【技术实现步骤摘要】
本申请涉及工业互联网安全领域,尤其涉及一种工业互联网协议识别领域。
技术介绍
1、在工业互联网安全领域的各种应用和研究中,协议识别的应用场景主要有三个:(1)网络安全监测。通过识别工业互联网协议,可以实时监测网络流量中的异常行为,及时发现并阻止潜在的安全威胁。(2)设备接入管理。在工业现场的网络环境中,各类生产设备和管理/控制类应用的接入是一个重要的环节。通过识别设备协议,可以有效地管理设备和应用的接入权限,确保只有合法的设备才能接入网络。(3)数据流量分析。通过分析工业现场网络中的各协议的数据流量,可以了解设备的运行状态和通信情况,为网络优化和设备维护提供支持。识别出网络中的各个协议,是数据流量分析时重要的一个环节。总之,识别出具体的协议之后,可以使得后续的网络安全分析、深度报文检测等更具有针对性,可以作为数据特征提取环节中的一个模块,尽可能利用原始数据中蕴含的信息,从原始数据中提取协议类别信息,提高特征数据的完备性。
2、在工业互联网中,协议识别是确保工业网络安全和高效通信的关键技术之一。工业互联网环境下协议复杂,包含许多专用和通用协议,协议识别的技术也因其独特的应用需求而有所不同。目前在工业互联网领域所使用的协议识别主要有基于端口的识别技术、基于流量特征的识别技术、基于数据包结构特征的协议识别技术、基于统计特征分析的协议识别技术、基于深度学习和机器学习的协议识别技术等,这些都是直接沿用了传统互联网协议识别的技术,它们中有一些无法识别非固定端口的协议,有一些准确性不高,有一些识别效率低,有一些实现的成本过高,并没
技术实现思路
1、针对现有的工业网络协议识别技术的缺点,本专利技术提供一种高准确性、高效率、低成本的,能对工作在非固定端口的工业互联网协议进行识别的方法、系统及计算机存储介质、计算机程序产品。
2、本专利技术提供一种用于工业互联网协议辨识的方法,包括以下步骤:
3、s10. 构建协议语料库,所述协议语料库包括各个协议的特征及特征组合在空间维度的信息以及在时间维度的信息;
4、s20. 接收网络数据流,提取所述网络数据流的报文特征,与预设模式库中各个协议进行正则匹配;
5、s30. 采用离散时间马尔科夫链根据所述正则匹配结果在所述协议语料库中检索出对应于各协议的概率值,判断所述网络数据流对应的工业互联网协议类型。
6、进一步地,其特征在于,所述空间维度的信息是指单个报文的数字特征,体现了特征码及其组合出现在报文的位置;时间维度的信息是指通讯双方的数据报文系列的特征,体现了携带不同特征码及其组合的数据报文的依赖及时序关系。
7、进一步地,其特征在于,所述步骤s20包括:
8、s21. 提取网络数据流的标识符,所述标识符用于区分不同的网络数据流;
9、s22. 判断当前接收本报文是否为该网络数据流的第一条报文,如本报文为该网络数据流的第一条报文,创建该网络数据流的流对象并初始化该流对象;如本报文不为该网络数据流的第一条报文,则更新该报文对应的网络数据流的流对象;
10、s23. 对更新了流对象的网络数据流的报文,提取该网络数据流的报文特征,与预设模式库中各个协议进行正则匹配。
11、进一步地,其特征在于,在所述步骤s21之前还包括报文有效性验证步骤:
12、当接收到一条网络报文时,先检查该报文的链路层l2判断是否为ip层报文和/或检查该报文的网络层l3、传输层l4判断是否为tcp/udp层报文。
13、进一步地,其特征在于,所述步骤s20的提取所述网络数据流的报文特征,与预设模式库中各个协议进行正则匹配包括:
14、提取所述报文的预定字节的数值,遍历预设模式库中各协议在该字节位置的数值进行正则匹配。
15、进一步地,其特征在于,所述正则匹配的周期可由用户设定。
16、进一步地,其特征在于,所述步骤s30包括:
17、s31. 基于离散时间马尔科夫链根据所述正则匹配结果在所述协议语料库中检索出对应于各协议的概率值得到奖励因子,再根据奖励因子调整网络数据流对应各类协议的权重值;
18、s32. 通过softmax归一化指数函数, 将所述各权重值转换为一个概率向量,根据所述概率向量与预设阈值比较以确定所述网络数据流对应的工业互联网协议类型。
19、本专利技术还提供一种用于工业互联网协议辨识的系统,包括:
20、协议语料库,所述协议语料库包括各个协议的特征及特征组合在空间维度的信息以及在时间维度的信息;
21、特征提取模块:接收网络数据流,提取所述网络数据流的报文特征,与预设模式库中各个协议进行正则匹配;
22、协议识别模块,所述协议识别模块采用离散时间马尔科夫链根据所述正则匹配结果在所述协议语料库中检索出对应于各协议的概率值,判断所述网络数据流所属协议类型。
23、本专利技术还提供一种计算机存储介质,其特征在于,包括计算机指令,当所述计算机指令在电子设备上运行时,所述电子设备执行如前所述的用于工业互联网协议辨识的方法。
24、本专利技术还提供一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,所述计算机执行如前所述的用于工业互联网协议辨识的方法。
25、与现有技术相比,本专利技术提供的工业互联网协议辨识方法具有以下有益效果:
26、1.本专利技术的工业互联网协议辨识方法提取了工业互联网协议在空间维度和时间维度的特征,构建了用于协议识别的语料库,可识别的工业互联网协议种类丰富,包括协议工作在非固定端口的情况,且识别效率高。
27、2.本专利技术的基于离散时间马尔科夫链dtmc和贝叶斯定理辨识算法对当前数据报文的判别,只依赖于前若干各报文的判别结果,而不是从初始时刻到当前时刻内所有报文,这极大减少了计算量,提高系统进行协议识别的性能。可调整用户接受的准确度,相对传统的技术而言能提高协议识别的准确率和效率。
28、3.本专利技术引入softmax归一化指数函数,作为系统对协议判别类型的概率输出。softmax函数将一个数值向量归一化为一个概率向量,概率向量中的每个元素表示某条数据流属于各协议的概率。softmax函数的计算量少,且引入softmax可以提高系统的可扩展性,在加入新协议时,需要修改的软件部分独立且较少,系统最终输出的结果永远是概率向量,即各概率之和为1.0,减少了实现成本。
本文档来自技高网...【技术保护点】
1.一种用于工业互联网协议辨识的方法,包括以下步骤:
2.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述空间维度的信息是指单个报文的数字特征,体现了特征码及其组合出现在报文的位置;时间维度的信息是指通讯双方的数据报文系列的特征,体现了携带不同特征码及其组合的数据报文的依赖及时序关系。
3.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述步骤S20包括:
4.根据权利要求3所述的用于工业互联网协议辨识的方法,其特征在于,在所述步骤S21之前还包括报文有效性验证步骤:
5.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述步骤S20的提取所述网络数据流的报文特征,与预设模式库中各个协议进行正则匹配包括:
6.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述正则匹配的周期可由用户设定。
7.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述步骤S30包括:
8.一种用于工业互联网协议辨识的系统,包括:
9
10.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,所述计算机执行如权利要求1-7任一项所述的用于工业互联网协议辨识的方法。
...【技术特征摘要】
1.一种用于工业互联网协议辨识的方法,包括以下步骤:
2.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述空间维度的信息是指单个报文的数字特征,体现了特征码及其组合出现在报文的位置;时间维度的信息是指通讯双方的数据报文系列的特征,体现了携带不同特征码及其组合的数据报文的依赖及时序关系。
3.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述步骤s20包括:
4.根据权利要求3所述的用于工业互联网协议辨识的方法,其特征在于,在所述步骤s21之前还包括报文有效性验证步骤:
5.根据权利要求1所述的用于工业互联网协议辨识的方法,其特征在于,所述步骤s20的提取所述网络数据流的...
【专利技术属性】
技术研发人员:唐忞旻,崔文科,马百铭,
申请(专利权)人:深圳市金城保密技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。