WO2016082284A1

WO2016082284A1 - 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法

Info

Publication number: WO2016082284A1
Application number: PCT/CN2014/095576
Authority: WO
Inventors: 尚文利; 万明; 李琳; 曾鹏; 于海斌
Original assignee: 中国科学院沈阳自动化研究所
Priority date: 2014-11-26
Filing date: 2014-12-30
Publication date: 2016-06-02
Also published as: US20170329314A1; CN105704103B; US10261502B2; CN105704103A

Abstract

本发明基于OCSVM算法提出了工业控制系统通信行为的异常检测方法。该发明构建工业控制系统通信行为的正常行为轮廓模型和异常行为轮廓模型，即双轮廓模型，并通过微粒子群算法(PSO)进行参数优化，获得最优的入侵检测模型，识别出异常的Modbus TCP通信流量。该发明通过双轮廓检测模型的协同判别以降低误报率，提高了异常检测的效率及其可靠性，更适用于实际应用。

Description

基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法

技术领域

本发明是一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，属于工业控制系统网络信息安全领域。

背景技术

随着工业信息化进程的快速推进，信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁，而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中，其安全事故造成的社会影响和经济损失会更为严重。

2010年，一种强大的旨在攻击西门子制造的工业控制系统的计算机病毒“Stuxnet”出现，该病毒会传播到插入电脑USB接口的设备中，并从中窃取数据。这是骇客首次尝试入侵大型工业电脑系统病毒。此次事件敲响了“防范病毒攻击”的警钟。

2013年六月的“棱镜门”事件，信息安全再次广泛引起关注。当大数据的获取和分析成为棱镜计划的必经之路，不可避免地，身处科技前沿的企业卷入这一计划。智能工业控制领域也无法独善其身。

传统的IT安全防护技术比如防火墙、防病毒软件、入侵检测技术等，难以有效的应用于工业控制系统。这主要是因为采用包过滤的防火墙难以针对应用层上的攻击进行防护，检查的力度和实时性成反比，且对于内部的攻击无能为力。工控系统安装杀毒软件需要非常谨慎，一旦出现误杀后果可能相当严重。

工业是国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。当前，工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用，给工业控制系统信息安全保障工作提出了新任务、新挑战，工业控制系统的安全问题不容忽视。

入侵检测系统能使在入侵攻击对系统产生危害前检测到攻击，并发出报警，启动防御措施。目前，入侵检测主要分为两类：误用检测和异常检测。误用检测是通过与已知的异常行为间的匹配程度来实现入侵检测，通常也称为是基于先验知识的入侵检测；而异常检测是通过建立正常行为模型来寻找偏离的异常行为，因此也被称为基于行为的入侵检测。异常检测和误用检测相比，漏报率降低，并且可以检测出以前没有出现过的入侵行为，但异常检测误报警率较高。

在工业控制入侵检测中，基于“白名单”规则的异常检测方法能够有效检测单条通信协议的异常行为，但无法检测同时存在于多个数据包中的通信异常行为，基于通信模式的异常检测方法能够弥补其不足。

本发明提出选取Modbus功能码这一重要字段作为研究对象，根据能够处理包含不同数目Modbus功能码序列的预处理方法，并基于单类支持向量机方法，构建工业控制系统通信行为的正常行为轮廓模型和异常行为轮廓模型，即双轮廓模型，设计了一种基于粒子群算法(PSO)进行参数寻优的PSO-OCSVM双轮廓模型的通信行为异常检测方法，通过双轮廓检测模型的协同判别以实现辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。

发明内容

针对在背景技术中提出SCADA、DCS等工业控制系统样本分布不平衡或者异常样本难以获取的情况，本发明提出一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，基于单类支持向量机算法建立通信行为双轮廓模型进行工业控制系统异常检测。

本发明为实现上述目的所采用的技术方案是：一种基于OCSVM的通信行为异常检测方法，包括以下步骤：

特征提取：分别采集工业控制系统中Modbus TCP正常通信流量和异常通信流量，并分别进行存储并剔除不必要的信息，最终转化为仅包含Modbus功能码的两个序列；

数据预处理：根据需要设定短序列的长度r，分别以长度为r的滑动窗口循环处理Modbus功能码的两个序列，分别将Modbus功能码的两个序列转换为若干个长度为r的短序列，去除其中重复的短序列，获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM正常通信特征向量和OCSVM异常通信特征向量；

建模：将OCSVM正常通信特征向量和OCSVM异常通信特征向量分别导入到matlab中，通过matlab调动libsvm工具箱分别生成正轮廓OCSVM模型和负轮廓OCSVM模型；

PSO优化：分别对正轮廓OCSVM模型和负轮廓OCSVM模型进行参数优化：将初始化的粒子传递给正轮廓OCSVM模型/负轮廓OCSVM模型作为OCSVM固有参数v和高斯径向基参数g，将正轮廓OCSVM模型/负轮廓OCSVM模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新；

双轮廓OCSVM异常检测：分别利用最优的OCSVM固有参数v和高斯径向基参数g，建立正轮廓OCSVM模型和负轮廓OCSVM模型进行异常检测，并且分别返回交叉验证意义下的分类正确率；

双单类支持向量机协同判别规则：若正轮廓OCSVM模型判定结果为“正常”，负轮廓OCSVM模型判定为“正常”，则最终结果为“正常”；若正轮廓OCSVM模型判定结果为“异常”，负轮廓OCSVM模型判定结果为“异常”，则判定为“异常”；对于两个判定结果不一致的情况，如果需要抑制“误警率”，则判定为“正常”，如果需要抑制“漏警率”，则判定为“异常”。

所述流量采集包括以下步骤：

通过wireshark抓包软件抓取网络中的正常的Modbus TCP通信流量数据包；当系统受到病毒攻击时，通过wireshark抓包软件抓取网络中异常的Modbus TCP通信流量数据包；分别剔除正常数据包和异常数据包中不包含有Modbus功能码的数据包，得到Modbus TCP客户端和Modbus TCP服务器端的通信流量；剔除Modbus功能码之外的所有其他信息，并将Modbus功能码按照时间先后顺序进行排列。

所述数据预处理包括以下步骤：

根据需要设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码，去除重复的序列，获得短序列集合。

在任意的Modbus功能码序列中，按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量；

对OCSVM特征向量进行归一化处理，使其中的各元素属于同一个数量级。

所述PSO优化包括以下步骤：

设置PSO算法在终止条件始终无法满足情况下的最大迭代次数k_max及粒子速度与位置的限定范围；

随机生成种群并分别根据正轮廓OCSVM模型和负轮廓OCSVM模型对PSO算法进行参数初始化，其中每个粒子包含两个分量，分别为单类支持向量机固有参数v和高斯核函数核参数g，并对每一个粒子设置初始化速度和位置向量；

将粒子进行OCSVM训练并作为单类支持向量机的固有参数v和高斯核函数参数g，并将返回的交叉验证意义下的分类准确率作为粒子适应度值；

根据适应度值的情况不断更新个体极值及群体极值：一旦出现了更优的适应度值则更新相应的个体或者群体适应度值；

判断是否满足退出迭代条件：如果超过最大迭代次数或连续N次适应度值的变化没有超过设定阈值，则退出迭代过程，并且此时的群体极值即为所要求的最优参数，所述N为设定的最大连续限值；

按照粒子位置与速度更新公式进行粒子群更新，同时检查各个粒子的不同维度是否在允许的限度之内，如果超出允许的范围需要限定在事先设置的范围区间之内。

所述双轮廓OCSVM异常检测分别对正轮廓OCSVM模型和负轮廓OCSVM模型执行以下步骤：

接受PSO参数寻优流程传递的粒子，将该粒子的两个分量分别设置为单类支持向量机的固有参数v和高斯核函数参数g；

获取正常与异常Modbus TCP通信流量数据包集合，将正常的流量数据赋予+1类别标签，异常流量数据赋予-1类别标签；

构造对偶问题求解单类支持向量机模型；

构造决策函数；

根据决策函数和类别标签计算交叉验证意义下的分类准确率；

将分类准确率返回PSO优化流程中计算适应度值，并作为粒子适应度计算函数Fit(i)的取值。

所述构造对偶问题求解支持向量机模型：

其中，α＝(α₁,α₂,...，α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯核函数，得解α^*＝(α₁ ^*,α₂ ^*,...,α_n ^*)。

所述决策函数为：

其中，ρ*是单类支持向量机的最终决策函数的补偿值，sgn()表示符号函数，K(x_i,x_j)表示高斯核函数。

所述计算交叉验证意义下的分类准确率采用5折校验方式，具体为：将训练集合均分成5份，每次用其中的4份训练异常检测模型，用剩余的一份作为测试集合验证检测效果。

本发明具有以下优点及有益效果：

1.本发明选取Modbus功能码这一重要字段作为研究对象，根据能够处理包含不同数目Modbus功能码的序列的预处理方法，提出了一种基于单类支持向量机的Modbus功能码序列异常检测方法，该模型特别适合于处理小样本数据的分类问题。

2.本发明基于单类支持向量机算法分别采用正常通信行为和异常通信行为建立双轮廓模型，并通过双轮廓检测模型的协同判别确定异常检测结果。

3.本发明采用微粒子群算法对OCSVM双轮廓异常检测模型参数进行寻优，该方法通过粒子群的迭代更新，避免通过经验对OCSVM参数进行选择，从而将大大提高效率。

附图说明

图1是Modbus TCP应用层数据单元结构；

图2是基于OCSVM双轮廓模型的Modbus TCP通信流量异常检测的整体框架图；

图3是PSO-OCSVM异常检测模型建模流程；

图4是双轮廓OCSVM异常检测模型。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

如图2、3所示，基于OCSVM的通信行为异常检测方法，包括：

a.数据采集部分，如图1所示，

1搭建仿真实验环境平台，使系统处于正常运行状态，用wireshark抓取流量数据包，此时抓取的数据包为正常通信流量数据。

2在计算机上插入带有病毒的U盘，此时系统受到病毒入侵，用wireshark抓取流量数据包，此时抓取的数据包为异常通信流量数据。

3分别将抓取的通信流量数据存储在不同的文件中，分别进行特征提取。

b.特征提取及预处理部分

1Modbus TCP报文格式在保留了Modbus全部功能的基础上，扩展了一些数据结构。Modbus TCP的报文格式主要包括三个部分：MBAP报文头、Modbus功能码和数据。当客户机向服务器设备发送报文时，功能码字段是服务器区分读操作、写操作、数据类型、数据种类的唯一依据，因此将Modbus功能码作为特征向量。

2首先去除抓取来的数据包中不包含Modbus功能码的流量数据包，然后去除冗余和不重要的特征，只保留有效关键特征集及Modbus功能码。

3将获取的Modbus功能码序列随机分割成不同长度的Modbus功能码短序列，并赋予标签，其中正常流量数据包的Modbus功能码序列标记为+1，异常流量数据包的Modbus功能码序列标记为-1。

4根据需要设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码样本，去除重复的序列，获得短序列集合。

5将任意的Modbus功能码序列，按照每一个模式短序列出现的频率构造成OCSVM特征向量。

c.PSO优化流程

1设置PSO算法在终止条件始终无法满足情况下的最大迭代次数k_max；

2在D维的问题空间中随机产生粒子的位置X＝(X₁，X₂，...，X_N）和速度V＝(V₁，V₂，...，V_N)，N为粒子数目，其中X_i＝(x_ig，x_iv)表示第i个粒子由两个分量构成，分别代表OCSVM参数v和径向基核函数参数g的位置，设置两个分量的限定范围是[X_gmin，X_gmax]和[X_vmin，X_vmax]；

3进行粒子适应度Fit(i)计算。粒子适应度值Fit(i)选取以分量x_ig和x_iv为参数的基于OCSVM的Modbus功能码序列检测的交叉验证意义下的分类正确率；

4根据适应度值更新个体极值及群体极值。若适应度值

则P^k＝X^k+1，否则P^k＝X^k。若存在j使得

成立，且

则令

否则

5判断是否满足退出迭代条件。如果超过最大迭代次数或连续50次适应度值的变化没有超过0.01％，则退出迭代过程，并且此时的群体极值即为所要求的最优参数；

6按照粒子速度与位置更新公式进行更新。每一轮更新结束后需要判定位置各维是否限定在规定范围和内，对于超过范围的分量需要限定在该范围之内，例如如果x_ig<x_gmin则设置x_ig＝x_gmin，如果x_ig>x_gmax则x_ig＝x_gmax。速度与位置更新按照下述两个公式进行：

V^k+1＝ωV^k+c₁r₁(P^k-X^k)+c₂r₂(G^k-X^k)

X^k+1＝X^k+V^k+1

上式中，第一部分为粒子当前速度，反映粒子当前速度对下一代速度的影响；第二部分反映单个粒子的自身认知能力，主要控制粒子的全局搜索能力，避免陷入局部最优；第三部分反映整个粒子群的社会认知能力，表示粒子间的信息的相互影响，有利于提升粒子的全局搜索能力。其中c₁和c₂为学习因子，加速度因子r₁和r₂为[0，1]之间的随机数。

d.OCSVM双轮廓异常检测模型：

正轮廓单类支持向量机训练流程：

1.从工业控制系统数据包捕获与预处理单元中获取新正常的训练样本。

2.接受PSO参数优化流程传递的单类支持向量机固有参数v和高斯核函数参数g；

3.构造对偶求解单类支持向量机模型：

其中，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯径向基核函数，得解α^*＝(α₁ ^*,α₂ ^*,...,α_n ^*)；

4构造决策函数：

其中，ρ*是单类支持向量机的补偿值，sgn()表示符号函数。

5将分类准确率返回PSO参数优化流程，作为粒子适应度计算函数Fit(i)的取值。

负轮廓单类支持向量机训练流程与正轮廓单类支持向量机类似，需要对工业控制系统数据包捕获与预处理单元中获取的异常样本进行训练。

e.OCSVM双轮廓模型协同判别规则设计：

如图4所示，当OCSVM双轮廓模型对测试样本进行决策判断时，遵循以下规则：

测试样本分别经正轮廓模型和负轮廓模型进行检测，两个模型分别做出判断：

1正、负轮廓模型判定结果均为“正常”，则最终结果为“正常”，此样本为正常数据流量，系统允许通过；

2正、负轮廓模型判定结果均为“异常”，则最终结果为“异常”，此样本为异常数据流量，系统报警；

3对于正、负轮廓模型判定结果不一致的情况，如系统需要抑制“误报警率”，则判定为“正常”，如果需要抑制“漏警率”，则判定为“异常”。

Claims

一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，包括以下步骤：

特征提取：分别采集工业控制系统中Modbus TCP正常通信流量和异常通信流量，并分别进行存储并剔除不必要的信息，最终转化为仅包含Modbus功能码的两个序列；

数据预处理：根据需要设定短序列的长度r，分别以长度为r的滑动窗口循环处理Modbus功能码的两个序列，分别将Modbus功能码的两个序列转换为若干个长度为r的短序列，去除其中重复的短序列，获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM正常通信特征向量和OCSVM异常通信特征向量；

建模：将OCSVM正常通信特征向量和OCSVM异常通信特征向量分别导入到matlab中，通过matlab调动libsvm工具箱分别生成正轮廓OCSVM模型和负轮廓OCSVM模型；

PSO优化：分别对正轮廓OCSVM模型和负轮廓OCSVM模型进行参数优化：将初始化的粒子传递给正轮廓OCSVM模型/负轮廓OCSVM模型作为OCSVM固有参数v和高斯径向基参数g，将正轮廓OCSVM模型/负轮廓OCSVM模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新；

双轮廓OCSVM异常检测：分别利用最优的OCSVM固有参数v和高斯径向基参数g，建立正轮廓OCSVM模型和负轮廓OCSVM模型进行异常检测，并且分别返回交叉验证意义下的分类正确率；

双单类支持向量机协同判别规则：若正轮廓OCSVM模型判定结果为“正常”，负轮廓OCSVM模型判定为“正常”，则最终结果为“正常”；若正轮廓OCSVM模型判定结果为“异常”，负轮廓OCSVM模型判定结果为“异常”，则判定为“异常”；对于两个判定结果不一致的情况，如果需要抑制“误警率”，则判定为“正常”，如果需要抑制“漏警率”，则判定为“异常”。
根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，所述流量采集包括以下步骤：

通过wireshark抓包软件抓取网络中的正常的Modbus TCP通信流量数据包；当系统受到病毒攻击时，通过wireshark抓包软件抓取网络中异常的Modbus TCP通信流量数据包；分别剔除正常数据包和异常数据包中不包含有Modbus功能码的数据包，得到Modbus TCP客户端和Modbus TCP服务器端的通信流量；剔除Modbus功能码之外的所有其他信息，并将Modbus功能码按照时间先后顺序进行排列。
根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，所述数据预处理包括以下步骤：

根据需要设定短序列的长度r，以长度为r的滑动窗口循环处理Modbus功能码，去除重复的序列，获得短序列集合。

在任意的Modbus功能码序列中，按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量；

对OCSVM特征向量进行归一化处理，使其中的各元素属于同一个数量级。
根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，所述PSO优化包括以下步骤：

设置PSO算法在终止条件始终无法满足情况下的最大迭代次数k_max及粒子速度与位置的限定范围；

随机生成种群并分别根据正轮廓OCSVM模型和负轮廓OCSVM模型对PSO算法进行参数初始化，其中每个粒子包含两个分量，分别为单类支持向量机固有参数v和高斯核函数核参数g，并对每一个粒子设置初始化速度和位置向量；

将粒子进行OCSVM训练并作为单类支持向量机的固有参数v和高斯核函数参数g，并将返回的交叉验证意义下的分类准确率作为粒子适应度值；

根据适应度值的情况不断更新个体极值及群体极值：一旦出现了更优的适应度值则更新相应的个体或者群体适应度值；

判断是否满足退出迭代条件：如果超过最大迭代次数或连续N次适应度值的变化没有超过设定阈值，则退出迭代过程，并且此时的群体极值即为所要求的最优参数，所述N为设定的最大连续限值；

按照粒子位置与速度更新公式进行粒子群更新，同时检查各个粒子的不同维度是否在允许的限度之内，如果超出允许的范围需要限定在事先设置的范围区间之内。
根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，所述双轮廓OCSVM异常检测分别对正轮廓OCSVM模型和负轮廓OCSVM模型执行以下步骤：

接受PSO参数寻优流程传递的粒子，将该粒子的两个分量分别设置为单类支持向量机的固有参数v和高斯核函数参数g；

获取正常与异常Modbus TCP通信流量数据包集合，将正常的流量数据赋予+1类别标签，异常流量数据赋予-1类别标签；

构造对偶问题求解单类支持向量机模型；

构造决策函数；

根据决策函数和类别标签计算交叉验证意义下的分类准确率；

将分类准确率返回PSO优化流程中计算适应度值，并作为粒子适应度计算函数Fit(i)的取值。
根据权利要求5所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，所述构造对偶问题求解支持向量机模型：

其中，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯核函数，得解α^*＝(α₁ ^*,α₂ ^*,...,α_n ^*)。
根据权利要求5所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，所述决策函数为：

其中，ρ^*是单类支持向量机的最终决策函数的补偿值，sgn()表示符号函数，K(x_i,x_j)表示高斯核函数。
根据权利要求5所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，所述计算交叉验证意义下的分类准确率采用5折校验方式，具体为：将训练集合均分成5份，每次用其中的4份训练异常检测模型，用剩余的一份作为测试集合验证检测效果。