《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信与网络 > 设计应用 > 私有工控协议分类方法研究
私有工控协议分类方法研究
信息技术与网络安全
周 帅,王绍杰
(华北计算机系统工程研究所,北京100083)
摘要: 工控协议是网络协议的一个分支,在工控系统的信息安全研究中,协议安全是其中相当重要的一部分。目前工控协议缺乏统一规范,产生了大量的私有未知协议,这些私有协议的逆向分析在报文分类方面研究有限。通过对基于网络流量的协议逆向方法研究,提出了一种私有工控协议报文分类方法,通过N-gram算法进行报文切分,然后通过关键词提取算法提取关键词,最后依据提取的关键词进行报文聚类。实验结果表明所提出的方法能对未知的工控协议进行较好的按照功能分类。
中圖分類(lèi)號(hào): TP309.1
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2021.09.004
引用格式: 周帥,王紹杰. 私有工控協(xié)議分類(lèi)方法研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(9):19-24.
Research on classification method of private industrial control protocol
Zhou Shuai,Wang Shaojie
(National Computer System Engineering Research Institute of China,Beijing 100083,China)
Abstract: Industrial control protocol is a branch of network protocol. In the research of information security of industrial control system, protocol security is a very important part. At present, industrial control protocols are lack of unified specifications, resulting in a large number of private unknown protocols. In the face of the reverse analysis of these private protocols, the research on packet classification is limited. This paper proposes a packet classification method of private industrial control protocols by studying the protocol reverse method based on network traffic, which uses N-gram algorithm for packet segmentation, then the keywords are extracted by keyword extraction algorithm, and finally the message clustering is carried out according to the extracted keywords. Experimental results show that the proposed method can classify unknown industrial control protocols according to their functions.
Key words : industrial control protocol;protocol reverse;network traffic;N-gram

0 引言

隨著我國(guó)對(duì)工業(yè)化與信息化深度結(jié)合的推進(jìn),新技術(shù)越來(lái)越廣泛地應(yīng)用到傳統(tǒng)工業(yè)與制造業(yè)上,網(wǎng)絡(luò)空間作為人類(lèi)活動(dòng)的第五維空間,成為一個(gè)不同于陸、海、空、天的新的安全疆域。云計(jì)算、物聯(lián)網(wǎng)將原先相對(duì)封閉的工業(yè)系統(tǒng)暴露在互聯(lián)網(wǎng)中,由于重視不到位,相關(guān)防護(hù)措施不足,工控系統(tǒng)的網(wǎng)絡(luò)安全事件日益增多,我國(guó)工控行業(yè)所面臨的安全問(wèn)題也日趨復(fù)雜,工控系統(tǒng)成為黑客攻擊的目標(biāo),工控安全研究刻不容緩[1-2]。工控協(xié)議研究是工控安全的重要部分,工控協(xié)議由于歷史原因,存在大量的未知私有協(xié)議,由于沒(méi)有統(tǒng)一的標(biāo)準(zhǔn),需要進(jìn)行協(xié)議逆向工作進(jìn)行協(xié)議的分析,而目前的協(xié)議逆向技術(shù)主要是針對(duì)一般網(wǎng)絡(luò)協(xié)議的逆向,對(duì)工控網(wǎng)絡(luò)協(xié)議的逆向分析較少,已有的針對(duì)工控協(xié)議的逆向分析中,報(bào)文分類(lèi)方法也僅僅以長(zhǎng)度或字符頻率當(dāng)作特征進(jìn)行分析,存在很大誤差[3]。針對(duì)以上問(wèn)題,本文提出了一種基于自然語(yǔ)言處理的協(xié)議特征提取方法,將報(bào)文中的N-gram片段的概率作為關(guān)鍵詞,將每一條報(bào)文的關(guān)鍵詞作為特征,進(jìn)行聚類(lèi)分析,經(jīng)過(guò)實(shí)驗(yàn)驗(yàn)證,本文提出的方法能夠很好地將協(xié)議根據(jù)功能進(jìn)行分類(lèi)。



本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000003761




作者信息:

周  帥,王紹杰

(華北計(jì)算機(jī)系統(tǒng)工程研究所,北京100083)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。