基于机器学习的工业控制网络入侵检测方法研究
发布时间:2022-01-03 14:28
工业控制网络作为工业控制系统的核心组件,其安全问题随着网络攻击事件的持续增加而成为人们关注的焦点。入侵检测作为主动安全防御措施,可以在攻击行为发生作用前有效检测入侵行为,实现对工业控制网络安全状况的实时监测。本文以工业控制网络入侵检测为背景,以工业控制系统网络数据为支撑,结合工业控制网络入侵检测需求以及机器学习技术,针对现有技术存在的问题,研究适用于工业控制网络的入侵检测方法。首先,分析并明确了典型工业控制网络的结构以及通信特点;分析了工业控制网络脆弱性以及存在的安全威胁,比较了其与传统IT网络的区别;分析了基于机器学习的入侵检测技术要点及流程,明确了入侵检测方法的评价标准;最后分析了用于本文方法仿真验证的数据集。其次,针对工业控制网络入侵检测对于高准确性和高实时性的要求,结合标签数据集下监督学习算法准确率较高的特点,提出了基于LightGBM的入侵检测方法。基于python建模、仿真,在准确率、精确率等指标下与其它机器学习模型进行比较,验证模型的优越性。针对LightGBM建模存在的数据不平衡和调参困难问题,采用Nearmiss对多数类进行欠采样,并采用贝叶斯算法进行参数寻优。基于p...
【文章来源】:哈尔滨工业大学黑龙江省 211工程院校 985工程院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
工业控制网络安全事件所属行业细分农业急救服务其他
哈尔滨工业大学工程硕士学位论文-17-本文采用的数据为2014年由密西西比州立大学的ThomasMoms教授提供的基于Modbus协议的工业控制网络数据集,图2-6为所搭建的天然气管道SCADA系统测试床及人机界面。该测试床包含压力机、电磁减压阀以及连接到压缩机的小型气密管道等,并采用PID控制方案维持管道中的气压[45]。图2-6天然气管道SCADA系统该数据集通过模拟各类典型攻击作用于SCADA系统而提取的网络流量数据。数据集包含正常数据和7类攻击数据,共8个类别。每条数据包含1个所属类别标签和26个特征数据。数据集简介如表2-3所示。表2-3攻击形式及对应的类别标签攻击类别攻击描述标签值Normal正常行为数据0NMRI简单恶意响应注入攻击1CMRI复杂恶意响应注入攻击2MSCI恶意状态命令注入攻击3MPCI恶意参数命令注入攻击4MFCI恶意功能命令注入攻击5DoS拒绝服务6Recon侦查攻击7数据集包含有效载荷以及网络流量两类特征。有效载荷特征描述SCADA的实时状态,包括传感器测量值、监控输入等,在面向导致设备(PLC)异常运行的攻击行为的检测上非常有效。网络流量特征描述SCADA的通信模式,包括设备
哈尔滨工业大学工程硕士学位论文-30-图3-9多分类下混淆矩阵表3-5LightGBM多分类报告PrecisionRecallF1-score096.69%97.82%97.25%199.58%43.22%60.28%293.22%98.22%95.65%396.03%92.95%94.46%497.54%98.49%98.01%5100%99.13%99.56%699.45%98.37%98.90%7100%100%100%通过上面的分析可知,模型虽然总体表现相对较好,但在某些类别攻击行为的识别上还不是很有效,考虑造成这样结果的原因可能有如下:1)该类别样本数量少,数据集不平衡,导致模型结果偏向多数类;2)该类别数据本身和正常样本非常相似,难于识别;3)数据标注本身存在问题。针对上述可能,进行了大量实验,下面将从数据不平衡和参数调优两个方面对模型进行进一步优化。3.5模型优化与评价通过前文基于LightGBM的入侵检测方法与其它方法进行性能对比可以看出,基于lightGBM的检测模型在检测准确率、精确率等指标上远优于其他模型,并且具有较好的实时性。但是,基于LightGBM模型的入侵检测模型还存在以下问题:
本文编号:3566435
【文章来源】:哈尔滨工业大学黑龙江省 211工程院校 985工程院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
工业控制网络安全事件所属行业细分农业急救服务其他
哈尔滨工业大学工程硕士学位论文-17-本文采用的数据为2014年由密西西比州立大学的ThomasMoms教授提供的基于Modbus协议的工业控制网络数据集,图2-6为所搭建的天然气管道SCADA系统测试床及人机界面。该测试床包含压力机、电磁减压阀以及连接到压缩机的小型气密管道等,并采用PID控制方案维持管道中的气压[45]。图2-6天然气管道SCADA系统该数据集通过模拟各类典型攻击作用于SCADA系统而提取的网络流量数据。数据集包含正常数据和7类攻击数据,共8个类别。每条数据包含1个所属类别标签和26个特征数据。数据集简介如表2-3所示。表2-3攻击形式及对应的类别标签攻击类别攻击描述标签值Normal正常行为数据0NMRI简单恶意响应注入攻击1CMRI复杂恶意响应注入攻击2MSCI恶意状态命令注入攻击3MPCI恶意参数命令注入攻击4MFCI恶意功能命令注入攻击5DoS拒绝服务6Recon侦查攻击7数据集包含有效载荷以及网络流量两类特征。有效载荷特征描述SCADA的实时状态,包括传感器测量值、监控输入等,在面向导致设备(PLC)异常运行的攻击行为的检测上非常有效。网络流量特征描述SCADA的通信模式,包括设备
哈尔滨工业大学工程硕士学位论文-30-图3-9多分类下混淆矩阵表3-5LightGBM多分类报告PrecisionRecallF1-score096.69%97.82%97.25%199.58%43.22%60.28%293.22%98.22%95.65%396.03%92.95%94.46%497.54%98.49%98.01%5100%99.13%99.56%699.45%98.37%98.90%7100%100%100%通过上面的分析可知,模型虽然总体表现相对较好,但在某些类别攻击行为的识别上还不是很有效,考虑造成这样结果的原因可能有如下:1)该类别样本数量少,数据集不平衡,导致模型结果偏向多数类;2)该类别数据本身和正常样本非常相似,难于识别;3)数据标注本身存在问题。针对上述可能,进行了大量实验,下面将从数据不平衡和参数调优两个方面对模型进行进一步优化。3.5模型优化与评价通过前文基于LightGBM的入侵检测方法与其它方法进行性能对比可以看出,基于lightGBM的检测模型在检测准确率、精确率等指标上远优于其他模型,并且具有较好的实时性。但是,基于LightGBM模型的入侵检测模型还存在以下问题:
本文编号:3566435
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/3566435.html
