基于FCM-SVM的工控网络异常检测算法研究

发布时间：2020-05-09 13:21

【摘要】：传统的工业控制系统一般以厂区为单位,相互之间是独立的,与外界之间没有物理连接。但是随着工业信息化和网络技术的迅速发展,工业控制系统越来越多的采用通用硬件和通用软件,工控系统的开放性与日俱增,系统安全漏洞和缺陷容易被病毒所利用。然而,工业控制系统又应用于国家的电力、交通、石油、取暖、制药等多种大型制造行业,一旦遭受攻击会带来巨大的损失,因此需要有效的方法确保工控系统的网络安全。本文重点研究了应用于工业控制系统中的Modbus/TCP通信协议规则,应用了一种基于模糊C均值聚类和支持向量机的工控网络异常检测算法。为了解决病毒、木马攻击工业控制系统应用层网络协议的问题,本文首先以Modbus通信协议为研究对象,重点分析了Modbus/TCP通信协议的规则,然后介绍了Modbus的异常行为,对安全性进行分析。根据工业控制系统通信行为的特性以及工控系统的周期性,提取工业控制系统Modbus/TCP协议的通信流量数据。最后将提取和构造的通信数据进行预处理,利用模糊C均值聚类得到聚类中心,计算通信数据与聚类中心的距离,将满足阈值条件的部分数据进一步由支持向量机分类。该模型将无监督的模糊C均值聚类和有监督的支持向量机相结合,实现了工控网络异常检测的机器学习。与传统的异常检测方法相比,该方法将无监督学习和有监督学习完美结合,并且在不需要提前知道类别标签的前提下即可有效的降低训练时间,提高分类精度。基于模糊C均值聚类和支持向量机的工控网络异常检测模型中,支持向量机参数的选取对模型的准确率有较大影响。为了提高算法在实际问题中的应用能力,研究了网格搜索算法、遗传算法和粒子群算法的参数优化方法,对支持向量机的惩罚因子和核函数参数进行优化处理,总结了每个参数优化算法对异常检测模型的优缺点。结果表明,利用智能算法优化支持向量机参数得到的分类精度比传统的根据经验选择参数的分类精度有了大幅度提高。经过参数优化后的工控网络异常检测模型,使得算法的检测精度和实用性都得到了非常大的提高,且不需要更改就能很好的应用于实际系统中,满足工业控制系统异常检测高效性的要求。
【图文】：

图 1.1 入侵检测过程Fig.1.1 Intrusion detection process信息收集主要包括收集系统和网络日志文件以及非正常的目录和文系统是否可以及时检测出异常在很大程度上取决于收集信息的有。信息分析主要指通过一定的技术手段对数据进行分析，主要包括

图 1.2 入侵检测分类Fig. 1.2 intrusion detection classification方法，主要由异常入侵检测和误用入侵检测侵检测。异常入侵检测也称为基于行为的检系统正常行为的特征，将该特征作为一个标
【学位授予单位】：沈阳理工大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP18;TP273

【参考文献】

相关期刊论文 前10条

1 尚文利;李琳;万明;曾鹏;;基于优化单类支持向量机的工业控制系统入侵检测算法[J];信息与控制;2015年06期

2 张晓艳;;基于机器学习的网络异常流量检测方法[J];现代电子技术;2015年23期

3 张波;赵婷;徐兴坤;赵晋文;;工业控制系统安全性分析及通信协议增强设计[J];中国电力;2015年08期

4 肖建荣;;工业控制系统信息安全技术分析与探讨[J];自动化博览;2015年06期

5 张腾飞;范启富;刘伟;;基于支持向量机的SCADA系统入侵检测[J];化工自动化及仪表;2015年02期

6 王小山;杨安;石志强;孙利民;;工业控制系统信息安全新趋势[J];信息网络安全;2015年01期

7 张盛山;尚文利;万明;张华良;曾鹏;;基于区域/边界规则的Modbus TCP通讯安全防御模型[J];计算机工程与设计;2014年11期

8 李学峰;;遗传算法同步选择特征和支持向量机参数的网络入侵检测[J];计算机应用与软件;2014年03期

9 左卫;程永新;;Modbus协议原理及安全性分析[J];通信技术;2013年12期

10 陈渊;马宏伟;;基于粒子群优化支持向量机的焊接缺陷分类[J];仪表技术与传感器;2013年04期

相关硕士学位论文 前4条

1 邹翔;改进的模糊聚类算法在入侵检测中的应用研究[D];重庆大学;2015年

2 王瑛;基于模糊聚类的入侵检测算法研究[D];江西理工大学;2010年

3 孙宗宝;基于软间隔支持向量机和核主成分分析的入侵检测研究[D];哈尔滨理工大学;2007年

4 王勇;模糊C-均值算法在入侵检测系统中的应用研究[D];哈尔滨理工大学;2007年

，

本文编号：2656200