CN113037553B - 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 - Google Patents

Abstract

本发明公开了一种基于IA‑SVM的IEC102协议通讯行为异常检测方法，包括：从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列，将得到的功能码序列输入训练好的IA‑SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象，并结合免疫算法和支持向量机模型，因此能够解决现有通讯行为异常检测方法存在的异常检测率低和无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。

Description

一种基于IA-SVM的IEC102协议通讯行为异常检测方法和系统

技术领域

本发明属于工业控制网络信息安全领域，更具体地，涉及一种基于IA-SVM的IEC102协议通讯行为异常检测方法和系统。

背景技术

随着工业化和信息化、制造业与互联网的深度融合，工控系统面临比传统IT系统更为严峻的内外部威胁，电力等多个工业行业的工控系统信息安全事故频发，如2014年的Havex病毒，劫持电力工控设备，阻断电力供应，造成恶劣影响，这也意味着工业控制网络信息安全已经成为企业安全乃至国家安全的重要基石。

IEC102协议作为一种广泛应用于电能计量系统主站和电能量采集终端等工控领域的通讯规约，其通讯安全直接关系到发电企业、电网企业及电力用户之间的利益。而IEC102协议采用的电能量数据文件传输的报文为明文，缺乏对数据报文的完整性检验，攻击者可通过截获、篡改或模拟报文的方式在通讯过程的任意阶段实现身份伪装，并向对侧发送虚假报文。而常用的工控防范措施是对通用的互联网协议进行通讯行为异常检测，并根据预设的规则和特征值进行匹配过滤。

然而，上述通讯行为异常检测方法存在一些不可忽略的技术缺陷：第一，其工作过程需要依赖根据经验预设的规则和特征值，无法对工业控制网络中的IEC102协议异常通讯行为进行检测；第二，其异常检测模型参数不够优化，导致通讯行为异常检测率偏低。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法，其目的在于，解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题，以及由于异常检测模型参数不够优化，导致通讯行为异常检测率偏低的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法，包括以下步骤：

(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

(2)将步骤(1)得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。

优选地，IEC102协议通讯数据包的传输规则为非平衡式，通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类，功能码位于通讯数据包的控制域字段Bit3-Bit0中，用于执行复位链路、请求指定数据、请求数据传输、应答数据、以及肯定与否定确认等指令。

优选地，IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型。

优选地，IA参数寻优模型的具体结构为：

第一层是粒子混沌层，输入为N个粒子组成的随机粒子群和IEC102协议数据集S，输出为对随机获取的粒子群进行混沌处理后的粒子群X＝(X₁,X₂,…,X_N)和粒子群X中每个粒子X_i的适应度值f(X_i)，其中X_i为二维向量(C_i,σ_i)，且有i∈[1,N]，C_i表示粒子X_i的SVM参数惩罚因子，σ_i表示粒子X_i的径向基核函数，N为任意自然数。

第二层是粒子克隆变异层，输入为第一层输出的粒子群X和粒子群X中每个粒子X_i的适应度值f(X_i)，该层选择所有适应度值中，大于所有适应度值的平均值的所有适应度值所对应的粒子(即较优的一些粒子)进行克隆与变异操作，输出为新粒子群G*；

第三层是择优迭代层，其输入为第二层输出的新粒子群G*，输出为每一次迭代后得到的适应度值f(X_i)中的最大值f(X_max)及其对应的粒子X_max。

优选地，SVM异常检测模型的具体结构为：

第一层是参数接收层，其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子X_max，输出为该轮迭代得到的分类准确率；

第二层是适应度值输出层，其输入为第一层输出的分类准确率，输出为该轮迭代得到的适应度值f(X_i)。

优选地，IA-SVM通讯行为异常检测模型是通过以下步骤训练得到的：

(2-1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

(2-2)对步骤(2-1)获取的功能码序列进行循环切割处理，以得到多个长度相同的新功能码序列，所有新功能码序列构成IEC102协议数据集S；

(2-3)随机生成一个粒子群，对粒子群进行混沌处理，以得到混沌处理后的粒子群X＝(X₁,X₂,…,X_N)，粒子群X中的粒子X_i为二维向量(C_i,σ_i)；

(2-4)将步骤(2-3)得到的每个粒子X_i中的C_i和σ_i作为SVM模型的参数，将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练，以得到每个粒子X_i对应的分类准确率；

(2-5)将步骤(2-4)得到的每个粒子X_i对应的分类准确率作为该粒子的适应度值f(X_i)，以获得所有粒子的适应度值平均值f(X_ave)，对适应度值f(X_i)＞f(X_ave)所对应的粒子进行克隆复制，以产生多个较优的粒子形成临时种群G；

(2-6)使用自适应小波变异函数对步骤(2-5)得到的临时种群G中的所有粒子进行变异操作，以生成新粒子群G*；

(2-7)将步骤(2-6)得到的新粒子群G*中每个粒子作为更新后的SVM模型的参数，将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练，以得到每个粒子对应的分类准确率，即适应度值，并从中获取适应度值的最大值f(X_max)；

(2-8)将步骤(2-7)中得到的适应度值的最大值f(X_max)输入IA参数寻优模型并进行迭代优化，直至超过预设的最大迭代次数I_max或者连续50次迭代前后所得到的粒子适应度值差值小于0.01％为止，从而得到训练好的IA-SVM通讯行为异常检测模型。

优选地，在步骤(2-2)的循环切割过程中，当功能码序列的长度小于切割长度L时，在该功能码序列的最后用“0”补齐，使得该功能码序列的长度等于L，其中切割长度L＞1且为整数。

优选地，步骤(2-5)的克隆复制过程是以m为克隆复制倍数进行，每个克隆粒子的克隆复制倍数与该粒子的适应度值成正比，且有m≥1且为整数。

按照本发明的另一方面，提供了一种基于IA-SVM的IEC102协议通讯行为异常检测系统，包括以下步骤：

第一模块，用于从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

第二模块，用于将第二模块得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象，并结合免疫算法和支持向量机模型，因此能够解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题；

(2)本发明由于采用了步骤(2-1)到步骤(2-2)，充分利用了多个通讯数据包之间的关联性，通过循环切割得到多个长度相同的功能码序列，因此能够解决异常识别率较低的问题；

(3)本发明由于采用了步骤(2-3)到步骤(2-6)，使用了免疫算法模型进行参数寻优，因此能够解决现有通讯行为异常检测模型参数不够优化导致的通讯行为异常检测准确率偏低的技术问题；

(4)本发明有效结合了免疫算法和支持向量机的优势，构建了IA-SVM通讯行为异常检测模型，能够以更少的迭代次数完成模型参数寻优，因此提升了通讯行为异常检测效率。

附图说明

图1是本发明构建的IA-SVM通讯行为异常检测模型示意图。

图2是本发明基于IA-SVM的IEC102协议通讯行为异常检测方法的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明针对IEC102协议进行解析，选取其中的功能码序列作为研究对象，并充分利用多个数据包之间的关联性，如图1所示，通过使用免疫算法(ImmuneAlgorithm，简称IA)，改善SVM模型参数寻优与结构优化，提升模型分类识别精度，基于IA-SVM算法分别对正常通讯行为和异常通讯行为建模，提供了一种可靠的IEC102协议通讯行为异常检测方法。

如图2所示，本发明提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法，具体包括以下步骤：

(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接(Connection)，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

具体而言，IEC102协议通讯数据包的传输规则为非平衡式，通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类，功能码位于通讯数据包的控制域字段Bit3-Bit0中，用于执行复位链路、请求指定数据、请求数据传输、应答数据、肯定与否定确认等指令。

本步骤的优点在于，将IEC102协议通讯数据包控制域字段中的功能码作为研究对象，能够解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。

(2)将步骤(1)得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型(如图1所示)中，以得到该连接的通讯行为检测结果。

具体而言，通讯行为检测结果是该连接对应的通讯行为正常或异常。

如图1所示，本发明使用的IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型；

在图1中，左边的IA参数寻优模型从上往下对应粒子混沌层、粒子克隆变异层、择优迭代层，右边的SVM异常检测模型从上往下对应参数接收层、适应度值输出层。

其中IA参数寻优模型的具体结构为：

第一层是粒子混沌层，输入为N个粒子组成的随机粒子群和IEC102协议数据集S(其中N为任意自然数)，输出为对随机获取的粒子群进行混沌处理后的粒子群X＝(X₁,X₂,…,X_N)和粒子群X中每个粒子X_i的适应度值f(X_i)，其中X_i为二维向量(C_i,σ_i)，且有i∈[1,N]，C_i表示粒子X_i的SVM参数惩罚因子，σ_i表示粒子X_i的径向基核函数；

第二层是粒子克隆变异层，输入为第一层输出的粒子群X和粒子群X中每个粒子X_i的适应度值f(X_i)，该层选择所有适应度值中，大于所有适应度值的平均值的所有适应度值所对应的粒子(即较优的一些粒子)进行克隆与变异操作，输出为新粒子群G*；

第三层是择优迭代层，其输入为第二层输出的新粒子群G*，输出为每一次迭代后得到的适应度值f(X_i)中的最大值f(X_max)及其对应的粒子X_max。

SVM异常检测模型的具体结构为：

第一层是参数接收层，其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子X_max，输出为该轮迭代得到的分类准确率；

第二层是适应度值输出层，其输入为第一层输出的分类准确率，输出为该轮迭代得到的适应度值f(X_i)。

具体而言，本步骤中的IA-SVM通讯行为异常检测模型是通过以下步骤训练得到的：

(2-1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

(2-2)对步骤(2-1)获取的功能码序列进行循环切割处理，以得到多个长度相同的新功能码序列，所有新功能码序列构成IEC102协议数据集S；

具体而言，在本步骤的循环切割过程中，当功能码序列的长度小于切割长度L(L＞1且为整数)时，在该功能码序列的最后用“0”补齐，使得该功能码序列的长度等于L，其中切割长度L的取值由用户根据实际需求自由设定，其值越大，则异常检测的准确率越高，同时系统运行效率越低，反之则异常检测的准确率越低，同时系统运行效率越高。

例如，从工业控制网络获取了一个包含6个IEC102协议通讯数据包的连接，此时功能码序列为(M₁,M₂,M₃,M₄,M₅,M₆)，当切割长度L＝5时，经过循环切割处理后得到两个新功能码序列：(M₁,M₂,M₃,M₄,M₅)和(M₂,M₃,M₄,M₅,M₆)。

上述步骤(2-1)到步骤(2-2)的优点在于，充分利用了多个通讯数据包之间的关联性，通过循环切割得到多个长度相同的功能码序列，能够解决异常识别率较低的问题。

(2-3)随机生成一个粒子群，对粒子群进行混沌处理，以得到混沌处理后的粒子群X＝(X₁,X₂,…,X_N)，其中N为该粒子群中粒子的总数量，粒子群X中的粒子X_i为二维向量(C_i,σ_i)，且有i∈[1,N]；

(2-4)将步骤(2-3)得到的每个粒子X_i中的C_i和σ_i作为支持向量机(SupportVector Machine,简称SVM)模型的参数，将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练，以得到每个粒子X_i对应的分类准确率；

(2-5)将步骤(2-4)得到的每个粒子X_i对应的分类准确率作为该粒子的适应度值f(X_i)，以获得所有粒子的适应度值平均值f(X_ave)，对适应度值f(X_i)＞f(X_ave)所对应的粒子(即较优的一些粒子)进行克隆复制，以产生多个较优的粒子形成临时种群G；

具体而言，克隆复制过程是以m(m≥1且为整数)为克隆复制倍数进行，每个克隆粒子的克隆复制倍数与该粒子的适应度值成正比。

(2-6)使用自适应小波变异函数对步骤(2-5)得到的临时种群G中的所有粒子进行变异操作，以生成新粒子群G*(即得到可能存在的更优解)；

具体而言，变异操作等效于在某一个粒子位置周围产生其他相近位置的粒子，以方便在其周围进一步寻求更优解。

上述步骤(2-3)到步骤(2-6)的优点在于，使用了免疫算法模型进行参数寻优，能够解决现有通讯行为异常检测模型参数不够优化导致的通讯行为异常检测准确率偏低的技术问题。

(2-7)将步骤(2-6)得到的新粒子群G*中每个粒子作为更新后的SVM模型的参数，将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练，以得到每个粒子对应的分类准确率，即适应度值，并从中获取适应度值的最大值f(X_max)；

本步骤的优点在于，选取了IA参数寻优模型每次迭代优化产生的新粒子群G*中的粒子作为SVM模型的参数，能够更快速地完成最优参数的寻找，提升异常检测效率。

(2-8)将步骤(2-7)中得到的适应度值的最大值f(X_max)输入IA参数寻优模型并进行迭代优化，直至超过预设的最大迭代次数I_max(I_max＞50，优选值为100)或者连续50次迭代前后所得到的粒子适应度值差值小于0.01％为止，此时最终得到的适应度值的最大值所对应的粒子X_best的二维向量(C_best,σ_best)为SVM模型的最佳参数，即可得到一个训练好的IA-SVM通讯行为异常检测模型，用来进行IEC102协议通讯行为异常检测。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于IA-SVM的IEC102协议通讯行为异常检测方法，其特征在于，包括以下步骤：

(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

(2)将步骤(1)得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果，IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型，IA参数寻优模型的具体结构为：

第一层是粒子混沌层，输入为N个粒子组成的随机粒子群和IEC102协议数据集S，输出为对随机获取的粒子群进行混沌处理后的粒子群X＝(X₁,X₂,…,X_N)和粒子群X中每个粒子X_i的适应度值f(X_i)，其中X_i为二维向量(C_i,σ_i)，且有i∈[1,N]，C_i表示粒子X_i的SVM参数惩罚因子，σ_i表示粒子X_i的径向基核函数，N为任意自然数；

第二层是粒子克隆变异层，输入为第一层输出的粒子群X和粒子群X中每个粒子X_i的适应度值f(X_i)，该层选择所有适应度值中，大于所有适应度值的平均值的所有适应度值所对应的粒子进行克隆与变异操作，输出为新粒子群G*；

第三层是择优迭代层，其输入为第二层输出的新粒子群G*，输出为每一次迭代后得到的适应度值f(X_i)中的最大值f(X_max)及其对应的粒子X_max。

2.根据权利要求1所述的IEC102协议通讯行为异常检测方法，其特征在于，IEC102协议通讯数据包的传输规则为非平衡式，通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类，功能码位于通讯数据包的控制域字段Bit3-Bit0中，用于执行复位链路、请求指定数据、请求数据传输、应答数据、以及肯定与否定确认指令。

3.根据权利要求1所述的IEC102协议通讯行为异常检测方法，其特征在于，SVM异常检测模型的具体结构为：

第一层是参数接收层，其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子X_max，输出为该轮迭代得到的分类准确率；

第二层是适应度值输出层，其输入为第一层输出的分类准确率，输出为该轮迭代得到的适应度值f(X_i)。

4.根据权利要求3所述的IEC102协议通讯行为异常检测方法，其特征在于，IA-SVM通讯行为异常检测模型是通过以下步骤训练得到的：

(2-1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

(2-2)对步骤(2-1)获取的功能码序列进行循环切割处理，以得到多个长度相同的新功能码序列，所有新功能码序列构成IEC102协议数据集S；

(2-3)随机生成一个粒子群，对粒子群进行混沌处理，以得到混沌处理后的粒子群X＝(X₁,X₂,…,X_N)，粒子群X中的粒子X_i为二维向量(C_i,σ_i)；

(2-4)将步骤(2-3)得到的每个粒子X_i中的C_i和σ_i作为SVM模型的参数，将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练，以得到每个粒子X_i对应的分类准确率；

(2-5)将步骤(2-4)得到的每个粒子X_i对应的分类准确率作为该粒子的适应度值f(X_i)，以获得所有粒子的适应度值平均值f(X_ave)，对适应度值f(X_i)＞f(X_ave)所对应的粒子进行克隆复制，以产生多个较优的粒子形成临时种群G；

(2-6)使用自适应小波变异函数对步骤(2-5)得到的临时种群G中的所有粒子进行变异操作，以生成新粒子群G*；

(2-7)将步骤(2-6)得到的新粒子群G*中每个粒子作为更新后的SVM模型的参数，将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练，以得到每个粒子对应的分类准确率，即适应度值，并从中获取适应度值的最大值f(X_max)；

(2-8)将步骤(2-7)中得到的适应度值的最大值f(X_max)输入IA参数寻优模型并进行迭代优化，直至超过预设的最大迭代次数I_max或者连续50次迭代前后所得到的粒子适应度值差值小于0.01％为止，从而得到训练好的IA-SVM通讯行为异常检测模型。

5.根据权利要求4所述的IEC102协议通讯行为异常检测方法，其特征在于，在步骤(2-2)的循环切割过程中，当功能码序列的长度小于切割长度L时，在该功能码序列的最后用“0”补齐，使得该功能码序列的长度等于L，其中切割长度L>1且为整数。

6.根据权利要求4所述的IEC102协议通讯行为异常检测方法，其特征在于，步骤(2-5)的克隆复制过程是以m为克隆复制倍数进行，每个克隆粒子的克隆复制倍数与该粒子的适应度值成正比，且有m≥1且为整数。

7.一种基于IA-SVM的IEC102协议通讯行为异常检测系统，其特征在于，包括以下模块 ：

第一模块，用于从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；

第二模块，用于将第二模块得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果，IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型，IA参数寻优模型的具体结构为：

第一层是粒子混沌层，输入为N个粒子组成的随机粒子群和IEC102协议数据集S，输出为对随机获取的粒子群进行混沌处理后的粒子群X＝(X₁,X₂,…,X_N)和粒子群X中每个粒子X_i的适应度值f(X_i)，其中X_i为二维向量(C_i,σ_i)，且有i∈[1,N]，C_i表示粒子X_i的SVM参数惩罚因子，σ_i表示粒子X_i的径向基核函数，N为任意自然数；

第二层是粒子克隆变异层，输入为第一层输出的粒子群X和粒子群X中每个粒子X_i的适应度值f(X_i)，该层选择所有适应度值中，大于所有适应度值的平均值的所有适应度值所对应的粒子进行克隆与变异操作，输出为新粒子群G*；

第三层是择优迭代层，其输入为第二层输出的新粒子群G*，输出为每一次迭代后得到的适应度值f(X_i)中的最大值f(X_max)及其对应的粒子X_max。

Images