数，则执行步骤205。若所述解码结果中的所有参数判定为合理参数，则执行步骤206。
116.可选地，可以根据限定因素中限定各项报文元素数据类型、数据长度、取值范围等因素，确定出获得的解码结果中对应报文元素的值是否能够满足数据类型、数据长度、取值范围等因素。
117.步骤205，阻断所述当前报文的转发。
118.可选地，可以丢弃掉不合理的报文。
119.步骤206，将所述当前报文转发给目标设备。
120.上述目标设备可以是需要接收当前报文的一设备。该目标设备可以是一计算机终端，也可以是需要执行该当前报文对应指令的一智能工业设备。
121.若基于所述当前报文未能确定出所述目标解码规则，本实施例中的工业协议解码方法还可以包括以下步骤。
122.步骤207，结束对所述当前报文的工业解码操作，对所述当前报文采用非工业报文解码方式进行解码。
123.为了适应更多特殊工业协议的报文的解析，还可以按照接收到的最新解码规则对存储的预先配置的解码规则集进行更新。本实施例中的工业协议解码方法还可以包括步骤208和步骤209。
124.步骤208，接收针对一种或多种工业协议配置的最新解码规则。
125.可选地，该最新解码规则可以由管理员配置。
126.示例性地，管理员可以根据需求先配置五元组。示例性地，可以提供一操作界面，在该操作界面中获取管理员配置的五元组。可以知道的是，五元组为非必要信息，可以根据实际情况确定是否需要五元组的信息，以及是否需要部分五元组的信息。
127.示例性地，该操作界面中可以提供一格式化处理框架，通过在该格式化处理框架中填入需要的信息，以生成最新解码规则。
128.示例性地，基于当前需要配置的工业协议的需求，获取管理员配置相应协议的报文特征位置以及对应的值。例如，报文的第一个字节为协议的id，id值为0x32。当然，也可以需要检查的报文也可以是无协议特征的流量，因此，在配置报文的解码协议时，针对无协议
特征的工业协议，则无需配置协议特征。
129.示例性地，管理员还可以根据具体工业协议的特殊要求，配置报文中的各项功能码的位置，该位置可以是功能码在应用层数据的偏移。例如，在一种工业协议下，报文的功能码在应用层数据的第3个字节，长度为2个字节。因此，可以配置功能码的位置为3，长度为2。
130.示例性地，管理员配置plc(programmable logic controller，可编程逻辑控制器)地址的取值在报文中的位置之前，可以先配置含有plc地址的功能码，然后再配置plc地址的起始地址的位置、结束地址的位置、地址数量以及数据长度。其中，plc地址的结束地址的位置与地址数量也可以二者仅配置其中一项。可选地，也可以仅配置plc地址的起始地址的位置、地址数量以及数据长度。可选地，也可以配置plc地址的起始地址的位置、结束地址以及数据长度。例如，功能码为1、2、3报文含有plc地址，且plc地址的起始地址的位置为应用层数据的第15字节，长度为2个字节，结束地址为第17个字节，长度为2个字节。那么配置就为功能码1、2、3，起始地址位置为15，数据长度为2；结束地址为17，数据长度为2。
131.可选地，在已经配置了plc的情况下，可以不配置功能码的相关解码规则。则该工业协议下的报文中的功能码可以以plc地址中的功能码为准。
132.可选地，在已经配置了plc的情况下，还可以配置功能码以及值的位置。示例性地，功能码的配置内容可以包括：一个值的长度，值的起始位置，以及数据类型。例如，功能码数据类型为int型，值的长度就为4，值的起始位置为19。
133.在一些情况下，部分功能码可能不包含值，但是不包含值的功能码的plc地址格式与包含值的功能码的plc地址格式相同。因此，可以通过配置功能码以指定功能码，以确定报文是否需要进行功能码的值解码。其中，plc地址解码以及功能码的值解码可以对应一条配置。
134.本实施例中，基于上述的配置操作，获得该配置操作所产生的数据，则得到一项或多项工业协议的最新解码规则。
135.本实施例中，预先配置的解码规则中还可以包括深度过滤安全策略。该深度过滤安全策略的名称可以采用为已经配置好的用于解码的解码策略对应的解码策略名称，以便基于配置的深度过滤安全策略对工业报文进行判断处理。当然，也可以根据需求按照其它方式对过滤策略进行命名。
136.示例性地，深度过滤安全策略提供的可以是用于对接收到的报文进行合理性判断的过滤流程。其中，该深度过滤安全策略可以主要包括：功能码、地址规则、值规则。地址规则中包含功能码，值规则中必须包含数据类型，数据类型可以为：char、unsigend char、short、unsigned short、int、unsigned int、float中任意一类。其中，该深度过滤安全策略可以用在步骤204
‑
206，以实现对报文的过滤处理。
137.步骤209，使用所述最新解码规则对所述预先配置的解码规则集进行更新。
138.根据需求可以对该预先配置的解码规则集进行扩充，以实现为更多类型的工业协议的报文提供解码处理。
139.在本技术实施例提供的工业协议解码方法中，通过对预先配置的解码规则集的更新扩展，能够适应更多未知小型工业私有协议的解码处理，以实现在面对未知的工业协议时，在不进行编码及升级的情况下，使防火墙可以对不复杂的工业协议，甚至与相对复杂的
工业协议进行解码处理，以使工业防火墙的工业报文深度过滤的功能不受影响，且可以保护这些暂时没有被主流认可的工业协议环境的安全。
140.进一步地，可以进行更深层次的报文解码以及安全过滤处理，在协议报文格式不固定的情况下，也可以获取工业协议的关键信息，且面对无协议特征的工业协议，也可以进行解码以及过滤处理，还可以联动防火墙自身的深度过滤功能，对相应的报文进行过滤处理。
141.本实施例中，在防火墙不支持相关工业协议的情况下，可以提供报文格式化处理框架，可以配置五元组，以及协议特征来使防火墙能够对未知的工业协议进行初步识别。进一步地，为了使防火墙可以在工业协议报文格式不固定的情况下，依然可以基于配置的解码规则获取报文信息。如，通过指定报文的操作码位置，确定报文的具体操作。通过指定操作的操作地址，以及操作值在报文中的位置，个数，单个大小，数据类型信息，以使防火墙准确的提取出工业报文的操作、操作地址以及值等主要信息。进一步地，然后对报文中的信息进行保存处理，联动防火墙的工业安全过滤功能，对报文进行相应的过滤处理，使防火墙能够在协议未知的情况下，依然可以提高工业网络安全。
142.实施例三
143.基于同一申请构思，本技术实施例中还提供了与工业协议解码方法对应的工业协议解码装置，由于本技术实施例中的装置解决问题的原理与前述的工业协议解码方法实施例相似，因此本实施例中的装置的实施可以参见上述方法的实施例中的描述，重复之处不再赘述。
144.请参阅图4，是本技术实施例提供的工业协议解码装置的功能模块示意图。本实施例中的工业协议解码装置中的各个模块用于执行上述方法实施例中的各个步骤。工业协议解码装置包括：规则确定模块301、参数确定模块302以及第一解码模块303；其中，
145.规则确定模块301，用于根据当前报文确定出目标解码规则，所述目标解码规则为预先配置的解码规则集中的任一解码规则；
146.参数确定模块302，用于根据所述目标解码规则确定出各项报文元素的限定因素，所述报文元素至少包括功能码；
147.第一解码模块303，用于根据所述限定因素，解码出所述当前报文的解码结果，所述解码结果为所述当前报文中的报文元素的值。
148.一种可能的实施方式中，规则确定模块301，用于：
149.将第一解码规则中报文元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述第一解码规则的要求，所述报文元素为五元组、协议特征、功能码中的一项或多项信息，所述第一解码规则为所述预先配置的解码规则集中的其中一项解码规则；
150.若所述当前报文满足所述第一解码规则的要求，则所述第一解码规则为所述当前报文的目标解码规则。
151.一种可能的实施方式中，规则确定模块301，用于：
152.按照第二解码规则中限定的元素优先级，将第二解码规则中当前元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述第二解码规则的当前元素的要求，所述当前元素为五元组、协议特征、功能码中的任意一项，其中，首次对比时，所述当前元素为所述第二解码规则中限定的元素优先级中优先级最高的报文元素，所述五元组和所
述协议特征的优先级高于所述功能码的优先级；
153.若所述当前报文满足所述第二解码规则中当前元素的要求，则将所述第二解码规则中的下一优先级的元素作为当前元素，直到所述当前报文与所述第二解码规则中的报文元素对比完成，且所述当前报文满足所述第二解码规则的要求，则所述第二解码规则为所述当前报文的目标解码规则。
154.一种可能的实施方式中，规则确定模块301，用于：
155.按照当前解码规则中限定的元素优先级，将当前解码规则中当前元素的限定因素与当前报文进行对比，以确定所述当前报文是否满足所述当前解码规则的当前元素的要求，所述当前解码规则为所述预先配置的解码规则集中的其中一项解码规则，所述当前元素为五元组、协议特征、功能码中的任意一项，其中，首次对比时，所述当前元素为优先级最高的报文元素，所述五元组和所述协议特征的优先级高于所述功能码的优先级；
156.若所述当前报文满足所述当前解码规则中当前元素的要求，则将所述当前解码规则中的下一优先级的元素作为当前元素，直到所述当前报文与所述当前解码规则中的报文元素对比完成，且所述当前报文满足所述当前解码规则的要求，则所述当前解码规则为所述当前报文的目标解码规则；
157.若所述当前报文不满足所述当前解码规则中当前元素的要求，则中断所述当前报文与所述当前解码规则的对比，将所述预先配置的解码规则集中的另一解码规则作为当前解码规则。
158.一种可能的实施方式中，本实施例中的工业协议解码装置还包括：
159.第二解码模块，用于若基于所述当前报文未能确定出所述目标解码规则，则结束对所述当前报文的工业解码操作，对所述当前报文采用非工业报文解码方式进行解码。
160.一种可能的实施方式中，本实施例中的工业协议解码装置还包括：
161.判断模块，用于判断所述解码结果中的各项参数是否合理；
162.阻断模块，用于若所述解码结果中的任一参数判定为不合理参数，则阻断所述当前报文的转发；
163.转发模块，用于若所述解码结果中的所有参数判定为合理参数，则将所述当前报文转发给目标设备。
164.一种可能的实施方式中，本实施例中的工业协议解码装置还包括：
165.接收模块，用于接收针对一种或多种工业协议配置的最新解码规则；
166.更新模块，用于使用所述最新解码规则对所述预先配置的解码规则集进行更新。
167.此外，本技术实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述方法实施例中所述的工业协议解码方法的步骤。
168.本技术实施例所提供的工业协议解码方法的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行上述方法实施例中所述的工业协议解码方法的步骤，具体可参见上述方法实施例，在此不再赘述。
169.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
170.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
171.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
172.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
173.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。