【技术实现步骤摘要】
一种工业通讯协议逆向分析方法
本专利技术涉及工业控制系统网络通信领域,具体涉及对工控网络数据包的内容进行深度解析和对工控私有协议进行二进制逆向分析的方法,可用于从底层全面地了解工业控制系统运行情况。
技术介绍
自从2010年伊朗爆发震网病毒事件以来,国内外发生了多起重大的工业控制系统网络安全事件,对于工业控制系统稳定运行产生极大地影响和破坏。工业控制系统用于控制工业现场各类设备按照工艺要求进行协作生产,是工业生产的核心中枢。在役工业控制系统普遍没有考虑到网络安全的威胁,系统中存在大量可被攻击者利用的脆弱性,存在极大的风险隐患。工业控制系统中各个部件通过工业控制网络进行数据通信,通信内容中除了包含了上位机发出的控制指令,以及下位机返回的运行状态等正常行为数据,也可能存在攻击者进行破坏时产生的异常行为数据,因此对网络数据进行监测,识别其中的异常行为并进行适当处理,是保障工业控制系统的重要手段。不同于传统信息系统采用的HTTP、FTP等通用网络协议,工控网络数据通常采用专用协议进行编码,若缺乏数据深度解析能力,安全...
【技术保护点】
1.一种工业通讯协议逆向分析方法,其特征在于,包括:/n接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类;/n接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包;/n接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式。/n
【技术特征摘要】
1.一种工业通讯协议逆向分析方法,其特征在于,包括:
接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类;
接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包;
接收数据包深度解析指令,对所述第二数据包进行逆向分析,获取协议格式。
2.根据权利要求1所述的一种工业通讯协议逆向分析方法,其特征在于,接收数据获取指令,获取工控网络数据流中的第一数据包并得到数据分类,包括步骤如下:
接收数据识别指令,主要对所述第一数据包进行检查,获取所需的数据类型;
接收数据获取部分指令,在工业控制系统的交换机上启用镜像端口功能,获取第一数据包;
接收数据分析指令,对所述第一数据包包头内容进行分析;
接收数据入库指令,将获取的第一数据包及数据分类存放在数据库中。
3.根据权利要求1所述的一种工业通讯协议逆向分析方法,其特征在于,接收数据包重构指令,基于OSI模型对所述第一数据包进行自下而上的解析,获取第二数据包,包括:
对网络层的协议识别后进行组包还原;
脱去网络层协议封头进行逐层分析得到所述第二数据包。
4.根据权利要求1...
【专利技术属性】
技术研发人员:朱奕辉,陈昕伟,雷濛,郭宾,
申请(专利权)人:杭州木链物联网科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。