CN105703963A - 基于pso-ocsvm的工业控制系统通信行为异常检测方法 - Google Patents

Abstract

本发明基于OCSVM算法提出了一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法。该发明利用改进的单类支持向量机算法，根据正常的Modbus功能码序列建立正常通信行为轮廓，设计了一种基于粒子群算法(PSO)进行参数优化的PSO-OCSVM方法，建立入侵检测模型，识别出异常的Modbus TCP通信流量。该发明提高了异常检测的效率及其可靠性，更适用于实际应用。

Description

基于PSO-OCSVM的工业控制系统通信行为异常检测方法

技术领域

本发明属于工业控制系统网络信息安全领域，具体的说是一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法。

背景技术

随着信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等新兴技术融合进来，从而拓展了工业控制的发展空间，带来新的发展机遇，同时也带来了工业控制系统的信息安全等问题。

2010年“震网”病毒事件破坏了伊朗核设施，震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。应对高级持续性威胁(AdvancedPersistentThreat,APT)攻击已成为确保国家关键基础设施安全，保障国家安全的核心问题。

入侵检测系统能使在入侵攻击对系统产生危害前检测到攻击，并发出报警，启动防御措施。目前，入侵检测主要分为两类：误用检测和异常检测。误用检测是通过与已知的异常行为间的匹配程度来实现入侵检测，通常也称为是基于先验知识的入侵检测；而异常检测是通过建立正常行为模型来寻找偏离的异常行为，因此也被称为基于行为的入侵检测。异常检测和误用检测相比，漏报率降低，并且可以检测出以前没有出现过的入侵行为，但异常检测误报警率较高。

工业控制系统的异常检测技术可以分为三类：基于统计的方法、基于知识的方法和基于机器学习的方法。支持向量机方法就是基于机器学习的方法之一。支持向量机是在统计学习理论的基础上发展出来的一种新的模式识别方法，在解决小样本问题、非线性及高维模式识别问题中表现出了许多特有的优势。传统的支持向量机算法适用于多分类问题，即需要正负两类样本训练分类模型，但是SCADA、DCS等工业控制系统数据具有异常样本少、维度高、关联性强等特点，多数为正常数据，故障或临界状态的数据较少，而单类支持向量机具有较少的计算时间，较少的数据样本即可用于训练的优点，更重要的是单类支持向量机只需要一类样本就可以训练异常检测模型，对噪声样本数据具有鲁棒性，能建立较准确的分类模型。单类支持向量机已被证明是一种有效的控制系统通信网络入侵检测的机器学习的方法。

在工业控制入侵检测中，基于“白名单”规则的异常检测方法能够有效检测单条通信协议的异常行为，但无法检测同时存在于多个数据包中的通信异常行为，基于通信模式的异常检测方法能够弥补其不足。本文提出选取Modbus功能码这一重要字段作为研究对象，根据能够处理包含不同数目Modbus功能码序列的预处理方法，结合单类支持向量机算法，设计了一种利用粒子群算法(PSO)进行参数寻优的PSO-OCSVM模型的通信行为异常检测方法即只用一类样本即可训练异常检测模型，并采用粒子群算法对模型参数进行优化，建立了工业控制系统中ModbusTCP通信行为的异常检测模型，以实现辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。

发明内容

针对在背景技术中提出SCADA、DCS等工业控制系统数据异常样本少、维度高、关联性强等缺点，本发明提出一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法。

本发明为实现上述目的所采用的技术方案是：一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法，包括以下步骤：

特征提取：抓取网络中的ModbusTCP通信流量数据包，剔除不包含有Modbus功能码的数据包，统计ModbusTCP客户端和ModbusTCP服务器端的通信流量；

数据预处理：设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码，将Modbus功能码转换为若干个长度为r的短序列，去除其中重复的短序列，获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量；

建模：将OCSVM特征向量导入到matlab中，通过matlab调动libsvm工具箱生成OCSVM异常检测模型；

PSO优化：将初始化的粒子传递给OCSVM异常检测模型作为OCSVM固有参数ν和高斯径向基参数g，将OCSVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新，得到最优的OCSVM固有参数ν和高斯径向基参数g；

PSO-OCSVM异常检测：利用最优的OCSVM固有参数ν和高斯径向基参数g，建立PSO-OCSVM流程模型进行异常检测，并且返回交叉验证意义下的分类正确率。

所述特征提取中，利用wireshark抓取网络中的ModbusTCP通信流量数据包，只保留ModbusTCP通信流量数据包中的Modbus功能码。

所述数据预处理包括以下步骤：

根据需要设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码，去除重复的序列，获得短序列集合；

按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量；

对OCSVM特征向量进行归一化处理，使其中的各元素属于同一个数量级。

所述PSO优化算法包括以下步骤：

设置PSO算法在终止条件始终无法满足情况下的最大迭代次数kmax及粒子速度与位置的限定范围；

随机生成种群并根据OCSVM异常检测模型对PSO算法进行参数初始化，其中每个粒子包含两个分量，分别为单类支持向量机固有参数ν和高斯核函数核参数g，并对每一个粒子设置初始化速度和位置向量；

将粒子进行OCSVM训练并作为单类支持向量机的固有参数ν和高斯核函数参数g，并将返回的交叉验证意义下的分类准确率作为粒子适应度值；

根据适应度值的情况不断更新个体极值及群体极值：一旦出现了更优的适应度值则更新相应的个体或者群体适应度值；

判断是否满足退出迭代条件：如果超过最大迭代次数或连续N次适应度值的变化没有超过0.01％，则退出迭代过程，并且此时的群体极值即为所要求的最优参数，所述N为设定的最大连续限值；

按照粒子位置与速度更新公式进行粒子群更新，同时检查各个粒子的不同维度是否在允许的限度之内，如果超出允许的范围需要限定在事先设置的范围区间之内。

所述PSO-OCSVM异常检测包括以下步骤：

接受PSO优化流程传递的粒子，将该粒子的两个分量分别设置为单类支持向量机的固有参数ν和高斯核函数参数g；

获取正常与异常ModbusTCP通信流量数据包集合，将正常的流量数据赋予+1类别标签，异常流量数据赋予-1类别标签；

构造对偶问题求解单类支持向量机模型；

构造决策函数；

根据决策函数和类别标签计算交叉验证意义下的分类准确率；

将分类准确率返回PSO优化流程中计算适应度值，并作为粒子适应度计算适应度值函数Fit(i)的取值。

所述构造对偶问题求解支持向量机模型为：

$\underset{{\mathrm{\α}}_i}{\min }{L}_D=\frac{1}{2}\underset{i=1}{\overset{l}{\mathrm{\Σ}}}\underset{j=1}{\overset{l}{\mathrm{\Σ}}}{\mathrm{\α}}_i{\mathrm{\α}}_{j}K(x_i,x_j)$

其中，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯核函数，得解 ${\mathrm{\α}}^{*}=({{\mathrm{\α}}_1}^{*},{{\mathrm{\α}}_2}^{*},...,{{\mathrm{\α}}_n}^{*}).$

所述决策函数为：

$f\left(x\right)=\mathrm{sgn}(\underset{i=1}{\overset{l}{\mathrm{\Σ}}}\mathrm{\α}*K(x_i,x_j)-\mathrm{\ρ}*)$

$\mathrm{\ρ}*=\underset{i=1}{\overset{l}{\mathrm{\Σ}}}\mathrm{\α}*K(x_i,x_j)$

其中，ρ^*是单类支持向量机的最终决策函数的补偿值，sgn()表示符号函数，K(x_i,x_j)表示高斯核函数。

所述计算适应度值函数Fit(i)的取值，具体为：

将当前的分类准确率与当前的适应度值进行比较，如果分类准确率大于适应度值，则将分类准确率赋予函数Fit(i)；否则保持当前的适应度值。

所述计算交叉验证意义下的分类准确率采用5折校验方式，具体为：将训练集合均分成5份，每次用其中的4份训练异常检测模型，用剩余的一份作为测试集合验证检测效果。

本发明具有以下优点及有益效果：

1.本发明选取Modbus功能码这一重要字段作为研究对象，根据能够处理包含不同数目Modbus功能码的序列的预处理方法，提出了一种基于单类支持向量机的Modbus功能码序列异常检测方法，该模型特别适合于处理小样本数据的分类问题。

2.本发明采用粒子群算法对OCSVM异常检测模型参数进行寻优，该方法通过粒子群的迭代更新，避免通过网格化方式对OCSVM参数进行寻优，从而将效率提升了10倍左右。

3.本发明提出的PSO-OCSVM方法建立了工业控制系统中通信行为的异常检测模型，可以辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。

附图说明

图1是ModbusTCP应用层数据单元结构；

图2基于PSO-OCSVM的工业通信异常检测算法整体框架图；

图3是PSO-OCSVM异常检测模型。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

如图2、3所示，基于OCSVM的通信行为异常检测方法，包括：

a.特征提取及预处理部分

1ModbusTCP报文格式在保留了Modbus全部功能的基础上，扩展了一些数据结构。ModbusTCP的报文格式主要包括三个部分：MBAP报文头、Modbus功能码和数据。当客户机向服务器设备发送报文时，功能码字段是服务器区分读操作、写操作、数据类型、数据种类的唯一依据，因此将Modbus功能码作为特征向量，如图1所示。

2用wireshark抓取的ModbusTCP流量包含冗余和不重要的特征，去除冗余或者不重要的特征，只保留有效的关键特征集即Modbus功能码。

3将获取的Modbus功能码序列随机分割成不同长度的Modbus功能码短序列，并赋予标签，不包含恶意功能码的序列标记为+1，包含恶意功能码的序列标记为-1。

4根据需要设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码样本，去除重复的序列，获得短序列集合。

5将任意的Modbus功能码序列，按照每一个模式短序列出现的频率构造成OCSVM特征向量。

b.PSO优化流程

1设置PSO算法在终止条件始终无法满足情况下的最大迭代次数kmax；

2在D维的问题空间中随机产生粒子的位置X＝(X₁,X₂.....,X_N)和速度V＝(V₁,V₂,...,V_N)，N为粒子数目，其中X_i＝(x_ig,x_iv)表示第i个粒子由两个分量构成，分别代表OCSVM参数v和径向基核函数参数g的位置，设置两个分量的限定范围是[Xgmin,Xgmax]和[Xvmin,Xvmax]；

3进行粒子适应度Fit(i)计算。粒子适应度值Fit(i)选取以分量x_ig和x_iv为参数的基于OCSVM的Modbus功能码序列检测的交叉验证意义下的分类正确率；

4根据适应度值更新个体极值及群体极值。若适应度值则P^k＝X^k+1，否则P^k＝X^k。若存在j使得成立，且 $\mathrm{Fit}\left(X_j^k\right)>\mathrm{Fit}\left(G^k\right),$ 则令 $G_j^{k-1}=X_j^k,$ 否则 $G_j^{k+1}=G_j^k;$

5判断是否满足退出迭代条件。如果超过最大迭代次数或连续50次适应度值的变化没有超过0.01％，则退出迭代过程，并且此时的群体极值即为所要求的最优参数；

6按照粒子速度与位置更新公式进行更新。每一轮更新结束后需要判定位置各维是否限定在规定范围和内，对于超过范围的分量需要限定在该范围之内，例如如果x_ig<x_gmin则设置xig＝x_gmin，如果x_ig>x_gmax则x_ig＝x_gmax。速度与位置更新按照下述两个公式进行：

V^k+1＝ωV^k+c₁r₁(P^k-X^k)+c₂r₂(G^k-X^k)

X^k+1＝X^k+V^k+1

上式中，第一部分为粒子当前速度，反映粒子当前速度对下一代速度的影响；第二部分反映单个粒子的自身认知能力，主要控制粒子的全局搜索能力，避免陷入局部最优；第三部分反映整个粒子群的社会认知能力，表示粒子间的信息的相互影响，有利于提升粒子的全局搜索能力。其中c1和c2为学习因子，加速度因子r₁和r₂为[0,1]之间的随机数。

c.OCSVM异常检测模型：

1接受PSO参数优化流程传递的单类支持向量机固有参数v和高斯核函数参数g；

2赋予所有样本类别标签：将用于训练的功能码序列样本标签设置为1，用于测试的功能码序列样本正常的设置为1，异常的设置为-1；

3构造对偶求解单类支持向量机模型：

$\underset{{\mathrm{\&alpha;}}_i}{\min }{L}_D=\frac{1}{2}\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}\underset{j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(x_i,x_j)$

其中，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯径向基核函数，得解 ${\mathrm{\&alpha;}}^{*}=({{\mathrm{\&alpha;}}_1}^{*},{{\mathrm{\&alpha;}}_2}^{*},..,{{\mathrm{\&alpha;}}_n}^{*});$

4构造决策函数：

$\mathrm{\&rho;}*=\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}a*K(x_i,x_j)$

$f\left(x\right)=\mathrm{sgn}(\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}a*K(x_i,x_j)-\mathrm{\&rho;}*)$

其中，ρ^*是单类支持向量机的补偿值，sgn()表示符号函数。

5将分类准确率返回PSO参数优化流程，作为粒子适应度计算函数Fit(i)的取值。

Claims (9)

1.一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，包括以下步骤：

特征提取：抓取网络中的ModbusTCP通信流量数据包，剔除不包含有Modbus功能码的数据包，统计ModbusTCP客户端和ModbusTCP服务器端的通信流量；

数据预处理：设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码，将Modbus功能码转换为若干个长度为r的短序列，去除其中重复的短序列，获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量；

建模：将OCSVM特征向量导入到matlab中，通过matlab调动libsvm工具箱生成OCSVM异常检测模型；

PSO优化：将初始化的粒子传递给OCSVM异常检测模型作为OCSVM固有参数ν和高斯径向基参数g，将OCSVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新，得到最优的OCSVM固有参数ν和高斯径向基参数g；

PSO-OCSVM异常检测：利用最优的OCSVM固有参数ν和高斯径向基参数g，建立PSO-OCSVM流程模型进行异常检测，并且返回交叉验证意义下的分类正确率。

2.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述特征提取中，利用wireshark抓取网络中的ModbusTCP通信流量数据包，只保留ModbusTCP通信流量数据包中的Modbus功能码。

3.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述数据预处理包括以下步骤：

根据需要设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码，去除重复的序列，获得短序列集合；

按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量；

对OCSVM特征向量进行归一化处理，使其中的各元素属于同一个数量级。

4.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述PSO优化算法包括以下步骤：

设置PSO算法在终止条件始终无法满足情况下的最大迭代次数k_max及粒子速度与位置的限定范围；

随机生成种群并根据OCSVM异常检测模型对PSO算法进行参数初始化，其中每个粒子包含两个分量，分别为单类支持向量机固有参数ν和高斯核函数核参数g，并对每一个粒子设置初始化速度和位置向量；

将粒子进行OCSVM训练并作为单类支持向量机的固有参数ν和高斯核函数参数g，并将返回的交叉验证意义下的分类准确率作为粒子适应度值；

根据适应度值的情况不断更新个体极值及群体极值：一旦出现了更优的适应度值则更新相应的个体或者群体适应度值；

判断是否满足退出迭代条件：如果超过最大迭代次数或连续N次适应度值的变化没有超过0.01％，则退出迭代过程，并且此时的群体极值即为所要求的最优参数，所述N为设定的最大连续限值；

按照粒子位置与速度更新公式进行粒子群更新，同时检查各个粒子的不同维度是否在允许的限度之内，如果超出允许的范围需要限定在事先设置的范围区间之内。

5.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述PSO-OCSVM异常检测包括以下步骤：

接受PSO优化流程传递的粒子，将该粒子的两个分量分别设置为单类支持向量机的固有参数ν和高斯核函数参数g；

获取正常与异常ModbusTCP通信流量数据包集合，将正常的流量数据赋予+1类别标签，异常流量数据赋予-1类别标签；

构造对偶问题求解单类支持向量机模型；

构造决策函数；

根据决策函数和类别标签计算交叉验证意义下的分类准确率；

将分类准确率返回PSO优化流程中计算适应度值，并作为粒子适应度计算适应度值函数Fit(i)的取值。

6.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述构造对偶问题求解支持向量机模型为：

$\underset{{\mathrm{\&alpha;}}_i}{\min }{L}_D=\frac{1}{2}\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}\underset{j=1}{\overset{l}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i{\mathrm{\&alpha;}}_{j}K(x_i,x_j)$

其中，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯核函数，得解α^*＝(α₁ ^*,α₂ ^*,...,α_n ^*)。

7.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述决策函数为：

$f\left(x\right)=\mathrm{sgn}(\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}\mathrm{\&alpha;}*K(x_i,x_j)-\mathrm{\&rho;}*)$

${\mathrm{\&rho;}}^{*}=\underset{i=1}{\overset{l}{\mathrm{\&Sigma;}}}\mathrm{\&alpha;}*K(x_i,x_j)$

其中，ρ*是单类支持向量机的最终决策函数的补偿值，sgn()表示符号函数，K(x_i,x_j)表示高斯核函数。

8.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述计算适应度值函数Fit(i)的取值，具体为：

将当前的分类准确率与当前的适应度值进行比较，如果分类准确率大于适应度值，则将分类准确率赋予函数Fit(i)；否则保持当前的适应度值。

9.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法，其特征在于，所述计算交叉验证意义下的分类准确率采用5折校验方式，具体为：将训练集合均分成5份，每次用其中的4份训练异常检测模型，用剩余的一份作为测试集合验证检测效果。