CN105592087A

CN105592087A - 一种基于向量机学习的dnp异常检测方法

Info

Publication number: CN105592087A
Application number: CN201510981949.9A
Authority: CN
Inventors: 邹见效; 陈柏帆; 辛晓帅; 徐红兵; 彭超; 张健
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2015-12-23
Filing date: 2015-12-23
Publication date: 2016-05-18

Abstract

本发明公开了一种基于向量机学习的DNP异常检测方法，选择DNP3.0协议应用层的功能码作为特征，通过功能码在DNP3.0协议本身中固有的合法组合的结合，使向量机学习得到特定组合，并作为深度包过滤技术的标准匹配；再通过捕获通讯流量提取功能码序列，使功能码序列与已知特征模式进行匹配，从而识别出防火墙未能识别的入侵攻击行为。

Description

一种基于向量机学习的DNP异常检测方法

技术领域

本发明属于工业控制系统信息安全领域，更为具体地讲，涉及一种基于向量机学习的DNP3.0异常检测方法。

背景技术

随着我国电力系统的信息网络的迅速发展，用于电力系统通讯的DNP(DistribtedNetworkProtoco)类协议的安全重要性也有目共睹，在本发明中，具体以DNP3.0协议为代表进行分析说明。

DNP3.0的设计结构具有灵活性和复杂性，这些灵活性和复杂性都使得攻击者更有可能利用协议本身的规则进行欺骗型攻击如命令注入攻击。命令注入攻击是命令本身合乎协议规则，属于欺骗型攻击，一旦插入系统网络后，正常和恶意代码一并执行，导致信息泄露或者正常数据的破坏，恶意命令掌控外站和网络，最终引起系统的崩坏。传统防火墙技术缺乏对于应用层协议的支持，无法应对利用应用层协议缺陷发起的攻击行为，这种攻击防火墙系统规则发现和阻止不了。因此有必要提出一种可以对数据包执行基于应用层的数据过滤的深度包过滤技术，通过该方法作为防火墙安全技术的有力补充来阻止恶意入侵。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于向量机学习的DNP异常检测方法，通过深度包过滤技术作用于应用层，有效阻止命令注入攻击。

为实现上述发明目的，本发明一种基于向量机学习的DNP异常检测方法，其特征在于，包括以下步骤：

(1)、流量采集

(1.1)、采集DNP3.0通讯流量，剔除该通讯流量中外站对应的数据包，得到功能码；

(1.2)、将功能码按照时间先后顺序排列，得到DNP3.0功能码序列；

(1.3)、设置单位时间T，再根据单位时间T将DNP3.0功能码序列分割成不等长度的DNP3.0功能码短序列；

(1.4)、依次判断所有的DNP3.0功能码短序列中的功能码是否有非法配合1X(X不为0)，如果有，则将该DNP3.0功能码短序列标记为异常数据；如果没有，则保持不变；

(2)、数据预处理

(2.1)、将所有的DNP3.0功能码短序列放置于样本集合A_n，(n＝1,2,…,N)中，N为DNP3.0功能码短序列的总个数，即样本总个数；将样本集合A_n中包含异常数据样本标记为-1，其余的样本标记为+1；

(2.2)、设定长度为d的滑动窗口，d不大于DNP功能码序列样本集合中的最小长度，用长度为d的滑动窗口依次处理样本集合A_n中的每一个样本，从而提取出所有长度为d的DNP3.0功能码短序列；

(2.3)、在所有满足长度为d的DNP3.0功能码短序列中，将每一个不同的d长度DNP3.0功能码短序列保留一份，其余重复相同的删除，得到d长度短序列集合M；

(3)、SVM异常检测

(3.1)、构建支持向量机模型；

(3.2)、将集合M中标记为+1的样本输入到支持向量机模型中，得到检测模型；

(3.3)、对检测模型本身进行测试；将标记为+1的样本输入到检测模型，通过检测模型可以计算出SVM的分类准确率，再将标记为-1的样本入到检测模型，计算出检测模型的异常通过率，当异常通过率大于预设的阀值K时，该条DNP3.0为异常，反正则为正常。

本发明的发明目的是这样实现的：

本发明一种基于向量机学习的DNP异常检测方法，选择DNP3.0协议应用层的功能码作为特征，通过功能码在DNP3.0协议本身中固有的合法组合的结合，使向量机学习得到特定组合，并作为深度包过滤技术的标准匹配；再通过捕获通讯流量提取功能码序列，使功能码序列与已知特征模式进行匹配，从而识别出防火墙未能识别的入侵攻击行为。

同时，本发明一种基于向量机学习的DNP异常检测方法还具有以下有益效果：

(1)、本发明选取DNP3.0应用层功能码这一重要字段作为深度包检测的特征，有效阻止传统防火墙无法识别的一些针对应用层协议缺陷发起的攻击行为，作为传统防火墙的有力补充阻止恶意入侵。

(2)、根据DNP3.0协议本身应用层功能码在通讯过程中研究发现，1X(X不为0)为非法配合，将此加入到对异常通讯的判定中，增大异常检测的准确性。

(3)、利用SVM方法建立了DNP3.0通讯的异常检测模型，可以辨识传统防火墙与入侵检测系统未能识别的异常行为。

附图说明

图1是简单工业控制系统的闭环控制拓扑结构；

图2是数据预处理部分流程图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。

实施例

图1是简单工业控制系统的闭环控制拓扑结构。

在本实施例中，如图1所示，简单工业控制系统的闭环控制拓扑结构包括：主站和外站。其中，主站通过人机接口控制主终端单元MTU(MasterTerminalUnit,MTU)发送请求命令到外站的远程终端设备RTU(RemoteTerminalUnit，),通过在MTU与RTU的通信之间增加深度包过滤技术，可以有效阻止欺骗型攻击。

下面对本发明所述的基于向量机学习的DNP异常检测方法进行详细说明，具体包括以下步骤：

S1、流量采集

S1.1、在主站和外站间利用linux的Netfilter机制联合socket采集DNP3.0通讯流量，剔除该通讯流量中外站对应的数据包，得到功能码；

S1.2、将功能码按照时间先后顺序排列，得到DNP3.0功能码序列，这样消除了DNP3.0通讯流量大量的冗余信息，减少了存储信息所需要的空间资源；

S1.3、设置单位时间T，由于单位时间T内通过的通讯流量是随机的，不能保证随机截断的DNP功能码序列包含相同数目的DNP功能码，因此，可以根据单位时间T将DNP3.0功能码序列分割成不等长度的DNP3.0功能码短序列，这样可以减少序分割方式对最终结果的影响；

S1.4、依次判断所有的DNP3.0功能码短序列，看每个DNP3.0功能码短序列中的功能码是否有非法组合1X(X非0)，如果有，则将该DNP3.0功能码短序列标记为异常数据；如果没有，则保持不变；

功能码具有特定的合法组合，当主站发出不同的功能码时，外站可能处于立即处理模式，也可能处于确认后处理模式。因此，当主站发送功能码为“1”的读请求后，外站会返回一个“0”的确认后处理，当主站收到确认后处理，功能码进行合法组合，即为“10”，如果功能码进行组合后变为“1X”X非0，则表明该功能码为非法组合。

S2、数据预处理

S2.1、将所有的DNP3.0功能码短序列放置于样本集合A_n，(n＝1,2,…,N)中，N为DNP3.0功能码短序列的总个数，即样本总个数；将样本集合A_n中包含异常数据的样本标记为-1，其余的样本标记为+1；

S2.2、设定长度为d的滑动窗口，d不大于DNP功能码序列样本集合中的最小长度，用长度为d的滑动窗口依次处理样本集合A_n中的每一个样本，从而提取出所有长度为d的DNP3.0功能码短序列；

S2.3、在所有满足长度为d的DNP3.0功能码短序列中，将每一个不同的d长度DNP3.0功能码短序列保留一份，其余重复相同的删除，得到d长度短序列集合M；再将集合M中的每一个样本均转换为SVM支持的向量模式；

在本实施例中，设第一个单位时间取到的序列是12345，第二个单位时间取到的序列是123456，设置滑动窗口d＝3，那么，利用滑动窗口d＝3对两个序列处理，得到的第一个时间段短序列为123、234、345，第二个时间段短序列是123、234、345、456；再将两个序列合并得到d长度短序列集合M，M＝123、234、345、456。

S3、SVM异常检测

S3.1、构建支持向量机模型

1)、构造对偶求取支持向量机模型

\min_{α} Q = \frac{1}{2} Σ_{i = 1}^{N} Σ_{j = 1}^{N} α_{i} α_{j} y_{i} y_{j} K (x_{i} x_{j}) - Σ_{i = 1}^{N} α_{i}

Σ_{i = 1}^{n} α_{i} y_{i} = 0; 0 \leq α_{i} \leq C; i = 1, 2, ..., N; n = 1, 2, ..., N,

其中，Q表示对偶运算，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，(0，C)为区间，K(x_i,x_j)表示高斯径向基核函数，(x_i,y_i)为线性可分的样本集，且y∈{-1,+1}；得解

α^{*} = (α_{1}^{*}, α_{2}^{*}, ..., α_{n}^{*});

2)、构造决策函数

b^{*} = y_{j} - Σ_{i = 1}^{N} y_{i} α_{i}^{*} K (x_{i}, x_{j}), j &Element; {j | 0 < α_{j}^{*} < C}

f (x) = s g n (Σ_{i = 1}^{N} α_{i}^{*} y_{i} K (x_{i}, x) + b^{*})

其中，b^*是支持向量机模型的最终决策函数的阈值，sgn()表示符号函数。

S3.2、将集合M中标记为+1的样本输入到支持向量机模型中，得到检测模型；

S3.3、对检测模型本身进行测试；将标记为+1的样本输入到检测模型，通过检测模型可以计算出SVM的分类准确率，再将标记为-1的样本入到检测模型，计算出检测模型的异常通过率，当异常通过率大于预设的阀值K时，该条DNP3.0为异常，反正则为正常。

实例

在本实施例中，采集了单位时间T＝10s内的三个时间段共200个数据的功能码，取子序列长度d为7。经过数据预处理后，得到SVM向量机学习可支持的数据格式，其中123个标记为+1的正常样本，20个标记为-1的异常样本。将得到的标记为+1的正常样本输入支持向量机模块中，得到检测模型，模型参数如下：

nu＝0.666667，obj＝-1.250000，rho＝-0.500000，nSV＝3，nBSV＝1，TotalnSV＝123

对模型本身进行测试，将标记为+1的样本输入到检测模型，得到模型分类准确度达到90.2439％，将标记为-1的样本入到检测模型，异常通过率为0％。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims

1.一种基于向量机学习的DNP异常检测方法，其特征在于，包括以下步骤：

(1)、流量采集

(2)、数据预处理

(2.2)、设定长度为d的滑动窗口，d不大于DNP功能码序列样本集合中的最小长度，用长度为d的滑动窗口依次处理样本集合A_n中的每一一个样本，从而提取出所有长度为d的DNP3.0功能码短序列；

(3)、SVM异常检测

(3.1)、构建支持向量机模型；

(3.2)、将集合M中的所有样本输入到支持向量机模型中，得到检测模型；

2.根据权利要求1所述的一种基于向量机学习的DNP异常检测方法，其特征在于，所述的步骤(1.3)中，判断DNP3.0功能码短序列中的功能码是否有非法配合1X的方法为：当主站和外站通信时，主站会发送功能码为“1”的读请求，外站收到该读请求后返回一个“0”的确认后处理，当主站收到确认后处理时，功能码进行合法组合，即为“10”，如果功能码进行组合后变为“1X”X非0，则表明该功能码为非法组合。

3.根据权利要求1所述的一种基于向量机学习的DNP异常检测方法，其特征在于，所述的步骤(3.1)中，构建支持向量机模型的方法为：

(3.1)、构造对偶求取支持向量机模型

\min_{α} Q = \frac{1}{2} Σ_{i = 1}^{N} Σ_{j = 1}^{N} α_{i} α_{j} y_{i} y_{j} K (x_{i,} x_{j}) - Σ_{i = 1}^{N} α_{i}

Σ_{i = 1}^{n} α_{i} y_{i} = 0; 0 \leq α_{i} \leq C; i = 1, 2, ..., N; n = 1, 2, ..., N,

其中，Q表示对偶运算，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，(0，C)为区间，K(x_i,x_j)表示高斯径向基核函数，(x_i,y_i)为线性可分的样本集，且y∈{-1,+1}；解得

α^{*} = (α_{1}^{*}, α_{2}^{*}, ..., α_{n}^{*});

(3.2)、构造决策函数

b^{*} = y_{j} - Σ_{i = 1}^{N} y_{i} α_{i}^{*} K (x_{i}, x_{j}), j &Element; {j | 0 < α_{j}^{*} < C}

f (x) = s g n (Σ_{i = 1}^{N} α_{i}^{*} y_{i} K (x_{i}, x) + b^{*})