基于加權(quán)SVM的工業(yè)控制網(wǎng)絡(luò)入侵檢測算法研究.pdf

1、隨著信息技術(shù)與功能需求的發(fā)展，工業(yè)控制系統(tǒng)越來越多地與企業(yè)網(wǎng)和互聯(lián)網(wǎng)相連接，形成了一個開放式的網(wǎng)絡(luò)環(huán)境。工控系統(tǒng)網(wǎng)絡(luò)化發(fā)展導(dǎo)致了系統(tǒng)安全風(fēng)險和入侵威脅不斷增加，面臨的網(wǎng)絡(luò)安全問題也更加突出。由于工控網(wǎng)絡(luò)系統(tǒng)環(huán)境的特殊性，傳統(tǒng)的IT信息安全技術(shù)不能直接應(yīng)用于工業(yè)控制網(wǎng)絡(luò)的安全防護。本文根據(jù)工業(yè)控制網(wǎng)絡(luò)安全的需求特性，對工控系統(tǒng)的入侵檢測技術(shù)進行研究，建立基于加權(quán)支持向量機算法的異常行為檢測模型，以提高對攻擊操作的檢測性能。
　　本文

2、以Modbus/TCP工控網(wǎng)絡(luò)為研究對象，首先分析了Modbus/TCP工控網(wǎng)絡(luò)結(jié)構(gòu)和通信協(xié)議的安全性，并根據(jù)工業(yè)通信行為特性和通信協(xié)議規(guī)約，提出了基于異常行為操作模式的入侵檢測特征提取方法，包括直接選擇協(xié)議數(shù)據(jù)特征和構(gòu)造反映行為模式差異的連續(xù)性流量數(shù)據(jù)特征，該方法提取的流量數(shù)據(jù)特征能夠充分應(yīng)用于對通信行為的檢測判別，但可能存在冗余的檢測特征。由于冗余的流量數(shù)據(jù)信息不但影響了工控網(wǎng)絡(luò)通信的實時性，也降低了對異常行為的檢測率，本文利用粗糙

3、集理論（RST）算法對檢測特征進行屬性約簡，以去除對異常攻擊檢測無用和干擾的信息，降低入侵檢測模型的復(fù)雜度和檢測時間，提高實際的入侵檢測系統(tǒng)應(yīng)用能力。
　　由于工控網(wǎng)絡(luò)正常樣本的數(shù)據(jù)遠多于異常樣本，傳統(tǒng)支持向量機算法不能解決由訓(xùn)練數(shù)據(jù)樣本類別之間的差異造成的影響，使得分類錯誤率傾向于小樣本類型數(shù)據(jù)，即小樣本類別的數(shù)據(jù)分類錯誤率高。本文利用加權(quán)支持向量機算法建立通信行為的檢測模型，通過對數(shù)據(jù)類和數(shù)據(jù)樣本的加權(quán)處理，減小不同的樣本類別

4、對支持向量機算法性能的影響，提高入侵檢測算法的適應(yīng)性。針對支持向量機檢測模型訓(xùn)練時間長、檢測率低的問題，本文采用改進的 PSO算法對模型參數(shù)進行優(yōu)化，通過調(diào)整慣性權(quán)重提高PSO尋優(yōu)算法的全局最優(yōu)性和加快收斂速率，在經(jīng)過檢測模型參數(shù)優(yōu)化處理，不僅提高了對通信行為的檢測率，同時降低了誤報率和漏報率，進一步地增強了系統(tǒng)的安全防御能力，以滿足工控網(wǎng)絡(luò)入侵檢測高效性和實時性的要求。
　　在對Modbus/TCP工控網(wǎng)絡(luò)安全分析和建立入侵檢測