技术特征:
1.一种基于协议树识别与深度解析工控网络中扩展协议的方法,其特征在于,包括以下步骤:1)未知协议识别,
①
对采集的未知协议进行识别;
②
采用解析器,生产出规则库;
③
对每个协议进行存储;2)协议格式识别,通过数据切分特征库,对协议格式进行识别;3)协议树编写,
①
制定协议树的编写格式,协议树采用json格式进行编写;
②
protocol tree为树的主干,protocol tree能够基于端口 应用层payload相结合,避免了协议误识别;
③
children为树干的树枝,也叫子结点,子节点可以有自己的节点,依次往下进行分支,直到满足协议规约的要求,children的主要作用是为协议的深度解析,提供具体的解析参数;4)协议信息分析与存储,进行协议树的解析,并存入数据库,为后续dpi对私有协议进行深度解析做准备,
①
基于json格式获取主干信息;
②
根据length偏移,去解析分支1信息,判断分支1是否有子节点;
③
如果有继续解析子节点,没有则结束;
④
分支1解析完后,解析分支2,然后判断分支2是否有子节点,依次类推,直到所有的分支节点都解析完成;5)协议深度解析。2.根据权利要求1所述的一种基于协议树识别与深度解析工控网络中扩展协议的方法,其特征在于,所述protocol tree包括协议名、目的端口、传输协议类型、特征码、特征码起始偏移和特征码匹配深度。3.根据权利要求1所述的一种基于协议树识别与深度解析工控网络中扩展协议的方法,其特征在于,所述children包括功能说明、协议字段名、字段长度和字段值。4.根据权利要求1所述的一种基于协议树识别与深度解析工控网络中扩展协议的方法,其特征在于,所述协议深度解析能够细粒度的解析私有协议,达到审计或者防护的目的。
技术总结
本发明涉及工控网络解析技术领域,且公开了一种基于协议树识别与深度解析工控网络中扩展协议的方法,包括以下步骤:未知协议识别,对采集的未知协议进行识别,采用解析器,生产出规则库,对每个协议进行存储,协议格式识别,通过数据切分特征库,对协议格式进行识别。该基于协议树识别与深度解析工控网络中扩展协议的方法,通过让用户根据私有协议规约,按照本发明指定格式编写Protocol Tree,然后深度解析程序通过读取Protocol Tree,对私有协议进行识别与深度解析,解决私有协议不能深度解析的技术问题,用户通过Protocol Tree,用户能够一眼看出协议结构,便于方面检查,同时也避免了无比繁琐的协议识别配置,能够解析私有协议。议。
技术研发人员:王小东 邹丛林
受保护的技术使用者:北京天地和兴科技有限公司
技术研发日:2021.10.09
技术公布日:2022/1/14
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
