文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.10.011
引用格式: 陳鑫龍,陳志翔,周小方. 基于機器學(xué)習的Modbus_TCP通信異常檢測方法研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,,2020,,39(10):55-60.
0 引言
隨著兩化融合進程的不斷加速,,工業(yè)控制系統(tǒng)逐漸接入互聯(lián)網(wǎng),使得原本的“工業(yè)信息孤島”變得不再封閉,,但同時也不再安全,。近幾年,全球工控安全事件頻發(fā),,不僅帶來了巨大的經(jīng)濟損失,,同時也給人們的生活環(huán)境及人身安全帶來了巨大的影響。Modbus協(xié)議是工業(yè)控制系統(tǒng)(Industrial Control System,,ICS)中的一種常用的通信協(xié)議,,其具有實現(xiàn)簡單、部署方式多樣,、標準公開等諸多優(yōu)勢,,但同時也存在缺乏認證機制、授權(quán)機制,、加密機制和功能碼濫用等諸多缺陷,,給系統(tǒng)帶來了一定的安全威脅。
國內(nèi)外許多專家學(xué)者對這一領(lǐng)域進行了研究,,EREZ N等人提出了基于有限自動機(Deterministic Finite Automaton,,DFA)算法的異常檢測模型[1],,該方法將數(shù)據(jù)包的每個字段都作為樣本特征,進行深度檢測,,雖然可以有效地識別出異常數(shù)據(jù),,但是消耗了大量的時間資源。詹靜等人設(shè)計了一種新的可信Modbus/TCP通信協(xié)議[2],,提高了使用專用通信協(xié)議的ICS網(wǎng)絡(luò)安全性,,但是該協(xié)議的實現(xiàn)需要提供可信硬件模塊,而且對協(xié)議進行認證也會影響通信的時間性能,。GOLDENBERG N等人提出了以寄存器值作為特征的異常檢測模型[3],,以寄存器值是否處于正常值域范圍來判斷數(shù)據(jù)是否正常,但此模型的檢測方法過于片面,,忽略了Modbus_TCP協(xié)議通信過程中功能碼字段的重要性,。尚文利等人設(shè)計了一種粒子群優(yōu)化算法(Partical Swarm Optimization,PSO)進行參數(shù)尋優(yōu)的PSO-SVM算法[4],,通過功能碼的頻率識別Modbus_TCP的異常流量,,但該方法只考慮功能碼的作用,忽略了寄存器地址與功能碼之間的對應(yīng)關(guān)系,。李超等人提出了單類支持向量機的算法[5],,該研究提取功能碼和寄存器地址的組合對序列作為特征進行異常檢測,,分類效果顯著,,但是該方法數(shù)據(jù)預(yù)處理過程復(fù)雜,需要對數(shù)據(jù)集進行歸一化處理才能進行模型訓(xùn)練,,易造成時間資源的浪費,。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000003141
作者信息:
陳鑫龍1,陳志翔1,,2,,周小方2,3
(1.閩南師范大學(xué) 計算機學(xué)院,,福建 漳州363000,;
2.數(shù)據(jù)科學(xué)與智能應(yīng)用福建省高校重點實驗室,福建 漳州363000,;
3.閩南師范大學(xué) 物理與信息工程學(xué)院,,福建 漳州363000)