CN104702460A

CN104702460A - 基于SVM的Modbus TCP通讯的异常检测方法

Info

Publication number: CN104702460A
Application number: CN201310667742.5A
Authority: CN
Inventors: 尚文利; 万明; 曾鹏; 赵剑明; 刘贤达; 张华良
Original assignee: Shenyang Institute of Automation of CAS
Current assignee: Shenyang Institute of Automation of CAS
Priority date: 2013-12-10
Filing date: 2013-12-10
Publication date: 2015-06-10

Abstract

本发明基于SVM提出了的工业控制系统Modbus TCP通讯的异常检测方法。该方法设计了Modbus TCP通讯序列的特征选择处理方法，及转换为SVM异常检测模型所需数据格式的预处理方法，设计了一种利用粒子群算法PSO进行参数寻优的PSO-SVM异常检测方法，能提升方法分类识别的精度。该方法基于Modbus功能码序列中的模式短序列出现的频率，识别出工业控制系统中异常的Modbus TCP通讯流量，具有识别未知攻击行为的能力。

Description

基于SVM的Modbus TCP通讯的异常检测方法

技术领域

本文发明的是一种工业控制系统通讯流量异常检测的方法，利用支持向量机方法对功能码序列进行异常检测，属于工业控制系统网络信息安全领域。

背景技术

工业控制系统在设计之初由于普遍采用专有的通信协议、操作系统、硬件设备，并且与其他网络隔离，更多关注的是物理安全和功能安全，欠缺信息与网络安全方面的考虑。伴随着信息化的需求，工业控制系统的封闭性正在不断被打破：TCP/IP技术、开放的工业通讯协议、通用操作系统等应用得越来越广泛，使得“天生”存在很多信息安全与网络安全缺陷的工业控制系统更加容易遭受攻击。Modbus TCP协议广泛应用于石油化工、能源、冶炼、电力等工业控制系统和SCADA系统中，确保Modbus TCP通讯安全具有重要意义。

保证工业控制系统网络安全是一个繁杂的系统工程，需要从安全管理与安全技术两个方面同时入手，构建有效的防御体系，任何依赖单一技术或者单一管理流程的方式，都无法有效应对可能出现的信息安全挑战与威胁。从信息安全防御技术的角度来看，保障工业控制系统中Modbus TCP通讯安全的技术主要有有防火墙技术、隔离网闸、加密传输技术、入侵检测技术、Modbus通讯“白名单”等。

防火墙主要提供传输层与网络层的访问控制机制，体现了系统管理的安全策略。但是防火墙技术缺乏对于应用层协议的支持，无法应对利用应用层协议缺陷发起的攻击行为。隔离网闸技术阻断对重要设施的直接访问，可以极大程度减少系统风险，但是隔离网闸的部署需要依赖于工业控制系统合理的层次划分与拓扑设计，而往往由于业务需要不能进行尽善尽美的结构设计。加密传输技术可以防止通讯信息遭受窃取与篡改，但是会加重信息处理的负担，会对工业控制系统通讯的实时性造成一定的影响，另外工业设备中的芯片处理能力也难以支持复杂的加密方法。入侵检测技术将网络中捕获的流量与已知的攻击特征模式进行匹配，识别出攻击行为，可作为其他安全技术的有力补充。但是该方法需要建立在已知攻击特征的基础之上，无法应对攻击特征未知的情况。Modbus通讯“白名单”可以实现应用层协议的解析，能够精确地对应用层协议的关键字段结合实际的业务需要进行访问控制，最大程度地减少风险敞口，但是这种方法仍然无法完全确保Modbus TCP通讯的安全性，因为攻击者可以利用和白名单策略中相同的策略，构造Modbus TCP通讯的攻击序列。

综上，现有的防护方法从设置合理的安全策略、划分科学的拓扑结构、通讯加密传输、入侵检测、应用层协议过滤等几个方面，构建了工业控制系统安全防御的体系。不过，在该体系统中仍然存在着一个主要的缺失，就是如何辨识未知特征的攻击或者入侵行为，也不能拦截恰好利用防火墙规则或者“白名单”访问控制表发起的攻击行为。

为解决该问题本文提出选取Modbus功能码这一重要字段作为研究对象，设计了能够处理包含不同数目Modbus功能码的序列的预处理方法，结合支持向量机算法，提出了一种基于支持向量机的Modbus TCP通讯功能码序列异常检测方法，并采用微粒子群算法对模型参数进行寻优，建立了工业控制系统中ModbusTCP通讯的异常检测模型，以实现辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。

发明内容

针对在背景技术中提出几种Modbus TCP通讯安全防护技术存在的无法识别特征未知的攻击行为的问题，本文发明了一种基于PSO-SVM的Modbus通讯异常检测方法。

本发明为实现上述目的所采用的技术方案是：一种基于SVM的Modbus TCP通讯的异常检测方法，包括以下步骤：

流量采集：利用Linux内核的Netfilter机制采集工业控制系统中ModbusTCP通讯流量，按照会话进行存储并且剔除不必要的信息，转化为仅包含Modbus功能码的序列；

数据预处理：设定固定长度的滑动窗口，获取所有不同滑动窗口长度的短模式序列构成集合，按照其中每一个元素出现的频率，处理正常与异常ModbusTCP通讯流量中的功能码序列，从而转化成为长度一致的SVM能够处理的向量形式；

PSO优化：将初始化的粒子传递给SVM异常识别模型作为参数惩罚因子C和高斯径向基参数σ，利用SVM模型返回的交叉验证意义下的分类准确率，作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新；

SVM异常检测：利用PSO流程传递的参数，建立C-SVM流程模型进行异常检测，并且返回交叉验证意义下的分类正确率。

所述流量采集包括以下步骤：

利用Linux内核Netfilter机制进行流量抓取，从而捕获工业控制系统中ModbusTCP通讯流量，并且按照源于目的地址对进行分类存储；

剔除Modbus TCP通讯中不包含Modbus功能码的数据包，并且进一步剔除Modbus服务器向客户机回应的相关数据包。

剔除Modbus功能码之外的所有其他信息，并将Modbus功能码按照时间先后顺序进行排列；

将Modbus功能码序列随机分割成不同长度的Modbus功能码短序列。

所述不包含Modbus功能码的数据包包括握手、确认与重传。

所述数据预处理包括以下步骤：

获取正常与异常Modbus TCP通讯流量集合，并且赋予相应的类别标签；

设定短序列长度r，且保证r长度不大于Modbus功能码样本集合中长度最小的个数；

用长度为r滑动窗口依次处理Modbus功能码样本集合的每一个样本，提取所有可能的r长度短序列；

去除c中重复成分，对于每一个不同的r长度短序列仅保留一份，得到模式短序列集合M；

利用短序列模式集合M将功能码序列中的每个元素表示成维数相同的支持向量机能够处理的向量模式。

所述PSO优化包括以下步骤：

设置PSO算法在终止条件始终无法满足情况下的最大迭代步数k_max与粒子位置与速度的限定范围；

随机生成种群以及相关参数初始化，其中每个粒子包含两个分量分别为支持向量机惩罚因子C和径向基核参数σ，并且针对每一个粒子设置初始化速度向量；

将粒子进行SVM训练并作为支持向量机的惩罚因子和高斯径向基参数，返回交叉验证意义下的分类准确率作为粒子适应度值；

根据适应度值的情况更新个体极值及群体极值；如果出现了更优的适应度值则更新相应的个体或者群体适应度值；

判断是否满足退出迭代条：如果超过迭代次数极值或连续50次适应度值的变化没有超过0.01%，则退出迭代过程，并且此时的群体极值即为所要求的最佳参数；

按照粒子速度与位置更新公式进行更新粒子群，同时检查各个粒子多的不同维度是否在允许的限度之内，如果超出允许的范围需要限定在事先设置的范围区间之内。

所述SVM异常检测包括以下步骤：

接受PSO参数优化流程传递的粒子，将该粒子的两个维度分别设置为支持向量机的惩罚因子C和径向基核函数参数σ；

给所有样本赋予类别标签；

构造对偶问题求解支持向量机模型；

构造决策函数；

计算交叉验证意义下的分类准确率；

将分类准确率返回PSO参数优化流程，作为粒子适应度计算函数F(X)的取值。

所述构造对偶问题求解支持向量机模型：

\min Q (α) = \frac{1}{2} Σ_{i = 1}^{n} Σ_{j = 1}^{n} α_{i} α_{j} y_{i} y_{j} K (x_{i}, x_{j}) - Σ_{i = 1}^{n} α_{i}

s . t . Σ_{i = 1}^{l} α_{i} y_{i} = 0,0 \leq α_{i} \leq C, l = 1, . . ., n

其中，Q(α)表示对偶运算，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯径向基核函数，得解α^*＝(α₁ ^*,α₂ ^*,...,α_n ^*)。

所述决策函数为：

b^{*} = y_{j} - Σ_{i = 1}^{n} y_{i} α_{i}^{*} K (x_{i}, x_{j}), i &Element; {i | 0 < 0 < α_{j}^{*} < C}

f (x) = sgn (Σ_{i = 1}^{n} α_{i} y_{i}^{*} K (x_{i}, x) + b^{*})

其中，j表示所有在(0,C)区间之内的所有拉格朗日算子的下标，b^*是支持向量机的最终决策函数的阈值，sgn()表示符号函数。

所述计算交叉验证意义下的分类准确率采用5折校验方式：具体为：将将训练集合均分成5份，每次用其中的4份训练异常检测模型，用剩余的一份作为测试集合验证检测效果。

本发明具有以下优点及有益效果：

1.本发明选取Modbus功能码这一重要字段作为研究对象，设计了能够处理包含不同数目Modbus功能码的序列的预处理方法，提出了一种基于支持向量机的Modbus TCP通讯功能码序列异常检测方法，该模型特别适合于处理小样本数据的分类问题。

2.本文采用微粒子群算法对SVM异常检测模型参数进行寻优，该方法通过粒子群的迭代更新，避免通过网格化方式对SVM参数进行寻优，从而将效率的提升了4倍左右。

3.本文提出的PSO-SVM方法建立了工业控制系统中Modbus TCP通讯的异常检测模型，可以辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。

附图说明

图1是Modbus TCP通讯的数据包格式示意图；

图2是基于PSO-SVM的Modbus TCP通讯的异常检测的整体框架图；

图3是流量采集部分的流程图；

图4是数据预处理部分的流程图；

图5是PSO-SVM异常检测模型。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

如图2所示，基于SVM的Modbus TCP通讯的异常检测方法，包括：

a.流量采集部分

1利用Linux内核Netfilter机制编写流量抓取模块捕获工业控制系统中ModbusTCP通讯流量，并且按照源地址与目的地址的键值对进行分类存储。在此基础之上，由于重点考虑应用层协议的安全性问题，因此有必要将套接字层面的握手、确认与重传等不包含Modbus功能码的数据包剔除，而且进一步剔除Modbus服务器向客户机回应的数据包。

2鉴于Modbus功能码最能够体现Modbus客户机与Modbus服务器的操作意图，而且工业控制系统在稳定状态下的通讯流量应该具备一定的时间特性，因此特征选择Modbus协议中的Modbus功能码字段。因此需要剔除Modbus功能码之外的所有其他非必要信息，并确保Modbus功能码按照时间先后顺序进行排列，这样消除了大量的冗余信息减少了存储信息所需要的空间资源。

3将Modbus功能码序列随机分割成不同长度的Modbus功能码短序列，这样可以减少序分割方式对最终结果的影响。

b.数据预处理

1获取正常与异常Modbus TCP功能码序列样本集合A_n，凡是包含恶意功能码序列的元素，赋予样本标签-1；凡是不包含恶意功能码序列的元素，赋予样本标签为+1。

2设定短序列长度r，使得对于Modbus功能码序列样本集合A_n，n＝1，I，N，其中N为样本数目， j＝１，...,n_i，n_i表示第i个样本中含有的Modbus功能码数量，需要满足r≤n_i，即长度要不大于Modbus功能码样本集合中长度最小的个数。

3用长度为r的滑动窗口循环处理Modbus功能码样本集合中的每一个元素A_i则提取所有可能的r长度短序列，则至多可以得到个包含r的Modbus功能码的序列。

4去除上一步中重复的成分并且仅保留一份可以得到模式短序列集合M=M₁,M₂,...,M_m,则获得了模式短序列集合M，该集合标识了在所有Modbus功能码序列中的出现的r长度的短序列的可能性。

5利用短序列模式集合M将功能码序列中的每个元素表示成维数相同的支持向量机能够处理的向量模式，反应了短序列模式集合M中每个元素在Modbus功能码序列中出现的频率。具体方法是将任意的Modbus功能码序列按照每一个模式短序列出现的频率构造成SVM特征向量x_i＝(x_i1，x_i2，...，x_im)，其中x_i的第个分量x_ij表示短序列模式集合M中的第j个分量m_j出现的频率，计算公式为x_ij-g(m_j)/(n_i-r+1)，其中g(m_j)表示在A_i中模式短序列m_j出现的次数。

c.PSO优化流程

1设置PSO算法在终止条件始终无法满足情况下的最大迭代步数k_max；

2随机生成种群以及相关参数初始化。随机生成种群位置X＝(X₁，X₂，...，X_N)，N为粒子数目，其中X_i＝(x_iσ，x_iσ)表示第i个粒子由两个分量构成，分别代表SVM惩罚因子C和径向基核函数σ的位置，随机生成对应每一个位置均有速度V_i-(V_iσ，V_iσ)。设置位置两个分量的限定范围是[X_σmin，X_σmax]和[X_σmin，X_σmax]。

3进行粒子适应度F(X_i)计算。粒子适应度值F(X_i)选取以分量x_iσ和x_iσ为参数的基于SVM的Modbus功能码序列检测的交叉验证意义下的分类正确率。

4根据适应度值更新个体极值及群体极值。如果适应度值P^k＝X^k，否则P^k=X^k-1。如果存在j使得均成立，且则令否则

5判断是否满足退出迭代条。如果超过迭代次数极值或连续50次适应度值的变化没有超过0.01%，则退出迭代过程，并且此时的群体极值即为所要求的最佳参数。

6按照粒子速度与位置更新公式进行更新。每一轮更新结束后需要判定位置各维是否限定在规定范围[X_σmin，X_σmax]和[X_σmin，X_σmax]内，对于超过范围的分量需要限定在该范围之内，例如如果x_iσ＜x_σmin则设置x_iσ-x_σmin，如果x_iσ＞x_σmax则x_iσ＝x_σmax。速度与位置更新按照下述两个公式进行：

V^k+1＝ωV^k+c₁r₁(P^k-X^k)+c₂r₂(G^k-X^k)

X^k+1＝X^k+V^k+1

上式中角标k与k+1分别表示上一轮迭代和本轮的属性，V表示速度，P表示个体极值，G表示群体极值，X表示位置。惯性因子c1和c2为非负常数，加速度因子r1和r2为[0,1]之间的随机数。

d.SVM异常检测模型：

1接受PSO参数优化流程传递的惩罚因子C和径向基核函数参数σ。

2赋予所有样本类别标签。正常功能码序列样本标签设置为1，异常功能码序列样本标签设置为-1。

3构造对偶求解支持向量机模型。

\min Q (α) = \frac{1}{2} Σ_{i = 1}^{n} Σ_{j = 1}^{n} α_{i} α_{j} y_{i} y_{j} K (x_{i}, x_{j}) - Σ_{i = 1}^{n} α_{i}

s . t . Σ_{i = 1}^{l} α_{i} y_{i} = 0,0 \leq α_{i} \leq C, l = 1, . . ., n

4构造决策函数。

b^{*} = y_{j} - Σ_{i = 1}^{n} y_{i} α_{i}^{*} K (x_{i}, x_{j}), i &Element; {i | 0 < 0 < α_{j}^{*} < C}

f (x) = sgn (Σ_{i = 1}^{n} α_{i} y_{i}^{*} K (x_{i}, x) + b^{*})

5采取5折校验方式计算交叉验证意义下的分类准确率，将将训练集合均分成5份，每次用其中的4份训练异常检测模型，用剩余的一份作为测试集合验证检测效果，通过该方式可以有效的消除因为训练集和测试集的选取对检测效果的影响。

6将分类准确率返回PSO参数优化流程，作为粒子适应度计算函数F(X)的取值。

Claims

1.一种基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述流量采集包括以下步骤：

3.根据权利要求2所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述不包含Modbus功能码的数据包包括握手、确认与重传。

4.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述数据预处理包括以下步骤：

5.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述PSO优化包括以下步骤：

设置PSO算法在终止条件始终无法满足情况下的最大迭代步数kmax与粒子位置与速度的限定范围；

6.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述SVM异常检测包括以下步骤：

给所有样本赋予类别标签；

构造对偶问题求解支持向量机模型；

构造决策函数；

计算交叉验证意义下的分类准确率；

将分类准确率返回PSO参数优化流程，作为粒子适应度计算函数FtX,a的取值。

7.根据权利要求6所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述构造对偶问题求解支持向量机模型：

\min Q (α) = \frac{1}{2} Σ_{i = 1}^{n} Σ_{j = 1}^{n} α_{i} α_{j} y_{i} y_{j} K (x_{i}, x_{j}) - Σ_{i = 1}^{n} α_{i}

s . t . Σ_{i = 1}^{l} α_{i} y_{i} = 0,0 \leq α_{i} \leq C, l = 1, . . ., n

8.根据权利要求6所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述决策函数为：

b^{*} = y_{j} - Σ_{i = 1}^{n} y_{i} α_{i}^{*} K (x_{i}, x_{j}), i &Element; {i | 0 < 0 < α_{j}^{*} < C}

f (x) = sgn (Σ_{i = 1}^{n} α_{i} y_{i}^{*} K (x_{i}, x) + b^{*})

9.根据权利要求6所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述计算交叉验证意义下的分类准确率采用5折校验方式：具体为：将将训练集合均分成5份，每次用其中的4份训练异常检测模型，用剩余的一份作为测试集合验证检测效果。