论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　采用OCSVM进行工业控制系统入侵检测是一种基于机器学习的异常检测技术，其基本思想是对工业控制系统的采集数据通过机器学习的方法进行分类。通常情况下，由工业控制系统现场设备采集到的工业数据中绝大部分为正常数据，只有很少的一部分为异常数据。此外，现场设备采集到的工业数据中还可能包含噪声和冗余等不可用数据，因此需要经过一系列的预处理过程，才能应用OCSVM算法进行机器学习，即入侵检测。

　　数据预处理包括去噪、归一化、数据降维等过程。工业控制系统通过网络采集的工业数据经过去噪处理后，依然具有较多的属性，即数据的维度高，这会降低入侵检测算法的效率，因此有必要对数据作降维处理。目前，数据降维的方法主要包括主成分分析、独立成分分析、奇异值分解等。西安交通大学的谷雨等人对主成分分析、独立成分分析原理进行了详细的介绍，并将这两种方法与SVM算法结合，通过仿真实验证明了采用主成分分析和独立成分分析两种技术对数据进行预处理后，入侵检测系统有极低的漏报率，并有较高的分类准确率。由于输入工业数据样本的维数可能不属于一个数量级，而输入变量差异过大会导致训练时间增加，引起模型无法收敛，因此在建立模型之前，需要对输入工业数据样本进行归一化处理。常用的归一化方法有最小—最大标准化、Z-score标准化和按小数定标标准化等。

　　经过数据预处理后，可以得到具有相同维数的工业数据样本，即OCSVM可处理的矩阵形式X=(x1，x2…xi．．xl)，其中xi=(xi1，xi2，…，xim)表示第i个工业现场数据，每一维代表该数据的一项属性。这些属性包括IP地址、数据长度、TCP头部、端口号、功能码等。此外，该属性也可以是多个工业现场数据的某一固定特征。将预处理后的工业现场数据X采用式(13)映射到高维空间中，然后通过求解式(6)(7)的对偶问题，即式(9)(10)得到分类决策函数f(x)。通过上述过程，得到工业控制系统入侵检测模型，进而实现工业控制系统的入侵检测。

　　3、OCSVM在工业控制系统入侵检测中的研究

　　工业控制系统的入侵检测本质上是一个二分类问题，即对正常的工业数据和异常的工业数据进行二分类，而OCSVM的基本思想就是通过机器学习的方法对数据进行二分类，因此，OCSVM可以很好地满足工业控制系统入侵检测的基本需求。

　　早期的研究主要集中于采用OCSVM对TCP/IP网络数据进行异常检测，而工业控制系统数据与IT数据的特点并不相同，存在一定差异。因此，采用OCSVM算法对IT数据进行异常检测的方法并不能直接应用于工业控制系统。但是，这些方法对OCSVM在工业控制系统入侵检测中的研究仍具有一定的借鉴意义。下面从OCSVM在TCP/IP网络的入侵检测研究讲起，然后重点介绍了OCSVM在工业控制系统入侵检测中的重要意义。

　　3．1OCSVM在TCP/IP网络入侵检测中的研究

　　OCSVM算法在TCP/IP网络入侵检测中的研究以IT数据为样本，如KDDCUP99数据，进行训练得到入侵检测模型，相关代表性的研究工作主要有:爱荷华州立大学的Wang等人扩展了适于入侵检测的内核方法，并与无监督学习单类支持向量机方法相结合，通过实验数据分析说明了提出方法比传统的异常检测方法具有更高的检测准确率。北京大学的黄谦等人将OCSVM和在线训练算法用于入侵检测，通过实时地添加新的训练样本对新出现的攻击手段进行分类。通过KDDCUP99数据集分析，验证该方法具有较高的检测准确率，缩短了训练时间。澳大利亚上奥地利应用科学大学的Winter等人设计了一种基于归纳学习的入侵检测系统，将基于流模型的网络数据作为数据源，采用OCSVM训练方法。该研究采用恶意攻击数据进行训练，而不是采用正常的网络流量数据，从而训练的OCSVM分类模型也可以用于多个网络进行攻击行为分类。开罗德国大学的Amer等人针对OCSVM对奇异点较敏感的特点，设计了两类增强的OCSVM方法用于无监督异常检测，以降低奇异点对正常数据边界决策的影响。韩国先进科学技术研究所的Kim等人设计了一种分层的误用检测和异常检测相结合的入侵检测方法。使用C4．5算法构建误用检测模型，将正常训练数据分成多个子集，使用子集数据创建多个OCSVM模型，异常检测数据也用于构建异常行为轮廓模型。通过实验分析说明了该混合方法可以有效提高检测准确率，同时显著降低了训练和测试时间。

　　3．2OCSVM在工业控制系统入侵检测中的研究

　　目前，基于OCSVM的工业控制系统入侵检测的典型研究工作有:日本中央电力研究所的Onoda等人分别设计了OCSVM和SVDD算法，并比较了两种算法的分类性能。允许孤立点的占比可以根据工业控制系统专家知识进行交互修改，控制系统的通信序列信息对于检测某些入侵攻击类型具有重要作用。哈尔滨工业大学的张云贵等人为从工艺过程角度解决工业控制系统信息安全问题，设计了基于自学习半监督单类支持向量机的SCADA入侵检测系统。采用半监督单类支持向量机算法构造分类器，通过设计主动学习器使系统将能够提高分类器性能的典型样本加入训练集，从而提高分类准确性。

　　但分类器训练的实时性有待提高。此外，在自学习方法中采用了先验的典型异常样本，这在实践中较难获取。英国萨里大学的Jiang等人在欧盟框架-7项目资助下，研究关键基础设施的安全防护，提出了一种SCADA系统自动异常检测方法，设计了OCSVM分类模型，通过自适应控制松弛变量和参数权衡检测输入的异常模式;但该研究工作仅针对SCADA系统的TCP/IP设计了相应的入侵检测方法。

　　上述研究工作主要针对工业控制系统的入侵检测进行研究，但仅依赖网络层和传输层上的传输模式，缺乏对应用层的有效利用，而工业控制系统面临的安全问题很大程度来源于工业控制系统协议应用层设计的缺陷。Modbus协议应用层设计的缺陷主要表现为缺乏认证、授权和加密等安全机制。缺乏认证表现在仅需要一个合法的Modbus地址与合法的功能码即可建立一个Modbus会话;缺乏授权体现在没有基于角色的访问控制机制，任意用户可以执行任意的功能;缺乏加密体现在地址和命令使用明文传输，很容易捕获并进行解析。例如，遭受病毒感染的Modbus客户端可以监听并解析网络中的通信流量，利用侦听得到的功能码和线圈或寄存器构造恶意数据包，即可修改Modbus服务器端中的线圈值或寄存器值，造成严重的后果，而这种攻击行为是无法通过ModbusTCP应用层过滤的工业防火墙进行拦截，因为防火墙规则设置无法将该攻击流量从ModbusTCP正常通信的流量中分离出来。

　　针对应用层协议的设计缺陷，文献设计了一种基于SVM的ModbusTCP通信异常检测方法。该方法首先根据Modbus功能码序列中的模式短序列出现的频率，设计了一种将ModbusTCP通信流量转换为异常检测模型所需的数据形式的数据预处理方法，获得正、负两类样本数据，然后通过SVM算法训练数据，建立异常检测模型，识别异常的ModbusTCP通信流量。在此研究的基础上，针对异常样本难以获得的现状，文献进一步采用OCSVM算法对ModbusTCP正常通信流量进行训练，并通过微粒子群优化(particleswarmoptimization，PSO)算法对异常检测模型进行参数优化，获得最佳的入侵检测模型，提高了异常检测模型的准确率，及其异常检测模型的泛化能力。通过实验证明，PSO-OCSVM异常检测模型不仅克服了工业控制系统异常通信流量难以获得的缺陷，而且该算法对通信流量具有较高的检测准确性并具有较低的漏报率，满足工业控制系统入侵检测对准确性、高效性的要求。

　　4、存在的问题与发展方向

　　上述代表性研究工作，虽然对工业控制系统异常检测学习方法做出了重要的贡献，或者提供了重要的理论参考价值，但还存在若干问题需要解决，问题的焦点主要集中在以下几个方面:

　　a)如何通过特征选择建立工业控制系统工业通信协议的异常检测模型，提高检测模型的准确率和泛化能力;

　　b)如何通过参数寻优，有效降低分类器的训练和测试时间，满足工业现场在线实时检测的要求;

　　c)当前，采用OCSVM分类器进行入侵检测还存在较高的误报率，如何改进检测算法以有效降低其误报率是一类重点课题。

　　针对上述存在的问题，基于OCSVM的工业控制系统入侵检测算法研究应从以下三个方面展开研究: