本發明公開的一種用于調度數據網的網絡協議識別方法及系統，包括：采集主站與子站之間的通訊數據，按比例分為訓練集和測試集；將訓練集中的數據輸入卷積神經網絡模型中進行特征學習，得到主站與子站通訊的網絡協議指紋特征數據；在測試集中測試卷積神經網絡模型，優化所述卷積神經網絡模型的參數；將待識別網絡流量輸入卷積神經網絡模型，根據各協議特有的模式特征確定流量所屬協議類型；本發明能夠對網絡流量數據進行自主特征學習，從而完成對流量的分類，無需花費精力于協議特征抽取與選擇，提高了提取效率和準確。

技術領域

本發明屬于電力調度數據網網絡安全的技術領域，具體涉及一種用于調度數據網的網絡協議識別方法及系統。

背景技術

調度數據網中工控系統主要靠正反向隔離裝置和縱向加密機進行橫向和縱向訪問控制，貫穿著整個主站與眾多廠站之間的通信行為，但是在主站與廠站之間缺乏有效的監測、防護手段。為了調度數據網網絡的可靠性、可用性和可管可控性，有必要對整個調度數據網網絡通信協議進行分析識別，這樣才有能力對網絡上的信息流量及行為方式、信息的傳播及內容進行控制。當前對網絡協議識別的技術有四種：1)基于端口的流量識別技術；2)基于負載特征的識別技術；3)基于應用層網關的識別技術；4)基于流量統計特征的識別技術

結合調度數據網的實際情況，具體分析如下：

1)調度數據網是借助IEC104規約進行通信，端口固定，但是諸如網絡裝置以及正常的網絡運維檢修，會采用其他的端口進行網絡通信，所以基于端口的流量識別技術方法不太適用于調度數據網。

2)基于負載特征的識別技術：首先對目標流量進行特征分析，分析所發送的數據包負載中攜帶的特征碼；當數據包通過識別系統時，識別系統對其進行解包，檢查數據包中是否攜帶目標流量類型的特征碼，如果是則表示該流量與目標流量類型匹配；DPI技術對許多互聯網應用流量解析都相當有效，并且準確程度相當高；但DPI技術只能識別特征已知的應用流量，并且需對網絡數據包進行拆解，在高速網絡環境下對設備的運算速度和內存都很高的要求。

3)調度數據網主要是采用TCP/UDP協議進行通信，未涉及具體的應用層協議，所以基于應用層網關的識別技術方法不太適用。

4)調度數據網采用IEC104規約協議實現主站與廠站之間的通信行為，協議較為單一，基于流量統計特征的識別技術主要是通過流量分析各個協議之間的差異性，所以也不太適用于調度數據網網絡協議分析。

發明內容

本發明克服現有技術存在的不足，所要解決的技術問題為：提供一種能夠對網絡流量數據進行自主特征學習，從而完成流量分類且用于調度數據網的網絡協議識別方法及系統。

為了解決上述技術問題，本發明采用的技術方案為：一種用于調度數據網的網絡協議識別方法，包括：采集主站與子站之間的通訊數據，按比例分為訓練集和測試集；將訓練集中的數據輸入卷積神經網絡模型中進行特征學習，得到主站與子站通訊的網絡協議指紋特征數據；在測試集中測試卷積神經網絡模型，優化所述卷積神經網絡模型的參數；將待識別網絡流量輸入卷積神經網絡模型，根據各協議特有的模式特征確定流量所屬協議類型。

優選地，所述采集主站與子站之間的通訊數據，按比例分為訓練集和驗證集之前，還包括：按照旁路接入的方式接入網絡報文信息，對網絡報文信息進行深度解析以獲取五元組信息；根據所述五元組信息生成解析后的網絡流量數據包，其中所述網絡五元組信息包括：源IP地址、源端口、目標IP地址、目標端口和協議類型；判斷解析出來的五元組信息中的源IP地址口、目標IP地址是否與預先輸入的固有臺賬設備中IP地址匹配；判斷解析出來的五元組信息中的源端口號、目標端口號是否為打標簽以外的端口號；當解析出來的五元組信息中的源IP地址口、目標IP地址無法與預先輸入的固有臺賬設備中IP地址匹配，或五元組信息中的源端口號、目標端口號為打標簽以外的端口號時，生成風險預警信息，并重新開始數據解析。