[发明专利]一种基于深度学习的工业控制流量协议识别方法

说明书

一种基于深度学习的工业控制流量协议识别方法，涉及一种提高工业控制模型运行方法，本发明将其划分为训练数据集和做测试数据集；通过数据加强将训练数据集调整数据的不平衡性，将处理过后的数据作为下一层的输入；使用最大似然估计计算最优标注序列，通过训练得到最高条件概率对输入数据进行标记；使用MLP作为协议识别的分类器，效果不理想可以优化权重参数，继续学习直到模型最优化，将此模块与真实工控环境结合达到实时监测的效果。本发明绕过了私有协议的预特征处理以及人工提取特征值，避免不必要的困难与损失；实现对工业控制系统协议的实时自动有效解析识别，达到流量监测与分类，避免恶意流量攻击工业系统，保障工业控制系统的安全，提高工业环境的工作效率。

技术领域

本发明涉及一种提高工业控制模型运行方法，特别是涉及一种基于深度学习的工业控制流量协议识别方法。

背景技术

工控协议是工控系统传输数据的立根之本，工控系统交换数据可根据工控协议建立的规则和标准进行约束。工控协议是工控网络安全的基础，对工控流量异常监测、维护工控系统网络安全意义深远。不同生产商使用的工控协议不一，间接造成了一系列的不便、安全等问题，这些难题备受工业控制行业的关注。常见的工控协议分为公开协议和私有协议，且这些私有协议识别的主要方法有：基于深度包监测（DPI，Deep Packet Inspection）的工控流量解析和基于端口的工控网络流量协议识别。

基于DPI的工控流量识别首先需要对输入的流量进行特征分析，对其数据包所携带的功能码进行识别。需要人工等机械的方式对工控流量包逐步进行解包，检查数据包中是否携带正确的功能码，如果是则允许数据包通过运输到下一层，进行下一步的工作。DPI技术对很多工控系统流量解析有很高的效率和精准度。随着工控行业的快速发展，技术慢慢向人工智能靠近，随之而来是传输要求越来月高，伴随的数据量也逐渐剧增，对应的工控协议数量也呈“指数爆炸”形式增长，DPI技术识别已知的工控协议有很高的工作效率，但对大多数未知的工控协议并不适用，且DPI对运行环境的要求也很高，造价昂贵。

初期工控处于封闭的网络环境，使用基于端口识别的技术，该技术在已有映射表的基础上查询工控数据端口，使得工控数据传输遵循约定俗成的规则，将传输数据以此对号入座。例如西门子S7协议使用102端口，施耐德Modbus协议使用502端口，而基于端口的工控流量协议识别在此前封闭的工控网络中具有准确率和识别效率非常高的特点。但是根据“两化”的融合，传统工控网络环境逐渐走向外界网络，特别是动态端口技术的发展，工控网络环境也在日新月异的变化，基于端口识别的技术并不适用新定义的端口，同时增加了工控流量识别的难度。

由于基于端口号和基于DPI技术在协议解析的某些部分存在不可避免的短板，故一种结构简单并且变化方式多样的工控协议解析系统的提出，对工业控制行业及其跨领域方面的应用是十分积极的。

发明内容

本发明的目的在于提供一种基于深度学习的工业控制流量协议识别方法，本发明对工业控制系统中不同类型的流量协议，提出一种基于深度学习的工业控制流量协议识别方法。该方法通过模型自身不断学习优化，显示出在不同参数下与现实工控流量（正常和异常）拟合的精度。如果精度不高，模型转入通过输入数据继续训练学习，直至达到精度符合标准为止。为识别工控协议技术存在的识别复杂性、难以适应性、运行环境困难性提供一种技术思路。

本发明的目的通过如下技术方案实现：

一种基于深度学习的工业控制流量协议识别方法，所述方法包括以下过程：

（1）采集数据，考虑到工业控制系统中传输数据不止单一公开抑或是私有协议，在工控模拟平台对工控协议流量进行采集，包含很多工业控制系统的公开、私有协议，例如Modbus、S7comm、DNP3；

（2）数据处理，对采集的流量数据做正则表达式简单过滤、数据截取、Max-Min归一化操作后，将流量数据转化，作为深度学习模型的输入特征；