[发明专利]基于OCSVM双轮廓模型的ModbusTCP通信行为异常检测方法有效
申请号: | 201410699413.3 | 申请日: | 2014-11-26 |
公开(公告)号: | CN105704103B | 公开(公告)日: | 2017-05-10 |
发明(设计)人: | 尚文利;万明;李琳;曾鹏;于海斌 | 申请(专利权)人: | 中国科学院沈阳自动化研究所 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 沈阳科苑专利商标代理有限公司21002 | 代理人: | 徐丽 |
地址: | 110016 *** | 国省代码: | 辽宁;21 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 ocsvm 双轮 模型 modbus tcp 通信 行为 异常 检测 方法 | ||
1.一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,包括以下步骤:
特征提取:分别采集工业控制系统中Modbus TCP正常通信流量和异常通信流量,并分别进行存储并剔除不必要的信息,最终转化为仅包含Modbus功能码的两个序列;
数据预处理:根据需要设定短序列的长度r,分别以长度为r的滑动窗口循环处理Modbus功能码的两个序列,分别将Modbus功能码的两个序列转换为若干个长度为r的短序列,去除其中重复的短序列,获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM正常通信特征向量和OCSVM异常通信特征向量;
建模:将OCSVM正常通信特征向量和OCSVM异常通信特征向量分别导入到matlab中,通过matlab调动libsvm工具箱分别生成正轮廓OCSVM模型和负轮廓OCSVM模型;
PSO优化:分别对正轮廓OCSVM模型和负轮廓OCSVM模型进行参数优化:将初始化的粒子传递给正轮廓OCSVM模型/负轮廓OCSVM模型作为OCSVM固有参数v和高斯径向基参数g,将正轮廓OCSVM模型/负轮廓OCSVM模型返回的交叉验证意义下的分类正确率作为PSO优化模型中的适应度值,并据此进行粒子群迭代更新;
双轮廓OCSVM异常检测:分别利用最优的OCSVM固有参数ν和高斯径向基参数g,建立正轮廓OCSVM模型和负轮廓OCSVM模型进行异常检测,并且分别返回交叉验证意义下的分类正确率;
双单类支持向量机协同判别规则:若正轮廓OCSVM模型判定结果为“正常”,负轮廓OCSVM模型判定为“正常”,则最终结果为“正常”;若正轮廓OCSVM模型判定结果为“异常”,负轮廓OCSVM模型判定结果为“异常”,则判定为“异常”;对于两个判定结果不一致的情况,如果需要抑制“误警率”,则判定为“正常”,如果需要抑制“漏警率”,则判定为“异常”。
2.根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,所述流量采集包括以下步骤:
通过wireshark抓包软件抓取网络中的正常的Modbus TCP通信流量数据包;当系统受到病毒攻击时,通过wireshark抓包软件抓取网络中异常的Modbus TCP通信流量数据包;分别剔除正常数据包和异常数据包中不包含有Modbus功能码的数据包,得到Modbus TCP客户端和Modbus TCP服务器端的通信流量;剔除Modbus功能码之外的所有其他信息,并将Modbus功能码按照时间先后顺序进行排列。
3.根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,所述数据预处理包括以下步骤:
根据需要设定短序列的长度r,以长度为r的滑动窗口循环处理Modbus功能码,去除重复的序列,获得短序列集合;
在任意的Modbus功能码序列中,按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量;
对OCSVM特征向量进行归一化处理,使其中的各元素属于同一个数量级。
4.根据权利要求1所述的基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法,其特征在于,所述PSO优化包括以下步骤:
设置PSO算法在终止条件始终无法满足情况下的最大迭代次数kmax及粒子速度与位置的限定范围;
随机生成种群并分别根据正轮廓OCSVM模型和负轮廓OCSVM模型对PSO算法进行参数初始化,其中每个粒子包含两个分量,分别为单类支持向量机固有参数v和高斯核函数核参数g,并对每一个粒子设置初始化速度和位置向量;
将粒子进行OCSVM训练并作为单类支持向量机的固有参数v和高斯核函数参数g,并将返回的交叉验证意义下的分类正确率作为粒子适应度值;
根据适应度值的情况不断更新个体极值及群体极值:一旦出现了更优的适应度值则更新相应的个体或者群体适应度值;
判断是否满足退出迭代条件:如果超过最大迭代次数或连续N次适应度值的变化没有超过设定阈值,则退出迭代过程,并且此时的群体极值即为所要求的最优参数,所述N为设定的最大连续限值;
按照粒子位置与速度更新公式进行粒子群更新,同时检查各个粒子的不同维度是否在允许的限度之内,如果超出允许的范围需要限定在事先设置的范围区间之内。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院沈阳自动化研究所,未经中国科学院沈阳自动化研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201410699413.3/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种基于水印的音频审计方法和系统
- 下一篇:应用访问权限控制方法及装置