Decoding BACnet Packets: A Large Language Model Approach for Packet Interpretation

工业控制系统（ICS）环境涵盖了各种复杂的通信协议，给安全运营中心（SOC）分析师在监测、解释和处理网络活动和安全事件方面带来了巨大挑战。传统的监测工具和技术通常难以清楚地理解ICS特定通信的性质和意图。为了增强理解，我们提出了一种由大型语言模型（LLM）驱动的软件解决方案。该解决方案目前专注于BACnet协议，通过使用映射数据库和当代的上下文检索方法，处理数据包文件数据并提取上下文。处理后的数据包信息与提取的上下文结合，作为LLM的输入，为用户生成简明的数据包文件摘要。该软件提供了一个清晰、连贯且易于理解的网络活动摘要，使SOC分析师能够更好地评估控制系统的当前状态。

该论文旨在解决工控系统（ICS）环境中通信协议复杂、难以理解的问题，提出了一种基于大型语言模型（LLM）的软件解决方案，以便更好地监测和评估控制系统的当前状态。

该论文的关键思路是利用大型语言模型（LLM）对处理后的数据进行分析，提取上下文信息，生成简明的数据包文件摘要，以便SOC分析师更好地理解ICS网络活动。

该软件解决方案目前专注于BACnet协议，使用映射数据库和RAG等现代上下文检索方法来提取上下文信息。实验结果表明，该方案能够生成清晰、连贯、易于理解的网络活动摘要。本文还介绍了使用的数据集和开源代码，并提出了未来研究的方向。

与该论文相关的研究包括《Deep Packet: A Novel Approach for Encrypted Traffic Identification Using Deep Learning》和《Deep Packet Inspection on Encrypted Traffic Using Machine Learning Techniques》等。