資源描述:
《基于行為模型的工控異常檢測(cè)方法研究》由會(huì)員上傳分享���,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)��。
1����、中文圖書分類號(hào):TP391密級(jí):公開UDC:004學(xué)校代碼:10005碩士學(xué)位論文MASTERALDISSERTATION論文題目:基于行為模型的工控異常檢測(cè)方法研究論文作者:宋站威學(xué)科:計(jì)算機(jī)科學(xué)與技術(shù)指導(dǎo)教師:賴英旭教授論文提交日期:2017年5月UDC:004學(xué)校代碼:10005中文圖書分類號(hào):TP391學(xué)號(hào):S201407063密級(jí):公開北京工業(yè)大學(xué)工學(xué)碩士學(xué)位論文題目:基于行為模型的工控異常檢測(cè)方法研究英文題目:RESEARCHONANOMALYDETECTIONMETHODOFINDUSTRIALCONTROLSYSTEMBASEDONBE
2、HAVIORMODEL論文作者:宋站威學(xué)科專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)研究方向:信息安全申請(qǐng)學(xué)位:工學(xué)碩士指導(dǎo)教師:賴英旭教授所在單位:信息學(xué)部(原計(jì)算機(jī)學(xué)院)答辯日期:2017年5月授予學(xué)位單位:北京工業(yè)大學(xué)獨(dú)創(chuàng)性聲明本人聲明所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果���。盡我所知����,除了文中特別加以標(biāo)注和致謝的地方外��,論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果��,也不包含為獲得北京工業(yè)大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料���。與我一同工作的同志對(duì)本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示了謝意���。簽名:宋站威日期:2017年05
3、月23日關(guān)于論文使用授權(quán)的說明本人完全了解北京工業(yè)大學(xué)有關(guān)保留���、使用學(xué)位論文的規(guī)定�,即:學(xué)校有權(quán)保留送交論文的復(fù)印件�,允許論文被查閱和借閱;學(xué)校可以公布論文的全部或部分內(nèi)容����,可以采用影印、縮印或其他復(fù)制手段保存論文�����。(保密的論文在解密后應(yīng)遵守此規(guī)定)簽名:宋站威日期:2017年05月23日導(dǎo)師簽名:賴英旭日期:2017年05月23日摘要摘要隨著網(wǎng)絡(luò)與信息化的不斷推進(jìn)�����,工業(yè)控制系統(tǒng)(IndustrialControlSystem�,ICS)越來越多的接入信息網(wǎng)絡(luò)����,提高了工業(yè)生產(chǎn)效率,但是也增加了ICS網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)���。近年來�,隨著針對(duì)ICS網(wǎng)絡(luò)的有組織攻擊越
4����、來越頻繁,并且ICS網(wǎng)絡(luò)安全關(guān)系到國(guó)家安全����,使ICS網(wǎng)絡(luò)安全的研究成為了信息安全領(lǐng)域的重點(diǎn)問題�����。通過分析國(guó)內(nèi)外的研究現(xiàn)狀�����,目前工控入侵檢測(cè)方法主要包括基于流量統(tǒng)計(jì)特征�、流量模型��、和協(xié)議應(yīng)用層字段及字段關(guān)系的檢測(cè)方法�。但這些方法不能很好的檢測(cè)篡改行為數(shù)據(jù)或控制程序的攻擊,因此����,提出了基于行為模型的工控異常檢測(cè)方法。此工控異常檢測(cè)方法主要包括三大部分:首先���,提出了基于ModbusTCP的行為數(shù)據(jù)序列提取方法�。根據(jù)ICS中Modbus應(yīng)用層的地址值列表�����,獲取控制行為和過程行為的行為數(shù)據(jù)地址值列表,從ICS網(wǎng)絡(luò)流量中過濾包含行為數(shù)據(jù)地址值的會(huì)話流量����,再根據(jù)Mo
5、dbusTCP的協(xié)議格式及數(shù)據(jù)編碼方式���,從行為數(shù)據(jù)地址值對(duì)應(yīng)的寄存器或線圈中提取行為數(shù)據(jù)序列����。其次����,提出了基于數(shù)據(jù)依賴關(guān)系的行為模型構(gòu)建方法�����。從正常的ICS網(wǎng)絡(luò)中提取行為數(shù)據(jù)序列����,根據(jù)行為模型的結(jié)構(gòu)估計(jì)算法計(jì)算結(jié)構(gòu)參數(shù)值,根據(jù)行為模型的參數(shù)估計(jì)算法計(jì)算參數(shù)估計(jì)值��,再將行為模型轉(zhuǎn)化為狀態(tài)空間方程形式。最后�����,提出了基于絕對(duì)誤差的閾值檢測(cè)方法�。從待檢測(cè)的ICS網(wǎng)絡(luò)中提取行為數(shù)據(jù)序列,利用正常行為模型預(yù)測(cè)輸出行為數(shù)據(jù)序列�,計(jì)算預(yù)測(cè)輸出行為數(shù)據(jù)序列和實(shí)時(shí)提取的行為數(shù)據(jù)序列的絕對(duì)誤差序列,選取合適閾值�����,再通過閾值檢測(cè)算法匹配閾值短序列�,檢測(cè)是否存在異常入侵行為。論
6��、文根據(jù)提出的基于行為模型的工控異常檢測(cè)方法�,構(gòu)建了工控異常檢測(cè)模型,設(shè)計(jì)與實(shí)現(xiàn)了基于行為模型的工控異常檢測(cè)系統(tǒng)����。并進(jìn)一步,搭建了基于水槽液位控制系統(tǒng)的仿真實(shí)驗(yàn)環(huán)境和基于化工混合反應(yīng)工藝的真實(shí)物理環(huán)境的測(cè)試實(shí)驗(yàn)環(huán)境��,通過攻擊實(shí)驗(yàn)雙重驗(yàn)證了提出的基于行為模型的工控異常檢測(cè)方法能有效實(shí)現(xiàn)對(duì)篡改行為數(shù)據(jù)或控制程序等攻擊的異常檢測(cè)��。關(guān)鍵詞:工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全��;異常檢測(cè)��;行為模型����;ModbusTCP-I-AbstractAbstractWiththerapiddevelopmentofnetworkandinformationtechnology,morean
7、dmoreICS(IndustrialControlSystem)accesstoinformationnetwork,whichimprovestheindustrialproductionefficiency,butincreasedtheICSnetworksecurityrisks.Inrecentyears,withtheorganizedattacksontheICSnetworkmoreandmorefrequent,andICSisanimportantpartofthenationalkeyinfrastructure,ICSnetw
8��、orksecurityresearchhasbecomeakeyissueinthefield
