(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210919114.0 (22)申请日 2022.08.02 (65)同一申请的已公布的文献号 申请公布号 CN 114978782 A (43)申请公布日 2022.08.30 (73)专利权人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 专利权人 北京六方云科技有限公司 (72)发明人 韩鹏飞　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 张婷 (51)Int.Cl. H04L 9/40(2022.01)H04L 43/18(2022.01) H04L 12/40(2006.01) (56)对比文件 CN 111083149 A,2020.04.28 CN 111600863 A,2020.08.28 CN 105429963 A,2016.0 3.23 CN 110574348 A,2019.12.13 WO 20181573 36 A1,2018.09.07 US 2020097430 A1,2020.0 3.26 CN 113923025 A,202 2.01.11 CN 114244609 A,202 2.03.25 审查员 向琳 (54)发明名称 工控威胁检测方法、 装置、 工控设备以及存 储介质 (57)摘要 本申请公开了一种工控威胁检测方法、 装 置、 工控设备 以及存储介质， 其工控威胁检测方 法包括： 获取可编程逻辑控制器PLC传输的待检 测的施耐德Modbus协议报 文； 对待检测的协议报 文进行协议解析， 得到待检测的协议报文的解析 内容； 根据Modbus协议匹配规则对待检测的协议 报文的解析内容进行Modbus协议匹配； 若匹配通 过， 则判断待检测的协议报文的解析内容是否添 加有值域控制规则； 若待检测的协议报文的解析 内容添加有值域控制规则， 则对待检测的协议报 文的解析内容进行Modbus值域匹配， 并得到值域 匹配结果。 本申请解决了 无法对Modbus协议的值 域范围进行监控的问题， 以支持不同厂家对于不 同数据类型的值 域控制。 权利要求书2页 说明书16页 附图7页 CN 114978782 B 2022.11.01 CN 114978782 B 1.一种工控威胁 检测方法， 其特 征在于， 所述工控威胁 检测方法包括： 获取可编程逻辑控制器PLC传输的待检测的Modbus协议报文； 对待检测的协议报文 进行协议 解析， 得到所述待检测的协议报文的解析内容； 根据Modbus协议匹配规则对所述待检测的协议报文的解析内容进行Modbus协议匹配； 若匹配通过， 则判断所述待检测的协议报文的解析内容是否添加有值 域控制规则； 若所述待检测的协议报文的解析内容添加有所述值域控制规则， 则对所述待检测的协 议报文的解析内容进行Modbus值 域匹配， 并得到值 域匹配结果； 所述若所述待检测的协议报文的解析内容添加有所述值域控制规则， 则对所述待检测 的协议报文的解析内容进行Modbus值 域匹配， 并得到值 域匹配结果的步骤 包括： 获取所述待检测的协议报文的数据类型和值字段， 其中， 所述待检测的协议报文的数 据类型为组态软件输出的OT数据类型； 判断所述待检测的协议报文的数据类型是否与所述值域控制规则中配置的数据类型 相匹配； 若匹配， 则将所述待检测的协议报文的所述OT数据类型转换成对应的IT数据类型； 根据所述IT数据类型， 对所述待检测的协议报文的所述值字段进行切分， 得到切分后 的数值； 将切分后的所述数值与所述值域控制规则中配置的值域范围进行比对， 得到所述值域 匹配结果。 2.根据权利要求1所述的工控威胁检测方法， 其特征在于， 所述获取可编 程逻辑控制器 PLC传输的待检测的施耐德Modbus协议报文的步骤之前， 还 包括： 生成所述Modbus协议匹配规则， 具体包括： 获取PLC传输的历史的Modbus协议报文； 对历史的协议报文 进行协议 解析， 得到所述历史的协议报文的解析内容； 提取所述历史的协议报文的解析内容的协议特 征； 基于所述协议特 征生成所述Modbus协议匹配规则。 3.根据权利要求2所述的工控威胁检测方法， 其特征在于， 所述获取可编 程逻辑控制器 PLC传输的待检测的施耐德Modbus协议报文的步骤之前， 还 包括： 为所述待检测的协议报文的解析内容添加值 域控制规则， 具体包括： 提供可供人机交互的规则配置页面； 获取通过 所述规则配置页面配置的规则参数； 基于所述规则参数生成所述值域控制规则， 并将所述值域控制规则添加在所述待检测 的协议报文的解析内容上。 4.根据权利要求1所述的工控威胁检测方法， 其特征在于， 所述若匹配通过， 则判断所 述待检测的协议报文的解析内容是否添加有值 域控制规则的步骤之后， 还 包括： 若所述待检测的协议报文的解析内容没有添加所述值域控制规则， 则输出Modbus协议 匹配结果。 5.根据权利要求4所述的工控威胁检测方法， 其特征在于， 所述若所述待检测的协议报 文的解析内容添加有所述值域控制规则， 则对所述待检测的协议报文的解析内容进行 Modbus值 域匹配， 并得到值 域匹配结果的步骤之后， 还 包括：权　利　要　求　书 1/2 页 2 CN 114978782 B 2若切分后的所述数值超出了所述值域控制规则所配置的值域范围， 则产生告警信息， 和/或对所述Modbus协议报文 进行阻断。 6.根据权利要求5所述的工控威胁检测方法， 其特征在于， 所述若切分后的所述数值超 出了所述值域控制规则所配置的值域范围， 则产生告警信息， 和/或对所述Modbus协 议报文 进行阻断的步骤之后， 还 包括： 提供可供人机交互的规则修改页面； 获取用户通过 所述规则修改页面 修改后的规则参数； 基于所述修改后的规则参数生成新的值域控制规则， 并将所述新的值域控制规则添加 在所述待检测的协议报文的解析内容上， 重新进行Modbus值域匹配， 并得到新的值域匹配 结果。 7.一种工控威胁 检测装置， 其特 征在于， 所述工控威胁 检测装置包括： 协议获取模块， 用于获取可编程逻辑控制器PLC传输的待检测的施耐德Modbus协议报 文； 协议解析模块， 用于对待检测的协议报文进行协议解析， 得到所述待检测的协议报文 的解析内容； 协议匹配模块， 用于根据Modbus协议匹配规则 对所述待检测的协议报文的解析内容进 行Modbus协议匹配； 规则判断模块， 用于若匹配通过， 则判断所述待检测的协议报文的解析内容是否添加 有值域控制规则； 值域匹配模块， 用于若所述待检测的协议报文的解析内容添加有所述值域控制规则， 则对所述待检测的协议报文的解析内容进行Modbus值域匹配， 并得到值域匹配结果， 具体 包括： 获取所述待检测的协 议报文的数据类型和值字段， 其中， 所述待检测的协 议报文的数 据类型为组态软件输出的OT 数据类型； 判断所述待检测的协 议报文的数据类型是否与所述 值域控制规则中配置的数据类型相匹配； 若匹配， 则将所述待检测的协议报文的所述OT数 据类型转换成对应的IT数据类型； 根据所述IT数据类型， 对所述待检测的协议报文的所述 值字段进行切分， 得到切分后的数值； 将切分后的所述数值与所述值域控制规则中配置的 值域范围进行比对， 得到所述 值域匹配结果。 8.一种工控设备， 其特征在于， 所述工控设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的工控威胁检测程序， 所述工控威胁检测程序被所述处理器执 行时实现如权利要求1 ‑6中任一项所述的工控威胁 检测方法的步骤。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有工控威 胁检测程序， 所述工控威胁检测程序被处理器执行时实现如权利要求1 ‑6中任一项所述的 工控威胁 检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114978782 B 3