[发明专利]一种基于深度学习高效工业控制协议解析方法

权利要求书

1.一种基于深度学习高效工业控制协议解析方法，其特征在于，所述方法包括如下步骤：

S1：将获取的已知工业协议数据包输出为二进制数据的形式，并筛选出需要进行解析的协议字段；

S2：通过无监督学习模型——投票专家算法（VE）推断协议字段的功能区域边界和类型；将协议信息分解为一系列字段，并选择范围内的字段作为公共字段；

S3：推断协议字段的类型如协议头部、字段长度、功能代码、序列号、常量字段等；具有相同功能的消息通常具有相同的格式，因此将具有相同功能代码的消息分类到相同的集群中；

S4：推断每个字段集群的格式，并将这些结果组合在一起，得到整个协议的格式特征和字段序列特征；

S5：搭建加入注意力机制的双向长短期记忆神经网络模型，将S4中得到的协议字段特征编码作为输入，在BiLSTM-AM模型中进行训练，并从中得到一个针对工业协议的分类模型；

S6：使用softmax分类器对处理后的协议字段进行分类。

2.根据权利要求1所述的一种基于深度学习高效工业控制协议解析方法，其特征在于，所述的S1中的工业协议数据包来源于石油化工行业信息安全重点实验室中的油气集输工业仿真平台的实际工况中多种不同厂家的PLC，通过Wireshark嗅探软件捕获到数据包，保留工业控制系统专有协议的条目并输出为二进制形式；同时从github项目、Wiresharkwiki途径收集用于测试的工业pcap数据包作为后续步骤的训练集和测试集，包括一些常用的工业控制系统通信协议包括S7comm、Modbus TCP、PROFIBUS、iec104。

3.根据权利要求1所述的一种基于深度学习高效工业控制协议解析方法，其特征在于，所述的S2中的投票专家算法（VE），是一种无监督学习，用于分割不带分隔符的文本；VE在一个连续的字段序列上使用一个小窗口滑动，并在每一步中投票选择一个最可能是这串字段的边界；如果一个字段序列同时出现的频率很高，并且后续字节具有很高的变动性，那么这个字段序列很可能代表协议中的某种固定格式功能。

4.根据权利要求1所述的一种基于深度学习高效工业控制协议解析方法，其特征在于，所述的S3中消息分类旨在将具有相同格式的消息分类到相同的集群中；其输入是一组协议信息，输出是一组信息集群，每个集群代表一种协议格式；具有相同功能的协议信息通常具有相同的格式；基于这些观察结果，将协议信息按方向和功能码分类到不同的集群中；具有相同方向和功能码的消息归类到同一个集群中；格式推断阶段用于派生所有消息的格式；这个阶段的输入是协议信息集群，输出是表示所有协议格式的树。

5.根据权利要求1所述的一种基于深度学习高效工业控制协议解析方法，其特征在于，所述的S5中的加入注意力机制的双向长短期记忆神经网络模型（BiLSTM-AM）在标准的LSTM网络中结合双向隐含层，体现在工业协议字段的识别中对前后文和语境的加强理解；同时加入注意力机制，改善神经网络提取协议字段上下文的偏好；带有单字表征的注意力机制更关注与文本感情相关的词，体现在工业协议的识别中更能把握住特定位置字段代表的功能。

6.根据权利要求5所述的一种基于深度学习高效工业控制协议解析方法，其特征在于，所述的BiLSTM通过结合前向隐藏层和后向隐藏层来访问前面和后面的上下文特征；单词表征的注意机制（AM）更关注与文本情感相关的词，有助于理解句子语义；BiLSTM-AM中的两个注意机制层分别处理前后两个语境特征；AM层处理的特征连接在一起，最后输入到分类器。

7.根据权利要求6所述的一种基于深度学习高效工业控制协议解析方法，其特征在于，所述的S5中在损失函数的选择上，选用交叉熵的函数评价模型分类性能；通常优于分类错误率或均方误差；本方法中，选择Adam optimizer来优化网络的损失函数；交叉熵作为损失函数可以降低随机梯度下降过程中梯度消失的风险；

其中是训练样本的数量，代表训练样本，是样本的标签，是BiLSTM-AM模型的输出。

8.根据权利要求1所述的一种基于深度学习高效工业控制协议解析方法，其特征在于，所述的S6中将投票专家算法（VE）协议字段推断模块和加入注意力机制的双向长短期记忆神经网络模型两部分结合，并在拼接后使用softmax曾进行处理后得到的工业协议字段分类结果的预测。