基于OCSVM的工業(yè)控制系統(tǒng)入侵檢測(cè)算法研究.pdf

1、工業(yè)控制系統(tǒng)在設(shè)計(jì)之初，主要考慮的是生產(chǎn)的可靠性和穩(wěn)定性，并未將信息安全作為主要的設(shè)計(jì)指標(biāo)。但隨著信息化與工業(yè)化的深度融合以及以太網(wǎng)技術(shù)在工控系統(tǒng)中的應(yīng)用，在拓展了工控系統(tǒng)發(fā)展空間的同時(shí)，也帶來(lái)了工控系統(tǒng)信息安全等問(wèn)題。造成工控系統(tǒng)信息安全脆弱性的一個(gè)重要原因是工業(yè)通信協(xié)議的脆弱性，這些協(xié)議在設(shè)計(jì)之初，并沒(méi)有任何安全加密機(jī)制，不要求任何認(rèn)證，便可以在系統(tǒng)間進(jìn)行通信。然而，現(xiàn)有的信息安全技術(shù)不能直接應(yīng)用于工控系統(tǒng)中，必須針對(duì)工控系統(tǒng)的特點(diǎn)

2、，找到適合工控系統(tǒng)的安全技術(shù)。本文重點(diǎn)研究保障Modbus通信安全，提出一種基于單類支持向量機(jī)（OCSVM）的工控系統(tǒng)入侵檢測(cè)算法。
　　本文首先從Modbus協(xié)議入手，介紹了Modbus TCP協(xié)議及其存在的設(shè)計(jì)缺陷和安全問(wèn)題，重點(diǎn)分析了Modbus TCP的數(shù)據(jù)包結(jié)構(gòu)，對(duì)工業(yè)數(shù)據(jù)特征進(jìn)行選擇。結(jié)合主成分分析原理對(duì)所選擇的特征進(jìn)行特征提取，降低了數(shù)據(jù)的復(fù)雜度。工控系統(tǒng)一般情況下，均長(zhǎng)期穩(wěn)定地工作在正常狀態(tài)下，致使工業(yè)數(shù)據(jù)的特點(diǎn)是

3、正常數(shù)據(jù)多，異常數(shù)據(jù)少，兩種數(shù)據(jù)樣本不均衡，很難建立入侵檢測(cè)模型。OCSVM是在支持向量機(jī)算法的基礎(chǔ)上發(fā)展起來(lái)了，只需要一類樣本便可以訓(xùn)練模型，而且對(duì)噪聲數(shù)據(jù)具有魯棒性。本文利用OCSVM訓(xùn)練正常的工業(yè)數(shù)據(jù)，得到工控系統(tǒng)入侵檢測(cè)模型，具有良好的泛化能力，能夠有效地識(shí)別未知攻擊。針對(duì)入侵檢測(cè)算法存在的檢測(cè)準(zhǔn)確率低、模型訓(xùn)練時(shí)間長(zhǎng)、誤報(bào)率、漏報(bào)率高等問(wèn)題，本文利用粒子群優(yōu)化（PSO）算法對(duì)入侵檢測(cè)模型的參數(shù)和結(jié)構(gòu)進(jìn)行了優(yōu)化，粒子群優(yōu)化算法快

4、速收斂的特性，大大降低了參數(shù)的尋優(yōu)時(shí)間，從而有效降低了OCSVM的訓(xùn)練時(shí)間，而且利用粒子群優(yōu)化算法優(yōu)化參數(shù)的同時(shí)也優(yōu)化了模型結(jié)構(gòu)，降低了入侵檢測(cè)模型的復(fù)雜程度，在降低了誤報(bào)率和漏報(bào)率的同時(shí)，有效地提高了入侵檢測(cè)模型的檢測(cè)準(zhǔn)確率，滿足工控系統(tǒng)對(duì)入侵檢測(cè)算法準(zhǔn)確性、可靠性、高效性的要求。
　　工業(yè)數(shù)據(jù)樣本是一個(gè)不斷積累的過(guò)程，入侵檢測(cè)模型要不斷的更新，提出一種簡(jiǎn)單的OCSVM增量學(xué)習(xí)檢測(cè)算法，在保留原有系統(tǒng)歷史學(xué)習(xí)的基礎(chǔ)上，根據(jù)新增樣