工業(yè)控制網(wǎng)絡(luò)作為工業(yè)控制系統(tǒng)的核心組件,其安全問(wèn)題隨著網(wǎng)絡(luò)攻擊事件的持續(xù)增加而成為人們關(guān)注的焦點(diǎn)。入侵檢測(cè)作為主動(dòng)安全防御措施,可以在攻擊行為發(fā)生作用前有效檢測(cè)入侵行為,實(shí)現(xiàn)對(duì)工業(yè)控制網(wǎng)絡(luò)安全狀況的實(shí)時(shí)監(jiān)測(cè)。本文以工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)為背景,以工業(yè)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)為支撐,結(jié)合工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)需求以及機(jī)器學(xué)習(xí)技術(shù),針對(duì)現(xiàn)有技術(shù)存在的問(wèn)題,研究適用于工業(yè)控制網(wǎng)絡(luò)的入侵檢測(cè)方法。首先,分析并明確了典型工業(yè)控制網(wǎng)絡(luò)的結(jié)構(gòu)以及通信特點(diǎn);分析了工業(yè)控制網(wǎng)絡(luò)脆弱性以及存在的安全威脅,比較了其與傳統(tǒng)IT網(wǎng)絡(luò)的區(qū)別;分析了基于機(jī)器學(xué)習(xí)的入侵檢測(cè)技術(shù)要點(diǎn)及流程,明確了入侵檢測(cè)方法的評(píng)價(jià)標(biāo)準(zhǔn);最后分析了用于本文方法仿真驗(yàn)證的數(shù)據(jù)集。其次,針對(duì)工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)對(duì)于高準(zhǔn)確性和高實(shí)時(shí)性的要求,結(jié)合標(biāo)簽數(shù)據(jù)集下監(jiān)督學(xué)習(xí)算法準(zhǔn)確率較高的特點(diǎn),提出了基于LightGBM的入侵檢測(cè)方法�；趐ython建模、仿真,在準(zhǔn)確率、精確率等指標(biāo)下與其它機(jī)器學(xué)習(xí)模型進(jìn)行比較,驗(yàn)證模型的優(yōu)越性。針對(duì)LightGBM建模存在的數(shù)據(jù)不平衡和調(diào)參困難問(wèn)題,采用Nearmiss對(duì)多數(shù)類進(jìn)行欠采樣,并采用貝葉斯算法進(jìn)行參數(shù)尋優(yōu)�；趐... 

【文章來(lái)源】：哈爾濱工業(yè)大學(xué)黑龍江省 211工程院校 985工程院校

【文章頁(yè)數(shù)】：70 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

工業(yè)控制網(wǎng)絡(luò)安全事件所屬行業(yè)細(xì)分農(nóng)業(yè)急救服務(wù)其他

哈爾濱工業(yè)大學(xué)工程碩士學(xué)位論文-17-本文采用的數(shù)據(jù)為2014年由密西西比州立大學(xué)的ThomasMoms教授提供的基于Modbus協(xié)議的工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)集，圖2-6為所搭建的天然氣管道SCADA系統(tǒng)測(cè)試床及人機(jī)界面。該測(cè)試床包含壓力機(jī)、電磁減壓閥以及連接到壓縮機(jī)的小型氣密管道等，并采用PID控制方案維持管道中的氣壓[45]。圖2-6天然氣管道SCADA系統(tǒng)該數(shù)據(jù)集通過(guò)模擬各類典型攻擊作用于SCADA系統(tǒng)而提取的網(wǎng)絡(luò)流量數(shù)據(jù)。數(shù)據(jù)集包含正常數(shù)據(jù)和7類攻擊數(shù)據(jù)，共8個(gè)類別。每條數(shù)據(jù)包含1個(gè)所屬類別標(biāo)簽和26個(gè)特征數(shù)據(jù)。數(shù)據(jù)集簡(jiǎn)介如表2-3所示。表2-3攻擊形式及對(duì)應(yīng)的類別標(biāo)簽攻擊類別攻擊描述標(biāo)簽值Normal正常行為數(shù)據(jù)0NMRI簡(jiǎn)單惡意響應(yīng)注入攻擊1CMRI復(fù)雜惡意響應(yīng)注入攻擊2MSCI惡意狀態(tài)命令注入攻擊3MPCI惡意參數(shù)命令注入攻擊4MFCI惡意功能命令注入攻擊5DoS拒絕服務(wù)6Recon偵查攻擊7數(shù)據(jù)集包含有效載荷以及網(wǎng)絡(luò)流量?jī)深愄卣�。有效載荷特征描述SCADA的實(shí)時(shí)狀態(tài)，包括傳感器測(cè)量值、監(jiān)控輸入等，在面向?qū)е略O(shè)備（PLC）異常運(yùn)行的攻擊行為的檢測(cè)上非常有效。網(wǎng)絡(luò)流量特征描述SCADA的通信模式，包括設(shè)備

哈爾濱工業(yè)大學(xué)工程碩士學(xué)位論文-30-圖3-9多分類下混淆矩陣表3-5LightGBM多分類報(bào)告PrecisionRecallF1-score096.69%97.82%97.25%199.58%43.22%60.28%293.22%98.22%95.65%396.03%92.95%94.46%497.54%98.49%98.01%5100%99.13%99.56%699.45%98.37%98.90%7100%100%100%通過(guò)上面的分析可知，模型雖然總體表現(xiàn)相對(duì)較好，但在某些類別攻擊行為的識(shí)別上還不是很有效，考慮造成這樣結(jié)果的原因可能有如下：1）該類別樣本數(shù)量少，數(shù)據(jù)集不平衡，導(dǎo)致模型結(jié)果偏向多數(shù)類；2）該類別數(shù)據(jù)本身和正常樣本非常相似，難于識(shí)別；3）數(shù)據(jù)標(biāo)注本身存在問(wèn)題。針對(duì)上述可能，進(jìn)行了大量實(shí)驗(yàn)，下面將從數(shù)據(jù)不平衡和參數(shù)調(diào)優(yōu)兩個(gè)方面對(duì)模型進(jìn)行進(jìn)一步優(yōu)化。3.5模型優(yōu)化與評(píng)價(jià)通過(guò)前文基于LightGBM的入侵檢測(cè)方法與其它方法進(jìn)行性能對(duì)比可以看出，基于lightGBM的檢測(cè)模型在檢測(cè)準(zhǔn)確率、精確率等指標(biāo)上遠(yuǎn)優(yōu)于其他模型，并且具有較好的實(shí)時(shí)性。但是，基于LightGBM模型的入侵檢測(cè)模型還存在以下問(wèn)題：


本文編號(hào)：3566435