CN112910688B - Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统 - Google Patents

Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统 Download PDF

Info

Publication number
CN112910688B
CN112910688B CN202110059616.6A CN202110059616A CN112910688B CN 112910688 B CN112910688 B CN 112910688B CN 202110059616 A CN202110059616 A CN 202110059616A CN 112910688 B CN112910688 B CN 112910688B
Authority
CN
China
Prior art keywords
protocol
connection
particle
command
command code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110059616.6A
Other languages
English (en)
Other versions
CN112910688A (zh
Inventor
李肯立
付鹏磊
杨志邦
余思洋
吕婷
胡庆丰
唐卓
刘楚波
阳王东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Kuangan Network Technology Co ltd
Original Assignee
Hunan Kuangan Network Technology Co ltd
Hunan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Kuangan Network Technology Co ltd, Hunan University filed Critical Hunan Kuangan Network Technology Co ltd
Priority to CN202110059616.6A priority Critical patent/CN112910688B/zh
Publication of CN112910688A publication Critical patent/CN112910688A/zh
Application granted granted Critical
Publication of CN112910688B publication Critical patent/CN112910688B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

本发明公开了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法和系统,具体包括:(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序,将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序,从而构成该连接对应的命令编码序列;(2)将该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中,以得到该连接的检测结果。本发明能解决现有方法中无法对HJ212协议下的通讯行为异常进行检测和检测率较低的技术问题。

Description

HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法与 系统
技术领域
本发明属于工业控制网络信息安全领域,更具体地,涉及HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法与系统。
背景技术
HJ212协议是一种适用于污染物在线监控(监测)系统和污染物排放过程(工况)自动监控系统的通讯规约,监控系统将远端监控仪器采集的污染物监测数据按照HJ 212协议发送至监控中心,通讯数据大、实时性好。
由于HJ 212协议的报文结构和数据格式是公开的,在没有足够的保护措施下,监控系统传输的数据很容易受到网络攻击,导致监控系统的安全受到威胁。随着信息技术的发展,互联网技术逐渐应用于污染物监控系统等工业控制网络中,缺乏保护措施的HJ 212协议通讯数据面临着巨大风险,而工业控制网络遭受网络攻击的防范措施主要是对通用的互联网协议的异常通讯行为进行解析和识别,并根据预设的规则和特征值进行匹配,从而实现简单的安全过滤。
然而,上述通讯行为异常检测方法存在一些不可忽略的技术问题:首先,现有技术主要依赖于特征匹配和专家经验来识别危险网络行为,却无法对工业控制网络中HJ 212协议下的通讯行为异常进行检测;其次,现有技术没有考虑同一连接中多个HJ 212协议数据包之间的关联性,因此其对通讯行为异常的检测率较低。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法与系统,其目的在于解决现有方法中无法对HJ212协议下的通讯行为异常进行检测和检测率较低的技术问题。
为实现上述目的,按照本发明的一个方面,提供了HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法,具体包括如下步骤:
(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序,将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序,从而构成该连接对应的命令编码序列;
(2)将步骤(1)得到的该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中,以得到该连接的检测结果。
优选地,HJ212协议通讯数据包包括包头、数据段长度、数据段、循环冗余校验和包尾,其中命令编码是位于数据段字段中;使用深度数据包检测方法对HJ212协议通讯数据包进行解析;
优选地,步骤(2)中的检测结果是该连接对应的通讯行为正常或异常;将连接对应的命令编码序列同时输入HJ212协议异常检测模型中的正轮廓和负轮廓线程中,正轮廓和负轮廓线程并行地对命令编码序列进行检测,任意一个线程的检测结果为异常时,则该连接对应的通讯行为异常;两个线程的检测结果为正常时,则该连接对应的通讯行为正常。
优选地,HJ212协议异常检测模型是通过以下过程训练得到的:
(2-1)从工业控制网络获取多个正常连接或异常连接,每个正常/异常连接包括多个HJ212协议通讯数据包,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,每个连接所包括的所有HJ212协议通讯数据包对应的多个命令编码,按照每个正常/异常连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序将所有HJ212协议通讯数据包对应的多个命令编码进行排序,从而构成该正常/异常连接对应的正常/异常命令编码序列;
(2-2)采用滑动窗口和切片相结合的方式将步骤(2-1)中得到的每个正常/异常连接对应的正常/异常命令编码序列进行循环切割处理,以得到与该正常/异常连接对应的多个等长度的命令编码短序列,所有命令编码短序列构成HJ212协议数据集A;
(2-3)对步骤(2-2)得到的HJ212协议数据集A中每个命令编码短序列的每个命令编码的出现频率进行统计,以得到每个命令编码短序列对应的频率向量Ln,根据该命令编码短序列所属的连接对应的通讯行为获得该命令编码短序列对应频率向量Ln对应的标签Zn,其中n∈[1,HJ212协议数据集A中命令编码短序列总数];
(2-4)随机生成粒子群X=(X1,X2,…,XN)和速度V=(V1,V2,…,VN),其中N为自然数,表示生成的粒子群中粒子的总数,且Xi是用二维向量
Figure BDA0002901939730000031
表示,i∈[1,N],其中
Figure BDA0002901939730000032
Figure BDA0002901939730000033
分别表示单类支持向量机双轮廓模型中每个粒子Xi的惩罚因子和高斯核函数;
(2-5)将步骤(2-3)中得到的HJ212协议数据集A中每个命令编码短序列对应的频率向量Ln输入单类支持向量机双轮廓模型中进行训练,以得到步骤(2-4)得到的粒子群中每个粒子对应的分类准确率;
(2-6)将步骤(2-5)得到的每个粒子对应的分类准确率作为该粒子的适应度值F(Xi),根据该适应度值F(Xi)并使用粒子群优化算法更新该粒子的个体极值Pi、以及步骤(2-4)得到的粒子群的全局极值G;
(2-7)根据步骤(2-6)得到的粒子的个体极值Pi和粒子群的全局极值G,按照粒子群速度更新公式重复迭代更新粒子Xi、以及该粒子速度Vi,直到连续50个前后两次迭代过程所得到的粒子
Figure BDA0002901939730000034
Figure BDA0002901939730000035
的适应度值之间的差值
Figure BDA0002901939730000036
小于0.01%、或者重复迭代次数超过预设的最大迭代次数Kmax为止,从而得到训练好的单类支持向量机双轮廓模型作为HJ212协议异常检测模型;
优选地,步骤(2-1)中所谓的“正常连接”指的是该连接对应的通讯行为正常;所谓的“异常连接”指的是该连接对应的通讯行为异常。
优选地,步骤(2-2)中在循环切割处理过程中,如果某个命令编码短序列的长度小于预设的滑动窗口的宽度,则对该命令编码短序列进行补0处理。
优选地,对HJ212协议数据集A中每个命令编码短序列An而言,其中每个命令编码的出现频率l(nj)表示为:
l(nj)=C(nj)/C(An)
其中,C(nj)为第n个命令编码短序列中第j个命令编码的数量,C(An)为第n个命令编码短序列中所有命令编码的数量,且有j∈[1,J],J为第n个命令编码短序列中不同的命令编码的个数;
命令编码短序列的每个命令编码的出现频率l(nj)构成该命令编码短序列对应的频率向量Ln={l(n1),l(n2),…l(nJ)};
当某个命令编码短序列所属的连接对应的通讯行为正常时,该命令编码短序列对应频率向量Xn对应的标签Zn=1;当该命令编码短序列所属的连接对应的通讯行为异常时,该命令编码短序列对应频率向量Xn对应的标签Zn=-1。
优选地,正常连接的命令编码短序列对应的频率向量输入单类支持向量机正轮廓模型,对应标签Zn=1作为期望输出,异常连接的命令编码短序列对应的频率向量输入单类支持向量机负轮廓模型,对应标签Zn=-1作为期望输出;
优选地,粒子群速度更新公式为:
Figure BDA0002901939730000041
Figure BDA0002901939730000042
其中上标k表示当前的迭代次数,ωi表示当前的惯性权重,c1和c2为学习因子,其取值等于2,r1和r2都是0到1之间的随机数,
Figure BDA0002901939730000043
表示当前的迭代次数k下的第i个粒子,
Figure BDA0002901939730000051
表示当前的迭代次数k下第i个粒子的粒子速度。
按照本发明的另一方面,提供了HJ212协议下基于OCSVM模型的通讯行为异常并行检测系统,具体包括如下模块:
第一模块,用于从工业控制网络获取包括多个HJ212协议通讯数据包的连接,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序,将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序,从而构成该连接对应的命令编码序列;
第二模块,用于将第一模块得到的该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中,以得到该连接的检测结果。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明选取了HJ212协议中命令编码这一重要协议特征作为研究对象,该字段能体现HJ212协议通讯中的上位机与现场机的操作意图,同时利用单类支持向量机建立了异常并行检测模型,能够实现对HJ212协议下通讯行为异常的检测;
(2)本发明采用单类支持向量机的正轮廓和负轮廓线程并行地对输入数据进行异常检测,提升了对数据的检测速度,提高了对HJ212协议下的通讯行为异常检测的效率;
(3)本发明采用滑动窗口和切片相结合的方法对命令编码序列进行处理,并将处理后得到命令编码短序列对应的频率向量作为模型的训练集,充分体现了多个HJ212协议通讯数据包之间的关联性,提高模型的异常检测率。
附图说明
图1是本发明的方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明的具体思路在于,针对HJ212协议数据包进行解析,选取其中的命令编码序列作为研究对象,该字段最能够体现HJ212协议通讯中上位机与现场机的操作意图,充分体现了同一个连接多个数据包之间的关联性,利用单类支持向量机(One-Class SupportVector Machine,简称OCSVM)算法分别对异常数据包命令编码序列和正常数据包命令编码序列进行建模,构造了双轮廓模型的异常检测方法,通过两个线程的协同检测与判定,提供了一种可行的HJ212协议下通讯行为异常并行检测方法。
如图1所示,本发明提供HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法,具体包括如下步骤:
(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接(Connection),对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序,将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序,从而构成该连接对应的命令编码序列;
具体而言,HJ212协议通讯数据包包括包头、数据段长度、数据段、循环冗余校验(Cyclic Redundancy Check,简称CRC)和包尾,其中命令编码是位于数据段字段中,该字段能体现HJ212协议通讯中的上位机与现场机的操作意图;
本步骤中,是使用深度数据包检测(Deep Packet Inspection,简称DPI)方法对HJ212协议通讯数据包进行解析。
(2)将步骤(1)得到的该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中,以得到该连接的检测结果。
具体而言,检测结果是该连接对应的通讯行为正常或异常;将该连接对应的命令编码序列同时输入HJ212协议异常检测模型中的正轮廓和负轮廓线程中,正轮廓和负轮廓线程并行地对命令编码序列进行检测,任意一个线程的检测结果为异常时,则表示该连接对应的通讯行为异常;两个线程的检测结果为正常时,则表示该连接对应的通讯行为正常。
本步骤的优点在于,采用双轮廓异常检测模型,对输入数据进行并行检测,提高了通讯行为异常检测的效率,并且只有当双轮廓两个线程的检测结果都正常时,表示该连接对应的通讯行为正常,提高了检测结果的准确率。
本步骤中的HJ212协议异常检测模型是通过以下过程训练得到的:
(2-1)从工业控制网络获取多个正常连接或异常连接,每个正常/异常连接包括多个HJ212协议通讯数据包,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,每个连接所包括的所有HJ212协议通讯数据包对应的多个命令编码,按照每个正常/异常连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序将所有HJ212协议通讯数据包对应的多个命令编码进行排序,从而构成该正常/异常连接对应的正常/异常命令编码序列;
本步骤中,所谓的“正常连接”指的是该连接对应的通讯行为正常;所谓的“异常连接”指的是该连接对应的通讯行为异常;
例如,从工业控制网络获取一个正常连接,该连接包括6个HJ212协议通讯数据包,所有通讯数据包对应的多个命令编码构成正常命令编码序列(M1,M2,M3,M4,M5,M6);
(2-2)采用滑动窗口和切片相结合的方式将步骤(2-1)中得到的每个正常/异常连接对应的正常/异常命令编码序列进行循环切割处理,以得到与该正常/异常连接对应的多个等长度的命令编码短序列,所有命令编码短序列构成HJ212协议数据集A;
具体而言,在循环切割处理过程中,如果某个命令编码短序列的长度小于预设的滑动窗口的宽度,则对该命令编码短序列进行补0处理。
滑动窗口的宽度是大于1的整数,其实根据用户需要自由设定,其设置过小会导致数据聚集,切割后的命令编码短序列不能充分反映操作的连续性,设置过大会造成数据过于稀疏,增大训练时间,降低系统的运作效率;滑动步长不能大于滑动窗口的宽度。
例如,滑动窗口的宽度设置为5,滑动步长设置为1,上述步骤(2-1)使用的示例中,该连接对应的正常命令编码序列切割后的命令编码短序列,构成的HJ212协议数据集A={(M1,M2,M3,M4,M5),(M2,M3,M4,M5,M6)}。
(2-3)对步骤(2-2)得到的HJ212协议数据集A中每个命令编码短序列的每个命令编码的出现频率进行统计,以得到每个命令编码短序列对应的频率向量Ln,根据该命令编码短序列所属的连接对应的通讯行为获得该命令编码短序列对应频率向量Ln对应的标签Zn,其中n∈[1,HJ212协议数据集A中命令编码短序列总数];
具体而言,对HJ212协议数据集A中每个命令编码短序列An而言,其中每个命令编码的出现频率l(nj)表示为:
l(nj)=C(nj)/C(An)
其中,C(nj)为第n个命令编码短序列中第j个命令编码的数量,C(An)为第n个命令编码短序列中所有命令编码的数量,且有j∈[1,J],J为第n个命令编码短序列中不同的命令编码的个数;
命令编码短序列的每个命令编码的出现频率l(nj)构成该命令编码短序列对应的频率向量Ln={l(n1),l(n2),…l(nJ)};
当某个命令编码短序列所属的连接对应的通讯行为正常时,该命令编码短序列对应频率向量Xn对应的标签Zn=1;当该命令编码短序列所属的连接对应的通讯行为异常时,该命令编码短序列对应频率向量Xn对应的标签Zn=-1。
步骤(2-2)和步骤(2-3)的优点在于,采用滑动窗口和切片相结合的方法对命令编码序列进行处理,并将处理后得到命令编码短序列对应的频率向量作为模型的训练集,充分体现了多个HJ212协议通讯数据包之间的关联性,能提高模型的异常识别率。
(2-4)随机生成粒子群X=(X1,X2,…,XN)和速度V=(V1,V2,…,VN),其中N为自然数,表示生成的粒子群中粒子的总数,且Xi是用二维向量
Figure BDA0002901939730000091
表示,i∈[1,N],其中
Figure BDA0002901939730000092
Figure BDA0002901939730000093
分别表示OCSVM双轮廓模型中每个粒子Xi的惩罚因子和高斯核函数;
(2-5)将步骤(2-3)中得到的HJ212协议数据集A中每个命令编码短序列对应的频率向量Ln输入OCSVM双轮廓模型中进行训练,以得到步骤(2-4)得到的粒子群中每个粒子对应的分类准确率;
具体而言,正常连接的命令编码短序列对应的频率向量输入OCSVM正轮廓模型,对应标签Zn=1作为期望输出,异常连接的命令编码短序列对应的频率向量输入OCSVM负轮廓模型,对应标签Zn=-1作为期望输出;
(2-6)将步骤(2-5)得到的每个粒子对应的分类准确率作为该粒子的适应度值F(Xi),根据该适应度值F(Xi)并使用粒子群优化算法(Particle Swarm Optimization,简称PSO)更新该粒子的个体极值Pi、以及步骤(2-4)得到的粒子群的全局极值G;
(2-7)根据步骤(2-6)得到的粒子的个体极值Pi和粒子群的全局极值G,按照粒子群速度更新公式重复迭代更新粒子Xi、以及该粒子速度Vi,直到连续50个前后两次迭代过程所得到的粒子
Figure BDA0002901939730000094
Figure BDA0002901939730000095
的适应度值之间的差值
Figure BDA0002901939730000096
小于0.01%、或者重复迭代次数超过预设的最大迭代次数Kmax为止,从而得到训练好的OCSVM双轮廓模型作为HJ212协议异常检测模型;
具体而言,粒子群速度更新公式为:
Figure BDA0002901939730000101
Figure BDA0002901939730000102
其中上标k表示当前的迭代次数,ωi表示当前的惯性权重,c1和c2为学习因子,其取值等于2,r1和r2都是0到1之间的随机数,
Figure BDA0002901939730000103
表示当前的迭代次数k下的第i个粒子,
Figure BDA0002901939730000104
表示当前的迭代次数k下第i个粒子的粒子速度。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.HJ212协议下基于OCSVM模型的通讯行为异常并行检测方法,其特征在于,具体包括如下步骤:
(1)从工业控制网络获取包括多个HJ212协议通讯数据包的连接,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序,将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序,从而构成该连接对应的命令编码序列;
(2)将步骤(1)得到的该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中,以得到该连接的检测结果;其中HJ212协议异常检测模型是通过以下过程训练得到的:
(2-1)从工业控制网络获取多个正常连接或异常连接,每个正常/异常连接包括多个HJ212协议通讯数据包,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,每个连接所包括的所有HJ212协议通讯数据包对应的多个命令编码,按照每个正常/异常连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序将所有HJ212协议通讯数据包对应的多个命令编码进行排序,从而构成该正常/异常连接对应的正常/异常命令编码序列;
(2-2)采用滑动窗口和切片相结合的方式将步骤(2-1)中得到的每个正常/异常连接对应的正常/异常命令编码序列进行循环切割处理,以得到与该正常/异常连接对应的多个等长度的命令编码短序列,所有命令编码短序列构成HJ212协议数据集A;
(2-3)对步骤(2-2)得到的HJ212协议数据集A中每个命令编码短序列的每个命令编码的出现频率进行统计,以得到每个命令编码短序列对应的频率向量Ln,根据该命令编码短序列所属的连接对应的通讯行为获得该命令编码短序列对应频率向量Ln对应的标签Zn,其中n∈[1,HJ212协议数据集A中命令编码短序列总数];
(2-4)随机生成粒子群X=(X1,X2,…,XN)和速度V=(V1,V2,…,VN),其中N为自然数,表示生成的粒子群中粒子的总数,且Xi是用二维向量
Figure FDA0003267017900000021
表示,i∈[1,N],其中
Figure FDA0003267017900000022
Figure FDA0003267017900000023
分别表示单类支持向量机双轮廓模型中每个粒子Xi的惩罚因子和高斯核函数;
(2-5)将步骤(2-3)中得到的HJ212协议数据集A中每个命令编码短序列对应的频率向量Ln输入单类支持向量机双轮廓模型中进行训练,以得到步骤(2-4)得到的粒子群中每个粒子对应的分类准确率;
(2-6)将步骤(2-5)得到的每个粒子对应的分类准确率作为该粒子的适应度值F(Xi),根据该适应度值F(Xi)并使用粒子群优化算法更新该粒子的个体极值Pi、以及步骤(2-4)得到的粒子群的全局极值G;
(2-7)根据步骤(2-6)得到的粒子的个体极值Pi和粒子群的全局极值G,按照粒子群速度更新公式重复迭代更新粒子Xi、以及该粒子速度Vi,直到连续50个前后两次迭代过程所得到的粒子
Figure FDA0003267017900000024
Figure FDA0003267017900000025
的适应度值之间的差值
Figure FDA0003267017900000026
小于0.01%、或者重复迭代次数超过预设的最大迭代次数Kmax为止,从而得到训练好的单类支持向量机双轮廓模型作为HJ212协议异常检测模型。
2.如权利要求1所述的通讯行为异常并行检测方法,其特征在于,HJ212协议通讯数据包包括包头、数据段长度、数据段、循环冗余校验和包尾,其中命令编码是位于数据段字段中;使用深度数据包检测方法对HJ212协议通讯数据包进行解析。
3.如权利要求1所述的通讯行为异常并行检测方法,其特征在于,步骤(2)中的检测结果是该连接对应的通讯行为正常或异常;将连接对应的命令编码序列同时输入HJ212协议异常检测模型中的正轮廓和负轮廓线程中,正轮廓和负轮廓线程并行地对命令编码序列进行检测,任意一个线程的检测结果为异常时,则该连接对应的通讯行为异常;两个线程的检测结果为正常时,则该连接对应的通讯行为正常。
4.如权利要求1所述的通讯行为异常并行检测方法,其特征在于,步骤(2-1)中所谓的“正常连接”指的是该连接对应的通讯行为正常;所谓的“异常连接”指的是该连接对应的通讯行为异常。
5.如权利要求1所述的通讯行为异常并行检测方法,其特征在于,步骤(2-2)中在循环切割处理过程中,如果某个命令编码短序列的长度小于预设的滑动窗口的宽度,则对该命令编码短序列进行补0处理。
6.如权利要求5所述的通讯行为异常并行检测方法,其特征在于,对HJ212协议数据集A中每个命令编码短序列An而言,其中每个命令编码的出现频率l(nj)表示为:
l(nj)=C(nj)/C(An)
其中,C(nj)为第n个命令编码短序列中第j个命令编码的数量,C(An)为第n个命令编码短序列中所有命令编码的数量,且有j∈[1,J],J为第n个命令编码短序列中不同的命令编码的个数;
命令编码短序列的每个命令编码的出现频率l(nj)构成该命令编码短序列对应的频率向量Ln={l(n1),l(n2),…l(nJ)};
当某个命令编码短序列所属的连接对应的通讯行为正常时,该命令编码短序列对应频率向量Xn对应的标签Zn=1;当该命令编码短序列所属的连接对应的通讯行为异常时,该命令编码短序列对应频率向量Xn对应的标签Zn=-1。
7.如权利要求6所述的通讯行为异常并行检测方法,其特征在于,正常连接的命令编码短序列对应的频率向量输入单类支持向量机正轮廓模型,对应标签Zn=1作为期望输出,异常连接的命令编码短序列对应的频率向量输入单类支持向量机负轮廓模型,对应标签Zn=-1作为期望输出。
8.如权利要求7所述的通讯行为异常并行检测方法,其特征在于,粒子群速度更新公式为:
Figure FDA0003267017900000041
Figure FDA0003267017900000042
其中上标k表示当前的迭代次数,ωi表示当前的惯性权重,c1和c2为学习因子,其取值等于2,r1和r2都是0到1之间的随机数,
Figure FDA0003267017900000043
表示当前的迭代次数k下的第i个粒子,
Figure FDA0003267017900000044
表示当前的迭代次数k下第i个粒子的粒子速度。
9.一种HJ212协议下基于OCSVM模型的通讯行为异常并行检测系统,其特征在于,具体包括如下模块:
第一模块,用于从工业控制网络获取包括多个HJ212协议通讯数据包的连接,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,按照该连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序,将该所有HJ212协议通讯数据包所对应的多个命令编码进行排序,从而构成该连接对应的命令编码序列;
第二模块,用于将第一模块得到的该连接对应的命令编码序列输入训练好的HJ212协议异常检测模型中,以得到该连接的检测结果;其中HJ212协议异常检测模型是通过以下子模块训练得到的:
第一子模块,用于从工业控制网络获取多个正常连接或异常连接,每个正常/异常连接包括多个HJ212协议通讯数据包,对每个HJ212协议通讯数据包进行解析,以获取其对应的命令编码,每个连接所包括的所有HJ212协议通讯数据包对应的多个命令编码,按照每个正常/异常连接所包括的所有HJ212协议通讯数据包传输的时间先后顺序将所有HJ212协议通讯数据包对应的多个命令编码进行排序,从而构成该正常/异常连接对应的正常/异常命令编码序列;
第二子模块,用于采用滑动窗口和切片相结合的方式将第一子模块中得到的每个正常/异常连接对应的正常/异常命令编码序列进行循环切割处理,以得到与该正常/异常连接对应的多个等长度的命令编码短序列,所有命令编码短序列构成HJ212协议数据集A;
第三子模块,用于对第二子模块得到的HJ212协议数据集A中每个命令编码短序列的每个命令编码的出现频率进行统计,以得到每个命令编码短序列对应的频率向量Ln,根据该命令编码短序列所属的连接对应的通讯行为获得该命令编码短序列对应频率向量Ln对应的标签Zn,其中n∈[1,HJ212协议数据集A中命令编码短序列总数];
第四子模块,用于随机生成粒子群X=(X1,X2,…,XN)和速度V=(V1,V2,…,VN),其中N为自然数,表示生成的粒子群中粒子的总数,且Xi是用二维向量
Figure FDA0003267017900000051
表示,i∈[1,N],其中
Figure FDA0003267017900000052
Figure FDA0003267017900000053
分别表示单类支持向量机双轮廓模型中每个粒子Xi的惩罚因子和高斯核函数;
第五子模块,用于将第三子模块中得到的HJ212协议数据集A中每个命令编码短序列对应的频率向量Ln输入单类支持向量机双轮廓模型中进行训练,以得到第四子模块得到的粒子群中每个粒子对应的分类准确率;
第六子模块,用于将第五子模块得到的每个粒子对应的分类准确率作为该粒子的适应度值F(Xi),根据该适应度值F(Xi)并使用粒子群优化算法更新该粒子的个体极值Pi、以及第四子模块得到的粒子群的全局极值G;
第七子模块,用于根据第六子模块得到的粒子的个体极值Pi和粒子群的全局极值G,按照粒子群速度更新公式重复迭代更新粒子Xi、以及该粒子速度Vi,直到连续50个前后两次迭代过程所得到的粒子
Figure FDA0003267017900000054
Figure FDA0003267017900000055
的适应度值之间的差值
Figure FDA0003267017900000056
小于0.01%、或者重复迭代次数超过预设的最大迭代次数Kmax为止,从而得到训练好的单类支持向量机双轮廓模型作为HJ212协议异常检测模型。
CN202110059616.6A 2021-01-18 2021-01-18 Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统 Active CN112910688B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110059616.6A CN112910688B (zh) 2021-01-18 2021-01-18 Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110059616.6A CN112910688B (zh) 2021-01-18 2021-01-18 Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统

Publications (2)

Publication Number Publication Date
CN112910688A CN112910688A (zh) 2021-06-04
CN112910688B true CN112910688B (zh) 2021-11-23

Family

ID=76114213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110059616.6A Active CN112910688B (zh) 2021-01-18 2021-01-18 Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统

Country Status (1)

Country Link
CN (1) CN112910688B (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105704103B (zh) * 2014-11-26 2017-05-10 中国科学院沈阳自动化研究所 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
US20180046936A1 (en) * 2016-08-10 2018-02-15 Futurewei Technologies, Inc. Density-based apparatus, computer program, and method for reclassifying test data points as not being an anomoly
CN110602034B (zh) * 2019-07-08 2020-06-19 湖南大学 一种基于pso-svm检测s7协议异常通讯行为的方法和系统

Also Published As

Publication number Publication date
CN112910688A (zh) 2021-06-04

Similar Documents

Publication Publication Date Title
CN108400895B (zh) 一种基于遗传算法改进的bp神经网络安全态势评估算法
CN105704103B (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
CN111585948B (zh) 一种基于电网大数据的网络安全态势智能预测方法
Hidayat et al. Machine learning-based intrusion detection system: an experimental comparison
CN111901340B (zh) 一种面向能源互联网的入侵检测系统及其方法
CN110602034B (zh) 一种基于pso-svm检测s7协议异常通讯行为的方法和系统
CN111191767A (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN112822189A (zh) 一种流量识别方法及装置
CN112367303B (zh) 分布式自学习异常流量协同检测方法及系统
CN113067798B (zh) Ics入侵检测方法、装置、电子设备和存储介质
CN116192523A (zh) 一种基于神经网络的工控异常流量监测方法和系统
CN115510950A (zh) 基于时间卷积网络的飞行器遥测数据异常检测方法及系统
CN114143036A (zh) 告警方法、装置、设备及计算机存储介质
Ghalehgolabi et al. Intrusion detection system using genetic algorithm and data mining techniques based on the reduction
CN113705714A (zh) 基于行为序列的配电物联网设备异常行为检测方法及装置
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN115766227A (zh) 基于单类支持向量机ocsvm的流量异常检测方法
CN115361195A (zh) 一种基于时空代价成本的大规模物联网流量多分类方法
CN112070180B (zh) 基于信息物理双侧数据的电网设备状态判断方法及装置
CN112910688B (zh) Hj212协议下基于ocsvm模型的通讯行为异常并行检测方法与系统
CN116756225B (zh) 一种基于计算机网络安全的态势数据信息处理方法
CN116991743A (zh) 一种基于协议逆向的工控设备黑盒模糊测试方法
CN115225731B (zh) 一种基于混合神经网络的在线协议识别方法
CN113037553B (zh) 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220705

Address after: 410000 No. 102, Heguang Road, Xianghu street, Furong district, Changsha City, Hunan Province

Patentee after: Hunan Kuangan Network Technology Co.,Ltd.

Address before: Yuelu District City, Hunan province 410082 Changsha Lushan Road No. 1

Patentee before: HUNAN University

Patentee before: Hunan kuang'an Network Technology Co., Ltd