本发明专利技术针对工控网络的安全性问题,提出了一种基于PSO‑SVDD的Powerlink工控协议的异常检测方法。具体为针对Powerlink工控网络的特殊性,从工控安全角度对Powerlink通信系统进行了安全性分析,并通过揭示可能遭到的异常攻击行为,从通信网络中提取数据流量特征,建立支持向量数据描述(SVDD)异常检测算法模型,鉴别异常网络通信流量。同时采用改进的粒子群算法(PSO)优化模型参数,进一步提高了检测精度。该方法能有效的检测出异常的恶意攻击行为,提高工控通信网络的安全运行。
Anomaly detection method based on pso-svdd for industrial control protocol of Powerlink
【技术实现步骤摘要】
基于PSO-SVDD的Powerlink工控协议异常检测方法
本专利技术涉及一种基于PSO-SVDD的Powerlink工控协议的异常检测方法,通过分析Powerlink工控网络的脆弱性以及可能遭遇的异常攻击行为,提取通信流量数据特征,建立异常检测模型,属于工业控制网络安全领域。
技术介绍
随着信息化和网络化的发展,工业控制系统(IndustrialControlSysterms,ICS)也逐渐向信息网络化发展,由原来的孤立封闭环境变成开放式环境,工控网络安全面临越来越多的恶意攻击威胁。近几年,工业控制系统中网络攻击事件逐步增加,给工业生产造成了重大损失。工业控制系统被广泛用于国家重要基础设施中,如电力、石化、交通、能源等领域,保障工控网络安全显得尤为重要,关系到国家昌盛,人民幸福。工控系统通信协议的安全问题主要包括两方面,一个是通信协议本身存在的缺陷问题,一个是在协议实现中遭受攻击。针对具体某个协议遭受攻击的安全性问题,入侵检测技术对其具有良好的检测效果。入侵检测可以在防火墙的基础上进一步检测入侵攻击行为,是一种安全可靠的网络监测途径。EthernetPowerlink是一种在标准以太网IEEE802.3基础上建立起来的具有高实时性的高速、开源的工业控制网络通信协议。Powerlink采用了典型的主/从通信模式,主要在CNC与机器人、高速多轴系统、航空与高铁测试系统的时序分析等领域应用前景广泛。由于传统网络的脆弱性以及Powerlink自身存在的一些安全漏洞,使Powerlink工业网络易受到被攻击的安全风险和威胁。目前,针对Powerlink网络的安全问题,国内外学者仅对openSAFETY在Powerlink上的实现探讨研究,未对其进行安全漏洞以及可能遭到的攻击行为进行分析,也未对其进行入侵检测方面的研究,Powerlink存在严重的安全问题。针对以上问题,本文通过对相关工控网络的安全性研究及对Powerlink协议规范的深度解析,对Powerlink网络的安全性进行了深入的研究,建立异常检测模型,实时检测异常攻击行为。通过分析Powerlink工控网络的典型攻击行为,分析通信网络数据流量特征,提取数据特征向量,建立SVDD异常检测分类模型,并通过改进的粒子群算法对模型进行参数寻优,对Powerlink网络进行实时监控,大大提高了通信网络的安全性。
技术实现思路
有鉴于此,本专利技术的目的是提供一种基于PSO-SVDD的Powerlink工控协议异常检测方法,实现了对Powerlink工控网络异常攻击行为的检测。本专利技术解决其技术问题所采用的技术方案是:一种基于PSO-SVDD的Powerlink工控协议的异常检测方法,包括以下步骤:特征提取:获取powerlink工控网络通讯流量数据包,并提取Powerlink工控协议数据的特征属性;数据预处理:按照属性的不同将数据分割成不同的序列,去除各序列中存在的冗余数据序列后,对每个序列里的数据进行排列构造成数据特征向量,并进行归一化处理;PSO优化:将初始化的粒子通过粒子群算法对参数惩罚因子C和高斯核函数参数g进行迭代得到最优参数,建立寻优模型;SVDD:将初始化后的特征向量数据集通过支持向量数据域描述算法进行分类检测,得到检测模型;PSO-SVDD:根据寻优模型和检测模型建立异常检测模型进行异常行为检测。所述特征提取以下步骤:使用Linux操作系统通过Libpcap库函数获取powerlink工控网络通讯流量数据包,根据协议规约提取所需的powerlink控协议数据的特征属性。所述提取Powerlink工控协议数据的特征属性具体为:提取节点的请求信息Preq、回复节点的信息Pres、异步起始报文SoA的相关数据特征:提取Preq、Pres、SoA中表示Powerlink工控协议的字节数据。所述归一化包括以下步骤:采用最小最大规范化方法将数据映射到[0,1]区间上,将不同单位和量纲的数据归一成统一的形式:其中,max和min分别表示某序列中数据的最大值、最小值;x表示输入向量,即数据特征向量;y表示输出向量,即归一化后的数据特征向量。所述PSO优化包括以下步骤:设置最大迭代次数Kmax、粒子位置和速度的限定范围;随机初始化一群粒子,粒子特征包括位置、速度、适应度值,惩罚因子C和高斯核函数g两个分量是待寻优的特征值;将粒子进行SVDD训练作为支持向量数据域描述的惩罚因子C和高斯核函数g,选取交叉验证的准确率作为粒子适应度值;如果个体或群体极值出现更大的适应度值,则更新个体和群体极值;如果迭代次数超过设定值Kmax或者连续N次适应度值低于某个阈值,则退出迭代过程,此时所求的群体极值即为最优参数;对粒子速度与位置以及惯性权重更新:每一轮更新结束后判定位置的范围,如果超出预设的范围则将其设定在允许的范围之中。所述支持向量数据域描述算法包括以下步骤:数据提取:获取初始化后的特征向量数据集,建立入侵检测网络的训练集数据和测试集数据;获取最优参数:接受PSO优化训练出的惩罚因子C和高斯核函数g的最优值;构造并求解对偶问题得出球心和半径;构造决策函数;根据构造的决策函数对描述通信行为的测试集进行分类预测。本专利技术具有以下有益效果及优点:1.本专利技术针对工业通信网络EthernetPowerlink面临的安全性问题,提出基于Powerlink通讯协议的异常检测方法。该方法采用SVDD算法建立异常检测分类模型,对通讯网络中大量存在的单类通讯流量进行有效的数据监测。2.本专利技术分析了EthernetPowerlink工控系统的安全性以及异常攻击行为的攻击模式,提出了针对Powerlink工控协议的异常检测特征提取方法,为后续Powerlink异常检测的研究提供了经验。3.本专利技术采用粒子群算法对SVDD异常检测模型进行参数寻优,并采用线性积分递减策略计算ω的值,该方法有利于尽快找到好的个体,使算法快速收敛,提高算法的优化性能。附图说明图1是基于PSO-SVDD的Powerlink工控协议异常检测的整体框架图;图2是PSO-SVDD异常检测模型。具体实施方式下面结合附图和实施例对本专利技术做进一步的详细说明。一种基于PSO-SVDD的Powerlink工控协议异常检测方法,包括以下步骤:脆弱性分析:根据powerlink工控协议的特点,分析powerlink通讯协议的脆弱性;攻击行为分析:根据powerlink工控协议的特点,分析powerlink通讯网络可能遭遇的攻击行为;特征提取:首先使用Linux操作系统通过Libpcap库函数进行C语言编程获取powerlink工控网络通讯流量数据包,并提取最能反映powerlink工控网络特点的正常数据特征属性;本文档来自技高网...
【技术保护点】
1.一种基于PSO-SVDD的Powerlink工控协议的异常检测方法,其特征在于,包括以下步骤:/n特征提取:获取powerlink工控网络通讯流量数据包,并提取Powerlink工控协议数据的特征属性;/n数据预处理:按照属性的不同将数据分割成不同的序列,去除各序列中存在的冗余数据序列后,对每个序列里的数据进行排列构造成数据特征向量,并进行归一化处理;/nPSO优化:将初始化的粒子通过粒子群算法对参数惩罚因子C和高斯核函数参数g进行迭代得到最优参数,建立寻优模型;/nSVDD:将初始化后的特征向量数据集通过支持向量数据域描述算法进行分类检测,得到检测模型;/nPSO-SVDD:根据寻优模型和检测模型建立异常检测模型进行异常行为检测。/n
【技术特征摘要】
1.一种基于PSO-SVDD的Powerlink工控协议的异常检测方法,其特征在于,包括以下步骤:
特征提取:获取powerlink工控网络通讯流量数据包,并提取Powerlink工控协议数据的特征属性;
数据预处理:按照属性的不同将数据分割成不同的序列,去除各序列中存在的冗余数据序列后,对每个序列里的数据进行排列构造成数据特征向量,并进行归一化处理;
PSO优化:将初始化的粒子通过粒子群算法对参数惩罚因子C和高斯核函数参数g进行迭代得到最优参数,建立寻优模型;
SVDD:将初始化后的特征向量数据集通过支持向量数据域描述算法进行分类检测,得到检测模型;
PSO-SVDD:根据寻优模型和检测模型建立异常检测模型进行异常行为检测。
2.根据权利要求1所述的基于PSO-SVDD的Powerlink工控协议的异常检测方法,其特征在于,所述特征提取以下步骤:
使用Linux操作系统通过Libpcap库函数获取powerlink工控网络通讯流量数据包,根据协议规约提取所需的powerlink控协议数据的特征属性。
3.根据权利要求1所述的基于PSO-SVDD的Powerlink工控协议的异常检测方法,其特征在于,所述提取Powerlink工控协议数据的特征属性具体为:
提取节点的请求信息Preq、回复节点的信息Pres、异步起始报文SoA的相关数据特征:
提取Preq、Pres、SoA中表示Powerlink工控协议的字节数据。
4.根据权利要求1所述的基于PSO-SVDD的Powerlink工控协议的异常检测方法,其特征在于,所述归一化包括以下步骤...
【专利技术属性】
技术研发人员:尚文利,赵剑明,刘贤达,尹隆,陈春雨,曾鹏,
申请(专利权)人:中国科学院沈阳自动化研究所,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。