基于pso-ocsvm的工業(yè)控制系統(tǒng)通信行為異常檢測方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全領(lǐng)域，具體的說是一種基于PSO-OCSVM的 工業(yè)控制系統(tǒng)通信行為異常檢測方法。
【背景技術(shù)】
[0002] 隨著信息化與工業(yè)化深度融合W及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越 多地采用通用協(xié)議、通用硬件和通用軟件。網(wǎng)絡(luò)化浪潮又將諸如嵌入式技術(shù)、多標(biāo)準(zhǔn)工業(yè)控 制網(wǎng)絡(luò)互聯(lián)、無線技術(shù)等新興技術(shù)融合進(jìn)來，從而拓展了工業(yè)控制的發(fā)展空間，帶來新的發(fā) 展機(jī)遇，同時(shí)也帶來了工業(yè)控制系統(tǒng)的信息安全等問題。
[000引 2010年"震網(wǎng)"病毒事件破壞了伊朗核設(shè)施，震驚全球。運(yùn)標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng) "軟攻擊"階段升級(jí)為直接攻擊電力、金融、通信、核設(shè)施等核屯、要害系統(tǒng)的"硬摧毀"階段。 應(yīng)對(duì)高級(jí)持續(xù)性威脅（Advanced Persistent T虹eat, APT)攻擊已成為確保國家關(guān)鍵基礎(chǔ) 設(shè)施安全，保障國家安全的核屯、問題。
[0004] 入侵檢測系統(tǒng)能使在入侵攻擊對(duì)系統(tǒng)產(chǎn)生危害前檢測到攻擊，并發(fā)出報(bào)警，啟動(dòng) 防御措施。目前，入侵檢測主要分為兩類：誤用檢測和異常檢測。誤用檢測是通過與已知 的異常行為間的匹配程度來實(shí)現(xiàn)入侵檢測，通常也稱為是基于先驗(yàn)知識(shí)的入侵檢測；而異 常檢測是通過建立正常行為模型來尋找偏離的異常行為，因此也被稱為基于行為的入侵檢 。異常檢測和誤用檢測相比，漏報(bào)率降低，并且可W檢測出W前沒有出現(xiàn)過的入侵行為， 但異常檢測誤報(bào)警率較高。 陽〇化]工業(yè)控制系統(tǒng)的異常檢測技術(shù)可W分為=類：基于統(tǒng)計(jì)的方法、基于知識(shí)的方法 和基于機(jī)器學(xué)習(xí)的方法。支持向量機(jī)方法就是基于機(jī)器學(xué)習(xí)的方法之一。支持向量機(jī)是在 統(tǒng)計(jì)學(xué)習(xí)理論的基礎(chǔ)上發(fā)展出來的一種新的模式識(shí)別方法，在解決小樣本問題、非線性及 高維模式識(shí)別問題中表現(xiàn)出了許多特有的優(yōu)勢。傳統(tǒng)的支持向量機(jī)算法適用于多分類問 題，即需要正負(fù)兩類樣本訓(xùn)練分類模型，但是SCADA、DCS等工業(yè)控制系統(tǒng)數(shù)據(jù)具有異常樣 本少、維度高、關(guān)聯(lián)性強(qiáng)等特點(diǎn)，多數(shù)為正常數(shù)據(jù)，故障或臨界狀態(tài)的數(shù)據(jù)較少，而單類支持 向量機(jī)具有較少的計(jì)算時(shí)間，較少的數(shù)據(jù)樣本即可用于訓(xùn)練的優(yōu)點(diǎn)，更重要的是單類支持 向量機(jī)只需要一類樣本就可W訓(xùn)練異常檢測模型，對(duì)噪聲樣本數(shù)據(jù)具有魯棒性，能建立較 準(zhǔn)確的分類模型。單類支持向量機(jī)已被證明是一種有效的控制系統(tǒng)通信網(wǎng)絡(luò)入侵檢測的機(jī) 器學(xué)習(xí)的方法。
[0006] 在工業(yè)控制入侵檢測中，基于"白名單"規(guī)則的異常檢測方法能夠有效檢測單條通 信協(xié)議的異常行為，但無法檢測同時(shí)存在于多個(gè)數(shù)據(jù)包中的通信異常行為，基于通信模式 的異常檢測方法能夠彌補(bǔ)其不足。本文提出選取Mo化US功能碼運(yùn)一重要字段作為研究對(duì) 象，根據(jù)能夠處理包含不同數(shù)目Mo化US功能碼序列的預(yù)處理方法，結(jié)合單類支持向量機(jī)算 法，設(shè)計(jì)了一種利用粒子群算法（PSO)進(jìn)行參數(shù)尋優(yōu)的PSO-OCSVM模型的通信行為異常檢 測方法即只用一類樣本即可訓(xùn)練異常檢測模型，并采用粒子群算法對(duì)模型參數(shù)進(jìn)行優(yōu)化， 建立了工業(yè)控制系統(tǒng)中Mo化US TCP通信行為的異常檢測模型，W實(shí)現(xiàn)辨識(shí)防火墻與入侵檢 測系統(tǒng)未能識(shí)別的攻擊行為或者異常行為。

【發(fā)明內(nèi)容】

[0007] 針對(duì)在【背景技術(shù)】中提出SCADA、DCS等工業(yè)控制系統(tǒng)數(shù)據(jù)異常樣本少、維度高、關(guān) 聯(lián)性強(qiáng)等缺點(diǎn)，本發(fā)明提出一種基于PSO-OCSVM的工業(yè)控制系統(tǒng)通信行為異常檢測方法。
[0008] 本發(fā)明為實(shí)現(xiàn)上述目的所采用的技術(shù)方案是：一種基于PSO-OCSVM的工業(yè)控制系 統(tǒng)通信行為異常檢測方法，包括W下步驟：
[0009] 特征提取：抓取網(wǎng)絡(luò)中的Mo化US TCP通信流量數(shù)據(jù)包，剔除不包含有Mo化US功能 碼的數(shù)據(jù)包，統(tǒng)計(jì)Mo化US TCP客戶端和Mo化US TCP服務(wù)器端的通信流量；
[0010] 數(shù)據(jù)預(yù)處理：設(shè)定短序列的長度r，W長度為r的滑動(dòng)窗口循環(huán)處理Mcxlbus功能 碼，將Mcxlbus功能碼轉(zhuǎn)換為若干個(gè)長度為r的短序列，去除其中重復(fù)的短序列，獲得短序列 集合并按照每一個(gè)短序列出現(xiàn)的順序進(jìn)行排列構(gòu)造成OCSVM特征向量；
[0011] 建模：將OCSVM特征向量導(dǎo)入到matl油中，通過matl油調(diào)動(dòng)Iibsvm工具箱生成 OCSVM異常檢測模型；
[0012] PSO優(yōu)化：將初始化的粒子傳遞給OCSVM異常檢測模型作為OCSVM固有參數(shù)V和 高斯徑向基參數(shù)g，將OCSVM異常檢測模型返回的交叉驗(yàn)證意義下的分類準(zhǔn)確率作為PSO優(yōu) 化模型中的適應(yīng)度值，并據(jù)此進(jìn)行粒子群迭代更新，得到最優(yōu)的OCSVM固有參數(shù)V和高斯 徑向基參數(shù)g ;
[0013] PSO-OCSVM異常檢測：利用最優(yōu)的OCSVM固有參數(shù)V和高斯徑向基參數(shù)g，建立 PSO-OCSVM流程模型進(jìn)行異常檢測，并且返回交叉驗(yàn)證意義下的分類正確率。
[0014] 所述特征提取中，利用Wireshark抓取網(wǎng)絡(luò)中的Mo化US TCP通信流量數(shù)據(jù)包，只 保留Mo化US TCP通信流量數(shù)據(jù)包中的Mo化US功能碼。
[0015] 所述數(shù)據(jù)預(yù)處理包括W下步驟：
[0016] 根據(jù)需要設(shè)定短序列的長度r，W長度為r的滑動(dòng)窗口循環(huán)處理Mcxlbus功能碼，去 除重復(fù)的序列，獲得短序列集合；
[0017] 按照每一個(gè)短序列出現(xiàn)的順序進(jìn)行排列構(gòu)造成OCSVM特征向量；
[0018] 對(duì)OCSVM特征向量進(jìn)行歸一化處理，使其中的各元素屬于同一個(gè)數(shù)量級(jí)。
[0019] 所述PSO優(yōu)化算法包括W下步驟：
[0020] 設(shè)置PSO算法在終止條件始終無法滿足情況下的最大迭代次數(shù)kmax及粒子速度 與位置的限定范圍；
[0021] 隨機(jī)生成種群并根據(jù)OCSVM異常檢測模型對(duì)PSO算法進(jìn)行參數(shù)初始化，其中每個(gè) 粒子包含兩個(gè)分量，分別為單類支持向量機(jī)固有參數(shù)V和高斯核函數(shù)核參數(shù)g，并對(duì)每一 個(gè)粒子設(shè)置初始化速度和位置向量；
[0022] 將粒子進(jìn)行OCSVM訓(xùn)練并作為單類支持向量機(jī)的固有參數(shù)V和高斯核函數(shù)參數(shù) g，并將返回的交叉驗(yàn)證意義下的分類準(zhǔn)確率作為粒子適應(yīng)度值；
[0023] 根據(jù)適應(yīng)度值的情況不斷更新個(gè)體極值及群體極值：一旦出現(xiàn)了更優(yōu)的適應(yīng)度值 則更新相應(yīng)的個(gè)體或者群體適應(yīng)度值；
[0024] 判斷是否滿足退出迭代條件：如果超過最大迭代次數(shù)或連續(xù)N次適應(yīng)度值的變化 沒有超過0.0 l %，則退出迭代過程，并且此時(shí)的群體極值即為所要求的最優(yōu)參數(shù)，所述N為 設(shè)定的最大連續(xù)限值；
[0025] 按照粒子位置與速度更新公式進(jìn)行粒子群更新，同時(shí)檢查各個(gè)粒子的不同維度是 否在允許的限度之內(nèi)，如果超出允許的范圍需要限定在事先設(shè)置的范圍區(qū)間之內(nèi)。
[0026] 所述PSO-OCSVM異常檢測包括W下步驟：
[0027] 接受PSO優(yōu)化流程傳遞的粒子，將該粒子的兩個(gè)分量分別設(shè)置為單類支持向量機(jī) 的固有參數(shù)V和高斯核函數(shù)參數(shù)g;
[0028] 獲取正常與異常Mo化US TCP通信流量數(shù)據(jù)包集合，將正常的流量數(shù)據(jù)賦予+1類 別標(biāo)簽，異常流量數(shù)據(jù)賦予-1類別標(biāo)簽；
[0029] 構(gòu)造對(duì)偶問題求解單類支持向量機(jī)模型；
[0030] 構(gòu)造決策函數(shù)；
[0031] 根據(jù)決策函數(shù)和類別標(biāo)簽計(jì)算交叉驗(yàn)證意義下的分類準(zhǔn)確率；
[0032] 將分類準(zhǔn)確率返回PSO優(yōu)化流程中計(jì)算適應(yīng)度值，并作為粒子適應(yīng)度計(jì)算適應(yīng)度 值函數(shù)Fit (i)的取值。
[0033] 所述構(gòu)造對(duì)偶問題求解支持向量機(jī)模型為：
[00對(duì)其中，曰=(01，曰2，...，曰。）表示拉格朗日算子，K(Xi，x,)表示高斯核函數(shù)，得解 a'.=(巧0'
[0036] 所述決策函數(shù)為：
[0039] 其中，P請(qǐng)單類支持向量機(jī)的最終決策函數(shù)的補(bǔ)償值，SgnO表示符號(hào)函數(shù)， K(Xi，Xj)表示高斯核函數(shù)。
[0040] 所述計(jì)算適應(yīng)度值函數(shù)Fit (i)的取值，具體為：
[0041] 將當(dāng)前的分類準(zhǔn)確率與當(dāng)前的適應(yīng)度值進(jìn)行比較，如果分類準(zhǔn)確率大于適應(yīng)度 值，則將分類準(zhǔn)確率賦予函數(shù)Fit (i);否則保持當(dāng)前的適應(yīng)度值。
[0042] 所述計(jì)算交叉驗(yàn)證意義下的分類準(zhǔn)確率采用5折校驗(yàn)方式，具體為：將訓(xùn)練集合 均分成5份，每次用其中的4份訓(xùn)練異常檢測模型，用剩余的一份作為測試集合驗(yàn)證檢測效 果。
[0043] 本發(fā)明具有W下優(yōu)點(diǎn)及有益效果：
[0044] 1.本發(fā)明選取Mo化US功能碼運(yùn)一重要字段作為研究對(duì)象，根據(jù)能夠處理包含不 同數(shù)目Mo化US功能碼的序列的預(yù)處理方法，提出了一種基于單類支持向量機(jī)的Mo化US功 能碼序列異常檢測方法，該模型特別適合于處理小樣本數(shù)據(jù)的分類問題。
[0045] 2.本發(fā)明采用粒子群算法對(duì)OCSVM異常檢測模型參數(shù)進(jìn)行尋優(yōu)，該方法通過粒子 群的迭代更新，避免通過網(wǎng)格化方式對(duì)OCSVM參數(shù)進(jìn)行尋優(yōu)，從而將效率提升了 10倍左右。
[0046] 3.本發(fā)明提出的PSO-OCSVM方法建立了工業(yè)控制系統(tǒng)中通信行為的異常檢測模 型，可W辨識(shí)防火墻與入侵檢測系統(tǒng)未能識(shí)別的攻擊行為或者異常行為。
【附圖說明】 陽047] 圖1是Mo化US TCP應(yīng)用層數(shù)據(jù)單元結(jié)構(gòu)； W48] 圖2基于PSO-OCSVM的工業(yè)通信異常檢測算法整體框架圖；
[0049] 圖3是PSO-OCSVM異常檢測模型。
【具體實(shí)施方式】
[0050] 下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說明。
[0051] 如圖2、3所示，基于OCSVM的通信行為異常檢測方法，包括：
[0052] a.特征提取及預(yù)處理部分
[0053] IMcxlbus TCP報(bào)文格式在保留了 Mcxlbus全部功能的基礎(chǔ)上，擴(kuò)展了一些數(shù)據(jù)結(jié) 構(gòu)。Mo化US TCP的報(bào)文格式主要包括S個(gè)部分：MBAP報(bào)文