基于支持向量机的Modbus TCP入侵检测方法

摘要

本发明公开了一种基于支持向量机的Modbus TCP入侵检测方法，预先采集工业控制系统在正常状态下和入侵状态下预定时长内的Modbus TCP数据，提取出客户机向服务器请求的Modbus数据包的功能码和线圈地址，按照时间先后顺序进行排列得到正常状态数据序列和入侵状态数据序列，分别对正常状态数据序列和入侵状态数据序列进行数据统计，得到每个子序列中各个功能码对应的各类线圈地址的出现频率，构建特征向量；将正常状态数据序列和入侵状态数据序列的所有特征向量作为训练数据，对支持向量机进行训练，得到支持向量机分类模型；在入侵检测过程中，实时采集得到特征向量，输入支持向量机分类模型得到检测结果。本发明可以实现更精确化和细致化的入侵检测。

主权项

一种基于支持向量机的Modbus TCP入侵检测方法，其特征在于，包括以下步骤：S1：采集工业控制系统在正常状态下和入侵状态下预定时长的Modbus TCP数据，提取出Modbus数据包，然后提取出客户机向服务器请求的Modbus数据包，提取得到每个数据包的功能码和线圈地址；将正常状态下每个数据包的功能码和线圈地址作为一组数据，按照时间先后顺序进行排列，得到正常状态数据序列，根据同样的方法得到入侵状态数据序列；S2：对数据序列进行数据统计，提取得到特征向量，其具体方法为：将数据序列划分成长度为L的N个子序列，对于每个子序列，统计每个功能码对应的各类线圈地址的出现次数其中n表示子序列的序号，n的取值范围为n＝1,2,…,N，i表示功能码的编号，i的取值范围为根据实际需要确定，j表示功能码i对应的线圈地址的类别号，j的取值范围为n＝1,2,…,M_i，M_i表示功能码i对应的线圈地址类别数量；计算子序列n中功能码i对应的第j类线圈地址的出现频率${\mathrm{rate}}_{ij}^n=\frac{a_{ij}}{a_{i1}+a_{i2}+...+a_{{\mathrm{iM}}_i}}$构建子序列n对应的特征向量$X_n=({\mathrm{rate}}_{11}^n,{\mathrm{rate}}_{12}^n,...{\mathrm{rate}}_{1M_1}^n,{\mathrm{rate}}_{21}^n,...,{\mathrm{rate}}_{{\mathrm{IM}}_I}^n);$S3：将正常状态数据序列对应的特征向量标记为1，入侵状态数据序列对应的特征向量标记为0，将正常状态数据序列和入侵状态数据序列的所有特征向量作为训练数据，对支持向量机进行训练，得到支持向量机分类模型；S4：在实际的入侵检测过程中，实时连续采集客户机向服务器请求的Modbus数据包，提取功能码和线圈地址，得到长度为L的数据序列，采用步骤S2中的方法得到对应的特征向量，输入支持向量机分类模型，得到是否存在入侵的检测结果。