(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111598461.X (22)申请日 2021.12.24 (71)申请人 杭州优稳自动化系统有限公司 地址 311101 浙江省杭州市余杭区仁和街 道临港路6号 申请人 浙江大学 (72)发明人 王文海　张益南　张晓东　孙优贤　 张奕楠　嵇月强　张稳稳　赵璐　 刘兴高　王智　张旭鸿　赵莹　 (74)专利代理 机构 杭州宇信联合知识产权代理 有限公司 3 3401 代理人 刘艳艳 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 适用于工控系统的伪控制指令识别与预警 系统及方法 (57)摘要 本发明公开了一种适用于工控系统的伪控 制指令识别与预警系统及方法， 所述系统包括协 议解析模块、 异常识别模块和模型库更新模块， 协议解析模块用于对采集数据包的报文格式进 行深度解析和关键字段提取， 通过数据包的完整 性与合法性校验， 对进入异常识别模块的数据包 进行初步过滤； 异常识别模块用于根据从模型库 更新模块中获得的安全通信规则校验库的规则， 对进入异常识别模块的数据包进一步校验， 识别 网络通信中的异常并报警； 模型库更新模块通过 解析数据包中关键字段及其之间的关系， 采用人 工梳理与机器学习结合的方法构建并更新安全 通信规则校验库。 本发明可以检测到伪控制指令 并向系统发出 预警信号。 权利要求书2页 说明书5页 附图1页 CN 114422195 A 2022.04.29 CN 114422195 A 1.一种适用于工控系统的伪控制指令识别与预警系统， 其特征在于， 至少包括协议解 析模块、 异常识别模块和模型库更新模块， 经协议解析模块解析后的数据发送至异常识别 模块和模型库更新模块； 其中， 所述协议解析模块被配置为用于对采集数据包的报文格式进行深度解析和关键字段 提取， 通过 数据包的完整性与合法性校验， 对进入异常识别模块的数据包进行初步过 滤； 所述异常识别模块被配置为用于根据从模型库更新模块中获得的安全通信规则校验 库的规则， 对进入异常识别模块的数据包进一 步校验， 识别网络通信中的异常并报警； 所述模型库 更新模块被配置为通过解析数据包中关键字段及其之间的关系， 采用人工 梳理与机器学习结合的方法构建并更新 安全通信规则校验库。 2.根据权利要求1所述的适用于工控系统 的伪控制 指令识别与 预警系统， 其特征在于， 所述协议解析模块进 行协议解析的内容至少包括： 报文头部解码、 数据 链路层解码、 网络层 解码、 传输层解码、 应用层解码与协议识别。 3.根据权利要求1所述的适用于工控系统 的伪控制 指令识别与 预警系统， 其特征在于， 所述模型库更新模块至少由规则提取、 规则对比、 添加规则和安全通信规则校验库构成； 安 全通信规则校验库至少包括访问控制库、 合法命令库、 参数规则库和安全行为库。 4.根据权利要求3所述的适用于工控系统 的伪控制 指令识别与 预警系统， 其特征在于， 所述异常识别模块中， 对进入异常识别模块的数据包至少进行访问控制 权限校验、 非法命 令识别、 参数合法性校验和异常行为识别。 5.根据权利要求1所述的适用于工控系统 的伪控制 指令识别与 预警系统， 其特征在于， 采用人工 梳理与机器学习结合的方法， 构建并更新 安全通信规则校验库， 具体包括： 通过人工梳理方法， 对抓取到的通信数据包进行离线分析， 对通信参与方的身份、 协 议、 通信协议进行初步分析， 构建通信模型白名单； 通过对网络扫描行为、 网络渗透行为、 网络攻击行为的分析， 构建通信行为 黑名单； 通过机器学习方法， 实时分析线上流量， 识别其通信行为， 并记录数据包信息、 决策流 程、 模型修改情况。 6.一种基于权利要求1 ‑5任一项所述的适用于工控系统的伪控制 指令识别与 预警系统 的方法， 其特 征在于， 至少包括 步骤： S1、 采集交换机 到工控系统的数据包， 发送至协议 解析模块； S2、 对步骤S1采集的数据包进行完整性与合法性校验； S3、 将步骤S2处 理后的数据包同步发送至异常识别模块和模型库更新模块； S4、 异常识别模块接收到步骤S3的数据包后， 与模型库更新模块的安全通信规则校验 库中的规则进行比对： 若一致， 则不作处 理； 若不一致， 则发出 预警信号； S5、 模型库更新模块接收到步骤S3的数据包后， 经过人工梳理与机器学习结合的方法， 构建安全通信规则校验库， 并将更新的安全通信规则校验库反馈 至步骤S4。 7.根据权利要求6所述的适用于工控系统 的伪控制 指令识别与 预警方法， 其特征在于， 步骤S1具体包括： 首先， 将采集的数据包至少通过报文头部解码、 物理层解码、 数据链路层解码、 网络层权　利　要　求　书 1/2 页 2 CN 114422195 A 2识别、 IPv4报文解码、 传输层识别、 TCP报文解码、 ADS协议标识符和应用层头部解码， 进 行功 能解析； 然后， 至少通过逻辑线圈、 离散量输入、 输入寄存器和保持寄存器方法， 进行内存地址 解析、 数据长度解析、 数据解析。 8.根据权利要求6所述的适用于工控系统 的伪控制 指令识别与 预警方法， 其特征在于， 所述步骤S4具体包括： 首先， 通过人工梳理构建异常行为 规则； 然后， 将上述异常行为规则转化为机器学习模型， 以筛选正常行为进而构建安全行为 库； 最后， 基于得到的安全行为库对网络行为进行分析， 从而识别异常行为。 9.根据权利要求6或7或8所述的适用于工控系统的伪控制指令识别与预警方法， 其特 征在于， 所述 步骤S5具体包括： 首先， 对网络扫描行为、 网络渗透行为、 网络攻击行为进行分析， 构建通信行为 黑名单； 其次， 通过机器学习方法， 收集符合正常通信特征且不在 现有通信模型内的数据包， 自 动构建新的模型规则， 同时， 记录数据包信息、 决策流 程、 模型修改情况。权　利　要　求　书 2/2 页 3 CN 114422195 A 3