[发明专利]一种基于对话分析的工控协议报文分类方法和系统

说明书

本发明公开了一种基于对话分析的工控协议报文分类方法，包括：从工控网络中获取多个包括请求报文和响应报文的对话报文。并使用序列比对算法对每个对话报文中的请求报文和响应报文进行比对处理，以获取与该对话报文对应的对齐请求报文和对齐响应报文，针对每个对话报文而言，对其对应的对齐请求报文和对齐响应报文进行逐字节比对处理，以生成该对话报文对应的状态序列，根据所有对话报文对应的状态序列对所有对话报文进行排序，以得到排序后的多个对话报文；针对排序后的多个对话报文而言，依次取出每个对话报文。本发明能够解决现有基于频繁序列的报文分类方法和基于聚类算法的报文分类方法均难以提取工控协议报文中类别标识的技术问题。

技术领域

本发明属于工业控制网络技术领域，更具体地，涉及一种基于对话分析的工控协议报文分类方法和系统。

背景技术

工控协议，即用于工业控制网络中的各个节点间的通信规范。同传统网络协议相比，现有工控协议多为工控设备生产厂家自己制定的私有协议，具有高可用、低成本、低延时、易解析、高效率的特点，而相对协议本身对安全性、保密性的要求较低，安全保障依赖于物理隔离。但是，随着互联网技术的发展，信息化、自动化、智能化的趋势也逐渐渗透到了生产制造领域，越来越多的工业控制网络也打破了原有的物理隔离，实现了与传统计算机网络的互连，但这一趋势在给工业生产制造带来极大便利的同时，也带来了一系列的安全问题，但同时由于大多数工控协议为规范未知的私有协议，直接引入传统网络安全防护设备往往起不到较为理想的效果。为了增强工控网络的安全性，各种协议分析技术应运而生，报文分类技术就是其中的一种。

现有的报文分类技术按照实现原理可分为两种，基于频繁序列的报文分类方法和基于聚类算法的报文分类方法：基于频繁序列的报文分类方法即将分类问题转换为频繁序列提取问题，根据不同类型报文中包含的不同频繁序列完成报文分类；基于聚类算法的报文分类方法首先通过特征提取将报文转换为能反映报文信息的特征向量，然后选取合适的方法评估特征向量之间的距离或相似度，最后用聚类算法依照特征向量之间的距离或相似度对报文进行聚类。

然而，上述两种报文分类方法均存在一些不可忽略的缺陷：第一，基于频繁序列的报文分类方法仅适用对文本协议中固定不变的类别标识中的关键字进行提取，而工控协议作为一种二进制协议不存在标识字段类型的关键字，因此很难使用基于频繁序列的报文分类方法提取工控协议报文的类别标识；第二，基于聚类算法的报文分类方法仅通过从单一报文的类别中提取的特征进行分类，而工控协议中单一报文的类别特征可能仅表现为某字段的取值不同，因此很难使用基于聚类算法的报文分类方法提取单一工控协议报文中的类别标识；第三，基于聚类算法的报文分类方法需要计算所有报文中任意两个报文之间的距离或相似度，该过程往往非常耗时。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于对话分析的工控协议报文分类方法和系统，其目的在于，解决现有基于频繁序列的报文分类方法和基于聚类算法的报文分类方法均难以提取工控协议报文中类别标识的技术问题，以及现有基于聚类算法的报文分类方法难以从单一工控协议报文中提取类别特征的问题，以及由于需要计算所有报文中任意两个报文之间的距离或相似度，导致非常耗时的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于对话分析的工控协议报文分类方法，包括以下步骤：

(1)从工控网络中获取多个包括请求报文和响应报文的对话报文。并使用序列比对算法对每个对话报文中的请求报文和响应报文进行比对处理，以获取与该对话报文对应的对齐请求报文和对齐响应报文。

(2)针对步骤(1)得到的每个对话报文而言，对其对应的对齐请求报文和对齐响应报文进行逐字节比对处理，以生成该对话报文对应的状态序列；

(3)根据步骤(3)生成的所有对话报文对应的状态序列对所有对话报文进行排序，以得到排序后的多个对话报文；