工業(yè)控制網(wǎng)絡(luò)作為工業(yè)控制系統(tǒng)的核心組件,其安全問題隨著網(wǎng)絡(luò)攻擊事件的持續(xù)增加而成為人們關(guān)注的焦點。入侵檢測作為主動安全防御措施,可以在攻擊行為發(fā)生作用前有效檢測入侵行為,實現(xiàn)對工業(yè)控制網(wǎng)絡(luò)安全狀況的實時監(jiān)測。本文以工業(yè)控制網(wǎng)絡(luò)入侵檢測為背景,以工業(yè)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)為支撐,結(jié)合工業(yè)控制網(wǎng)絡(luò)入侵檢測需求以及機器學習技術(shù),針對現(xiàn)有技術(shù)存在的問題,研究適用于工業(yè)控制網(wǎng)絡(luò)的入侵檢測方法。首先,分析并明確了典型工業(yè)控制網(wǎng)絡(luò)的結(jié)構(gòu)以及通信特點;分析了工業(yè)控制網(wǎng)絡(luò)脆弱性以及存在的安全威脅,比較了其與傳統(tǒng)IT網(wǎng)絡(luò)的區(qū)別;分析了基于機器學習的入侵檢測技術(shù)要點及流程,明確了入侵檢測方法的評價標準;最后分析了用于本文方法仿真驗證的數(shù)據(jù)集。其次,針對工業(yè)控制網(wǎng)絡(luò)入侵檢測對于高準確性和高實時性的要求,結(jié)合標簽數(shù)據(jù)集下監(jiān)督學習算法準確率較高的特點,提出了基于LightGBM的入侵檢測方法�；趐ython建模、仿真,在準確率、精確率等指標下與其它機器學習模型進行比較,驗證模型的優(yōu)越性。針對LightGBM建模存在的數(shù)據(jù)不平衡和調(diào)參困難問題,采用Nearmiss對多數(shù)類進行欠采樣,并采用貝葉斯算法進行參數(shù)尋優(yōu)。基于p... 

【文章來源】：哈爾濱工業(yè)大學黑龍江省 211工程院校 985工程院校

【文章頁數(shù)】：70 頁

【學位級別】：碩士

【部分圖文】：

工業(yè)控制網(wǎng)絡(luò)安全事件所屬行業(yè)細分農(nóng)業(yè)急救服務(wù)其他

哈爾濱工業(yè)大學工程碩士學位論文-17-本文采用的數(shù)據(jù)為2014年由密西西比州立大學的ThomasMoms教授提供的基于Modbus協(xié)議的工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)集，圖2-6為所搭建的天然氣管道SCADA系統(tǒng)測試床及人機界面。該測試床包含壓力機、電磁減壓閥以及連接到壓縮機的小型氣密管道等，并采用PID控制方案維持管道中的氣壓[45]。圖2-6天然氣管道SCADA系統(tǒng)該數(shù)據(jù)集通過模擬各類典型攻擊作用于SCADA系統(tǒng)而提取的網(wǎng)絡(luò)流量數(shù)據(jù)。數(shù)據(jù)集包含正常數(shù)據(jù)和7類攻擊數(shù)據(jù)，共8個類別。每條數(shù)據(jù)包含1個所屬類別標簽和26個特征數(shù)據(jù)。數(shù)據(jù)集簡介如表2-3所示。表2-3攻擊形式及對應的類別標簽攻擊類別攻擊描述標簽值Normal正常行為數(shù)據(jù)0NMRI簡單惡意響應注入攻擊1CMRI復雜惡意響應注入攻擊2MSCI惡意狀態(tài)命令注入攻擊3MPCI惡意參數(shù)命令注入攻擊4MFCI惡意功能命令注入攻擊5DoS拒絕服務(wù)6Recon偵查攻擊7數(shù)據(jù)集包含有效載荷以及網(wǎng)絡(luò)流量兩類特征。有效載荷特征描述SCADA的實時狀態(tài)，包括傳感器測量值、監(jiān)控輸入等，在面向?qū)е略O(shè)備（PLC）異常運行的攻擊行為的檢測上非常有效。網(wǎng)絡(luò)流量特征描述SCADA的通信模式，包括設(shè)備

哈爾濱工業(yè)大學工程碩士學位論文-30-圖3-9多分類下混淆矩陣表3-5LightGBM多分類報告PrecisionRecallF1-score096.69%97.82%97.25%199.58%43.22%60.28%293.22%98.22%95.65%396.03%92.95%94.46%497.54%98.49%98.01%5100%99.13%99.56%699.45%98.37%98.90%7100%100%100%通過上面的分析可知，模型雖然總體表現(xiàn)相對較好，但在某些類別攻擊行為的識別上還不是很有效，考慮造成這樣結(jié)果的原因可能有如下：1）該類別樣本數(shù)量少，數(shù)據(jù)集不平衡，導致模型結(jié)果偏向多數(shù)類；2）該類別數(shù)據(jù)本身和正常樣本非常相似，難于識別；3）數(shù)據(jù)標注本身存在問題。針對上述可能，進行了大量實驗，下面將從數(shù)據(jù)不平衡和參數(shù)調(diào)優(yōu)兩個方面對模型進行進一步優(yōu)化。3.5模型優(yōu)化與評價通過前文基于LightGBM的入侵檢測方法與其它方法進行性能對比可以看出，基于lightGBM的檢測模型在檢測準確率、精確率等指標上遠優(yōu)于其他模型，并且具有較好的實時性。但是，基于LightGBM模型的入侵檢測模型還存在以下問題：


本文編號：3566435