CN113507449A - 一种ge私有协议深度识别方法及装置 - Google Patents

一种ge私有协议深度识别方法及装置 Download PDF

Info

Publication number
CN113507449A
CN113507449A CN202110673039.XA CN202110673039A CN113507449A CN 113507449 A CN113507449 A CN 113507449A CN 202110673039 A CN202110673039 A CN 202110673039A CN 113507449 A CN113507449 A CN 113507449A
Authority
CN
China
Prior art keywords
protocol
private
communication
plc
private protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110673039.XA
Other languages
English (en)
Other versions
CN113507449B (zh
Inventor
李生晶
谭曙光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huierte Technology Co ltd
Original Assignee
Beijing Huierte Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huierte Technology Co ltd filed Critical Beijing Huierte Technology Co ltd
Priority to CN202110673039.XA priority Critical patent/CN113507449B/zh
Publication of CN113507449A publication Critical patent/CN113507449A/zh
Application granted granted Critical
Publication of CN113507449B publication Critical patent/CN113507449B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种GE私有协议深度识别方法及装置,对GE与PLC端口通讯的协议类型进行识别,当GE与PLC端口通讯的协议类型识别为公有协议时,根据公有协议的类型采用对应的识别引擎进行数据处理;当GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;对还原后的私有协议动作进行模拟验证,将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。本发明能够让管理直观看到协议交互过程;看到危险发生时时间、IP源、危险原因,能够及时告警;能够识别GE与PLC交互的方法,对PLC行为完全分析。

Description

一种GE私有协议深度识别方法及装置
技术领域
本发明涉及通讯协议处理技术领域,具体涉及一种GE私有协议深度识别方法及装置。
背景技术
自从第一台PLC在GM公司汽车生产线上首次应用成功以来,PLC凭借其方便性、可靠性以及低廉的价格得到了广泛的应用。但PLC是一个黑盒子,不能实时直观地观察控制过程。计算机技术的发展和普及,为PLC又提供了新的技术手段,通过计算机可以实施监测PLC的控制过程和结果,但是各PLC通讯介质和通讯协议又各不相同。
目前,业内对于GE(工业以太网)的私有协议识别仅基于端口或者无法识别。整个过程通过PC电脑端控制PLC,旁路部署协议审计设备;端口认识到GE协议或者仅仅识别为TCP/IP协议以及端口号,协议本身公开资源非常少,了解协议仅通过界面操作协议,协议本身通过审计无法识别。即无法识别GE私有协议内容;无法识别通过PC电脑端操作PLC协议的关键数值;对于黑客入侵PC电脑端操作PLC导致恶意事件发生时,没有提供朔源的能力;对于误操作,恶意操作PLC行为无法审计,仅能记录源IP到目的IP的会话记录。
发明内容
为此,本发明提供一种GE私有协议深度识别方法及装置,实现GE与PLC交互识别和PLC操控行为完全分析,使协议交互过程相对于管理人员透明化。
为了实现上述目的,第一方面,本发明提供一种GE私有协议深度识别方法,包括以下步骤:
对GE与PLC端口通讯的协议类型进行识别,所述协议类型包括公有协议和私有协议;
当所述GE与PLC端口通讯的协议类型识别为公有协议时,根据所述公有协议的类型采用对应的识别引擎进行数据处理;
当所述GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;
对还原后的私有协议动作进行模拟验证,将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。
作为GE私有协议深度识别方法的优选方案,所述公有协议包括EGD和MODBUS;
当所述GE与PLC端口通讯的协议类型识别为EGD协议时,采用EGD识别引擎进行数据处理;
当所述GE与PLC端口通讯的协议类型识别为MODBUS协议时,采用MODBUS识别引擎进行数据处理。
作为GE私有协议深度识别方法的优选方案,所述私有协议包括SRTP;
当所述GE与PLC端口通讯的协议类型识别为SRTP协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原。
作为GE私有协议深度识别方法的优选方案,将通讯流量镜像后通过报文序列逆向算法或指令序列逆向算法进行私有协议特征逆向;
对于逆向的私有协议进行流模拟还原,获得私有协议动作还原数据,通过协议动作还原数据进行模拟的指令协议发送。
作为GE私有协议深度识别方法的优选方案,通过指令验证遍历,将所有的GE与PLC通讯操作流量进行完整验证。
作为GE私有协议深度识别方法的优选方案,对所述指令识别规则构建指令识别规则集,对所述指令识别规则集进行安全基线规则扩展,建立告警触发机制。
作为GE私有协议深度识别方法的优选方案,对所述指令识别规则构建指令识别规则集,对所述指令识别规则集进行安全基线规则扩展,构建协议恶意攻击规则。
第二方面,本发明提供一种GE私有协议深度识别装置,采用第一方面或其任意可能实现方式的GE私有协议深度识别方法,包括:
协议类型识别模块,用于对GE与PLC端口通讯的协议类型进行识别,所述协议类型包括公有协议和私有协议;
公有协议数据处理模块,用于当所述GE与PLC端口通讯的协议类型识别为公有协议时,根据所述公有协议的类型采用对应的识别引擎进行数据处理;
私有协议动作还原模块,用于当所述GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;
私有协议动作验证模块,用于对还原后的私有协议动作进行模拟验证;
私有协议动作存储模块,用于将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。
第三方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有第一方面或其任意可能实现方式的GE私有协议深度识别方法的程序代码。
第四方面,提供一种电子设备,所述电子设备包括处理器,所述处理器与存储介质耦合,当所述处理器执行存储介质中的指令时,使得所述电子设备执行第一方面或其任意可能实现方式的GE私有协议深度识别方法。
本发明具有如下优点:对GE与PLC端口通讯的协议类型进行识别,协议类型包括公有协议和私有协议;当GE与PLC端口通讯的协议类型识别为公有协议时,根据公有协议的类型采用对应的识别引擎进行数据处理;当GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;对还原后的私有协议动作进行模拟验证,将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。本发明能够让管理任意直观看到协议交互过程;能够看到危险发生时的时间、IP源、危险的原因,例如PLC恶意关闭CPU等操作,能够及时告警;能够识别GE与PLC交互的方法,并对PLC行为完全分析。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例1提供的GE私有协议深度识别方法技术架构示意图;
图2为本发明实施例1提供的GE私有协议深度识别方法处理流程示意图;
图3为本发明实施例1提供的GE私有协议深度识别方法中私有协议动作还原示意图;
图4为本发明实施例2提供的GE私有协议深度识别方法装置示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
参见图1、图2和图3,本发明实施例1提供一种GE私有协议深度识别方法,包括以下步骤:
S1、对GE与PLC端口通讯的协议类型进行识别,所述协议类型包括公有协议和私有协议;
S2、当所述GE与PLC端口通讯的协议类型识别为公有协议时,根据所述公有协议的类型采用对应的识别引擎进行数据处理;
S3、当所述GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;
S4、对还原后的私有协议动作进行模拟验证,将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。
本实施例中,所述公有协议包括EGD和MODBUS;
当所述GE与PLC端口通讯的协议类型识别为EGD协议时,采用EGD识别引擎进行数据处理;
当所述GE与PLC端口通讯的协议类型识别为MODBUS协议时,采用MODBUS识别引擎进行数据处理。
具体的,本实施例中涉及的EGD协议是大多数GE带以太网接口的CPU都支持的协议,适用于设备之间的简单、高速、定周期的数据通信。.EGD协议是基于UDP/IP的协议,占用UDP端口18246。EGD协议支持单播和多播的模式,可以以点对点或点对多点的方式进行数据交互。EGD协议使用的是生产者-消费者模型,每个设备可以即是生产者也是消费者。
具体的,本实施例中涉及的MODBUS已成为一种工业标准,通讯主要采用RS232,RS485等其他通讯媒介,为用户提供了一种开放、灵活和标准的通讯技术,降低了开发和维护成本。MODBUS通讯协议由主设备先建立消息格式,格式包括设备地址、功能代码、数据地址和出错校验。从设备必需用MODBUS协议建立答复消息,其格式包含确认的功能代码,返回数据和出错校验。如果接收到的数据出错,或者从设备不能执行所要求的命令,从设备将返回出错信息。MODBUS通讯协议拥有自己的消息结构,不管采用何种网络进行通讯,该消息结构均可以被***采用和识别。利用MODBUS通信协议,既可以询问网络上的其他设备,也能答复其他设备的询问,又可以检测并报告出错信息。在MODBUS网络上通讯期间,通讯协议能识别出设备地址、消息、命令以及包含在消息中的数据和其他信息。
本实施例中,所述私有协议包括SRTP;
当所述GE与PLC端口通讯的协议类型识别为SRTP协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原。
具体的,SRTP(SecureReal-time Transport Protocol)协议,即安全实时传输协议,SRTP是在实时传输协议(Real-time Transport Protocol)基础上所定义的一个协议,能够为单播和多播应用程序中的实时传输协议的数据提供加密、消息认证、完整性保证和重放保护安全实时传输协议。在SRTP中,发送方和接收方需要为每一个SRTP流维护一份加密状态信息,该信息称为加密环境。一个加密环境ID号由SSRC,目的网络地址和目的传输端口号唯一确定。
SRTP使用两种密钥:主密钥和会话密钥。主密钥用来生成相应的会话密钥,一个加密环境可以有多个主密钥,处理某个SRTP包时决定使用哪个主密钥有两种方法:一是在数据包里加MKI字段直接指定;二是通过加密环境中<From,To>值为每一个主密钥指定其处理的数据包索引号范围,超过该范围,该主密钥失效。
辅助图3,本实施例中,将通讯流量镜像后通过报文序列逆向算法或指令序列逆向算法进行私有协议特征逆向;
对于逆向的私有协议进行流模拟还原,获得私有协议动作还原数据,通过协议动作还原数据进行模拟的指令协议发送。
具体的,报文序列逆向算法或指令序列逆向算法本身属于现有技术,如以下文献公开的技术:
哈尔滨工业大学,杨朋,2019年发表的《面向网络协议行为模型的逆向分析方法研究;国防科学技术大学,李美剑,2014年发表的《基于动态二进制分析的协议模型逆向提取及其应用研究》;东南大学,胡莹2018年发表的《基于流量行为的协议逆向方法研究与实现》。
本实施例中,通过指令验证遍历,将所有的GE与PLC通讯操作流量进行完整验证。通过指令验证遍历,将所有的PLC通讯操作流量完整验证,分析协议逆向是否能达到100%还原,多次验证遍历流程,使得协议能100%验证成功。例如,通过SRTP协议进行PLC模拟开关动作,指令验证,看是否能够还原成功。
具体的,指令验证遍历可以基于现有的遍历算法,遍历算法主要是由头文件<algorithm><functional><numeric>组成。<algorithm>是所有STL头文件中最大的一个,范围涉及到比较、交换、查找、遍历操作、复制、修改等等;<numeric>体积很小,包括几个在序列上面进行简单数学运算的模板函数;<functional>定义了一些模板类,用以声明函数对象。
常用遍历算法包括,for_each//遍历容器;transform//搬运容器到另一个容器中。如for_each函数原型:for_each(iterator beg,iterator end,_func);
//遍历算法遍历容器元素
//beg开始迭代器
//end结束迭代器
//_func函数或者函数对象。
具体的,验证后的协议放入工业协议识别引擎库,并建立协议标识规则,对所述指令识别规则构建指令识别规则集,对所述指令识别规则集进行安全基线规则扩展,建立告警触发机制及构建协议恶意攻击规则。进而完成对于私有协议的识别流程,实现私有协议深度识别。
综上所述,本发明对GE与PLC端口通讯的协议类型进行识别,协议类型包括公有协议和私有协议;当GE与PLC端口通讯的协议类型识别为公有协议时,根据公有协议的类型采用对应的识别引擎进行数据处理;当GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;对还原后的私有协议动作进行模拟验证,将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。本发明能够让管理任意直观看到协议交互过程;能够看到危险发生时的时间、IP源、危险的原因,例如PLC恶意关闭CPU等操作,能够及时告警;能够识别GE与PLC交互的方法,并对PLC行为完全分析。
实施例2
参见图4,本发明实施例2提供一种GE私有协议深度识别装置,采用实施例1或其任意可能实现方式的GE私有协议深度识别方法,包括:
协议类型识别模块1,用于对GE与PLC端口通讯的协议类型进行识别,所述协议类型包括公有协议和私有协议;
公有协议数据处理模块2,用于当所述GE与PLC端口通讯的协议类型识别为公有协议时,根据所述公有协议的类型采用对应的识别引擎进行数据处理;
私有协议动作还原模块3,用于当所述GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;
私有协议动作验证模块4,用于对还原后的私有协议动作进行模拟验证;
私有协议动作存储模块5,用于将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。
需要说明的是,上述GE私有协议深度识别装置各模块/单元之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例1中的叙述。
实施例3
本发明实施例3提供一种计算机可读存储介质,所述计算机可读存储介质中存储GE私有协议深度识别方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的GE私有协议深度识别方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidStateDisk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,所述电子设备包括处理器,所述处理器与存储介质耦合,当所述处理器执行存储介质中的指令时,使得所述电子设备执行实施例1或其任意可能实现方式的GE私有协议深度识别方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (10)

1.一种GE私有协议深度识别方法,其特征在于,包括以下步骤:
对GE与PLC端口通讯的协议类型进行识别,所述协议类型包括公有协议和私有协议;
当所述GE与PLC端口通讯的协议类型识别为公有协议时,根据所述公有协议的类型采用对应的识别引擎进行数据处理;
当所述GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;
对还原后的私有协议动作进行模拟验证,将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。
2.根据权利要求1所述的一种GE私有协议深度识别方法,其特征在于,所述公有协议包括EGD和MODBUS;
当所述GE与PLC端口通讯的协议类型识别为EGD协议时,采用EGD识别引擎进行数据处理;
当所述GE与PLC端口通讯的协议类型识别为MODBUS协议时,采用MODBUS识别引擎进行数据处理。
3.根据权利要求1所述的一种GE私有协议深度识别方法,其特征在于,所述私有协议包括SRTP;
当所述GE与PLC端口通讯的协议类型识别为SRTP协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原。
4.根据权利要求3所述的一种GE私有协议深度识别方法,其特征在于,将通讯流量镜像后通过报文序列逆向算法或指令序列逆向算法进行私有协议特征逆向;
对于逆向的私有协议进行流模拟还原,获得私有协议动作还原数据,通过协议动作还原数据进行模拟的指令协议发送。
5.根据权利要求4所述的一种GE私有协议深度识别方法,其特征在于,通过指令验证遍历,将所有的GE与PLC通讯操作流量进行完整验证。
6.根据权利要求5所述的一种GE私有协议深度识别方法,其特征在于,对所述指令识别规则构建指令识别规则集,对所述指令识别规则集进行安全基线规则扩展,建立告警触发机制。
7.根据权利要求5所述的一种GE私有协议深度识别方法,其特征在于,对所述指令识别规则构建指令识别规则集,对所述指令识别规则集进行安全基线规则扩展,构建协议恶意攻击规则。
8.一种GE私有协议深度识别装置,采用权利要求1至7任一项的GE私有协议深度识别方法,其特征在于,包括:
协议类型识别模块,用于对GE与PLC端口通讯的协议类型进行识别,所述协议类型包括公有协议和私有协议;
公有协议数据处理模块,用于当所述GE与PLC端口通讯的协议类型识别为公有协议时,根据所述公有协议的类型采用对应的识别引擎进行数据处理;
私有协议动作还原模块,用于当所述GE与PLC端口通讯的协议类型识别为私有协议时,在沙箱虚拟环境中进行GE和PLC通讯,将通讯流量镜像后通过报文逆向算法进行私有协议动作还原;
私有协议动作验证模块,用于对还原后的私有协议动作进行模拟验证;
私有协议动作存储模块,用于将验证后的私有协议动作放入工业协议识别引擎库,同时建立指令标识规则。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有权利要求1至7任一项的GE私有协议深度识别方法的程序代码。
10.一种电子设备,所述电子设备包括处理器,所述处理器与存储介质耦合,其特征在于,当所述处理器执行存储介质中的指令时,使得所述电子设备执行权利要求1至7任一项的GE私有协议深度识别方法。
CN202110673039.XA 2021-06-17 2021-06-17 一种ge私有协议深度识别方法及装置 Active CN113507449B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110673039.XA CN113507449B (zh) 2021-06-17 2021-06-17 一种ge私有协议深度识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110673039.XA CN113507449B (zh) 2021-06-17 2021-06-17 一种ge私有协议深度识别方法及装置

Publications (2)

Publication Number Publication Date
CN113507449A true CN113507449A (zh) 2021-10-15
CN113507449B CN113507449B (zh) 2022-05-20

Family

ID=78010336

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110673039.XA Active CN113507449B (zh) 2021-06-17 2021-06-17 一种ge私有协议深度识别方法及装置

Country Status (1)

Country Link
CN (1) CN113507449B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114125083A (zh) * 2021-11-24 2022-03-01 河南中裕广恒科技股份有限公司 工业网络分布式数据采集方法、装置、电子设备及介质
CN114884852A (zh) * 2022-05-07 2022-08-09 武汉思普崚技术有限公司 节点交互及协议识别方法、装置、设备及计算机介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848107A (zh) * 2010-05-14 2010-09-29 中兴通讯股份有限公司 Snmp网元及snmp网元与私有协议网元通信的方法
CN104159232A (zh) * 2014-09-01 2014-11-19 电子科技大学 二进制消息数据的协议格式识别方法
CN104506484A (zh) * 2014-11-11 2015-04-08 中国电子科技集团公司第三十研究所 一种私有协议分析与识别方法
CN105282123A (zh) * 2014-07-24 2016-01-27 亿阳安全技术有限公司 一种网络协议识别方法和装置
CN108737417A (zh) * 2018-05-16 2018-11-02 南京大学 一种面向工业控制***的脆弱性检测方法
CN110011973A (zh) * 2019-03-06 2019-07-12 浙江国利网安科技有限公司 工业控制网络访问规则构建方法及训练***
CN111371651A (zh) * 2020-03-12 2020-07-03 杭州木链物联网科技有限公司 一种工业通讯协议逆向分析方法
CN111800379A (zh) * 2020-05-26 2020-10-20 北京惠而特科技有限公司 一种基于Lua的工控私有协议检测方法及装置
CN112039196A (zh) * 2020-04-22 2020-12-04 广东电网有限责任公司 一种基于协议逆向工程的电力监控***私有协议解析方法
CN112187583A (zh) * 2020-09-30 2021-01-05 绿盟科技集团股份有限公司 动作信息在私有工控协议中识别的方法、装置及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101848107A (zh) * 2010-05-14 2010-09-29 中兴通讯股份有限公司 Snmp网元及snmp网元与私有协议网元通信的方法
CN105282123A (zh) * 2014-07-24 2016-01-27 亿阳安全技术有限公司 一种网络协议识别方法和装置
CN104159232A (zh) * 2014-09-01 2014-11-19 电子科技大学 二进制消息数据的协议格式识别方法
CN104506484A (zh) * 2014-11-11 2015-04-08 中国电子科技集团公司第三十研究所 一种私有协议分析与识别方法
CN108737417A (zh) * 2018-05-16 2018-11-02 南京大学 一种面向工业控制***的脆弱性检测方法
CN110011973A (zh) * 2019-03-06 2019-07-12 浙江国利网安科技有限公司 工业控制网络访问规则构建方法及训练***
CN111371651A (zh) * 2020-03-12 2020-07-03 杭州木链物联网科技有限公司 一种工业通讯协议逆向分析方法
CN112039196A (zh) * 2020-04-22 2020-12-04 广东电网有限责任公司 一种基于协议逆向工程的电力监控***私有协议解析方法
CN111800379A (zh) * 2020-05-26 2020-10-20 北京惠而特科技有限公司 一种基于Lua的工控私有协议检测方法及装置
CN112187583A (zh) * 2020-09-30 2021-01-05 绿盟科技集团股份有限公司 动作信息在私有工控协议中识别的方法、装置及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114125083A (zh) * 2021-11-24 2022-03-01 河南中裕广恒科技股份有限公司 工业网络分布式数据采集方法、装置、电子设备及介质
CN114125083B (zh) * 2021-11-24 2024-06-18 河南中裕广恒科技股份有限公司 工业网络分布式数据采集方法、装置、电子设备及介质
CN114884852A (zh) * 2022-05-07 2022-08-09 武汉思普崚技术有限公司 节点交互及协议识别方法、装置、设备及计算机介质
CN114884852B (zh) * 2022-05-07 2024-04-23 武汉思普崚技术有限公司 节点交互及协议识别方法、装置、设备及计算机介质

Also Published As

Publication number Publication date
CN113507449B (zh) 2022-05-20

Similar Documents

Publication Publication Date Title
Dietz et al. Unleashing the digital twin's potential for ics security
CN113507449B (zh) 一种ge私有协议深度识别方法及装置
WO2018107631A1 (zh) 一种基于工业控制网络的入侵检测模型的自动建立方法及装置
CN107360145B (zh) 一种多节点蜜罐***及其数据分析方法
AU2019232391B2 (en) Attribute-based policies for integrity monitoring and network intrusion detection
Eden et al. A forensic taxonomy of SCADA systems and approach to incident response
CN108292133A (zh) 用于在工业控制***内识别已泄密设备的***和方法
EP3767913A1 (en) Systems and methods for correlating events to detect an information security incident
US11399036B2 (en) Systems and methods for correlating events to detect an information security incident
Ovaz Akpinar et al. Development of the ECAT preprocessor with the trust communication approach
Alsmadi et al. Vulnerability assessment of industrial systems using Shodan
CN100367229C (zh) 基于计算机活动的生产率测量方法和***
CN114978782B (zh) 工控威胁检测方法、装置、工控设备以及存储介质
Hormann et al. Parsing and extracting features from opc unified architecture in industrial environments
Sand Incident handling, forensics sensors and information sources in industrial control systems
NL2020552B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
Zolanvari Addressing Pragmatic Challenges in Utilizing AI for Security of Industrial IoT
NL2020632B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
CN114844691B (zh) 一种数据处理方法、装置、电子设备及存储介质
Usova et al. Model of Secure Informational Messages for Ensuring Informational Interaction in Smart Factory.
CN114745166B (zh) 工业资产风险感知方法、装置及电子设备
CN112543203B (zh) 终端接入方法、装置及***
NL2020633B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
CN115102725B (zh) 一种工业机器人的安全审计方法、装置及介质
NL2020634B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant