工控网络Modbus TCP协议异常报文检测方法

工业控制网络系统包含Modbus报文传输数据、TCP/IP主机通信行为数据、工控协议数据等大量复杂数据,容易造成数据冗余,降低异常报文检测精度,增加检测时间,从而增加工控网络被攻击几率。为此,提出一种基于支持向量机(SVM)的工控网络Modbus TCP协议异常报文检测方法。利用SVM建立工控网络分层数据模型,在应用层中定义Modbus协议报文,使用核函数对非平稳的随机Modbus协议报文进行离散处理,减少工控网络数据冗余。结合m阶马尔科夫序列,在TCP/IP数据链路层中对离散Modbus协议报文进行异常特征提取,完成Modbus报文异常检测。仿真测试结果表明:所提方法可以有效降低数据冗余,工控网络重复数据存储率为0.39%;Modbus TCP协议异常报文检测精度为95.73%;Modbus TCP协议异常报文检测时间为0.5 ms,以期为工控网络安全提供技术支持。

基于卷积神经网络的工控协议Modbus TCP异常检测

针对工业控制系统中Modbus/TCP协议漏洞频出的问题,提出了基于卷积神经网络的Modbus/TCP异常报文检测方法,通过分析归纳Modbus/TCP的异常报文类型,在异常报文类型基础上进行卷积神经网络的卷积核设计,通过对神经网络输入维数、卷积层数和卷积权重的仿真训练,设计了基于卷积神经网络的Modbus/TCP异常报文检测模型,并利用Netfilter的HOOK技术将检测模型嵌入到工业防火墙中,实现对Modbus/TCP异常报文检测.

Modbus TCP的报文传输与误码分析

Modbus TCP是用于管理和控制自动化设备的Modbus系列通讯协议的派生产品,在工业控制领域获得了广泛应用。本文介绍了Modbus TCP通信协议,分析了Modbus TCP的报文传输与异常处理,并与Modbus RTU进行了对比。

基于Modbus TCP/IP通信的研究与实现

Modbus TCP/IP通信协议是在TCP/IP协议栈上嵌入Modbus报文,Modbus协议与以太网的结合扩展了Modbus的应用,该协议已经成为通用的工业通信协议标准之一。现在工业控制领域基于Modbus的通信仍然以串行链路的Modbus RTU为主,所以对Modbus TCP/IP通信协议的研究与应用都非常有意义。分析Modbus TCP/IP协议的总体结构描述,介绍其客户机/服务器模型以及实现客户机/服务器的通信。

Modbus/TCP协议的研究与应用

随着现场总线技术和工业以太网技术的快速发展,工业自动化领域的通信网络正在逐步统一到工业以太网。Modbus/TCP是工业以太网技术中最有发展前景的一种,在工业自动化领域具有很高的应用价值。该文简要概述了工业以太网和Modbus/TCP的历史与现状,以及Modbus协议的基本内容,并阐述了Modbus/TCP客户端的发送、接收应用,对提升我国工业自动化企业的自动化水平、提高企业综合竞争力、加快企业信息化建设等方面都具有现实的意义。

TCP流的宏观平衡性

TCP流显式的连接建立和关闭过程决定了完整的TCP流的不同类型TCP报文之间在数量关系间保持一种宏观平衡性,这种数量间的约束所表现出的宏观平衡性可以用来揭示网络流量行为规律,识别网络流量行为异常的存在,从而可以成为网络安全监测和网络管理的有效手段之一.文章定义了TCP流宏观平衡性的相关测度,根据TCP流的到达模型和流长模型建立了测量误差的模型,并以此导出了实际测量模型和判断正常与异常的临界点.通过实验和仿真对这些测度进行了分析,证明了这些测度和临界点的可用性.

工控网络异常行为的RST-SVM入侵检测方法

针对工业控制网络环境的复杂性和入侵检测要求的特殊性,提出了基于异常行为模式的入侵检测特征提取方法。以Modbus/TCP工业控制网络为检测对象,通过深度解析异常行为的操作模式,提取通信流量的入侵检测数据特征,同时,为了去除冗余的检测信息,利用粗糙集理论(RST)的方法进行检测特征的属性约简,最后结合支持向量机(SVM)算法的分类优点,并利用自适应遗传算法(AGA)进行模型参数优化,建立基于RST-SVM算法的自学习式入侵检测模型。根据实际的检测性能对检测特征和模型参数进行学习。研究表明,该方法降低了入侵检测模型的复杂度和检测时间,提高了对异常攻击行为的检测率,能够满足工控网络入侵检测高效性和实时性的要求。

工业控制系统中基于单类支持向量机异常检测方法研究

Modbus TCP/IP协议作为工业控制系统中常用的通信协议,存在其自身的脆弱性。文章主要研究了Modbus TCP/IP协议的异常检测方法,首先介绍了基于单类支持向量机的异常检测模型的实现过程,对单类支持向量机选择不同的滑动窗口长度和核函数进行测试,设计与传统支持向量机、标准RBF算法、BP神经网络、异常检测模型的对比实验,并对实验结果进行分析。还设计了与基于功能码序列的异常检测模型的对比实验,验证选取功能码和寄存器地址组合对作为特征的优越性。

基于行为模型的工控异常检测方法研究

目前,工业控制系统(Industrial Control Systems,ICS)网络安全已经成为信息安全领域的重点问题,而检测篡改行为数据及控制程序等攻击是ICS网络安全的难点问题,据此提出了基于行为模型的工控异常检测方法。该方法从工控网络流量中提取行为数据序列,根据ICS的控制和被控过程构建正常行为模型,通过比较分析实时提取的行为数据与模型预测的行为数据,判断是否出现异常。通过实验分析,验证了所提方法能有效实现对篡改行为数据及控制程序等攻击的异常检测。

智能配电系统入侵检测方法研究

针对智能配电系统在运行过程中经常遇到的关键技术问题,从防入侵的角度出发,分析研究了Snort开源入侵检测系统,总结了现有Modbus/TCP协议异常报文入侵检测规则。在此基础上提出了基于白名单模型的Modbus/TCP异常报文入侵检测方法,给出了白名单入侵检测模型及其算法。在Visual Studio平台设计开发了白名单规则生成系统,并说明了白名单规则的生成过程及原理。搭建了测试系统,通过试验证明了基于白名单模型的Modbus/TCP异常报文入侵检测方法的可行性。

Modbus通讯的模式和参数设定对网络通讯速率影响的研究

在巴基斯坦Fatima 2×60 MW蔗渣电站项目的调试工作中,遇到了各类Modbus通讯问题。在问题确认和调试实验的过程中,进行了大量的关于Modbus通讯的理论分析和实验研究。对于其中通讯延迟类问题进行分析后,得出经验和结论:基于TCP/IP协议的Modbus通讯,其通讯速率受通讯报文长度(报文字节数量)影响很小。而主要影响因素为:Modbus主站Query报文的发送间隔和报文循环发送周期、Modbus从站应答速度、主从站之间用于信息交互的报文数量。