·1080· 工程科学学报,第41卷,第8期 集带入LSSVM分类器的分类函数中,计算所得到的 suricata/explain文件中,相关解释网址可以在工业 t(x)≥0时,认定该输入向量为正常向量,反之,当 和信息化部相关研究所官方网站查询,ul,www. ft(x)=-1时,代表该输入向量中包含有网络入侵 etiri.com.cn. 向量子集.在面向感应电机变频矢量控制模型参数 pcre:“/[0-9]{6}/”;兼容正则表达式库 的入侵检测过程中,LSSVM两分类器通过一对一的 Perl Compatible Regular Expressions关键字通过设置 方式构建了包含电机篡改频率给定、注入错误转速、 一系列“规则字符串”将数据包中的一些特定字符/ 修改冷风启动限制、注入错误母线电压以及频繁启 字符组合过滤出来进行签名匹配,但是pcre的复杂 停电机的多分类器[18].当包含有输入向量的数据 性也带来了过高的系统时间开销,这将影响检测性 包进入分类器后,LSSVM首先对数据包是否包含篡 能,为了降低对pcre的反复检查,Suricata会优先将 改频率给定入侵向量子集进行判断,若包含,则触发 规则内容与数据包进行匹配,匹配不到之后才会调 电机频率给定规的Suricata入侵检测,若不包含, 用正则表达库进行检索与匹配 则对数据包进行是否包含注入错误转速入侵向量子 3模型构建及实验结果 集进行判断,以此类推.当多分类器完成遍历,则进 入下一个数据包的LSSVM判断. 为本文设计的入侵检测系统所搭建的物理环境 2.4 Suricata入侵检测引擎 如图6,负责控制电机的变频设备之间通过标准网 Suricata框架本身在局域网络、广域网络中检测 络双绞线连接,网络接口支持全双工通信方式(读 威胁,应对网络攻击并生成日志方面具有非常快速 操作RX与写操作TX均可在同一网口进行),总线 的响应时间,鲁棒性良好.该引擎能够高效的进行 协议为EtherCAT,通过在变频设备与EtherCAT主 实时入侵检测,入侵防御,网络安全监控(network 站工控机之间部署镜像复制设备,在不影响通信实 security monitor,NSM)和离线pcap处理的多线程任 时性的基础上,总线数据将被完整复制到工业协议 务[i9],支持Pv4、Pv6,同时可加载snort规则和 入侵检测网关中,网关中集成了入侵异常检测模块 签名. 将海量EtherCAT包进行指令包/数据包数据处理并 Suricata入侵检测引擎的规则格式一般为: 对恶意流量包进行检测告警,完成通信链路上的入 name:settings;Suricata拥有丰富的规则选项设置, 侵检测:被保留的有效载荷将上传到工业主机中, 如Meta-settings、Payload Keywords、HTTP Keywords、 Suricata入侵检测引擎通过访问根目录规则集对感 DNS Keywords,Flow Keywords,IP Reputation Rules. 应电机变频矢量控制关键参数进行异常检测 下面列举几种常见的规则选项实例: 本文在交-直-交变频矢量控制系统电机参数 msg:"Abnormal rotor speed,Please check the 入侵检测研究的模型仿真计算过程中,设置了基于 system!”.关键字msg为签名和可能存在的异常告 Matlab R20l4a-Simulink仿真环境用于标么真实感 警提供更多的描述信息.例如LSSVM分类器中的 应电机的参数,标幺用电机模型的参数如下表: 电机篡改频率给定可以通过msg规则选项定义对应 表3仿真环境下感应电机参数 的检测消息:msg:“Rotor setting tampered”,而入侵 Table 3 Induction motor parameters under simulation environment 检测系统检测到有注入错误转速的模型入侵特征 参数 额定值 参数 额定值 时,则会弹出告警信息“Abnormal rotor speed,Please 额定功率,P/W 5000 额定电压,V、/V 380 check the system!”,该信息就存储在Suricata入侵检 极对数,nopp 4 额定频率人/ 50 测规则库中msg规则选项中. 定子电阻,R/D 2.92 定子电感,L,/H 0.013 reference:url,www.info.nl;关键字reference直 转子电阻,R/n1.92 转子电感,L/H 0.013 接指出与该签名相关的信息与解决方法的网址链 定、转子互感,Lm/H0.358 转动惯量,J/(kgm2)0.1 接,reference关键字可以在规则签名中多次出现,其 中url是引用的类型(包括system,cve、bugtraq等), 仿真环境下电机首先启动并达到转速稳定,在 后边的网址是引用地址.本文将电机篡改频率给 第1秒突加25Nm的负载,第2秒突甩25Nm的 定、注入错误转速、修改冷风启动限制、注入错误母 负载,第3秒对电机进行紧急制动,电机快速停转. 线电压以及频繁启停电机五种入侵检测特征描述与 运行过程中的各参数变化趋势如图7~图9,电机空 感应电机各参数的耦合关系与矢量控制物理模型的 载启动,转矩瞬时值和三相电流较大,0.19s时模拟 相关解释存储在了Linux系统根目录下的/var/og/ 电机转速、电流与转矩趋于稳定,在突加负载和突甩工程科学学报,第 41 卷,第 8 期 集带入 LSSVM 分类器的分类函数中,计算所得到的 fit(x)逸0 时,认定该输入向量为正常向量,反之,当 fit(x) = - 1 时,代表该输入向量中包含有网络入侵 向量子集. 在面向感应电机变频矢量控制模型参数 的入侵检测过程中,LSSVM 两分类器通过一对一的 方式构建了包含电机篡改频率给定、注入错误转速、 修改冷风启动限制、注入错误母线电压以及频繁启 停电机的多分类器[18] . 当包含有输入向量的数据 包进入分类器后,LSSVM 首先对数据包是否包含篡 改频率给定入侵向量子集进行判断,若包含,则触发 电机频率给定规则的 Suricata 入侵检测,若不包含, 则对数据包进行是否包含注入错误转速入侵向量子 集进行判断,以此类推. 当多分类器完成遍历,则进 入下一个数据包的 LSSVM 判断. 2郾 4 Suricata 入侵检测引擎 Suricata 框架本身在局域网络、广域网络中检测 威胁,应对网络攻击并生成日志方面具有非常快速 的响应时间,鲁棒性良好. 该引擎能够高效的进行 实时入侵检测,入侵防御,网络安全监控( network security monitor, NSM)和离线 pcap 处理的多线程任 务[19] ,支持 IPv4、 IPv6, 同时可加载 snort 规则和 签名. Suricata 入 侵 检 测 引 擎 的 规 则 格 式 一 般 为: name: settings; Suricata 拥有丰富的规则选项设置, 如 Meta鄄settings、Payload Keywords、HTTP Keywords、 DNS Keywords、Flow Keywords、IP Reputation Rules. 下面列举几种常见的规则选项实例: msg: “ Abnormal rotor speed, Please check the system!冶. 关键字 msg 为签名和可能存在的异常告 警提供更多的描述信息. 例如 LSSVM 分类器中的 电机篡改频率给定可以通过 msg 规则选项定义对应 的检测消息:msg: “Rotor setting tampered冶,而入侵 检测系统检测到有注入错误转速的模型入侵特征 时,则会弹出告警信息“Abnormal rotor speed, Please check the system!冶,该信息就存储在 Suricata 入侵检 测规则库中 msg 规则选项中. reference: url,www. info. nl; 关键字 reference 直 接指出与该签名相关的信息与解决方法的网址链 接,reference 关键字可以在规则签名中多次出现,其 中 url 是引用的类型(包括 system、cve、bugtraq 等), 后边的网址是引用地址. 本文将电机篡改频率给 定、注入错误转速、修改冷风启动限制、注入错误母 线电压以及频繁启停电机五种入侵检测特征描述与 感应电机各参数的耦合关系与矢量控制物理模型的 相关解释存储在了 Linux 系统根目录下的/ var/ log / suricata / explain 文件中,相关解释网址可以在工业 和信息化部相关研究所官方网站查询,url, www. etiri. com. cn. pcre:“ / [0 - 9 ] {6 } / 冶; 兼容正则表达式库 Perl Compatible Regular Expressions 关键字通过设置 一系列“规则字符串冶将数据包中的一些特定字符/ 字符组合过滤出来进行签名匹配,但是 pcre 的复杂 性也带来了过高的系统时间开销,这将影响检测性 能,为了降低对 pcre 的反复检查,Suricata 会优先将 规则内容与数据包进行匹配,匹配不到之后才会调 用正则表达库进行检索与匹配. 3 模型构建及实验结果 为本文设计的入侵检测系统所搭建的物理环境 如图 6,负责控制电机的变频设备之间通过标准网 络双绞线连接,网络接口支持全双工通信方式(读 操作 RX 与写操作 TX 均可在同一网口进行),总线 协议为 EtherCAT,通过在变频设备与 EtherCAT 主 站工控机之间部署镜像复制设备,在不影响通信实 时性的基础上,总线数据将被完整复制到工业协议 入侵检测网关中,网关中集成了入侵异常检测模块 将海量 EtherCAT 包进行指令包/ 数据包数据处理并 对恶意流量包进行检测告警,完成通信链路上的入 侵检测;被保留的有效载荷将上传到工业主机中, Suricata 入侵检测引擎通过访问根目录规则集对感 应电机变频矢量控制关键参数进行异常检测. 本文在交鄄鄄直鄄鄄 交变频矢量控制系统电机参数 入侵检测研究的模型仿真计算过程中,设置了基于 Matlab R2014a鄄鄄 Simulink 仿真环境用于标幺真实感 应电机的参数,标幺用电机模型的参数如下表: 表 3 仿真环境下感应电机参数 Table 3 Induction motor parameters under simulation environment 参数 额定值 参数 额定值 额定功率,P/ W 5000 额定电压,VN / V 380 极对数,nopp 4 额定频率,fN / Hz 50 定子电阻,Rs / 赘 2郾 92 定子电感,Ls / H 0郾 013 转子电阻,Rr / 赘 1郾 92 转子电感,Lr / H 0郾 013 定、转子互感,Lm / H 0郾 358 转动惯量,J / (kg·m 2 ) 0郾 1 仿真环境下电机首先启动并达到转速稳定,在 第 1 秒突加 25 N·m 的负载,第 2 秒突甩 25 N·m 的 负载,第 3 秒对电机进行紧急制动,电机快速停转. 运行过程中的各参数变化趋势如图 7 ~ 图 9,电机空 载启动,转矩瞬时值和三相电流较大,0郾 19 s 时模拟 电机转速、电流与转矩趋于稳定,在突加负载和突甩 ·1080·