[发明专利]一种基于深度学习的工业控制流量协议识别方法

权利要求书

1.一种基于深度学习的工业控制流量协议识别方法，其特征在于，所述方法包括以下过程：

（1）采集数据，考虑到工业控制系统中传输数据不止单一公开抑或是私有协议，在工控模拟平台对工控协议流量进行采集，包含很多工业控制系统的公开、私有协议，例如Modbus、S7comm、DNP3；

（2）数据处理，对采集的流量数据做正则表达式简单过滤、数据截取、Max-Min归一化操作后，将流量数据转化，作为深度学习模型的输入特征；

（3）使用抓包软件对采集的工控数据使用流追踪，工控系统中不止一种对下位机的操作，故执行流重组筛选出两组不同的数据集满足实验需求；根据工控流量协议基于TCP和UDP工作，一方面可以根据“心跳包”和存在于TCP“三次握手”和“四次挥手”判断操作是否连接成功和是否完成某次操作，进而判断数据包的完整性；另一方面根据时间戳的连续性和间隔性，表示数据包隶属于某个支流；并对数据集样本标签进行One-Hot编码处理；

（4）将预处理的工控流量协议样本（正常和异常）构成训练集，作为深度学习模型的输入；为了确保预处理的工控流量中，正常流量的数量远多于非正常的异常流量，使建立系统模型输出结果与存在少数样本欠拟合，利用WGAN-GP（对抗网络）产生虚拟数据，调整数据存在的不平衡性；将流量数据转化为深度学习模型的输入特征；

（5）进而传输到神经网络模型中，卷积神经网络包含数据输入，卷积池化层S1，卷积池化层S2，残差模块C、条件随机场CRF和MLP分类器；神经网络模型通过改变滤波器和池化层对输出特征图大小进行修改，在保留局部特征的有效信息的同时，减少数据量，减少过拟合，提升模型的容错能力；

（6）条件随机场CRF对所有观察序列的标注序列的联合概率，作为一个未归一化的有限状态模型和损失函数是凸函数，能够确保收敛到全局最优；

（7）而后训练集数据通过神经网络模型之后输出协议的种类类型，并与先前的样本标签数据进行比较，参考结构精准度是否继续进行优化模型参数，使得深度学习模型不断学习，提高精准度；

（8）将工控流量数据实时输入到搭建的协议解析模块中，得出识别结果与操作站显示人机界面进行对比，防止恶意流量对工控环境系统进行篡改、攻击等操作。

2.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法，其特征在于，所述数据预处理，对在石油化工行业信息安全重点实验室中采集的流量数据做处理，继而使用抓包软件对采集的工控数据使用流追踪，工控系统有很多操作指令，故执行流重组筛选出两组不同的数据集满足实验需求。

3.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法，其特征在于，所述将上述得到的数据作为S1层的特征输入：卷积核的大小表示为（channel，height，width），输入特征图大小设定为W1×H1×D1，输出特征图大小设定为W2×H2×D2；该层卷积核设置为1×5×5，步幅（stride）为1，填充（padding）为2；经过池化层进行缩小卷积层生成的特征图大小，在不增加系统模型学习参数、通道数不发生变化的同时增强整个系统的鲁棒性，每个卷积核附加一个偏置参数；根据输入数据大小和卷积核大小可以确定输出特征图大小计算方法。

4.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法，其特征在于，所述S2层原理与S1相似，根据上述假设得到的输入特征图，卷积核与上一层一致，池化层为最大池化2×2，步幅为2，填充为0，得到输出特征图大小；将S2的输出特征图作为残差模块的输入，通道大小不变，经过残差模块处理，将输出特征传输给一层随机条件场CRF。

5.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法，其特征在于，所述.残差模块ResNet，特点在于具有比传统网络更深、更快捷的结构；通过快捷结构，反向传播数据可以无衰减地传递；该系统使用ResNet结构，避免梯度会变小或变大。