《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模拟设计 > 设计应用 > 基于机器学习的Modbus_TCP通信异常检测方法研究
基于机器学习的Modbus_TCP通信异常检测方法研究
2020年信息技术与网络安全第10期
陈鑫龙1,陈志翔1,2,周小方2,3
1.闽南师范大学 计算机学院,福建 漳州363000; 2.数据科学与智能应用福建省高校重点实验室,福建 漳州363000; 3.闽南师范大学 物理与信息工程学院,福建 漳州363000
摘要: 针对工业控制系统中Modbus_TCP协议存在的诸多安全隐患问题,提出了基于机器学习的Modbus_TCP通信异常检测方法,分析了Modbus_TCP报文类型与结构特点,介绍了机器学习中决策树分类模型算法的实现过程,建立了Modbus_TCP协议的模拟通信,使用了Scapy工具构造伪报文实现异常检测。设置了朴素贝叶斯分类模型、逻辑回归分类模型和传统支持向量机分类模型的实验与之对比,并且对模型的准确率、误报率、漏报率和时间性能进行分析。分析结果表明,决策树分类模型准确率高,消耗时间短,具有一定的优越性。
中圖分類(lèi)號(hào): TP309
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2020.10.011
引用格式: 陳鑫龍,陳志翔,周小方. 基于機(jī)器學(xué)習(xí)的Modbus_TCP通信異常檢測(cè)方法研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2020,39(10):55-60.
Research on Modbus_TCP communication anomaly detection method based on machine learning
Chen Xinlong1,Chen Zhixiang1,2,Zhou Xiaofang2,3
1.School of Computer Science,Minnan Normal University,Zhangzhou 363000,China; 2.Key Laboratory of Data Science and Intelligence Application,Zhangzhou 363000,China; 3.School of Physics and Information Engineering,Minnan Normal University,Zhangzhou 363000,China
Abstract: Aiming at the hidden security problems of Modbus_TCP protocol in industrial control systems, this paper proposes a Modbus_TCP communication anomaly detection method based on machine learning,analyzes the types and structural characteristics of Modbus_TCP messages, introduces the implementation process of decision tree classification model algorithm in machine learning, establishes the simulation communication of Modbus_TCP protocol, and uses Scapy tool to construct pseudo message to realize anomaly detection. The experiments of Naive Bayes classification model, logistic regression classification model and traditional support vector machine classification model are also set up to compare with the proposed method, and the accuracy, false positive rate, false negative rate and time performance of the models are analyzed. The analysis results show that the decision tree classification model has high accuracy, short time consumption, and certain advantages.
Key words : Modbus_TCP protocol;industrial control system;decision tree algorithm;anomaly detection

0 引言

    隨著兩化融合進(jìn)程的不斷加速,工業(yè)控制系統(tǒng)逐漸接入互聯(lián)網(wǎng),使得原本的“工業(yè)信息孤島”變得不再封閉,但同時(shí)也不再安全。近幾年,全球工控安全事件頻發(fā),不僅帶來(lái)了巨大的經(jīng)濟(jì)損失,同時(shí)也給人們的生活環(huán)境及人身安全帶來(lái)了巨大的影響。Modbus協(xié)議是工業(yè)控制系統(tǒng)(Industrial Control System,ICS)中的一種常用的通信協(xié)議,其具有實(shí)現(xiàn)簡(jiǎn)單、部署方式多樣、標(biāo)準(zhǔn)公開(kāi)等諸多優(yōu)勢(shì),但同時(shí)也存在缺乏認(rèn)證機(jī)制、授權(quán)機(jī)制、加密機(jī)制和功能碼濫用等諸多缺陷,給系統(tǒng)帶來(lái)了一定的安全威脅。

    國(guó)內(nèi)外許多專(zhuān)家學(xué)者對(duì)這一領(lǐng)域進(jìn)行了研究,EREZ N等人提出了基于有限自動(dòng)機(jī)(Deterministic Finite Automaton,DFA)算法的異常檢測(cè)模型[1],該方法將數(shù)據(jù)包的每個(gè)字段都作為樣本特征,進(jìn)行深度檢測(cè),雖然可以有效地識(shí)別出異常數(shù)據(jù),但是消耗了大量的時(shí)間資源。詹靜等人設(shè)計(jì)了一種新的可信Modbus/TCP通信協(xié)議[2],提高了使用專(zhuān)用通信協(xié)議的ICS網(wǎng)絡(luò)安全性,但是該協(xié)議的實(shí)現(xiàn)需要提供可信硬件模塊,而且對(duì)協(xié)議進(jìn)行認(rèn)證也會(huì)影響通信的時(shí)間性能。GOLDENBERG N等人提出了以寄存器值作為特征的異常檢測(cè)模型[3],以寄存器值是否處于正常值域范圍來(lái)判斷數(shù)據(jù)是否正常,但此模型的檢測(cè)方法過(guò)于片面,忽略了Modbus_TCP協(xié)議通信過(guò)程中功能碼字段的重要性。尚文利等人設(shè)計(jì)了一種粒子群優(yōu)化算法(Partical Swarm Optimization,PSO)進(jìn)行參數(shù)尋優(yōu)的PSO-SVM算法[4],通過(guò)功能碼的頻率識(shí)別Modbus_TCP的異常流量,但該方法只考慮功能碼的作用,忽略了寄存器地址與功能碼之間的對(duì)應(yīng)關(guān)系。李超等人提出了單類(lèi)支持向量機(jī)的算法[5],該研究提取功能碼和寄存器地址的組合對(duì)序列作為特征進(jìn)行異常檢測(cè),分類(lèi)效果顯著,但是該方法數(shù)據(jù)預(yù)處理過(guò)程復(fù)雜,需要對(duì)數(shù)據(jù)集進(jìn)行歸一化處理才能進(jìn)行模型訓(xùn)練,易造成時(shí)間資源的浪費(fèi)。




本文詳細(xì)內(nèi)容請(qǐng)下載:http://www.ihrv.cn/resource/share/2000003141




作者信息:

陳鑫龍1,陳志翔1,2,周小方2,3

(1.閩南師范大學(xué) 計(jì)算機(jī)學(xué)院,福建 漳州363000;

2.數(shù)據(jù)科學(xué)與智能應(yīng)用福建省高校重點(diǎn)實(shí)驗(yàn)室,福建 漳州363000;

3.閩南師范大學(xué) 物理與信息工程學(xué)院,福建 漳州363000)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容