[发明专利]工控系统专用协议识别方法与系统

权利要求书

1.一种工控系统专用协议识别方法，其特征在于，包括下述步骤：

首先，对工控系统专用协议进行分析，建立协议特征库；

然后，对于输入的协议，根据协议特征库进行匹配。

2.根据权利要求1所述的工控系统专用协议识别方法，其特征在于，所述协议特征库包括三种对应关系和三种特征，三种对应关系包括：端口号与协议的对应；特殊字符串与协议的对应以及流量特征与协议的对应，三种特征包括端口号、特有字符串和流量特征。

3.根据权利要求1所述的工控系统专用协议识别方法，其特征在于，对于输入的协议还包括下述步骤：先提取端口号时，对报文进行协议分析，然后得到传输层的协议端口号；通过分析协议的报文中的特有字符串；分析工控协议的流量特征，包括包传输时间、长度、包间隔时间或者带宽特征。

4.根据权利要求1所述的工控系统专用协议识别方法，其特征在于，在进行特征匹配时，首先，进行端口号的匹配，如果成功则输出是工控协议，如果失败则进入下一步内容匹配，通过KMP算法将协议和协议特征库中的特有字符串进行匹配，如果成功则输出是工控协议，如果失败则进行流量匹配，将协议与特征库中的流量特征进行匹配，如果成功则输出该协议为工控协议；如果三种匹配都不能完成，则输出该协议不是工控协议。

5.根据权利要求1-4中任意一项所述的工控系统专用协议识别方法，其特征在于，所述方法更加包括：

对于失败的协议，进行端口号、特有字符串和流量特征的提取，通过机器学习的方法判断是否是新的特征，如果是则加入协议特征库，否则放弃。

6.一种工控系统专用协议识别系统，其特征在于，包括用于构建协议特征库的模块以及用于协议匹配的模块，其中：

用于构建协议特征库的模块被设置成用于对工控系统专用协议进行分析，建立协议特征库，其中协议特征库包括三种对应关系和三种特征，三种对应关系包括：端口号与协议的对应；特殊字符串与协议的对应以及流量特征与协议的对应，三种特征包括端口号、特有字符串和流量特征；

用于协议匹配的模块，被设置成用于对于输入的协议，根据协议特征库进行匹配。

7.根据权利要求6所述的工控系统专用协议识别系统，其特征在于，所述用于协议匹配的模块被设置成按照下述方式进行匹配：首先，进行端口号的匹配，如果成功则输出是工控协议，如果失败则进入下一步内容匹配，通过KMP算法将协议和协议特征库中的特有字符串进行匹配，如果成功则输出是工控协议，如果失败则进行流量匹配，将协议与特征库中的流量特征进行匹配，如果成功则输出该协议为工控协议；如果三种匹配都不能完成，则输出该协议不是工控协议。

8.根据权利要求6或7所述的工控系统专用协议识别系统，其特征在于，所述系统更加包括：

用于对于失败的协议，进行端口号、特有字符串和流量特征的提取，通过机器学习的方法判断是否是新的特征的模块，其中如果判断为是则加入协议特征库，否则放弃。