[发明专利]基于SVM的Modbus TCP通讯的异常检测方法

权利要求书

1.一种基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，包括以下步骤：

流量采集：利用Linux内核的Netfilter机制采集工业控制系统中ModbusTCP通讯流量，按照会话进行存储并且剔除不必要的信息，转化为仅包含Modbus功能码的序列；

数据预处理：设定固定长度的滑动窗口，获取所有不同滑动窗口长度的短模式序列构成集合，按照其中每一个元素出现的频率，处理正常与异常Modbus TCP通讯流量中的功能码序列，从而转化成为长度一致的SVM能够处理的向量形式；

PSO优化：将初始化的粒子传递给SVM异常识别模型作为参数惩罚因子C和高斯径向基参数σ，利用SVM模型返回的交叉验证意义下的分类准确率，作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新；

SVM异常检测：利用PSO流程传递的参数，建立C-SVM流程模型进行异常检测，并且返回交叉验证意义下的分类正确率。

2.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述流量采集包括以下步骤：

利用Linux内核Netfilter机制进行流量抓取，从而捕获工业控制系统中ModbusTCP通讯流量，并且按照源于目的地址对进行分类存储；

剔除Modbus TCP通讯中不包含Modbus功能码的数据包，并且进一步剔除Modbus服务器向客户机回应的相关数据包。

剔除Modbus功能码之外的所有其他信息，并将Modbus功能码按照时间先后顺序进行排列；

将Modbus功能码序列随机分割成不同长度的Modbus功能码短序列。

3.根据权利要求2所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述不包含Modbus功能码的数据包包括握手、确认与重传。

4.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述数据预处理包括以下步骤：

获取正常与异常Modbus TCP通讯流量集合，并且赋予相应的类别标签；

设定短序列长度r，且保证r长度不大于Modbus功能码样本集合中长度最小的个数；

用长度为r滑动窗口依次处理Modbus功能码样本集合的每一个样本，提取所有可能的r长度短序列；

去除c中重复成分，对于每一个不同的r长度短序列仅保留一份，得到模式短序列集合M；

利用短序列模式集合M将功能码序列中的每个元素表示成维数相同的支持向量机能够处理的向量模式。

5.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述PSO优化包括以下步骤：

设置PSO算法在终止条件始终无法满足情况下的最大迭代步数kmax与粒子位置与速度的限定范围；

随机生成种群以及相关参数初始化，其中每个粒子包含两个分量分别为支持向量机惩罚因子C和径向基核参数σ，并且针对每一个粒子设置初始化速度向量；

将粒子进行SVM训练并作为支持向量机的惩罚因子和高斯径向基参数，返回交叉验证意义下的分类准确率作为粒子适应度值；

根据适应度值的情况更新个体极值及群体极值；如果出现了更优的适应度值则更新相应的个体或者群体适应度值；

判断是否满足退出迭代条：如果超过迭代次数极值或连续50次适应度值的变化没有超过0.01%，则退出迭代过程，并且此时的群体极值即为所要求的最佳参数；

按照粒子速度与位置更新公式进行更新粒子群，同时检查各个粒子多的不同维度是否在允许的限度之内，如果超出允许的范围需要限定在事先设置的范围区间之内。

6.根据权利要求1所述的基于SVM的Modbus TCP通讯的异常检测方法，其特征在于，所述SVM异常检测包括以下步骤：

接受PSO参数优化流程传递的粒子，将该粒子的两个维度分别设置为支持向量机的惩罚因子C和径向基核函数参数σ；

给所有样本赋予类别标签；

构造对偶问题求解支持向量机模型；

构造决策函数；

计算交叉验证意义下的分类准确率；

将分类准确率返回PSO参数优化流程，作为粒子适应度计算函数FtX,a的取值。