CN113037553B - 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 - Google Patents
一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 Download PDFInfo
- Publication number
- CN113037553B CN113037553B CN202110265232.XA CN202110265232A CN113037553B CN 113037553 B CN113037553 B CN 113037553B CN 202110265232 A CN202110265232 A CN 202110265232A CN 113037553 B CN113037553 B CN 113037553B
- Authority
- CN
- China
- Prior art keywords
- particle
- iec102
- layer
- svm
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Evolutionary Computation (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Biology (AREA)
- Health & Medical Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于IA‑SVM的IEC102协议通讯行为异常检测方法,包括:从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列,将得到的功能码序列输入训练好的IA‑SVM通讯行为异常检测模型中,以得到该连接的通讯行为检测结果。本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象,并结合免疫算法和支持向量机模型,因此能够解决现有通讯行为异常检测方法存在的异常检测率低和无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。
Description
技术领域
本发明属于工业控制网络信息安全领域,更具体地,涉及一种基于IA-SVM的IEC102协议通讯行为异常检测方法和系统。
背景技术
随着工业化和信息化、制造业与互联网的深度融合,工控系统面临比传统IT系统更为严峻的内外部威胁,电力等多个工业行业的工控系统信息安全事故频发,如2014年的Havex病毒,劫持电力工控设备,阻断电力供应,造成恶劣影响,这也意味着工业控制网络信息安全已经成为企业安全乃至国家安全的重要基石。
IEC102协议作为一种广泛应用于电能计量系统主站和电能量采集终端等工控领域的通讯规约,其通讯安全直接关系到发电企业、电网企业及电力用户之间的利益。而IEC102协议采用的电能量数据文件传输的报文为明文,缺乏对数据报文的完整性检验,攻击者可通过截获、篡改或模拟报文的方式在通讯过程的任意阶段实现身份伪装,并向对侧发送虚假报文。而常用的工控防范措施是对通用的互联网协议进行通讯行为异常检测,并根据预设的规则和特征值进行匹配过滤。
然而,上述通讯行为异常检测方法存在一些不可忽略的技术缺陷:第一,其工作过程需要依赖根据经验预设的规则和特征值,无法对工业控制网络中的IEC102协议异常通讯行为进行检测;第二,其异常检测模型参数不够优化,导致通讯行为异常检测率偏低。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法,其目的在于,解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题,以及由于异常检测模型参数不够优化,导致通讯行为异常检测率偏低的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法,包括以下步骤:
(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
(2)将步骤(1)得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中,以得到该连接的通讯行为检测结果。
优选地,IEC102协议通讯数据包的传输规则为非平衡式,通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类,功能码位于通讯数据包的控制域字段Bit3-Bit0中,用于执行复位链路、请求指定数据、请求数据传输、应答数据、以及肯定与否定确认等指令。
优选地,IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型。
优选地,IA参数寻优模型的具体结构为:
第一层是粒子混沌层,输入为N个粒子组成的随机粒子群和IEC102协议数据集S,输出为对随机获取的粒子群进行混沌处理后的粒子群X=(X1,X2,…,XN)和粒子群X中每个粒子Xi的适应度值f(Xi),其中Xi为二维向量(Ci,σi),且有i∈[1,N],Ci表示粒子Xi的SVM参数惩罚因子,σi表示粒子Xi的径向基核函数,N为任意自然数。
第二层是粒子克隆变异层,输入为第一层输出的粒子群X和粒子群X中每个粒子Xi的适应度值f(Xi),该层选择所有适应度值中,大于所有适应度值的平均值的所有适应度值所对应的粒子(即较优的一些粒子)进行克隆与变异操作,输出为新粒子群G*;
第三层是择优迭代层,其输入为第二层输出的新粒子群G*,输出为每一次迭代后得到的适应度值f(Xi)中的最大值f(Xmax)及其对应的粒子Xmax。
优选地,SVM异常检测模型的具体结构为:
第一层是参数接收层,其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子Xmax,输出为该轮迭代得到的分类准确率;
第二层是适应度值输出层,其输入为第一层输出的分类准确率,输出为该轮迭代得到的适应度值f(Xi)。
优选地,IA-SVM通讯行为异常检测模型是通过以下步骤训练得到的:
(2-1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
(2-2)对步骤(2-1)获取的功能码序列进行循环切割处理,以得到多个长度相同的新功能码序列,所有新功能码序列构成IEC102协议数据集S;
(2-3)随机生成一个粒子群,对粒子群进行混沌处理,以得到混沌处理后的粒子群X=(X1,X2,…,XN),粒子群X中的粒子Xi为二维向量(Ci,σi);
(2-4)将步骤(2-3)得到的每个粒子Xi中的Ci和σi作为SVM模型的参数,将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练,以得到每个粒子Xi对应的分类准确率;
(2-5)将步骤(2-4)得到的每个粒子Xi对应的分类准确率作为该粒子的适应度值f(Xi),以获得所有粒子的适应度值平均值f(Xave),对适应度值f(Xi)>f(Xave)所对应的粒子进行克隆复制,以产生多个较优的粒子形成临时种群G;
(2-6)使用自适应小波变异函数对步骤(2-5)得到的临时种群G中的所有粒子进行变异操作,以生成新粒子群G*;
(2-7)将步骤(2-6)得到的新粒子群G*中每个粒子作为更新后的SVM模型的参数,将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练,以得到每个粒子对应的分类准确率,即适应度值,并从中获取适应度值的最大值f(Xmax);
(2-8)将步骤(2-7)中得到的适应度值的最大值f(Xmax)输入IA参数寻优模型并进行迭代优化,直至超过预设的最大迭代次数Imax或者连续50次迭代前后所得到的粒子适应度值差值小于0.01%为止,从而得到训练好的IA-SVM通讯行为异常检测模型。
优选地,在步骤(2-2)的循环切割过程中,当功能码序列的长度小于切割长度L时,在该功能码序列的最后用“0”补齐,使得该功能码序列的长度等于L,其中切割长度L>1且为整数。
优选地,步骤(2-5)的克隆复制过程是以m为克隆复制倍数进行,每个克隆粒子的克隆复制倍数与该粒子的适应度值成正比,且有m≥1且为整数。
按照本发明的另一方面,提供了一种基于IA-SVM的IEC102协议通讯行为异常检测系统,包括以下步骤:
第一模块,用于从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
第二模块,用于将第二模块得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中,以得到该连接的通讯行为检测结果。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明由于采用了IEC102协议通讯数据包控制域字段中的功能码作为研究对象,并结合免疫算法和支持向量机模型,因此能够解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题;
(2)本发明由于采用了步骤(2-1)到步骤(2-2),充分利用了多个通讯数据包之间的关联性,通过循环切割得到多个长度相同的功能码序列,因此能够解决异常识别率较低的问题;
(3)本发明由于采用了步骤(2-3)到步骤(2-6),使用了免疫算法模型进行参数寻优,因此能够解决现有通讯行为异常检测模型参数不够优化导致的通讯行为异常检测准确率偏低的技术问题;
(4)本发明有效结合了免疫算法和支持向量机的优势,构建了IA-SVM通讯行为异常检测模型,能够以更少的迭代次数完成模型参数寻优,因此提升了通讯行为异常检测效率。
附图说明
图1是本发明构建的IA-SVM通讯行为异常检测模型示意图。
图2是本发明基于IA-SVM的IEC102协议通讯行为异常检测方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明针对IEC102协议进行解析,选取其中的功能码序列作为研究对象,并充分利用多个数据包之间的关联性,如图1所示,通过使用免疫算法(ImmuneAlgorithm,简称IA),改善SVM模型参数寻优与结构优化,提升模型分类识别精度,基于IA-SVM算法分别对正常通讯行为和异常通讯行为建模,提供了一种可靠的IEC102协议通讯行为异常检测方法。
如图2所示,本发明提供了一种基于IA-SVM的IEC102协议通讯行为异常检测方法,具体包括以下步骤:
(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接(Connection),并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
具体而言,IEC102协议通讯数据包的传输规则为非平衡式,通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类,功能码位于通讯数据包的控制域字段Bit3-Bit0中,用于执行复位链路、请求指定数据、请求数据传输、应答数据、肯定与否定确认等指令。
本步骤的优点在于,将IEC102协议通讯数据包控制域字段中的功能码作为研究对象,能够解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题。
(2)将步骤(1)得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型(如图1所示)中,以得到该连接的通讯行为检测结果。
具体而言,通讯行为检测结果是该连接对应的通讯行为正常或异常。
如图1所示,本发明使用的IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型;
在图1中,左边的IA参数寻优模型从上往下对应粒子混沌层、粒子克隆变异层、择优迭代层,右边的SVM异常检测模型从上往下对应参数接收层、适应度值输出层。
其中IA参数寻优模型的具体结构为:
第一层是粒子混沌层,输入为N个粒子组成的随机粒子群和IEC102协议数据集S(其中N为任意自然数),输出为对随机获取的粒子群进行混沌处理后的粒子群X=(X1,X2,…,XN)和粒子群X中每个粒子Xi的适应度值f(Xi),其中Xi为二维向量(Ci,σi),且有i∈[1,N],Ci表示粒子Xi的SVM参数惩罚因子,σi表示粒子Xi的径向基核函数;
第二层是粒子克隆变异层,输入为第一层输出的粒子群X和粒子群X中每个粒子Xi的适应度值f(Xi),该层选择所有适应度值中,大于所有适应度值的平均值的所有适应度值所对应的粒子(即较优的一些粒子)进行克隆与变异操作,输出为新粒子群G*;
第三层是择优迭代层,其输入为第二层输出的新粒子群G*,输出为每一次迭代后得到的适应度值f(Xi)中的最大值f(Xmax)及其对应的粒子Xmax。
SVM异常检测模型的具体结构为:
第一层是参数接收层,其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子Xmax,输出为该轮迭代得到的分类准确率;
第二层是适应度值输出层,其输入为第一层输出的分类准确率,输出为该轮迭代得到的适应度值f(Xi)。
具体而言,本步骤中的IA-SVM通讯行为异常检测模型是通过以下步骤训练得到的:
(2-1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
(2-2)对步骤(2-1)获取的功能码序列进行循环切割处理,以得到多个长度相同的新功能码序列,所有新功能码序列构成IEC102协议数据集S;
具体而言,在本步骤的循环切割过程中,当功能码序列的长度小于切割长度L(L>1且为整数)时,在该功能码序列的最后用“0”补齐,使得该功能码序列的长度等于L,其中切割长度L的取值由用户根据实际需求自由设定,其值越大,则异常检测的准确率越高,同时系统运行效率越低,反之则异常检测的准确率越低,同时系统运行效率越高。
例如,从工业控制网络获取了一个包含6个IEC102协议通讯数据包的连接,此时功能码序列为(M1,M2,M3,M4,M5,M6),当切割长度L=5时,经过循环切割处理后得到两个新功能码序列:(M1,M2,M3,M4,M5)和(M2,M3,M4,M5,M6)。
上述步骤(2-1)到步骤(2-2)的优点在于,充分利用了多个通讯数据包之间的关联性,通过循环切割得到多个长度相同的功能码序列,能够解决异常识别率较低的问题。
(2-3)随机生成一个粒子群,对粒子群进行混沌处理,以得到混沌处理后的粒子群X=(X1,X2,…,XN),其中N为该粒子群中粒子的总数量,粒子群X中的粒子Xi为二维向量(Ci,σi),且有i∈[1,N];
(2-4)将步骤(2-3)得到的每个粒子Xi中的Ci和σi作为支持向量机(SupportVector Machine,简称SVM)模型的参数,将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练,以得到每个粒子Xi对应的分类准确率;
(2-5)将步骤(2-4)得到的每个粒子Xi对应的分类准确率作为该粒子的适应度值f(Xi),以获得所有粒子的适应度值平均值f(Xave),对适应度值f(Xi)>f(Xave)所对应的粒子(即较优的一些粒子)进行克隆复制,以产生多个较优的粒子形成临时种群G;
具体而言,克隆复制过程是以m(m≥1且为整数)为克隆复制倍数进行,每个克隆粒子的克隆复制倍数与该粒子的适应度值成正比。
(2-6)使用自适应小波变异函数对步骤(2-5)得到的临时种群G中的所有粒子进行变异操作,以生成新粒子群G*(即得到可能存在的更优解);
具体而言,变异操作等效于在某一个粒子位置周围产生其他相近位置的粒子,以方便在其周围进一步寻求更优解。
上述步骤(2-3)到步骤(2-6)的优点在于,使用了免疫算法模型进行参数寻优,能够解决现有通讯行为异常检测模型参数不够优化导致的通讯行为异常检测准确率偏低的技术问题。
(2-7)将步骤(2-6)得到的新粒子群G*中每个粒子作为更新后的SVM模型的参数,将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练,以得到每个粒子对应的分类准确率,即适应度值,并从中获取适应度值的最大值f(Xmax);
本步骤的优点在于,选取了IA参数寻优模型每次迭代优化产生的新粒子群G*中的粒子作为SVM模型的参数,能够更快速地完成最优参数的寻找,提升异常检测效率。
(2-8)将步骤(2-7)中得到的适应度值的最大值f(Xmax)输入IA参数寻优模型并进行迭代优化,直至超过预设的最大迭代次数Imax(Imax>50,优选值为100)或者连续50次迭代前后所得到的粒子适应度值差值小于0.01%为止,此时最终得到的适应度值的最大值所对应的粒子Xbest的二维向量(Cbest,σbest)为SVM模型的最佳参数,即可得到一个训练好的IA-SVM通讯行为异常检测模型,用来进行IEC102协议通讯行为异常检测。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于IA-SVM的IEC102协议通讯行为异常检测方法,其特征在于,包括以下步骤:
(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
(2)将步骤(1)得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中,以得到该连接的通讯行为检测结果,IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型,IA参数寻优模型的具体结构为:
第一层是粒子混沌层,输入为N个粒子组成的随机粒子群和IEC102协议数据集S,输出为对随机获取的粒子群进行混沌处理后的粒子群X=(X1,X2,…,XN)和粒子群X中每个粒子Xi的适应度值f(Xi),其中Xi为二维向量(Ci,σi),且有i∈[1,N],Ci表示粒子Xi的SVM参数惩罚因子,σi表示粒子Xi的径向基核函数,N为任意自然数;
第二层是粒子克隆变异层,输入为第一层输出的粒子群X和粒子群X中每个粒子Xi的适应度值f(Xi),该层选择所有适应度值中,大于所有适应度值的平均值的所有适应度值所对应的粒子进行克隆与变异操作,输出为新粒子群G*;
第三层是择优迭代层,其输入为第二层输出的新粒子群G*,输出为每一次迭代后得到的适应度值f(Xi)中的最大值f(Xmax)及其对应的粒子Xmax。
2.根据权利要求1所述的IEC102协议通讯行为异常检测方法,其特征在于,IEC102协议通讯数据包的传输规则为非平衡式,通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类,功能码位于通讯数据包的控制域字段Bit3-Bit0中,用于执行复位链路、请求指定数据、请求数据传输、应答数据、以及肯定与否定确认指令。
3.根据权利要求1所述的IEC102协议通讯行为异常检测方法,其特征在于,SVM异常检测模型的具体结构为:
第一层是参数接收层,其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子Xmax,输出为该轮迭代得到的分类准确率;
第二层是适应度值输出层,其输入为第一层输出的分类准确率,输出为该轮迭代得到的适应度值f(Xi)。
4.根据权利要求3所述的IEC102协议通讯行为异常检测方法,其特征在于,IA-SVM通讯行为异常检测模型是通过以下步骤训练得到的:
(2-1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
(2-2)对步骤(2-1)获取的功能码序列进行循环切割处理,以得到多个长度相同的新功能码序列,所有新功能码序列构成IEC102协议数据集S;
(2-3)随机生成一个粒子群,对粒子群进行混沌处理,以得到混沌处理后的粒子群X=(X1,X2,…,XN),粒子群X中的粒子Xi为二维向量(Ci,σi);
(2-4)将步骤(2-3)得到的每个粒子Xi中的Ci和σi作为SVM模型的参数,将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练,以得到每个粒子Xi对应的分类准确率;
(2-5)将步骤(2-4)得到的每个粒子Xi对应的分类准确率作为该粒子的适应度值f(Xi),以获得所有粒子的适应度值平均值f(Xave),对适应度值f(Xi)>f(Xave)所对应的粒子进行克隆复制,以产生多个较优的粒子形成临时种群G;
(2-6)使用自适应小波变异函数对步骤(2-5)得到的临时种群G中的所有粒子进行变异操作,以生成新粒子群G*;
(2-7)将步骤(2-6)得到的新粒子群G*中每个粒子作为更新后的SVM模型的参数,将步骤(2-2)得到的IEC102协议数据集S输入该SVM模型中进行训练,以得到每个粒子对应的分类准确率,即适应度值,并从中获取适应度值的最大值f(Xmax);
(2-8)将步骤(2-7)中得到的适应度值的最大值f(Xmax)输入IA参数寻优模型并进行迭代优化,直至超过预设的最大迭代次数Imax或者连续50次迭代前后所得到的粒子适应度值差值小于0.01%为止,从而得到训练好的IA-SVM通讯行为异常检测模型。
5.根据权利要求4所述的IEC102协议通讯行为异常检测方法,其特征在于,在步骤(2-2)的循环切割过程中,当功能码序列的长度小于切割长度L时,在该功能码序列的最后用“0”补齐,使得该功能码序列的长度等于L,其中切割长度L>1且为整数。
6.根据权利要求4所述的IEC102协议通讯行为异常检测方法,其特征在于,步骤(2-5)的克隆复制过程是以m为克隆复制倍数进行,每个克隆粒子的克隆复制倍数与该粒子的适应度值成正比,且有m≥1且为整数。
7.一种基于IA-SVM的IEC102协议通讯行为异常检测系统,其特征在于,包括以下模块 :
第一模块,用于从工业控制网络获取包含多个IEC102协议通讯数据包的连接,并对每个IEC102协议通讯数据包进行解析,以获取该IEC102协议通讯数据包对应的功能码,将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列,从而构成该连接对应的功能码序列;
第二模块,用于将第二模块得到的功能码序列输入训练好的IA-SVM通讯行为异常检测模型中,以得到该连接的通讯行为检测结果,IA-SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型,IA参数寻优模型的具体结构为:
第一层是粒子混沌层,输入为N个粒子组成的随机粒子群和IEC102协议数据集S,输出为对随机获取的粒子群进行混沌处理后的粒子群X=(X1,X2,…,XN)和粒子群X中每个粒子Xi的适应度值f(Xi),其中Xi为二维向量(Ci,σi),且有i∈[1,N],Ci表示粒子Xi的SVM参数惩罚因子,σi表示粒子Xi的径向基核函数,N为任意自然数;
第二层是粒子克隆变异层,输入为第一层输出的粒子群X和粒子群X中每个粒子Xi的适应度值f(Xi),该层选择所有适应度值中,大于所有适应度值的平均值的所有适应度值所对应的粒子进行克隆与变异操作,输出为新粒子群G*;
第三层是择优迭代层,其输入为第二层输出的新粒子群G*,输出为每一次迭代后得到的适应度值f(Xi)中的最大值f(Xmax)及其对应的粒子Xmax。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110265232.XA CN113037553B (zh) | 2021-03-11 | 2021-03-11 | 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110265232.XA CN113037553B (zh) | 2021-03-11 | 2021-03-11 | 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113037553A CN113037553A (zh) | 2021-06-25 |
CN113037553B true CN113037553B (zh) | 2021-12-14 |
Family
ID=76470205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110265232.XA Active CN113037553B (zh) | 2021-03-11 | 2021-03-11 | 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113037553B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114268451B (zh) * | 2021-11-15 | 2024-04-16 | 中国南方电网有限责任公司 | 电力监控网络安全缓冲区构建方法、装置、设备和介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457525A (zh) * | 2011-12-19 | 2012-05-16 | 河海大学 | 一种基于负荷的异常入侵检测方法及系统 |
CN104702460A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 基于SVM的Modbus TCP通讯的异常检测方法 |
WO2016108961A1 (en) * | 2014-12-30 | 2016-07-07 | Battelle Memorial Institute | Anomaly detection for vehicular networks for intrusion and malfunction detection |
CN110602034B (zh) * | 2019-07-08 | 2020-06-19 | 湖南大学 | 一种基于pso-svm检测s7协议异常通讯行为的方法和系统 |
-
2021
- 2021-03-11 CN CN202110265232.XA patent/CN113037553B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113037553A (zh) | 2021-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109889538B (zh) | 用户异常行为检测方法及系统 | |
CN108768986A (zh) | 一种加密流量分类方法及服务器、计算机可读存储介质 | |
CN111901340B (zh) | 一种面向能源互联网的入侵检测系统及其方法 | |
CN109617706B (zh) | 工业控制系统防护方法及工业控制系统防护装置 | |
CN109118075B (zh) | 一种基于业务逻辑一致性的电力工控终端安全监测方法 | |
CN110365678B (zh) | 一种基于反样本的工控网络协议漏洞挖掘方法 | |
CN110602034B (zh) | 一种基于pso-svm检测s7协议异常通讯行为的方法和系统 | |
CN111191767A (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
CN113037553B (zh) | 一种基于ia-svm的iec102协议通讯行为异常检测方法和系统 | |
CN111181930A (zh) | DDoS攻击检测的方法、装置、计算机设备及存储介质 | |
CN110868312A (zh) | 一种基于遗传算法优化的工业行为异常检测方法 | |
Xiao et al. | Network security situation prediction method based on MEA-BP | |
CN113392429A (zh) | 基于区块链的配电物联网数据安全防护方法、装置 | |
CN113067798A (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
CN112364388A (zh) | 基于区块链实现的传感器数据认证方法及装置 | |
CN111954209A (zh) | 一种提高无线传感器节点安全性的信息处理方法及装置 | |
Shan et al. | NeuPot: A neural network-based honeypot for detecting cyber threats in industrial control systems | |
CN115842636A (zh) | 一种基于时序特征的网络异常行为监测方法以及装置 | |
Malmir et al. | Optimization of data mining with evolutionary algorithms for cloud computing application | |
Sun et al. | Maskfuzzer: A maskgan-based industrial control protocol fuzz testing framework | |
CN109697613B (zh) | 用于区块链中网络交易安全认证方法和系统 | |
CN108833156B (zh) | 一种针对电力通信网的仿真性能指标的评估方法及系统 | |
CN114205816B (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
CN112994887B (zh) | 一种适用于电力物联网终端的通信加密方法及系统 | |
CN110391935B (zh) | 计及信息物理耦合特性和信息扰动的量测度评估方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220705 Address after: 410000 No. 102, Heguang Road, Xianghu street, Furong district, Changsha City, Hunan Province Patentee after: Hunan Kuangan Network Technology Co.,Ltd. Address before: Yuelu District City, Hunan province 410082 Changsha Lushan Road No. 1 Patentee before: HUNAN University Patentee before: Hunan kuang'an Network Technology Co., Ltd |
|
TR01 | Transfer of patent right |