电子学报 ›› 2014, Vol. 42 ›› Issue (11): 2314-2320.DOI: 10.3969/j.issn.0372-2112.2014.11.029

• 科研通信 • 上一篇    下一篇

基于PSO-SVM的Modbus TCP通讯的异常检测方法

尚文利1,3, 张盛山1,2,3, 万明1,3, 曾鹏1,3   

  1. 1. 中国科学院沈阳自动化研究所, 辽宁沈阳 110016;
    2. 中国科学院大学, 北京 100039;
    3. 中科院网络化控制系统重点实验室, 辽宁沈阳 110016
  • 收稿日期:2013-08-30 修回日期:2014-04-12 出版日期:2014-11-25
    • 作者简介:
    • 尚文利 男,1974年生于黑龙江省北安市.博士,副研究员,硕士生导师.主要研究方向为工业控制系统信息安全、嵌入式系统、机器学习等.现为中国科学院沈阳自动化研究所工业控制系统信息安全方向学术带头人. E-mail:shangwl@sia.cn;张盛山 男,1988年生于辽宁省瓦房店市.中国科学院大学硕士研究生.研究方向为嵌入式系统、工业控制系统信息安全. E-mail:zhangshengshan@sia.cn
    • 基金资助:
    • 国家自然科学基金 (No.61164012); 国家863高技术研究发展计划 (No.2012AA041102-03)

Modbus/TCP Communication Anomaly Detection Algorithm Based on PSO-SVM

SHANG Wen-li1,3, ZHANG Sheng-shan1,2,3, WAN Ming1,3, ZENG Peng1,3   

  1. 1. Shenyang Institute of Automation, Chinese Academy of Science, Shenyang, Liaoning 110016, China;
    2. University of Chinese Academy of Sciences, Beijing 100039, China;
    3. Networked Control Systems Key Laboratory of CAS, Shenyang, Liaoning 110016, China
  • Received:2013-08-30 Revised:2014-04-12 Online:2014-11-25 Published:2014-11-25
    • Supported by:
    • National Natural Science Foundation of China (No.61164012); National High Technology Research and Development Program of China  (863 Program) (No.2012AA041102-03)

摘要:

如何有效检测和防御工业病毒对应用层协议数据的攻击是目前工业安全网关研究的难点问题.本文提出了将Modbus TCP通讯流量转换为异常检测模型所需数据形式的预处理方法,设计了一种利用粒子群PSO算法进行参数寻优的PSO-SVM算法.该方法根据Modbus功能码序列中的模式短序列出现的频率,识别出异常的Modbus TCP通讯流量.最后,通过实验数据分析,说明了提出方法可以有效实现对Modbus功能码序列的异常检测.

关键词: 微粒子群, 支持向量机, Modbus功能码, 序列异常检测, 工业安全网关

Abstract:

To detect and defend industry virus attacks to application layer protocol data is difficult issues in study of industrial security gateway.In this paper,a data pre-processing method is presented,which can convert Modbus TCP traffic into anomaly detection model,and a PSO-SVM algorithm is designed,which optimizes parameters by advanced Particle Swarm Optimization (PSO) algorithm.The method identifies anomalies of Modbus TCP traffic according to appear frequencies of the mode short sequence of Modbus function code sequence.Finally,experimental data analysis shows that the proposed method can effectively detect abnormal of Modbus function code sequence.

Key words: PSO, SVM, Modbus function code, sequence anomaly detection, industrial security gateway

中图分类号: