信息安全研究 ›› 2019, Vol. 5 ›› Issue (7): 635-638.

• 技术应用 • 上一篇    下一篇

基于卷积神经网络的工控协议Modbus TCP 异常检测

吕佩吾,葛雅川,李楠,周彦飞   

  1. 南京国电南自软件工程有限公司
  • 收稿日期:2019-07-08 出版日期:2019-07-15 发布日期:2019-07-08
  • 通讯作者: 吕佩吾
  • 作者简介:吕佩吾 工程师,主要研究方向为电力系统通信规约、电力系统信息安全. lvpeiwu01@163.com 葛雅川 高级工程师,主要研究方向为电力系统通信标准研究、电力系统信息安全. yachuan-ge@sac-china.com 李楠 工程师,主要研究方向为电力系统通信标准研究、电力系统信息安全. yachuan-ge@sac-china.com 周彦飞 工程师,主要研究方向为电力系统通信. yanfei-zhou@sac-china.com

Abnormal Detection in Modbus TCP Based on Convolutional Neural Network

  • Received:2019-07-08 Online:2019-07-15 Published:2019-07-08

摘要: 针对工业控制系统中ModbusTCP协议漏洞频出的问题,提出了基于卷积神经网络的Modbus/TCP异常报文检测方法,通过分析归纳Modbus/TCP的异常报文类型,在异常报文类型基础上进行卷积神经网络的卷积核设计,通过对神经网络输入维数、卷积层数和卷积权重的仿真训练,设计了基于卷积神经网络的Modbus/TCP异常报文检测模型,并利用Netfilter的HOOK技术将检测模型嵌入到工业防火墙中,实现对Modbus/TCP异常报文检测.

关键词: Modbus/TCP, 工控协议, 卷积神经网络, 异常报文检测, HOOK工具

Abstract: Aiming at the frequent vulnerabilities problem in Modbus/TCP protocol in industrial control system, we propose a Modbus/TCP anomaly message detection method based on convolutional neural network. By analyzing and summarizing the types of abnormal packets in Modbus/TCP, we design the convolution core of convolution neural network. Through simulation training of input dimension, convolution layer and convolution weight of neural network, we design the Modbus/TCP anomaly message detection model based on convolutional neural network, and use HOOK in Netfilter to embed the model into industrial firewall to realize the Modbus/TCP abnormal packets detection.

Key words: Modbus/TCP, industrial control protocol, convolutional neural network, abnormal packet detection, HOOK