[发明专利]基于OCSVM双轮廓模型的ModbusTCP通信行为异常检测方法有效

专利信息
申请号: 201410699413.3 申请日: 2014-11-26
公开(公告)号: CN105704103B 公开(公告)日: 2017-05-10
发明(设计)人: 尚文利;万明;李琳;曾鹏;于海斌 申请(专利权)人: 中国科学院沈阳自动化研究所
主分类号: H04L29/06 分类号: H04L29/06
代理公司: 沈阳科苑专利商标代理有限公司21002 代理人: 徐丽
地址: 110016 *** 国省代码: 辽宁;21
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 基于 ocsvm 双轮 模型 modbus tcp 通信 行为 异常 检测 方法
【权利要求书】:

1.一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,包括以下步骤:

特征提取:分别采集工业控制系统中Modbus TCP正常通信流量和异常通信流量,并分别进行存储并剔除不必要的信息,最终转化为仅包含Modbus功能码的两个序列;

数据预处理:根据需要设定短序列的长度r,分别以长度为r的滑动窗口循环处理Modbus功能码的两个序列,分别将Modbus功能码的两个序列转换为若干个长度为r的短序列,去除其中重复的短序列,获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM正常通信特征向量和OCSVM异常通信特征向量;

建模:将OCSVM正常通信特征向量和OCSVM异常通信特征向量分别导入到matlab中,通过matlab调动libsvm工具箱分别生成正轮廓OCSVM模型和负轮廓OCSVM模型;

PSO优化:分别对正轮廓OCSVM模型和负轮廓OCSVM模型进行参数优化:将初始化的粒子传递给正轮廓OCSVM模型/负轮廓OCSVM模型作为OCSVM固有参数v和高斯径向基参数g,将正轮廓OCSVM模型/负轮廓OCSVM模型返回的交叉验证意义下的分类正确率作为PSO优化模型中的适应度值,并据此进行粒子群迭代更新;

双轮廓OCSVM异常检测:分别利用最优的OCSVM固有参数ν和高斯径向基参数g,建立正轮廓OCSVM模型和负轮廓OCSVM模型进行异常检测,并且分别返回交叉验证意义下的分类正确率;

双单类支持向量机协同判别规则:若正轮廓OCSVM模型判定结果为“正常”,负轮廓OCSVM模型判定为“正常”,则最终结果为“正常”;若正轮廓OCSVM模型判定结果为“异常”,负轮廓OCSVM模型判定结果为“异常”,则判定为“异常”;对于两个判定结果不一致的情况,如果需要抑制“误警率”,则判定为“正常”,如果需要抑制“漏警率”,则判定为“异常”。

2.根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,所述流量采集包括以下步骤:

通过wireshark抓包软件抓取网络中的正常的Modbus TCP通信流量数据包;当系统受到病毒攻击时,通过wireshark抓包软件抓取网络中异常的Modbus TCP通信流量数据包;分别剔除正常数据包和异常数据包中不包含有Modbus功能码的数据包,得到Modbus TCP客户端和Modbus TCP服务器端的通信流量;剔除Modbus功能码之外的所有其他信息,并将Modbus功能码按照时间先后顺序进行排列。

3.根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,所述数据预处理包括以下步骤:

根据需要设定短序列的长度r,以长度为r的滑动窗口循环处理Modbus功能码,去除重复的序列,获得短序列集合;

在任意的Modbus功能码序列中,按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量;

对OCSVM特征向量进行归一化处理,使其中的各元素属于同一个数量级。

4.根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,所述PSO优化包括以下步骤:

设置PSO算法在终止条件始终无法满足情况下的最大迭代次数kmax及粒子速度与位置的限定范围;

随机生成种群并分别根据正轮廓OCSVM模型和负轮廓OCSVM模型对PSO算法进行参数初始化,其中每个粒子包含两个分量,分别为单类支持向量机固有参数v和高斯核函数核参数g,并对每一个粒子设置初始化速度和位置向量;

将粒子进行OCSVM训练并作为单类支持向量机的固有参数v和高斯核函数参数g,并将返回的交叉验证意义下的分类正确率作为粒子适应度值;

根据适应度值的情况不断更新个体极值及群体极值:一旦出现了更优的适应度值则更新相应的个体或者群体适应度值;

判断是否满足退出迭代条件:如果超过最大迭代次数或连续N次适应度值的变化没有超过设定阈值,则退出迭代过程,并且此时的群体极值即为所要求的最优参数,所述N为设定的最大连续限值;

按照粒子位置与速度更新公式进行粒子群更新,同时检查各个粒子的不同维度是否在允许的限度之内,如果超出允许的范围需要限定在事先设置的范围区间之内。

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院沈阳自动化研究所,未经中国科学院沈阳自动化研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201410699413.3/1.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top