[发明专利]一种基于深度学习高效工业控制协议解析方法

说明书

一种基于深度学习高效工业控制协议解析方法，涉及一种工业控制协议解析方法，该方法从仿真平台和开源平台截获得工业控制系统流量数据报文，通过分析协议字段变化特征，采用无监督学习方法，投票专家算法（VE）对协议字段进行序列分割和格式特征推断。将经过处理字段序列特征作为输入，搭建加入注意力机制的双向长短期记忆神经网络模型（BiLSTM‑AM）并进行训练，使用softmax作为协议字段分类器，并且根据分类结果来实现工业协议字段分类结果预测。本发明基于加入注意力机制的双向长短期记忆神经网络模型，在未知工业协议预测和分类上达到了良好检测结果；解决了目前市面上多数网络协议逆向工具无法高效准确解析工业协议的问题。

技术领域

本发明涉及一种工业控制解析方法，特别是涉及一种基于深度学习高效工业控制协议解析方法。

背景技术

工业控制系统是许多关键基础设施的重要组成部分，对其安全具有重大影响。随着工业控制系统的迅速发展，计算机网络在工业控制系统中的应用越来越多，这给工业控制系统带来了许多安全问题，协议安全是最重要的安全问题之一。

许多工业协议都是未知的，这使得防火墙无法对网络流量进行解析和分析，从而给入侵检测、深度包检测和流量管理带来了巨大的挑战。现有的工业控制系统中的工业协议异常通信行为的检测基本都依赖于各种工控协议的深度解析特征。而工控网络协议众多，包含工控标准协议如Modbus、dnp3、iec104，私有的不公开协议如S7Comm、GE SRTP、Profibus等，这给安全产品的检测带来更高的成本。大量的私有协议为进行工业控制系统实时防御提出了巨大的挑战，当前一些工业控制防火墙、工业控制系统入侵防御只能事前设定部分私有协议后对私有协议包进行深度检测，这严重影响了入侵防御系统的通用性和扩展性。

同时随着网络设备的不断增多，网络接入环境的安全性显得尤为重要。漏洞挖掘、模糊测试、入侵检测等网络安全技术越来越受到人们的重视。然而，这些安全技术在面对未知协议时，其有效性将大大降低。通过协议解析技术自动提取未知协议的格式信息，可以增强上述安全技术在面对未知协议时的处理能力。

协议解析技术除传统的手工分析方法外，大致可分为两大类:消息序列分析和二进制指令执行分析。消息序列分析技术以Wireshark、Ettercap等工具获取的协议会话数据流为分析对象。最常用的算法是多序列比对算法和序列聚类算法。这些算法的核心是序列相似性的比较。序列聚类算法的比较主要基于关键词、编辑距离和概率模型。然而，这些算法普遍存在的问题是无法给出准确的相似度评价标准，而聚类算法通常需要进行高维聚类计算，这会给计算带来很大的困难。指令执行分析技术以解析或构造消息的终端程序作为解析对象。它通过动态跟踪来监控协议数据解析的指令序列和传播过程。但这种技术需要获取协议解析的终端程序，在实际应用中难以实现。

同时使用传统的协议解析方法来分析处理工业协议有两个主要挑战。首先，工业控制系统应用的代码很难获得，因此基于代码执行的方法并不适合于解析工业协议。其次，工业协议与网络协议有很大的不同，直接使用网络协议逆向工具难以解析工业协议。例如，大多数工业协议都有一个扁平结构，一个协议头带有一个可选负载之后的全部信息。网络协议逆向工具不具有解析这类协议结构的功能，因此不能有效推导出工业协议的结构。此外，大多数工业协议没有分隔符，基于分隔符的方法也不适用于工业协议解析。

因此，高效的工业协议解析方案具有极高的研究意义和广阔的应用前景。

发明内容

本发明的目的在于提供一种基于深度学习高效工业控制协议解析方法，该方法通过分析协议字段的变化特征，采用一种无监督学习的字段序列分割方法，这种方法反应不同协议的字段序列特征，可以提高协议字段识别分类的成功率。利用该字段序列分割方法，基于加入注意力机制的双向长短期记忆（BiLSTM-AM）神经网络实现对工业协议的字段分类模型。最后提出了这种基于深度学习的工控协议解析的方法，解决目前市面上多数网络协议逆向工具无法高效准确地解析工业协议的问题。

本发明的目的是通过以下技术方案实现的：