CN110719250B

CN110719250B - 基于PSO-SVDD的Powerlink工控协议异常检测方法

Info

Publication number: CN110719250B
Application number: CN201810767994.8A
Authority: CN
Inventors: 尚文利; 赵剑明; 刘贤达; 尹隆; 陈春雨; 曾鹏
Original assignee: Shenyang Institute of Automation of CAS
Current assignee: Shenyang Institute of Automation of CAS
Priority date: 2018-07-13
Filing date: 2018-07-13
Publication date: 2021-07-06
Anticipated expiration: 2038-07-13
Also published as: CN110719250A

Abstract

本发明针对工控网络的安全性问题，提出了一种基于PSO‑SVDD的Powerlink工控协议的异常检测方法。具体为针对Powerlink工控网络的特殊性，从工控安全角度对Powerlink通信***进行了安全性分析，并通过揭示可能遭到的异常攻击行为，从通信网络中提取数据流量特征，建立支持向量数据描述(SVDD)异常检测算法模型，鉴别异常网络通信流量。同时采用改进的粒子群算法(PSO)优化模型参数，进一步提高了检测精度。该方法能有效的检测出异常的恶意攻击行为，提高工控通信网络的安全运行。

Description

基于PSO-SVDD的Powerlink工控协议异常检测方法

技术领域

本发明涉及一种基于PSO-SVDD的Powerlink工控协议的异常检测方法，通过分析Powerlink工控网络的脆弱性以及可能遭遇的异常攻击行为，提取通信流量数据特征，建立异常检测模型，属于工业控制网络安全领域。

背景技术

随着信息化和网络化的发展，工业控制***(Industrial Control Systerms,ICS)也逐渐向信息网络化发展，由原来的孤立封闭环境变成开放式环境，工控网络安全面临越来越多的恶意攻击威胁。近几年，工业控制***中网络攻击事件逐步增加，给工业生产造成了重大损失。工业控制***被广泛用于国家重要基础设施中，如电力、石化、交通、能源等领域，保障工控网络安全显得尤为重要，关系到国家昌盛，人民幸福。

工控***通信协议的安全问题主要包括两方面，一个是通信协议本身存在的缺陷问题，一个是在协议实现中遭受攻击。针对具体某个协议遭受攻击的安全性问题，入侵检测技术对其具有良好的检测效果。入侵检测可以在防火墙的基础上进一步检测入侵攻击行为，是一种安全可靠的网络监测途径。

EthernetPowerlink是一种在标准以太网IEEE802.3基础上建立起来的具有高实时性的高速、开源的工业控制网络通信协议。Powerlink采用了典型的主/从通信模式，主要在CNC与机器人、高速多轴***、航空与高铁测试***的时序分析等领域应用前景广泛。由于传统网络的脆弱性以及Powerlink自身存在的一些安全漏洞，使Powerlink工业网络易受到被攻击的安全风险和威胁。目前，针对Powerlink网络的安全问题，国内外学者仅对openSAFETY在Powerlink上的实现探讨研究，未对其进行安全漏洞以及可能遭到的攻击行为进行分析，也未对其进行入侵检测方面的研究，Powerlink存在严重的安全问题。

针对以上问题，本文通过对相关工控网络的安全性研究及对Powerlink协议规范的深度解析，对Powerlink网络的安全性进行了深入的研究，建立异常检测模型，实时检测异常攻击行为。通过分析Powerlink工控网络的典型攻击行为，分析通信网络数据流量特征，提取数据特征向量，建立SVDD异常检测分类模型，并通过改进的粒子群算法对模型进行参数寻优，对Powerlink网络进行实时监控，大大提高了通信网络的安全性。

发明内容

有鉴于此，本发明的目的是提供一种基于PSO-SVDD的Powerlink工控协议异常检测方法，实现了对Powerlink工控网络异常攻击行为的检测。

本发明解决其技术问题所采用的技术方案是：一种基于PSO-SVDD的Powerlink工控协议的异常检测方法，包括以下步骤：

特征提取：获取powerlink工控网络通讯流量数据包，并提取Powerlink工控协议数据的特征属性；

数据预处理：按照属性的不同将数据分割成不同的序列，去除各序列中存在的冗余数据序列后，对每个序列里的数据进行排列构造成数据特征向量，并进行归一化处理；

PSO优化：将初始化的粒子通过粒子群算法对参数惩罚因子C和高斯核函数参数g进行迭代得到最优参数，建立寻优模型；

SVDD：将初始化后的特征向量数据集通过支持向量数据域描述算法进行分类检测，得到检测模型；

PSO-SVDD：根据寻优模型和检测模型建立异常检测模型进行异常行为检测。

所述特征提取以下步骤：

使用Linux操作***通过Libpcap库函数获取powerlink工控网络通讯流量数据包，根据协议规约提取所需的powerlink控协议数据的特征属性。

所述提取Powerlink工控协议数据的特征属性具体为：

提取节点的请求信息Preq、回复节点的信息Pres、异步起始报文SoA的相关数据特征：

提取Preq、Pres、SoA中表示Powerlink工控协议的字节数据。

所述归一化包括以下步骤：

采用最小最大规范化方法将数据映射到[0,1]区间上，将不同单位和量纲的数据归一成统一的形式：

其中，max和min分别表示某序列中数据的最大值、最小值；x表示输入向量，即数据特征向量；y表示输出向量，即归一化后的数据特征向量。

所述PSO优化包括以下步骤：

设置最大迭代次数Kmax、粒子位置和速度的限定范围；

随机初始化一群粒子，粒子特征包括位置、速度、适应度值，惩罚因子C和高斯核函数g两个分量是待寻优的特征值；

将粒子进行SVDD训练作为支持向量数据域描述的惩罚因子C和高斯核函数g，选取交叉验证的准确率作为粒子适应度值；

如果个体或群体极值出现更大的适应度值，则更新个体和群体极值；

如果迭代次数超过设定值Kmax或者连续N次适应度值低于某个阈值，则退出迭代过程，此时所求的群体极值即为最优参数；

对粒子速度与位置以及惯性权重更新：每一轮更新结束后判定位置的范围，如果超出预设的范围则将其设定在允许的范围之中。

所述支持向量数据域描述算法包括以下步骤：

数据提取：获取初始化后的特征向量数据集，建立入侵检测网络的训练集数据和测试集数据；

获取最优参数：接受PSO优化训练出的惩罚因子C和高斯核函数g的最优值；

构造并求解对偶问题得出球心和半径；

构造决策函数；

根据构造的决策函数对描述通信行为的测试集进行分类预测。

本发明具有以下有益效果及优点：

1.本发明针对工业通信网络Ethernet Powerlink面临的安全性问题，提出基于Powerlink通讯协议的异常检测方法。该方法采用SVDD算法建立异常检测分类模型，对通讯网络中大量存在的单类通讯流量进行有效的数据监测。

2.本发明分析了Ethernet Powerlink工控***的安全性以及异常攻击行为的攻击模式，提出了针对Powerlink工控协议的异常检测特征提取方法，为后续Powerlink异常检测的研究提供了经验。

3.本发明采用粒子群算法对SVDD异常检测模型进行参数寻优，并采用线性积分递减策略计算ω的值，该方法有利于尽快找到好的个体，使算法快速收敛，提高算法的优化性能。

附图说明

图1是基于PSO-SVDD的Powerlink工控协议异常检测的整体框架图；

图2是PSO-SVDD异常检测模型。

具体实施方式

下面结合附图和实施例对本发明做进一步的详细说明。

一种基于PSO-SVDD的Powerlink工控协议异常检测方法，包括以下步骤：

脆弱性分析：根据powerlink工控协议的特点，分析powerlink通讯协议的脆弱性；

攻击行为分析：根据powerlink工控协议的特点，分析powerlink通讯网络可能遭遇的攻击行为；

特征提取：首先使用Linux操作***通过Libpcap库函数进行C语言编程获取powerlink工控网络通讯流量数据包，并提取最能反映powerlink工控网络特点的正常数据特征属性；

数据预处理：按照属性的不同将数据分割成不同的短序列，去除各序列中存在的冗余数据序列后，对每个序列里的数据进行排列构造成SVDD数据特征向量，并进行归一化处理；

PSO优化：将初始化的粒子通过粒子群算法(PSO)对SVDD的参数惩罚因子C和高斯核函数参数g进行迭代寻优，得到最优参数，建立寻优模型；

SVDD：将初始化后的特征向量数据集通过支持向量数据域描述算法(SVDD)进行分类检测，建立检测模型；

所述脆弱性分析包括：由于协议结构以及本身存在的一些安全漏洞，Powerlink工控协议存在缺乏认证、授权和加密等安全机制，容易遭受异常行为攻击的安全风险和威胁。

所述攻击行为分析包括：通过***的安全漏洞，攻击者主要针对Powerlink工控协议的可用性、完整性和保密性进行恶意攻击，阻碍正常的网络通讯过程。

所述特征提取以下步骤：

使用Linux操作***通过Libpcap库函数进行C语言编程获取powerlink工控网络通讯流量数据包，根据协议规约提取需要提取的powerlink属性数据值。

所述归一化包括以下步骤：

按照属性的不同将数据分割成不同的短序列，去除各序列中重复的冗余数据序列后，构成短序列集合；

根据设定的顺序，对每个序列里的数据进行排列构造成SVDD数据特征向量；

采用最小最大规范化方法将数据映射到[0,1]区间上将不同单位和量纲的数据归一成统一的形式：

其中，max和min分别表示某序列中数据的最大值、最小值；x表示输入向量；y表示输出向量。

所述PSO优化包括以下步骤：

设置PSO算法在始终无法满足终止条件下的最大迭代次数Kmax粒子位置和速度的限定范围；

随机初始化一群粒子，每个粒子代表问题的一个潜在最优解，用位置、速度、适应度值表示粒子特征，惩罚因子C和高斯核函数g两个分量是待寻优的特征值；

将粒子进行SVDD训练作为支持向量数据域描述的惩罚因子C和高斯核函数g，选取交叉验证意义下的准确率作为粒子适应度值；

根据适应度值大小更新个体极值和群体极值：如果出现了更大的适应度值，则更新个体和群体极值；

判断是否符合结束条件：如果迭代次数超过Kmax或者连续N次适应度值低于某个阈值，则退出迭代过程，此时所求的群体极值即为含有C和g的最优参数；

根据公式对粒子速度与位置以及惯性权重更新：每一轮更新结束后判定位置的范围，如果超出预设的范围则将其设定在允许的范围之中。

所述迭代公式为：

线性递减策略的惯性权重计算公式为：

其中：ω惯性权重，k为当前迭代次数，Pⁱ为个体极值，P_g为群体极值，d为粒子的维度。

所述SVDD算法包括以下步骤：

数据提取：获取初始化后的特征向量数据，即powerlink通信网络正常流量数据经数据预处理以及PSO优化，建立入侵检测网络的训练集数据和测试集数据。

获取最优参数。接受参数优化阶段训练出的惩罚因子C和高斯核函数g的最优值。

构造并求解对偶问题得出球心和半径；

构造决策函数；

根据构造的决策函数对描述通信行为的测试集得到检测模型，进行分类预测。

所述对偶问题为：

其中，L表示对偶运算，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯径向基核函数，得解α^*＝(α₁ ^*,α₂ ^*,...,α_n ^*)；n表示数据向量总个数；

决策函数为：

f(x)＝sgn(R2-||z-a²)

式中：

其中，sgn()表示符号函数，f(x)输出为正，则测试点为正常样本点，否则为异常类样本点。

所述PSO-SVDD算法包括以下步骤：

根据寻优模型和检测模型建立异常检测模型进行异常行为检测。

基于PSO-SVDD的Powerlink工控协议异常检测方法，包括以下步骤：

a.脆弱性、攻击行为分析部分

1、脆弱性分析

由于Powerlink是在以太网上进行传输的工控网络协议，可以传输TCP、IP协议，容易受到IP、DOS等传统的网络攻击行为的威胁。

由于Powerlink协议简单、源码完全开放、易开发等特点，以及Powerlink自身存在的一些安全漏洞，使Powerlink工业网络易被黑客利用，受到被攻击的安全风险和威胁。

由于缺乏认证、授权和加密等安全机制，Powerlink协议容易遭受异常攻击威胁：

缺乏认证主要表现在Powerlink通讯连接建立简单，只要通信周期相同并使用合法的node ID号就可以建立一个会话；

缺乏授权主要表现在Powerlink通讯过程中，没有定义基于角色的访问机制，也未对用户进行分类管理；

缺乏加密主要表现在Powerlink报文地址和命令采用明文传输，容易被攻击者获取并破解。

2、攻击行为分析

针对Powerlink的网络攻击行为主要通过***的安全漏洞，利用Powerlink的协议规范进行恶意攻击，阻碍正常的网络通讯过程。攻击者通过窃取或修改主站和从站的通讯数据，造成通信***拒绝服务，从站进入只听模式等。

攻击者主要在可用性、完整性和保密性入侵工控网络，恶意攻击powerlink通信行为：

针对Powerlink可用性攻击包括干扰或切断通信网络、重启或停机，使通讯不能正常进行，破坏工业生产；

完整性攻击包括在Powerlink通讯数据流量中添加、修改或破坏数据帧中关键数据，从而破坏信息的真实性，使工控***执行错误的操作；

保密性攻击主要是指在Powerlink信息产生、传输、处理和存储过程中窃取关键信息。

b.特征提取和预处理部分

1、Powerlink有5种数据帧类型，各数据帧有自己的帧结构及功能，提取特征向量比较复杂。因为AsyncData数据帧因ServiceID又分为5种数据帧，不同帧间结构差别很大，SOC除基本信息外只包含时钟信息，所以不对这两种数据帧进行检测。主要提取Preq、Pres、SoA的相关数据特征，PReq和PRes都可以传输应用数据，主站(MN)与从节点(CN)一来(PReq)一往(PRes)，完成一次数据交互。异步起始报文(So A)在异步阶段由主站以广播的形式发送到网络上发出请求，从节点以AsyncData报文响应，实现节点的配置。所以，基于Powerlink协议通用格式，如表一所示，通过获取标识位及功能行为来获取相关数据特征，用于构建SVDD的异常检测模型。

表一

2、使用Linux操作***通过Libpcap库函数进行C语言编程获取powerlink工控网络通讯流量数据包，根据协议规约提取需要提取的powerlink属性数据值。

基于异常行为的特征提取主要通过分析异常攻击行为的特征，从工控通信网络中提取数据特征，建立异常检测模型。提取的数据特征主要有：源MAC地址和目的MAC地址可以揭示异常攻击的主体，因此选择其作为特征量X1和X2；以太网类型可以表明是否被攻击者恶意更改协议，故选择其作为特征量X3；不同的信息类型有不同的帧格式，信息内容也不一样，故选其作为特征量X4；不同的NMT状态处于不同的通信阶段，所以选择其为特征量X5；攻击者增添、破坏应用层数据报文，会改变报文的长度，使其发生畸形变化，故选报文大小作为特征量X6。通过充分解析通讯流量特征以及攻击模式，选取了13个特征量构建入侵检测模型，选取特征如表二所示。

表二

3、按照属性的不同将数据分割成不同的短序列，去除各序列中重复的冗余数据序列后，构成短序列集合；

c.PSO优化

1、设置在始终无法满足终止条件下的最大迭代次数Kmax。

2、初始化。在D维搜索空间中，随机设定一群粒子的位置X＝(X₁，X₂，…，X_n)和速度V＝(V₁，V₂，…，V_n)，n表示粒子的个数。其中，X_i＝(X_ic，X_ig)和V_i＝(V_ic，V_ig)表示第i个粒子的惩罚因子C分量和高斯核函数g分量。分别设置位置分量限定范围[X_min，X_max]和速度限定范围[V_min，V_max]。X_ic、X_ig分别表示第i个粒子位置的惩罚因子C分量和高斯核函数g分量，V_ic、V_ig分别表示第i个粒子速度的惩罚因子C分量和高斯核函数g分量。

3、计算粒子适应度值F(X_i)。选取基于SVDD交叉验证意义下的准确率作为粒子适应度值F(X_i)。

4、粒子状态更新。根据适应度值大小更新个体极值和群体极值：若适应度值

则

否则

若存在j使其成立，且

则

否则

P_i ^k+1、X_i ^k+1分别表示更新后的个体极值和位置，P_g ^k+1、X_j ^k+1分别表示更新后的群体极值和位置。

5、判断是否符合结束条件。假若迭代次数k≥Kmax或者连续50次计算的适应度值变化率未达到0.01％，则终止迭代，此时所求的群体极值即为最优参数。K_max为最大迭代次数。

第6步：粒子速度与位置以及惯性权重更新：每一轮更新结束后判定位置的范围，如果X_ig＜X_gmin则设置X_ig＝X_gmin,如果X_ig＞X_gmax则X_ig＝X_gmax。X_gmin、X_gmax分别表示粒子位置的高斯核函数参数g分量的限定范围最小值和最大值，粒子速度和位置的迭代公式为：

V_id ^k+1表示维度为d的第i个粒子更新后的速度，c1、c2表示非负的常数；r1、r2表示分布于[0,1]区间的随机数；P_id ^k、P_gd ^k表示当前的个体极值和群体极值，X_id ^k表示当前的位置。

惯性权重采用线性递减策略，计算公式为：

ω为惯性权重，k为当前迭代次数，V_i为第i个粒子的速度，w_start表示初始惯性权重值，w_end表示进化至最大代数时的惯性权重值，t_max表示最大进化代数，t表示当前进化代数。

d.检测模型：

1、数据提取：获取powerlink通信网络正常流量数据，建立入侵检测网络的训练集数据和测试集数据。

2、获取最优参数。接受参数优化阶段训练出的惩罚因子C和高斯核函数g的最优值。

3、构造并求解对偶问题：

其中，L表示对偶运算，α＝(α₁,α₂,...,α_n)表示拉格朗日算子，K(x_i,x_j)表示高斯径向基核函数，得解α^*＝(α₁ ^*,α₂ ^*,...,α_n ^*)；n表示数据向量总个数，i、j＝1…n；T＝{x_i|i＝1，2，…，n}为训练样本集。

4、构造决策函数：

f(x)＝sgn(R2-||z-a²)

式中：

其中，sgn()表示符号函数，f(x)输出为正，则测试点为正常样本点，否则为异常类样本点。x_k为位于边界上的支持向量，z为测试样本点，a为超球体的球心。

5、根据构造的决策函数对描述通信行为的测试集进行分类预测。测试结果分为正常数据和异常数据两类。正常数据表示通信网络正常进行，***允许通过；异常数据表示通信网络发生误传或者遭受恶意攻击，***产生报警反应。。

6、根据PSO得到的寻优模型，SVDD得到的检测模型，建立PSO-SVDD异常检测模型进行异常行为检测。模型输出的类别为1，则判定为正常，为0，则判定为异常。