技術領域

本發明是一種基于OCSVM雙輪廓模型的Modbus TCP通信行為異常檢測方法，屬于工業控制系統網絡信息安全領域。

背景技術

隨著工業信息化進程的快速推進，信息、網絡以及物聯網技術在智能電網、智能交通、工業生產系統等工業控制領域得到了廣泛的應用，極大地提高了企業的綜合效益。為實現系統間的協同和信息分享，工業控制系統也逐漸打破了以往的封閉性：采用標準、通用的通信協議及硬軟件系統，甚至有些工業控制系統也能以某些方式連接到互聯網等公共網絡中。這使得工業控制系統也必將面臨病毒、木馬、黑客入侵、拒絕服務等傳統的信息安全威脅，而且由于工業控制系統多被應用在電力、交通、石油化工、核工業等國家重要的行業中，其安全事故造成的社會影響和經濟損失會更為嚴重。

2010年，一種強大的旨在攻擊西門子制造的工業控制系統的計算機病毒“Stuxnet”出現，該病毒會傳播到插入電腦USB接口的設備中，并從中竊取數據。這是駭客首次嘗試入侵大型工業電腦系統病毒。此次事件敲響了“防范病毒攻擊”的警鐘。

2013年六月的“棱鏡門”事件，信息安全再次廣泛引起關注。當大數據的獲取和分析成為棱鏡計劃的必經之路，不可避免地，身處科技前沿的企業卷入這一計劃。智能工業控制領域也無法獨善其身。

傳統的IT安全防護技術比如防火墻、防病毒軟件、入侵檢測技術等，難以有效的應用于工業控制系統。這主要是因為采用包過濾的防火墻難以針對應用層上的攻擊進行防護，檢查的力度和實時性成反比，且對于內部的攻擊無能為力。工控系統安裝殺毒軟件需要非常謹慎，一旦出現誤殺后果可能相當嚴重。

工業是國家關鍵基礎設施的重要組成部分，工業控制系統的安全關系到國家的戰略安全。當前，工業控制信息化、三網融合、物聯網、云計算在內的多種新型信息技術的發展與應用，給工業控制系統信息安全保障工作提出了新任務、新挑戰，工業控制系統的安全問題不容忽視。

入侵檢測系統能使在入侵攻擊對系統產生危害前檢測到攻擊，并發出報警，啟動防御措施。目前，入侵檢測主要分為兩類：誤用檢測和異常檢測。誤用檢測是通過與已知的異常行為間的匹配程度來實現入侵檢測，通常也稱為是基于先驗知識的入侵檢測；而異常檢測是通過建立正常行為模型來尋找偏離的異常行為，因此也被稱為基于行為的入侵檢測。異常檢測和誤用檢測相比，漏報率降低，并且可以檢測出以前沒有出現過的入侵行為，但異常檢測誤報警率較高。

在工業控制入侵檢測中，基于“白名單”規則的異常檢測方法能夠有效檢測單條通信協議的異常行為，但無法檢測同時存在于多個數據包中的通信異常行為，基于通信模式的異常檢測方法能夠彌補其不足。

本發明提出選取Modbus功能碼這一重要字段作為研究對象，根據能夠處理包含不同數目Modbus功能碼序列的預處理方法，并基于單類支持向量機方法，構建工業控制系統通信行為的正常行為輪廓模型和異常行為輪廓模型，即雙輪廓模型，設計了一種基于粒子群算法(PSO)進行參數尋優的PSO-OCSVM雙輪廓模型的通信行為異常檢測方法，通過雙輪廓檢測模型的協同判別以實現辨識防火墻與入侵檢測系統未能識別的攻擊行為或者異常行為。

發明內容

針對在背景技術中提出SCADA、DCS等工業控制系統樣本分布不平衡或者異常樣本難以獲取的情況，本發明提出一種基于OCSVM雙輪廓模型的Modbus TCP通信行為異常檢測方法，基于單類支持向量機算法建立通信行為雙輪廓模型進行工業控制系統異常檢測。

本發明為實現上述目的所采用的技術方案是：一種基于OCSVM的通信行為異常檢測方法，包括以下步驟：

特征提取：分別采集工業控制系統中Modbus TCP正常通信流量和異常通信流量，并分別進行存儲并剔除不必要的信息，最終轉化為僅包含Modbus功能碼的兩個序列；

數據預處理：根據需要設定短序列的長度r，分別以長度為r的滑動窗口循環處理Modbus功能碼的兩個序列，分別將Modbus功能碼的兩個序列轉換為若干個長度為r的短序列，去除其中重復的短序列，獲得短序列集合并按照每一個短序列出現的順序進行排列構造成OCSVM正常通信特征向量和OCSVM異常通信特征向量；

建模：將OCSVM正常通信特征向量和OCSVM異常通信特征向量分別導入到matlab中，通過matlab調動libsvm工具箱分別生成正輪廓OCSVM模型和負輪廓OCSVM模型；