·1082· 工程科学学报,第41卷,第8期 理参数模型的实时检测.图10为励磁电流i变化 检测准确率=检测到的攻击数据包 (8) 波形,由于交流调速过程中励磁电流基本不变,只在 攻击数据包 感应电机转速变化时出现相应的微小波动并及时作 根据该表可以看出:入侵检测系统针对拒绝服 出调整:图11中,转矩电流i则根据变频控制系统 务攻击(DOS)与远程用户访问(R2L)的检测率与检 观测到的感应电机电磁转矩输出控制电流,其波形 测准确率都非常高,这是因为这类单向发送的数据 趋势与电磁转矩基本一致,由此可知,该感应电机模 包隐蔽性差,特征明显:而本地超级用户特权访问攻 型仿真计算的参数跟随良好,符合入侵检测系统对 击(U2R)由于没有明显异常的远程P及端口号,减 变频矢量控制设备参数模型的入侵检测要求 少了自身作为恶意流量的特征,因此检测准确率相 80 对较低:另外可以看到,本文中针对EtherCAT协议 的端口扫描攻击(PROBING)进行入侵检测时,入侵 60 检测率与检测准确率可以保持在96%以上,系统表 40 现良好 本文提出的入侵检测方法能够从多个角度检测 异常,并识别异常报警中的真实网络人侵,为工业过 0.5 1.0 1.52.0253.03.5 4.0 时间/s 程自动化的入侵检测[2]提供后续入侵响应的早期 图10感应电机励磁电流仿真波形 综合信息.由于本文采用的技术包含多个领域,很 Fig.10 Induction motor excitation current simulation waveform 难直接与其他的公开方法进行比较,因此表5列出 了一些已发表的方法,与本文在应用场景、协议类型 30 以及检测指标方面进行了比较 表5不同攻击模式下人侵检测系统的检测率及检测准确率统计 Table 5 Detection rate and detection accuracy of intrusion detection sys- tems under different attack modes 检测时检测准 -20 应用场景 协议类型 0.51.0152.02.53.03.54.0 间/ms确率/% 时间/s 发电厂 Modbus/TCP <1 99 图11感应电机力矩电流仿真波形 数字变电站 DNP3/IEC60870-5 <254 100 Fig.11 Induction motor torque current simulation waveform 水箱控制系统 Modbus/DNP3 93 本文抽取KDD Cup99测试数据集中的一部分, 供水系统 Modbus/TCP <0.6 98 验证人侵检测系统对EtherCAT总线协议的网络攻 变频矢量控制系统 EtherCAT/TCP <1 >97 击[2]的入侵检测响应的实时性与准确性,每种攻击 本文将混沌粒子群优化LSSVM参数后的入侵 的数据样本为1000 Packets.根据公式(7)、(8)对 检测模型与文献[22]提供的常用LSSVM参数下的 数据进行处理,结果如表4显示 入侵检测模型进行对比(如表6),以入侵检测模型 表4不同攻击模式下入侵检测系统的检测率及检测准确率统计 的识别准确率与响应时间来衡量模型框架的性能指 Table 4 Detection rate and detection accuracy of intrusion detection sys- 标.根据图12可以看到,不同的LSSVM参数值,检 tems under different attack modes 测准确性与时间相差较大,其中,在参数C=50,σ= 检测到检测到 检测 误检 检测率/漏检 0.625时入侵检测系统获得了最高的检测准确性, 攻击类型的攻击的正常 准确 数 会 数 包数量包数量 率/% 但从实时性角度考虑,C=500,σ=1.955时检测系 DOS 969 31 四 98.0 96.9 统获得了最快的响应时间:本文所采用的混沌粒子 R2L 966 34 15 98.5 19 群优化算法给定的参数在保证实时性较好的情况 96.6 下,拥有最高的检测准确率. U2R 917 枣 44 95.6 39 91.7 PROBING 986 14 0 100 14 98.6 4结论 在当今“工业4.0”与“互联网+”的大背景下, 检测率= 检测到的数据包 攻击数据包 (7) 本文针对大型工业设备总线信息安全,以感应电机工程科学学报,第 41 卷,第 8 期 理参数模型的实时检测. 图 10 为励磁电流 i sd变化 波形,由于交流调速过程中励磁电流基本不变,只在 感应电机转速变化时出现相应的微小波动并及时作 出调整;图 11 中,转矩电流 i sq则根据变频控制系统 观测到的感应电机电磁转矩输出控制电流,其波形 趋势与电磁转矩基本一致,由此可知,该感应电机模 型仿真计算的参数跟随良好,符合入侵检测系统对 变频矢量控制设备参数模型的入侵检测要求. 图 10 感应电机励磁电流仿真波形 Fig. 10 Induction motor excitation current simulation waveform 图 11 感应电机力矩电流仿真波形 Fig. 11 Induction motor torque current simulation waveform 本文抽取 KDD Cup99 测试数据集中的一部分, 验证入侵检测系统对 EtherCAT 总线协议的网络攻 击[20]的入侵检测响应的实时性与准确性,每种攻击 的数据样本为 1000 Packets. 根据公式(7)、(8) 对 数据进行处理,结果如表 4 显示. 表 4 不同攻击模式下入侵检测系统的检测率及检测准确率统计 Table 4 Detection rate and detection accuracy of intrusion detection sys鄄 tems under different attack modes 攻击类型 检测到 的攻击 包数量 检测到 的正常 包数量 误检 数 检测率/ % 漏检 数 检测 准确 率/ % DOS 969 31 20 98郾 0 11 96郾 9 R2L 966 34 15 98郾 5 19 96郾 6 U2R 917 83 44 95郾 6 39 91郾 7 PROBING 986 14 0 100 14 98郾 6 检测率 = 检测到的数据包 攻击数据包 (7) 检测准确率 = 检测到的攻击数据包 攻击数据包 (8) 根据该表可以看出:入侵检测系统针对拒绝服 务攻击(DOS)与远程用户访问(R2L)的检测率与检 测准确率都非常高,这是因为这类单向发送的数据 包隐蔽性差,特征明显;而本地超级用户特权访问攻 击(U2R)由于没有明显异常的远程 IP 及端口号,减 少了自身作为恶意流量的特征,因此检测准确率相 对较低;另外可以看到,本文中针对 EtherCAT 协议 的端口扫描攻击(PROBING)进行入侵检测时,入侵 检测率与检测准确率可以保持在 96% 以上,系统表 现良好. 本文提出的入侵检测方法能够从多个角度检测 异常,并识别异常报警中的真实网络入侵,为工业过 程自动化的入侵检测[21] 提供后续入侵响应的早期 综合信息. 由于本文采用的技术包含多个领域,很 难直接与其他的公开方法进行比较,因此表 5 列出 了一些已发表的方法,与本文在应用场景、协议类型 以及检测指标方面进行了比较. 表 5 不同攻击模式下入侵检测系统的检测率及检测准确率统计 Table 5 Detection rate and detection accuracy of intrusion detection sys鄄 tems under different attack modes 应用场景 协议类型 检测时 间/ ms 检测准 确率/ % 发电厂 Modbus/ TCP < 1 99 数字变电站 DNP3 / IEC 60870鄄鄄5 < 254 100 水箱控制系统 Modbus/ DNP3 — 93 供水系统 Modbus/ TCP < 0郾 6 98 变频矢量控制系统 EtherCAT / TCP < 1 > 97 本文将混沌粒子群优化 LSSVM 参数后的入侵 检测模型与文献[22]提供的常用 LSSVM 参数下的 入侵检测模型进行对比(如表 6),以入侵检测模型 的识别准确率与响应时间来衡量模型框架的性能指 标. 根据图 12 可以看到,不同的 LSSVM 参数值,检 测准确性与时间相差较大,其中,在参数 C = 50,滓 = 0郾 625 时入侵检测系统获得了最高的检测准确性, 但从实时性角度考虑,C = 500,滓 = 1郾 955 时检测系 统获得了最快的响应时间;本文所采用的混沌粒子 群优化算法给定的参数在保证实时性较好的情况 下,拥有最高的检测准确率. 4 结论 在当今“工业 4郾 0冶与“互联网 + 冶的大背景下, 本文针对大型工业设备总线信息安全,以感应电机 ·1082·