本發(fā)明公開工控系統(tǒng)原始流量的深度學(xué)習(xí)協(xié)議識(shí)別方法及系統(tǒng)。本發(fā)明針對(duì)工控協(xié)議原始流量協(xié)議結(jié)構(gòu)字段未知的情況，對(duì)工控協(xié)議流量的分類識(shí)別問題，首先對(duì)工控協(xié)議原始流量業(yè)務(wù)場(chǎng)景和數(shù)據(jù)結(jié)構(gòu)進(jìn)行分析，針對(duì)工控協(xié)議流量的時(shí)序、空間相關(guān)性特性提出了深度學(xué)習(xí)識(shí)別模型。基于注意力機(jī)制的一維卷積神經(jīng)網(wǎng)絡(luò)對(duì)單條協(xié)議流量的空間結(jié)構(gòu)進(jìn)行特征提取，長短期記憶網(wǎng)絡(luò)則提取多條協(xié)議流量數(shù)據(jù)之間的時(shí)序特征。最后輸出工控協(xié)議分類結(jié)果。本發(fā)明能夠準(zhǔn)確地識(shí)別工控系統(tǒng)的原始流量協(xié)議類別。

技術(shù)領(lǐng)域

本發(fā)明屬于協(xié)議識(shí)別技術(shù)領(lǐng)域，涉及工控系統(tǒng)原始流量的深度學(xué)習(xí)協(xié)議識(shí)別方法及系統(tǒng)。

背景技術(shù)

針對(duì)工控系統(tǒng)中的存在的安全問題，目前的研究主要集中在協(xié)議流量中存在的安全問題。能否杜絕、防御惡意的流量攻擊；能否保證工控系統(tǒng)的可用性、完整性和安全性，這是目前工控系統(tǒng)科研人員所要面對(duì)的問題。而解決協(xié)議流量安全問題的重要前提就是識(shí)別工控系統(tǒng)中不同流量的協(xié)議類型，即何種工控協(xié)議。工控協(xié)議識(shí)別是指基于不同的技術(shù)對(duì)一段時(shí)間內(nèi)通過同一觀測(cè)點(diǎn)的流量數(shù)據(jù)報(bào)文集合，即工控網(wǎng)絡(luò)流量，進(jìn)行分析，然后將這些流量同具體的協(xié)議進(jìn)行對(duì)應(yīng)。只有在工控協(xié)議流量識(shí)別的基礎(chǔ)上，才能實(shí)現(xiàn)工控網(wǎng)絡(luò)攻擊的檢測(cè)，更有效地抵御外界攻擊。

當(dāng)前網(wǎng)絡(luò)協(xié)議流量識(shí)別方法主要有基于端口、載荷、行為特征和機(jī)器學(xué)習(xí)的方法。基于端口和載荷的識(shí)別技術(shù)是識(shí)別特定的字段信息；基于行為特征的協(xié)議識(shí)別技術(shù)使用統(tǒng)計(jì)學(xué)習(xí)對(duì)流量數(shù)據(jù)行為進(jìn)行學(xué)習(xí)實(shí)現(xiàn)識(shí)別。但由于工控協(xié)議的私有性導(dǎo)致協(xié)議端口號(hào)和載荷未知，且難以設(shè)計(jì)數(shù)據(jù)的行為特征，所以此類方法的應(yīng)用效果較差。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對(duì)現(xiàn)有技術(shù)的不足，提供一種工控系統(tǒng)原始流量的深度學(xué)習(xí)協(xié)議識(shí)別方法，該方法充分利用工控網(wǎng)絡(luò)協(xié)議流量的時(shí)空特性，優(yōu)化深度學(xué)習(xí)模型的特征提取能力，有效的提高了原始流量協(xié)議識(shí)別的準(zhǔn)確率。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用下述技術(shù)方案實(shí)現(xiàn)：

第一方面，本發(fā)明提供了一種工控系統(tǒng)原始流量的深度學(xué)習(xí)協(xié)議識(shí)別方法，其中包括：

步驟S1：獲取工控協(xié)議類型未知的工控協(xié)議原始流量數(shù)據(jù)；

步驟S2：對(duì)工控協(xié)議原始流量數(shù)據(jù)進(jìn)行預(yù)處理，得到預(yù)處理后的工控協(xié)議流量數(shù)據(jù)；

步驟S3：利用協(xié)議識(shí)別模型對(duì)預(yù)處理后的工控協(xié)議流量數(shù)據(jù)提取數(shù)據(jù)中的結(jié)構(gòu)特征和數(shù)據(jù)間的時(shí)序特征，進(jìn)而識(shí)別出工控協(xié)議流量數(shù)據(jù)所對(duì)應(yīng)的工控協(xié)議類別。

進(jìn)一步的，步驟S2具體是：

對(duì)工控協(xié)議原始流量數(shù)據(jù)依次進(jìn)行原始流量數(shù)據(jù)形式選擇、數(shù)據(jù)長度切分、數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換標(biāo)注。

進(jìn)一步的，所述的原始流量數(shù)據(jù)形式選擇具體是：

依照流量粒度，將捕獲的所有流量數(shù)據(jù)劃分為單數(shù)據(jù)包形式，得到原始流量的一維數(shù)據(jù)表示形式。所述單數(shù)據(jù)包包括五元組、包的長度、持續(xù)時(shí)間、載荷。

進(jìn)一步的，所述的數(shù)據(jù)長度切分具體是：

對(duì)原始流量數(shù)據(jù)形式選擇處理后的單數(shù)據(jù)包切分得到前面字節(jié)長度為L(本發(fā)明優(yōu)選為90字節(jié))的數(shù)據(jù)片段，該數(shù)據(jù)片段包括TCP頭部、工控協(xié)議頭部以及工控協(xié)議載荷的部分或全部數(shù)據(jù)，即為待識(shí)別協(xié)議流量數(shù)據(jù)片段；其中若數(shù)據(jù)包內(nèi)數(shù)據(jù)長度超過字節(jié)長度L則進(jìn)行截?cái)嗵幚恚羯儆谧止?jié)長度L則用“0”填充。

進(jìn)一步的，所述數(shù)據(jù)清洗具體是：

根據(jù)協(xié)議通信過程，刪除當(dāng)前待識(shí)別協(xié)議流量數(shù)據(jù)的TCP建立過程中TCP連接建立包、確認(rèn)建立包、連接確認(rèn)包，以及大量的重復(fù)包和壞包。同時(shí)，對(duì)數(shù)據(jù)長度切分后的數(shù)據(jù)片段中TCP頭部的MAC和IP地址進(jìn)行隨機(jī)化處理。

進(jìn)一步的，所述的數(shù)據(jù)轉(zhuǎn)換標(biāo)注具體是：