面向工控通信协议的自学习式异常检测方法及评估研究

基本信息

批准号：61501447

项目类别：青年科学基金项目

资助金额：19.00

负责人：万明

学科分类：

依托单位：辽宁大学

批准年份：2015

结题年份：2018

起止时间：2016-01-01 - 2018-12-31

项目状态：已结题

项目参与者：尚文利,刘明哲,赵剑明,刘贤达,王金涛,王照伟,雷艳晴

关键词：

分类事件序列特征关联自学习式异常检测Oneclass工控通信协议

结项摘要

With the further integration of industrialization and informatization, the information security problems of networked control system are gradually exposed. As an important medium of network interconnection, industrial control communication protocols not only accomplish the transmission task for the control instruction and field data, but also carry various network attacks. However, the existing industrial control communication protocols possess the semi-open and semi-transparent characteristics, in order to effectively detect network attack behaviors in networked control system, it is necessary to design the corresponding anomaly detection approaches according to the different protocol types and characteristics. Based on the protocol classification and vulnerability analysis, this project focuses on self-learning anomaly detection approaches for different industrial control communication protocol types, specifically including: first, for the known protocols, through protocol depth parsing and data sampling, the approach constructs double one-class classifiers’ model to achieve anomaly detection; second, for unknown protocols, through feature extraction and event sequence description, the approach builds event-based hidden Markov model to achieve anomaly detection; finally, for partially known protocols, through feature association and binding, the approach designs feature association decision tree to achieve anomaly detection. Besides, simulation experiments and numerical analysis can be carried out to complete the function and performance evaluation. The research results of this project will provide a theoretical and technical foundation for the intrusion detection in networked control system, and play a positive role in promoting the study and construction of our industrial control system security architecture.

作为控制网络互联互通的重要媒介，工控通信协议不仅完成了对控制指令、现场数据等信息的传输任务，同时也是各种网络攻击的重要载体。现有工控通信协议具有半开放、半透明的特点，因此为了有效地探测控制系统中网络攻击行为，本项目在对现有工控通信协议进行分类和脆弱性分析的基础上，重点研究面向不同工控通信协议类型的自学习式通信行为异常检测方法，具体包括：针对已知协议，进行协议深层次解析和数据抽样，构建双One-class分类器模型，实现异常检测；针对未知协议，进行特征提取与事件序列描述，建立基于事件的隐马尔科夫模型，实现异常检测；针对有限知协议，进行特征关联绑定，设计特征关联决策树，实现异常检测。最后通过仿真实验以及数值分析等方式，对方法进行功能和性能评估。项目的研究成果将为网络化控制系统的入侵检测研究提供重要的理论和技术基础，对我国工业控制系统安全体系的研究与建设产生积极的推动作用。

项目摘要

为了有效检测工业控制系统中网络攻击行为，本项目在分析现有工控通信协议特点、分类及脆弱性基础上，重点研究了不同工控通信协议类型下通信行为的自学习式异常检测方法。具体包括：. （1）依据工控通信协议特点，对协议进行分类与脆弱性分析. 依据协议规约和消息格式的开放程度，将工控通信协议分为已知协议、未知协议和有限知协议三类，并分析了典型工控通信协议的脆弱性，尤其是讨论了Modbus/TCP协议可能存在的安全问题，包括继承的TCP/IP协议的安全问题与协议自身固有的缺乏认证、授权及完整性验证等。. （2）提出了已知协议的异常检测与通信控制方法. 工业控制系统主要完成工业现场的过程控制和数据采集等通信任务，通过提取两种工业通信行为（功能控制行为和工艺数据行为），提出了相应的安全检测与防御方法。①给出了基于双行为特性的单分类工业通信异常检测方法，实验结果表明两种行为的异常检测准确度分别达到91.37%和83.45%；②分别设计了PSO-OCSVM和PCA-OCSVM的异常检测方法，其检测准确率要高于传统OCSVM方法；③提出了基于内容解析的深度检测与通信控制方法，并对该方法进行了实际应用验证。. （3）提出了未知协议的事件序列异常检测方法. 针对工业通信过程中协议规约和消息格式非公开化特点，提出了基于事件序列的隐马尔可夫异常检测方法。该方法通过会话重组、数据载荷合并、特征选择和聚类分析等步骤将工业通信数据抽象成事件序列，通过建立优化的隐马尔可夫模型，实时发现异常的工业通信行为。实验结果表明长度为15的事件序列的平均检测准确度达到91.08%。. （4）提出了有限知协议的特征关联和流量变化异常检测方法. 针对有限知协议的半公开化特性，分别提出了基于特征关联和基于流量变化的异常检测方法。①给出了基于特征关联的决策树异常检测方法，通过将已知特征和未知特征通过特征关联标识绑定，构建特征关联决策树，进行实时的异常行为判定；②设计了基于CUSUM的功能码流量异常检测机制，通过探寻流量变化点，有效地识别和诊断网络异常。

项目成果

DOI：{{i.doi}}

发表时间：{{i.publish_year}}

暂无此项成果

数据更新时间：2023-05-31

其他相关文献

DOI：

发表时间：

DOI：

发表时间：2016

DOI：10.11999/JEIT210095

发表时间：2021

DOI：10.19650/j.cnki.cjsi.J2007019

发表时间：2021

DOI：10.3864/j.issn.0578-1752.2019.03.004

发表时间：2019

万明的其他基金

相似国自然基金

基于网络流量分析的工控行为建模与自主的异常检测方法研究

批准号：U1736114

批准年份：2017

负责人：王伟

学科分类：F0302

资助金额：67.00

项目类别：联合基金项目

面向泛在网环境的异常行为融合检测技术及判定方法

批准号：U1836215

批准年份：2018

负责人：李小勇

学科分类：F0205

资助金额：250.00

项目类别：联合基金项目

面向工业通信行为的异常检测及安全感知方法研究

批准号：61773368

批准年份：2017

负责人：尚文利

学科分类：F0302

资助金额：63.00

项目类别：面上项目

分布式发电孤岛检测动态评估方法研究

批准号：51007044

批准年份：2010

负责人：王小宇

学科分类：E0704

资助金额：20.00

项目类别：青年科学基金项目

面向工控通信协议的自学习式异常检测方法及评估研究

{{i.achievement_title}}

暂无此项成果

其他相关文献

玉米叶向值的全基因组关联分析

基于分形维数和支持向量机的串联电弧故障诊断方法

F_q上一类周期为2p~2的四元广义分圆序列的线性复杂度

基于全模式全聚焦方法的裂纹超声成像定量检测

水氮耦合及种植密度对绿洲灌区玉米光合作用和干物质积累特征的调控效应

万明的其他基金

相似国自然基金