CN114745417B - 一种基于工业侧信道信息的工控协议语义分析方法 - Google Patents

一种基于工业侧信道信息的工控协议语义分析方法 Download PDF

Info

Publication number
CN114745417B
CN114745417B CN202210380786.9A CN202210380786A CN114745417B CN 114745417 B CN114745417 B CN 114745417B CN 202210380786 A CN202210380786 A CN 202210380786A CN 114745417 B CN114745417 B CN 114745417B
Authority
CN
China
Prior art keywords
semantic
event
industrial
data packet
control protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210380786.9A
Other languages
English (en)
Other versions
CN114745417A (zh
Inventor
蔡君
钟纬键
罗建桢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Polytechnic Normal University
Original Assignee
Guangdong Polytechnic Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Polytechnic Normal University filed Critical Guangdong Polytechnic Normal University
Priority to CN202210380786.9A priority Critical patent/CN114745417B/zh
Priority to US17/743,986 priority patent/US20230324890A1/en
Publication of CN114745417A publication Critical patent/CN114745417A/zh
Application granted granted Critical
Publication of CN114745417B publication Critical patent/CN114745417B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/06Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/41835Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by programme execution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31368MAP manufacturing automation protocol
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及工控协议语义分析技术领域,且公开了一种基于工业侧信道信息的工控协议语义分析方法,其中,方法包括:收集工业过程的图形化侧信道信息,识别语义通道的频繁模式;识别语义通道的相关数据包的集合,推断语义所在数据包的位置;基于数据包字段语义对工业过程的行为语义进行建模,提取语义通道之间的关联规则。本发明基于工业侧信道信息的工控协议语义分析方法,考虑了工控系统中侧信道信息与协议数据包信息数据的响应延迟差异问题,根据图形化工业侧信道信息与对应的协议数据包进行协作,有效分析出工控协议语义的位置、语义间的关联规则等,用于解决现有技术中所存在的问题。

Description

一种基于工业侧信道信息的工控协议语义分析方法
技术领域
本发明涉及工控协议语义分析技术领域,尤其涉及一种基于工业侧信道信息的工控协议语义分析方法。
背景技术
工业互联网实现了物理世界和数字世界在工业领域的紧密结合,代表了工业运行效率和创新的一种有前景的方式。利用传感器、机器对机器学习和网络技术,该系统将设备、数据和人员连接起来,并允许应用分析工具和网络技术来管理工业操作和提供新的增值服务。然而,由于大量的非标准和专有的工业控制协议严重限制了各种制造设备之间的连接和相互作用,工业控制系统的通信和信息交换十分困难。协议语义包括网络语义(network semantics)和域语义(network semantics)。网络语义是指表示协议数据包的基本数据单元——数据包字段的网络功能的信息,如事务ID、延长域等。领域语义是指协议数据包用户数据部分字段的意义和知识,有助于理解术语、概念和影响。实现了物理机制和用户意图的语义知识,为决策提供了方便。然而,由于缺乏语义知识数据库,现有的逆向工程很难推断出工业控制协议的语义信息。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于工业侧信道信息的工控协议语义分析方法,考虑了工控系统中侧信道信息与协议数据包信息数据的响应延迟差异问题,根据图形化工业侧信道信息与对应的协议数据包进行协作,有效分析出工控协议语义的位置、语义间的关联规则等等优点,用于解决现有技术中逆向工程除了数据包跟踪和协议程序之外,很少关注其他包含域语义信息的辅助信息的问题,很难利用现有的方法得到协议的语义信息,为实现工业互联网提供帮助的问题。
(二)技术方案
本发明提供如下技术方案:一种基于工业侧信道信息的工控协议语义分析方法,包括以下步骤:
对工控图像的侧面信息中的每个语义通道进行频繁事件的识别;
建立工控协议数据包格式重构模块,推断每个语义通道中数据包的字段位置;
构建工控协议语义行为分析器,推导工控协议的各种语义特征。
优选地,所述频繁语义事件识别包括:
利用图像残差技术,识别出工控协议可视化图像的每条语义通道,每一个通道生成一个序列;
根据每一幅图像中的区域特征生成唯一状态标签,得出语义标签序列
Figure BDA0003592886710000021
对语义通道的标签序列应用频繁项挖掘算法,对每个语义通道中的频繁事件进行识别。
优选地,所述工控协议可视化图像的语义通道指的是工业过程中显示在工控面板上的语义信息,如温度信息、压力信息等。
优选地,所述语义通道的频繁事件指的是工业过程中语义周期性重复出现的动作,如一些列温度值为30℃,29℃,27℃,24℃表示温度持续降低的工业动作。
优选地,所述工控协议数据包格式重构模块包括:
根据频繁语义事件集合的出现时间,结合响应延迟差异选出与语义对应相关的候选数据包集合;
采用基于序列比对的启发式算法找出与频繁语义事件相关的协议数据包集合,同时推断每个语义通道中数据包的字段位置。
优选地,所述响应延迟差异表示采集工控图像侧信道信息与之对应的协议数据包存在的响应延迟,响应延迟存在一定范围[Tmin,Tmax],因此,频繁语义事件对应的候选数据包组出现时间可表示为(tstart-tmax)~(tend-tmin),其中tstart与tend分别表示频繁事件的起始时间与结束事件。
优选的,所述候选数据包表示采集的所有工控协议数据包,候选数据包组表示在候选数据包中符合对应频繁事件条件的一个实例的所有候选数据包;候选数据包集合表示频繁事件所有实例的候选数据包组的集合。
优选地,所述推断每个语义通道中数据包的字段位置,是采用基于序列比对的启发式算法找出与频繁语义事件相关的协议数据包集合,同时推断每个语义通道中数据包的字段位置。
优选地,所述启发式算法是通过遍历的对象为数据包的协议字节,从候选数据包的每一个数据包中提取相同的字节,生成序列进行序列比对算法,若算法结果包含的通道数量与频繁事件的状态数量相等,则该字节表示的语义为当前语义通道的语义,相反,则跳转到下一字节,一直重复直到遍历完所有字节,最后,得出所有表示该语义的字节位置。
优选地,所述工控协议语义行为分析器推导的各种语义特征包括:
值空间推断、行为模式分析和关联规则挖掘;
优选地,所述值空间推断统计了取值范围,还决定了字段的值类型。分别考虑了常量类型、枚举值和实数值三种类型;
如果某个字段只有一个观测值,那么该字段的值类型被认为是常量类型。对于某些字段,如果观测值的个数大于1但小于给定阈值,且变化率也小于给定阈值,则认为这些字段包含枚举类型的值。否则,数据包类型被视为实值类型。
优选地,所述的行为模式表示为一个特定的工业过程,包含特定工业状态的动作。
优选地,所述行为模式分析包括:
利用N-neighbor平滑滤波器对各语义通道的语义序列进行平滑处理,然后根据导数零点将语义通道分成若干小段;
使用基于动态时间规整的距离度量的层次聚类算法根据曲线轮廓趋势对分割的区域进行聚类,同一集群中的片段被称为语义通道的一个基本动作。
优选地,所述的行为模式分析包括基于并发的关联规则和基于上下文的关联规则:
基于并发的关联规则RW是沿所有语义通道同时发生的同时发生的动作集,并表示语义通道之间的空间依赖性,给定阈值γ与关联规则集W,并发的关联规则可表示为:
Figure BDA0003592886710000041
其中,r表示关联规则,
Figure BDA0003592886710000042
表示关联规则r的支持率。
基于上下文的关联规则捕获相邻时隙中的动作之间的关系,表示为:
Figure BDA0003592886710000043
其中,
Figure BDA0003592886710000044
是在第t时隙中出现的动作,at+1是在第t+1时隙中出现的动作。
优选地,具有强关联性的基于上下文的关联规则定义为因果关系规则,给定阈值γ与关联规则集W,并发的关联规则可表示为:
Figure BDA0003592886710000045
Figure BDA0003592886710000046
其中,Prob(*)是事件*的概率。
与现有技术相比,本发明提供了一种基于工业侧信道信息的工控协议语义分析方法,具备以下有益效果:
1、本发明考虑了工控系统中侧信道信息与协议数据包信息数据的响应延迟差异问题,根据图形化工业侧信道信息与对应的协议数据包进行协作,有效分析出工控协议语义的位置、语义间的关联规则。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明所提供的一种基于工业侧信道信息的工控协议语义分析方法实施例的方法流程图;
图2为本发明所提供的一种基于工业侧信道信息的工控协议语义分析方法图1的识别语义通道相关协议数据包的示意图;
图3为本发明所提供的一种基于工业侧信道信息的工控协议语义分析方法图1中推断语义所在协议数据包中的位置的示意图;
图4为本发明所提供的一种基于工业侧信道信息的工控协议语义分析方法图1中行为语义建模。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。可以理解的,基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,若本发明实施例中有涉及方向性指示(诸如上、下、左、右、前、后……),则该方向性指示仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,若本发明实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
侧信道信息(side-information),指的是任何能够提供有关工控协议的有用信息的信息。例如,从温度传感器收集的数据有助于推断温度语义。因此,除了工控协议数据包本身之外,还可以使用温度、压力传感器等各种传感器来收集工控协议对应的侧信道信息,这些侧信道信息承载着工业现场状态的语义,如水箱温度、水箱内水的重量等,由同一语义产生的侧面信息形成语义通道,在语义通道中携带侧面信息对应信息的数据包被称为语义通道的相关信息包。具体来说,嵌入语义通道数据的相关数据包中的字段称为语义通道的相关字段。
本发明提出一种基于工业侧信道信息的工控协议语义分析方法。侧信道信息用以帮助寻找不同语义所在的协议位置,还能帮助推断工业生产的行为语义,为实现各设备之间互联互通,工厂内部异常检测等安全性分析都提供了良好的基础准备,本发明以基于工业侧信道信息的工控协议语义分析方法为例解释本发明。
其中,附图标号说明:
Figure BDA0003592886710000071
如图1所示,一种基于工业侧信道信息的工控协议语义分析方法,包括步骤:
S1、识别侧信道图片信息中不同语义通道的频繁事件。
人机界面板(HumanMachineInteraction)由摄像机每秒记录一次。收集到的图像被排列成时间序列,用χ=X1,X2,…,XT表示,T表示时间序列的长度。如果在χ中的每个相邻图像上进行减法处理,则导致剩余图像中出现一块非零像素的差值区域,被定义为人机界面板上的敏感区域。通过合并所有唯一的敏感区域得到人机界面板的敏感区域集
Figure BDA0003592886710000072
其中N是敏感区域的个数。对于每个敏感区域/>
Figure BDA0003592886710000073
利用百度文本Api识别每个图像中区域S的内容,并将其表示为语义序列/>
Figure BDA0003592886710000074
事件是反映基本物理过程的语义序列的子序列。例如,在温度的语义通道中,一系列的温度值,例如,30,29,27和26,代表了一个反映温度降低的物理过程的事件。语义通道S的事件表示为
Figure BDA0003592886710000075
其中/>
Figure BDA0003592886710000081
是温度值,每个事件代表事件的状态。由于元素的数量是k,事件ES也被称为k个状态组成的事件。语义序列中的频繁事件代表了语义通道中频繁重复的物理过程。揭示了生产过程中各子过程的特点,对理解和监控生产过程起着重要作用。给定一个阈值Γsup和一个语义序列/>
Figure BDA0003592886710000082
如果事件E在/>
Figure BDA0003592886710000083
中至少出现了Γsup次数,那么事件E被认为是/>
Figure BDA0003592886710000084
中的一个频繁事件。
为了从语义序列中提取频繁事件,设计了基于先验算法的频繁事件发现算法。该算法以语义序列
Figure BDA0003592886710000085
和阈值Γsup作为输入,输出语义序列中的频繁事件集。算法1首先使用/>
Figure BDA0003592886710000086
中的所有唯一元素作为候选集Fc生成1长度的事件候选集。然后,该算法迭代进行两个步骤:(1)通过选择频率不小于给定支持阈值Γsup的候选项提取频繁k状态事件集Fk;(2)通过连接Fk中的每两个事件生成(k+1)长度的事件候选项集Fc。重复步骤(1)和(2),直到没有(k+1)长度事件候选者可以生成。对于任意两个k长度状态事件/>
Figure BDA0003592886710000087
和/>
Figure BDA0003592886710000088
如果E1的(k-1)后缀等于E2的(k-1)前缀,即,其中,且i=2,3,…,k,然后将两个k长度事件连接起来,生成一个候选(k+1)状态事件/>
Figure BDA0003592886710000089
该算法还考虑了较长的频繁事件。例如,该算法认为E=abcd而不是E′=bcd,因为E′是E的子事件,因此,一旦计算出频繁k状态事件集,算法删除Fk中任何事件的子事件的所有(k-1)状态事件,并将Fk-1中的其余事件存储到频繁事件集Fevent中。
S2、寻找频繁事件对应的候选协议数据包集合,利用基于序列比对的启发式算法推断每个语义的字段位置。
S2.1、候选相关数据包识别
为了减少计算开销,该工作首先过滤出每个语义通道的相关数据包,然后在相关数据包中搜索相关字段。理想情况下,基于与相应事件的时间相关性,可以通过匹配数据包的时间戳和事件发生的时间来识别相关数据包。然而,由于网络传输的随机性,如报文到达间的抖动,很难确定准确的相关报文。为了解决这个问题,这项工作确定了一组候选相关数据包,这些数据包的大小与精确相关数据包的集合相似。候选相关数据包组应该完全包含准确的相关数据包,但是比整组数据包的大小要小得多。
根据事件的发生时间对候选相关包进行分组。通常情况下,一个状态的相关数据包到达网关的时间和该状态在人机界面上显示的时间之间会有一个响应延迟。设状态e的发生时间(记为te)为状态e在界面上显示的时间,响应延迟的最小值和最大值分别为Tmin和Tmax。然后,与状态e相关的一系列候选数据包是到达时间在te-Tmax和te-Tmin之间的数据包列表。事件E的候选包组,记为CE,是与事件E中的每个状态相关的候选包的集合。假设事件E开始于时间t1,结束于时间t2,则CE是具有t1-Tmax和t2-Tmin之间的到达时间,如图2所示。
随着时间的推移,频繁的事件会一次又一次地发生。一旦事件E发生,就会收集与事件E实例相关的候选包组。事件E的所有候选包组的集合称为候选包集合,表示为ΩE={CE(1),CE(2),…,CE(G)},其中CE(g)候选包的第g组,g=1,2,…,G和G是事件E的发生频率,也是候选包组的数目。
S2.2、识别语义位置
给定两个与语义通道事件E相关的数据包,两个数据包中语义通道的相关字段具有相同的值。因此,可以通过搜索一组具有公共字节块的数据包来识别相关的数据包,这些数据包对于所有给定的事件总是具有相同的值。受此启发,提出了一种基于序列比对算法的事件包关联算法来识别相关的事件包。
首先,遍历ΩE(g)中候选数据包的每个字节,以识别包含目标语义通道相关字段的数据包。对于第g候选数据包组,每个数据包的第l个字节构成第l个字节向量,称为
Figure BDA0003592886710000101
其中/>
Figure BDA0003592886710000102
是第g个候选数据包组CE(g)中第i个数据包的第l个字节,ng是第g个候选数据包组CE(g)中的数据包数量。
然后,使用序列比对算法对每个相邻组的第l个交叉向量进行排列,即第g个和第(g+1)个组,其中g=1,2,…,G-1。每个相邻的第l个交叉向量的对齐结果都可以表示为一个映射,如图3所示,其中两个字节向量之间的实线表示两个字节对齐(即它们具有相同的值)显然,如果第l个字节位于状态的相关字段中,与状态相关的数据包的第l个字节的值在所有候选数据包组中都应该采用相同的值。
然后,当对齐相邻组的第l个交叉向量时,将匹配真正相关数据包的字节,并且这些字节将与结果映射中的实线连接,如图3所示。因此,可以跟踪匹配结果并识别所有交叉向量中的车道,如图3中的红线所示,其中每条红线代表一种状态。同时,与同一红线中的字节对应的所有数据包都被识别为与同一状态相关。如果事件有k状态,那么应该有k不相交的车道。因此,使用基于递归的过程来查找k车道,并将结果保存在mapM中。使用深度优先的从左到右递归算法来搜索mapM中的k线。如果地图中没有k线,从候选索引集I中删除l。
最后,对于每个k状态事件E,删除了所有交叉向量图不包含k线的索引l。因此,当E中的所有事件都已处理完毕时,索引集I中剩余的l是与事件E的语义通道相关的包字段的索引,然后,将I中的连续索引连接为索引块。例如,三个连续的索引11,12和13组成了一个索引块。索引块表示与语义通道相关的数据包字段。据此,结果k线上的所有包都是目标语义通道的相关包。
一般来说,假定每个语义通道只能找到一个索引块。否则,需要将其他语义通道的结果作为一个整体来考虑,以确定索引块的正确相关性。例如,如果语义通道S1同时找到A和B块,语义通道S2只找到B块,那么B块用于S2,A块用于S1
S3、分析工控协议的语义行,推导工控协议的各种语义特征。
为了分析工业控制协议的语义行为,首先推导出每个数据包字段的值空间,并在值空间中识别出一系列簇。然后,利用序列比对算法和关联规则先验算法分析了数据包字段的行为和关联规则。
值空间推断:
本发明不仅推断了值空间,还确定了数据包字段的值类型。考虑三种类型的字段值:常量、枚举和实值。分组字段的值类型由观察字段值的变化决定。观察到的字段值的变化率定义为唯一数的比率。这项工作不仅推断了值空间,还确定了分组字段的值类型。考虑三种类型的字段值:常量、枚举和实值。分组字段的值类型由观察字段值的变化决定。观察到的场值的变化率定义为独特的数量之比。
对于常量和枚举类型的字段,值空间是枚举值的集合。对于实值类型,值空间表示为完全覆盖观察值的最小连续范围。
行为模式分析:
为了方便行为描述,引入了动作的概念作为行为的基本单位。动作被定义为数据包字段中的一个可能值,它表示工业设备或系统的特定状态。一个行为包含了一个行为向量,它代表了一个特定的工业过程。行为模式代表了经常发生的工业过程。监控系统通常需要分析行为模式,以检测潜在的过程错误,保证性能,并做出工业决策。
本发明使用聚类算法发现基本动作。首先利用N-neighbor平滑滤波器对各语义通道的语义序列进行平滑处理,然后根据导数零点将语义通道分成若干小段。然后,使用基于动态时间规整的距离度量的层次聚类根据曲线轮廓趋势对分割的区域进行聚类。基于DTW的聚类将语义序列分组成具有相似轮廓形状的段,如图4所示。同一集群中的片段被称为语义通道的一个基本动作,并使用一个惟一的标记进行标记。以这个动作单元为基础,可以把观察到的语义序列看作动作序列。
通过使用位置约束先验算法挖掘频繁的动作序列来提取行为模式。一个行为模式表示为一段连续的动作标签,这些动作标签频繁出现,并且在语义序列中彼此不重叠。可以重用频繁序列挖掘算法来挖掘频繁标签段。然后,对于每个簇,使用基于DTW的k-medoids聚类分析,选择中心点作为代表簇中最典型段的原型。
关联规则挖掘:
关联规则是一个隐含表达式,它帮助显示动作之间的关系概率以及行为发生的频率。这些规则有助于发现工业过程中的行为相关性和关系。有基于并发和基于上下文的关联规则,它们都是由先验算法挖掘的。
基于并发的关联规则是沿所有语义通道同时发生的同时发生的动作集,并表示语义通道之间的空间依赖性。让所有语义通道在特定时间的动作表示为快照w。基于并发的关联规则被定义为通常出现在同一个快照中的一组动作,例如,r={a1,a2,…}其中a1,a2,…一起出现在同一个快照中。然后,应用Apriori算法提取快照中频繁出现的动作集。在该算法中,规则r对快照集W的支持率,记为Sup(r,W),是包含r的快照的百分比。给定支持率阈值γ,快照集W中基于并发的关联规则集表示为
Figure BDA0003592886710000121
其中,r表示关联规则,
Figure BDA0003592886710000122
表示关联规则r的支持率。
基于上下文的关联规则捕获相邻时隙快照中动作之间的时间关系。基于上下文的关联规则表示为
Figure BDA0003592886710000123
其中,/>
Figure BDA0003592886710000124
是在第t时隙中出现的动作,at+1是在第t+1时隙中出现的动作。给定一个阈值γ,快照集中基于上下文的关联规则集W表示为:
Figure BDA0003592886710000131
因果关联规则表示为
Figure BDA0003592886710000132
是基于上下文的强关联规则:
Figure BDA0003592886710000133
Figure BDA0003592886710000134
其中,Prob(*)是事件*的概率。

Claims (6)

1.一种基于工业侧信道信息的工控协议语义分析方法,其特征在于,包括以下步骤:
S1、采集工控协议的数据包跟踪和基于图像的侧面信息,对每个语义通道中的频繁事件进行识别;
S2、建立工控协议数据包格式重构模块,推断每个语义通道中数据包的字段位置;
S3、构建工控协议语义行为分析器,推导工控协议的各种语义特征;
其中,所述S1进一步包括:
S1.1、采集工控协议的数据包跟踪和基于图像的侧信道信息;
S1.2、利用图像处理技术,为每条语义通道生成一个工控协议可视化图像序列,并根据图像中对应的语义区域特征生成唯一状态标签,得出语义序列;
S1.3、对语义通道的标签序列应用频繁项挖掘算法,对每个语义通道中的频繁事件进行识别;
所述S2进一步包括:
S2.1、根据频繁语义事件集合的出现时间选出与语义对应相关的候选数据包集合;
S2.2、采用基于序列比对的启发式算法找出与频繁语义事件相关的协议数据包集合,同时推断每个语义通道中数据包的字段位置。
所述S3进一步包括:
S3.1、推断数据包格式中每个字段的值空间;
S3.2、确定字段间的语义特征,所述语义特征包括频繁模式、关联规则。
2.根据权利要求1所述的一种基于工业侧信道信息的工控协议语义分析方法,其特征在于,所述S1.3中频繁事件识别的步骤包括:
S1.3.1、对语义序列使用频繁挖掘算法,生成长度为1的事件候选集;
S1.3.2、通过选择频率不小于给定阈值的候选项提取k长度的事件的集合;
S1.3.3、通过连接中的所有事件生成k+1长度的事件候选集合;
S1.3.4、依次重复步骤S1.3.2、S1.3.3直到没有k+1长度的候选事件生产,最终得出的事件即为频繁事件。
3.根据权利要求1所述的一种基于工业侧信道信息的工控协议语义分析方法,其特征在于,所述频繁事件识别的约束条件包括:
对于任意两个k长度的事件,若一个事件的后k-1个状态与另外一个事件的前k-1个状态相同,将两个k长度的事件连接成K+1长度的事件;
对于任意两个不同长度的事件,若长度较短的事件是长度较长的事件的子时间,应当删除长度较短的事件。
4.根据权利要求1所述的一种基于工业侧信道信息的工控协议语义分析方法,其特征在于,所述语义候选数据包寻找方法包括:
设置侧信道数据与协议数据包数据响应延迟差值的最大值Tmax与最小值Tmin
根据事件E的出现时间ti~tj,从候选数据包中提取事件对应的候选数据包组CE的出现时间(ti-tmax)~(tj-tmin);
所有同一事件的候选数据包组,组成该事件的候选数据包集合ΩE
{CE(1),CE(2),…,CE(G)},其中G是事件E的候选包组的数量。
5.根据权利要求1所述的一种基于工业侧信道信息的工控协议语义分析方法,其特征在于,所述推断每个语义通道中数据包的字段位置的方法包括:
提取同一事件的每一个候选数据包组的第一个字节值,组成字节序列集合;
对字节序列集合使用序列比对算法后,遍历寻找长度为G的通道,对于k长度的事件,若寻找出有k条长度为G的通道时,认为当前字节表示当前事件所代表的语义;若长度为G的通道数量不等于k,则提取下一个字节值,重复此步骤,直到提取到最后一个字节。
6.根据权利要求1所述的一种基于工业侧信道信息的工控协议语义分析方法,其特征在于,所述行为语义分析包括:
值空间推断:推断了取值范围,还决定了字段的值类型,分别考虑了常数值、枚举值和实数值三种类型;
行为模式分析:一个行为包含了一个行为向量,它代表了一个特定的工业过程,行为模式代表了经常发生的工业过程;
关联规则挖掘:有基于并发和基于上下文的关联规则,显示工业动作之间的关系概率以及行为发生的频率,有助于发现工业过程中的行为相关性和关系。
CN202210380786.9A 2022-04-12 2022-04-12 一种基于工业侧信道信息的工控协议语义分析方法 Active CN114745417B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210380786.9A CN114745417B (zh) 2022-04-12 2022-04-12 一种基于工业侧信道信息的工控协议语义分析方法
US17/743,986 US20230324890A1 (en) 2022-04-12 2022-05-13 Semantic analysis method for industrial control protocol based on industrial side-information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210380786.9A CN114745417B (zh) 2022-04-12 2022-04-12 一种基于工业侧信道信息的工控协议语义分析方法

Publications (2)

Publication Number Publication Date
CN114745417A CN114745417A (zh) 2022-07-12
CN114745417B true CN114745417B (zh) 2023-07-04

Family

ID=82280838

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210380786.9A Active CN114745417B (zh) 2022-04-12 2022-04-12 一种基于工业侧信道信息的工控协议语义分析方法

Country Status (2)

Country Link
US (1) US20230324890A1 (zh)
CN (1) CN114745417B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200203A (zh) * 2013-04-24 2013-07-10 中国人民解放军理工大学 基于执行轨迹的语义级协议格式推断方法
CN111585832A (zh) * 2020-04-01 2020-08-25 浙江树人学院(浙江树人大学) 一种基于语义预挖掘的工控协议逆向分析方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2504952A1 (en) * 2009-11-27 2012-10-03 Telefonaktiebolaget LM Ericsson (publ) Packet classification method and apparatus
US10270789B2 (en) * 2016-01-29 2019-04-23 Acalvio Technologies, Inc. Multiphase threat analysis and correlation engine
US20200356951A1 (en) * 2019-01-03 2020-11-12 Lucomm Technologies, Inc. Robotic Devices
CN112039196A (zh) * 2020-04-22 2020-12-04 广东电网有限责任公司 一种基于协议逆向工程的电力监控系统私有协议解析方法
CN111723579A (zh) * 2020-06-17 2020-09-29 国家计算机网络与信息安全管理中心 一种工控协议字段与语义逆向推断方法
CN112134737A (zh) * 2020-10-19 2020-12-25 北方工业大学 一种工业物联网逆向分析系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200203A (zh) * 2013-04-24 2013-07-10 中国人民解放军理工大学 基于执行轨迹的语义级协议格式推断方法
CN111585832A (zh) * 2020-04-01 2020-08-25 浙江树人学院(浙江树人大学) 一种基于语义预挖掘的工控协议逆向分析方法

Also Published As

Publication number Publication date
CN114745417A (zh) 2022-07-12
US20230324890A1 (en) 2023-10-12

Similar Documents

Publication Publication Date Title
Boniol et al. Series2graph: Graph-based subsequence anomaly detection for time series
JP7429796B2 (ja) 車両追跡方法、装置及び電子機器
US10423647B2 (en) Descriptive datacenter state comparison
CN111694879B (zh) 一种多元时间序列异常模式预测方法及数据采集监控装置
US10514974B2 (en) Log analysis system, log analysis method and program recording medium
JP7270617B2 (ja) 歩行者流量ファネル生成方法及び装置、プログラム、記憶媒体、電子機器
WO2022257423A1 (zh) 告警信息关联方法、装置、电子设备和可读存储介质
EP3876150A2 (en) Vehicle tracking method and apparatus
US20170132523A1 (en) Periodicity Analysis on Heterogeneous Logs
CN110175158A (zh) 一种基于向量化的日志模板提取方法和系统
JP2019500685A (ja) ターゲットオブジェクトのソーシャルアカウントをマイニングするための方法、サーバ、および記憶媒体
CN112491872A (zh) 一种基于设备画像的异常网络访问行为检测方法和系统
CN112039196A (zh) 一种基于协议逆向工程的电力监控系统私有协议解析方法
US7203680B2 (en) System and method for encoding and detecting extensible patterns
CN110781818B (zh) 视频分类方法、模型训练方法、装置及设备
US20140280929A1 (en) Multi-tier message correlation
Guigou et al. SCHEDA: Lightweight euclidean-like heuristics for anomaly detection in periodic time series
CN115186762A (zh) 一种基于dtw-knn算法的发动机异常检测方法及系统
CN106909492B (zh) 业务数据的追踪方法及装置
CN115099321A (zh) 双向自回归无监督预训练微调式排污异常监控方法及应用
CN114745417B (zh) 一种基于工业侧信道信息的工控协议语义分析方法
CN116232708A (zh) 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和系统
CN113535458B (zh) 异常误报的处理方法及装置、存储介质、终端
CN112800061B (zh) 一种数据存储方法、装置、服务器及存储介质
CN113901452B (zh) 一种基于信息熵的子图模糊匹配安全事件识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant