[发明专利]基于OCSVM双轮廓模型的ModbusTCP通信行为异常检测方法

摘要

本发明基于OCSVM算法提出了工业控制系统通信行为的异常检测方法。该发明构建工业控制系统通信行为的正常行为轮廓模型和异常行为轮廓模型，即双轮廓模型，并通过微粒子群算法(PSO)进行参数优化，获得最优的入侵检测模型，识别出异常的Modbus TCP通信流量。该发明通过双轮廓检测模型的协同判别以降低误报率，提高了异常检测的效率及其可靠性，更适用于实际应用。

主权项

一种基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法，其特征在于，包括以下步骤：特征提取：分别采集工业控制系统中Modbus TCP正常通信流量和异常通信流量，并分别进行存储并剔除不必要的信息，最终转化为仅包含Modbus功能码的两个序列；数据预处理：根据需要设定短序列的长度r，分别以长度为r的滑动窗口循环处理Modbus功能码的两个序列，分别将Modbus功能码的两个序列转换为若干个长度为r的短序列，去除其中重复的短序列，获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM正常通信特征向量和OCSVM异常通信特征向量；建模：将OCSVM正常通信特征向量和OCSVM异常通信特征向量分别导入到matlab中，通过matlab调动libsvm工具箱分别生成正轮廓OCSVM模型和负轮廓OCSVM模型；PSO优化：分别对正轮廓OCSVM模型和负轮廓OCSVM模型进行参数优化：将初始化的粒子传递给正轮廓OCSVM模型/负轮廓OCSVM模型作为OCSVM固有参数v和高斯径向基参数g，将正轮廓OCSVM模型/负轮廓OCSVM模型返回的交叉验证意义下的分类正确率作为PSO优化模型中的适应度值，并据此进行粒子群迭代更新；双轮廓OCSVM异常检测：分别利用最优的OCSVM固有参数ν和高斯径向基参数g，建立正轮廓OCSVM模型和负轮廓OCSVM模型进行异常检测，并且分别返回交叉验证意义下的分类正确率；双单类支持向量机协同判别规则：若正轮廓OCSVM模型判定结果为“正常”，负轮廓OCSVM模型判定为“正常”，则最终结果为“正常”；若正轮廓OCSVM模型判定结果为“异常”，负轮廓OCSVM模型判定结果为“异常”，则判定为“异常”；对于两个判定结果不一致的情况，如果需要抑制“误警率”，则判定为“正常”，如果需要抑制“漏警率”，则判定为“异常”。