CN114884695A - 一种基于深度学习的工业控制流量协议识别方法 - Google Patents

一种基于深度学习的工业控制流量协议识别方法 Download PDF

Info

Publication number
CN114884695A
CN114884695A CN202210366791.4A CN202210366791A CN114884695A CN 114884695 A CN114884695 A CN 114884695A CN 202210366791 A CN202210366791 A CN 202210366791A CN 114884695 A CN114884695 A CN 114884695A
Authority
CN
China
Prior art keywords
industrial control
data
flow
protocol
deep learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202210366791.4A
Other languages
English (en)
Inventor
李群峰
郑洪宇
宗学军
何戡
杨忠君
连莲
孙逸菲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenyang University of Chemical Technology
Original Assignee
Shenyang University of Chemical Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenyang University of Chemical Technology filed Critical Shenyang University of Chemical Technology
Priority to CN202210366791.4A priority Critical patent/CN114884695A/zh
Publication of CN114884695A publication Critical patent/CN114884695A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种基于深度学习的工业控制流量协议识别方法,涉及一种提高工业控制模型运行方法,本发明将其划分为训练数据集和做测试数据集;通过数据加强将训练数据集调整数据的不平衡性,将处理过后的数据作为下一层的输入;使用最大似然估计计算最优标注序列,通过训练得到最高条件概率对输入数据进行标记;使用MLP作为协议识别的分类器,效果不理想可以优化权重参数,继续学习直到模型最优化,将此模块与真实工控环境结合达到实时监测的效果。本发明绕过了私有协议的预特征处理以及人工提取特征值,避免不必要的困难与损失;实现对工业控制系统协议的实时自动有效解析识别,达到流量监测与分类,避免恶意流量攻击工业系统,保障工业控制系统的安全,提高工业环境的工作效率。

Description

一种基于深度学习的工业控制流量协议识别方法
技术领域
本发明涉及一种提高工业控制模型运行方法,特别是涉及一种基于深度学习的工业控制流量协议识别方法。
背景技术
工控协议是工控系统传输数据的立根之本,工控系统交换数据可根据工控协议建立的规则和标准进行约束。工控协议是工控网络安全的基础,对工控流量异常监测、维护工控系统网络安全意义深远。不同生产商使用的工控协议不一,间接造成了一系列的不便、安全等问题,这些难题备受工业控制行业的关注。常见的工控协议分为公开协议和私有协议,且这些私有协议识别的主要方法有:基于深度包监测(DPI,Deep Packet Inspection)的工控流量解析和基于端口的工控网络流量协议识别。
基于DPI的工控流量识别首先需要对输入的流量进行特征分析,对其数据包所携带的功能码进行识别。需要人工等机械的方式对工控流量包逐步进行解包,检查数据包中是否携带正确的功能码,如果是则允许数据包通过运输到下一层,进行下一步的工作。DPI技术对很多工控系统流量解析有很高的效率和精准度。随着工控行业的快速发展,技术慢慢向人工智能靠近,随之而来是传输要求越来月高,伴随的数据量也逐渐剧增,对应的工控协议数量也呈“指数爆炸”形式增长,DPI技术识别已知的工控协议有很高的工作效率,但对大多数未知的工控协议并不适用,且DPI对运行环境的要求也很高,造价昂贵。
初期工控处于封闭的网络环境,使用基于端口识别的技术,该技术在已有映射表的基础上查询工控数据端口,使得工控数据传输遵循约定俗成的规则,将传输数据以此对号入座。例如西门子S7协议使用102端口,施耐德Modbus协议使用502端口,而基于端口的工控流量协议识别在此前封闭的工控网络中具有准确率和识别效率非常高的特点。但是根据“两化”的融合,传统工控网络环境逐渐走向外界网络,特别是动态端口技术的发展,工控网络环境也在日新月异的变化,基于端口识别的技术并不适用新定义的端口,同时增加了工控流量识别的难度。
由于基于端口号和基于DPI技术在协议解析的某些部分存在不可避免的短板,故一种结构简单并且变化方式多样的工控协议解析系统的提出,对工业控制行业及其跨领域方面的应用是十分积极的。
发明内容
本发明的目的在于提供一种基于深度学习的工业控制流量协议识别方法,本发明对工业控制系统中不同类型的流量协议,提出一种基于深度学习的工业控制流量协议识别方法。该方法通过模型自身不断学习优化,显示出在不同参数下与现实工控流量(正常和异常)拟合的精度。如果精度不高,模型转入通过输入数据继续训练学习,直至达到精度符合标准为止。为识别工控协议技术存在的识别复杂性、难以适应性、运行环境困难性提供一种技术思路。
本发明的目的通过如下技术方案实现:
一种基于深度学习的工业控制流量协议识别方法,所述方法包括以下过程:
(1)采集数据,考虑到工业控制系统中传输数据不止单一公开抑或是私有协议,在工控模拟平台对工控协议流量进行采集,包含很多工业控制系统的公开、私有协议,例如Modbus、S7comm、DNP3;
(2)数据处理,对采集的流量数据做正则表达式简单过滤、数据截取、Max-Min归一化操作后,将流量数据转化,作为深度学习模型的输入特征;
(3)使用抓包软件对采集的工控数据使用流追踪,工控系统中不止一种对下位机的操作,故执行流重组筛选出两组不同的数据集满足实验需求;根据工控流量协议基于TCP和UDP工作,一方面可以根据“心跳包”和存在于TCP“三次握手”和“四次挥手”判断操作是否连接成功和是否完成某次操作,进而判断数据包的完整性;另一方面根据时间戳的连续性和间隔性,表示数据包隶属于某个支流;并对数据集样本标签进行One-Hot编码处理;
(4)将预处理的工控流量协议样本(正常和异常)构成训练集,作为深度学习模型的输入;为了确保预处理的工控流量中,正常流量的数量远多于非正常的异常流量,使建立系统模型输出结果与存在少数样本欠拟合,利用WGAN-GP(对抗网络)产生虚拟数据,调整数据存在的不平衡性;将流量数据转化为深度学习模型的输入特征;
(5)进而传输到神经网络模型中,卷积神经网络包含数据输入,卷积池化层S1,卷积池化层S2,残差模块C、条件随机场CRF和MLP分类器;神经网络模型通过改变滤波器和池化层对输出特征图大小进行修改,在保留局部特征的有效信息的同时,减少数据量,减少过拟合,提升模型的容错能力;
(6)条件随机场CRF对所有观察序列的标注序列的联合概率,作为一个未归一化的有限状态模型和损失函数是凸函数,能够确保收敛到全局最优;
(7)而后训练集数据通过神经网络模型之后输出协议的种类类型,并与先前的样本标签数据进行比较,参考结构精准度是否继续进行优化模型参数,使得深度学习模型不断学习,提高精准度;
(8)将工控流量数据实时输入到搭建的协议解析模块中,得出识别结果与操作站显示人机界面进行对比,防止恶意流量对工控环境系统进行篡改、攻击等操作。
所述的一种基于深度学习的工业控制流量协议识别方法,所述数据预处理,对在石油化工行业信息安全重点实验室中采集的流量数据做处理,继而使用抓包软件对采集的工控数据使用流追踪,工控系统有很多操作指令,故执行流重组筛选出两组不同的数据集满足实验需求。
所述的一种基于深度学习的工业控制流量协议识别方法,所述将上述得到的数据作为S1层的特征输入:卷积核的大小表示为(channel,height,width),输入特征图大小设定为W1×H1×D1,输出特征图大小设定为W2×H2×D2;该层卷积核设置为1×5×5,步幅(stride)为1,填充(padding)为2;经过池化层进行缩小卷积层生成的特征图大小,在不增加系统模型学习参数、通道数不发生变化的同时增强整个系统的鲁棒性,每个卷积核附加一个偏置参数;根据输入数据大小和卷积核大小可以确定输出特征图大小计算方法。
所述的一种基于深度学习的工业控制流量协议识别方法,所述S2层原理与S1相似,根据上述假设得到的输入特征图,卷积核与上一层一致,池化层为最大池化2×2,步幅为2,填充为0,得到输出特征图大小;将S2的输出特征图作为残差模块的输入,通道大小不变,经过残差模块处理,将输出特征传输给一层随机条件场CRF。
所述的一种基于深度学习的工业控制流量协议识别方法,所述.残差模块ResNet,特点在于具有比传统网络更深、更快捷的结构;通过快捷结构,反向传播数据可以无衰减地传递;该系统使用ResNet结构,避免梯度会变小或变大。
所述的一种基于深度学习的工业控制流量协议识别方法,所述由残差模块的输出作为条件随机场CRF的输入序列Z=
Figure 727683DEST_PATH_IMAGE001
,其中n为输入序列的长度,Y=
Figure 491371DEST_PATH_IMAGE002
为Z对于的输出序列;对于给定输出序列Z取值为z的条件下,在标注序列Y上取值为y的条件概率为
Figure 436193DEST_PATH_IMAGE003
,具体公式如下:
Figure 788677DEST_PATH_IMAGE004
Figure 544274DEST_PATH_IMAGE005
所述的一种基于深度学习的工业控制流量协议识别方法,所述数据转交下一层输出层;输出层使用的是MLP分类器,包含两个全连接层和一个Dropout层,最后使用Softmax函数计算协议识别的预测值。
所述的一种基于深度学习的工业控制流量协议识别方法,所述训练集数据通过神经网络模型之后输出协议的种类类型,并与先前的样本标签数据进行比较,参考精准度是否继续进行优化模型参数;如果是,利用BP算法重新计算权重参数,使得神经网络模型不断学习,提高精准度。
所述的一种基于深度学习的工业控制流量协议识别方法,所述将工控流量数据实时输入到搭建的协议解析模块中,得出识别结果与操作站显示人机界面进行对比,防止恶意流量对工控环境系统进行篡改、攻击等操作,对工控系统环境进行防护。
本发明的优点与效果是:
本发明是基于深度学习的工控流量识别方法,根据工控流量与深度学习中图像识别的相似性,基于端到端的学习理念,绕过了对私有协议的预特征处理以及人工提取特征值,实现对工业控制系统公开私有协议的有效解析识别,避免不必要的困难与损失;采用误差反向传播法对权重参数进行优化更新,神经网络的反向传播会把误差传递给前面的层,使得神经网络的输出接近监督标签;在对传统卷积神经网络进行改进的基础上,有效解决了模型性能不佳,减少了流量参数数量,提高了模型学习和运行效率,且对输入流量样本进行自动解析识别,达到流量监测与分类,避免恶意流量攻击工业系统,保障工业控制系统的安全,提高工业环境的工作效率。
附图说明
图1为本发明的流程图;
图2为本发明中深度学习模型流程图;
图3为本发明残差模块;
图4为本发明RCF模块。
具体实施方式
下面结合附图所示实施例对本发明进行详细说明。
1.采集数据,使用wires hark抓包软件进行数据收集。考虑到工业控制系统中传输数据不止单一公开或是私有协议,在工控模拟平台对工控协议流量进行采集,包含很多工业控制系统的公开、私有协议,例如Modbus、S7comm、DNP3等。
2.数据处理,对采集的流量数据做正则表达式简单过滤、数据截取、Max-Min归一化等操作后,将流量数据转化,作为深度学习模型的输入特征;
Figure 44526DEST_PATH_IMAGE006
Figure 465143DEST_PATH_IMAGE007
3.使用抓包软件对采集的工控数据使用流追踪,工控系统中不止一种对下位机等系统的操作,故执行流重组筛选出两组不同的数据集满足实验需求;根据工控流量协议基于TCP和UDP工作,一方面可以根据“心跳包”与存在于TCP“三次握手”和“四次挥手”判断工业控制操作是否连接成功、是否完成某次操作,进而判断数据包的完整性;另一方面根据时间戳的连续性和间隔性,表示数据包隶属于某个支流;并对数据集样本标签进行One-Hot编码处理,例如[0,0,1,0,0,0,0,0,0,0]样式。
4.将预处理的工控流量协议样本(正常和异常)构成训练集,作为深度学习模型的输入;为了确保预处理的工控流量中,正常流量的数量远多于非正常的异常流量,使建立系统模型输出结果与存在少数样本欠拟合,利用WGAN-GP(对抗网络)产生虚拟数据,调整数据存在的不平衡性。
Figure 750762DEST_PATH_IMAGE008
Figure 926528DEST_PATH_IMAGE010
5.
Figure 851759DEST_PATH_IMAGE011
Figure 889116DEST_PATH_IMAGE012
6.
Figure 12930DEST_PATH_IMAGE013
Figure 297281DEST_PATH_IMAGE014
7.进而传输到神经网络模型中,卷积神经网络模型包含数据输入,卷积池化层S1,卷积池化层S2,残差模块C、条件随机场CRF和MLP分类器。神经网络模型通过改变滤波器和池化层对输出特征图大小进行修改,在保留局部特征的有效信息的同时,减少数据量,减少过拟合,提升模型的容错能力。
8.将处理过后的数据集作为输入特征图,取TCP字节流的前128字节,对于大于128字节可以随机从中选取某个位置;对于不足128字节的工控数据包或有效载荷不足128字节的数据包补0作为卷积神经网络的输入。UDP数据流也和TCP流做一样的操作,根据UDP流传输的时间顺序,选取符合工控网络流量传输的数据包。
9.S1层:卷积核的大小表示为(channel,height,width),channel表示为卷积核的通道数,height表示为卷积核的高度,width表示卷积核的长度,输入特征图大小设定为W1×H1×D1,输出特征图大小设定为W2×H2×D2;该层卷积核设置为1×5×5,步幅(stride)为1,填充(padding)为2;经过池化层进行缩小卷积层生成的特征图大小,在不增加系统模型学习参数、通道数不发生变化的同时增强整个系统的鲁棒性,每个卷积核附加一个偏置参数;假设输入特征图设定为(32,32,8),池化窗口设定为(2,2),步幅为2,填充为0,池化方式采用最大池化,输出特征图S2为(16,16,16)。根据输入数据大小和卷积核大小可以确定输出特征图大小计算方法,如下所示:
Figure 522857DEST_PATH_IMAGE015
10.S2层原理与S1相似,根据上一步假设得输入特征图为(16,16,16),卷积核与上一次一致为1×5×5,池化层为最大池化2×2,步幅为2,填充为0,输出特征图大小为(8,8,32)。将S2的输出特征图作为残差模块的输入,通道大小不变,经过残差模块处理,将输出特征图传输给一层随机条件场CRF。
11.ResNet是微软团队开发的网络,它的特点在于具有比传统网络更深、更快捷的结构。通过快捷结构,反向传播数据可以无衰减地传递。基于ResNet这种结构,不用担心梯度会变小或变大,能够向前一层传递“有意义的梯度”。残差模块激活函数采用ReLU(Rectified Linear Unit),如下所示:
Figure 613173DEST_PATH_IMAGE016
12.将残差模块的输出作为条件随机场CRF的输入序列Z=
Figure 794755DEST_PATH_IMAGE017
,其中n为输入序列的长度,Y=
Figure 797478DEST_PATH_IMAGE018
为Z对于的输出序列。对于给定输出序列Z取值为z的条件下,在标注序列Y上取值为y的条件概率为
Figure 759617DEST_PATH_IMAGE019
,具体公式如下:
Figure 325728DEST_PATH_IMAGE020
其中
Figure 440446DEST_PATH_IMAGE021
。是规范因子。使用最大似然估计计算最优标注序列,通过训练选取最终能够得到最高条件概率的y对输入数据进行标注。
13.输出层使用的是MLP分类器,包含两个全连接层和一个Dropout层,最后使用Softmax函数计算协议识别的预测值。Softmax函数如下所示:
Figure 863337DEST_PATH_IMAGE022
14.而后训练集数据通过神经网络模型之后输出协议的种类类型,并与先前的样本标签数据进行比较,参考精准度是否继续进行优化模型参数;如果是,利用BP算法重新计算权重参数,使得神经网络模型不断学习,提高精准度。
15.将工控流量数据实时输入到搭建的协议解析模块中,得出识别结果与操作站显示人机界面进行对比,防止恶意流量对工控环境系统进行篡改、攻击等操作。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,在不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化的改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述方法包括以下过程:
(1)采集数据,考虑到工业控制系统中传输数据不止单一公开抑或是私有协议,在工控模拟平台对工控协议流量进行采集,包含很多工业控制系统的公开、私有协议,例如Modbus、S7comm、DNP3;
(2)数据处理,对采集的流量数据做正则表达式简单过滤、数据截取、Max-Min归一化操作后,将流量数据转化,作为深度学习模型的输入特征;
(3)使用抓包软件对采集的工控数据使用流追踪,工控系统中不止一种对下位机的操作,故执行流重组筛选出两组不同的数据集满足实验需求;根据工控流量协议基于TCP和UDP工作,一方面可以根据“心跳包”和存在于TCP“三次握手”和“四次挥手”判断操作是否连接成功和是否完成某次操作,进而判断数据包的完整性;另一方面根据时间戳的连续性和间隔性,表示数据包隶属于某个支流;并对数据集样本标签进行One-Hot编码处理;
(4)将预处理的工控流量协议样本(正常和异常)构成训练集,作为深度学习模型的输入;为了确保预处理的工控流量中,正常流量的数量远多于非正常的异常流量,使建立系统模型输出结果与存在少数样本欠拟合,利用WGAN-GP(对抗网络)产生虚拟数据,调整数据存在的不平衡性;将流量数据转化为深度学习模型的输入特征;
(5)进而传输到神经网络模型中,卷积神经网络包含数据输入,卷积池化层S1,卷积池化层S2,残差模块C、条件随机场CRF和MLP分类器;神经网络模型通过改变滤波器和池化层对输出特征图大小进行修改,在保留局部特征的有效信息的同时,减少数据量,减少过拟合,提升模型的容错能力;
(6)条件随机场CRF对所有观察序列的标注序列的联合概率,作为一个未归一化的有限状态模型和损失函数是凸函数,能够确保收敛到全局最优;
(7)而后训练集数据通过神经网络模型之后输出协议的种类类型,并与先前的样本标签数据进行比较,参考结构精准度是否继续进行优化模型参数,使得深度学习模型不断学习,提高精准度;
(8)将工控流量数据实时输入到搭建的协议解析模块中,得出识别结果与操作站显示人机界面进行对比,防止恶意流量对工控环境系统进行篡改、攻击等操作。
2.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述数据预处理,对在石油化工行业信息安全重点实验室中采集的流量数据做处理,继而使用抓包软件对采集的工控数据使用流追踪,工控系统有很多操作指令,故执行流重组筛选出两组不同的数据集满足实验需求。
3.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述将上述得到的数据作为S1层的特征输入:卷积核的大小表示为(channel,height,width),输入特征图大小设定为W1×H1×D1,输出特征图大小设定为W2×H2×D2;该层卷积核设置为1×5×5,步幅(stride)为1,填充(padding)为2;经过池化层进行缩小卷积层生成的特征图大小,在不增加系统模型学习参数、通道数不发生变化的同时增强整个系统的鲁棒性,每个卷积核附加一个偏置参数;根据输入数据大小和卷积核大小可以确定输出特征图大小计算方法。
4.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述S2层原理与S1相似,根据上述假设得到的输入特征图,卷积核与上一层一致,池化层为最大池化2×2,步幅为2,填充为0,得到输出特征图大小;将S2的输出特征图作为残差模块的输入,通道大小不变,经过残差模块处理,将输出特征传输给一层随机条件场CRF。
5.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述.残差模块ResNet,特点在于具有比传统网络更深、更快捷的结构;通过快捷结构,反向传播数据可以无衰减地传递;该系统使用ResNet结构,避免梯度会变小或变大。
6.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述由残差模块的输出作为条件随机场CRF的输入序列Z=
Figure DEST_PATH_IMAGE001
,其中n为输入序列的长度,Y=
Figure 285078DEST_PATH_IMAGE002
为Z对于的输出序列;对于给定输出序列Z取值为z的条件下,在标注序列Y上取值为y的条件概率为
Figure DEST_PATH_IMAGE003
,具体公式如下:
Figure 115893DEST_PATH_IMAGE004
Figure 111531DEST_PATH_IMAGE006
是规范因子;使用最大似然估计计算最优标注序列,通过训练选取最终能够得到最高条件概率的y对输入数据进行标注。
7.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述数据转交下一层输出层;输出层使用的是MLP分类器,包含两个全连接层和一个Dropout层,最后使用Softmax函数计算协议识别的预测值。
8.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述训练集数据通过神经网络模型之后输出协议的种类类型,并与先前的样本标签数据进行比较,参考精准度是否继续进行优化模型参数;如果是,利用BP算法重新计算权重参数,使得神经网络模型不断学习,提高精准度。
9.根据权利要求1所述的一种基于深度学习的工业控制流量协议识别方法,其特征在于,所述将工控流量数据实时输入到搭建的协议解析模块中,得出识别结果与操作站显示人机界面进行对比,防止恶意流量对工控环境系统进行篡改、攻击等操作,对工控系统环境进行防护。
CN202210366791.4A 2022-04-08 2022-04-08 一种基于深度学习的工业控制流量协议识别方法 Withdrawn CN114884695A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210366791.4A CN114884695A (zh) 2022-04-08 2022-04-08 一种基于深度学习的工业控制流量协议识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210366791.4A CN114884695A (zh) 2022-04-08 2022-04-08 一种基于深度学习的工业控制流量协议识别方法

Publications (1)

Publication Number Publication Date
CN114884695A true CN114884695A (zh) 2022-08-09

Family

ID=82670453

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210366791.4A Withdrawn CN114884695A (zh) 2022-04-08 2022-04-08 一种基于深度学习的工业控制流量协议识别方法

Country Status (1)

Country Link
CN (1) CN114884695A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115499521A (zh) * 2022-11-03 2022-12-20 吉林省建研科技有限责任公司 面向底层设备的多通道多接口协议数字化采集控制系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115499521A (zh) * 2022-11-03 2022-12-20 吉林省建研科技有限责任公司 面向底层设备的多通道多接口协议数字化采集控制系统
CN115499521B (zh) * 2022-11-03 2023-02-17 吉林省建研科技有限责任公司 面向底层设备的多通道多接口协议数字化采集控制系统

Similar Documents

Publication Publication Date Title
CN112738014B (zh) 一种基于卷积时序网络的工控流量异常检测方法及系统
CN112910859B (zh) 基于c5.0决策树和时序分析的物联网设备监测预警方法
CN113542259A (zh) 基于多模态深度学习的加密恶意流量检测方法及系统
CN111191767A (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN114884695A (zh) 一种基于深度学习的工业控制流量协议识别方法
CN112217674A (zh) 基于因果网络挖掘和图注意力网络的告警根因识别方法
CN112491894A (zh) 一种基于时空特征学习的物联网网络攻击流量监测系统
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN111355671B (zh) 基于自注意机制的网络流量分类方法、介质及终端设备
CN112910881A (zh) 一种基于通信协议的数据监控方法及系统
CN113408707A (zh) 一种基于深度学习的网络加密流量识别方法
CN111222534B (zh) 一种基于双向特征融合和更平衡l1损失的单发多框检测器优化方法
CN114760155A (zh) 区块链智能控制的网络数据安全漏洞挖掘方法及系统
CN111314310B (zh) 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法
CN116743633A (zh) 基于注意力机制的物联网异常流量检测方法
CN115632888B (zh) 一种基于图算法的攻击路径还原方法及系统
CN117082118A (zh) 基于数据推导及端口预测的网络连接方法
CN113204647B (zh) 一种基于联合权重的编码解码框架知识图谱嵌入方法
CN116361791A (zh) 基于api分组重构与图像表示的恶意软件检测方法
CN114301671A (zh) 网络入侵检测方法、系统、设备及存储介质
WO2020091259A1 (ko) 비대칭 tanh 활성 함수를 이용한 예측 성능의 개선
Qiu et al. Abnormal Traffic Detection Method of Internet of Things Based on Deep Learning in Edge Computing Environment
CN116662184B (zh) 一种基于Bert的工控协议模糊测试用例筛选方法及系统
CN113610718A (zh) 一种工地空气质量检测和工况去雾的分布计算方法及系统
Liu et al. Abnormal Traffic Detection of Industrial Edge Network Based on Deep Nature Learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20220809

WW01 Invention patent application withdrawn after publication