[发明专利]一种基于多元组的Modbus TCP异常通讯检测方法和系统

说明书

本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C₁；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。

技术领域

本发明属于工业网络信息安全领域，更具体地，涉及一种基于多元组的ModbusTCP异常通讯检测方法和系统。

背景技术

随着工业互联网时代的到来，越来越多的工业控制网络接入到互联网等公共网络之中，不可避免地要开始考虑工业控制网络怎样才能有更好的安全性，从而抵御来自环境错综复杂的互联网的网络攻击。并且，工业控制网络中的设备通常起着重要的作用，使用者对设备的稳定性和可靠性要求极高，如果工业网络受到攻击，可能会影响工控设备的正常运行，甚至给使用者带来巨大的损失。Modbus TCP协议被广泛应用在工业控制领域，其安全性对工业控制网络有着重大意义，其特性允许接入互联网，因此遭到网络攻击的概率会更大。

对于Modbus TCP通讯异常检测，人们已经不再满足于使用传统的异常检测算法，随着机器学习的飞速发展，许多人开始将基于机器学习的异常检测算法应用到Modbus TCP通讯异常检测中去。尚文利等人提出了一种基于PSO-SVM的Modbus TCP通讯异常检测方法，该方法虽然考虑了功能码的时序性，但是单一地对功能码序列进行检测会导致对连接的特征提取不足；陈鑫龙等人采用基于决策树的通讯异常检测方法，利用决策树对连接中数据包的功能码和线圈地址进行检测，使得算法时间复杂度和检测时延降低，但其只对单个数据包的功能码和线圈地址进行判断，没有考虑数据包之间的关联性和功能码的组合特性，因此导致检测结果偏低；李超等人提出了一种单类支持向量机算法，该研究将连接的功能码和线圈地址组合作为特征，对连接的通讯异常检测效果显著，但其对数据的处理过程过于复杂，降低了通讯的实时性。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于多元组的ModbusTCP异常通讯检测方法和系统，其目的在于，通过考虑Modbus TCP数据包中的功能码与线圈地址以及功能码与数据长度的关联性，从数据包中提取两组有关联的多元组，解决现有基于PSO-SVM的Modbus TCP通讯异常检测方法存在的对连接的特征提取不足的技术问题，以及现有基于决策树的通讯异常检测方法由于没有考虑数据包之间的关联性和功能码的组合特性，导致检测结果偏低的技术问题，以及现有单类支持向量机算法由于对数据的处理过程过于复杂，因此降低了通讯实时性的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于多元组的Modbus TCP异常通讯检测方法，包括以下步骤：

(1)从工业互联网获取Modbus TCP连接，其包括多个Modbus TCP数据包，按照单位时间对Modbus TCP数据包进行分割，以得到多个数据包序列，对每个数据包序列中的每个Modbus TCP数据包进行解析，以获取对应的功能码、线圈地址、以及数据长度。

(2)对步骤(1)得到的Modbus TCP数据包的功能码、线圈地址、以及数据长度进行处理，以得到该Modbus TCP数据包对应的多元组C₁和C₂。