屠雅春 許馳 杜昕宜 王倚天 夏長清 金曦

摘 要：未知工控協(xié)議分類是實現(xiàn)多類型混合工控協(xié)議識別的前提。利用工控協(xié)議報文格式精簡且廣泛采用二進(jìn)制序列的特點，提出基于字符距離聚類的未知工控協(xié)議分類方法。該方法打破傳統(tǒng)方法計算文本協(xié)議報文的歐氏距離而難以準(zhǔn)確反映工控協(xié)議報文相似性的問題，通過構(gòu)建二進(jìn)制特征序列，計算字符距離，并開展基于字符距離Kmeans聚類，實現(xiàn)了未知工控協(xié)議分類。其中，為確保分類的準(zhǔn)確性，提出基于最大平均字符距離的最佳聚類K值確定方法。半物理仿真結(jié)果表明，所提方法對未知工控協(xié)議分類的準(zhǔn)確率可達(dá)96.80%，協(xié)議類型判別的正確率可達(dá)97.07%。

關(guān)鍵詞：工控協(xié)議； 協(xié)議分類； 字符距離； Kmeans聚類

中圖分類號：TP301?? 文獻(xiàn)標(biāo)志碼：A?? 文章編號：1001-3695（2023）12-027-3696-05

doi：10.19734/j.issn.1001-3695.2023.04.0179

Character distance clusteringbased classification algorithm for unknown industrial control protocols

Abstract：The classification of unknown industrial control protocol is the premise of realizing multitype mixed industrial control protocol identification. Based on the brief and simple format of industrial control protocol messages with binary characters， this paper proposed an unknown industrial control protocol classification method based on character distance clustering. Previous classification algorithms mainly calculated the Euclidean distance of text protocols， which couldnt accurately reflect the similarity of unknown industrial control protocol messages. In contrast， the proposed algorithm realized unknown industrial control protocol classification by constructing the sequence of binary features sequences， calculating their character distances and performing Kmeans clustering. To guarantee the classification accuracy， it proposed an algorithm determining the optimal clustering K value based on the maximum average character distance. Semiphysical simulation results show that the protocol classification accuracy for unknown industrial control protocol classification can reach 96.80%， while the protocol type identification accuracy can reach 97.07%.

Key words：industrial control protocol; protocol classification; character distance; Kmeans clustering

0 引言

隨著工業(yè)控制系統(tǒng)數(shù)字化、網(wǎng)絡(luò)化、智能化的發(fā)展，大量異構(gòu)的工業(yè)控制網(wǎng)絡(luò)協(xié)議（簡稱工控協(xié)議）涌現(xiàn)，形成了工廠內(nèi)協(xié)議七國八制的現(xiàn)狀。除了大量標(biāo)準(zhǔn)的、公開的工控協(xié)議外，還存在著大量非標(biāo)準(zhǔn)的、私有的工控協(xié)議，特別是各大自動化廠商出于知識產(chǎn)權(quán)、安全隱私等因素的考慮，并沒有公開協(xié)議細(xì)節(jié)。因此，大量工控協(xié)議的結(jié)構(gòu)信息是未知的，使得現(xiàn)有面向互聯(lián)網(wǎng)的協(xié)議識別方法無法對未知的工控協(xié)議進(jìn)行識別［1］。

為了解決未知工控協(xié)議識別分析的難題，最新研究采用協(xié)議逆向工程的方法，對未知協(xié)議報文數(shù)據(jù)進(jìn)行比較分析，以獲取該協(xié)議的格式規(guī)范、報文語義和行為規(guī)范［2］。然而，協(xié)議逆向工程在多種工控協(xié)議混合傳輸?shù)那闆r下會產(chǎn)生誤差，因此需要對多種工控協(xié)議進(jìn)行分類，以對相同類型工控協(xié)議進(jìn)行逆向解析［3］，提高協(xié)議解析的準(zhǔn)確率。

現(xiàn)有未知協(xié)議分類方法主要面向互聯(lián)網(wǎng)協(xié)議，以支持向量機(jī)、機(jī)器學(xué)習(xí)、聚類等方法為主［4］。其中，聚類是一種無監(jiān)督學(xué)習(xí)方法，具有算法輕量化、易實現(xiàn)等特點，被廣泛地應(yīng)用到各領(lǐng)域［5， 6］。文獻(xiàn)［7］基于流量統(tǒng)計屬性，使用Kmeans算法進(jìn)行聚類，實現(xiàn)網(wǎng)絡(luò)流量的聚類分析。文獻(xiàn)［8］建立了零知識下的比特流未知協(xié)議分類模型，提出改進(jìn)Kmeans聚類方法對未知協(xié)議進(jìn)行聚類。文獻(xiàn)［9］采用關(guān)聯(lián)系數(shù)的特征選擇技術(shù)，提出了網(wǎng)絡(luò)行為的無監(jiān)督聚類方法。文獻(xiàn)［10］提出改進(jìn)的凝聚層次聚類方法，實現(xiàn)對網(wǎng)絡(luò)協(xié)議的分類。

相比之下，未知工控協(xié)議分類的研究仍處于起步階段。文獻(xiàn)［11］提出一種基于自然語言處理的協(xié)議特征提取方法，將每一條報文的關(guān)鍵詞作為特征進(jìn)行聚類分析。文獻(xiàn)［12］根據(jù)工控系統(tǒng)中不同功能對應(yīng)不同操作指令的特點，提出基于數(shù)據(jù)降維的工控協(xié)議功能聚類方法，實現(xiàn)了原始工控協(xié)議的功能聚類識別。文獻(xiàn)［13］基于層次聚類，使用特定的工控協(xié)議字段代表整個工控協(xié)議數(shù)據(jù)進(jìn)行聚類，將所有的私有工控協(xié)議數(shù)據(jù)依據(jù)其相似性聚類成簇，實現(xiàn)對私有工控協(xié)議的分類。文獻(xiàn)［14］利用工控協(xié)議格式簡單的特點，對協(xié)議數(shù)據(jù)進(jìn)行分詞，并依據(jù)分詞結(jié)果將協(xié)議數(shù)據(jù)進(jìn)行聚類劃分。

上述方法主要采用聚類方法實現(xiàn)了對相同類型未知工控協(xié)議的分類，但難以適配多種類型未知工控協(xié)議混合傳輸?shù)姆诸悊栴}。為此，本文考慮工控協(xié)議報文格式精簡且廣泛采用二進(jìn)制序列的特點，將多種工控協(xié)議報文序列的特征字段作為特征序列進(jìn)行聚類，提出基于字符距離Kmeans聚類的協(xié)議分類方法（character distancebased Kmeans clustering，CDKClustering），實現(xiàn)了對多種類型未知工控協(xié)議的分類。

本文的主要貢獻(xiàn)如下：

a）針對現(xiàn)有基于歐氏距離的文本協(xié)議分類方法難以準(zhǔn)確對工控協(xié)議進(jìn)行分類的問題，提出基于字符距離的Kmeans聚類算法，可以進(jìn)行細(xì)粒度的相似性判別，實現(xiàn)對未知工控協(xié)議的精準(zhǔn)分類。

b）針對多類型未知工控協(xié)議報文混合傳輸過程中，應(yīng)用基本Kmeans聚類方法難以確定最佳聚類個數(shù)的問題，提出基于最大平均字符距離的最佳聚類K值確定方法，可以根據(jù)工控協(xié)議的協(xié)議標(biāo)識符動態(tài)確定K值，實現(xiàn)最佳聚類。

c）搭建了基于PLC的半物理仿真平臺，并與代表性算法進(jìn)行對比。實驗結(jié)果表明，本文算法能夠在沒有先驗知識的條件下，準(zhǔn)確地分析出最佳的聚類K值，對未知工控協(xié)議分類的準(zhǔn)確率達(dá)到96.80%，協(xié)議類型判別正確率達(dá)到97.07%。

1 工控協(xié)議特征分析

工控協(xié)議主要用于工業(yè)控制系統(tǒng)內(nèi)設(shè)備之間的信息傳輸［15］，多采用有線線纜傳輸，包括工業(yè)現(xiàn)場總線和工業(yè)以太網(wǎng)兩類協(xié)議。常見的工業(yè)現(xiàn)場總線協(xié)議包括Modbus RTU［16］、PROFIBUS等。隨著工業(yè)控制系統(tǒng)規(guī)模的增大，工業(yè)以太網(wǎng)協(xié)議逐漸普及，如Modbus TCP、S7comm、PROFINET等。

相比較于傳統(tǒng)的互聯(lián)網(wǎng)協(xié)議，工控協(xié)議旨在獲取測量值、狀態(tài)值和控制設(shè)備。因此，工控協(xié)議報文通常帶有功能碼字段，以指定接收內(nèi)容和響應(yīng)內(nèi)容。工控協(xié)議與傳統(tǒng)的互聯(lián)網(wǎng)協(xié)議存在如下差異［17］：

a）工控協(xié)議報文簡短，具有一定的控制結(jié)構(gòu)，高度結(jié)構(gòu)化。

b）工控協(xié)議報文的傳輸信息中，以二進(jìn)制形式表示的模擬量、數(shù)字量的信息較多。

c）工控協(xié)議報文以字節(jié)為單元劃分各個功能塊。

以應(yīng)用最為廣泛的Modbus TCP協(xié)議為例，它是一種無異常報告的請求/應(yīng)答模式的協(xié)議。Modbus TCP的協(xié)議報文長度根據(jù)所發(fā)送的消息內(nèi)容決定，一般為0～256 Byte，其傳輸?shù)亩M(jìn)制信息表示設(shè)備的狀態(tài)、設(shè)備的地址、功能碼、數(shù)據(jù)等。Modbus TCP的協(xié)議如圖1所示，包括事務(wù)標(biāo)識符、協(xié)議標(biāo)識符、長度、單元標(biāo)識符、功能碼和數(shù)據(jù)六個功能塊。其中，事務(wù)標(biāo)識符表示每個事務(wù)請求；協(xié)議標(biāo)識符表示協(xié)議的類型，長度表示消息的長度；單元標(biāo)識符表示從屬設(shè)備的設(shè)備號；功能碼表示消息所含的命令類型，例如讀/寫寄存器的命令；數(shù)據(jù)表示消息所含的內(nèi)容，例如寄存器的數(shù)據(jù)地址和寫入/讀取的狀態(tài)。

對多種類型的工控協(xié)議應(yīng)用層數(shù)據(jù)格式進(jìn)行分析可知［18～20］，工控協(xié)議通常使用典型字段進(jìn)行消息封裝，一般由標(biāo)識符、功能碼、長度、數(shù)據(jù)等組成。因此，可對工控協(xié)議格式進(jìn)行簡化，如圖2所示。報文序列頭部字段表示協(xié)議和數(shù)據(jù)包的信息，例如事務(wù)標(biāo)識符、單元標(biāo)識符等；報文序列長度字段表示消息的長度；功能碼字段表示消息所含的功能；數(shù)據(jù)字段表示消息所含的內(nèi)容。以圖2為基礎(chǔ)，本文提出未知工控協(xié)議的分類方法。

2 基于字符距離聚類的未知工控協(xié)議分類方法

根據(jù)圖2所示的工控協(xié)議報文簡化格式，本文所提出的未知工控協(xié)議分類方法的基本流程如圖3所示，包括未知工控協(xié)議報文捕獲、二進(jìn)制特征序列構(gòu)建、基于最大平均字符距離的最佳聚類K值確定、基于字符距離的Kmeans聚類四個主要步驟。

2.1 未知工控協(xié)議報文捕獲

1）工控協(xié)議原始報文捕獲 通過協(xié)議分析軟件（如Wireshark、Charles、Fiddler等）分析未知工控協(xié)議原始報文。根據(jù)工控設(shè)備的MAC地址、IP地址等，捕獲未知工控協(xié)議原始報文。

2）應(yīng)用層數(shù)據(jù)提取 提取工控協(xié)議報文的應(yīng)用層數(shù)據(jù)，構(gòu)建未知工控協(xié)議報文應(yīng)用層數(shù)據(jù)集，記為A={A1，…，Am，…，AM}，其中Am表示第m個工控協(xié)議報文的應(yīng)用層數(shù)據(jù)。

2.2 二進(jìn)制特征序列構(gòu)建

充分考慮工控協(xié)議報文廣泛使用二進(jìn)制序列的特點，構(gòu)建工控協(xié)議的二進(jìn)制特征序列，如圖4所示，包括特征序列截取、二進(jìn)制轉(zhuǎn)換兩個步驟。

1）特征序列截取 對于工控協(xié)議，如圖2所示，報文序列頭部通常含有重要的信息，并在區(qū)分工控協(xié)議報文方面發(fā)揮著重要作用，因此截取工控協(xié)議報文應(yīng)用層數(shù)據(jù)Am的前L個字節(jié)作為特征序列Bm（m=1，2，…，M）。

2）二進(jìn)制轉(zhuǎn)換 將所提取的特征序列Bm轉(zhuǎn)換成二進(jìn)制特征序列Cm，過程如下：

Cm=encode（Bm） m=1，2，…，M（1）

其中：Bm表示第m個特征序列;encode（·）表示特征序列轉(zhuǎn)換成二進(jìn)制特征序列。N位的二進(jìn)制特征序列可表示為Cm=［Cm1， Cm2，…，Cmn，…，CmN］，Cmn表示第m個二進(jìn)制特征序列的第n位。

2.3 基于最大平均字符距離的最佳聚類K值確定

基本的Kmeans聚類算法必須預(yù)先已知類別K，因此可解決已知類型的工控協(xié)議分類問題，但難以適配未知工控協(xié)議分類。為確定最佳聚類K值，本文提出基于最大平均字符距離的最佳聚類K值確定方法。首先，計算二進(jìn)制特征序列Cm之間的字符距離；然后，計算最大平均字符距離，從而確定最佳聚類K值?；玖鞒倘鐖D5所示。

a）構(gòu)建樣本集合。構(gòu)建二進(jìn)制特征序列樣本集合，記為C={C1，…，Cm，…，CM}。

b）計算特征序列間字符距離。任意兩個二進(jìn)制特征序列之間，對應(yīng)二進(jìn)制數(shù)取值不同的位的個數(shù)為字符距離。計算任意二進(jìn)制特征序列m、h的字符距離，計算公式如下：

c）計算最大平均字符距離。計算M個二進(jìn)制特征序列的最大平均字符距離，公式為

d）選擇類別中心。從C中隨機(jī)取二進(jìn)制特征序列Cj作為中心，并將Cj從C中移除，生成一個新的類別Dj，Cj∈Dj。

e）計算特征序列與類別中心的字符距離。計算移除Cj后C中所有二進(jìn)制特征序列到Dj中Cj的字符距離dmj，計算公式為

其中：dmj表示移除Cj后C中第m個二進(jìn)制特征序列與Dj中Cj的字符距離。

f）進(jìn)行特征序列歸類。將所有字符距離小于最大平均字符距離（即dmj

g）重復(fù)步驟d）～f），直到樣本集合C為空，形成多個類別Dj（j=1，2，…，K），得到最佳聚類K值，記為K*。

2.4 基于字符距離的Kmeans聚類

確定最佳聚類K值后，本文進(jìn)一步提出基于字符距離的Kmeans聚類算法，基本思路如圖6所示。具體來說，根據(jù)所確定的K*，在所構(gòu)建的二進(jìn)制特征序列樣本集合中隨機(jī)選取K*個二進(jìn)制特征序列作為聚類中心E1， E2， …， Ek， …， EK*，并對樣本集合內(nèi)二進(jìn)制特征序列進(jìn)行聚類，具體過程如圖7所示。

a）確定初始聚類中心。從二進(jìn)制特征序列樣本集合C中隨機(jī)選取K*個二進(jìn)制特征序列作為初始聚類中心Ek（k=1，2，…，K*）。

b）計算特征序列與聚類中心的字符距離。計算M-K*個二進(jìn)制特征序列與K*個聚類中心的字符距離，計算公式如下：

其中：Ekn表示第k個聚類中心的第n位;dmk表示第m個二進(jìn)制特征序列與第k個聚類中心的字符距離。

c）比較特征序列與聚類中心的字符距離。比較并計算二進(jìn)制特征序列m到K*個聚類中心的最小字符距離，過程如下：

f（dmk）=min（dm1，dm2，…，dmK*） m=1，…，M－K*（6）

其中：dm1， dm2， …， dmK*表示第m個二進(jìn)制特征序列與K*個聚類中心的字符距離，由式（5）計算。

d）確定特征序列類別?；谑剑?）計算所得的最小字符距離確定二進(jìn)制特征序列Cm的類別k，如下所示：

k←f－1（dmk）（7）

其中：f－1（·）表示根據(jù)最小字符距離獲取的二進(jìn)制特征序列Cm所屬的類別k。

e）更新聚類中心。找出類別k內(nèi)最小字符距離所對應(yīng)的二進(jìn)制特征序列，作為新的聚類中心。過程如下：

其中：‖F(xiàn)k‖表示類別k內(nèi)的二進(jìn)制特征序列數(shù)量。

基于式（8）計算得出k內(nèi)最小字符距離所對應(yīng)的二進(jìn)制特征序列Cz，將其作為新的聚類中心Ek′=Cz。

f）重復(fù)步驟b）～e），直到類別k內(nèi)部的二進(jìn)制特征序列不再變化，即聚類結(jié)束。

g）確定工控協(xié)議的類別。由式（7）計算得出二進(jìn)制特征序列Cm屬于類別k，則二進(jìn)制特征序列Cm所對應(yīng)的工控協(xié)議Am屬于類別k。

h）協(xié)議分類。將工控協(xié)議Am歸為類別k，即Am∈Fk。

i）重復(fù)步驟g）h），直到未知工控協(xié)議報文應(yīng)用層數(shù)據(jù)集A為空，即未知工控協(xié)議分類完成。

字符距離聚類的未知工控協(xié)議分類算法偽代碼如下：

算法1 CDKClustering算法

輸入：未知工控協(xié)議報文序列A1， A2， …， Am， …， AM。

輸出：不同類型的工控協(xié)議報文序列集合Fk（k=1，2，…，K*）。

for m=1 to M do

截取報文序列應(yīng)用層數(shù)據(jù)Am的前L個字節(jié)作為特征序列Bm

end for

for m=1 to M do

根據(jù)式（1）將特征序列Bm轉(zhuǎn)換成二進(jìn)制特征序列Cm

end for

for m=1 to M do

for m=1 to M do

for n=1 to N do

根據(jù)式（2）計算特征序列間字符距離

end for

end for

根據(jù)式（3）計算最大平均字符距離

end for

while C is not empty do

從C中隨機(jī)選擇Cj作為新類別Dj的中心，并從C中移除

for all C* in C do

if d（C*，Cj）

end if

end for

將類別Dj添加到類別列表list

end while

K*=len（list）

repeat

for m=1 to M do

E1， E2， …， EK*

for k=1 to K* do

for n=1 to N do

根據(jù)式（5）計算特征序列與聚類中心的字符距離

end for

end for

根據(jù)式（6）比較特征序列與聚類中心的字符距離

根據(jù)式（7）確定特征序列的類別

根據(jù)式（8）更新聚類中心

end for

until 所有類別成員不再變化或達(dá)到設(shè)定的聚類終止條件

repeat

根據(jù)二進(jìn)制特征序列的類別，確定工控協(xié)議的類別

確定類別后，將工控協(xié)議歸類

until 報文序列應(yīng)用層數(shù)據(jù)集A為空

return Fk

3 半物理仿真實驗

為了驗證本文方法的有效性，搭建如圖8所示的半物理仿真實驗平臺。平臺采用兩個西門子S71215 PLC控制器分別做主站控制器和從站控制器，獲取工控協(xié)議數(shù)據(jù)。實驗過程中，主要使用基于TCP/IP封裝的應(yīng)用層工控協(xié)議，包括Modbus TCP、S7comm、BACnet、EnterNet/IP，構(gòu)建未知工控協(xié)議數(shù)據(jù)集。

如圖9所示，利用Wireshark工具分別捕獲BACnet、Modbus TCP、EnterNet/IP、S7comm協(xié)議數(shù)據(jù)2 000條，分別用X1、X2、X3、X4表示，構(gòu)建如表1所示的多協(xié)議數(shù)據(jù)集。協(xié)議聚類的過程中沒有引入工控協(xié)議的先驗知識，故可視為未知工控協(xié)議。

為驗證本文算法的有效性和優(yōu)勢，選取基本的Kmeans聚類算法（KClustering）和文獻(xiàn)［21］提出的基于多指標(biāo)評估的Kmeans聚類算法（MKClustering）進(jìn)行對比實驗。

3.1 聚類吻合度

首先對表1中的三組測試數(shù)據(jù)集進(jìn)行分類，結(jié)果如表2所示?？梢钥吹?，本文所提出的CDKClustering方法計算出的協(xié)議分類種類與實際的協(xié)議種類是相同的，表明本文方法所計算的最佳聚類K值能夠準(zhǔn)確地反映未知工控協(xié)議混合傳輸時的協(xié)議種類。相比之下，KClustering在聚類過程中難以判定聚類K值，需要人工設(shè)定其協(xié)議分類種類，僅適合于已知工控協(xié)議分類。而MKClustering計算的協(xié)議分類種類與實際的協(xié)議種類之間存在誤差，最終導(dǎo)致分類結(jié)果更加不準(zhǔn)確。

3.2 協(xié)議分類準(zhǔn)確率

協(xié)議分類準(zhǔn)確率［22］表示用給定分類算法進(jìn)行協(xié)議分類時，正確分類的協(xié)議數(shù)占協(xié)議總數(shù)的比例。該比例越大，說明分類效果越好。其計算公式為

其中：Q表示協(xié)議分類準(zhǔn)確率;R表示正確分類的協(xié)議報文數(shù)量;S表示所有協(xié)議報文的數(shù)量。

由表3可知，本文提出的CDKClustering算法正確分類的協(xié)議報文數(shù)量明顯高于KClustering和MKClustering算法。進(jìn)一步由圖10可以看出，KClustering和MKClustering算法對未知工控協(xié)議分類的準(zhǔn)確率波動比較大，且協(xié)議分類準(zhǔn)確率（均值）分別為86.70%和89.65%，而本文提出的CDKClustering算法對未知工控協(xié)議分類的準(zhǔn)確率平穩(wěn)且協(xié)議分類準(zhǔn)確率（均值）為96.80%，說明本文提出的CDKClustering算法優(yōu)于KClustering和MKClustering算法，能夠很好地實現(xiàn)對未知工控協(xié)議的分類。

3.3 協(xié)議類型判別正確率

協(xié)議類型判別正確率［23］表示用給定分類算法進(jìn)行協(xié)議分類時，正確分類給某一類別的比例。其計算公式定義為

其中：P表示協(xié)議類型判別正確率；W表示正確分類給類別X? 的數(shù)量；T表示所有分類為類別X的數(shù)量。

由表4和圖11可以看出，KClustering和MKClustering算法對未知工控協(xié)議分類的協(xié)議類型判別正確率波動比較大，且協(xié)議類型判別正確率（均值）分別為89.50%和86.91%，而本文提出的CDKClustering算法對未知工控協(xié)議分類的協(xié)議類型判別正確率平穩(wěn)且協(xié)議類型判別正確率（均值）為97.07%，說明本文提出的CDKClustering算法優(yōu)于KClustering和MKClustering算法，能夠很好地實現(xiàn)對未知工控協(xié)議的分類。

4 結(jié)束語

本文根據(jù)工控協(xié)議普遍采用二進(jìn)制報文且格式簡潔的特點，提出一種CDKClustering算法，實現(xiàn)了多類型未知工控協(xié)議分類。半物理仿真實驗表明，CDKClustering算法對未知工控協(xié)議分類的準(zhǔn)確率可達(dá)96.80%，協(xié)議類型判別的正確率可達(dá)97.07%，優(yōu)于KClustering和MKClustering算法。本文所開展的未知工控協(xié)議分類可以為未知工控協(xié)議格式推斷與識別提供良好的樣本，完成協(xié)議逆向解析。

參考文獻(xiàn)：

[1]王曉晨.私有協(xié)議主動識別關(guān)鍵技術(shù)研究［D］.哈爾濱：哈爾濱工程大學(xué)，2019.（Wang Xiaochen. Research on key technologies of private protocol active identification［D］.Harbin：Harbin Engineering University，2019.）

［2]張蔚瑤，張磊，毛建瓴，等.未知協(xié)議的逆向分析與自動化測試［J］.計算機(jī)學(xué)報，2020，43（4）：653-667.（Zhang Weiyao， Zhang Lei， Mao Jianling， et al. An automated method of unknown protocol fuzzing test［J］.Chinese Journal of Computers，2020，43（4）：653-667.）

［3]徐旭東，張志祥，張獻(xiàn).面向私有二進(jìn)制協(xié)議的報文聚類方法［J］.計算機(jī)科學(xué)與探索，2020，14（6）：958-965.（Xu Xudong， Zhang Zhixiang， Zhang Xian. Message clustering method for private binary protocol［J］.Journal of Frontiers of Computer Science and Technology，2020，14（6）：958-965.）

［4]黃濤，付安民，季宇凱，等.工控協(xié)議逆向分析技術(shù)研究與挑戰(zhàn)［J］.計算機(jī)研究與發(fā)展，2022，59（5）：1015-1034.（Huang Tao， Fu Anmin， Ji Yukai， et al. Research and challenges on reverse analysis technology of industrial control［J］.Journal of Computer Research and Development，2022，59（5）：1015-1034.）

［5]Zhang Jun， Xiang Yang， Zhou Wanlei， et al. Unsupervised traffic classification using flow statistical properties and IP packet payload［J］.Journal of Computer and System Sciences，2013，79（5）：573-585.

［6]李樂，王斐.基于層次策略的半監(jiān)督Kmedoids算法研究［J］.計算機(jī)應(yīng)用研究，2021，38（5）：1387-1392.（Li Le， Wang Fei. Research on semisupervised Kmedoids algorithm based on hierarchical strategy［J］.Application Research of Computers，2021，38（5）：1387-1392.）

［7]張騰飛，李中文，馬福民，等.基于類簇規(guī)模不均衡度量的粗糙模糊Kmeans聚類算法［J］.信息與控制，2020，49（3）：281-288.（Zhang Tengfei， Li Zhongwen， Ma Fumin， et al. Improved rough fuzzy Kmeans clustering based on imbalanced measure of cluster size［J］.Information and Control，2020，49（3）：281-288.）

［8]張鳳荔，周洪川，張俊嬌，等.零知識下的比特流未知協(xié)議分類模型［J］. 計算機(jī)科學(xué)，2016，43（8）：39-44.（Zhang Fengli， Zhou Hongchuan， Zhang Junjiao， et al. Unknown bitstream protocol classification model with zeroknowledge［J］.Computer Science，2016，43（8）：39-44.）

［9]Singh H. Performance analysis of unsupervised machine learning techniques for network traffic classification［C］//Proc of the 5th International Conference on Advanced Computing & Communication Technologies.2015：401-404.

［10]張鳳荔，周洪川，張俊嬌，等.基于改進(jìn)凝聚層次聚類的協(xié)議分類算法［J］.計算機(jī)工程與科學(xué)，2017，39（4）：796-803.（Zhang Fengli， Zhou Hongchuan， Zhang Junjiao， et al. A protocol classification algorithm based on improved AGNES［J］.Computer Engineering & Science，2017，39（4）：796-803.）

［11]周帥，王紹杰.私有工控協(xié)議分類方法研究［J］.信息技術(shù)與網(wǎng)絡(luò)安全，2021，40（9）：19-24.（Zhou Shuai， Wang Shaojie. Research on classification method of private industrial control protocol［J］.Information Technology and Network Security，2021，40（9）：19-24.）

［12]翟亮.基于原始流量的工控系統(tǒng)協(xié)議識別及功能聚類的方法研究［D］.杭州：杭州電子科技大學(xué)，2022.（Zhai Liang. Protocols for industrial control systems based on raw traffic identification and functional clustering method study［D］.Hangzhou：Hangzhou Dianzi University，2022.）

［13]趙睿.基于字段特征聚類方法的私有工控協(xié)議格式分析方法研究［D］.衡陽：南華大學(xué)，2021.（Zhao Rui. Research on private industrial control protocol formal analysis method based on field feature clustering method［D］.Hengyang：University of South China，2021.）

［14]程必成，劉仁輝，趙云飛，等.非標(biāo)工業(yè)控制協(xié)議格式逆向方法研究［J］.電子技術(shù)應(yīng)用，2018，44（4）：126-129.（Cheng Bicheng， Liu Renhui， Zhao Yunfei， et al. Research on nonstandard industrial control protocol formats reverse［J］.Application of Electronic Technique，2018，44（4）：126-129.）

［15]黃影，鄒頎偉，范科峰.基于Fuzzing測試的工控網(wǎng)絡(luò)協(xié)議漏洞挖掘技術(shù)［J］.通信學(xué)報，2018，39（S2）：181-188.（Huang Ying， Zou Qiwei， Fan Kefeng. Fuzzing testbased vulnerability mining for industrial control network protocol［J］.Journal on Communications，2018，39（S2）：181-188.）

［16]Xu Chi， Du Xinyi， Li Xinchun， et al. 5Gbased industrial wireless controller： protocol adaptation， prototype development， and experimental evaluation［J］.Actuators，2023，12（2）：49.

［17]Kim S J， Shon T. Field classificationbased novel fuzzing case generation for ICS protocols［J］.The Journal of Supercomputing，2018，74（9）：4434-4450.

［18]Crifan.ICS_security_overview［EB/OL］.（2022）［2023-04-08］.https：//crifan.github.io/industrial_control_security_overview/website/.

［19]Francia Ⅰ G A， Francia X P， Pruitt A M. Towards an indepth understanding of deep packet inspection using a suite of industrial control systems protocol packets［J］.Journal of Cybersecurity Education，Research and Practice，2016，2016（2）：article No.2.

［20]Chang Y， Choi S， Yun J H， et al. One step more：automatic ICS protocol field analysis［C］//Proc of International Conference on Critical Information Infrastructures Security：Critical Information Infrastructures Security.2017：241-252.

［21]王朝斌.面向私有工控協(xié)議的協(xié)議逆向分析技術(shù)研究［D］.廣州：廣州大學(xué)，2021.（Wang Chaobin. Research on protocol reverse analysis technology for private industrial control protocol［D］.Guangzhou：Guangzhou University，2021.）

［22]袁慧，譚章祿，王福浩.一種高效的相似性度量方法及其分類效果研究［J］.中國科學(xué)：技術(shù)科學(xué)，2022，52（7）：1096-1110.（Yuan Hui， Tan Zhanglu， Wang Fuhao. An efficient similarity measurement method and its classification effect［J］.Scientia Sinica：Technologica Sciences，2022，52（7）：1096-1110.）

［23]潘嘉.基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類研究［D］.鎮(zhèn)江：江蘇科技大學(xué)，2021.（Pan Jia. Deep learningbased network traffic classification research［D］.Zhenjiang：Jiangsu University of Science and Technology，2021.）