一種工控協(xié)議識別中的特征字符串挖掘算法

2024-01-24 09:24:20李曉輝

計算機技術(shù)與發(fā)展 2024年1期

關(guān)鍵詞：特征

海洋,徐魁,李曉輝,曾濤,陶軍

(1.寶雞市公安局通信處,陜西寶雞 721014;2.寶雞創(chuàng)天清航科技發(fā)展有限責任公司,陜西寶雞 721000;3.東南大學網(wǎng)絡空間安全學院,江蘇南京 210096)

0 引言

隨著2010年“震網(wǎng)病毒”[1]的出現(xiàn),工業(yè)控制系統(tǒng)(Industrial Control Systems,ICS)[2]的安全性逐漸受到了全球范圍的關(guān)注。工業(yè)控制系統(tǒng)包括多種類型的控制系統(tǒng), 這些控制系統(tǒng)對關(guān)鍵基礎設施的運行至關(guān)重要。工業(yè)控制系統(tǒng)由許多的子系統(tǒng)以及相關(guān)的組件構(gòu)成,各組件之間傳遞一些控制信息或者監(jiān)控數(shù)據(jù),這些信息或者數(shù)據(jù)的傳遞均是以工控協(xié)議的形式傳輸,各組件對于工控協(xié)議的解析與處理影響著工控系統(tǒng)的安全。

無論是對流量進行解析或者其他操作,第一步都是識別出流量所屬協(xié)議。而一些協(xié)議解析工具或者防火墻針對協(xié)議的初步識別主要都是基于固定端口號的,然后再對使用該端口號的協(xié)議進行下一步的解析,而一旦協(xié)議改變端口號,除非解析工具或者防火墻同步改變配置,否則可能會導致無法識別該協(xié)議。Moore等[3]與Madhukar等[4]通過實驗證實僅通過端口進行協(xié)議識別準確率已經(jīng)降低到20%以下。

白惠文等[5]提出了一種基于CNN的針對匿名協(xié)議的識別方法。他們將數(shù)據(jù)包序列預處理為二維向量,并將二維向量中的每個值作為像素值,由此把二維向量轉(zhuǎn)換為圖像作為LeNet-5網(wǎng)絡的輸入來訓練模型和識別目標流量。對由匿名協(xié)議流量和背景流量構(gòu)成的數(shù)據(jù)集進行了實驗,識別準確率可以達到96%以上。

基于有效載荷的識別技術(shù)可以得到較好的性能。該方法主要使用深度包檢(DPI)[6]技術(shù)。DPI不僅會對數(shù)據(jù)包的頭部字段進行檢測,還會對應用層的部分載荷或者所有載荷進行識別,DPI技術(shù)首先會對目標協(xié)議進行特征提取,找到協(xié)議中的特征字符串等特征,組成協(xié)議識別特征庫,然后通過特征匹配的方式進行協(xié)議的識別,如果網(wǎng)絡協(xié)議中出現(xiàn)相應的特征串,則可以確定協(xié)議的類型。例如,“GET”就是HTTP協(xié)議的一個特征字符串。

在協(xié)議特征準確率較高的情況下,基于有效載荷的協(xié)議識別技術(shù)是較為準確的一類協(xié)議識別方式。因此該方法應用范圍廣泛,不僅能識別出單協(xié)議數(shù)據(jù)流,還能有效識別出使用端口偽裝技術(shù)或動態(tài)端口技術(shù)的流媒體數(shù)據(jù)以及大多數(shù)P2P流量。在工業(yè)界應用廣泛,是高速網(wǎng)絡環(huán)境部署的最佳選擇[7]。

對于公共協(xié)議,可以通過查閱協(xié)議規(guī)范文檔獲取協(xié)議特征。但對于未知協(xié)議,早期的特征提取主要采用人工分析的方式尋找,需要具備一定的專業(yè)知識。胡梁眉等[8]利用逆向分析的方法,通過網(wǎng)絡報文序列采樣對比,對相似性極高的報文合并分析。通過統(tǒng)計報文中的關(guān)鍵字節(jié)變化率與取值范圍等數(shù)據(jù)特征,對核電工控系統(tǒng)的私有協(xié)議進行了識別。

隨著技術(shù)的發(fā)展,許多數(shù)據(jù)挖掘[9]技術(shù)被用于未知協(xié)議的特征提取。Wang等先后提出了Biprominer[10]和ProDecoder[11],將數(shù)據(jù)挖掘用于協(xié)議關(guān)鍵字的提取,利用N-gram之間的潛在關(guān)系來推斷協(xié)議的格式。Luo等[12]提出了一種基于字符串頻率的關(guān)鍵字提取方法AutoReEngine,在確定字符串的長度時分別從消息和行的頭部、尾部分別進行定位。為了降低二進制逆向協(xié)議過程中頻繁項提取耗時的問題,Hei等[13]采用Apriori算法生成頻繁字節(jié)項,然后采用AC算法進行頻繁項匹配,并通過位置關(guān)聯(lián)來保證特征候選集的完整性。

Agrawal和Srikant提出的Apriori算法[14]是頻繁項挖掘中最具有影響力的算法,后續(xù)許多算法都是基于Apriori算法進行改進的。但是其缺點在于得到的結(jié)果需要再進行去冗余化處理。

基于此,該文提出了一種自頂向下的頻繁字符串挖掘方法。與傳統(tǒng)的自底向上式挖掘方法不同,該方法可以直接得到長度最長的頻繁字符串,而不用進行去冗余化處理。這一特性,使其能更好地滿足利用機器學習方法進行工控協(xié)議識別時對于特征字符串的要求。在單協(xié)議測試環(huán)境和多協(xié)議測試環(huán)境下,利用識別率、準確率這兩個指標對提取的識別特征的正確性和可靠性進行了驗證,保證了特征的準確性和完全性。

1 相關(guān)概念定義

在進行協(xié)議頻繁項提取之前,需要給出以下定義。

協(xié)議的種類繁多,既有文本型協(xié)議,也有二進制協(xié)議,但是所有的協(xié)議都由整數(shù)個字節(jié)構(gòu)成。在此,該文借鑒了AutoReEngine中的定義,將構(gòu)成協(xié)議的字節(jié)集合D表示如下:

D={

一種工控協(xié)議識別中的特征字符串挖掘算法

0 引 言

1 相關(guān)概念定義

0 引言