一种基于IA-SVM的IEC102协议通讯行为异常检测方法和系统技术方案

本发明专利技术公开了一种基于IA

【技术实现步骤摘要】
一种基于IA
‑
SVM的IEC102协议通讯行为异常检测方法和系统


[0001]本专利技术属于工业控制网络信息安全领域，更具体地，涉及一种基于IA
‑
SVM的IEC102协议通讯行为异常检测方法和系统。

技术介绍

[0002]随着工业化和信息化、制造业与互联网的深度融合，工控系统面临比传统IT系统更为严峻的内外部威胁，电力等多个工业行业的工控系统信息安全事故频发，如2014年的Havex病毒，劫持电力工控设备，阻断电力供应，造成恶劣影响，这也意味着工业控制网络信息安全已经成为企业安全乃至国家安全的重要基石。
[0003]IEC102协议作为一种广泛应用于电能计量系统主站和电能量采集终端等工控领域的通讯规约，其通讯安全直接关系到发电企业、电网企业及电力用户之间的利益。而IEC102协议采用的电能量数据文件传输的报文为明文，缺乏对数据报文的完整性检验，攻击者可通过截获、篡改或模拟报文的方式在通讯过程的任意阶段实现身份伪装，并向对侧发送虚假报文。而常用的工控防范措施是对通用的互联网协议进行通讯行为异常检测，并根据预设的规则和特征值进行匹配过滤。
[0004]然而，上述通讯行为异常检测方法存在一些不可忽略的技术缺陷：第一，其工作过程需要依赖根据经验预设的规则和特征值，无法对工业控制网络中的IEC102协议异常通讯行为进行检测；第二，其异常检测模型参数不够优化，导致通讯行为异常检测率偏低。

技术实现思路

[0005]针对现有技术的以上缺陷或改进需求，本专利技术提供了一种基于IA
‑
SVM的IEC102协议通讯行为异常检测方法，其目的在于，解决现有通讯行为异常检测方法中存在的无法对工业控制网络中的IEC102协议异常通讯行为进行检测的技术问题，以及由于异常检测模型参数不够优化，导致通讯行为异常检测率偏低的技术问题。
[0006]为实现上述目的，按照本专利技术的一个方面，提供了一种基于IA
‑
SVM的IEC102协议通讯行为异常检测方法，包括以下步骤：
[0007](1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；
[0008](2)将步骤(1)得到的功能码序列输入训练好的IA
‑
SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。
[0009]优选地，IEC102协议通讯数据包的传输规则为非平衡式，通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类，功能码位于通讯数据包的控制域字段Bit3
‑
Bit0中，用于执行复位链路、请求指定数据、请求数据传输、应答数据、以及肯定与否定确认等指令。
[0010]优选地，IA
‑
SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型。
[0011]优选地，IA参数寻优模型的具体结构为：
[0012]第一层是粒子混沌层，输入为N个粒子组成的随机粒子群和IEC102协议数据集S，输出为对随机获取的粒子群进行混沌处理后的粒子群X＝(X1,X2,
…
,X
N
)和粒子群X中每个粒子X
i
的适应度值f(X
i
)，其中X
i
为二维向量(C
i
,σ
i
)，且有i∈[1,N]，C
i
表示粒子X
i
的SVM参数惩罚因子，σ
i
表示粒子X
i
的径向基核函数，N为任意自然数。
[0013]第二层是粒子克隆变异层，输入为第一层输出的粒子群X和粒子群X中每个粒子X
i
的适应度值f(X
i
)，该层选择所有适应度值中，大于所有适应度值的平均值的所有适应度值所对应的粒子(即较优的一些粒子)进行克隆与变异操作，输出为新粒子群G*；
[0014]第三层是择优迭代层，其输入为第二层输出的新粒子群G*，输出为每一次迭代后得到的适应度值f(X
i
)中的最大值f(X
max
)及其对应的粒子X
max
。
[0015]优选地，SVM异常检测模型的具体结构为：
[0016]第一层是参数接收层，其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子X
max
，输出为该轮迭代得到的分类准确率；
[0017]第二层是适应度值输出层，其输入为第一层输出的分类准确率，输出为该轮迭代得到的适应度值f(X
i
)。
[0018]优选地，IA
‑
SVM通讯行为异常检测模型是通过以下步骤训练得到的：
[0019](2
‑
1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；
[0020](2
‑
2)对步骤(2
‑
1)获取的功能码序列进行循环切割处理，以得到多个长度相同的新功能码序列，所有新功能码序列构成IEC102协议数据集S；
[0021](2
‑
3)随机生成一个粒子群，对粒子群进行混沌处理，以得到混沌处理后的粒子群X＝(X1,X2,
…
,X
N
)，粒子群X中的粒子X
i
为二维向量(C
i
,σ
i
)；
[0022](2
‑
4)将步骤(2
‑
3)得到的每个粒子X
i
中的C
i
和σ
i
作为SVM模型的参数，将步骤(2
‑
2)得到的IEC102协议数据集S输入该SVM模型中进行训练，以得到每个粒子X
i
对应的分类准确率；
[0023](2
‑
5)将步骤(2
‑
4)得到的每个粒子X
i
对应的分类准确率作为该粒子的适应度值f(X
i
)，以获得所有粒子的适应度值平均值f(X
ave
)，对适应度值f(X
i
)＞f(X
ave
)所对应的粒子进行克隆复制，以产生多个较优的粒子形成临时种群G；
[0024](2
‑
6)使用自适应小波变异函数对步骤(2
‑
5)得到的临时种群G中的所有粒子进行变异操作，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于IA
‑
SVM的IEC102协议通讯行为异常检测方法，其特征在于，包括以下步骤：(1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；(2)将步骤(1)得到的功能码序列输入训练好的IA
‑
SVM通讯行为异常检测模型中，以得到该连接的通讯行为检测结果。2.根据权利要求1所述的IEC102协议通讯行为异常检测方法，其特征在于，IEC102协议通讯数据包的传输规则为非平衡式，通讯数据包分为通讯连接、读时钟、读历史数据、读实时数据、读事件信息、对时六大类，功能码位于通讯数据包的控制域字段Bit3
‑
Bit0中，用于执行复位链路、请求指定数据、请求数据传输、应答数据、以及肯定与否定确认等指令。3.根据权利要求1或2所述的IEC102协议通讯行为异常检测方法，其特征在于，IA
‑
SVM通讯行为异常检测模型包括IA参数寻优模型和SVM异常检测模型。4.根据权利要求1至3中任意一项所述的IEC102协议通讯行为异常检测方法，其特征在于，IA参数寻优模型的具体结构为：第一层是粒子混沌层，输入为N个粒子组成的随机粒子群和IEC102协议数据集S，输出为对随机获取的粒子群进行混沌处理后的粒子群X＝(X1,X2,
…
,X
N
)和粒子群X中每个粒子X
i
的适应度值f(X
i
)，其中X
i
为二维向量(C
i
,σ
i
)，且有i∈[1,N]，C
i
表示粒子X
i
的SVM参数惩罚因子，σ
i
表示粒子X
i
的径向基核函数，N为任意自然数。第二层是粒子克隆变异层，输入为第一层输出的粒子群X和粒子群X中每个粒子X
i
的适应度值f(X
i
)，该层选择所有适应度值中，大于所有适应度值的平均值的所有适应度值所对应的粒子(即较优的一些粒子)进行克隆与变异操作，输出为新粒子群G*；第三层是择优迭代层，其输入为第二层输出的新粒子群G*，输出为每一次迭代后得到的适应度值f(X
i
)中的最大值f(X
max
)及其对应的粒子X
max
。5.根据权利要求1至4中任意一项所述的IEC102协议通讯行为异常检测方法，其特征在于，SVM异常检测模型的具体结构为：第一层是参数接收层，其输入为IEC102协议数据集S和每一次迭代后得到的最优粒子X
max
，输出为该轮迭代得到的分类准确率；第二层是适应度值输出层，其输入为第一层输出的分类准确率，输出为该轮迭代得到的适应度值f(X
i
)。6.根据权利要求5所述的IEC102协议通讯行为异常检测方法，其特征在于，IA
‑
SVM通讯行为异常检测模型是通过以下步骤训练得到的：(2
‑
1)从工业控制网络获取包含多个IEC102协议通讯数据包的连接，并对每个IEC102协议通讯数据包进行解析，以获取该IEC102协议通讯数据包对应的功能码，将该连接中所有通讯数据包所对应的功能码按时间先后顺序进行排列，从而构成该连接对应的功能码序列；(2
‑
2)对步骤(2
...

【专利技术属性】
技术研发人员：李肯立，李耀，刘楚波，肖国庆，段明星，唐卓，窦勇，廖清，
申请(专利权)人：湖南匡安网络技术有限公司，
类型：发明
国别省市：