私有工控协议分类方法研究
信息技术与网络安全
周 帅,王绍杰
(华北计算机系统工程研究所,北京100083)
摘要:工控协议是网络协议的一个分支,在工控系统的信息安全研究中,协议安全是其中相当重要的一部分。目前工控协议缺乏统一规范,产生了大量的私有未知协议,这些私有协议的逆向分析在报文分类方面研究有限。通过对基于网络流量的协议逆向方法研究,提出了一种私有工控协议报文分类方法,通过N-gram算法进行报文切分,然后通过关键词提取算法提取关键词,最后依据提取的关键词进行报文聚类。实验结果表明所提出的方法能对未知的工控协议进行较好的按照功能分类。
中图分类号:TP309.1
文献标识码:A
DOI:10.19358/j.issn.2096-5133.2021.09.004
引用格式: 周帅,王绍杰. 私有工控协议分类方法研究[J].信息技术与网络安全,2021,40(9):19-24.
文献标识码:A
DOI:10.19358/j.issn.2096-5133.2021.09.004
引用格式: 周帅,王绍杰. 私有工控协议分类方法研究[J].信息技术与网络安全,2021,40(9):19-24.
Research on classification method of private industrial control protocol
Zhou Shuai,Wang Shaojie
(National Computer System Engineering Research Institute of China,Beijing 100083,China)
Abstract:Industrial control protocol is a branch of network protocol. In the research of information security of industrial control system, protocol security is a very important part. At present, industrial control protocols are lack of unified specifications, resulting in a large number of private unknown protocols. In the face of the reverse analysis of these private protocols, the research on packet classification is limited. This paper proposes a packet classification method of private industrial control protocols by studying the protocol reverse method based on network traffic, which uses N-gram algorithm for packet segmentation, then the keywords are extracted by keyword extraction algorithm, and finally the message clustering is carried out according to the extracted keywords. Experimental results show that the proposed method can classify unknown industrial control protocols according to their functions.
Key words :industrial control protocol;protocol reverse;network traffic;N-gram
0 引言
随着我国对工业化与信息化深度结合的推进,新技术越来越广泛地应用到传统工业与制造业上,网络空间作为人类活动的第五维空间,成为一个不同于陆、海、空、天的新的安全疆域。云计算、物联网将原先相对封闭的工业系统暴露在互联网中,由于重视不到位,相关防护措施不足,工控系统的网络安全事件日益增多,我国工控行业所面临的安全问题也日趋复杂,工控系统成为黑客攻击的目标,工控安全研究刻不容缓[1-2]。工控协议研究是工控安全的重要部分,工控协议由于历史原因,存在大量的未知私有协议,由于没有统一的标准,需要进行协议逆向工作进行协议的分析,而目前的协议逆向技术主要是针对一般网络协议的逆向,对工控网络协议的逆向分析较少,已有的针对工控协议的逆向分析中,报文分类方法也仅仅以长度或字符频率当作特征进行分析,存在很大误差[3]。针对以上问题,本文提出了一种基于自然语言处理的协议特征提取方法,将报文中的N-gram片段的概率作为关键词,将每一条报文的关键词作为特征,进行聚类分析,经过实验验证,本文提出的方法能够很好地将协议根据功能进行分类。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003761
作者信息:
周 帅,王绍杰
(华北计算机系统工程研究所,北京100083)
此内容为AET网站原创,未经授权禁止转载。