一种GE私有协议深度识别方法及装置制造方法及图纸

一种GE私有协议深度识别方法及装置，对GE与PLC端口通讯的协议类型进行识别，当GE与PLC端口通讯的协议类型识别为公有协议时，根据公有协议的类型采用对应的识别引擎进行数据处理；当GE与PLC端口通讯的协议类型识别为私有协议时，在沙箱虚拟环境中进行GE和PLC通讯，将通讯流量镜像后通过报文逆向算法进行私有协议动作还原；对还原后的私有协议动作进行模拟验证，将验证后的私有协议动作放入工业协议识别引擎库，同时建立指令标识规则。本发明专利技术能够让管理直观看到协议交互过程；看到危险发生时时间、IP源、危险原因，能够及时告警；能够识别GE与PLC交互的方法，对PLC行为完全分析。对PLC行为完全分析。对PLC行为完全分析。

【技术实现步骤摘要】
一种GE私有协议深度识别方法及装置


[0001]本专利技术涉及通讯协议处理
，具体涉及一种GE私有协议深度识别方法及装置。

技术介绍

[0002]自从第一台PLC在GM公司汽车生产线上首次应用成功以来，PLC凭借其方便性、可靠性以及低廉的价格得到了广泛的应用。但PLC是一个黑盒子，不能实时直观地观察控制过程。计算机技术的发展和普及，为PLC又提供了新的技术手段，通过计算机可以实施监测PLC的控制过程和结果，但是各PLC通讯介质和通讯协议又各不相同。
[0003]目前，业内对于GE(工业以太网)的私有协议识别仅基于端口或者无法识别。整个过程通过PC电脑端控制PLC，旁路部署协议审计设备；端口认识到GE协议或者仅仅识别为TCP/IP协议以及端口号，协议本身公开资源非常少，了解协议仅通过界面操作协议，协议本身通过审计无法识别。即无法识别GE私有协议内容；无法识别通过PC电脑端操作PLC协议的关键数值；对于黑客入侵PC电脑端操作PLC导致恶意事件发生时，没有提供朔源的能力；对于误操作，恶意操作PLC行为无法审计，仅能记录源IP到目的IP的会话记录。

技术实现思路

[0004]为此，本专利技术提供一种GE私有协议深度识别方法及装置，实现GE与PLC交互识别和PLC操控行为完全分析，使协议交互过程相对于管理人员透明化。
[0005]为了实现上述目的，第一方面，本专利技术提供一种GE私有协议深度识别方法，包括以下步骤：
[0006]对GE与PLC端口通讯的协议类型进行识别，所述协议类型包括公有协议和私有协议；
[0007]当所述GE与PLC端口通讯的协议类型识别为公有协议时，根据所述公有协议的类型采用对应的识别引擎进行数据处理；
[0008]当所述GE与PLC端口通讯的协议类型识别为私有协议时，在沙箱虚拟环境中进行GE和PLC通讯，将通讯流量镜像后通过报文逆向算法进行私有协议动作还原；
[0009]对还原后的私有协议动作进行模拟验证，将验证后的私有协议动作放入工业协议识别引擎库，同时建立指令标识规则。
[0010]作为GE私有协议深度识别方法的优选方案，所述公有协议包括EGD和MODBUS；
[0011]当所述GE与PLC端口通讯的协议类型识别为EGD协议时，采用EGD识别引擎进行数据处理；
[0012]当所述GE与PLC端口通讯的协议类型识别为MODBUS协议时，采用MODBUS识别引擎进行数据处理。
[0013]作为GE私有协议深度识别方法的优选方案，所述私有协议包括SRTP；
[0014]当所述GE与PLC端口通讯的协议类型识别为SRTP协议时，在沙箱虚拟环境中进行
GE和PLC通讯，将通讯流量镜像后通过报文逆向算法进行私有协议动作还原。
[0015]作为GE私有协议深度识别方法的优选方案，将通讯流量镜像后通过报文序列逆向算法或指令序列逆向算法进行私有协议特征逆向；
[0016]对于逆向的私有协议进行流模拟还原，获得私有协议动作还原数据，通过协议动作还原数据进行模拟的指令协议发送。
[0017]作为GE私有协议深度识别方法的优选方案，通过指令验证遍历，将所有的GE与PLC通讯操作流量进行完整验证。
[0018]作为GE私有协议深度识别方法的优选方案，对所述指令识别规则构建指令识别规则集，对所述指令识别规则集进行安全基线规则扩展，建立告警触发机制。
[0019]作为GE私有协议深度识别方法的优选方案，对所述指令识别规则构建指令识别规则集，对所述指令识别规则集进行安全基线规则扩展，构建协议恶意攻击规则。
[0020]第二方面，本专利技术提供一种GE私有协议深度识别装置，采用第一方面或其任意可能实现方式的GE私有协议深度识别方法，包括：
[0021]协议类型识别模块，用于对GE与PLC端口通讯的协议类型进行识别，所述协议类型包括公有协议和私有协议；
[0022]公有协议数据处理模块，用于当所述GE与PLC端口通讯的协议类型识别为公有协议时，根据所述公有协议的类型采用对应的识别引擎进行数据处理；
[0023]私有协议动作还原模块，用于当所述GE与PLC端口通讯的协议类型识别为私有协议时，在沙箱虚拟环境中进行GE和PLC通讯，将通讯流量镜像后通过报文逆向算法进行私有协议动作还原；
[0024]私有协议动作验证模块，用于对还原后的私有协议动作进行模拟验证；
[0025]私有协议动作存储模块，用于将验证后的私有协议动作放入工业协议识别引擎库，同时建立指令标识规则。
[0026]第三方面，提供一种计算机可读存储介质，所述计算机可读存储介质中存储有第一方面或其任意可能实现方式的GE私有协议深度识别方法的程序代码。
[0027]第四方面，提供一种电子设备，所述电子设备包括处理器，所述处理器与存储介质耦合，当所述处理器执行存储介质中的指令时，使得所述电子设备执行第一方面或其任意可能实现方式的GE私有协议深度识别方法。
[0028]本专利技术具有如下优点：对GE与PLC端口通讯的协议类型进行识别，协议类型包括公有协议和私有协议；当GE与PLC端口通讯的协议类型识别为公有协议时，根据公有协议的类型采用对应的识别引擎进行数据处理；当GE与PLC端口通讯的协议类型识别为私有协议时，在沙箱虚拟环境中进行GE和PLC通讯，将通讯流量镜像后通过报文逆向算法进行私有协议动作还原；对还原后的私有协议动作进行模拟验证，将验证后的私有协议动作放入工业协议识别引擎库，同时建立指令标识规则。本专利技术能够让管理任意直观看到协议交互过程；能够看到危险发生时的时间、IP源、危险的原因，例如PLC恶意关闭CPU等操作，能够及时告警；能够识别GE与PLC交互的方法，并对PLC行为完全分析。
附图说明
[0029]为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案，下面将对实施方
式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。
[0030]本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本专利技术可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本专利技术所能产生的功效及所能达成的目的下，均应仍落在本专利技术所揭示的
技术实现思路
能涵盖的范围内。
[0031]图1为本专利技术实施例1提供的GE私有协议深度识别方法技术架构示意图；
[0032]图2为本专利技术实施例1提供的GE私有协议深度识别方法处理流程示意图；
[0033]图3为本专利技术实施例1提供的GE私有协议深度识别方法中私有协议动作还原示意图；
[0034]图4为本专利技术实施例2提供的GE私有协议深度识别方法装置示意图。
具体实施方式
[0035]以下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种GE私有协议深度识别方法，其特征在于，包括以下步骤：对GE与PLC端口通讯的协议类型进行识别，所述协议类型包括公有协议和私有协议；当所述GE与PLC端口通讯的协议类型识别为公有协议时，根据所述公有协议的类型采用对应的识别引擎进行数据处理；当所述GE与PLC端口通讯的协议类型识别为私有协议时，在沙箱虚拟环境中进行GE和PLC通讯，将通讯流量镜像后通过报文逆向算法进行私有协议动作还原；对还原后的私有协议动作进行模拟验证，将验证后的私有协议动作放入工业协议识别引擎库，同时建立指令标识规则。2.根据权利要求1所述的一种GE私有协议深度识别方法，其特征在于，所述公有协议包括EGD和MODBUS；当所述GE与PLC端口通讯的协议类型识别为EGD协议时，采用EGD识别引擎进行数据处理；当所述GE与PLC端口通讯的协议类型识别为MODBUS协议时，采用MODBUS识别引擎进行数据处理。3.根据权利要求1所述的一种GE私有协议深度识别方法，其特征在于，所述私有协议包括SRTP；当所述GE与PLC端口通讯的协议类型识别为SRTP协议时，在沙箱虚拟环境中进行GE和PLC通讯，将通讯流量镜像后通过报文逆向算法进行私有协议动作还原。4.根据权利要求3所述的一种GE私有协议深度识别方法，其特征在于，将通讯流量镜像后通过报文序列逆向算法或指令序列逆向算法进行私有协议特征逆向；对于逆向的私有协议进行流模拟还原，获得私有协议动作还原数据，通过协议动作还原数据进行模拟的指令协议发送。5.根据权利要求4所述的一种GE私有协议深度识别方法，其特征在于，通过指令验证遍历，将所有的GE...

【专利技术属性】
技术研发人员：李生晶，谭曙光，
申请(专利权)人：北京惠而特科技有限公司，
类型：发明
国别省市：