[发明专利]一种基于IA-SVM的IEC102协议通讯行为异常检测方法和系统

说明书

本发明公开了一种基于IA‑SVM的IEC102协议通讯行为异常检测方法，包括：从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列，将得到的功能码序列输入训练好的IA‑SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象，并结合免疫算法和支持向量机模型，因此能够解决现有通讯行为异常检测方法存在的异常检测率低和无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。

技术领域

本发明属于工业控制网络信息安全领域，更具体地，涉及一种基于IA-SVM的IEC102协议通讯行为异常检测方法和系统。

背景技术

随着工业化和信息化、制造业与互联网的深度融合，工控系统面临比传统IT系统更为严峻的内外部威胁，电力等多个工业行业的工控系统信息安全事故频发，如2014年的Havex病毒，劫持电力工控设备，阻断电力供应，造成恶劣影响，这也意味着工业控制网络信息安全已经成为企业安全乃至国家安全的重要基石。

IEC102协议作为一种广泛应用于电能计量系统主站和电能量采集终端等工控领域的通讯规约，其通讯安全直接关系到发电企业、电网企业及电力用户之间的利益。而IEC102协议采用的电能量数据文件传输的报文为明文，缺乏对数据报文的完整性检验，攻击者可通过截获、篡改或模拟报文的方式在通讯过程的任意阶段实现身份伪装，并向对侧发送虚假报文。而常用的工控防范措施是对通用的互联网协议进行通讯行为异常检测，并根据预设的规则和特征值进行匹配过滤。

然而，上述通讯行为异常检测方法存在一些不可忽略的技术缺陷：第一，其工作过程需要依赖根据经验预设的规则和特征值，无法对工业控制网络中的IEC102协议异常通讯行为进行检测；第二，其异常检测模型参数不够优化，导致通讯行为异常检测率偏低。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法，其目的在于，解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题，以及由于异常检测模型参数不够优化，导致通讯行为异常检测率偏低的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法，包括以下步骤：

(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

(2)将步骤(1)得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。

优选地，IEC102协议通讯数据包的传输规则为非平衡式，通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类，功能码位于通讯数据包的控制域字段Bit3-Bit0中，用于执行复位链路、请求指定数据、请求数据传输、应答数据、以及肯定与否定确认等指令。

优选地，IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型。

优选地，IA参数寻优模型的具体结构为：