-
题名基于稳态属性的工业控制协议操作字段识别
- 1
-
-
作者
覃朗
陈兴蜀
朱毅
李尧
何军
-
机构
四川大学计算机学院
四川大学网络空间安全研究院
四川大学网络空间安全学院
-
出处
《工程科学与技术》
北大核心
2025年第5期355-366,共12页
-
基金
2020年工业互联网创新发展工程项目(TC200H01V)。
-
文摘
工业控制协议中的操作字段是刻画识别工控网络行为、理解和监控网络活动的基础和关键数据,在工控网络流量中对操作字段进行识别抽取具有重要意义。然而,目前的操作字段识别大多为依赖专家经验知识的人工分析提取方法,存在效率不高、通用性不足且不能处理工控领域中大量存在的、未公开的私有协议的缺陷,无法在场景、协议等未知的复杂网络情况下自动识别出操作字段。为解决上述问题,本文利用工控网络独有的领域特征,跳出协议和程序的限制,提出一种基于稳态属性的工业控制协议操作字段识别方法。首先,通过会话还原、碎片化包重组等预处理操作,从会话数据中提取出数据包应用层各个字段的取值序列;然后,通过对各个取值序列稳定性、周期性、相关性进行分析,发现操作字段的取值序列具有较为稳定、高周期性、高相关性的稳态属性;最后,通过无监督聚类的方式对操作字段和其他字段进行了有效划分,实现操作字段的自动识别。在多种工控系统环境下进行了广泛验证,测试数据包括电力网、水处理实验平台数据以及实网工控流量数据。结果表明,操作字段的识别率在90%以上,证明了方法的有效性和通用性。
-
关键词
工业控制协议
操作字段
稳态属性
字段识别
-
Keywords
industrial control protocols
operation fields
steady-state properties
field recognition
-
分类号
TP38
[自动化与计算机技术—计算机系统结构]
-
