时间:2016-02-25 10:37 文章来源:http://www.lunwenbuluo.com 作者:李琳,尚文利,姚俊, 点击次数:
摘要:通信行为的异常检测是工业控制系统入侵检测的难点问题。在现有研究工作基础上,阐述了工业控制系统入侵检测技术的国内外研究现状,归纳和总结了现存的问题,指出单类支持向量机(OCSVM)算法在工业控制系统入侵检测中的优越性。结合工业控制系统的专有协议特点,介绍了单类支持向量机在工业控制系统入侵检测中的应用原理及其现有工作;最后指出了单类支持向量机在工业控制系统入侵检测中存在的问题及发展方向。
关键词:工业控制系统;入侵检测;单类支持向量机;通信协议
0、引言
2010年6月,伊朗核电站的“震网”病毒事件为工业控制系统安全敲响了警钟。目前针对工业控制系统的攻击可以分为服务器、网络和终端三个层面。传统IT防火墙等安全防护技术重点关注于服务器、网络的防护,忽略了对终端的防护。典型的工业终端设备即工业控制器包括可编程逻辑控制器、可编程自动化控制器以及远程终端单元等。
传统IT安全技术虽然比较成熟,但并不能直接用于工业控制系统,主要原因是工业控制系统采用专有的通信协议(如Modbus、DNP3、IEC61870-5-104、MMS、GOOSE等),同时协议实现具有多样性以及工业实时性。工业控制系统协议中的安全问题可分为两类,一类是协议自身的设计和描述引起的,另一类是协议的实现引起的。
针对工业控制系统的攻击行为主要以专有的通信协议漏洞为突破口,对工业终端设备造成威胁,因此针对工业控制器的入侵检测技术也应以解析工控系统的专有协议为基础进行研究。
从入侵检测的角度来分析,传统TCP/IP网络具有动态的通信和不可预测的行为。与传统TCP/IP网络不同,工业控制系统通信网络具有“状态有限”和“行为有限”的特点。状态有限是指工业控制系统通信具有规律性和稳定性的特点,即规则的通信流;行为有限是指工业控制系统具有较固定的行为特征和可预测的行为模式,从而简化模型的描述。就具体通信设备而言,通常重复执行其有限的操作。
系统自身的脆弱性和通信协议的不安全性使工业控制系统正面临着严重的安全威胁。针对工业控制系统的入侵检测的研究,正成为工业和信息安全领域国内外学者研究的热点,但相关研究尚处于起步阶段。本文在已有理论研究基础上,分析了工业控制系统入侵检测技术的研究进展,重点阐述了单类支持向量机(one-classsupportvectormachine,OCSVM)算法在TCP/IP网络和工业控制系统入侵检测方面的研究工作,归纳和总结了存在的主要问题,指出了OCSVM算法在工业控制系统入侵检测中的优越性,阐述了其发展趋势,说明了几个可行的研究方向和思路。
1、工业控制系统入侵检测技术研究现状
在现有的相关工作中,入侵检测模型可分为误用检测模型和异常检测模型。误用检测模型通过与已知的异常行为间的匹配程度实现入侵检测。该检测模型误报率低,但漏报率高。对于已知的攻击,该方法能详细、准确地报告出攻击类型,但对未知攻击却效果有限,而且特征库需不断更新。
异常检测模型通过与正常行为间的匹配程度实现入侵检测。
由于无须对每种入侵行为进行预定义,能有效检测未知的入侵行为。
对工业控制系统而言,误用检测模型的研究可以较多地借鉴传统IT的理论研究成果,而未知新型工业病毒具有隐蔽性和行为不可预测性等特点,特征库的更新滞后于新型工业病毒的产生和变异。因此,其入侵检测成为难点和关键问题。
工业控制系统的异常检测技术可以分为三类:基于统计的方法、基于知识的方法和基于机器学习的方法。工业控制系统的异常检测技术可以分为三类:基于统计的方法、基于知识的方法和基于机器学习的方法。基于统计的方法包括单变量或多变量模型和时间序列模型等。基于知识的方法包括有限状态机、状态描述语言方法和规则推理等。基于机器学习的方法又可以分为贝叶斯网络、人工神经网络、模糊逻辑、遗传算法、支持向量机等方法。
支持向量机算法应用在入侵检测中,可以保证在先验知识不足的情况下仍有较好的分类正确率。传统的支持向量机算法需要至少两类样本来训练入侵检测模型,但工业控制系统数据具有较明显的数据不平衡特点,正常数据远大于异常数据,故障或临界状态数据较少,而OCSVM只需要一类样本就可以训练异常检测模型,对噪声样本数据具有鲁棒性。OCSVM已被证明是一种有效的控制系统通信网络入侵检测的机器学习方法。
2、单类支持向量机算法
2.1OCSVM的基本原理
目前,单类支持向量机算法主要分为超球法和超平面法两种。
Tax提出的超球法即支持向量数据描述(supportvectordatadescription,SVDD)方法的主要思想是通过在映射到高维的特征空间中找出一个包围目标样本点的超球体,并通过最小化该超球体所包围的体积让目标样本点尽可能地被包围在超球体中,而非样本点尽可能地排除在超球体外。
SVDD方法求解的优化问题为minR2+1νlΣni=1ξi(1)s.t.‖Φ(xi)-c‖2-R2≤ξiξi≥0,i=1,2,…,n(2)其中:R和c表示特征空间中超球的半径和球心。利用Lagrange函数求解上述约束下的最小化问题,可得到原问题的对偶问题:L=ΣniαiK(xi,xi)-Σni,jaiajK(xi,xj)(3)s.t.Σni=1ai=1ai∈[0,1νl],i=1,2…,n(4)求得相应的决策函数为f(x)=sgn(‖Φ(x)-c‖2-R2)=sgn[(K(x,x)-2Σni=1aiK(xi,x)+Σni,j=1aiajK(xi,xj))-R2](5)球的半径R由少量球面上的支持向量决定,起到阈值的作用。f(x)输出+1,则样本点为正常样本,否则样本点为离群点,即异常样本点。
Scholkopf等人提出超平面法,是将输入空间通过核函数映射到高维空间,在高维空间将它们尽可能地与原点分开。
其求解的二次规划问题如下:minξ∈Ri,ρ∈R12‖ω‖2+1υlΣli=1ξi-ρ(6)s.t.Φ(xi)ω≥ρ-ξi,ξi≥0ρ∈R,ν∈(0,1](7)为了求解上述公式,引入Lagrange乘子,得到LP=12‖ω‖2+1υlΣli=1ξi-ρ-Σli=1ξiβi-Σli=1(Φ(xi)ω-ρ+ξi)αi(8)
代入核函数可得到其对偶问题:minaiLD=12Σli=1Σlj=1aiajK(xi,xj)(9)s.t.Σni=1ai=10≤ai≤1νl,i=1,2,…,n(10)因为支持向量在超平面上,所以可以从某个支持向量xi及其对应的αi求出对应的ρ。ρ=Σli=1αiK(xi,xj)(11)其决策函数为f(x)=sgn(Σli=1aiK(xi,x)-ρ)(12)
对于测试样本x,f(x)表明了样本x在高维空间位于超平面的正负方向,f(x)>0表示样本为正常样本,否则为异常样本。
实际上,当核函数为高斯核函数时,即K(xi,xj)=〈Φ(xi),Φ(xj)〉=exp(-g‖xi-xj‖2)(13)这两种方法的效果是相同的。
2.2工业控制系统入侵检测的OCSVM原理
相关内容
联系方式
随机阅读
热门排行