基于混合马尔科夫树模型的ICS异常检测方法研究
发布时间:2020-05-22 13:31
【摘要】:工业控制系统主要用于工业生产过程中的各种监督和控制,被广泛应用于能源、电力、化工、污水处理等大型国家基础设施行业。近年来,由于远程管理控制的需求不断扩大,之前相对封闭独立的控制系统已经变得更加开放化和互联化,这一方面提升了操控者远程管理的能力,另一方面却也将其自身暴露在各种网络攻击的威胁之下。2010年Stuxnet震网蠕虫攻击事件,表明工业控制系统不仅容易遭受传统的网络攻击,而且也面临着一种新型攻击方式的威胁——“语义攻击”。传统的网络入侵检测方法只能检测单一的非法数据包,针对基于消息序列的语义攻击却无能为力。针对工业控制系统中现有异常检测方法在语义攻击检测方面存在的不足,本文提出一种基于混合马尔科夫树模型的ICS异常检测方法,主要工作如下:(1)基于工业控制系统的周期性和稳定性特征,利用无监督自学习的方式,构建系统正常运行时的行为模型——混合马尔科夫树,当被检测行为与正常行为模型存在明显偏差时,检测出异常。该模型基于动态自适应的方法增强了状态事件的关联度,在必要时将决定当前状态合法性的历史状态从一维追溯到多维,从而将一阶马尔科夫模型扩展为混合马尔科夫模型,并且引入了消息序列的时间间隔信息,从而使得该模型能够检测出更加复杂的语义攻击,提升异常检测方法在语义攻击检测方面的能力。(2)针对特殊工控场景下异常检测方法可能存在的模型规模过于复杂、误报率、漏报率高等问题,设计了多种改进优化策略:提出一种指令与数据相结合的状态事件定义方法,从而对状态事件的定义进行扩充;针对建模阶段所引入的噪音以及冗余信息,设计一种去噪剪枝策略,从而简化系统模型,降低系统的漏报率;设计一种基于权重的异常报警优化策略,在进行异常判断时引入权重因子,并在报警前对异常进行危险系数评估,从而方便操作人员根据异常的危险程度对一些高危异常进行优先处理,由此降低系统的误报率和漏报率。(3)基于OMNeT++网络仿真环境构建一个简化的水处理系统对异常检测方法进行功能验证,并利用真实物理测试床的数据集对方法的检测准确度进行性能验证。验证结果表明,相比于现有的异常检测方法,本文方法不仅能够检测出传统的非语义攻击、Time-based以及Order-based简单语义攻击,对各种复杂语义攻击表现出更完整的检测能力,并且通过多种改进优化策略有效降低了异常检测方法的误报率以及漏报率,简化了方法模型,提高了方法的检测效率。
【图文】:
合肥工业大学学术硕士研究生学位论文逡逑人员可根据监控结果人为的判断异常,,通过向PLC发送控制指令来阻断异常。在逡逑PLC-现场设备层中,PLC通过顺序执行梯形逻辑指令完成传感器的数据采集和控逡逑制执行器的执行,通过重复一系列周期性操作完成一次次工业生产控制过程。ICS逡逑的这种周期性交互特征,使得各组件间的网络通信数据包呈现出一种明显的规律逡逑性:重复的消息序列和稳定的消息时间间隔。逡逑为了b站虺觯桑茫诱庵种芷谛院臀榷ㄐ杂镆逄卣鳎缤迹玻菜荆疚脑冢龋停桑校蹋缅义喜阋约埃校蹋茫殖∩璞覆阒涞慕换换辖尤爰嗵鳎锹枷低痴T诵惺备鹘换ュ义喜阒涞耐缤ㄐ攀荩⑼ü恢治藜喽阶匝暗姆绞剑酶檬莨菇ㄏ低冲义险T诵惺钡男形P汀旌下矶品蚴鳌8媚P桶戏ǖ淖刺录⒑戏ㄥ义系淖刺啤⒄5母怕史植家约罢5淖剖奔浼涓舻人闹中畔ⅲ庑┬畔⒊溴义戏痔逑殖觯桑茫拥闹芷谛院臀榷ㄐ杂镆逄卣鳎北患觳庑形沟媚P偷囊陨纤闹中佩义舷⒎⑸洗笃钍保觳獬鲆斐!W凵纤觯斐<觳夥椒ǖ恼寮芄谷缤迹玻乘义喜弧e义
本文编号:2676072
【图文】:
合肥工业大学学术硕士研究生学位论文逡逑人员可根据监控结果人为的判断异常,,通过向PLC发送控制指令来阻断异常。在逡逑PLC-现场设备层中,PLC通过顺序执行梯形逻辑指令完成传感器的数据采集和控逡逑制执行器的执行,通过重复一系列周期性操作完成一次次工业生产控制过程。ICS逡逑的这种周期性交互特征,使得各组件间的网络通信数据包呈现出一种明显的规律逡逑性:重复的消息序列和稳定的消息时间间隔。逡逑为了b站虺觯桑茫诱庵种芷谛院臀榷ㄐ杂镆逄卣鳎缤迹玻菜荆疚脑冢龋停桑校蹋缅义喜阋约埃校蹋茫殖∩璞覆阒涞慕换换辖尤爰嗵鳎锹枷低痴T诵惺备鹘换ュ义喜阒涞耐缤ㄐ攀荩⑼ü恢治藜喽阶匝暗姆绞剑酶檬莨菇ㄏ低冲义险T诵惺钡男形P汀旌下矶品蚴鳌8媚P桶戏ǖ淖刺录⒑戏ㄥ义系淖刺啤⒄5母怕史植家约罢5淖剖奔浼涓舻人闹中畔ⅲ庑┬畔⒊溴义戏痔逑殖觯桑茫拥闹芷谛院臀榷ㄐ杂镆逄卣鳎北患觳庑形沟媚P偷囊陨纤闹中佩义舷⒎⑸洗笃钍保觳獬鲆斐!W凵纤觯斐<觳夥椒ǖ恼寮芄谷缤迹玻乘义喜弧e义
本文编号:2676072
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2676072.html