[发明专利]基于SVM的Modbus TCP通讯的异常检测方法

说明书

技术领域

本文发明的是一种工业控制系统通讯流量异常检测的方法，利用支持向量机方法对功能码序列进行异常检测，属于工业控制系统网络信息安全领域。

背景技术

工业控制系统在设计之初由于普遍采用专有的通信协议、操作系统、硬件设备，并且与其他网络隔离，更多关注的是物理安全和功能安全，欠缺信息与网络安全方面的考虑。伴随着信息化的需求，工业控制系统的封闭性正在不断被打破：TCP/IP技术、开放的工业通讯协议、通用操作系统等应用得越来越广泛，使得“天生”存在很多信息安全与网络安全缺陷的工业控制系统更加容易遭受攻击。Modbus TCP协议广泛应用于石油化工、能源、冶炼、电力等工业控制系统和SCADA系统中，确保Modbus TCP通讯安全具有重要意义。

保证工业控制系统网络安全是一个繁杂的系统工程，需要从安全管理与安全技术两个方面同时入手，构建有效的防御体系，任何依赖单一技术或者单一管理流程的方式，都无法有效应对可能出现的信息安全挑战与威胁。从信息安全防御技术的角度来看，保障工业控制系统中Modbus TCP通讯安全的技术主要有有防火墙技术、隔离网闸、加密传输技术、入侵检测技术、Modbus通讯“白名单”等。

防火墙主要提供传输层与网络层的访问控制机制，体现了系统管理的安全策略。但是防火墙技术缺乏对于应用层协议的支持，无法应对利用应用层协议缺陷发起的攻击行为。隔离网闸技术阻断对重要设施的直接访问，可以极大程度减少系统风险，但是隔离网闸的部署需要依赖于工业控制系统合理的层次划分与拓扑设计，而往往由于业务需要不能进行尽善尽美的结构设计。加密传输技术可以防止通讯信息遭受窃取与篡改，但是会加重信息处理的负担，会对工业控制系统通讯的实时性造成一定的影响，另外工业设备中的芯片处理能力也难以支持复杂的加密方法。入侵检测技术将网络中捕获的流量与已知的攻击特征模式进行匹配，识别出攻击行为，可作为其他安全技术的有力补充。但是该方法需要建立在已知攻击特征的基础之上，无法应对攻击特征未知的情况。Modbus通讯“白名单”可以实现应用层协议的解析，能够精确地对应用层协议的关键字段结合实际的业务需要进行访问控制，最大程度地减少风险敞口，但是这种方法仍然无法完全确保Modbus TCP通讯的安全性，因为攻击者可以利用和白名单策略中相同的策略，构造Modbus TCP通讯的攻击序列。

综上，现有的防护方法从设置合理的安全策略、划分科学的拓扑结构、通讯加密传输、入侵检测、应用层协议过滤等几个方面，构建了工业控制系统安全防御的体系。不过，在该体系统中仍然存在着一个主要的缺失，就是如何辨识未知特征的攻击或者入侵行为，也不能拦截恰好利用防火墙规则或者“白名单”访问控制表发起的攻击行为。

为解决该问题本文提出选取Modbus功能码这一重要字段作为研究对象，设计了能够处理包含不同数目Modbus功能码的序列的预处理方法，结合支持向量机算法，提出了一种基于支持向量机的Modbus TCP通讯功能码序列异常检测方法，并采用微粒子群算法对模型参数进行寻优，建立了工业控制系统中Modbus TCP通讯的异常检测模型，以实现辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。

发明内容

针对在背景技术中提出几种Modbus TCP通讯安全防护技术存在的无法识别特征未知的攻击行为的问题，本文发明了一种基于PSO-SVM的Modbus通讯异常检测方法。

本发明为实现上述目的所采用的技术方案是：一种基于SVM的Modbus TCP通讯的异常检测方法，包括以下步骤：

流量采集：利用Linux内核的Netfilter机制采集工业控制系统中ModbusTCP通讯流量，按照会话进行存储并且剔除不必要的信息，转化为仅包含Modbus功能码的序列；

数据预处理：设定固定长度的滑动窗口，获取所有不同滑动窗口长度的短模式序列构成集合，按照其中每一个元素出现的频率，处理正常与异常Modbus TCP通讯流量中的功能码序列，从而转化成为长度一致的SVM能够处理的向量形式；

PSO优化：将初始化的粒子传递给SVM异常识别模型作为参数惩罚因子C和高斯径向基参数σ，利用SVM模型返回的交叉验证意义下的分类准确率，作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新；

SVM异常检测：利用PSO流程传递的参数，建立C-SVM流程模型进行异常检测，并且返回交叉验证意义下的分类正确率。

所述流量采集包括以下步骤：