开题所有材料

研究生开题报告研究生:李金乐导师：王华忠专业：控制科学与控制工程联系方式：流程工业控制系统入侵检测技术研究

主要内容研究的背景及意义该课题国内外的研究现状研究目标与内容技术路线和可行性分析预期创新点与难点研究进度与年度计划一、研究的背景及意义工控系统广泛应用于各个领域，关键基础设施80%以上依靠工业控制系统。随着信息化与工业化深度融合，恶意攻击手段的更新、固有的漏洞和攻击面日益增加，控制系统信息安全事件与日俱增，造成极大的经济损失。研究背景一、研究的背景及意义研究背景2014年6月之前所公开发布的工业控制系统相关漏洞按年度进行统计分析的结果。一、研究的背景及意义研究背景目前，工控领域大多釆用的安全防护措施是防火墙。防火墙缺点：无法应对层出不穷的应用设计缺陷和通过加密通道的攻击,尤其对来自局域网内部的攻击无能为力。工控入侵检测技术作为防火墙之后的第二道闸门具有重要作用。一、研究的背景及意义

研究意义攻击事件严重破坏关键基础设施。及时侦测工控系统中与安全策略相违背的入侵行为和被攻击的迹象，具有重大意义：国家安全社会经济理论与实践军事领域往往是不法分子渴望入侵的目标，入侵检测对维护国家网络与信息安全起重要作用。不法分子利用ICS上存在的脆弱性发起攻击，造成巨大的损失。因此该研究与人民的经济社会生活息息相关。本文提出的ICS入侵检测方法，不仅为以后的ICS信息安全研究提供了重要的理论参考，而且部分技术可以直接用于工业控制系统的安全防护。入侵检测方法研究现状二、该课题国内外的研究现状工业控制系统的入侵检测仍处于起步阶段。目前，国际上已有少量针对工业控制系统的入侵检测研究，而国内的研究仍未广泛开展。入侵检测系统和方法分类数据来源分析方法异常检测算法基于主机入侵检测混合型入侵检测基于网络入侵检测基于模糊论证理论基于数据挖掘基于人工神经网络基于免疫算法基于统计误用检测异常检测研究目标三、研究目标与内容搭建TE过程半实物仿真环境并进行攻击建模01020304ModbusTCP协议分析和网络层数据特征的选择提出ICS入侵检测算法模型仿真研究改进算法确保低漏报率，误报率三、研究目标与内容

STEPSTEPSTEPSTEP研究内容确定攻击方法与模型搭建TE化工过程半实物仿真环境提出入侵检测算法，确定入侵检测的实施步骤。基于感知执行层，对传感器、控制器等节点的异常特征进行进行仿真研究，以及模型改进理论支持：1.ModbusTCP2.主成分分析；3.支持向量机；4.攻击检测.下图为TE控制系统结构及攻击示意图，主要包括现场传感器、执行器以及控制器和控制室人机界面。控制器通过以太网接口与远程I/O通信，进行现场各种参数的采集和执行控制输出。攻击者可以在现场I/O与控制器之间接入实施传感器信号攻击，从而对TE控制产生影响。研究内容研究内容本文提出的方法所用的数据来源于网络层的真实数据。即从网络中的数据包中的数据特征寻找攻击特征。从分析方法角度属于异常检测，即建立了系统的“正常”行为特征轮廓，通过比较当前系统是否偏离正常的行为轮廓来判断是否反生了入侵。四、技术路线与可行性分析技术路线广泛查阅文献资料；搭建TE化工过程模拟仿真环境；确定常用的攻击方法与模型；对ModbusTCP/IP协议和网络层数据包内容进行分析进行数据特征的一次选择；提出入侵检测模型PCA-SVM（数据特征二次提取、降维，分类）；以搭建的仿真系统作为测试环境，将研究成果应用于实践，验证其在实际应用中是否具有良好的可行性。可行性分析四、技术路线与可行性分析PCASVM优点：具有良好的特征提取和降维性能缺点：计算量较大，数据可解释性略弱优点：较强的非线性映射能力，鲁棒性强，良好的泛化性能缺点：样本量过大时，需要大量内存和时间用来计算主成分分析（PCA）与SVM在状态监测、故障诊断、互联网入侵检测分类等领域得到了广泛应用，攻击可作为一种特殊的故障。二者融合作为工控入侵检测方法，具有可行性。四、技术路线与可行性分析可行性分析已查阅了大量的国内外资料，并用简单的数值模型进行了验证，并取得了一定的研究成果。已对ModbusTCP协议有了一定的了解，为进行网络数据包分析并进行数据特征选取奠定基础现有的设施条件都具备，不存在难以获得的研究资源。综上，该课题在理论上、技术上和实验人员素质、实验设备与条件上均具有可行性。五、预期创新点与难点预期创新点1目前对工控系统研究大多限于工控防火墙，本文对工业控制系统（ICS）进行入侵检测研究2结合工控系统的特点提出了基于二次特征提取的PCA-SVM工控系统异常检测方法3建立TE过程半实物模拟仿真环境，验证所提出方法的可操作性。预期研究成果应用于实际系统将有较好的可行性主要难点五、预期创新点与难点工程项目经验实践缺乏，对工控系统整个生命周期预估不足；对ModbusTCP/IP协议和网络层数据包的深度分析结合工控系统特点进行数据特征的一次选择；根据工控系统的特点，PCA-SVM融合进行特征的二次提取和分类的问题；两种算法融合后漏报率，误报率是否能达到满意的效果；研究进度六、研究进度与年度计划TEP组态画面已建立了TE系统仿真模型，并进行了一定的测试研究，TE组态画面如下所示：年度计划起始时间工作段完

成

内

容2015.07～2015.08调查取证资料阶段根据所学知识与导师交流，确定选题范围，查阅收集相关资料。2015.08～2015.10开题报告阶段在导师的指导下，完成文献分析综述，拟定开题报告。2015.11下旬中期检查阶段参加开题报告答辩，完成中期检查，同时拟定论文提纲2015.11～2016.02文献整理阶段进一步收集资料，做好文献资料的归类整理2016.02～2016.06发表小论文阶段精读工控系统信息安全入侵检测方面的相关文献，从优秀的研究成果中借鉴思路，提出适用于SCADA系统，漏报率低的入侵检测模型。取得初步研究成果