[发明专利]一种工控协议逆向分析方法及装置

说明书

本发明提供了一种工控协议逆向分析方法及装置，其中，该方法包括：获取待分析报文集合；将待分析报文集合中所有报文分解为字节数组，将分解后的所有报文合成二维协议矩阵；结合各报文的报文时间对二维协议矩阵中每一列中的字节数组进行多序列比对，确定每一列中的字节数组的字段类型；基于每一列中的字节数组的字段类型和每一列中的字节数组的数值确定每一列中的字节数组对应的协议内容；按顺序将所有的字节数组对应的协议内容组合，得到该类报文对应的工控协议。本发明通过将报文分解后，结合工控协议的特点分析每一列的字节数组对应的协议报文，从而得到报文对应的工控协议，即使对于全新的工控协议，也可以分析得出其协议内容。

技术领域

本发明涉及工控系统领域，具体涉及一种工控协议逆向分析方法及装置。

背景技术

工控系统一般应用在轨道交通、发电厂、电网、智能制造、石油石化等领域，这些系统很多关系国计民生，属于关键基础设施，因此工控系统的安全性备受关注。工控系统使用的工控协议种类繁多，各家厂商基本都使用自家的私有协议，有些对外公开，很多都不对外公开。为了保护这些工控系统，需要对这些工控协议进行逆向分析，了解协议的细节，进而对协议进行安全研究和分析，这样才可以更有针对性的制定相应的安全策略。由于进行协议逆向分析的数据源一般是PCAP报文，或者串接抓取的实时数据流，这些报文数据可能是全新的未知协议，通用逆向分析算法通过将报文数据与已知的协议进行对比，若报文数据与已知的协议相匹配，则可输出该报文对应的协议，由于通用逆向分析算法为将报文数据与已知协议进行比对，因此若报文对应的协议为全新的未知协议，通过通用的逆向分析算法无法分析得到该协议。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中若报文对应的协议为全新的未知协议，通过通用的逆向分析算法无法分析得到该协议的缺陷，从而提供一种工控协议逆向分析方法及装置。

本发明第一方面提供了一种工控协议逆向分析方法，包括：获取待分析报文集合；将待分析报文集合中所有报文分解为字节数组，将分解后的所有报文合成二维协议矩阵，每一个报文分解得到的所有字节数组为二维协议矩阵的一行，各报文处于同一位置的字节数组组成二维协议矩阵的一列；结合各报文的报文时间对二维协议矩阵中每一列中的字节数组进行多序列比对，确定每一列中的字节数组的字段类型，其中，不同的字段类型对应的字节数组的变化规律不同；基于每一列中的字节数组的字段类型和每一列中的字节数组的数值确定每一列中的字节数组对应的协议内容；按顺序将所有的字节数组对应的协议内容组合，得到该类报文对应的工控协议。

可选地，在获取待分析报文集合之后，将待分析报文集合中所有报文分解为字节数组之前，还包括：将待分析报文集合中的报文与先验知识库进行比对，判断待分析报文集合中的报文是否符合已知工控协议，其中，先验知识库为预先建立的包含已知工控协议的数据库；当待分析报文集合中的报文符合已知工控协议时，则输出该类报文对应的工控协议；当待分析报文集合中的报文不符合已知工控协议时，执行将待分析报文集合中所有报文分解为字节数组，将分解后的所有报文合成二维协议矩阵的步骤。

可选地，获取待分析报文集合的步骤，包括：采集不同业务的多个初始报文；去除多个初始报文的通信协议报文头，得到多个原始报文；按照原始报文的报文方向和报文长度，对多个原始报文进行聚类，得到多个待分析报文集合。

可选地，字段类型包括渐变字段，基于每一列中的字节数组的字段类型和每一列中的字节数组的数值确定每一列中的字节数组对应的协议内容的步骤，包括：将二维协议矩阵中字段类型为渐变字段的字节数组和该字节数组前N1列的字节数组进行组合，形成第一组合字节集合，N1大于等于1，第一组合字节集合中包括多个第一组合字节；计算第一组合字节集合中任意两个第一组合字节的数值的差值，以及任意两个第一组合字节对应的报文时间的差值；若任意两个第一组合字节的数值的差值和报文时间的差值相同，则判定字段类型为渐变字段的字节数组为用于表示时间的时间字段。