CN111371651A - 一种工业通讯协议逆向分析方法 - Google Patents
一种工业通讯协议逆向分析方法 Download PDFInfo
- Publication number
- CN111371651A CN111371651A CN202010168286.XA CN202010168286A CN111371651A CN 111371651 A CN111371651 A CN 111371651A CN 202010168286 A CN202010168286 A CN 202010168286A CN 111371651 A CN111371651 A CN 111371651A
- Authority
- CN
- China
- Prior art keywords
- data
- data packet
- packet
- receiving
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种工业通讯协议逆向分析方法,包括:接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类;接收数据包重构指令,对所述第一数据包进行基于OSI模型对数据包进行自下而上的解析,获取第二数据包;接收数据包深度解析指令,根据所述第二数据包解析私有协议和公有协议,获取协议格式,解决目前工控网络数据包解析深度不足的问题,由于大多数工控协议属于私有协议,协议格式由厂商定义且未公开,用户无法全面了解工控网络数据包中的内容。
Description
技术领域
本发明涉及工业控制***网络通信领域,具体涉及对工控网络数据包的内容进行深度解析和对工控私有协议进行二进制逆向分析的方法,可用于从底层全面地了解工业控制***运行情况。
背景技术
自从2010年伊朗爆发震网病毒事件以来,国内外发生了多起重大的工业控制***网络安全事件,对于工业控制***稳定运行产生极大地影响和破坏。工业控制***用于控制工业现场各类设备按照工艺要求进行协作生产,是工业生产的核心中枢。在役工业控制***普遍没有考虑到网络安全的威胁,***中存在大量可被攻击者利用的脆弱性,存在极大的风险隐患。
工业控制***中各个部件通过工业控制网络进行数据通信,通信内容中除了包含了上位机发出的控制指令,以及下位机返回的运行状态等正常行为数据,也可能存在攻击者进行破坏时产生的异常行为数据,因此对网络数据进行监测,识别其中的异常行为并进行适当处理,是保障工业控制***的重要手段。
不同于传统信息***采用的HTTP、FTP等通用网络协议,工控网络数据通常采用专用协议进行编码,若缺乏数据深度解析能力,安全设备将无法了解数据包对应的通信内容。目前普遍采用的是基于IP、MAC地址等规则匹配的方式进行异常行为检测,难以发现合法设备间的非法指令,防护效果非常有限,亟需一种能够对工控网络数据包进行深度解析的方法,得到数据包对应的控制指令和具体参数等信息,为安全设备提供数据分析基础。
大多数工控协议属于私有协议,协议格式由厂商定义且未公开。网络数据包遵循OSI模型进行编码,传输时为二进制字符串,功能相似的数据包在内容上也会呈现相似性。例如同为读取线圈状态的指令,其功能码字段相同,但线圈编号会有所差别,因此采用二进制逆向分析技术,通过反复多次的比对,能够对协议格式进行分析。
发明内容
本发明提供了一种工业通讯协议逆向分析方法,解决目前工控网络数据包解析深度不足的问题,由于大多数工控协议属于私有协议,协议格式由厂商定义且未公开,用户无法全面了解工控网络数据包中的内容。
本发明提供一种工业通讯协议逆向分析方法,包括:接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类;接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包;接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式。
优选地,接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类,包括步骤如下:接收数据识别指令,主要对所述第一数据包进行检查,获取所需的数据类型;接收数据获取部分指令,在工业控制***的交换机上启用镜像端口功能,获取第一数据包;接收数据分析指令,对所述第一数据包包头内容进行简单分析;接收数据入库指令,将获取的第一数据包及数据分类存放在数据库中。
优选地,接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包,包括:对网络层的协议识别后进行组包还原;脱去网络层协议封头进行逐层分析得到所述第二数据包。
优选地,接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式,还包括:搭建模拟环境;对第二数据包进行数据关联性和相似性分析,生成协议格式。
优选地,对第二数据包进行数据关联性和相似性分析,生成协议格式,还包括:计算所述第二数据包之间的数据关联性和相似性,生成字符特征;统计字符特征,分割出四种类型字段:固定字段、交叉字段、渐变字段、多变字段;根据四种类型字段推断固定字段、交叉字段、渐变字段、多变字段的含义,分析生成协议格式。
优选地,所述等统计特征为变化率、均值、方差。
本发明提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述的工业通讯协议逆向分析方法。
本发明提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行上述工业通讯协议逆向分析方法的计算机程序。
本发明的有益效果如下:
1.本发明解决目前工控网络数据包解析深度不足的问题,由于大多数工控协议属于私有协议,协议格式由厂商定义且未公开,用户无法全面了解工控网络数据包中的指令、参数等深层信息;
2.本发明提出了采用二进制逆向分析技术对私有协议进行分析,从而得到工控协议的协议格式,用于对工控网络数据包进行深度解析。
3.本发明可以对各类未公开的私有协议进行解析,具有很好的可拓展性,适用于不同行业、不同品牌的工业控制***。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本申请实施例提供的一种工业通讯协议逆向分析方法示意图;
图2是本申请实施例提供的一种工业通讯协议逆向分析方法流图图;
图3是本申请实施例提供的单一TCP/IP数据包重构过程示意图;
图4是本申请实施例提供的多个TCP/IP数据包重构过程示意图;
图5是本申请实施例提供的报文历史指令操作集的统计结果;
图6是本申请实施例提供的样本字段的统计结果。
具体实施例
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,协议解析技术:针对协议解析技术,主要的衡量指标是解析的深度。其主要分类为浅解析与深解析。浅解析主要是对基础字段的和在OSI中处于底层的字段的解析,如数据链路层、网络层、传输层;而深解析是对数据流字段信息的完全解析,不仅仅针对数据链路层、网络层、传输层,而是针对所有字段包括应用层字段的全解析。以及对协议格式本身的理解与重要字段信息的诠释与翻译。固定字段:协议中存在的特定的识别码,其取值固定。交叉字段:在请求报文和响应报文中,源地址和目的地址两个字段是相互对调的,因此通信地址属于交叉字段。渐变字段:该字段的变化率不大且取值稳定在一定范围内,例如数据内容和寄存器地址,常见于应用层的后半部分。多变字段:该字段的变化频率非常大,例如校验码就属于常见的多变字段。
实施例一
本发明提供一种工业通讯协议逆向分析方法,包括:图1是本申请实施例提供的一种工业通讯协议逆向分析方法示意图,如图1所示,接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类;接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包;接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式。
需要说明的是,在本发明实施例中,第一数据包可以理解为原始数据包;第二数据包为应用层数据包。关于第一数据包及第二数据包即可理解为在该方法流程启动后保持工作,持续获取工控网络数据,即获取原始数据包,并进行数据分类;得到指定类型的数据后传给数据包重构模块,对数据包按照OSI7层模型进行重构,得到各层数据内容,得到应用层数据包;将得到的应用层(OSI顶层)数据传给应用层数据包深度解析模块,按照协议格式进行解析。
具体地,图2是本申请实施例提供的一种工业通讯协议逆向分析方法流图图,如图2所示,采用二进制逆向分析技术对私有协议进行分析。首先,需要搭建用于目标协议运行的模拟环境(主机、应用软件、PLC等设备),以获取网络设备在进行通讯时的数据包;通过反复多次向模拟环境注入具有典型特征的标签数据,获取***在执行标签数据时候通信网络中的数据包,根据OSI模型逐层去除通信协议封头得到应用层数据包;通过计算不同数据之间的关联性和相似性,依据协议的设计特点,对于不变区的同一固定位置取值约束相同,设计合适的统计量算法进行等统计特征(变化率、均值、方差等)统计,可以分割出四种类型字段:固定字段、交叉字段、渐变字段、多变字段;最终,结合协议的特征库推断数据的含义,完成对私有协议协议格式的分析。
实施例二
本发明提供一种工业通讯协议逆向分析方法,包括:接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类;接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包;接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式。
优选地,接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类,包括步骤如下:接收数据识别指令,主要对所述第一数据包进行检查,获取所需的数据类型;接收数据获取部分指令,在工业控制***的交换机上启用镜像端口功能,获取第一数据包;接收数据分析指令,对所述第一数据包包头内容进行简单分析;接收数据入库指令,将获取的第一数据包及数据分类存放在数据库中。
具体地,接收数据获取部分指令,在工业控制***的交换机上启用镜像端口功能,通过Wireshark/Savvius Omnipeek/Ettercap/Kismet/SmartSniff/EtherApe等工具即可获取第一数据包。
优选地,接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包,包括:对网络层的协议识别后进行组包还原;脱去网络层协议封头进行逐层分析得到所述第二数据包。
具体地,图3是本申请实施例提供的单一TCP/IP数据包重构过程示意图,图4是本申请实施例提供的多个TCP/IP数据包重构过程示意图,如图3及图4所示,通过数据包重构模块,将数据包按照OSI模型自下而上进行还原和拼接,得到用户在网络中传输的数据;通过深度解析模块,根据不同协议格式对数据包各个字段内容进行解析,解析结果可供后续其他应用使用。
优选地,接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式,还包括:搭建模拟环境;对第二数据包进行数据关联性和相似性分析,生成协议格式。
优选地,对第二数据包进行数据关联性和相似性分析,生成协议格式,还包括:计算所述第二数据包之间的数据关联性和相似性,生成字符特征;统计字符特征,分割出四种类型字段:固定字段、交叉字段、渐变字段、多变字段;根据四种类型字段推断固定字段、交叉字段、渐变字段、多变字段的含义,分析生成协议格式。
优选地,所述等统计特征为变化率、均值、方差。
具体地,本发明通过搭建模拟环境,获取网络数据流量,并采用二进制逆向分析技术对数据包进行分析,从而得到私有协议的协议格式。由于上位机软件中嵌入了协议格式信息,可通过直接对软件执行代码进行二进制逆向分析,找到与通信相关模块,反推出私有协议的协议格式。但由于上位机软件普遍较为庞大,二进制逆向分析需要大量工作量,因此采用通过计算数据关联性和相似性分析对协议格式进行分析。在分析过程中,可采用不同算法进行实现,例如采用多序列比对算法进行字段分割。
在进行协议逆向分析时,通过控制标签获取不同数据包,不同类型的字段会呈现出不同的统计特征。对于固定字段,通常包括协议类型、版本号、预留字段等,通常处于数据包头部,可统称为包头,其起始位置和内容固定;对于交叉字段,通常包括源地址、目的地址、源端口、目的端口等,在对应的请求/相应数据包中,其内容不变,位置互换;对于渐变字段,通常包括功能码、参数(如数据内容和寄存器地址)等,根据功能码不同,后面所带的参数数量与数据长度均有不同,功能码起始位置固定,同功能码数据包的参数内容存在变化,通常变化率不大且取值稳定在一定范围内;对于多变字段,通常用于数据校验,处于数据包尾部,内容的变化不规律,变化频率较大。采用多序列比对算法,可以分割出数据包中这四类字段。
对于渐变字段具体含义的进一步分析,可结合字段特征和历史指令操作集的统计结果逐字节进行变化频率进行比对。对于功能码字段,在同功能码数据包中属于固定字段,但在不同功能吗数据包中属于渐变字段,由此可推断出字段含义。对于参数字段,如下图5、图6所示,通过比对可以发现:Byte24与ByteNum,Byte28与Register有相同的统计特征,因此可以判定Byte24代表读数据量,Byte28代表寄存器类型。
对于深度解析模块使用的协议格式信息,公开协议的格式信息可以比较容易地获取到,对于未公开的私有协议,需要通过搭建模拟环境,反复多次注入不同的具有典型特征,通过输入数据和数据包内容比对,对协议格式进行逆向解析。通过本方法可以对各类未公开的私有协议进行解析,具有很好的可拓展性,适用于不同行业的工业控制***网络。分析得到的协议格式可用于支持深度解析模块对数据进行深度解析。
本发明实施例还提供一种计算机设备,用以解决目前工控网络数据包解析深度不足的问题,由于大多数工控协议属于私有协议,协议格式由厂商定义且未公开,用户无法全面了解工控网络数据包中的内容,该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述工业通讯协议逆向分析方法。
本发明实施例还提供一种计算机可读存储介质,用以解决目前工控网络数据包解析深度不足的问题,由于大多数工控协议属于私有协议,协议格式由厂商定义且未公开,用户无法全面了解工控网络数据包中的内容,该计算机可读存储介质存储有执行上述工业通讯协议逆向分析方法的计算机程序。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种工业通讯协议逆向分析方法,其特征在于,包括:
接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类;
接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包;
接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式。
2.根据权利要求1所述的一种工业通讯协议逆向分析方法,其特征在于,接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类,包括步骤如下:
接收数据识别指令,主要对所述第一数据包进行检查,获取所需的数据类型;
接收数据获取部分指令,在工业控制***的交换机上启用镜像端口功能,获取第一数据包;
接收数据分析指令,对所述第一数据包包头内容进行分析;
接收数据入库指令,将获取的第一数据包及数据分类存放在数据库中。
3.根据权利要求1所述的一种工业通讯协议逆向分析方法,其特征在于,接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包,包括:
对网络层的协议识别后进行组包还原;
脱去网络层协议封头进行逐层分析得到所述第二数据包。
4.根据权利要求1所述的一种工业通讯协议逆向分析方法,其特征在于,接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式,还包括:
搭建模拟环境;
对第二数据包进行数据关联性和相似性分析,生成协议格式。
5.根据权利要求4所述的一种工业通讯协议逆向分析方法,其特征在于,对第二数据包进行数据关联性和相似性分析,生成协议格式,还包括:计算所述第二数据包之间的数据关联性和相似性,生成字符特征;
统计所述字符特征,分割出四种类型字段:固定字段、交叉字段、渐变字段、多变字段;
根据四种类型字段推断固定字段、交叉字段、渐变字段、多变字段的含义,分析生成协议格式。
6.根据权利要求5所述的一种工业通讯协议逆向分析方法,其特征在于,所述等统计特征为变化率、均值、方差。
7.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一所述的工业通讯协议逆向分析方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至6任一所述的工业通讯协议逆向分析方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010168286.XA CN111371651A (zh) | 2020-03-12 | 2020-03-12 | 一种工业通讯协议逆向分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010168286.XA CN111371651A (zh) | 2020-03-12 | 2020-03-12 | 一种工业通讯协议逆向分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111371651A true CN111371651A (zh) | 2020-07-03 |
Family
ID=71211195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010168286.XA Pending CN111371651A (zh) | 2020-03-12 | 2020-03-12 | 一种工业通讯协议逆向分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111371651A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111917777A (zh) * | 2020-08-03 | 2020-11-10 | 中国电子科技集团公司第三十六研究所 | 网络数据解析方法、装置和电子设备 |
| CN112187583A (zh) * | 2020-09-30 | 2021-01-05 | 绿盟科技集团股份有限公司 | 动作信息在私有工控协议中识别的方法、装置及存储介质 |
| CN112751845A (zh) * | 2020-12-28 | 2021-05-04 | 北京恒光信息技术股份有限公司 | 网络协议解析方法、***及装置 |
| CN113507449A (zh) * | 2021-06-17 | 2021-10-15 | 北京惠而特科技有限公司 | 一种ge私有协议深度识别方法及装置 |
| CN113904965A (zh) * | 2021-11-02 | 2022-01-07 | 上海尚往网络科技有限公司 | 一种用于确定摄像头的方法、设备、介质及程序产品 |
| CN114338104A (zh) * | 2021-12-15 | 2022-04-12 | 北京六方云信息技术有限公司 | 安全网关解析功能验证方法、装置、设备及存储介质 |
| CN114697156A (zh) * | 2022-03-16 | 2022-07-01 | 航天科工火箭技术有限公司 | 火箭总线数据监控方法、装置、终端设备及介质 |
| CN114866282A (zh) * | 2022-03-30 | 2022-08-05 | 中核武汉核电运行技术股份有限公司 | 一种基于网络行为重构的核电工控协议解析***和方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130094376A1 (en) * | 2011-10-18 | 2013-04-18 | Randall E. Reeves | Network protocol analyzer apparatus and method |
| CN104506484A (zh) * | 2014-11-11 | 2015-04-08 | 中国电子科技集团公司第三十研究所 | 一种私有协议分析与识别方法 |
| CN105656923A (zh) * | 2016-02-18 | 2016-06-08 | 中国工程物理研究院计算机应用研究所 | 一种基于模糊加权的二进制协议格式解析方法 |
| CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
| CN106888209A (zh) * | 2017-03-02 | 2017-06-23 | 中国科学院信息工程研究所 | 一种基于协议状态图深度遍历的工控漏洞挖掘方法 |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制***主流协议实现与监测解析平台 |
| CN109547409A (zh) * | 2018-10-19 | 2019-03-29 | 中国电力科学研究院有限公司 | 一种用于对工业网络传输协议进行解析的方法及*** |
-
2020
- 2020-03-12 CN CN202010168286.XA patent/CN111371651A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130094376A1 (en) * | 2011-10-18 | 2013-04-18 | Randall E. Reeves | Network protocol analyzer apparatus and method |
| CN104506484A (zh) * | 2014-11-11 | 2015-04-08 | 中国电子科技集团公司第三十研究所 | 一种私有协议分析与识别方法 |
| CN105656923A (zh) * | 2016-02-18 | 2016-06-08 | 中国工程物理研究院计算机应用研究所 | 一种基于模糊加权的二进制协议格式解析方法 |
| CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
| CN106888209A (zh) * | 2017-03-02 | 2017-06-23 | 中国科学院信息工程研究所 | 一种基于协议状态图深度遍历的工控漏洞挖掘方法 |
| CN108418807A (zh) * | 2018-02-05 | 2018-08-17 | 浙江大学 | 一种工业控制***主流协议实现与监测解析平台 |
| CN109547409A (zh) * | 2018-10-19 | 2019-03-29 | 中国电力科学研究院有限公司 | 一种用于对工业网络传输协议进行解析的方法及*** |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111917777A (zh) * | 2020-08-03 | 2020-11-10 | 中国电子科技集团公司第三十六研究所 | 网络数据解析方法、装置和电子设备 |
| CN111917777B (zh) * | 2020-08-03 | 2023-04-18 | 中国电子科技集团公司第三十六研究所 | 网络数据解析方法、装置和电子设备 |
| CN112187583A (zh) * | 2020-09-30 | 2021-01-05 | 绿盟科技集团股份有限公司 | 动作信息在私有工控协议中识别的方法、装置及存储介质 |
| CN112751845A (zh) * | 2020-12-28 | 2021-05-04 | 北京恒光信息技术股份有限公司 | 网络协议解析方法、***及装置 |
| CN112751845B (zh) * | 2020-12-28 | 2022-12-02 | 北京恒光信息技术股份有限公司 | 网络协议解析方法、***及装置 |
| CN113507449A (zh) * | 2021-06-17 | 2021-10-15 | 北京惠而特科技有限公司 | 一种ge私有协议深度识别方法及装置 |
| CN113904965A (zh) * | 2021-11-02 | 2022-01-07 | 上海尚往网络科技有限公司 | 一种用于确定摄像头的方法、设备、介质及程序产品 |
| CN114338104A (zh) * | 2021-12-15 | 2022-04-12 | 北京六方云信息技术有限公司 | 安全网关解析功能验证方法、装置、设备及存储介质 |
| CN114697156A (zh) * | 2022-03-16 | 2022-07-01 | 航天科工火箭技术有限公司 | 火箭总线数据监控方法、装置、终端设备及介质 |
| CN114866282A (zh) * | 2022-03-30 | 2022-08-05 | 中核武汉核电运行技术股份有限公司 | 一种基于网络行为重构的核电工控协议解析***和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111371651A (zh) | 一种工业通讯协议逆向分析方法 | |
| CN110597734B (zh) | 一种适用于工控私有协议的模糊测试用例生成方法 | |
| Bossert et al. | Towards automated protocol reverse engineering using semantic information | |
| US20170195197A1 (en) | Method and system for classifying a protocol message in a data communication network | |
| CN108600193B (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
| CN107360145B (zh) | 一种多节点蜜罐***及其数据分析方法 | |
| CN113645065A (zh) | 基于工业互联网的工控安全审计***及其方法 | |
| CN111191767A (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
| CN109547466B (zh) | 基于机器学习提高风险感知能力的方法及装置、计算机设备和存储介质 | |
| CN113285916B (zh) | 智能制造***异常流量检测方法及检测装置 | |
| CN114172703A (zh) | 一种恶意软件识别方法、装置、介质 | |
| CN114090406A (zh) | 电力物联网设备行为安全检测方法、***、设备及存储介质 | |
| CN115208835A (zh) | Api分类方法、装置、电子设备、介质及产品 | |
| CN114281676A (zh) | 针对工控私有协议的黑盒模糊测试方法及*** | |
| CN109347785A (zh) | 一种终端类型识别方法及装置 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及*** | |
| CN111756716A (zh) | 流量检测方法、装置及计算机可读存储介质 | |
| CN115118447A (zh) | 工控网络流量的安全判别方法、装置、电子装置和介质 | |
| CN112613576B (zh) | 确定告警的方法、装置、电子设备和存储介质 | |
| CN112839055A (zh) | 面向tls加密流量的网络应用识别方法及装置 | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和*** | |
| CN115002243B (zh) | 一种数据处理方法及装置 | |
| CN116170227A (zh) | 一种流量异常的检测方法、装置、电子设备及存储介质 | |
| CN116232696A (zh) | 基于深度神经网络的加密流量分类方法 | |
| Whalen et al. | Hidden markov models for automated protocol learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310000 rooms 501-505, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Applicant after: Zhejiang Mulian Internet of things Technology Co.,Ltd. Address before: 310000 rooms 501-505, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou wooden chain Internet of things Technology Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200703 |