基于SVM的工业控制网络入侵检测方法应用研究.pdf

ELECTRONICSW0RLD ·技术交濂 基 于 SVM 的 工 业 控 制 网 络 入 侵 检 测 方 法 应 用 研 究 沈阳理工大学 自动化与电气工程学院 安攀峰 【摘要 】入侵检测在工控网络的安全防护中具有重要的作用。本文基于支持向量机 (SVM)的通信行为入侵检测方法，首先介绍工 控网络信息安全和入侵检测要求的特殊性 ，分析了检测特征的提取方法，研究几种SVM算法的入侵检测建模与应用，以提高对异常 攻击行为的检测率，增强工控 网络系统安全防御能力。 【关键词 】工业控制网络；入侵检测；SVM 周期性和有限性。入侵检测系统为利用通信行为的检测特征， 引言 对数据进行分析处理，并利用设计的检测算法进行异常行为的 分类判别。根据SVM算法的分类原理，特征提取需要深度解析 随着网络化与信息化的深度融合，工业控制系统已经发展成 异常行为的操作模式，并从通信网络的流量数据中，选择或构 为一个开放式的网络环境。工控网络技术的应用促进了生产效率的 造能够反映正常行为和异常攻击操作模式差异的行为特征。 提高，同时也带来了信息安全风险，容易遭受传统的IT系统网络攻 击Ill。入侵检测是一种主动的信息安全防护技术，能够根据攻击行 3．基于SVM算法的工控网络入侵检测 为的操作模式，分析产生的数据特征变化，以实现对异常攻击的有 效检测。针对工控系统的网络攻击行为，主要是入侵者利用系统存 3．1标准C—SVM的入侵检测方法 在的安全漏洞，根据采用的工控通信协议规约，传输恶意的攻击数 针对工业控制网络入侵检测技术的研究，实际上是对工业通 据，对控制器、终端设备等进行攻击。本文结合机器学习算法SVM 信行为进行预测分类的模式识别问题，入侵检测系统的建立是根 的数据分类优势，从实际应用的角度分析存在的安全问题，研究通 据数据样本的特点，利用入侵检测算法对通信行为进行分析和判 信行为的特征提取和入侵检测方法，最后根据具体的安全防护 目 别。标准的C．SVM是对数据样本的二分类算法，能够适用于对正 标，设计了几种SVM算法的入侵检测建模和应用方法。 常行为和异常攻击的检测判别，主要的入侵检测建模过程如下： Stepl：获取通信行为数据，构造入侵检测建模的训练和测 1．工控网络的入侵检测技术应用 试样本集； Step2：设定惩罚因子参数和核函数参数； 工业控制系统的网络化发展导致了面临的安全风险和入侵威胁 Step3：根据训练数据样本集，训练入侵检测模型； 不断增加，特别是与企业网和互联网的相连接，使得各种针对工控 Step4：利用测试数据样本对训练模型进行测试； 系统关键基础设施的攻击操作，能够对工业生产设备进行攻击。异 Step5：如果训练模型满足测试样本的检测性能要求，求得 常攻击者通过利用在操作系统、上位机软件等的安全漏洞进入到工 通信行为的决策函数，否则重新设定训练参数，以获得满足要 控通信网络，冒充正常的用户进行不合法的操作。 求的入侵检测模型。 目前，在IT信息系统的入侵检测技术应用相对成熟，但 由 在对以上标准C—SVM算法的入侵检测建模中，核函数的选 于与工控网络系统结构、功能和安全要求的差异性，不能直接 择是一个关键的环节，决定着对数据样本的非线性映射，影响 应用于工控系统的安全防护。如何建立高效的工控网络入侵检 最终的通信行为检测率。同时，惩罚因子参数也非常重要，能 测系统，需要对提取反映通信行为模式差异的检测特征和设计