一种工业协议安全检测方法及系统与流程

1.本发明涉及工业通信技术领域，特别涉及一种工业协议安全检测方法及系统。


背景技术：

2.随着工业控制系统大型化、智能化的不断提高，以及信息化与工业化的融合，工业控制系统逐渐从封闭和独立中发展成为工业互联网，工业通信网络以及工控协议在控制系统中重要性更加突出。然而，工业通信协议自身的缺陷和工业系统常态化“带病”作业的风险程度被凸显，工业控制系统所面临的安全威胁与攻击风险不断上升。因此，工业控制协议检测与报警具有重要的作用，也是工控系统安全的关注点。
3.由于工业控制协议通常是私有协议，缺乏对工业控制协议中的功能码以及参数等的深度解析方法，难以对工业控制协议进行检测与报警，对工控设备防护有限。因此，需要一种对工业控制协议数据包进行深度解析方法，从而对工业控制系统进行网络安全防护。


技术实现要素：

4.本发明实施例提供了一种工业协议安全检测方法及系统，以解决现有技术中上述技术问题。
5.为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。
6.根据本发明实施例的第一方面，提供了一种工业协议安全检测方法。
7.在一个实施例中，所述工业协议安全检测方法包括：
8.根据工业协议报文属性，确定工业控制协议的特征检测字段，并根据特征检测字段，生成工业控制协议配置库；
9.实时获取工业控制系统网络所发送的协议报文，并对所述协议报文进行解析，获取所述协议报文中特征检测字段；
10.将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比，并在对比结果为所述协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段不一致的情况下，进行协议报警。
11.在一个实施例中，所述特征检测字段包括：目的mac、目的ip、协议端口、协议号、协议功能码、工业控制协议参数。
12.在一个实施例中，对所述协议报文进行解析，获取所述协议报文中特征检测字段包括：
13.对所述协议报文进行解析，得到包含目的mac、目的ip、协议端口、协议号的工业控制协议四元组；
14.对所述协议报文进行解析，得到所述协议报文的协议格式，根据所述协议格式，确定所述协议报文的协议功能码；
15.根据所述协议格式和所述协议功能码，确定对应的工业控制协议参数。
16.在一个实施例中，在所述特征检测字段为所述工业控制协议参数时，将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比包括：
17.在所述工业控制协议参数为恒定值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数进行直接对比；
18.在所述工业控制协议参数为增加或减少变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对；
19.在所述工业控制协议参数为范围变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对。
20.在一个实施例中，所述最小二乘法方法的计算公式为：
[0021][0022][0023]
式中，是回归最小二乘法函数；是输入特征值的模型预测值；c1、c2…cm
是选函数的常数，e是残差平方和；n是所有yi个数；yi是函数值；m是常数变量。
[0024]
根据本发明实施例的第二方面，提供了一种工业协议安全检测系统。
[0025]
在一个实施例中，所述工业协议安全检测系统包括：
[0026]
字段配置模块，用于根据工业协议报文属性，确定工业控制协议的特征检测字段，并根据特征检测字段，生成工业控制协议配置库；
[0027]
字段获取模块，用于实时获取工业控制系统网络所发送的协议报文，并对所述协议报文进行解析，获取所述协议报文中特征检测字段；
[0028]
字段比较模块，用于将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比，并在对比结果为所述协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段不一致的情况下，进行协议报警。
[0029]
在一个实施例中，所述特征检测字段包括：目的mac、目的ip、协议端口、协议号、协议功能码、工业控制协议参数。
[0030]
在一个实施例中，所述字段获取模块在对所述协议报文进行解析，获取所述协议报文中特征检测字段时，对所述协议报文进行解析，得到包含目的mac、目的ip、协议端口、协议号的工业控制协议四元组；对所述协议报文进行解析，得到所述协议报文的协议格式，根据所述协议格式，确定所述协议报文的协议功能码；根据所述协议格式和所述协议功能码，确定对应的工业控制协议参数。
[0031]
在一个实施例中，所述字段比较模块包括：固定值比较模块、第一变化值比较模块和第二变化值比较模块，其中，
[0032]
固定值比较模块，用于在所述工业控制协议参数为恒定值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数进行直接对比；
[0033]
第一变化值比较模块，用于在所述工业控制协议参数为增加或减少变化值时，将
所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对；
[0034]
第二变化值比较模块，用于在所述工业控制协议参数为范围变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对。
[0035]
在一个实施例中，所述最小二乘法方法的计算公式为：
[0036][0037][0038]
式中，是回归最小二乘法函数；是输入特征值的模型预测值；c1、c2…cm
是选函数的常数，e是残差平方和；n是所有yi个数；yi是函数值；m是常数变量。
[0039]
本发明实施例提供的技术方案可以包括以下有益效果：
[0040]
本发明能够根据协议配置以及最小二乘法比较，判断工业控制协议合法性，及时检测到网络中是否存在攻击设备，并在存在时，执行相应的保护操作，从而提高了工业控制协议的安全性。
[0041]
应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。
附图说明
[0042]
此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。
[0043]
图1是根据一示例性实施例示出的一种工业协议安全检测方法的流程示意图；
[0044]
图2是根据一示例性实施例示出的一种工业协议安全检测系统的结构框图；
[0045]
图3是根据一示例性实施例示出的最小二乘法拟合曲线流程图；
[0046]
图4是根据一示例性实施例示出的最小二乘法拟合曲线工作示意图；
[0047]
图5是根据一示例性实施例示出的计算机设备的结构示意图。
具体实施方式
[0048]
以下描述和附图充分地示出本文的具体实施方案，以使本领域的技术人员能够实践它们。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本文的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。本文中，术语“第一”、“第二”等仅被用来将一个元素与另一个元素区分开来，而不要求或者暗示这些元素之间存在任何实际的关系或者顺序。实际上第一元素也能够被称为第二元素，反之亦然。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的结构、装置或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种结构、装置或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的结构、装置或者设备中还存在另外的相同要素。本文中各个实施例采用递进的方式描述，每个实施例重点
说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。
[0049]
本文中的术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本文和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。在本文的描述中，除非另有规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是机械连接或电连接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。
[0050]
本文中，除非另有说明，术语“多个”表示两个或两个以上。
[0051]
本文中，字符“/”表示前后对象是一种“或”的关系。例如，a/b表示：a或b。
[0052]
本文中，术语“和/或”是一种描述对象的关联关系，表示可以存在三种关系。例如，a和/或b，表示：a或b，或，a和b这三种关系。
[0053]
应该理解的是，虽然流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
[0054]
本技术的装置或系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0055]
在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
[0056]
图1示出了本发明的一种工业协议安全检测方法的一个实施例。
[0057]
在该可选实施例中，所述工业协议安全检测方法，包括：
[0058]
步骤s101，根据工业协议报文属性，确定工业控制协议的特征检测字段，并根据特征检测字段，生成工业控制协议配置库；
[0059]
步骤s103，实时获取工业控制系统网络所发送的协议报文，并对所述协议报文进行解析，获取所述协议报文中特征检测字段；
[0060]
步骤s105，将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比，并在对比结果为所述协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段不一致的情况下，进行协议报警。
[0061]
图2示出了本发明的一种工业协议安全检测系统的一个实施例。
[0062]
在该可选实施例中，所述工业协议安全检测系统，包括：
[0063]
字段配置模块201，用于根据工业协议报文属性，确定工业控制协议的特征检测字段，并根据特征检测字段，生成工业控制协议配置库；
[0064]
字段获取模块203，用于实时获取工业控制系统网络所发送的协议报文，并对所述协议报文进行解析，获取所述协议报文中特征检测字段；
[0065]
字段比较模块205，用于将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比，并在对比结果为所述协议报文中的特征检测字段与
所述工业控制协议配置库中的特征检测字段不一致的情况下，进行协议报警。
[0066]
在具体应用时，在进行协议报警时，以ip地址为单元进行报警。而所述特征检测字段则包括：目的mac、目的ip、协议端口、协议号、协议功能码、工业控制协议参数。而在对所述协议报文进行解析，获取所述协议报文中特征检测字段时，则是对所述协议报文进行解析，得到包含目的mac、目的ip、协议端口、协议号的工业控制协议四元组；对所述协议报文进行解析，得到所述协议报文的协议格式，根据所述协议格式，确定所述协议报文的协议功能码；根据所述协议格式和所述协议功能码，确定对应的工业控制协议参数。
[0067]
对应的，在将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比时，则是提取和解析协议报文中的四元组，通过对工业控制协议配置库目的mac、目的ip、协议端口以及协议号字节分析和比对，如四元组不正确，则协议报警；如四元组正确，则进行下一步检测；以及提取和解析协议报文中的一组或几组功能码，通过报文中的协议号以及工业控制协议配置库中协议号，分类工业协议类型，进而对工业控制协议功能码进行字节比对，如工业控制协议功能码不正确，则进行协议报警；如工业控制协议功能码正确，则进入下一步检测；以及提取和解析协议报文中的一组或几组参数，通过对工业控制协议参数进行比对，如工业控制协议参数不正确，则进行协议报警；如工业控制协议参数正确，则工业控制协议正确。
[0068]
而在所述特征检测字段为所述工业控制协议参数时，将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比时，若在所述工业控制协议参数为恒定值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数进行直接对比；若在所述工业控制协议参数为增加或减少变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对；若在所述工业控制协议参数为范围变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对。
[0069]
对应的，所述字段比较模块包括：固定值比较模块(图中未示出)、第一变化值比较模块(图中未示出)和第二变化值比较模块(图中未示出)，其中，固定值比较模块，用于在所述工业控制协议参数为恒定值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数进行直接对比；第一变化值比较模块，用于在所述工业控制协议参数为增加或减少变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对；第二变化值比较模块，用于在所述工业控制协议参数为范围变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对。
[0070]
图3示出了本发明的最小二乘法拟合曲线流程图，最小二乘法法基于通过最小化残差平方和来找到数据的最佳函数匹配
[0071]
输入初始参数f(x)和y，首先求得j为1到n的(fi(x),fj(x))内积，并且计算出1到n为内积，然后，求得i为1到n的(fi(x),y)内积，求得ci，从而得到最好匹配的函数形式拟合曲
线。最小二乘法如下：
[0072][0073][0074]
式中，是回归最小二乘法函数；是输入特征值的模型预测值；c1、c2…cm
是选函数的常数，e是残差平方和；n是所有yi个数；yi是函数值；m是常数变量。
[0075]
残差平方和e对每个常数cj的偏导来最小化，并使结果等于零求得：
[0076][0077][0078][0079]
式中，
[0080]
是残差平方和e对常数c1偏导值；
[0081]
是残差平方和e对常数c2偏导值；
[0082]
是残差平方和e对常数cm偏导值。
[0083]
k个残差平方和e对每个常数cj的偏导来联立方程的对称形式，将公式转化为矩阵形式：
[0084][0085][0086]
最小二乘法是：最小二乘法是：
[0087]
式中，是回归最小二乘法函数；c1、c2…cm
是选函数的常数；是的函
数；是的一阶导数；是的二阶导数；一阶导数作为梯度二阶导数矩阵作为海塞矩阵最小二乘法收敛，则式子转化为hδx＝-j，能够求得的极值点，从而算出极值。
[0088]
具体的，当且仅当δx趋近于0，则等价于f
′
(x)+f
″
(x)δx＝0，则(x)δx＝0，则则即hδx＝-j。
[0089][0090]
式中，是x1的二阶导数；是x1和x2的二阶导数；是x1和xn的的二阶导数。
[0091]
使用线性求解中的方法求出c1、c2、
…
、cm，将优化后的cj常数代回曲线拟合方程，从而获得曲线。
[0092]
图4示出了本发明的最小二乘法拟合曲线工作示意图。最小二乘法拟合曲线工作示意图是一个曲线，其中曲线是工业控制协议中的参数某个寄存器的值，表示正弦曲线。图中有14点参数，有一些是正偏于，有一些是负偏于，有些正在曲线上，说明工业控制协议报文随着时间的推移，有些正偏于或负偏于表示报文参数有一点偏差，最小二乘法使得残差平方和最小，符合正弦曲线。
[0093]
图5示出了本发明的计算机设备内部结构图，该计算机设备可以是服务器，该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储静态信息和动态信息数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述方法实施例中的步骤。
[0094]
本领域技术人员可以理解，图5中示出的结构，仅仅是与本发明方案相关的部分结构的框图，并不构成对本发明方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0095]
在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述方法实施例中的步骤。
[0096]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法实施例中的步骤。
[0097]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本发明所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0098]
本发明并不局限于上面已经描述并在附图中示出的结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

技术特征：
1.一种工业协议安全检测方法，其特征在于，包括：根据工业协议报文属性，确定工业控制协议的特征检测字段，并根据特征检测字段，生成工业控制协议配置库；实时获取工业控制系统网络所发送的协议报文，并对所述协议报文进行解析，获取所述协议报文中特征检测字段；将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比，并在对比结果为所述协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段不一致的情况下，进行协议报警。2.根据权利要求1所述的工业协议安全检测方法，其特征在于，所述特征检测字段包括：目的mac、目的ip、协议端口、协议号、协议功能码、工业控制协议参数。3.根据权利要求2所述的工业协议安全检测方法，其特征在于，对所述协议报文进行解析，获取所述协议报文中特征检测字段包括：对所述协议报文进行解析，得到包含目的mac、目的ip、协议端口、协议号的工业控制协议四元组；对所述协议报文进行解析，得到所述协议报文的协议格式，根据所述协议格式，确定所述协议报文的协议功能码；根据所述协议格式和所述协议功能码，确定对应的工业控制协议参数。4.根据权利要求3所述的工业协议安全检测方法，其特征在于，在所述特征检测字段为所述工业控制协议参数时，将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比包括：在所述工业控制协议参数为恒定值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数进行直接对比；在所述工业控制协议参数为增加或减少变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对；在所述工业控制协议参数为范围变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对。5.根据权利要求4所述的工业协议安全检测方法，其特征在于，所述的计算公式为：5.根据权利要求4所述的工业协议安全检测方法，其特征在于，所述的计算公式为：式中，是回归最小二乘法函数；是输入特征值的模型预测值；c1、c2…
c
m
是选函数的常数，e是残差平方和；n是所有y
i
个数；y
i
是函数值；m是常数变量。6.一种工业协议安全检测系统，其特征在于，包括：字段配置模块，用于根据工业协议报文属性，确定工业控制协议的特征检测字段，并根据特征检测字段，生成工业控制协议配置库；字段获取模块，用于实时获取工业控制系统网络所发送的协议报文，并对所述协议报
文进行解析，获取所述协议报文中特征检测字段；字段比较模块，用于将获取的协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段进行对比，并在对比结果为所述协议报文中的特征检测字段与所述工业控制协议配置库中的特征检测字段不一致的情况下，进行协议报警。7.根据权利要求6所述的工业协议安全检测系统，其特征在于，所述特征检测字段包括：目的mac、目的ip、协议端口、协议号、协议功能码、工业控制协议参数。8.根据权利要求7所述的工业协议安全检测系统，其特征在于，所述字段获取模块在对所述协议报文进行解析，获取所述协议报文中特征检测字段时，对所述协议报文进行解析，得到包含目的mac、目的ip、协议端口、协议号的工业控制协议四元组；对所述协议报文进行解析，得到所述协议报文的协议格式，根据所述协议格式，确定所述协议报文的协议功能码；根据所述协议格式和所述协议功能码，确定对应的工业控制协议参数。9.根据权利要求8所述的工业协议安全检测系统，其特征在于，所述字段比较模块包括：固定值比较模块、第一变化值比较模块和第二变化值比较模块，其中，固定值比较模块，用于在所述工业控制协议参数为恒定值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数进行直接对比；第一变化值比较模块，用于在所述工业控制协议参数为增加或减少变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对；第二变化值比较模块，用于在所述工业控制协议参数为范围变化值时，将所述协议报文中的工业控制协议参数与所述工业控制协议配置库中的工业控制协议参数通过所述工业控制协议配置库中的最小二乘法方法拟合最小二乘法曲线进行比对。10.根据权利要求9所述的工业协议安全检测系统，其特征在于，所述最小二乘法方法的计算公式为：的计算公式为：式中，是回归最小二乘法函数；是输入特征值的模型预测值；c1、c2…
c
m
是选函数的常数，e是残差平方和；n是所有y
i
个数；y
i
是函数值；m是常数变量。

技术总结
本发明涉及工业通信技术领域，公开一种工业协议安全检测方法及系统。该方法包括：根据工业协议报文属性，确定工业控制协议的特征检测字段，根据特征检测字段，生成工业控制协议配置库；实时获取工业控制系统网络所发送的协议报文，对协议报文进行解析，获取特征检测字段；将获取的协议报文中的特征检测字段与工业控制协议配置库中的特征检测字段进行对比，并在对比结果为协议报文中的特征检测字段与工业控制协议配置库中的特征检测字段不一致的情况下，进行协议报警。本发明能够根据协议配置以及最小二乘法比较，判断工业控制协议合法性，及时检测到网络中是否存在攻击设备，并在存在时，执行相应的保护操作，从而提高了工业控制协议的安全性。控制协议的安全性。控制协议的安全性。


技术研发人员：洪超 李晴 施宇锋 杨祎巍 梁志宏 蒋屹新 陈霖 张宇南
受保护的技术使用者：浙江腾珑网安科技有限公司
技术研发日：2023.07.26
技术公布日：2023/9/23