基于OCSVM的工業(yè)控制系統(tǒng)入侵檢測算法研究.pdf

1、工業(yè)控制系統(tǒng)在設計之初，主要考慮的是生產(chǎn)的可靠性和穩(wěn)定性，并未將信息安全作為主要的設計指標。但隨著信息化與工業(yè)化的深度融合以及以太網(wǎng)技術在工控系統(tǒng)中的應用，在拓展了工控系統(tǒng)發(fā)展空間的同時，也帶來了工控系統(tǒng)信息安全等問題。造成工控系統(tǒng)信息安全脆弱性的一個重要原因是工業(yè)通信協(xié)議的脆弱性，這些協(xié)議在設計之初，并沒有任何安全加密機制，不要求任何認證，便可以在系統(tǒng)間進行通信。然而，現(xiàn)有的信息安全技術不能直接應用于工控系統(tǒng)中，必須針對工控系統(tǒng)的特點

2、，找到適合工控系統(tǒng)的安全技術。本文重點研究保障Modbus通信安全，提出一種基于單類支持向量機（OCSVM）的工控系統(tǒng)入侵檢測算法。
　　本文首先從Modbus協(xié)議入手，介紹了Modbus TCP協(xié)議及其存在的設計缺陷和安全問題，重點分析了Modbus TCP的數(shù)據(jù)包結構，對工業(yè)數(shù)據(jù)特征進行選擇。結合主成分分析原理對所選擇的特征進行特征提取，降低了數(shù)據(jù)的復雜度。工控系統(tǒng)一般情況下，均長期穩(wěn)定地工作在正常狀態(tài)下，致使工業(yè)數(shù)據(jù)的特點是

3、正常數(shù)據(jù)多，異常數(shù)據(jù)少，兩種數(shù)據(jù)樣本不均衡，很難建立入侵檢測模型。OCSVM是在支持向量機算法的基礎上發(fā)展起來了，只需要一類樣本便可以訓練模型，而且對噪聲數(shù)據(jù)具有魯棒性。本文利用OCSVM訓練正常的工業(yè)數(shù)據(jù)，得到工控系統(tǒng)入侵檢測模型，具有良好的泛化能力，能夠有效地識別未知攻擊。針對入侵檢測算法存在的檢測準確率低、模型訓練時間長、誤報率、漏報率高等問題，本文利用粒子群優(yōu)化（PSO）算法對入侵檢測模型的參數(shù)和結構進行了優(yōu)化，粒子群優(yōu)化算法快

4、速收斂的特性，大大降低了參數(shù)的尋優(yōu)時間，從而有效降低了OCSVM的訓練時間，而且利用粒子群優(yōu)化算法優(yōu)化參數(shù)的同時也優(yōu)化了模型結構，降低了入侵檢測模型的復雜程度，在降低了誤報率和漏報率的同時，有效地提高了入侵檢測模型的檢測準確率，滿足工控系統(tǒng)對入侵檢測算法準確性、可靠性、高效性的要求。
　　工業(yè)數(shù)據(jù)樣本是一個不斷積累的過程，入侵檢測模型要不斷的更新，提出一種簡單的OCSVM增量學習檢測算法，在保留原有系統(tǒng)歷史學習的基礎上，根據(jù)新增樣