亚洲国产成人精品女人久久久,成年人网站在线观看免费,高清毛片一区二区三区

基于機器學習的Modbus_TCP通信異常檢測方法研究

2020年信息技術與網絡安全第10期

陳鑫龍1，陳志翔1，2，周小方2，3

1.閩南師范大學計算機學院，福建漳州363000； 2.數據科學與智能應用福建省高校重點實驗室，福建漳州363000； 3.閩南師范大學物理與信息工程學院，福建漳州363000

摘要： 針對工業控制系統中Modbus_TCP協議存在的諸多安全隱患問題，提出了基于機器學習的Modbus_TCP通信異常檢測方法，分析了Modbus_TCP報文類型與結構特點，介紹了機器學習中決策樹分類模型算法的實現過程，建立了Modbus_TCP協議的模擬通信，使用了Scapy工具構造偽報文實現異常檢測。設置了樸素貝葉斯分類模型、邏輯回歸分類模型和傳統支持向量機分類模型的實驗與之對比，并且對模型的準確率、誤報率、漏報率和時間性能進行分析。分析結果表明，決策樹分類模型準確率高，消耗時間短，具有一定的優越性。

關鍵詞： Modbus_TCP協議工業控制系統決策樹算法異常檢測

中圖分類號： TP309
文獻標識碼： A
DOI： 10.19358/j.issn.2096-5133.2020.10.011
引用格式：陳鑫龍，陳志翔，周小方. 基于機器學習的Modbus_TCP通信異常檢測方法研究[J].信息技術與網絡安全，2020，39(10)：55-60.

Research on Modbus_TCP communication anomaly detection method based on machine learning

Chen Xinlong1，Chen Zhixiang1，2，Zhou Xiaofang2，3

1.School of Computer Science，Minnan Normal University，Zhangzhou 363000，China； 2.Key Laboratory of Data Science and Intelligence Application，Zhangzhou 363000，China； 3.School of Physics and Information Engineering，Minnan Normal University，Zhangzhou 363000，China

Abstract： Aiming at the hidden security problems of Modbus_TCP protocol in industrial control systems, this paper proposes a Modbus_TCP communication anomaly detection method based on machine learning,analyzes the types and structural characteristics of Modbus_TCP messages, introduces the implementation process of decision tree classification model algorithm in machine learning, establishes the simulation communication of Modbus_TCP protocol, and uses Scapy tool to construct pseudo message to realize anomaly detection. The experiments of Naive Bayes classification model, logistic regression classification model and traditional support vector machine classification model are also set up to compare with the proposed method, and the accuracy, false positive rate, false negative rate and time performance of the models are analyzed. The analysis results show that the decision tree classification model has high accuracy, short time consumption, and certain advantages.

Key words : Modbus_TCP protocol；industrial control system；decision tree algorithm；anomaly detection

0 引言

隨著兩化融合進程的不斷加速，工業控制系統逐漸接入互聯網，使得原本的“工業信息孤島”變得不再封閉，但同時也不再安全。近幾年，全球工控安全事件頻發，不僅帶來了巨大的經濟損失，同時也給人們的生活環境及人身安全帶來了巨大的影響。Modbus協議是工業控制系統(Industrial Control System，ICS)中的一種常用的通信協議，其具有實現簡單、部署方式多樣、標準公開等諸多優勢，但同時也存在缺乏認證機制、授權機制、加密機制和功能碼濫用等諸多缺陷，給系統帶來了一定的安全威脅。

國內外許多專家學者對這一領域進行了研究，EREZ N等人提出了基于有限自動機(Deterministic Finite Automaton，DFA)算法的異常檢測模型^[1]，該方法將數據包的每個字段都作為樣本特征，進行深度檢測，雖然可以有效地識別出異常數據，但是消耗了大量的時間資源。詹靜等人設計了一種新的可信Modbus/TCP通信協議^[2]，提高了使用專用通信協議的ICS網絡安全性，但是該協議的實現需要提供可信硬件模塊，而且對協議進行認證也會影響通信的時間性能。GOLDENBERG N等人提出了以寄存器值作為特征的異常檢測模型^[3]，以寄存器值是否處于正常值域范圍來判斷數據是否正常，但此模型的檢測方法過于片面，忽略了Modbus_TCP協議通信過程中功能碼字段的重要性。尚文利等人設計了一種粒子群優化算法(Partical Swarm Optimization，PSO)進行參數尋優的PSO-SVM算法^[4]，通過功能碼的頻率識別Modbus_TCP的異常流量，但該方法只考慮功能碼的作用，忽略了寄存器地址與功能碼之間的對應關系。李超等人提出了單類支持向量機的算法^[5]，該研究提取功能碼和寄存器地址的組合對序列作為特征進行異常檢測，分類效果顯著，但是該方法數據預處理過程復雜，需要對數據集進行歸一化處理才能進行模型訓練，易造成時間資源的浪費。

本文詳細內容請下載:http://m.rjjo.cn/resource/share/2000003141

作者信息:

陳鑫龍1，陳志翔1，2，周小方2，3

(1.閩南師范大學計算機學院，福建漳州363000；

2.數據科學與智能應用福建省高校重點實驗室，福建漳州363000；

3.閩南師范大學物理與信息工程學院，福建漳州363000)

原創聲明：此內容為AET網站原創，未經授權禁止轉載。

相關內容