基于机器学习的Modbus_TCP通信异常检测方法研究-AET-电子技术应用

基于机器学习的Modbus_TCP通信异常检测方法研究

2020年信息技术与网络安全第10期

陈鑫龙1，陈志翔1，2，周小方2，3

1.闽南师范大学计算机学院，福建漳州363000； 2.数据科学与智能应用福建省高校重点实验室，福建漳州363000； 3.闽南师范大学物理与信息工程学院，福建漳州363000

摘要： 针对工业控制系统中Modbus_TCP协议存在的诸多安全隐患问题，提出了基于机器学习的Modbus_TCP通信异常检测方法，分析了Modbus_TCP报文类型与结构特点，介绍了机器学习中决策树分类模型算法的实现过程，建立了Modbus_TCP协议的模拟通信，使用了Scapy工具构造伪报文实现异常检测。设置了朴素贝叶斯分类模型、逻辑回归分类模型和传统支持向量机分类模型的实验与之对比，并且对模型的准确率、误报率、漏报率和时间性能进行分析。分析结果表明，决策树分类模型准确率高，消耗时间短，具有一定的优越性。

关键词： Modbus_TCP协议工业控制系统决策树算法异常检测

中图分类号： TP309
文献标识码： A
DOI： 10.19358/j.issn.2096-5133.2020.10.011
引用格式：陈鑫龙，陈志翔，周小方. 基于机器学习的Modbus_TCP通信异常检测方法研究[J].信息技术与网络安全，2020，39(10)：55-60.

Research on Modbus_TCP communication anomaly detection method based on machine learning

Chen Xinlong1，Chen Zhixiang1，2，Zhou Xiaofang2，3

1.School of Computer Science，Minnan Normal University，Zhangzhou 363000，China； 2.Key Laboratory of Data Science and Intelligence Application，Zhangzhou 363000，China； 3.School of Physics and Information Engineering，Minnan Normal University，Zhangzhou 363000，China

Abstract： Aiming at the hidden security problems of Modbus_TCP protocol in industrial control systems, this paper proposes a Modbus_TCP communication anomaly detection method based on machine learning,analyzes the types and structural characteristics of Modbus_TCP messages, introduces the implementation process of decision tree classification model algorithm in machine learning, establishes the simulation communication of Modbus_TCP protocol, and uses Scapy tool to construct pseudo message to realize anomaly detection. The experiments of Naive Bayes classification model, logistic regression classification model and traditional support vector machine classification model are also set up to compare with the proposed method, and the accuracy, false positive rate, false negative rate and time performance of the models are analyzed. The analysis results show that the decision tree classification model has high accuracy, short time consumption, and certain advantages.

Key words : Modbus_TCP protocol；industrial control system；decision tree algorithm；anomaly detection

0 引言

随着两化融合进程的不断加速，工业控制系统逐渐接入互联网，使得原本的“工业信息孤岛”变得不再封闭，但同时也不再安全。近几年，全球工控安全事件频发，不仅带来了巨大的经济损失，同时也给人们的生活环境及人身安全带来了巨大的影响。Modbus协议是工业控制系统(Industrial Control System，ICS)中的一种常用的通信协议，其具有实现简单、部署方式多样、标准公开等诸多优势，但同时也存在缺乏认证机制、授权机制、加密机制和功能码滥用等诸多缺陷，给系统带来了一定的安全威胁。

国内外许多专家学者对这一领域进行了研究，EREZ N等人提出了基于有限自动机(Deterministic Finite Automaton，DFA)算法的异常检测模型^[1]，该方法将数据包的每个字段都作为样本特征，进行深度检测，虽然可以有效地识别出异常数据，但是消耗了大量的时间资源。詹静等人设计了一种新的可信Modbus/TCP通信协议^[2]，提高了使用专用通信协议的ICS网络安全性，但是该协议的实现需要提供可信硬件模块，而且对协议进行认证也会影响通信的时间性能。GOLDENBERG N等人提出了以寄存器值作为特征的异常检测模型^[3]，以寄存器值是否处于正常值域范围来判断数据是否正常，但此模型的检测方法过于片面，忽略了Modbus_TCP协议通信过程中功能码字段的重要性。尚文利等人设计了一种粒子群优化算法(Partical Swarm Optimization，PSO)进行参数寻优的PSO-SVM算法^[4]，通过功能码的频率识别Modbus_TCP的异常流量，但该方法只考虑功能码的作用，忽略了寄存器地址与功能码之间的对应关系。李超等人提出了单类支持向量机的算法^[5]，该研究提取功能码和寄存器地址的组合对序列作为特征进行异常检测，分类效果显著，但是该方法数据预处理过程复杂，需要对数据集进行归一化处理才能进行模型训练，易造成时间资源的浪费。

本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003141

作者信息:

陈鑫龙1，陈志翔1，2，周小方2，3

(1.闽南师范大学计算机学院，福建漳州363000；

2.数据科学与智能应用福建省高校重点实验室，福建漳州363000；

3.闽南师范大学物理与信息工程学院，福建漳州363000)

原创声明：此内容为AET网站原创，未经授权禁止转载。

相关内容