Malcolm项目中ICS协议连接日志标记机制优化解析

背景与问题定位

在工业控制系统(ICS)网络流量分析领域，准确识别和标记协议类型对安全监测至关重要。Malcolm作为一款开源的网络流量分析工具，其核心功能之一是通过Zeek解析器对ICS协议进行深度解析。在原始实现中，部分ICS协议连接日志(conn.log)未能被正确标记"ics"标签，影响了后续基于标签的过滤和分析功能。

技术实现细节

协议解析层优化

通过对ICSNPP系列解析器的全面审查，发现部分协议解析器存在服务标识设置不完整的情况。例如：

1. S7Comm协议：原始实现中同时存在"s7comm-plus"和"s7comm_plus"两种命名格式，通过统一为"s7comm-plus"确保字段一致性
2. Synchrophasor协议：原始日志中出现"synchrophasor_tcp"后缀，通过自动修剪机制保留核心协议名
3. EtherCAT协议：经确认该协议本身不产生连接日志条目，故无需特殊处理

日志处理流水线增强

在Logstash处理层实现了以下关键改进：

1. 服务名标准化：建立统一的协议名称映射表，处理不同日志来源的命名差异
2. 自动标记机制：当检测到已知ICS协议服务名时，自动为conn.log条目添加"ics"标签
3. 多日志一致性：确保conn.log与known_services.log等关联日志的服务标识同步

实现效果验证

改进后的系统实现了以下功能特性：

1. 完整覆盖所有支持的ICS协议类型
2. 协议名称在各类日志中保持严格一致
3. 所有ICS协议连接均被正确标记"ics"标签
4. 特殊协议名称的后缀自动处理

技术价值

本次优化使得Malcolm的ICS协议识别能力更加完善，为后续的：

• 威胁检测规则编写
• 流量统计分析
• 异常行为监测 提供了更可靠的数据基础。特别是通过统一的标签体系，大大简化了针对工业控制系统的专项分析工作流程。

最佳实践建议

对于使用者而言，建议：

1. 定期检查conn.log中的"ics"标签完整性
2. 在编写检测规则时优先使用标准化后的协议名称
3. 结合known_services.log进行协议使用情况统计分析