CN108282482B - 一种基于svm的iec60870-5-104异常流量检测方法 - Google Patents
一种基于svm的iec60870-5-104异常流量检测方法 Download PDFInfo
- Publication number
- CN108282482B CN108282482B CN201810087206.0A CN201810087206A CN108282482B CN 108282482 B CN108282482 B CN 108282482B CN 201810087206 A CN201810087206 A CN 201810087206A CN 108282482 B CN108282482 B CN 108282482B
- Authority
- CN
- China
- Prior art keywords
- transmission
- iec60870
- data packets
- abnormal flow
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SVM的IEC60870‑5‑104异常流量检测方法,首先根据实际需要选择出能够表征IEC60870‑5‑104协议特点的代表传送原因,然后在主站与子站之间捕获若干组正常流量和异常流量的数据包,筛选得到I格式数据包,从中提取每组数据包的传送原因,根据预设的间隔时间将每组数据包的传送原因序列分割成传送原因短序列,然后根据代表传送原因统计得到每个传送原因短序列对应的频率向量,将频率向量作为特征输入,根据所属数据包是否为正常流量标记标签作为期望输出,训练得到SVM分类器,在需要进行异常流量检测时,提取间隔时间内的发送原因序列,统计得到频率向量,输入SVM分类器得到检测结果。本发明基于传送原因这一重要协议特征,有效实现IEC60870‑5‑104的异常流量检测。
Description
技术领域
本发明属于电力网络信息安全技术领域,更为具体地讲,涉及一种基于SVM的IEC60870-5-104异常流量检测方法。
背景技术
IEC60870-5-104是一种适用于电力能量管理系统的通信规约,具有通信数据大、便于升级、实时性好、可靠性高等优点,能量管理系统通过IEC60870-5-104协议将远动终端(RTU,Remote Terminal Unit)采集的电力监测数据发送至调度中心。因此,IEC60870-5-104协议是电力能量管理系统的重要组成部分,对电力能量管理系统的稳定运行有重要作用。
然而,IEC60870-5-104协议在制定的时候,传输数据时采用明文发送,它的报文结构和数据格式都是公开的,在没有足够的安全措施下,存在很大安全隐患,这使得通过IEC60870-5-104协议传输的数据很容易受到报文窃听、篡改、假冒等网络攻击,威胁电力系统的安全。随着信息技术的发展,通信系统网络化、通信规约的标准化以及互联网技术逐渐应用于能量管理系统中,无任何保护措施的IEC60870-5-104协议面临着大的风险,严重威胁能量管理系统的安全性。若要防范此类欺骗性攻击,需要对IEC60870-5-104数据内容本身的过滤,即对应用层进行深度包过滤。由于欺骗性攻击的数据包是符合IEC60870-5-104协议规则的,而传统防火墙不能识别,因此无法防范此类攻击。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于SVM(Support VectorMachine,支持向量机)的IEC60870-5-104异常流量检测方法,基于传送原因这一重要协议特征,有效实现IEC60870-5-104的异常流量检测。
为实现上述发明目的,本发明基于SVM的IEC60870-5-104异常流量检测方法包括以下步骤:
S1:根据实际需要选择出能够表征IEC60870-5-104协议特点的代表传送原因,记代表传送原因的数量为M;
S2:在IEC60870-5-104通信系统的主站与子站之间捕获得到若干组IEC60870-5-104正常流量和异常流量的数据包;
S3:对于步骤S102得到的每组数据包,利用深度包检测技术,根据控制域信息剔除所有S格式和U格式的数据包,筛选得到I格式数据包;从每个I格式数据包中提取出传送原因,将传送原因按照I格式数据包的发送时间先后顺序排列,得到该组数据包对应的传送原因序列;然后根据预设的间隔时间T将每组数据包的传送原因序列分割成传送原因短序列;记获取的所有传送原因短序列的集合A={An},其中n=1,2,…,N,N表示传送原因短序列的数量,An表示第n个传送原因短序列,记为
rk n表示第n个传送原因短序列中第k个传送原因,k=1,2,…,Kn,Kn表示第n个传送原因短序列中的传送原因数量;
S4:分别统计第n个传送原因短序列An中每个代表传送原因的数量fn(m),m=1,2,…,M,将其他传送原因的数量记为fn(M+1),然后根据以下公式计算第n个传送原因短序列中每个代表传送原因和其他传送原因的频率
其中,m′=1,2,…,M+1;
从而得到第n个传送原因短序列对应的频率向量
如果第n个传送原因短序列所属数据包为正常流量数据包,令频率向量Xn对应的标签Yn=1,如果所属数据包为异常流量数据包,则令标签Yn=-1;
S5:将步骤S4得到的N个频率向量Xn作为输入,对应标签Yn作为期望输出,训练得到SVM分类器;
S6:在需要进行异常流量检测时,从当前的主站和子站之间捕获时长T内的IEC60870-5-104数据包,筛选得到I格式数据包,提取传送原因序列A′,然后统计得到对应的频率向量X′,将其输入步骤S5训练得到的SVM分类器,得到是否为异常流量的检测结果。
本发明基于SVM的IEC60870-5-104异常流量检测方法,首先根据实际需要选择出能够表征IEC60870-5-104协议特点的代表传送原因,然后在主站与子站之间捕获若干组正常流量和异常流量的数据包,筛选得到I格式数据包,从中提取每组数据包的传送原因,根据预设的间隔时间将每组数据包的传送原因序列分割成传送原因短序列,然后根据代表传送原因统计得到每个传送原因短序列对应的频率向量,将频率向量作为特征输入,根据所属数据包是否为正常流量标记标签作为期望输出,训练得到SVM分类器,在需要进行异常流量检测时,提取间隔时间内的发送原因序列,统计得到频率向量,输入SVM分类器得到检测结果。本发明选取了IEC60870-5-104协议中的传送原因这一重要协议特征作为研究对象,结合SVM分类器建立了异常流量检测模型,以防止数据被网络攻击者窃听、篡改、假冒,提高IEC60870-5-104通信过程的安全性与可靠性,保障能量管理系统的安全性,保障电力系统的安全。
附图说明
图1是IEC60870-5-104协议中I格式报文结构图;
图2是本发明基于SVM的IEC60870-5-104异常流量检测方法的具体实施方式流程图。
具体实施方式
下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
实施例
为了更好地说明本发明的技术方案,首先对IEC60870-5-104协议进行简单介绍。IEC60870-5-104协议的应用规约数据单元(APDU)由应用规约控制信息(APCI)和应用服务数据单元(ASDU)组成。APCI主要是定义ASDU的启动和结束,由启动字符(68H),长度,以及控制域组成。控制域定义了保护报文不至丢失和重复传送的控制信息,报文传输启动和停止,以及传输链接的监视等。根据控制域的不同,IEC60870-5-104的报文结构分为三种不同格式,分别是I格式(Information Transmit Format)、S格式(Numbered supervisoryFunctions),U格式(Unnumbered Control Format)。只有I格式报文才能用于传输ASDU。图1是IEC60870-5-104协议中I格式报文结构图。如图1所示,ASDU由数据单元标识和信息体组成,数据单元标识包括数据单元类型、传送原因和公共地址。其中,传送原因标识的是周期传送、突发传送、总询问,还是分组询问、请求数据、重新启动、站启动、测试、确认、否定确认等,它能够体现发送站和接收站之间的操作意图。而本发明中就是通过提取传送原因来得到IEC60870-5-104流量的特征,从而实现IEC60870-5-104异常流量检测。
图2是本发明基于SVM的IEC60870-5-104异常流量检测方法的具体实施方式流程图。如图2所示,本发明基于SVM的IEC60870-5-104异常流量检测方法具体包括以下步骤:
S201:选取代表传送原因:
本发明中需要提取传送原因来得到IEC60870-5-104流量的特征,而IEC60870-5-104协议中I格式报文的传送原因类型较多,因此需要根据实际需要选择出能够表征IEC60870-5-104协议特点的代表传送原因,记代表传送原因的数量为M。在实际应用中,可以预先对IEC60870-5-104正常流量I格式数据包中的传送原因进行统计,基于预设的统计特征来选择代表传送原因。本实施例中将传送原因按照出现频率从高到低进行排列,取前M个传送原因作为代表传送原因。
S202:捕获数据包:
在IEC60870-5-104通信系统的主站与子站之间捕获得到若干组IEC60870-5-104正常流量和异常流量的数据包。本实施例中利用Linux的Netfilter在IEC60870-5-104协议TCP端口(2404)进行抓取。
S203:提取发送原因短序列:
在获得数据包后,需要从中提取出供本发明使用的发送原因数据,具体方法为:
对于步骤S202得到的每组数据包,利用深度包检测技术,根据控制域信息剔除所有S格式和U格式的数据包,筛选得到I格式数据包。I格式报文的标志在于控制域第一个八位位组的第一位比特的值为0,控制域第三个八位位组的第一位比特的值为0;S格式报文的标志在于控制域第一个八位位组的第一位比特等于1并且第二位比特等于0,控制域第三个八位位组第一位比特等于0;U格式报文标志在于控制域第一个八位位组的第一个比特等于1并且第二个比特等于1,控制域第三个八位位组第一个比特等于0。
从每个I格式数据包中提取出传送原因,将传送原因按照I格式数据包的发送时间先后顺序排列,得到该组数据包对应的传送原因序列。然后根据预设的间隔时间T将每组数据包的传送原因序列分割成传送原因短序列。本发明中采用固定间隔时间来分割序列,可以减少分割方式对最终结果的影响。由于一段时间内的IEC60870-5-104协议数据流量是有随机性的,因此得到的传送原因短序列的长度是不等的。
记获取的所有传送原因短序列的集合A={An},其中n=1,2,…,N,N表示传送原因短序列的数量,An表示第n个传送原因短序列,记为An=r1 nr2 n…rKn n,rk n表示第n个传送原因短序列中第k个传送原因,k=1,2,…,Kn,Kn表示第n个传送原因短序列中的传送原因数量。
S204:提取特征序列:
由于SVM模型无法处理维数不同的数据,直接将传送原因短序列映射成数据向量不可行,因此在使用SVM建立模型前需要对传送原因短序列进行预处理,将传送原因数据转换为具有相同维数的数据向量作为特征序列,以便SVM训练和预测,其具体方法为:
分别统计第n个传送原因短序列An中每个代表传送原因的数量fn(m),m=1,2,…,M,将其他传送原因的数量记为fn(M+1),然后根据以下公式计算第n个传送原因短序列中每个代表传送原因和其他传送原因的频率
其中,m′=1,2,…,M+1。
从而得到第n个传送原因短序列对应的频率向量
接下来需要确定频率向量对应的标签,如果第n个传送原因短序列所属数据包为正常流量数据包,令频率向量Xn对应的标签Yn=1,如果所属数据包为异常流量数据包,则令标签Yn=-1。
S205:SVM分类器训练:
将步骤S204得到的N个频率向量Xn作为输入,对应标签Yn作为期望输出,训练得到SVM分类器。SVM分类器是分类领域的常用模型,其具体训练过程在此不再赘述。
S206:异常流量检测:
在需要进行异常流量检测时,从当前的主站和子站之间捕获时长T内的IEC60870-5-104数据包,筛选得到I格式数据包,提出传送原因序列A′,然后统计得到对应的频率向量X′,将其输入步骤S205训练得到的SVM分类器,得到是否为异常流量的检测结果。SVM分类器实现检测的方法是将SVM的输出结果与阈值进行比较,假设SVM的输出结果为Y′,阈值为B,当Y′>B时,捕获到的数据包属于正常流量,允许通过;当Y′≤B时,捕获到的数据包属于异常流量,拒绝通过。在实际应用时,可以针对不同的网络环境适当调整阈值B的大小。
为了更好地说明本发明的技术方案,采用一个具体实施例进行仿真验证。对主站和子站基于IEC60870-5-104协议的通信情况进行仿真,然后抓取数据包,提取出传送原因短序列。在本次仿真实验中,共获取498个传送原因短序列作为训练样本,其中正常流量的传送原因短序列252个,包含攻击的异常流量的传送原因短序列246个。
对于SVM分类器,核函数是其中的一个重要元素,不同的核函数可能导致分类检测性能存在差别,SVM分类器中常用的核函数包括线性核函数、多项式核函数和径向基核函数。本次仿真验证中分别采用基于这三种核函数的SVM分类器。因此,需要根据训练样本训练得到三个SVM分类器。
之后,再提取486个待检测序列,包含238个异常序列,248个正常序列,将待检测序列输入至训练好的三个SVM分类器,得到异常检测结果。表1是本实施例中三个SVM分类器的检测结果统计表。
| 核函数 | 准确率 | 漏报率 | 误报率 |
| 线性核函数 | 82.30% | 20.94% | 14.68% |
| 多项式核函数 | 90.33% | 10.26% | 9.13% |
| 径向基核函数 | 94.44% | 4.27% | 6.75% |
表1
根据表1可知,在采用不同核函数的情况下,检测性能存在差异,以基于径向基核函数的SVM分类器检测性能最优,具有较高的分类准确率以及较小的漏报、误报率。不过总体看来本发明基于SVM的IEC60870-5-104异常流量检测方法是可以有效检测出异常流量的,从而过滤非法数据包,防止数据被网络攻击者窃听、篡改、假冒,提高IEC60870-5-104通信过程的安全性与可靠性,保障能量管理系统的安全性,保障电力系统的安全
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
Claims (2)
1.一种基于SVM的IEC60870-5-104异常流量检测方法,其特征在于,包括以下步骤:
S1:采用以下方式选择出能够表征IEC60870-5-104协议特点的代表传送原因,记代表传送原因的数量为M:预先对IEC60870-5-104正常流量的I格式数据包中的传送原因进行统计,将传送原因按照出现频率从高到低进行排列,取前M个传送原因作为代表传送原因;
S2:在IEC60870-5-104通信系统的主站与子站之间捕获得到若干组IEC60870-5-104正常流量和异常流量的数据包;
S3:对于步骤S2得到的每组数据包,利用深度包检测技术,根据控制域信息剔除所有S格式和U格式的数据包,筛选得到I格式数据包;从每个I格式数据包中提取出传送原因,将传送原因按照I格式数据包的发送时间先后顺序排列,得到该组数据包对应的传送原因序列;然后根据预设的间隔时间T将每组数据包的传送原因序列分割成传送原因短序列;记获取的所有传送原因短序列的集合A={An},其中n=1,2,…,N,N表示传送原因短序列的数量,An表示第n个传送原因短序列;
S4:分别统计第n个传送原因短序列An中每个代表传送原因的数量fn(m),m=1,2,…,M,将其他传送原因的数量记为fn(M+1),然后根据以下公式计算第n个传送原因短序列中每个代表传送原因和其他传送原因的频率
其中,m′=1,2,…,M+1;
从而得到第n个传送原因短序列对应的频率向量
如果第n个传送原因短序列所属数据包为正常流量数据包,令频率向量Xn对应的标签Yn=1,如果所属数据包为异常流量数据包,则令标签Yn=-1;
S5:将步骤S4得到的N个频率向量Xn作为输入,对应标签Yn作为期望输出,训练得到SVM分类器;
S6:在需要进行异常流量检测时,从当前的主站和子站之间捕获时长T内的IEC60870-5-104数据包,筛选出得到I格式数据包,提取传送原因序列A′,然后统计得到对应的频率向量X′,将其输入步骤S5训练得到的SVM分类器,得到是否为异常流量的检测结果。
2.据权利要求1所述的IEC60870-5-104异常流量检测方法,其特征在于,所述SVM分类器的核函数采用径向基核函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810087206.0A CN108282482B (zh) | 2018-01-30 | 2018-01-30 | 一种基于svm的iec60870-5-104异常流量检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810087206.0A CN108282482B (zh) | 2018-01-30 | 2018-01-30 | 一种基于svm的iec60870-5-104异常流量检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108282482A CN108282482A (zh) | 2018-07-13 |
| CN108282482B true CN108282482B (zh) | 2020-12-01 |
Family
ID=62805749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810087206.0A Active CN108282482B (zh) | 2018-01-30 | 2018-01-30 | 一种基于svm的iec60870-5-104异常流量检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108282482B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107931A (zh) * | 2012-12-05 | 2013-05-15 | 清华大学 | 基于iec104规约的非阻塞式通信方法及系统 |
| CN104486101A (zh) * | 2014-11-28 | 2015-04-01 | 国家电网公司 | 一种在线电力远动iec104传输异常检测方法 |
| CN105592087A (zh) * | 2015-12-23 | 2016-05-18 | 电子科技大学 | 一种基于向量机学习的dnp异常检测方法 |
| CN106549967A (zh) * | 2016-11-10 | 2017-03-29 | 广西大学 | 一种基于事件驱动机制的iec104规约解析系统及方法 |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
| CN106982219A (zh) * | 2017-04-20 | 2017-07-25 | 电子科技大学 | 一种iec104通信访问控制方法 |
-
2018
- 2018-01-30 CN CN201810087206.0A patent/CN108282482B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107931A (zh) * | 2012-12-05 | 2013-05-15 | 清华大学 | 基于iec104规约的非阻塞式通信方法及系统 |
| CN104486101A (zh) * | 2014-11-28 | 2015-04-01 | 国家电网公司 | 一种在线电力远动iec104传输异常检测方法 |
| CN105592087A (zh) * | 2015-12-23 | 2016-05-18 | 电子科技大学 | 一种基于向量机学习的dnp异常检测方法 |
| CN106549967A (zh) * | 2016-11-10 | 2017-03-29 | 广西大学 | 一种基于事件驱动机制的iec104规约解析系统及方法 |
| CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
| CN106982219A (zh) * | 2017-04-20 | 2017-07-25 | 电子科技大学 | 一种iec104通信访问控制方法 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| "Intrusion Detection System for IEC 60870-5-104 Based";Y. Yang, K等;《2013 IEEE Power & Energy Society General Meeting》;20131125;第2-6页 * |
| "基于IEC 60870-5-104 规约扩展的配电终端自描述功能";徐迅等;《电力系统保护与控制》;20160401;第44卷(第07期);第128-133页 * |
| "基于网络监听的IEC60870-5-104通信规约测试方法研究";汪正江;《中国优秀硕士学位论文全文数据库 信息科技辑》;20130715(第07期);第I136-307页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108282482A (zh) | 2018-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| Kwon et al. | IEEE 1815.1-based power system security with bidirectional RNN-based network anomalous attack detection for cyber-physical system | |
| Ning et al. | Attacker identification and intrusion detection for in-vehicle networks | |
| US20220006666A1 (en) | Method and system for detecting and defending against abnormal traffic of in-vehicle network based on information entropy | |
| US20060034305A1 (en) | Anomaly-based intrusion detection | |
| KR20150037285A (ko) | 침입 탐지 장치 및 방법 | |
| CN103763695B (zh) | 一种物联网安全测评方法 | |
| CN107113180B (zh) | 分组发送装置、分组接收装置以及存储介质 | |
| CN110830998A (zh) | 一种基于信任机制的车联网恶意节点识别方法 | |
| CN104717105A (zh) | 一种基于ISA100.11a标准的工业传感网数据重复检测方法 | |
| CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
| CN109600394A (zh) | 一种基于深度学习的http隧道木马检测方法 | |
| CN113709892A (zh) | 一种基于sd-wan网络的拟二层传输方法和系统 | |
| Wu et al. | Security protocol for controller area network using ECANDC compression algorithm | |
| CN104410642B (zh) | 基于arp协议的设备接入感知方法 | |
| Shitharth et al. | A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network | |
| CN110944016A (zh) | DDoS攻击检测方法、装置、网络设备及存储介质 | |
| JPWO2020031822A1 (ja) | 通信装置、通信方法、及び、通信プログラム | |
| CN104702596B (zh) | 一种基于数据包长度的信息隐藏与传输的方法及系统 | |
| CN108282482B (zh) | 一种基于svm的iec60870-5-104异常流量检测方法 | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| CN109474593B (zh) | 一种识别c&c周期性回连行为的方法 | |
| CN108366053B (zh) | 一种基于朴素贝叶斯的mqtt异常流量检测方法 | |
| CN106936834B (zh) | 一种对iec61850数字变电站smv报文的入侵检测的方法 | |
| CN112153027B (zh) | 仿冒行为识别方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |