(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111485150.2 (22)申请日 2021.12.07 (71)申请人 北京泰策 科技有限公司 地址 100176 北京市大兴区北京经济技 术 开发区科谷一 街8号院1号楼18层1801 申请人 北京东方通科技股份有限公司 (72)发明人 孟繁荣　周鑫　李忱　陈忠国　 江何　门殿春　姚志强　 (74)专利代理 机构 北京同辉知识产权代理事务 所(普通合伙) 11357 代理人 杨敬 (51)Int.Cl. H04L 69/22(2022.01) H04L 67/01(2022.01) H04L 69/18(2022.01)H04L 69/12(2022.01) H04L 9/40(2022.01) (54)发明名称 一种对工业协议进行深度解析的方法 (57)摘要 本发明公开了一种对工业协议进行深度解 析的方法， 具体涉及工业通信技术领域， 本发明 通过建立一套针对于多个不通用的私有工业协 议点对点的解析引擎， 该解析引擎建立于相应的 私有工业协议配套知识库上层， 配套知识库内有 着私有工业协议相对应的特征描述文件， 使其相 应的进行点对点解析， 这种采用配套知识库的检 索式数据帧的报文识别方式， 在保障私有工业协 议的任何细 节不暴露的前提下， 实现流量白名单 和自定义告警能力， 达到单单只暴露协议的描述 规则， 其保密的解码方式、 业务规则和版本管理 等的工作都统统被隐藏， 同时通过采用相似度对 比以及前半段后半段的区分对比的配合方式， 使 其在一定程度上提升指令的响应 速度。 权利要求书1页 说明书8页 附图2页 CN 114189570 A 2022.03.15 CN 114189570 A 1.一种对工业协议进行深度解析的方法， 其特 征在于， 包括以下步骤： S1、 设立数据存 储服务器， 建立配套知识库并汇总多个私有工业协议的特 征描述文件； S2、 建立网关串口通信， 依据不同传输端口对不同私有控制协议进行分类， 并提取同分 类条件下报文的关键特 征； S3、 安装解析引擎至所述配套知识库上层， 并增加协议解码模块、 配套规则模块和流量 匹配模块， 对数据报文 进行解包处 理； S4、 将协议解码模块处理好的报文解码数据传递给数据转换模块， 使数据转换模块识 别出报文解码数据的数据格式， 并将识别后的报文解码数据通过解析引擎在配套知识库匹 配出对应的汇编指令； S5、 解析引擎在配套知识库中匹配出的汇编指令采用文件读取的方式调用解析引擎相 关程序将分类提取出的报文关键特征与相对应的配套知识库内部特征描述文件进行相似 度比对； S6、 若相似度比对成立， 则其完成指令识别， 若相似度比对失败， 则进入调试模式并启 用安全模式。 2.根据权利要求1所述的一种对工业协议进行深度解析的方法， 其特征在于： 步骤S3 中 相似度比对公式如下： Similarityλe＝ λve/[( λα+λβ)/2]； 其中： Simi larityλe为报文特 征描述模板队列中n个模板之间的相似度； λve为特征描述模板α 和报文β 的最长公共子序列之长； 其中λα为特征描述模板 长度， λβ为报文长度。 3.根据权利要求1所述的一种对工业协议进行深度解析的方法， 其特征在于： 步骤S1中 私有工业协议的特征描述文件具体为与私有工业协议发送的数据帧对应的汇编存储执行 指令， 其数据帧架构包括设备地址、 功能代码、 数据地址和出错校验码。 4.根据权利要求1所述的一种对工业协议进行深度解析的方法， 其特征在于： 步骤S2中 报文的关键特 征为报文数据的长度， 以及报文数据字节的前半段与后半段的区分数值。 5.根据权利要求1所述的一种 对工业协议进行深度解析的方法， 其特征在于： 所述相似 度比对中， 报文与私有工业协议收录的对应特征描述文件为同一个执行指令， 同步依据报 文数据字节前半段进 行对比处理， 若 前半段检索得出单个指令则进行报文 数据字节的后半 段比对， 若一致则输出报文报文， 若前半段检索得出有多个指令则进行报文数据字节的后 半段比对处 理， 直至出现最终匹配的特 征描述文件， 若无匹配数据则进入调试模式。 6.根据权利要求1所述的一种 对工业协议进行深度解析的方法， 其特征在于： 所述调试 模式需要工程师介 入， 将无识别数据帧汇编定义为对应指 令后录入配套知识库中形成特征 描述文件， 若为恶意数据帧则进入安全 模式进行相应的查杀处 理。 7.根据权利要求1所述的一种对工业协议进行深度解析的方法， 其特征在于： 步骤S4 中， 所述数据转换模块对数据进行针对性的格式转换， 转换模式兼容主流不加密工业协议 转换模式以及接入私有工业协议特定的转换模式。 8.根据权利要求1所述的一种 对工业协议进行深度解析的方法， 其特征在于： 所述解析 引擎设置有横向功能移植端口， 可兼容专用内部 工业防火墙。权　利　要　求　书 1/1 页 2 CN 114189570 A 2一种对工 业协议进行深度解 析的方法 技术领域 [0001]本发明涉及工业通信技术领域， 更具体地说， 本发明涉及一种对工业协议进行深 度解析的方法。 背景技术 [0002]工控网络有着专用的信息交换机制和自动化生产控制设备。 要对工控网络进行安 全防护， 将有很大概率需要对其中的工业控制通信协议进行识别和解析， 这样才能了解到 数据流量中包含的各种操作指 令和收发双方， 从而对异常报文和违反业务逻辑操作进 行处 理， 以达到保护或者审计的目的。 [0003]除了通用的各类工业控制系统网络通信协议(如OPC， Modbus， IEC104等)和自动化 厂家自己定义的私有控制协议(如S7、 Pr ofinet等)之外， 还有 特殊行业(核电、 军工等)专用 的通信协 议； 出于对安全性和私密性的要求， 私有协 议没有公开的资料支持， 专有协议则不 允许暴露任何细节， 这些条件的约束， 使其协议在使用时极易出现混杂有恶意指令发送到 工业设备或系统， 无法有效的监管， 使其存在极大的安全隐患。 发明内容 [0004]为了克服现有技术的上述缺陷， 本发明提供了一种对工业协议进行深度解析的方 法， 本发明所要解决 的技术问题是： 在保障私有控制协议的安全性和私密性的要求下， 完成 对其数据帧识别并监测， 使其保障指令的安全送达， 形成一个有效的监管体系的问题。 [0005]为实现上述目的， 本发明提供如下技术方案： 一种对工业协议进行深度解析的方 法， 包括以下步骤： [0006]S1、 设立数据存储服务器， 建立配套知识库并汇总多个私有工业协议的特征描述 文件。 [0007]S2、 建立网关串口通信依据不同传输端口对不同私有控制协议进行分类， 并提取 同分类条件下报文的关键特 征。 [0008]S3、 安装解析引擎至所述配套知识库上层， 并增加协议解码模块、 配套规则模块和 流量匹配模块， 对数据报文 进行解包处 理。 [0009]S4、 将协议解码模块处理好的报文解码数据传递给数据转换模块， 使数据转换模 块识别出报文解码数据的数据格式， 并将识别后的报文解码数据通过解析引擎在配套知识 库匹配出对应的汇编指令 。 [0010]S5、 解析引擎在配套知识库中匹配出的汇编指令采用文件读取的方式调用解析引 擎相关程序将分类提取出的报文关键特征与相对应的配套知识库内部特征描述文件进行 相似度比对。 [0011]S6、 若相似度比对成立， 则其完成指令识别， 若相似度比对失败， 则进入调试模式 并启用安全 模式。 [0012]作为本发明的进一 步方案： 步骤S3中相似度比对公式如下：说　明　书 1/8 页 3 CN 114189570 A 3