《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計 > 設(shè)計應(yīng)用 > 基于機器學(xué)習的Modbus_TCP通信異常檢測方法研究
基于機器學(xué)習的Modbus_TCP通信異常檢測方法研究
2020年信息技術(shù)與網(wǎng)絡(luò)安全第10期
陳鑫龍1,,陳志翔1,,2,周小方2,,3
1.閩南師范大學(xué) 計算機學(xué)院,,福建 漳州363000,; 2.數(shù)據(jù)科學(xué)與智能應(yīng)用福建省高校重點實驗室,福建 漳州363000,; 3.閩南師范大學(xué) 物理與信息工程學(xué)院,,福建 漳州363000
摘要: 針對工業(yè)控制系統(tǒng)中Modbus_TCP協(xié)議存在的諸多安全隱患問題,提出了基于機器學(xué)習的Modbus_TCP通信異常檢測方法,,分析了Modbus_TCP報文類型與結(jié)構(gòu)特點,,介紹了機器學(xué)習中決策樹分類模型算法的實現(xiàn)過程,建立了Modbus_TCP協(xié)議的模擬通信,,使用了Scapy工具構(gòu)造偽報文實現(xiàn)異常檢測,。設(shè)置了樸素貝葉斯分類模型、邏輯回歸分類模型和傳統(tǒng)支持向量機分類模型的實驗與之對比,,并且對模型的準確率,、誤報率、漏報率和時間性能進行分析,。分析結(jié)果表明,,決策樹分類模型準確率高,消耗時間短,,具有一定的優(yōu)越性,。
中圖分類號: TP309
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.10.011
引用格式: 陳鑫龍,陳志翔,周小方. 基于機器學(xué)習的Modbus_TCP通信異常檢測方法研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,,2020,,39(10):55-60.
Research on Modbus_TCP communication anomaly detection method based on machine learning
Chen Xinlong1,Chen Zhixiang1,,2,,Zhou Xiaofang2,3
1.School of Computer Science,,Minnan Normal University,,Zhangzhou 363000,China,; 2.Key Laboratory of Data Science and Intelligence Application,,Zhangzhou 363000,China,; 3.School of Physics and Information Engineering,,Minnan Normal University,Zhangzhou 363000,,China
Abstract: Aiming at the hidden security problems of Modbus_TCP protocol in industrial control systems, this paper proposes a Modbus_TCP communication anomaly detection method based on machine learning,analyzes the types and structural characteristics of Modbus_TCP messages, introduces the implementation process of decision tree classification model algorithm in machine learning, establishes the simulation communication of Modbus_TCP protocol, and uses Scapy tool to construct pseudo message to realize anomaly detection. The experiments of Naive Bayes classification model, logistic regression classification model and traditional support vector machine classification model are also set up to compare with the proposed method, and the accuracy, false positive rate, false negative rate and time performance of the models are analyzed. The analysis results show that the decision tree classification model has high accuracy, short time consumption, and certain advantages.
Key words : Modbus_TCP protocol,;industrial control system;decision tree algorithm,;anomaly detection

0 引言

    隨著兩化融合進程的不斷加速,,工業(yè)控制系統(tǒng)逐漸接入互聯(lián)網(wǎng),使得原本的“工業(yè)信息孤島”變得不再封閉,,但同時也不再安全,。近幾年,全球工控安全事件頻發(fā),,不僅帶來了巨大的經(jīng)濟損失,,同時也給人們的生活環(huán)境及人身安全帶來了巨大的影響。Modbus協(xié)議是工業(yè)控制系統(tǒng)(Industrial Control System,,ICS)中的一種常用的通信協(xié)議,,其具有實現(xiàn)簡單、部署方式多樣,、標準公開等諸多優(yōu)勢,,但同時也存在缺乏認證機制、授權(quán)機制,、加密機制和功能碼濫用等諸多缺陷,,給系統(tǒng)帶來了一定的安全威脅。

    國內(nèi)外許多專家學(xué)者對這一領(lǐng)域進行了研究,,EREZ N等人提出了基于有限自動機(Deterministic Finite Automaton,,DFA)算法的異常檢測模型[1],,該方法將數(shù)據(jù)包的每個字段都作為樣本特征,進行深度檢測,,雖然可以有效地識別出異常數(shù)據(jù),,但是消耗了大量的時間資源。詹靜等人設(shè)計了一種新的可信Modbus/TCP通信協(xié)議[2],,提高了使用專用通信協(xié)議的ICS網(wǎng)絡(luò)安全性,,但是該協(xié)議的實現(xiàn)需要提供可信硬件模塊,而且對協(xié)議進行認證也會影響通信的時間性能,。GOLDENBERG N等人提出了以寄存器值作為特征的異常檢測模型[3],,以寄存器值是否處于正常值域范圍來判斷數(shù)據(jù)是否正常,但此模型的檢測方法過于片面,,忽略了Modbus_TCP協(xié)議通信過程中功能碼字段的重要性,。尚文利等人設(shè)計了一種粒子群優(yōu)化算法(Partical Swarm Optimization,PSO)進行參數(shù)尋優(yōu)的PSO-SVM算法[4],,通過功能碼的頻率識別Modbus_TCP的異常流量,,但該方法只考慮功能碼的作用,忽略了寄存器地址與功能碼之間的對應(yīng)關(guān)系,。李超等人提出了單類支持向量機的算法[5],,該研究提取功能碼和寄存器地址的組合對序列作為特征進行異常檢測,,分類效果顯著,,但是該方法數(shù)據(jù)預(yù)處理過程復(fù)雜,需要對數(shù)據(jù)集進行歸一化處理才能進行模型訓(xùn)練,,易造成時間資源的浪費,。




本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000003141




作者信息:

陳鑫龍1,陳志翔1,,2,,周小方2,3

(1.閩南師范大學(xué) 計算機學(xué)院,,福建 漳州363000,;

2.數(shù)據(jù)科學(xué)與智能應(yīng)用福建省高校重點實驗室,福建 漳州363000,;

3.閩南師范大學(xué) 物理與信息工程學(xué)院,,福建 漳州363000)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。