[发明专利]基于OCSVM双轮廓模型的ModbusTCP通信行为异常检测方法

说明书

技术领域

本发明是一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，属于工业控制系统网络信息安全领域。

背景技术

随着工业信息化进程的快速推进，信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁，而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中，其安全事故造成的社会影响和经济损失会更为严重。

2010年，一种强大的旨在攻击西门子制造的工业控制系统的计算机病毒“Stuxnet”出现，该病毒会传播到插入电脑USB接口的设备中，并从中窃取数据。这是骇客首次尝试入侵大型工业电脑系统病毒。此次事件敲响了“防范病毒攻击”的警钟。

2013年六月的“棱镜门”事件，信息安全再次广泛引起关注。当大数据的获取和分析成为棱镜计划的必经之路，不可避免地，身处科技前沿的企业卷入这一计划。智能工业控制领域也无法独善其身。

传统的IT安全防护技术比如防火墙、防病毒软件、入侵检测技术等，难以有效的应用于工业控制系统。这主要是因为采用包过滤的防火墙难以针对应用层上的攻击进行防护，检查的力度和实时性成反比，且对于内部的攻击无能为力。工控系统安装杀毒软件需要非常谨慎，一旦出现误杀后果可能相当严重。

工业是国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。当前，工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用，给工业控制系统信息安全保障工作提出了新任务、新挑战，工业控制系统的安全问题不容忽视。

入侵检测系统能使在入侵攻击对系统产生危害前检测到攻击，并发出报警，启动防御措施。目前，入侵检测主要分为两类：误用检测和异常检测。误用检测是通过与已知的异常行为间的匹配程度来实现入侵检测，通常也称为是基于先验知识的入侵检测；而异常检测是通过建立正常行为模型来寻找偏离的异常行为，因此也被称为基于行为的入侵检测。异常检测和误用检测相比，漏报率降低，并且可以检测出以前没有出现过的入侵行为，但异常检测误报警率较高。

在工业控制入侵检测中，基于“白名单”规则的异常检测方法能够有效检测单条通信协议的异常行为，但无法检测同时存在于多个数据包中的通信异常行为，基于通信模式的异常检测方法能够弥补其不足。

本发明提出选取Modbus功能码这一重要字段作为研究对象，根据能够处理包含不同数目Modbus功能码序列的预处理方法，并基于单类支持向量机方法，构建工业控制系统通信行为的正常行为轮廓模型和异常行为轮廓模型，即双轮廓模型，设计了一种基于粒子群算法(PSO)进行参数寻优的PSO-OCSVM双轮廓模型的通信行为异常检测方法，通过双轮廓检测模型的协同判别以实现辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。

发明内容

针对在背景技术中提出SCADA、DCS等工业控制系统样本分布不平衡或者异常样本难以获取的情况，本发明提出一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，基于单类支持向量机算法建立通信行为双轮廓模型进行工业控制系统异常检测。

本发明为实现上述目的所采用的技术方案是：一种基于OCSVM的通信行为异常检测方法，包括以下步骤：

特征提取：分别采集工业控制系统中Modbus TCP正常通信流量和异常通信流量，并分别进行存储并剔除不必要的信息，最终转化为仅包含Modbus功能码的两个序列；

数据预处理：根据需要设定短序列的长度r，分别以长度为r的滑动窗口循环处理Modbus功能码的两个序列，分别将Modbus功能码的两个序列转换为若干个长度为r的短序列，去除其中重复的短序列，获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM正常通信特征向量和OCSVM异常通信特征向量；

建模：将OCSVM正常通信特征向量和OCSVM异常通信特征向量分别导入到matlab中，通过matlab调动libsvm工具箱分别生成正轮廓OCSVM模型和负轮廓OCSVM模型；