(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211314618.6 (22)申请日 2022.10.26 (65)同一申请的已公布的文献号 申请公布号 CN 115442154 A (43)申请公布日 2022.12.06 (73)专利权人 北京安帝科技有限公司 地址 100080 北京市海淀区西四环北路158 号1幢9层9H -5-1 (72)发明人 周磊　姜双林　王自强　 (74)专利代理 机构 北京星通盈泰知识产权代理 有限公司 1 1952 专利代理师 葛战波 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01)(56)对比文件 CN 114595448 A,202 2.06.07 CN 209264854 U,2019.08.16 CN 114553983 A,202 2.05.27 US 2020387144 A1,2020.12.10 CN 114501458 A,202 2.05.13 审查员 李玉萍 (54)发明名称 模块化工控协议包深度解析验证方法与系 统 (57)摘要 本申请属于工业安全 领域， 公开了一种模块 化工控协议包深度解析验证方法与系统。 本发明 对工控协议包进行解析， 提取其中的关键字段并 转化为输入量， 导入工控系统的模拟机； 工控系 统模拟机建立工控系统的状态迁移时序模型， 对 工控协议包输入量引起的模拟机状态时序迁移 进行验证， 从而实现对工控协议包 是否存在深层 恶意行为的解析判断。 权利要求书2页 说明书9页 附图2页 CN 115442154 B 2022.12.30 CN 115442154 B 1.一种模块 化工控协议包深度解析验证方法， 其特 征在于， 包括以下步骤： 工控协议包解析步骤， 基于所遵循的工控协议， 对工控协议包进行逐层拆分， 提取工控 协议包各层字段中的有效载荷信息， 并且根据有效载荷信息确定该工控协 议包与工控系统 的状态迁移相关的参 量； 状态迁移输入量建立步骤， 针对在预设的验证时间窗口内按时序接收的工控协议包， 根据所述状态迁移相关的参量形成状态迁移时序序列； 根据状态迁移时序序列形成对工控 系统模拟机的状态迁移输入量； 时序迁移状态生成步骤， 将所述状态迁移输入量输入工控系统模拟机， 基于工控系统 模拟机的状态迁移 时序模型， 通过模型系 数的滚动优化， 确定所述状态迁移输入量引起的 工控系统模拟机的时序状态； 验证步骤， 用于根据 所述工控系统模拟机的时序状态， 判断其中的非预定状态， 并根据 非预定状态的发生 概率对所述工控协议包的安全性进行验证。 2.根据权利要求1所述的模块化工控协议包深度解析验证方法， 其特征在于， 在所述工 控协议包解析步骤中， 从工控协议包的报头相关信息中确定其遵循的工控协议名称和版 本， 进而根据对应的协 议格式定义文件， 对该工控协 议包按层拆 分为完整的报文， 再对每一 层的报文中的字段名称和字段取值进 行解码和分析， 排除与工控协 议包的解析和验证无关 的无效字段名称或字段取值， 提取工控协议包各层字段中与工控协 议包的解析与验证相关 的字段名称及其字段取值， 作为有效载荷信息， 并且根据有效载荷信息确定该工控协议包 与工控系统的状态迁移相关的参 量。 3.根据权利要求2所述的模块化工控协议包深度解析验证方法， 其特征在于， 所述状态 迁移相关的参量表示为一系列的三元组构成的数组， 该三元组数组包括数据域值、 类型域 值以及时序号 域值。 4.根据权利要求3所述的模块化工控协议包深度解析验证方法， 其特征在于， 在状态迁 移输入量建立步骤中， 对于所述状态迁移相关的参量的每一个三元组， 判断其数据域值和 类型域值给工控系统所造成的预期响应类型和预期响应值， 并由所述预期响应值按照时序 排列形成整个验证时间窗口上的状态迁移时序 序列。 5.根据权利要求4所述的模块化工控协议包深度解析验证方法， 其特征在于， 在时序迁 移状态生成步骤中， 所述状态迁移时序模型表示 为： 其中， 表示预测长度， 即自第k个时序号起始本模型所模拟的后续 个时序号，   为在预测长度 条件下的第 个时序号下工控系统响应值； 和 为所述状态迁移输入量中第k个、 第 个时序号下的工控系统预期响应 值； 为第 个时序号下工控系统 的初始状态响应值， 即假定没有该状态迁 移输入量带来影响情况下工控系统的响应值； 为比例系数； 和 表示 实测工控系统进行建模所 得到的参 考量的个数。权　利　要　求　书 1/2 页 2 CN 115442154 B 26.一种模块 化工控协议包深度解析验证系统， 其特 征在于， 包括： 工控协议包解析模块， 基于所遵循的工控协议， 对工控协议包进行逐层拆分， 提取工控 协议包各层字段中的有效载荷信息， 并且根据有效载荷信息确定该工控协 议包与工控系统 的状态迁移相关的参 量； 状态迁移输入量建立模块， 针对在预设的验证时间窗口内按时序接收的工控协议包， 根据所述状态迁移相关的参量形成状态迁移时序序列； 根据状态迁移时序序列形成对工控 系统模拟机的状态迁移输入量； 工控模拟机， 用于根据输入的所述状态迁移输入量， 基于状态迁移时序模型， 通过模型 系数的滚动优化， 确定所述状态迁移输入量引起的工控系统模拟机的时序状态； 验证模块， 用于根据 所述工控系统模拟机的时序状态， 判断其中的非预定状态， 并根据 非预定状态的发生 概率对所述工控协议包的安全性进行验证。 7.根据权利要求6所述的模块化工控协议包深度解析验证系统， 其特征在于， 所述工控 协议包解析模块用于从工控协议包的报头相关信息中确定其遵循的工控协 议名称和版本， 进而根据对应的协议格式定义文件， 对该工控协议包按层拆分为完整的报文， 再对每一层 的报文中的字段名称和字段取值进行解码和分析， 排除与工控协议包的解析和验证无关的 无效字段名称或字段取值， 提取工控协 议包各层字段中与工控协议包的解析与验证相关的 字段名称及其字段取值， 作为有效载荷信息， 并且根据有效载荷信息确定该工控协议包与 工控系统的状态迁移相关的参 量。 8.根据权利要求7所述的模块化工控协议包深度解析验证系统， 其特征在于， 所述状态 迁移相关的参量表示为一系列的三元组构成的数组， 该三元组数组包括数据域值、 类型域 值以及时序号 域值。 9.根据权利要求8所述的模块化工控协议包深度解析验证系统， 其特征在于， 所述状态 迁移输入量建立模块， 用于对于所述状态迁移相关的参量的每一个三元组， 判断其数据域 值和类型域值给工控系统所造成的预期响应类型和预期响应值， 并由所述预期响应值按照 时序排列形成整个验证时间窗口上的状态迁移时序 序列。 10.根据权利要求9所述的模块化工控协议包深度解析验证系统， 其特征在于， 所述状 态迁移时序模型表示 为： 其中， 表示预测长度， 即自第k个时序号起始本模型所模拟的后续 个时序号，   为在预测长度 条件下的第 个时序号下工控系统响应值； 和 为所述状态迁移输入量中第k个、 第 个时序号下的工控系统预期响应 值； 为第 个时序号下工控系统 的初始状态响应值， 即假定没有该状态迁 移输入量带来影响情况下工控系统的响应值； 为比例系数； 和 表示实 测工控系统进行建模所 得到的参 考量的个数。权　利　要　求　书 2/2 页 3 CN 115442154 B 3