工程科学学报,第41卷,第8期:1074-1084,2019年8月 Chinese Journal of Engineering,Vol.41,No.8:1074-1084,August 2019 DOI:10.13374/j.issn2095-9389.2019.08.013;http://journals.ustb.edu.cn 变频矢量控制系统入侵检测技术 曹策,解仑四,李连鹏,王志良 北京科技大学计算机与通信工程学院,北京100083 区通信作者,E-mail:xielune@usth.edu.cn 摘要针对采用以太网控制自动化技术(EtherCAT)工业总线的感应电机交-直-交变频矢量控制系统的入侵检测技术进行 了研究.首先通过对EtherCAT总线协议进行深度解析,结合目前为止已经发现的EtherCAT工业总线常见协议漏洞,提取协 议数据包的关键特征并构建EtherCAT总线协议入侵检测规则库,采用三维指针链表树作为针对EtherCAT总线协议规则库的 检索数据结构:其次,根据感应电机交-直-交变频矢量控制系统的物理模型,进行模型参数仿真计算,并根据仿真计算值,构 建矢量控制模型入侵特征的最小二乘支持向量机(least square support vector machine,LSSVM)分类器,使用混沌粒子群优化 (choatics particle swarm optimization,CPSO)算法对分类器的参数进行优化,二者共同构成了CPSO-LSSVM入侵检测分类算 法.异常数据包在被分类后,会被传递给Suricata入侵检测引擎进行精确规则匹配:最后为该入侵检测系统搭建物理实验环 境,经过测试,本文中的交-直-交变频矢量控制模型仿真结果动态性能良好,与实际矢量控制系统参数的波形变化趋势相近. 通过抽取KDD Cu99测试数据集中的一部分对该入侵检测系统实施DOS攻击、R2L、U2R以及PROBING攻击行为,验证该入 侵检测系统的有效性 关键词变频调速系统:人侵检测技术:EtherCAT总线:最小二乘支持向量机:规则匹配 分类号TP309.2 Intrusion detection techniques of variable-frequency vector control system CAO Ce,XIE Lun,LI Lian-peng,WANG Zhi-liang School of Computer and Communication Engineering,University of Science and Technology Beijing,Beijing 100083,China XCorresponding author,E-mail:xielun@ustb.edu.en ABSTRACT As induction motors are the control core in variable-frequency speed-regulating systems,their efficient operation in in- dustrial production processes needs to be ensured.To realize this,the accuracy and security of control commands and equipment pa- rameters have been the priorities for industrial security protection research.This study aims to investigate the intrusion detection tech- niques of the AC-DC-AC variable-frequency vector control system for induction motors under EtherCAT industrial bus.First,the Eth- erCAT bus protocol is deeply analyzed,and combined with the EtherCAT industrial bus common protocol vulnerabilities that have been discovered so far,the key characteristics of the protocol data packets are extracted,and the EtherCAT bus protocol intrusion detection rule base is constructed.A three-dimensional pointer linked list tree is used as the retrieval data structure for the EtherCAT bus proto- col rule base.Second,model parameters are simulated and calculated based on the physical model of the AC-DC-AC inverter vector control system of the induction motor.Then a least-squares support vector machine (LSSVM)with the characteristics of vector control model intrusion is constructed on the basis of the simulation results,and the parameters of LSSVM classifier are optimized using the chaotic particle swarm optimization (CPSO)algorithm,both of which constitute the CPSO-LSSVM intrusion detection classification al- gorithm.After the anomaly data packets are classified,they will be transferred to the Suricata intrusion detection engine for precise rule 收稿日期:2018-11-21 基金项目:国家重点研发计划课题资助项目(2017YFB1302104):智能机器人与系统高精尖创新中心开放课题资助项目(2018RS01):国家自 然科学基金资助项目(61672093,61432004)
工程科学学报,第 41 卷,第 8 期:1074鄄鄄1084,2019 年 8 月 Chinese Journal of Engineering, Vol. 41, No. 8: 1074鄄鄄1084, August 2019 DOI: 10. 13374 / j. issn2095鄄鄄9389. 2019. 08. 013; http: / / journals. ustb. edu. cn 变频矢量控制系统入侵检测技术 曹 策, 解 仑苣 , 李连鹏, 王志良 北京科技大学计算机与通信工程学院, 北京 100083 苣通信作者, E鄄mail: xielun@ ustb. edu. cn 摘 要 针对采用以太网控制自动化技术(EtherCAT)工业总线的感应电机交鄄鄄直鄄鄄交变频矢量控制系统的入侵检测技术进行 了研究. 首先通过对 EtherCAT 总线协议进行深度解析,结合目前为止已经发现的 EtherCAT 工业总线常见协议漏洞,提取协 议数据包的关键特征并构建 EtherCAT 总线协议入侵检测规则库,采用三维指针链表树作为针对 EtherCAT 总线协议规则库的 检索数据结构;其次,根据感应电机交鄄鄄直鄄鄄交变频矢量控制系统的物理模型,进行模型参数仿真计算,并根据仿真计算值,构 建矢量控制模型入侵特征的最小二乘支持向量机( least square support vector machine, LSSVM)分类器,使用混沌粒子群优化 (choatics particle swarm optimization, CPSO)算法对分类器的参数进行优化,二者共同构成了 CPSO鄄鄄 LSSVM 入侵检测分类算 法. 异常数据包在被分类后,会被传递给 Suricata 入侵检测引擎进行精确规则匹配;最后为该入侵检测系统搭建物理实验环 境,经过测试,本文中的交鄄鄄直鄄鄄交变频矢量控制模型仿真结果动态性能良好,与实际矢量控制系统参数的波形变化趋势相近. 通过抽取 KDD Cup99 测试数据集中的一部分对该入侵检测系统实施 DOS 攻击、R2L、U2R 以及 PROBING 攻击行为,验证该入 侵检测系统的有效性. 关键词 变频调速系统; 入侵检测技术; EtherCAT 总线; 最小二乘支持向量机; 规则匹配 分类号 TP309郾 2 收稿日期: 2018鄄鄄11鄄鄄21 基金项目: 国家重点研发计划课题资助项目(2017YFB1302104);智能机器人与系统高精尖创新中心开放课题资助项目(2018IRS01);国家自 然科学基金资助项目(61672093,61432004) Intrusion detection techniques of variable鄄frequency vector control system CAO Ce, XIE Lun 苣 , LI Lian鄄peng, WANG Zhi鄄liang School of Computer and Communication Engineering, University of Science and Technology Beijing, Beijing 100083, China 苣Corresponding author, E鄄mail: xielun@ ustb. edu. cn ABSTRACT As induction motors are the control core in variable鄄frequency speed鄄regulating systems, their efficient operation in in鄄 dustrial production processes needs to be ensured. To realize this, the accuracy and security of control commands and equipment pa鄄 rameters have been the priorities for industrial security protection research. This study aims to investigate the intrusion detection tech鄄 niques of the AC鄄鄄DC鄄鄄AC variable鄄frequency vector control system for induction motors under EtherCAT industrial bus. First, the Eth鄄 erCAT bus protocol is deeply analyzed, and combined with the EtherCAT industrial bus common protocol vulnerabilities that have been discovered so far, the key characteristics of the protocol data packets are extracted, and the EtherCAT bus protocol intrusion detection rule base is constructed. A three鄄dimensional pointer linked list tree is used as the retrieval data structure for the EtherCAT bus proto鄄 col rule base. Second, model parameters are simulated and calculated based on the physical model of the AC鄄鄄DC鄄鄄AC inverter vector control system of the induction motor. Then a least鄄squares support vector machine (LSSVM) with the characteristics of vector control model intrusion is constructed on the basis of the simulation results, and the parameters of LSSVM classifier are optimized using the chaotic particle swarm optimization (CPSO) algorithm, both of which constitute the CPSO鄄鄄LSSVM intrusion detection classification al鄄 gorithm. After the anomaly data packets are classified, they will be transferred to the Suricata intrusion detection engine for precise rule
曹策等:变频矢量控制系统入侵检测技术 ·1075· matching.Finally,a physical experiment environment is built for the intrusion detection system.The simulation results of the AC-DC- AC variable-frequency vector control model in this paper show good dynamic performance,which is similar to the trend of waveform change on actual vector control system parameters.The effectiveness of the intrusion detection system is verified by extracting part of the KDD Cup99 test dataset to implement the behaviors of attacks,such as the denial of service DOS),remote-to-local (R2L),user- to-root (U2R),and Probing attacks on the intrusion detection system. KEY WORDS variable-frequency speed-regulating system;intrusion detection technology;EtherCAT bus;least-squares support vector machine;rule matching 随着“工业4.0”、“互联网+”概念的提出, 没有内在的网络层可靠性、顺序和数据完整性检测 工业现场感应电机的调速系统信息化、网络化获得 机制,所以同样容易受到以太网入侵的威胁.Eher- 越来越广泛的应用,与此同时也带来了各种信息安 CAT作为实时以太网通信手段,其时间同步机制很 全问题.由于工业现场变频调速系统环境复杂、对 容易被注入网络的干扰帧扰乱,同时由于缺少总线 矢量控制的精准性要求高,而工业防火墙等网络安 授权而容易受身份伪造或中间人攻击,同时其快速 全产品都是在威胁发生后通过升级补丁的手段进行 实时的数据敏感性也会给拒绝服务攻击(denial of “被动防御”:因此有必要结合五元组与协议解析以及 service,DoS)留下漏洞.表1为已捕捉到的实际存 机器学习,建立专门面向工控安全的主动防御机制). 在的常见EtherCAT工业总线异常行为. 目前国内外对于工业总线入侵检测与防御的研 表1常见EtherCAT通信协议异常行为 究取得了一定成果,如Colbert等)提出通过对关键 Table 1 Common EtherCAT communication protocol abnormal behavior 过程变量和过程网络参数两组数据实时监测,加强 编号 协议异常行为 系统的入侵检测能力,入侵检测系统的规则签名以 1不合法异常数据地址,端口 安全工程师和设备操作员先验知识为基础,任何可 2数据包长度异常,可能存在潜在拒接服务攻击 疑的网络数据都将被截取并通知给操作员.文献 3主/从站通信设备一直繁忙,可能存在潜在拒绝服务攻击 [4]通过工业控制系统(industrial control systems, 4通信相关计数器数值被全部清零,需重启通信会话 ICS)内部防火墙、入侵检测系统与可信连接服务器 5未经授权的EtherCAT主站读写操作 之间的联动验证机制,实现了多个网络安全设备的 6扫描EtherCAT从站D,造成信息泄露 信息交互,提高了工业控制系统的综合防御能力. 7更改收发信息方式,主,从站设备被同时隔离 文献[5]提出了结构安全、本体安全、行为安全、基 8不合法功能代码带来的异常数据操作 因安全和时间持续性的“4+1”安全防护模型,健全 发现隐患、管理威胁、预知威胁和主动修复的纵深防 1.2 EtherCAT协议数据帧解析 御体系.文献[6]将网络划分成多个安全区并在这 针对EtherCAT总线协议的分析技术具有一定 些安全区之间设置安全通信信道,根据数据传输限 的检测未知网络攻击能力,由于网络协议都具有高 制与安全要求评估工业总线参数的安全级别与敏感 度规则性与有序性),所以对于未知、违规以及非 程度,自主划分复杂数据的路由节点以及通信路径, 法协议都可以筛选出来.如图1是EtherCAT通信 该技术保证了安全系统的结构性与实时性. 协议报文,根据协议五元组与EtherCAT数据帧内的 采用多层次纵深入侵检测的安全理念已经成为 数据存储结构可以实现对协议的入侵检测. 当今工业控制系统信息安全的核心思想],为此, 分类后对EtherCAT五元组及数据位进行如表 本文以感应电机矢量控制系统为核心,围绕Eher- 2的定义. CAT总线协议与感应电机模型参数构建起总线通 1.3 EtherCAT协议入侵检测规则库建立 信与控制模型的入侵检测系统.最后通过模拟工业 为了保证针对总线协议的入侵检测规则快速高 网络攻击行为对变频控制系统入侵检测系统有效性 效的被部署到检测引擎进行模式匹配,本文采用三 进行验证 维指针链表树作为针对EtherCAT总线协议规则库 的检索数据结构.首先将规则通过响应方式划分为 1 EtherCAT工业总线入侵检测技术 Pass、Drop、Alert、Log四个大类,每一个大类中根据 1.1 EtherCAT协议漏洞 EtherCAT通信协议的特征分为五元组、参数信息两 由于EtherCAT总线协议是实时以太网协议[)], 个具体的数据位置类,五元组类下按照优先级划分
曹 策等: 变频矢量控制系统入侵检测技术 matching. Finally, a physical experiment environment is built for the intrusion detection system. The simulation results of the AC鄄鄄DC鄄鄄 AC variable鄄frequency vector control model in this paper show good dynamic performance, which is similar to the trend of waveform change on actual vector control system parameters. The effectiveness of the intrusion detection system is verified by extracting part of the KDD Cup99 test dataset to implement the behaviors of attacks, such as the denial of service (DOS), remote鄄to鄄local (R2L), user鄄 to鄄root (U2R), and Probing attacks on the intrusion detection system. KEY WORDS variable鄄frequency speed鄄regulating system; intrusion detection technology; EtherCAT bus; least鄄squares support vector machine; rule matching 随着“工业 4郾 0冶、“互联网 + 冶 概念[1] 的提出, 工业现场感应电机的调速系统信息化、网络化获得 越来越广泛的应用,与此同时也带来了各种信息安 全问题. 由于工业现场变频调速系统环境复杂、对 矢量控制的精准性要求高,而工业防火墙等网络安 全产品都是在威胁发生后通过升级补丁的手段进行 “被动防御冶;因此有必要结合五元组与协议解析以及 机器学习,建立专门面向工控安全的主动防御机制[2] . 目前国内外对于工业总线入侵检测与防御的研 究取得了一定成果,如 Colbert 等[3]提出通过对关键 过程变量和过程网络参数两组数据实时监测,加强 系统的入侵检测能力,入侵检测系统的规则签名以 安全工程师和设备操作员先验知识为基础,任何可 疑的网络数据都将被截取并通知给操作员. 文献 [4] 通过工业控制系统( industrial control systems, ICS)内部防火墙、入侵检测系统与可信连接服务器 之间的联动验证机制,实现了多个网络安全设备的 信息交互,提高了工业控制系统的综合防御能力. 文献[5]提出了结构安全、本体安全、行为安全、基 因安全和时间持续性的“4 + 1冶安全防护模型,健全 发现隐患、管理威胁、预知威胁和主动修复的纵深防 御体系. 文献[6]将网络划分成多个安全区并在这 些安全区之间设置安全通信信道,根据数据传输限 制与安全要求评估工业总线参数的安全级别与敏感 程度,自主划分复杂数据的路由节点以及通信路径, 该技术保证了安全系统的结构性与实时性. 采用多层次纵深入侵检测的安全理念已经成为 当今工业控制系统信息安全的核心思想[7] ,为此, 本文以感应电机矢量控制系统为核心,围绕 Ether鄄 CAT 总线协议与感应电机模型参数构建起总线通 信与控制模型的入侵检测系统. 最后通过模拟工业 网络攻击行为对变频控制系统入侵检测系统有效性 进行验证. 1 EtherCAT 工业总线入侵检测技术 1郾 1 EtherCAT 协议漏洞 由于 EtherCAT 总线协议是实时以太网协议[8] , 没有内在的网络层可靠性、顺序和数据完整性检测 机制,所以同样容易受到以太网入侵的威胁. Ether鄄 CAT 作为实时以太网通信手段,其时间同步机制很 容易被注入网络的干扰帧扰乱,同时由于缺少总线 授权而容易受身份伪造或中间人攻击,同时其快速 实时的数据敏感性也会给拒绝服务攻击( denial of service, DoS)留下漏洞. 表 1 为已捕捉到的实际存 在的常见 EtherCAT 工业总线异常行为. 表 1 常见 EtherCAT 通信协议异常行为 Table 1 Common EtherCAT communication protocol abnormal behavior 编号 协议异常行为 1 不合法异常数据地址、端口 2 数据包长度异常,可能存在潜在拒接服务攻击 3 主/ 从站通信设备一直繁忙,可能存在潜在拒绝服务攻击 4 通信相关计数器数值被全部清零,需重启通信会话 5 未经授权的 EtherCAT 主站读写操作 6 扫描 EtherCAT 从站 ID,造成信息泄露 7 更改收发信息方式,主、从站设备被同时隔离 8 不合法功能代码带来的异常数据操作 1郾 2 EtherCAT 协议数据帧解析 针对 EtherCAT 总线协议的分析技术具有一定 的检测未知网络攻击能力,由于网络协议都具有高 度规则性与有序性[9] ,所以对于未知、违规以及非 法协议都可以筛选出来. 如图 1 是 EtherCAT 通信 协议报文,根据协议五元组与 EtherCAT 数据帧内的 数据存储结构可以实现对协议的入侵检测. 分类后对 EtherCAT 五元组及数据位进行如表 2 的定义. 1郾 3 EtherCAT 协议入侵检测规则库建立 为了保证针对总线协议的入侵检测规则快速高 效的被部署到检测引擎进行模式匹配,本文采用三 维指针链表树作为针对 EtherCAT 总线协议规则库 的检索数据结构. 首先将规则通过响应方式划分为 Pass、Drop、Alert、Log 四个大类,每一个大类中根据 EtherCAT 通信协议的特征分为五元组、参数信息两 个具体的数据位置类,五元组类下按照优先级划分 ·1075·
·1076· 工程科学学报,第41卷,第8期 14Byte 46-1500Bvte 4 Byte 以太网帧头 以太网数据 以太网循环冗余校验(CRC) 6 Byte 6 Byte 0x88A4 2 Byte 日的地址源地址 以太网类型 EtherCAT帧头 EtherCAT命令1 EtherCAT命令n 数据帧长o1数据报头EtherCAT数据工作计数器 命令安全数据0CRC0安全数据1CRC1 1 Byte 10 Byte 2 Byte 10 Byte 2 Byte 2 Byte 2 Byte 2 Byte 命令目录寄存器地址数据桢长中断请求 1 Byte 1 Byte 4 Byte 2 Byte 2 Byte 图1 EtherCAT通信协议格式 Fig.1 Format of EtherCAT communication protocol 表2 EtherCAT五元组及参数信息对应数据位 Table 2 EtherCAT quintuple and parameter information corresponding data bits 编号 数据位 规则位置 关键字 数据解释 1 00~03 dstlP 数据目的主机地址MAC 2 04~05 dstPort 数据目的主机地址端口 3 06-09 五元组 srelp 数据源主机地址MAC 4 10~11 srePort 数据源主机地址端口 5 12~13 Protl 通信协议类型 6 5758 d 解耦所得d轴电流实际值 > 59~60 g 解耦所得g轴电流实际值 6162 I_out 电机输出电流 9 63~64 Te 电机输出转矩 o 65~66 n 电机实际转速 参数信息 11 6768 Freq_out 电机输出额率 12 79-80 0 电机母线电压检测值 13 45~46 Rec_set 电机整流侧启停命令(控制指令) 14 47~48 Invset 电机逆变侧启停命令(控制指令) 5 49-50 Freq_set 电机频率给定(控制指令) 为协议类型、源地址和目的地址检测节点,参数信息 电流调节器输出的d-g直流电压发送到脉宽调制 类则向下延伸为母线电压检测值、电机实际转速、电 (PWM)发生器,根据等效关系,求取各矢量的控制 机输出转矩、电机输出电流、电机输出频率、电机整 时间控制开关的关断产生正弦波脉宽调制(SVP 流侧启停命令、电机逆变侧启停命令、电机频率给 WM)波,最后通过全桥逆变模块送给交流电动机 定、d轴电流实际值以及g轴电流实际值10个检测 图中0代表定子磁链角度、业为转子磁链(矢量单 节点,整个规则树结构如图2所示,使用该数据结构 位)、Torque。为感应电机预测转矩、ia、i代表a、B 检索效率高,扩展方便 坐标轴上的电流转换为d-g轴直流电流、n·为感应 2变频控制系统模型入侵检测技术 电机参考转速、山·为感应电机参考磁链 本文以目前应用最为广泛的转子磁场定向矢量 2.1交-直-交变频矢量控制模型 控制作为感应电机变频调速的动态数学模型,按转 交-直-交变频控制装置作为感应电机交流调 子磁场定向两相旋转坐标系上的矢量控制方程进行 速传动系统的核心,其结构主要包含整流环节、调制 解耦,根据坐标变换理论将交流电机两个在时间相 环节和逆变环节.如图3,通过矢量分解将感应电机 位上正交的交流分量,转换为空间上正交的两个直 a-b-c三相电流(图中i,、i、i.)分解到aB坐标轴 流分量,从而把交流电机定子电流分解成励磁分量 上(图中i.、ig),与两相交流电压U。、U。构成电压型 和转矩分量两个独立的直流控制量,分别实现对电 转子磁链观测器,将观测器转子磁链角度结合前馈 机磁通和转矩的控制,然后再通过坐标变换将两个
工程科学学报,第 41 卷,第 8 期 图 1 EtherCAT 通信协议格式 Fig. 1 Format of EtherCAT communication protocol 表 2 EtherCAT 五元组及参数信息对应数据位 Table 2 EtherCAT quintuple and parameter information corresponding data bits 编号 数据位 规则位置 关键字 数据解释 1 00 ~ 03 2 04 ~ 05 3 06 ~ 09 4 10 ~ 11 5 12 ~ 13 五元组 dstIP 数据目的主机地址 MAC dstPort 数据目的主机地址端口 srcIP 数据源主机地址 MAC srcPort 数据源主机地址端口 Protl 通信协议类型 6 57 ~ 58 7 59 ~ 60 8 61 ~ 62 9 63 ~ 64 10 65 ~ 66 11 67 ~ 68 12 79 ~ 80 13 45 ~ 46 14 47 ~ 48 15 49 ~ 50 参数信息 Id 解耦所得 d 轴电流实际值 Iq 解耦所得 q 轴电流实际值 I_out 电机输出电流 Te 电机输出转矩 n 电机实际转速 Freq_out 电机输出频率 U 电机母线电压检测值 Rec_set 电机整流侧启停命令(控制指令) Inv_set 电机逆变侧启停命令(控制指令) Freq_set 电机频率给定(控制指令) 为协议类型、源地址和目的地址检测节点,参数信息 类则向下延伸为母线电压检测值、电机实际转速、电 机输出转矩、电机输出电流、电机输出频率、电机整 流侧启停命令、电机逆变侧启停命令、电机频率给 定、d 轴电流实际值以及 q 轴电流实际值 10 个检测 节点,整个规则树结构如图 2 所示,使用该数据结构 检索效率高,扩展方便. 2 变频控制系统模型入侵检测技术 2郾 1 交鄄鄄直鄄鄄交变频矢量控制模型 交鄄鄄直鄄鄄交变频控制装置作为感应电机交流调 速传动系统的核心,其结构主要包含整流环节、调制 环节和逆变环节. 如图 3,通过矢量分解将感应电机 a鄄鄄 b鄄鄄 c 三相电流(图中 i a、i b 、i c)分解到 琢、茁 坐标轴 上(图中 i琢 、i 茁 ),与两相交流电压 U琢 、U茁 构成电压型 转子磁链观测器,将观测器转子磁链角度结合前馈 电流调节器输出的 d鄄鄄 q 直流电压发送到脉宽调制 (PWM)发生器,根据等效关系,求取各矢量的控制 时间控制开关的关断产生正弦波脉宽调制( SVP鄄 WM)波,最后通过全桥逆变模块送给交流电动机. 图中 兹 代表定子磁链角度、鬃rd为转子磁链(矢量单 位)、Torquee 为感应电机预测转矩、i sd 、i sq代表 琢、茁 坐标轴上的电流转换为 d鄄鄄 q 轴直流电流、n * 为感应 电机参考转速、鬃 *为感应电机参考磁链. 本文以目前应用最为广泛的转子磁场定向矢量 控制作为感应电机变频调速的动态数学模型,按转 子磁场定向两相旋转坐标系上的矢量控制方程进行 解耦,根据坐标变换理论将交流电机两个在时间相 位上正交的交流分量,转换为空间上正交的两个直 流分量,从而把交流电机定子电流分解成励磁分量 和转矩分量两个独立的直流控制量,分别实现对电 机磁通和转矩的控制,然后再通过坐标变换将两个 ·1076·
曹策等:变频矢量控制系统入侵检测技术 ·1077· 二维 Pass Drop Alert Log 二维 五元组 参数信总 协议类型 母线电压 实际转速 输出转矩 协议规则 Next Next Next 输出信息Prol State U State n State Te Next Deteet U Detect n Detect Te 源地址 母线电压规则 实际转速规则 输出转矩规则 源地址规则 日志输出 日志输出 日志输出 输出信息srC Null Null Null Next 当前输出转矩 目的地址 当前实际转速 Tc输出 目的地址规则 当前母线电压 n输出 输出信息dst U输出 三维 Null 图2三维指针链表规侧树结构 Fig.2 Three-dimensional pointer linked list rule tree structure 平衡 负载 交流 定子磁链 电机 坐标分解 转矩和 开关控制 逆变桥 产生PWM 逆变 角度估计 Torque Park变换 直流 运算控制 d-4 ld 坐标 电流 n 参考转速 分解 前馈器 参考磁链 图3感应电机交流调速原理 Fig.3 Principle of induction motor AC speed regulation 独立的直流控制量还原为交流时变量来控制交流电 iB(k+2)= 机,实现了像直流电机那样独立控制磁通和转矩的 目的o] (_+R)k+D+ 8L.L T业e(k+I)- SL L,T, 2.2电机模型参数仿真计算 根据转子磁场定向的交直交变频矢量控制模型 立Ta+Ie++,+)(a) 理论基础与控制方程,本文中的感应电机矢量控制 式中:T为采样周期;i.(k+1)、i(k+1)、中a(k+ 模型仿真计算方式采用具有延时补偿作用的感应电 1)和中(k+1)分别为(k+1)时刻定子电流与转子 机模型预测算法[山,由于数字控制系统存在的一拍 磁链的aB轴分量,ia(k+2)、is(k+2)为(k+2) 延迟,导致最优电压矢量延时作用,所以需要将(k+1) 时刻定子电流与转子磁链的a、B轴分量;“a(k+ 时刻(k代表时间变量,取值范围(0,+∞)的离散 1)、“(k+1)为(k+1)时感应电机定子输入电压的 化磁链矢量中g(k+1)、定子电流矢量is(k+1) aB轴分量:w,(k+1)为k+1时刻转子角速度;R, 以及8种基础电压矢量,(k+1),共同迭代推算出 为定子电阻,R,为转子电阻,L为定子电感,L,为转 (k+2)时刻的定子电流矢量ie(k+2),此时ie(k+ 子电感,L为互感,T=L/R为转子电磁时间常 2)才是真正的预测值. 数:6=1-L./L,L,为电机漏磁系数. i.(k+2)= 将i(k+2)带入价值函数的运算得到最优电 (1.R+R 、LmT 压矢量(k+I),通过这一系列的变换控制得到最 8L,L2 )T.(+)+7.k+)+ 终k+1时刻的开关序列,并将序列中的参数循环迭 -Tu,(k+1)地e(k+1)+4(k+1)(1 代进下一次模型预测中]实现感应电机模型动态 8L,L, 仿真计算.将模型仿真计算值i(k+2)进行d-q
曹 策等: 变频矢量控制系统入侵检测技术 图 2 三维指针链表规则树结构 Fig. 2 Three鄄dimensional pointer linked list rule tree structure 图 3 感应电机交流调速原理 Fig. 3 Principle of induction motor AC speed regulation 独立的直流控制量还原为交流时变量来控制交流电 机,实现了像直流电机那样独立控制磁通和转矩的 目的[10] . 2郾 2 电机模型参数仿真计算 根据转子磁场定向的交直交变频矢量控制模型 理论基础与控制方程,本文中的感应电机矢量控制 模型仿真计算方式采用具有延时补偿作用的感应电 机模型预测算法[11] ,由于数字控制系统存在的一拍 延迟,导致最优电压矢量延时作用,所以需要将(k +1) 时刻(k 代表时间变量,取值范围(0, + 肄 ))的离散 化磁链矢量 鬃r琢茁 ( k + 1)、定子电流矢量 i s琢茁 ( k + 1) 以及 8 种基础电压矢量 ui(k + 1),共同迭代推算出 (k +2)时刻的定子电流矢量 i s琢茁 (k + 2),此时 i s琢茁 (k + 2)才是真正的预测值. i s琢(k +2) ( = 1 - RsL 2 r + RrL 2 m 啄LsL 2 ) r Ts i s琢(k +1) + LmTs 啄LsLrTr 鬃r琢(k +1) + Lm 啄LsLr Ts棕r(k +1)鬃r茁 (k +1) + Ts 啄Ls us琢(k +1) (1) i s茁 (k +2) ( = 1 - RsL 2 r + RrL 2 m 啄LsL 2 ) r Ts i s茁 (k +1) + LmTs 啄LsLrTr 鬃r茁 (k +1) - Lm 啄LsLr Ts棕r(k +1)鬃r茁 (k +1) + Ts 啄Ls us茁 (k +1) (2) 式中:Ts 为采样周期;i s琢 (k + 1)、i s茁 ( k + 1)、鬃r琢 ( k + 1)和 鬃r茁 (k + 1)分别为(k + 1)时刻定子电流与转子 磁链的 琢、茁 轴分量,i s琢 ( k + 2)、i s茁 ( k + 2)为( k + 2) 时刻定子电流与转子磁链的 琢、茁 轴分量;us琢 ( k + 1)、us茁 (k + 1)为(k + 1)时感应电机定子输入电压的 琢、茁 轴分量;棕r (k + 1)为 k + 1 时刻转子角速度;Rs 为定子电阻,Rr 为转子电阻,Ls 为定子电感,Lr 为转 子电感,Lm 为互感,Tr = Lr / Rr 为转子电磁时间常 数;啄 = 1 - Lm / LsLr 为电机漏磁系数. 将 i s琢茁 (k + 2)带入价值函数的运算得到最优电 压矢量 u(k + 1),通过这一系列的变换控制得到最 终 k + 1 时刻的开关序列,并将序列中的参数循环迭 代进下一次模型预测中[12] 实现感应电机模型动态 仿真计算. 将模型仿真计算值 i s琢茁 ( k + 2)进行 d鄄鄄 q ·1077·
·1078· 工程科学学报,第41卷,第8期 轴解耦得到(k+2)时刻定子电流在d轴和g轴的分 电流合理区间,”为(k+2)时刻的定子电流g轴分 量4(k+2)和in(k+2),两个分量的大小为i4(k+2) 量预测值,,(k+2)±△i,是基于q轴预测值的电流 和i,(k+2).同时,量化当前电压裕度下的电机 合理区间,i“(k)和(k)为Clak变换后的k时刻 d-q轴允许变化范围△i4、△i,将i4(k+2)±△i4、 定子电流预测值,ω:为码盘返回的转子角速度修正 ,(k+2)±△i,的值作为感应电机模型参数仿真计 值,业:为系统中转子磁链的反馈值.电流允许变化 算阀值,在有限时域内将多电机参数、多控制指令、 范围△i、△i。的计算方法为: 多约束条件下的感应电机矢量控制模型参数进行迭 代更新,用于实时监控告警,如图4,Clark22为两相 △id= SL,R,wAV+(1-L:@2 AVa (3) R:+LR.@ 旋转坐标的电流(d-g轴)分量通过Clark变换成两 △in= R,△Vn-Lω.△V (4) 相静止坐标轴下的电流(α-B轴)分量的转换器, R2+6L2w2 Clark32,为三相静止坐标的电流(a-b-c)分量通过 其中:△Va=Vm-Va(k),△Ve=Vmm-V(k): Clak变换成两相静止坐标轴下的电流(a-B轴)分 V.(k)、V(k)分别为第k个采样点的d-g坐标系电 量的转换器,图中,”为(k+2)时刻的定子电流d 压;VmVma为d轴、g轴电流调节器的输出饱和 轴分量预测值,ia(k+2)±△i4是基于d轴预测值的 值:L.为定子电感:R为定子电阻:ω为同步角速度 ik+2)±△i, +2±△ 转速 价值 状态 控制器 函数 (k+1) SVPWM 最优 更新 开 逆变器 控制 序列 o+2) w.k+1)- 延时补偿 4k+10i=0,1,…,7) iek+1)中k+1) Clark. 预测 i 模型 公式 磁链 观测 码盘 图4感应电机仿真计算结构图 Fig.4 Structure of the induction motor simulation calculation 2.3入侵检测分类算法 二次损失函数将原算法中的二次寻找最优转换为求 入侵检测分类器的实现主要通过机器学习训练 解线性方程,使得分类运算速度显著提高,使LSS- 特征样本后进行特征匹配[],当前在入侵检测分类 VM算法满足EtherCAT工业控制总线网络入侵检 器算法中,检测效果较好的包括遗传算法、神经网 测实时性要求. 络、支持向量机等:遗传算法与神经网络适用于实时 而针对LSSVM分类器的惩罚参数以及核函数 性要求不高,异常数据种类多,主机运算处理能力好 参数的选择与优化也存在各种不同的算法,其中混 的高性能计算机:而针对训练样本集合较少、简单数 沌粒子群优化算法以其流程简单、参数少、易于实现 据无法映射到更高维度、分类陷入局部最优问题的 的群体智能随机优化参数能力成为网络状态特征提 情况下,支持向量机拥有很大优势.针对工业控制 取与分类器参数优化的主要选择.所以本文采用由 系统对实时性与准确性的要求,其总线数据的入侵 混沌粒子群优化算法选择网络状态特征和最小二乘 检测属于对“正常数据”和“异常数据”进行区分的 支持向量机]分类器参数的网络入侵检测模 典型二分类问题],需要入侵检测算法拥有优异的 型CPSO-LSSVM. 泛化能力并压缩样本训练时间,其中,最小二乘支持 如图5,通过将网络状态进行预处理得到对应 向量机作为传统支持向量机的特殊算法,通过构造 的网络特征,然后采用混沌粒子群优化算法,根据电
工程科学学报,第 41 卷,第 8 期 轴解耦得到(k + 2)时刻定子电流在 d 轴和 q 轴的分 量 i d (k +2)和 i q(k +2),两个分量的大小为 i d (k + 2) 和 i q( k + 2). 同时,量化当前电压裕度下的电机 d鄄鄄 q 轴允许变化范围 驻i d 、驻i q,将 i d ( k + 2) 依 驻i d 、 i q(k + 2) 依 驻i q 的值作为感应电机模型参数仿真计 算阀值,在有限时域内将多电机参数、多控制指令、 多约束条件下的感应电机矢量控制模型参数进行迭 代更新,用于实时监控告警,如图 4,Clark2r/ 2s为两相 旋转坐标的电流(d鄄鄄 q 轴)分量通过 Clark 变换成两 相静止坐标轴下的电流(琢鄄鄄 茁 轴) 分量的转换器, Clark3s/ 2s为三相静止坐标的电流(a鄄鄄 b鄄鄄 c)分量通过 Clark 变换成两相静止坐标轴下的电流(琢鄄鄄 茁 轴)分 量的转换器,图中,i * sd 为( k + 2) 时刻的定子电流 d 轴分量预测值,i d (k + 2) 依 驻i d 是基于 d 轴预测值的 电流合理区间,i * sq 为(k + 2)时刻的定子电流 q 轴分 量预测值,i q(k + 2) 依 驻i q 是基于 q 轴预测值的电流 合理区间,i * s琢 (k)和 i * s茁 (k)为 Clark 变换后的 k 时刻 定子电流预测值,棕 * rd 为码盘返回的转子角速度修正 值,鬃 * rd 为系统中转子磁链的反馈值. 电流允许变化 范围 驻i d 、驻i q 的计算方法为: 驻i d = 啄LsRs棕e驻Vqs + (1 - 啄L 2 s 棕 2 e )驻Vds R 3 s + 啄L 2 s Rs棕 2 e (3) 驻i q = Rs驻Vqs - Ls棕e驻Vds R 2 s + 啄L 2 s 棕 2 e (4) 其中:驻Vds = Vds_max - Vds ( k),驻Vqs = Vqs_max - Vqs ( k); Vds(k)、Vqs(k)分别为第 k 个采样点的 d鄄鄄q 坐标系电 压;Vds_max、Vqs_max为 d 轴、q 轴电流调节器的输出饱和 值;Ls 为定子电感;Rs 为定子电阻;棕e 为同步角速度. 图 4 感应电机仿真计算结构图 Fig. 4 Structure of the induction motor simulation calculation 2郾 3 入侵检测分类算法 入侵检测分类器的实现主要通过机器学习训练 特征样本后进行特征匹配[13] ,当前在入侵检测分类 器算法中,检测效果较好的包括遗传算法、神经网 络、支持向量机等;遗传算法与神经网络适用于实时 性要求不高,异常数据种类多,主机运算处理能力好 的高性能计算机;而针对训练样本集合较少、简单数 据无法映射到更高维度、分类陷入局部最优问题的 情况下,支持向量机拥有很大优势. 针对工业控制 系统对实时性与准确性的要求,其总线数据的入侵 检测属于对“正常数据冶和“异常数据冶进行区分的 典型二分类问题[14] ,需要入侵检测算法拥有优异的 泛化能力并压缩样本训练时间,其中,最小二乘支持 向量机作为传统支持向量机的特殊算法,通过构造 二次损失函数将原算法中的二次寻找最优转换为求 解线性方程,使得分类运算速度显著提高,使 LSS鄄 VM 算法满足 EtherCAT 工业控制总线网络入侵检 测实时性要求. 而针对 LSSVM 分类器的惩罚参数以及核函数 参数的选择与优化也存在各种不同的算法,其中混 沌粒子群优化算法以其流程简单、参数少、易于实现 的群体智能随机优化参数能力成为网络状态特征提 取与分类器参数优化的主要选择. 所以本文采用由 混沌粒子群优化算法选择网络状态特征和最小二乘 支持向 量 机[15] 分 类 器 参 数 的 网 络 入 侵 检 测 模 型———CPSO鄄鄄LSSVM. 如图 5,通过将网络状态进行预处理得到对应 的网络特征,然后采用混沌粒子群优化算法,根据电 ·1078·
曹策等:变频矢量控制系统入侵检测技术 ·1079· LSSVM初始化I 混沌粒子群优化 模型参数仿真计算 SSVM参数优化 最优LSSVME参数 人侵状态子集 人侵特征向量子集 LSSVM.人侵检测分类 数据包 →处理网络特征失量控制模型人侵检测了检测结果 图5基于CPS0-LSSVM人侵检测分类器检测流程 Fig.5 Intrusion detection classifier detection process based on CPSO-LSSVM 机模型参数仿真计算出的矢量控制参数阈值区间, 根据上式发现,越大,表示粒子群中个体的 定义异常数据入侵特征向量子集与最优LSSVM分 聚集程度越小,2越小,表示粒子群中个体的聚集 类器参数,将得到的最优LSSVM参数下的入侵检测 程度越大,随着更新次数的增加,粒子群中个体的聚 分类器进行全局匹配.CPS0优化LSSVM参数的具 集程度越大粒子群差异越来越小,如果相邻两次的 体步骤为: 的差值小于阀值Q,则采取混沌扰动的方式帮助 (1)随机产生一组初始粒子,粒子群规模为 向量机分类的最优解逃离局部最优的“早熟” 10000,该组粒子位置串的信息包括早熟阀值Q,适 现象[6] 应度标准差Ω网络状态特征子集 (5)对粒子群粒子适应度个体集合位置向量g= (2)对粒子位置串进行反编码,计算初始粒子 [g1,g2,…,gm]通过映射关系映射到Logistic方程 适应度值(s)=AE+(1-A)把,其中,dm为 的定义域[0,1]上的集合为Z=[1,2,…,],其 选择特征子集s的维数:D为网络入侵检测候选特 中映射关系为=号二,i=1,2,…,dim,46,为第 征集的维数;Em为分类错误率;入为分类错误率权 b:-a; 重系数,A=m当特征子集增加一维,人侵 i个粒子的位置向量的上下界 对Logistics方程z+1=,(1-z)进行i次迭代 检测错误率减少x. 得到混沌序列zm,其中u为Logistics方程的控制 (3)根据粒子的速度(n+1)=入(n)+ 参量,将zm逆映射回原解空间得到一组混沌变量 G(P-(n)C2(P-x(n)与位置x(n+ 可解序列:g=a:+(b:-a:),在原解空间对每一 1)=x(n)+入.x(n+1),j=1,2,…,dim计算公 个混沌变量计算其适应度值,比较得到新的最优解, 式,产生新一代粒子群.其中,(n+1)x(n+1) 为(n+1)时刻随机粒子i的速度与位置,PP则 其值将覆盖原来的g.be 均为随机粒子特征子集,,(n)、x,(n)为n时刻随 (6)遍历每一个粒子,当其适应度值t(g:)优 机粒子ij的速度与位置,c1、c2为加速度系数,一般 于历史最优适应度t(g),则将该粒子串作为混 设定为2,1、2为[0,1]区间内的随机数,入,为惯性 沌粒子群算法个体最优解:同理,遍历每一个粒子 权重.在dim维的搜索空间中,第i个粒子的最优位 群,当其适应度值t(S:)优于历史最优适应度t 置用g:=(g1,g2,…,gm)表示,即g.em;此时的粒 (Sg),则将该粒子串作为混沌粒子群算法群体最 子群最优位置即为Sg 优解.其中,S,为第i个粒子作为最优位置时的粒 (4)计算粒子群的适应度方差=立 子群位置,g:为第i个粒子的位置. (7)找到的最优解的早熟阀值Q、适应度标准 ,-),其中N为混沌粒子群预设粒子数量, 差2以及网络状态特征子集将被用于构建LSSVM fit 分类决策函数中[7) 本文采用N=10000,t:为第i个粒子串的适应度, ft为粒子群平均适应度,ft为归一化标定因子,其 fit(in)=sgn ae(-)+m) 2 计算公式为: (fit-fit max Ifit -fit (6) 其中,in:,in是输入特征向量,m是LSSVM模型参 1, max Ifit,-fitavg|≤1 数,a:为Lagrange乘子.由此,将混沌粒子群优化后 (5) 的适应度标准差以及控制模型参数入侵特征向量子
曹 策等: 变频矢量控制系统入侵检测技术 图 5 基于 CPSO鄄鄄LSSVM 入侵检测分类器检测流程 Fig. 5 Intrusion detection classifier detection process based on CPSO鄄鄄LSSVM 机模型参数仿真计算出的矢量控制参数阈值区间, 定义异常数据入侵特征向量子集与最优 LSSVM 分 类器参数,将得到的最优 LSSVM 参数下的入侵检测 分类器进行全局匹配. CPSO 优化 LSSVM 参数的具 体步骤为: (1) 随机产生一组初始粒子,粒子群规模为 10000,该组粒子位置串的信息包括早熟阀值 Q,适 应度标准差 赘 网络状态特征子集. (2) 对粒子位置串进行反编码,计算初始粒子 适应度值 fit(s) = 姿Eerror + (1 - 姿) dim D ,其中,dim 为 选择特征子集 s 的维数;D 为网络入侵检测候选特 征集的维数;Eerror为分类错误率;姿 为分类错误率权 重系数,姿 = 100 100 + D·x ,当特征子集增加一维,入侵 检测错误率减少 x. (3)根据粒子的速度 vi,j ( n + 1) = 姿s vi,j ( n) + c1 r1 (pi,j - vi,j(n))·c2 r2 (pg,j - xi,j (n))与位置 xi,j (n + 1) = xi,j(n) + 姿s·xi,j(n + 1),j = 1,2,…,dim 计算公 式,产生新一代粒子群. 其中,vi,j(n + 1)、xi,j(n + 1) 为(n + 1)时刻随机粒子 i、j 的速度与位置,pi,j、pg,j 均为随机粒子特征子集,vi,j (n)、xi,j (n)为 n 时刻随 机粒子 i、j 的速度与位置,c1 、c2 为加速度系数,一般 设定为 2,r1 、r2 为[0,1]区间内的随机数,姿s 为惯性 权重. 在 dim 维的搜索空间中,第 i 个粒子的最优位 置用 gi = (gi1 ,gi2 ,…,gidim )表示,即 gi,best;此时的粒 子群最优位置即为 Sg,best . (4 ) 计 算 粒 子 群 的 适 应 度 方 差 赘 2 = 移 N i = ( 1 fit i - fit avg ) fit ,其中 N 为混沌粒子群预设粒子数量, 本文采用 N = 10000,fit i 为第 i 个粒子串的适应度, fit avg为粒子群平均适应度,fit 为归一化标定因子,其 计算公式为: fit = max 1臆i臆N | fit i - fit avg | , max | fit i - fit avg | > 1 1, max | fit i - fit avg |臆 { 1 (5) 根据上式发现,赘 2 越大,表示粒子群中个体的 聚集程度越小,赘 2 越小,表示粒子群中个体的聚集 程度越大,随着更新次数的增加,粒子群中个体的聚 集程度越大粒子群差异越来越小,如果相邻两次的 赘 2 的差值小于阀值 Q,则采取混沌扰动的方式帮助 向量 机 分 类 的 最 优 解 逃 离 局 部 最 优 的 “ 早 熟冶 现象[16] . (5) 对粒子群粒子适应度个体集合位置向量 g = [g1 ,g2 ,…,gdim ]通过映射关系映射到 Logistic 方程 的定义域[0,1]上的集合为 Z = [ z1 ,z2 ,…,zdim ],其 中映射关系为 zi = gi - ai bi - ai ,i = 1,2,…,dim,ai、bi 为第 i 个粒子的位置向量的上下界. 对 Logistics 方程 zi + 1 = 滋zi(1 - zi)进行 i 次迭代 得到混沌序列 z (m) i ,其中 滋 为 Logistics 方程的控制 参量,将 z (m) i 逆映射回原解空间得到一组混沌变量 可解序列:g m i = ai + (bi - ai) z m i ,在原解空间对每一 个混沌变量计算其适应度值,比较得到新的最优解, 其值将覆盖原来的 gi,best . (6) 遍历每一个粒子,当其适应度值 fit( gi)优 于历史最优适应度 fit(gi,best),则将该粒子串作为混 沌粒子群算法个体最优解;同理,遍历每一个粒子 群,当其适应度值 fit( Si ) 优于历史最优适应度 fit (Sg,best),则将该粒子串作为混沌粒子群算法群体最 优解. 其中,Si 为第 i 个粒子作为最优位置时的粒 子群位置,gi 为第 i 个粒子的位置. (7) 找到的最优解的早熟阀值 Q、适应度标准 差 赘 以及网络状态特征子集将被用于构建 LSSVM 分类决策函数中[17] fit(in) = sgn ( 移 N i = 1 琢i exp ( - 椰ini - inj椰2 2赘 2 ) + m ) (6) 其中,ini,inj 是输入特征向量,m 是 LSSVM 模型参 数,琢i 为 Lagrange 乘子. 由此,将混沌粒子群优化后 的适应度标准差以及控制模型参数入侵特征向量子 ·1079·
·1080· 工程科学学报,第41卷,第8期 集带入LSSVM分类器的分类函数中,计算所得到的 suricata/explain文件中,相关解释网址可以在工业 t(x)≥0时,认定该输入向量为正常向量,反之,当 和信息化部相关研究所官方网站查询,ul,www. ft(x)=-1时,代表该输入向量中包含有网络入侵 etiri.com.cn. 向量子集.在面向感应电机变频矢量控制模型参数 pcre:“/[0-9]{6}/”;兼容正则表达式库 的入侵检测过程中,LSSVM两分类器通过一对一的 Perl Compatible Regular Expressions关键字通过设置 方式构建了包含电机篡改频率给定、注入错误转速、 一系列“规则字符串”将数据包中的一些特定字符/ 修改冷风启动限制、注入错误母线电压以及频繁启 字符组合过滤出来进行签名匹配,但是pcre的复杂 停电机的多分类器[18].当包含有输入向量的数据 性也带来了过高的系统时间开销,这将影响检测性 包进入分类器后,LSSVM首先对数据包是否包含篡 能,为了降低对pcre的反复检查,Suricata会优先将 改频率给定入侵向量子集进行判断,若包含,则触发 规则内容与数据包进行匹配,匹配不到之后才会调 电机频率给定规的Suricata入侵检测,若不包含, 用正则表达库进行检索与匹配 则对数据包进行是否包含注入错误转速入侵向量子 3模型构建及实验结果 集进行判断,以此类推.当多分类器完成遍历,则进 入下一个数据包的LSSVM判断. 为本文设计的入侵检测系统所搭建的物理环境 2.4 Suricata入侵检测引擎 如图6,负责控制电机的变频设备之间通过标准网 Suricata框架本身在局域网络、广域网络中检测 络双绞线连接,网络接口支持全双工通信方式(读 威胁,应对网络攻击并生成日志方面具有非常快速 操作RX与写操作TX均可在同一网口进行),总线 的响应时间,鲁棒性良好.该引擎能够高效的进行 协议为EtherCAT,通过在变频设备与EtherCAT主 实时入侵检测,入侵防御,网络安全监控(network 站工控机之间部署镜像复制设备,在不影响通信实 security monitor,NSM)和离线pcap处理的多线程任 时性的基础上,总线数据将被完整复制到工业协议 务[i9],支持Pv4、Pv6,同时可加载snort规则和 入侵检测网关中,网关中集成了入侵异常检测模块 签名. 将海量EtherCAT包进行指令包/数据包数据处理并 Suricata入侵检测引擎的规则格式一般为: 对恶意流量包进行检测告警,完成通信链路上的入 name:settings;Suricata拥有丰富的规则选项设置, 侵检测:被保留的有效载荷将上传到工业主机中, 如Meta-settings、Payload Keywords、HTTP Keywords、 Suricata入侵检测引擎通过访问根目录规则集对感 DNS Keywords,Flow Keywords,IP Reputation Rules. 应电机变频矢量控制关键参数进行异常检测 下面列举几种常见的规则选项实例: 本文在交-直-交变频矢量控制系统电机参数 msg:"Abnormal rotor speed,Please check the 入侵检测研究的模型仿真计算过程中,设置了基于 system!”.关键字msg为签名和可能存在的异常告 Matlab R20l4a-Simulink仿真环境用于标么真实感 警提供更多的描述信息.例如LSSVM分类器中的 应电机的参数,标幺用电机模型的参数如下表: 电机篡改频率给定可以通过msg规则选项定义对应 表3仿真环境下感应电机参数 的检测消息:msg:“Rotor setting tampered”,而入侵 Table 3 Induction motor parameters under simulation environment 检测系统检测到有注入错误转速的模型入侵特征 参数 额定值 参数 额定值 时,则会弹出告警信息“Abnormal rotor speed,Please 额定功率,P/W 5000 额定电压,V、/V 380 check the system!”,该信息就存储在Suricata入侵检 极对数,nopp 4 额定频率人/ 50 测规则库中msg规则选项中. 定子电阻,R/D 2.92 定子电感,L,/H 0.013 reference:url,www.info.nl;关键字reference直 转子电阻,R/n1.92 转子电感,L/H 0.013 接指出与该签名相关的信息与解决方法的网址链 定、转子互感,Lm/H0.358 转动惯量,J/(kgm2)0.1 接,reference关键字可以在规则签名中多次出现,其 中url是引用的类型(包括system,cve、bugtraq等), 仿真环境下电机首先启动并达到转速稳定,在 后边的网址是引用地址.本文将电机篡改频率给 第1秒突加25Nm的负载,第2秒突甩25Nm的 定、注入错误转速、修改冷风启动限制、注入错误母 负载,第3秒对电机进行紧急制动,电机快速停转. 线电压以及频繁启停电机五种入侵检测特征描述与 运行过程中的各参数变化趋势如图7~图9,电机空 感应电机各参数的耦合关系与矢量控制物理模型的 载启动,转矩瞬时值和三相电流较大,0.19s时模拟 相关解释存储在了Linux系统根目录下的/var/og/ 电机转速、电流与转矩趋于稳定,在突加负载和突甩
工程科学学报,第 41 卷,第 8 期 集带入 LSSVM 分类器的分类函数中,计算所得到的 fit(x)逸0 时,认定该输入向量为正常向量,反之,当 fit(x) = - 1 时,代表该输入向量中包含有网络入侵 向量子集. 在面向感应电机变频矢量控制模型参数 的入侵检测过程中,LSSVM 两分类器通过一对一的 方式构建了包含电机篡改频率给定、注入错误转速、 修改冷风启动限制、注入错误母线电压以及频繁启 停电机的多分类器[18] . 当包含有输入向量的数据 包进入分类器后,LSSVM 首先对数据包是否包含篡 改频率给定入侵向量子集进行判断,若包含,则触发 电机频率给定规则的 Suricata 入侵检测,若不包含, 则对数据包进行是否包含注入错误转速入侵向量子 集进行判断,以此类推. 当多分类器完成遍历,则进 入下一个数据包的 LSSVM 判断. 2郾 4 Suricata 入侵检测引擎 Suricata 框架本身在局域网络、广域网络中检测 威胁,应对网络攻击并生成日志方面具有非常快速 的响应时间,鲁棒性良好. 该引擎能够高效的进行 实时入侵检测,入侵防御,网络安全监控( network security monitor, NSM)和离线 pcap 处理的多线程任 务[19] ,支持 IPv4、 IPv6, 同时可加载 snort 规则和 签名. Suricata 入 侵 检 测 引 擎 的 规 则 格 式 一 般 为: name: settings; Suricata 拥有丰富的规则选项设置, 如 Meta鄄settings、Payload Keywords、HTTP Keywords、 DNS Keywords、Flow Keywords、IP Reputation Rules. 下面列举几种常见的规则选项实例: msg: “ Abnormal rotor speed, Please check the system!冶. 关键字 msg 为签名和可能存在的异常告 警提供更多的描述信息. 例如 LSSVM 分类器中的 电机篡改频率给定可以通过 msg 规则选项定义对应 的检测消息:msg: “Rotor setting tampered冶,而入侵 检测系统检测到有注入错误转速的模型入侵特征 时,则会弹出告警信息“Abnormal rotor speed, Please check the system!冶,该信息就存储在 Suricata 入侵检 测规则库中 msg 规则选项中. reference: url,www. info. nl; 关键字 reference 直 接指出与该签名相关的信息与解决方法的网址链 接,reference 关键字可以在规则签名中多次出现,其 中 url 是引用的类型(包括 system、cve、bugtraq 等), 后边的网址是引用地址. 本文将电机篡改频率给 定、注入错误转速、修改冷风启动限制、注入错误母 线电压以及频繁启停电机五种入侵检测特征描述与 感应电机各参数的耦合关系与矢量控制物理模型的 相关解释存储在了 Linux 系统根目录下的/ var/ log / suricata / explain 文件中,相关解释网址可以在工业 和信息化部相关研究所官方网站查询,url, www. etiri. com. cn. pcre:“ / [0 - 9 ] {6 } / 冶; 兼容正则表达式库 Perl Compatible Regular Expressions 关键字通过设置 一系列“规则字符串冶将数据包中的一些特定字符/ 字符组合过滤出来进行签名匹配,但是 pcre 的复杂 性也带来了过高的系统时间开销,这将影响检测性 能,为了降低对 pcre 的反复检查,Suricata 会优先将 规则内容与数据包进行匹配,匹配不到之后才会调 用正则表达库进行检索与匹配. 3 模型构建及实验结果 为本文设计的入侵检测系统所搭建的物理环境 如图 6,负责控制电机的变频设备之间通过标准网 络双绞线连接,网络接口支持全双工通信方式(读 操作 RX 与写操作 TX 均可在同一网口进行),总线 协议为 EtherCAT,通过在变频设备与 EtherCAT 主 站工控机之间部署镜像复制设备,在不影响通信实 时性的基础上,总线数据将被完整复制到工业协议 入侵检测网关中,网关中集成了入侵异常检测模块 将海量 EtherCAT 包进行指令包/ 数据包数据处理并 对恶意流量包进行检测告警,完成通信链路上的入 侵检测;被保留的有效载荷将上传到工业主机中, Suricata 入侵检测引擎通过访问根目录规则集对感 应电机变频矢量控制关键参数进行异常检测. 本文在交鄄鄄直鄄鄄 交变频矢量控制系统电机参数 入侵检测研究的模型仿真计算过程中,设置了基于 Matlab R2014a鄄鄄 Simulink 仿真环境用于标幺真实感 应电机的参数,标幺用电机模型的参数如下表: 表 3 仿真环境下感应电机参数 Table 3 Induction motor parameters under simulation environment 参数 额定值 参数 额定值 额定功率,P/ W 5000 额定电压,VN / V 380 极对数,nopp 4 额定频率,fN / Hz 50 定子电阻,Rs / 赘 2郾 92 定子电感,Ls / H 0郾 013 转子电阻,Rr / 赘 1郾 92 转子电感,Lr / H 0郾 013 定、转子互感,Lm / H 0郾 358 转动惯量,J / (kg·m 2 ) 0郾 1 仿真环境下电机首先启动并达到转速稳定,在 第 1 秒突加 25 N·m 的负载,第 2 秒突甩 25 N·m 的 负载,第 3 秒对电机进行紧急制动,电机快速停转. 运行过程中的各参数变化趋势如图 7 ~ 图 9,电机空 载启动,转矩瞬时值和三相电流较大,0郾 19 s 时模拟 电机转速、电流与转矩趋于稳定,在突加负载和突甩 ·1080·
曹策等:变频矢量控制系统入侵检测技术 ·1081· Linx实时操作系统工业主机 转速波形n CPSO- 力矩波形沙 感应 LSSVM 励磁电流波形: 电机 参数阀值规则集 侵 更新 預测 读取 分类 Suricata 人侵检测引擎 参数变量获取更新 矢量控制 EtherCAT工业协议指令数据入侵检测网关 系统关键 (嵌人式裁剪Linux操作系统-NANDFlash启动) 控制参数 数据包处理 无异常响应 异常 数据包截取 异常检测>告警 工业总线数据 EtherCAT主站 镜像复制设备 EtherCAT 工业总线 变频设备 变频设备 TX/RX TX/RX TX/RX TX/RX 指令 参数 指令 参数 DSP控制板 DSP控制板 控制电机1 图6变频矢量控制装置各功能模块的关系结构图 Fig.6 Relationship structure diagram of each functional module of variable-frequeney vector control device 负载的情况下对应感应电机三相电流幅值比例性增 800 大(减小),电磁力矩在0.01s内做出响应,波形跟 600 随较快,当第3秒对电机进行电气制动时,三相电流 400 激增,0.18s后实现空载情况下转速降低到0,整个 200 交流调速过程中负载突变条件下电流、转速、力矩仅 有微小波动,超调量较小,系统动态性能良好.由此 -200 可判定该仿真感应电机交-直-交变频矢量控制系 0.51.01.52.0253.0354.0 时间s 统控制性能良好,其产生的数据可以作为电机实际 图8感应电机同步转速仿真波形 交流调速控制系统电机参数的参考 Fig.8 Induction motor synchronous speed simulation waveform 100 .10 0.51.01.52.02.53.0 3.54.0 -50 时间/s 图7感应电机三相电流仿真波形 1006 0.51.0152.02.53.03.54.0 Fig.7 Induction motor three-phase current simulation waveform 时间/s 图9感应电机电磁转矩仿真波形 入侵检测系统中变频矢量控制装置两相旋转 Fig.9 Induction motor electromagnetic torque simulation waveform d-g轴直流电流数值通过模型仿真计算,将计算值 将与电流裕度结合生成i(k+2)±△i4、i,(k+2)± △i,仿真电流可信区间,用于Suricata对感应电机物
曹 策等: 变频矢量控制系统入侵检测技术 图 6 变频矢量控制装置各功能模块的关系结构图 Fig. 6 Relationship structure diagram of each functional module of variable鄄frequency vector control device 负载的情况下对应感应电机三相电流幅值比例性增 大(减小),电磁力矩在 0郾 01 s 内做出响应,波形跟 随较快,当第 3 秒对电机进行电气制动时,三相电流 激增,0郾 18 s 后实现空载情况下转速降低到 0,整个 交流调速过程中负载突变条件下电流、转速、力矩仅 有微小波动,超调量较小,系统动态性能良好. 由此 可判定该仿真感应电机交鄄鄄 直鄄鄄 交变频矢量控制系 统控制性能良好,其产生的数据可以作为电机实际 交流调速控制系统电机参数的参考. 图 7 感应电机三相电流仿真波形 Fig. 7 Induction motor three鄄phase current simulation waveform 入侵检测系统中变频矢量控制装置两相旋转 d鄄鄄 q 轴直流电流数值通过模型仿真计算,将计算值 将与电流裕度结合生成 i d (k + 2) 依 驻i d 、i q(k + 2) 依 图 8 感应电机同步转速仿真波形 Fig. 8 Induction motor synchronous speed simulation waveform 图 9 感应电机电磁转矩仿真波形 Fig. 9 Induction motor electromagnetic torque simulation waveform 驻i q 仿真电流可信区间,用于 Suricata 对感应电机物 ·1081·
·1082· 工程科学学报,第41卷,第8期 理参数模型的实时检测.图10为励磁电流i变化 检测准确率=检测到的攻击数据包 (8) 波形,由于交流调速过程中励磁电流基本不变,只在 攻击数据包 感应电机转速变化时出现相应的微小波动并及时作 根据该表可以看出:入侵检测系统针对拒绝服 出调整:图11中,转矩电流i则根据变频控制系统 务攻击(DOS)与远程用户访问(R2L)的检测率与检 观测到的感应电机电磁转矩输出控制电流,其波形 测准确率都非常高,这是因为这类单向发送的数据 趋势与电磁转矩基本一致,由此可知,该感应电机模 包隐蔽性差,特征明显:而本地超级用户特权访问攻 型仿真计算的参数跟随良好,符合入侵检测系统对 击(U2R)由于没有明显异常的远程P及端口号,减 变频矢量控制设备参数模型的入侵检测要求 少了自身作为恶意流量的特征,因此检测准确率相 80 对较低:另外可以看到,本文中针对EtherCAT协议 的端口扫描攻击(PROBING)进行入侵检测时,入侵 60 检测率与检测准确率可以保持在96%以上,系统表 40 现良好 本文提出的入侵检测方法能够从多个角度检测 异常,并识别异常报警中的真实网络人侵,为工业过 0.5 1.0 1.52.0253.03.5 4.0 时间/s 程自动化的入侵检测[2]提供后续入侵响应的早期 图10感应电机励磁电流仿真波形 综合信息.由于本文采用的技术包含多个领域,很 Fig.10 Induction motor excitation current simulation waveform 难直接与其他的公开方法进行比较,因此表5列出 了一些已发表的方法,与本文在应用场景、协议类型 30 以及检测指标方面进行了比较 表5不同攻击模式下人侵检测系统的检测率及检测准确率统计 Table 5 Detection rate and detection accuracy of intrusion detection sys- tems under different attack modes 检测时检测准 -20 应用场景 协议类型 0.51.0152.02.53.03.54.0 间/ms确率/% 时间/s 发电厂 Modbus/TCP 97 击[2]的入侵检测响应的实时性与准确性,每种攻击 本文将混沌粒子群优化LSSVM参数后的入侵 的数据样本为1000 Packets.根据公式(7)、(8)对 检测模型与文献[22]提供的常用LSSVM参数下的 数据进行处理,结果如表4显示 入侵检测模型进行对比(如表6),以入侵检测模型 表4不同攻击模式下入侵检测系统的检测率及检测准确率统计 的识别准确率与响应时间来衡量模型框架的性能指 Table 4 Detection rate and detection accuracy of intrusion detection sys- 标.根据图12可以看到,不同的LSSVM参数值,检 tems under different attack modes 测准确性与时间相差较大,其中,在参数C=50,σ= 检测到检测到 检测 误检 检测率/漏检 0.625时入侵检测系统获得了最高的检测准确性, 攻击类型的攻击的正常 准确 数 会 数 包数量包数量 率/% 但从实时性角度考虑,C=500,σ=1.955时检测系 DOS 969 31 四 98.0 96.9 统获得了最快的响应时间:本文所采用的混沌粒子 R2L 966 34 15 98.5 19 群优化算法给定的参数在保证实时性较好的情况 96.6 下,拥有最高的检测准确率. U2R 917 枣 44 95.6 39 91.7 PROBING 986 14 0 100 14 98.6 4结论 在当今“工业4.0”与“互联网+”的大背景下, 检测率= 检测到的数据包 攻击数据包 (7) 本文针对大型工业设备总线信息安全,以感应电机
工程科学学报,第 41 卷,第 8 期 理参数模型的实时检测. 图 10 为励磁电流 i sd变化 波形,由于交流调速过程中励磁电流基本不变,只在 感应电机转速变化时出现相应的微小波动并及时作 出调整;图 11 中,转矩电流 i sq则根据变频控制系统 观测到的感应电机电磁转矩输出控制电流,其波形 趋势与电磁转矩基本一致,由此可知,该感应电机模 型仿真计算的参数跟随良好,符合入侵检测系统对 变频矢量控制设备参数模型的入侵检测要求. 图 10 感应电机励磁电流仿真波形 Fig. 10 Induction motor excitation current simulation waveform 图 11 感应电机力矩电流仿真波形 Fig. 11 Induction motor torque current simulation waveform 本文抽取 KDD Cup99 测试数据集中的一部分, 验证入侵检测系统对 EtherCAT 总线协议的网络攻 击[20]的入侵检测响应的实时性与准确性,每种攻击 的数据样本为 1000 Packets. 根据公式(7)、(8) 对 数据进行处理,结果如表 4 显示. 表 4 不同攻击模式下入侵检测系统的检测率及检测准确率统计 Table 4 Detection rate and detection accuracy of intrusion detection sys鄄 tems under different attack modes 攻击类型 检测到 的攻击 包数量 检测到 的正常 包数量 误检 数 检测率/ % 漏检 数 检测 准确 率/ % DOS 969 31 20 98郾 0 11 96郾 9 R2L 966 34 15 98郾 5 19 96郾 6 U2R 917 83 44 95郾 6 39 91郾 7 PROBING 986 14 0 100 14 98郾 6 检测率 = 检测到的数据包 攻击数据包 (7) 检测准确率 = 检测到的攻击数据包 攻击数据包 (8) 根据该表可以看出:入侵检测系统针对拒绝服 务攻击(DOS)与远程用户访问(R2L)的检测率与检 测准确率都非常高,这是因为这类单向发送的数据 包隐蔽性差,特征明显;而本地超级用户特权访问攻 击(U2R)由于没有明显异常的远程 IP 及端口号,减 少了自身作为恶意流量的特征,因此检测准确率相 对较低;另外可以看到,本文中针对 EtherCAT 协议 的端口扫描攻击(PROBING)进行入侵检测时,入侵 检测率与检测准确率可以保持在 96% 以上,系统表 现良好. 本文提出的入侵检测方法能够从多个角度检测 异常,并识别异常报警中的真实网络入侵,为工业过 程自动化的入侵检测[21] 提供后续入侵响应的早期 综合信息. 由于本文采用的技术包含多个领域,很 难直接与其他的公开方法进行比较,因此表 5 列出 了一些已发表的方法,与本文在应用场景、协议类型 以及检测指标方面进行了比较. 表 5 不同攻击模式下入侵检测系统的检测率及检测准确率统计 Table 5 Detection rate and detection accuracy of intrusion detection sys鄄 tems under different attack modes 应用场景 协议类型 检测时 间/ ms 检测准 确率/ % 发电厂 Modbus/ TCP 97 本文将混沌粒子群优化 LSSVM 参数后的入侵 检测模型与文献[22]提供的常用 LSSVM 参数下的 入侵检测模型进行对比(如表 6),以入侵检测模型 的识别准确率与响应时间来衡量模型框架的性能指 标. 根据图 12 可以看到,不同的 LSSVM 参数值,检 测准确性与时间相差较大,其中,在参数 C = 50,滓 = 0郾 625 时入侵检测系统获得了最高的检测准确性, 但从实时性角度考虑,C = 500,滓 = 1郾 955 时检测系 统获得了最快的响应时间;本文所采用的混沌粒子 群优化算法给定的参数在保证实时性较好的情况 下,拥有最高的检测准确率. 4 结论 在当今“工业 4郾 0冶与“互联网 + 冶的大背景下, 本文针对大型工业设备总线信息安全,以感应电机 ·1082·
曹策等:变频矢量控制系统入侵检测技术 ·1083· 表6混沌粒子群优化后的LSSVM参数与常规LSSVM参数下入侵 有很好的表现,符合高速实时工业以太网数据传输 检测实时性与准确性比较 要求.同时,随着工业控制系统的日渐复杂,参数的 Table 6 Comparison of the real-time performance and accuracy of intru- sion detection between chaotic particle swarm optimization ISSVM param- 耦合关系、变化规律更灵活,未来可以以数据挖掘、 eters and conventional ISSVM parameters 神经网络等更高级的分类算法作为入侵检测技术的 支撑,使入侵检测更有效 LSSVM参数 检测时间/ms 检测准确率/% C=10,w=0.125 20 96.28 参考文献 C=50.w=0.625 27 91.12 [1]Haller P,Genge B.Using sensitivity analysis and cross-association C=100,0=1.250 23 90.45 for the design of intrusion detection systems in industrial cyber- C=500,g=1.955 17 89.98 physical systems.IEEE Access,2017,5:9336 C=1000,c=10.000 25 95.10 [2]Gao Y W,Zhou R K,Lai Y X,et al.Research on industrial con- 优化后的参数 21 98.96 trol system intrusion detection method based on simulation model. ling.JCommun,2017,38(7):186 100 (高一为,周容康,赖英旭,等.基于仿真建模的工业控制网 ◆C=10.0=0.125 多 络入侵检测方法研究.通信学报,2017,38(7):186) 。C=50.0=0.625 98 wC=100.0=1.250 [3]Colbert E,Sullivan D,Hutchinson A,et al.A process-oriented ▲C=500.0=1.955 intrusion detection method for industrial control systems //11th In- ★C-1000.0=10 96 ■CPSO优化 ternational Conference on Cyber Warfare and Security.Boston, 2016:497 93 [4] Shao C,Zhong L G.An information security solution scheme of industrial control system based on trusted computing.Inf Control, 91/ 2015,44(5):628 90 (邵诚,钟梁高.一种基于可信计算的工业控制系统信息安全 16 18 20 22242628 解决方案.信息与控制,2015,44(5):628) 检测时间ms [5]Sun Y A,Jing K,Wang Y Z.A network security protection re- 图12不同LSSVM参数值下入侵检测准确性与实时性比较 search for industrial control system./Inf Securyity Res,2017.3 Fig.12 Comparison of the intrusion detection accuracy and real-time (2):171 performance under different LSSVM parameter values (孙易安,井柯,汪义舟.工业控制系统安全网络防护研究 信息安全研究,2017,3(2):171) 交-直-交变频矢量控制装置中的变频器控制指令 [6] Genge B,Haller P,Kiss I.Cyber-security-aware network design 与电机设备参数为检测对象,在协议分析与电机模 of industrial control systems.IEEE Syst J,2017,11(3):1373 型参数两个层面对感应电机变频矢量控制系统的入 [7]Knowles W.Prince D.Hutchison D,et al.A survey of eyber se- curity management in industrial control systems.Int Crit In- 侵检测技术进行了研究: frastruct Prot,2015,9:52 (1)对EtherCAT工业总线中的变频装置控制 [8]Chen X,Li D,Wan J F,et al.A clock synchronization method 指令与感应电机实时参数提取并解析数据,实现设 for EtherCAT master.Microprocessors Microsyst,2016,46:211 备级数据的实时获取并通过三维链表下的入侵检测 [9]Al-khatib A A,Hassan R.Impact of IPSee protocol on the per- formance of network real-time applications:a review.Int Net- 有效防止外部主机的扫描访问与注入攻击 cork Security,2017,19(11):800 (2)通过对感应电机转子磁场定向控制策略的 [10]Panten N,Hoffmann N,Fuchs F W.Finite control set model 物理模型构建,对坐标变换后解耦的定子电流励磁 predictive current control for grid-connected voltage-source con- 分量与转矩分量进行仿真计算并生成模型入侵检测 verters with LCL filters:A study based on different state feed- 子系统的规则库,以混沌粒子群优化算法选择网络 backs.IEEE Trans Power Electron,2016,31(7):5189 [11]Villarroel F,Espinoza J R,Rojas C A,et al.Multiobjective 状态特征和最小二乘支持向量机分类器参数的网络 switching state selector for finite-states model predictive control 入侵检测模型一CPSO-LSSVM作为人侵检测的 based on fuzzy decision making in a matrix converter.IEEE Trans 构架根据数据入侵特征进行分类,将LSSVM分类后 Ind Electron,2013,60(2):589 的电机变频矢量控制指令与电机参数利用Suricata [12] Song Z W,Zhou R K.Lai YX,et al.Anomaly detection method of 入侵检测引孳调用对应该分类的规则库进行矢量控 ICS based on behavior model.Comput Sci,2018,45(1):233 (宋站威,周容康,赖英旭,等.基于行为模型的工控异常检 制装置的参数监控与异常告警 测方法研究.计算机科学,2018,45(1):233) 本文提出的入侵检测技术,在实时性、准确性上 [13]Ambusaidi M A.He X J.Nanda P,et al.Building an intrusion
曹 策等: 变频矢量控制系统入侵检测技术 表 6 混沌粒子群优化后的 LSSVM 参数与常规 LSSVM 参数下入侵 检测实时性与准确性比较 Table 6 Comparison of the real鄄time performance and accuracy of intru鄄 sion detection between chaotic particle swarm optimization LSSVM param鄄 eters and conventional LSSVM parameters LSSVM 参数 检测时间/ ms 检测准确率/ % C = 10,滓 = 0郾 125 20 96郾 28 C = 50,滓 = 0郾 625 27 91郾 12 C = 100,滓 = 1郾 250 23 90郾 45 C = 500,滓 = 1郾 955 17 89郾 98 C = 1000,滓 = 10郾 000 25 95郾 10 优化后的参数 21 98郾 96 图 12 不同 LSSVM 参数值下入侵检测准确性与实时性比较 Fig. 12 Comparison of the intrusion detection accuracy and real鄄time performance under different LSSVM parameter values 交鄄鄄 直鄄鄄 交变频矢量控制装置中的变频器控制指令 与电机设备参数为检测对象,在协议分析与电机模 型参数两个层面对感应电机变频矢量控制系统的入 侵检测技术进行了研究: (1) 对 EtherCAT 工业总线中的变频装置控制 指令与感应电机实时参数提取并解析数据,实现设 备级数据的实时获取并通过三维链表下的入侵检测 有效防止外部主机的扫描访问与注入攻击. (2)通过对感应电机转子磁场定向控制策略的 物理模型构建,对坐标变换后解耦的定子电流励磁 分量与转矩分量进行仿真计算并生成模型入侵检测 子系统的规则库,以混沌粒子群优化算法选择网络 状态特征和最小二乘支持向量机分类器参数的网络 入侵检测模型———CPSO鄄鄄 LSSVM 作为入侵检测的 构架根据数据入侵特征进行分类,将 LSSVM 分类后 的电机变频矢量控制指令与电机参数利用 Suricata 入侵检测引擎调用对应该分类的规则库进行矢量控 制装置的参数监控与异常告警. 本文提出的入侵检测技术,在实时性、准确性上 有很好的表现,符合高速实时工业以太网数据传输 要求. 同时,随着工业控制系统的日渐复杂,参数的 耦合关系、变化规律更灵活,未来可以以数据挖掘、 神经网络等更高级的分类算法作为入侵检测技术的 支撑,使入侵检测更有效. 参 考 文 献 [1] Haller P, Genge B. Using sensitivity analysis and cross鄄association for the design of intrusion detection systems in industrial cyber鄄 physical systems. IEEE Access, 2017, 5: 9336 [2] Gao Y W, Zhou R K, Lai Y X, et al. Research on industrial con鄄 trol system intrusion detection method based on simulation model鄄 ling. J Commun, 2017, 38(7): 186 (高一为, 周睿康, 赖英旭, 等. 基于仿真建模的工业控制网 络入侵检测方法研究. 通信学报, 2017, 38(7): 186) [3] Colbert E, Sullivan D, Hutchinson A, et al. A process鄄oriented intrusion detection method for industrial control systems / / 11th In鄄 ternational Conference on Cyber Warfare and Security. Boston, 2016: 497 [4] Shao C, Zhong L G. An information security solution scheme of industrial control system based on trusted computing. Inf Control, 2015, 44(5): 628 (邵诚, 钟梁高. 一种基于可信计算的工业控制系统信息安全 解决方案. 信息与控制, 2015, 44(5): 628) [5] Sun Y A, Jing K, Wang Y Z. A network security protection re鄄 search for industrial control system. J Inf Securyity Res, 2017, 3 (2): 171 (孙易安, 井柯, 汪义舟. 工业控制系统安全网络防护研究. 信息安全研究, 2017, 3(2): 171) [6] Genge B, Haller P, Kiss I. Cyber鄄security鄄aware network design of industrial control systems. IEEE Syst J, 2017, 11(3): 1373 [7] Knowles W, Prince D, Hutchison D, et al. A survey of cyber se鄄 curity management in industrial control systems. Int J Crit In鄄 frastruct Prot, 2015, 9: 52 [8] Chen X, Li D, Wan J F, et al. A clock synchronization method for EtherCAT master. Microprocessors Microsyst, 2016, 46: 211 [9] Al鄄khatib A A, Hassan R. Impact of IPSec protocol on the per鄄 formance of network real鄄time applications: a review. Int J Net鄄 work Security, 2017, 19(11): 800 [10] Panten N, Hoffmann N, Fuchs F W. Finite control set model predictive current control for grid鄄connected voltage鄄source con鄄 verters with LCL filters: A study based on different state feed鄄 backs. IEEE Trans Power Electron, 2016, 31(7): 5189 [11] Villarroel F, Espinoza J R, Rojas C A, et al. Multiobjective switching state selector for finite鄄states model predictive control based on fuzzy decision making in a matrix converter. IEEE Trans Ind Electron, 2013, 60(2): 589 [12] Song Z W, Zhou R K, Lai Y X, et al. Anomaly detection method of ICS based on behavior model. Comput Sci, 2018, 45(1): 233 (宋站威, 周睿康, 赖英旭, 等. 基于行为模型的工控异常检 测方法研究. 计算机科学, 2018, 45(1): 233) [13] Ambusaidi M A, He X J, Nanda P, et al. Building an intrusion ·1083·