數控網絡系統協議深入學習系統的研究

丁立國

（中車戚墅堰機車有限公司信息管理部 江蘇 常州 213011）

1 安全規則學習方法

針對現有技術的上述缺陷與不足，本研究的目的在于提供一種高效的安全規則學習方法及系統，提高網絡安全規則部署的全面性、系統性和準確性。

所述安全規則學習方法包括如下步驟：

（a1）在深度數據包解析的基礎上，通過數據采集器收集網絡中傳輸的數據包信息，并將該信息存儲到數據存儲部件中，以響應學習引擎對數據的查詢；

（a2）安全規則學習引擎分析數據包信息，并生成安全規則。

步驟（a1）中，深度數據包解析是指通過對原始數據包的分析，提取關鍵性的信息，這些數據包信息包含但不限于數據包的源地址，目標地址，協議名，端口號，數據詳細信息。

步驟（a2）中，與數據包信息類似，安全規則包含源地址、目標地址、規則細節、應對措施等內容。在安全規則學習過程中，用戶可以通過手工或自動的方式，將設備進行分類，學習引擎根據設備類別學習安全規則，這樣可以控制安全規則項數量，縮短安全規則學習時間。在安全規則學習過程中，用戶可以根據自身的需要定義工控網絡行為模塊，也可以通過機器學習的方法，自動將不同的網絡行為歸結為某些行為模塊。

對于不符合所有安全規則數據包，學習引擎定義了默認的應對措施。這些應對措施可以是針對所有的設備和網絡協議，也可以是針對某些設備或網絡協議，當監測/保護設備沒有發現任何匹配的安全規則項時，則按照默認的應對措施處理該數據包。

2 研究方法及過程

通過監聽正常工作狀態下網絡中的數據包，以此為基準自動定義網絡的行為規范。其核心功能在于安全系統自動學習設備的網絡行為，并把學習到的行為定義為安全規則。對于不符合所有安全規則的網絡行為，則通過定義默認安全規則的方式進行處理（報警或阻斷等）。

圖1 安全規則學習系統

如圖1所示的安全規則學習系統，其中監聽設備4和用戶設備N用作系統中的數據采集器，5為數據存儲部件，6為學習引擎。首先，數據采集器4收集網絡中傳輸的數據包，并利用深度數據包解析技術將網絡數據包中的關鍵信息解析為設備的網絡行為，例如Modbus中的操作碼，讀寫操作的地址等。數據包信息傳輸并存儲在數據存儲部件5中。通過深度數據包解析所獲取的數據包信息如表1所示。

表1 從深度數據包解析中獲得的數據包信息

獲得并存儲上述數據包信息之后，學習引擎6詢問數據存儲部件5并使用數據包信息，結合設備類別信息及網絡行為模塊信息，自動生產一套安全行為。

原則上，學習是基于網絡正常工作狀態下的網絡數據。因此，安全規則項的應對措施為【允許】，即系統應該允許與安全規則項相匹配的數據包通過。用戶可以對所生成的規則項進行修改，例如將【Modbus_File_Access】相關規則項的應對措施改為【報警】。

對于未出現的數據行為，學習引擎通過默認規則進行控制。

圖1所示的安全規則學習系統可以應用到分布式網絡安全系統中，實現安全規則的學習及部署從而保證用戶網絡的安全。在安全規則學習系統與分布式網絡安全系統的結合中，檢測/保護設備作為數據采集器，收集網絡中傳輸的數據包，并利用深度數據包解析技術將網絡數據包中的關鍵信息解析為設備的網絡行為。數據存儲部件及學習引擎集成在中央管理平臺中，因此在中央管理系統中完成數據包信息的存儲及安全規則的學習，。中央管理系統將安全規則通過網絡作為檢測/保護設備的配置文件部署到檢測/保護設備上。檢測/保護設備1、2接受到安全規則并依據該安全規則與通過檢測/保護設備的數據包進行匹配，并按照規則項的應對措施控制數據包。如果數據包與所有的規則項均不匹配，則按照默認的應對措施處理該數據包，即【報警】。

3 Wireshark分析報文

針對數控機床的廠家比如西門子，發那科，其開發了自己的私有協議，不對外開放。需要通過抓包分析私有協議的格式，解析各個字段。

在分析協議格式可以通過wireshark分析報文，獲取一些有關報文的知識，當無法滿足需求時再考慮進行代碼逆向。

通過wireshark，使用flow tcp stream功能查看報文內容。可見是明文傳輸，而且有SHOW/GEPOS這種類似命令的字符串，把上述字符串做命令，主要的工作就是對消息進行劃分。

通過hex方式查看報文，常見的tcp應用協議，消息主要通過tlv或特殊的序列分隔消息，在上述報文中可以明顯地看到0x0d0a( )。綜合以上兩點，可以把hexagon解析成如下形式：

（1）消息明文形式傳輸，以 分隔完整消息

（2）消息中開頭的明文作為關鍵命令

通過以上協議逆向工作，可以清晰地看到每一個操作：顯示相關信息，獲取位置信息，或者修改相關參數等。

4 FOCAS協議

FOCAS協議逆向的難點在于通過報文分析得不到有用的信息。

使用專業的協議逆向工具對FANUCSDK提供的DLL進行逆向，分析發包程序的具體底層邏輯是怎樣的。摸清楚發包的邏輯后，我們利用SDK編寫應用程序來發包，進一步實現簡單的協議交互（比如修改相關的參數），通過樣包比對，以及和實際的FANUC機床面板操作做結果比較，以此來驗證。

5 結語

隨著工業控制系統信息安全的重要程度的不斷提高，數控網絡協議的深度學習和挖掘也顯得愈發重要，數控網絡協議學習系統的研究，能很大程度上不斷滿足工業設備網絡防護的日益增長的需求，對工業控制系統的安全防護技術水平的提升起到積極的作用。

[1]陳戈.嵌入式網絡數控系統和技術的分析[J].自動化與儀器儀表，2015(09)：71-73.

[2]韓昊錚.數控機床關鍵技術與發展趨勢[J].中國戰略新興產業，2017(04)：118-120+124.

[3]劉世豪，杜彥斌，姚克恒，唐敦兵.面向智能制造的數控機床多目標優選法研究[J].農業機械學報，2017，48(03)：396-404.

[4]張耀，黃文廣，張思齊，金濟民.基于中小企業的數控設備網絡系統應用研究[J].機電工程，2017，34(11)：1243-1248.

[5]蔡銳龍，李曉棟，錢思思.國內外數控系統技術研究現狀與發展趨勢[J].機械科學與技術，2016，35(04)：493-500.