1.一种工控协议解码规则的描述方法,其特征在于,包括以下步骤:步骤1、使用专门针对工控网络安全问题而设计的网络防护或者网络审计产品支持的协议扩展语法来描述某种协议格式的开发人员生成语法文件:步骤1.1、采用显式的协议格式表述方式即按照协议规范定义的格式,依次定义协议的每个字段及其长度;步骤1.2、使用专门针对工控网络安全问题而设计的网络防护或者网络审计产品支持的协议扩展语法来描述某种协议格式的开发人员分析出协议的识别特征,即承载所述的协议的报文区别于其他报文的特征,包括MAC地址、IP地址、传输层协议、端口;步骤1.3、使用专门针对工控网络安全问题而设计的网络防护或者网络审计产品支持的协议扩展语法来描述某种协议格式的开发人员分析指定协议的协议规范,分析指定协议规范定义的字段及其长度、各个字段的相对位置;步骤1.4、使用专门针对工控网络安全问题而设计的网络防护或者网络审计产品支持的协议扩展语法来描述某种协议格式的开发人员按照指定的专门针对工控网络安全问题而设计的网络防护或者网络审计产品的语法格式,根据步骤1.2分析出的协议识别特征和步骤1.3分析出的协议规范,生成解析规则描述文件即可读的包含协议信息的文件且同时符合指定的专门针对工控网络安全问题而设计的网络防护或者网络审计产品的语法格式的文件;步骤2、编译步骤1.4中的解析规则描述文件:步骤2.1、显示的协议格式表述方式要求协议中的所有字段都体现在规则描述文件中,当专门针对工控网络安全问题而设计的网络防护或者网络审计产品按照解析规则描述文件中的定义依次遍历所有字段,专门针对工控网络安全问题而设计的网络防护或者网络审计产品在读取解析规则描述文件后,增加编译过程,所述的编译过程是指将使用专门针对工控网络安全问题而设计的网络防护或者网络审计产品支持的协议扩展语法来描述某种协议格式的开发人员定义的文本文件转换成程序能够识别的二进制内容的过程;具体步骤如下:步骤2.2、读取解析规则描述文件,按照步骤1.4指定的专门针对工控网络安全问题而设计的网络防护或者网络审计产品的语法格式加载文件内容;步骤2.3、计算有用的字段的偏移量和长度,所述有用的字段为解析规则描述文件中描述的所有字段中会被利用的字段;步骤2.3.1、区分出有用的字段和能够忽略的字段;步骤2.3.2、按照如下公式计算有用的字段的偏移量和长度:Offset=Offset accumulate ……(1),Offset accumulate =Offset accumulate +length……(2),其中,Offset是当前计算的有用字段的偏移量;Offset accumulate 是累计偏移量,其初始值为0;length是从规则描述文件中读取的当前计算的有用字段的长度;步骤2.3.3、根据能够忽略的字段的长度,更新累计偏移量,由于能够忽略的字段的值不需要解析出来,只需要根据能够忽略的字段的长度更新累计偏移量,而不用计算能够忽略的字段的偏移量,累计偏移量的计算公式,如下:Offset accumulate =Offset accumulate +length……(3),其中,Offset accumulate 是累计偏移量,其初始值为0;length是从规则描述文件中读取的当前计算的字段的长度;步骤3、报文即按照协议规定的格式承载协议通信内容的载体的解析:步骤3.1、报文识别,使用专门针对工控网络安全问题而设计的网络防护或者网络审计产品支持的协议扩展语法来描述某种协议格式的开发人员分析出协议的识别特征识别报文,将识别特征识别报文关联到分析指定协议规范定义的字段及其长度、各个字段的相对位置;步骤3.2、协议解码,根据步骤2.3.2中计算有用的字段的偏移量和从规则描述文件中读取的当前计算的有用字段的长度,依次解析出有用的字段;所有有用的字段的偏移量和有用字段长度步骤2.3.2中都被计算了出来,专门针对工控网络安全问题而设计的网络防护或者网络审计产品能够根据字段的偏移量直接找到有用字段在报文中的偏移量,然后根据字段的长度将字段提取出来以提高解码效率。
