基于PSO-SVM的Modbus TCP通讯的异常检测方法

doi:10.3969/j.issn.0372-2112.2014.11.029

电子学报 ›› 2014, Vol. 42 ›› Issue (11): 2314-2320.DOI: 10.3969/j.issn.0372-2112.2014.11.029

基于PSO-SVM的Modbus TCP通讯的异常检测方法

尚文利^1,3, 张盛山^1,2,3, 万明^1,3, 曾鹏^1,3

1. 中国科学院沈阳自动化研究所, 辽宁沈阳 110016;
2. 中国科学院大学, 北京 100039;
3. 中科院网络化控制系统重点实验室, 辽宁沈阳 110016

收稿日期:2013-08-30 修回日期:2014-04-12 出版日期:2014-11-25
- 作者简介:
- 尚文利 男,1974年生于黑龙江省北安市.博士,副研究员,硕士生导师.主要研究方向为工业控制系统信息安全、嵌入式系统、机器学习等.现为中国科学院沈阳自动化研究所工业控制系统信息安全方向学术带头人. E-mail:shangwl@sia.cn;张盛山 男,1988年生于辽宁省瓦房店市.中国科学院大学硕士研究生.研究方向为嵌入式系统、工业控制系统信息安全. E-mail:zhangshengshan@sia.cn
- 基金资助:
- 国家自然科学基金 (No.61164012); 国家863高技术研究发展计划 (No.2012AA041102-03)

Modbus/TCP Communication Anomaly Detection Algorithm Based on PSO-SVM

SHANG Wen-li^1,3, ZHANG Sheng-shan^1,2,3, WAN Ming^1,3, ZENG Peng^1,3

1. Shenyang Institute of Automation, Chinese Academy of Science, Shenyang, Liaoning 110016, China;
2. University of Chinese Academy of Sciences, Beijing 100039, China;
3. Networked Control Systems Key Laboratory of CAS, Shenyang, Liaoning 110016, China

Received:2013-08-30 Revised:2014-04-12 Online:2014-11-25 Published:2014-11-25
- Supported by:
- National Natural Science Foundation of China (No.61164012); National High Technology Research and Development Program of China (863 Program) (No.2012AA041102-03)

摘要/Abstract

摘要：

如何有效检测和防御工业病毒对应用层协议数据的攻击是目前工业安全网关研究的难点问题.本文提出了将Modbus TCP通讯流量转换为异常检测模型所需数据形式的预处理方法,设计了一种利用粒子群PSO算法进行参数寻优的PSO-SVM算法.该方法根据Modbus功能码序列中的模式短序列出现的频率,识别出异常的Modbus TCP通讯流量.最后,通过实验数据分析,说明了提出方法可以有效实现对Modbus功能码序列的异常检测.

关键词: 微粒子群, 支持向量机, Modbus功能码, 序列异常检测, 工业安全网关

Abstract:

To detect and defend industry virus attacks to application layer protocol data is difficult issues in study of industrial security gateway.In this paper,a data pre-processing method is presented,which can convert Modbus TCP traffic into anomaly detection model,and a PSO-SVM algorithm is designed,which optimizes parameters by advanced Particle Swarm Optimization (PSO) algorithm.The method identifies anomalies of Modbus TCP traffic according to appear frequencies of the mode short sequence of Modbus function code sequence.Finally,experimental data analysis shows that the proposed method can effectively detect abnormal of Modbus function code sequence.

Key words: PSO, SVM, Modbus function code, sequence anomaly detection, industrial security gateway

中图分类号:

TP309

尚文利, 张盛山, 万明, 等. 基于PSO-SVM的Modbus TCP通讯的异常检测方法[J]. 电子学报, 2014, 42(11): 2314-2320.

SHANG Wen-li, ZHANG Sheng-shan, WAN Ming, et al. Modbus/TCP Communication Anomaly Detection Algorithm Based on PSO-SVM[J]. Acta Electronica Sinica, 2014, 42(11): 2314-2320.

参考文献

[1] 魏钦志.工业网络控制系统的安全与管理[J].测控技术,2013,32(2):87-92. Wei Qin-zhi.Industrial network control system security and management[J].Measurement & Control Technology,2013,32(2):87-92.(in Chinese)
[2] 彭勇,江长青,谢丰,等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版),2012,52(10):1396-1405. Peng Yong,Jiang Changqing,Xie Feng,et al.Industrial control system cyber security research[J].Journal of Tsinghua University(Science and Technology),2012,52(10):1396-1405.(in Chinese)
[3] 熊琦,竞小伟,詹峰.美国石油天然气行业ICS系统信息安全工作综述及对我国的启示[J].中国信息安全,2012,27(03):80-83. Xiong Qi,Jing Xiaowei,Zhan Feng.Summary and implications for China of the information security work of the ICS system in the oil and gas industry in America[J].China Information Security,2012,27(3):80-83.(in Chinese)
[4] 2013 工业控制系统及其安全性研究报告[EB/OL].http://www.nsfocus.com/4_research/4_6.html,2013-06-24.
[5] 孙大林,蒋大明.Modbus/TCP的安全性及其在工业监控系统中的应用[J].中国安全生产科学技术,2006,2(2):92-95. Sun Da-lin,Jiang Da-ming.Modbus/TCP protocol safety and its application in industrial monitoring and control system[J].Journal of Safety Science and Technology,2006,2(2):92-95.(in Chinese)
[6] 王婷婷.SCADA系统中数据传输安全性研究[D].上海:华东理工大学,2012. Wang Tingting.Security research on SCADA system data transmission[D].Shanghai:East China University of Science and Technology,2012.(in Chinese)
[7] 张云贵,赵华,王丽娜.基于工业控制模型的非参数CUSUM入侵检测方法[J].东南大学学报(自然科学版),2012,42(S1):55-59. Zhang Yungui,Zhao Hua,Wang Lina.A non-parametric CUSUM intrusion detection method based on industrial control model[J].Journal of Southeast University (Natural Science Edition),2012,42(S1):55-59.(in Chinese)
[8] Javier J.Using SNORT for intrusion detection in MODBUSTCP/IP communications[EB/OL].http://www.giac.org/paper/gcia/7218/snort-intrusion-detection-modbus-tcp-ip-communications/124438,2013-08-30.
[9] Venkat P,Matthew F.Transparent Modbus TCP Filtering with Linux[EB/OL].http://modbusfw.Sourceforge.net,2013-08-30..
[10] 夏春明,刘涛,王华忠,等.工业控制系统信息安全现状及发展趋势[J].信息安全与技术,2013,2:13-17. Xia Chun-ming,Liu Tao,Wang Hua-zhong,et al.Industrial control system security analysis[J].Information Security and Technology,2013,2:13-17.(in Chinese)
[11] GB/T 19582.1-2008.基于Modbus协议的工业自动化网络规范第1部分:Modbus应用协议[S].
[12] GB/T 19582.3-2008.基于Modbus协议的工业自动化网络规范第3部分:Modbus协议在TCP/IP上的实现指南[S].
[13] Eric K.Industrial Network Security securing Critical Infrastructure Networks for Smart Grid,SCADA,and Other Industrial Control System[M].Syngress,2011.
[14] Peter H Rodrigo C,Mauricio P,et al.Attack taxonomies for the Modbus protocols[J].Critical Infrastructure protection,2008,(1):37-44.
[15] 李昆仑,赵俊忠,黄厚宽,田盛丰.基于SVM技术的入侵检测[J].信息与控制,2003,32(6):495-499. Li Kun-lun,Zhao Jun-zhong,Huang Hou-kuan,et al.An intrusion detection method based on SVM[J].Information and Control,2003,32(6):495-499.(in Chinese)
[16] 邬俊,鲁明羽,刘闯.基于混合学习框架的SVM反馈算法研究[J].电子学报,2010,38(9):2101-2106. Wu Jun,Lu Ming-yu,Liu Chuang.SVM-based scheme within hybrid learning framework for image retrieval[J].Acta Electronica Sinica,2010,38(9):2101-2106.(in Chinese)
[17] 陈国初,俞金寿.微粒群优化算法[J].信息与控制,2005,34(3):318-323. Chen Guo-chu,Yu Jin-shou.Particle swarm optimization algorithm[J].Information and Control,2005,34(3):318-323.(in Chinese)
[18] Jiang B,Wang N,Wang LP.Particle swarm optimization with age-group topology for multimodal functions and data clustering[J].Communications in Nonlinear Science and Numerical Simulation,2013,18(11):3134-3145.
[19] Cabrerizo FJ,Herrera-Viedma E,Pedrycz W.A method based on PSO and granular computing of linguistic information to solve group decision making problems defined in heterogeneous contexts[J].European Journal of Operational Research,2013,230(3):624-633.
[20] 张学工.关于统计学习理论与支持向量机[J].自动化学报,2000,26(1):32-40. Zhang Xuegong.Introduction to statistical learning theory and support vector machine[J].Acta Automation,2000,26(1):32-40.(in Chinese)
[21] 李林,张晓龙.基于RBF核的SVM学习算法的优化计算[J].计算机工程与应用,2006(29):190-204. Li Lin,Zhang Xiao-long.Optimization of SVM with RBF kernel[J].Computer Engineering and Applications,2006(29):190-204.(in Chinese)

基于PSO-SVM的Modbus TCP通讯的异常检测方法

Modbus/TCP Communication Anomaly Detection Algorithm Based on PSO-SVM

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

[1]	曹源, 宋迪, 胡小溪, 孙永奎. 基于改进时域多尺度散布熵与支持向量机的转辙机故障诊断[J]. 电子学报, 2023, 51(1): 117-127.
[2]	吴国庆, 王罗胜斌, 庞晨, 李永祯, 王雪松. 雷达极化域变焦角反组合体对抗方法：抗冲淡式干扰[J]. 电子学报, 2022, 50(12): 2969-2983.
[3]	孙晨峰, 吕卫民, 戴洪德, 张浩晨. 一种基于TimeGAN和OCSVM的多元退化设备小子样数据增广方法[J]. 电子学报, 2022, 50(11): 2678-2687.
[4]	杨国为, 万鸣华, 赖志辉, 张凡龙, 黄伟强. 具有合适拒识机制的高正确识别率分类器设计[J]. 电子学报, 2021, 49(8): 1569-1576.
[5]	罗忠涛, 夏杭, 卢琨, 何子述. 超视距雷达中距离-多普勒图的瞬态干扰自动识别方法[J]. 电子学报, 2021, 49(7): 1279-1285.
[6]	钱忠胜, 俞情媛, 宋涛, 朱懿敏, 祝洁, 赵畅. 基于支持向量机回归模型的测试用例生成与重用[J]. 电子学报, 2021, 49(7): 1386-1391.
[7]	张芳鑫, 王法松, 李睿, 左婷. GSSK‑VLC系统中基于SVM的LED选择算法[J]. 电子学报, 2021, 49(7): 1400-1405.
[8]	刘芳, 韩笑. 基于小波变换和深度网络的着陆地貌图像分类[J]. 电子学报, 2021, 49(11): 2171-2176.
[9]	史聪伟, 赵杰煜, 陈瑜. 利用网格卷积特征的三维形变目标分类[J]. 电子学报, 2020, 48(4): 648-653.
[10]	张学军, 景鹏, 何涛, 孙知信. 基于变分模态分解的癫痫脑电信号分类方法[J]. 电子学报, 2020, 48(12): 2469-2475.
[11]	方佳艳, 刘峤. 具有同步化特征选择的迭代紧凑非平行支持向量聚类算法[J]. 电子学报, 2020, 48(1): 44-58.
[12]	周国华, 卢剑炜, 顾晓清, 殷新春. 基于简约凸壳的一类模糊支持向量机[J]. 电子学报, 2019, 47(8): 1708-1716.
[13]	郑威迪, 李志刚, 贾涵中, 高闯. 基于改进型鲸鱼优化算法和最小二乘支持向量机的炼钢终点预测模型研究[J]. 电子学报, 2019, 47(3): 700-706.
[14]	刘颖, 胡丹, 范九伦, 王富平, 李大湘. 基于融合特征的现勘图像检索结果优化算法[J]. 电子学报, 2019, 47(2): 296-301.
[15]	李凯, 李慧. 基于pinball损失的结构模糊孪生支持向量机[J]. 电子学报, 2019, 47(10): 2221-2227.