1.本发明涉及工控网络安全技术领域,尤其涉及一种基于网络行为重构的核电工控协议解析系统和方法。
背景技术:2.两化融合的发展方针促使信息化与工业化的融合,随着核电工控系统信息化业务的发展,核电工控系统不再是孤立的信息系统,受到的网络安全威胁不断增大。为此需大力开展针对核电工控系统的网络安全研究,研发适用于核电工控系统的网络安全产品,加强对核电工控系统的网络安全防护。
3.而核电工控系统网络安全研究的重点就在于核电工控系统通信协议的研究,众多网络安全产品的研发需基于通信协议的解析成果,因此需要一种核电工控系统通信协议解析系统和方法。
技术实现要素:4.本发明的目的在于克服现有技术中所述的缺陷,从而提供一种基于网络行为重构的核电工控协议解析系统和方法,该基于网络行为重构的核电工控协议解析系统和方法用于解析核电工控系统私有通信协议,为适用于核电工控系统的网络安全产品研发提供了底层技术支撑。
5.为了实现上述目的,本发明提供如下技术方案:
6.一种基于网络行为重构的核电工控协议解析系统,包括协议功能分析模块、网络行为分析模块、网络行为重构模块、协议字段划分模块和字段语义理解模块,
7.所述协议功能分析模块用于了解实际的核电工控网络环境并分析协议功能;
8.所述网络行为分析模块用于针对通信的双端,分析具体应用层协议的通信规律;
9.所述网络行为重构模块用于构造所述协议字段划分模块和所述字段语义理解模块所需的数据包或数据包交互序列;
10.所述协议字段划分模块以二进制数据为基础将二进制流划分为长度固定的多个字段;
11.所述字段语义理解模块是在协议字段划分的基础上,进一步分析字段的每个取值的含义。
12.根据本发明提供的基于网络行为重构的核电工控协议解析系统,所述核电工控网络环境包括网络设备、网络拓扑、协议类型、通信过程。
13.根据本发明提供的基于网络行为重构的核电工控协议解析系统,所述网络行为分析模块包括定位通信双端子模块、区分逻辑连接子模块、分析交互序列子模块。
14.根据本发明提供的基于网络行为重构的核电工控协议解析系统,所述定位通信双端子模块是指在协议功能分析模块已经了解到设备间的通信路径基础上,选取通信路径中的某一段,了解该段通信所使用的协议栈。
15.根据本发明提供的基于网络行为重构的核电工控协议解析系统,所述区分逻辑连接子模块用于流量分析时,定位到与特定功能相关联的网络连接。
16.根据本发明提供的基于网络行为重构的核电工控协议解析系统,所述分析交互序列子模块用于分析数据包的交互行为。
17.根据本发明提供的基于网络行为重构的核电工控协议解析系统,所述字段语义理解模块通过网络行为重构模块对协议中单一字段的取值进行逐次修改,对比分析该字段每个取值对应的语义。
18.一种基于网络行为重构的核电工控协议解析方法,包括如下步骤:
19.步骤s1:将目标核电工控系统的网络环境作为输入项输入到协议功能分析模块,输出得到所述网络设备、网络拓扑、协议类型、通信过程、协议功能;
20.步骤s2:基于所述协议功能分析模块的结果进行工作,针对通信的双端,分析具体应用层协议的通信规律;
21.步骤s3:构造协议字段划分模块和字段语义理解模块所需的数据包或数据包交互序列;
22.步骤s4:进行协议字段的推测,并通过网络行为重构模块进行验证,直至输出正确的协议字段划分结果;
23.步骤s5:基于所述协议字段划分模块的结果和所述网络行为重构模块输入,分析字段的每个取值的含义。
24.与现有技术相比,本发明提供的基于网络行为重构的核电工控协议解析系统和方法具有以下有益效果:
25.本发明提供的基于网络行为重构的核电工控协议解析系统和方法用于解析核电工控系统私有通信协议,为适用于核电工控系统的网络安全产品研发提供了底层技术支撑,网络行为重构模块可以解决在协议解析研究时缺少原始数据包的问题。
附图说明
26.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
27.图1为本发明实施例所提供的基于网络行为重构的核电工控协议解析方法流程示意图。
具体实施方式
28.虽然本发明的基于网络行为重构的核电工控协议解析系统和方法可以通过多种不同方式来实施,但是本文将结合附图对示例性实施方式进行详细描述,可以理解的是,本文的描述无意将本发明的保护范围局限于示例性实施方式。因此,在本质上,附图和具体实施方式的描述应被认为用于说明而非限制本发明。
29.下面通过具体实施方式进一步详细说明。
30.本发明提供了一种基于网络行为重构的核电工控协议解析系统,包括协议功能分
析模块、网络行为分析模块、网络行为重构模块、协议字段划分模块和字段语义理解模块。
31.协议功能分析模块是协议解析方法的第一个工作环节,目的是了解实际的核电工控网络环境,包括网络设备、网络拓扑、协议类型、通信过程,并分析协议功能。
32.网络设备在核电工控系统中通常指代多种类型的通信终端,例如:操作员站、工程师站、通信服务器、过程处理服务器、控制器等。
33.网络拓扑在核电工控系统中通常由两级总线网络构成,二级总线网络连接操作员站、过程处理服务器等,一级总线网络连接工程师站、通信服务器、控制器等。
34.协议类型是指各种网络设备间通信时应用层可能使用不同种类的协议。核电工控系统中各种网络设备在通信时使用的网络协议模型通常是tcp/ip五层网络模型,分别是:物理层、链路层、网络层、传输层、应用层。与通信数据包编码相关的协议层是:链路层、网络层、传输层、应用层。其中前三层协议通常是:链路层以太网协议、网络层ipv4协议、传输层tcp协议,而各类网络设备所使用的应用层协议则可能不同,甚至没有网络层、传输层协议。
35.通信过程指核电工控系统各种业务流程中,数据的传输路径。如操作员站下发指令后,数据沿某路径传输到控制器。
36.协议功能指分析各类协议在工控系统的通信过程中起到的作用,如连接状态测试、组态下装、操作指令下发等。
37.网络行为分析模块的功能是针对通信的双端,分析具体应用层协议的通信规律,模块包括定位通信双端子模块、区分逻辑连接子模块、分析交互序列子模块。
38.定位通信双端子模块是指,在协议功能分析模块已经了解到设备间的通信路径基础上,选取通信路径中的某一段,例如:设备a与设备b,了解该段通信所使用的协议栈。由于每一段的通信过程负责的功能可能不同,使用的协议栈可能不同,在做流量分析时,应该分段处理,针对每一段的通信独立分析。
39.区分逻辑连接子模块用于流量分析时,定位到与特定功能相关联的网络连接。通信双端之间,通常存在多条逻辑连接。以tcp/ip协议栈为例,在核电工控网络中,设备a与设备b之间可能存在数条到数百条tcp连接,在实际环境中,要了解通信双端的所有tcp连接的功能是不切实际的,比较合适的做法是选择与特定功能相关的tcp连接进行深入分析。
40.分析交互序列子模块用于分析数据包的交互行为。通常一种协议完成某种功能需要通信双端来往交互多个数据包,这些数据包的发送符合先后次序,本发明将这种完成某种特定功能的一系列数据包称之为数据包交互序列。
41.网络行为重构模块用于构造协议字段划分模块和字段语义理解模块所需的数据包或数据包交互序列。可以输出核电工控系统指定工况下,任意通信段的数据包或数据包交互序列,供给协议字段划分模块和字段语义理解模块进行解析。
42.核电工控系统通信协议与传统网络协议的不同之处在于,核电工控系统通信协议通常没有标准文档可以参考,协议的编码方式是未知的。传统的流量分析工具,对核电工控系统通信协议的支持非常有限,在解析数据包时,通常逐层解析到tcp的负载部分就无法继续完全解析了,负载部分表现为不能识别的二进制数据。
43.协议字段划分模块,是以二进制数据为基础,将二进制流划分为长度固定的多个字段。这个过程涉及协议编码的细节,需要根据具体协议具体分析。需要考虑字段的类型,存储方式,字段长度,前后字段的关联。字段的类型一般包括:整型数、浮点数、字符串等。存
储方式包括:小字节序、大字节序。字段长度表示该字段所占用的二进制位数或字节数。前后字段的关联指后一字段的编码取决于前一字段的取值,例如:字符串字段的首部一般会添加标识长度的4字节整型数。
44.协议字段划分的过程是一个基于网络行为重构模块进行推测、验证、修正交替进行的过程。
45.字段语义理解模块是在协议字段划分的基础上,进一步分析字段的每个取值的含义。通过网络行为重构模块对协议中单一字段的取值进行逐次修改,对比分析该字段每个取值对应的语义。
46.如图1所示,本发明还提供了一种基于网络行为重构的核电工控协议解析方法,包括如下步骤:
47.将目标核电工控系统的网络环境作为输入项输入到协议功能分析模块,输出得到网络设备、网络拓扑、协议类型、通信过程、协议功能。
48.网络行为分析模块基于协议功能分析模块的结果进行工作,针对通信的双端,分析具体应用层协议的通信规律。网络行为分析模块由定位通信双端子模块、区分逻辑连接子模块、分析交互序列子模块三个子模块组成。
49.网络行为重构模块作为协议字段划分模块和字段语义理解模块的输入,构造协议字段划分模块和字段语义理解模块所需的数据包或数据包交互序列。
50.协议字段划分模块基于网络行为分析模块的结果和网络行为重构模块输入,进行协议字段的推测,并通过网络行为重构模块进行验证,直至输出正确的协议字段划分结果。
51.字段语义理解模块基于协议字段划分模块的结果和网络行为重构模块输入,分析字段的每个取值的含义。
52.以上所述仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。