◆胡曉晴 方 勇

基于上位機(jī)與西門子S7-300PLC網(wǎng)絡(luò)通信的流量建模與預(yù)測研究

◆胡曉晴 方 勇

（四川大學(xué)信息安全研究所 四川 610065）

本文針對上位機(jī)與西門子S7-300PLC之間的網(wǎng)絡(luò)通信流量提出一種流量預(yù)測模型，該模型可以有效地地預(yù)測上位機(jī)與s7-300PLC之間的通信流量。本文首先使用wireshark抓包軟件獲取1小時(shí)內(nèi)上位機(jī)與西門子 s7-300 PLC之間通信鏈路中的所有數(shù)據(jù)包，將這些數(shù)據(jù)包根據(jù)上位機(jī)和PLC的ip地址過濾后，生成流量時(shí)間序列，并對其進(jìn)行平穩(wěn)性分析，分析結(jié)果表明該流量時(shí)間序列具有平穩(wěn)性。又由于本文僅考慮流量時(shí)間序列中的短相關(guān)性，因此選擇時(shí)間序列預(yù)測模型ARMA對該流量進(jìn)行建模。建模完成后，本文又進(jìn)行了模型預(yù)測與回測實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果顯示絕大多數(shù)預(yù)測點(diǎn)的誤差被控制在1%以內(nèi)，僅有極個(gè)別點(diǎn)誤差在10%左右，總體預(yù)測效果優(yōu)良，從而得出結(jié)束語:本文建立的ARMA模型可以有效地預(yù)測上位機(jī)與s7-300 PLC之間的通信流量。

工業(yè)控制網(wǎng)絡(luò)；流量建模；流量預(yù)測；ARMA；S7-300；PLC

0 前言

與普通網(wǎng)絡(luò)相比，工業(yè)控制網(wǎng)絡(luò)具有更加穩(wěn)定的拓?fù)浣Y(jié)構(gòu)，各個(gè)拓?fù)涔?jié)點(diǎn)的功能很少變動，因此，正常穩(wěn)定的工業(yè)控制系統(tǒng)在運(yùn)行期間會保持比普通網(wǎng)絡(luò)更加穩(wěn)定的流量水平。當(dāng)工業(yè)控制網(wǎng)絡(luò)流量水平在一段時(shí)間內(nèi)出現(xiàn)異常，即超過或低于其合理范圍時(shí)，則很可能意味著工業(yè)控制設(shè)備遭遇了病毒的攻擊，或者是發(fā)生了故障，而這些系統(tǒng)異?？赡軙绊懴到y(tǒng)設(shè)備乃至整個(gè)工業(yè)控制系統(tǒng)的正常運(yùn)行。因此，對工業(yè)控制網(wǎng)絡(luò)異常流量的識別對保證工業(yè)控制系統(tǒng)安全有著重要意義，而對工業(yè)控制網(wǎng)絡(luò)正常流量的有效預(yù)測，是識別其異常流量的基礎(chǔ)。

工業(yè)控制網(wǎng)絡(luò)流量特性與普通網(wǎng)絡(luò)流量特性有所不同，這是由于相對普通網(wǎng)絡(luò)來說，工業(yè)控制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相對固定，業(yè)務(wù)類型多為周期性的，且網(wǎng)絡(luò)協(xié)議類型較為單一。不同的預(yù)測模型有不同的適用范圍，如果適用范圍和數(shù)據(jù)特性不一致，則無法準(zhǔn)確有效地預(yù)測數(shù)據(jù)。因此，普通網(wǎng)絡(luò)流量建模常用的方法很可能并不適用于工業(yè)控制設(shè)備流量。需要單獨(dú)對工業(yè)控制設(shè)備流量進(jìn)行分析和建模。

進(jìn)行流量預(yù)測的常用時(shí)間序列模型大致分為平穩(wěn)模型和非平穩(wěn)模型兩類，平穩(wěn)模型主要包括AR模型，ARMA模型，F(xiàn)ARIMA模型，非平穩(wěn)模型則主要為ARIMA模型。本文通過對樣本流量時(shí)間序列穩(wěn)定性和自相似性等特性的分析，使用ARMA模型實(shí)現(xiàn)流量的建模和預(yù)測。

目前，很少有真實(shí)場景中對工業(yè)控制網(wǎng)絡(luò)流量的有針對性的研究，一部分研究僅采用仿真分析方式，仿真分析得出的結(jié)束語常常與現(xiàn)實(shí)存在較大的差異；另一些研究則是對某個(gè)特定而又復(fù)雜的工業(yè)控制系統(tǒng)的總流量進(jìn)行分析，這種方式得出的結(jié)束語往往僅適用于其研究的單個(gè)系統(tǒng)，缺乏普適性。本文在真實(shí)場景中僅采集上位機(jī)與s7-300之間的網(wǎng)絡(luò)流量，對其進(jìn)行數(shù)據(jù)特性分析、建模假設(shè)、建立模型和模型檢驗(yàn)，所得模型即真實(shí)性強(qiáng)，又適用范圍廣。

1 流量采集

本文將真實(shí)工業(yè)控制系統(tǒng)作為流量采集平臺。該系統(tǒng)由三臺上位機(jī)，一臺西門子s7-300PLC，兩臺西門子S7-200PLC，一臺工業(yè)以太網(wǎng)交換機(jī)，一臺額定電壓24V、額定功率200W的發(fā)電機(jī)模型和工業(yè)以太網(wǎng)等設(shè)備構(gòu)成，拓?fù)鋱D如圖1所示。其中，操作員站與S7-300PLC通過運(yùn)行于TCP/IP上的s7協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)通信，操作員站通過對s7-300發(fā)送命令來監(jiān)控發(fā)電機(jī)模型的開關(guān)與轉(zhuǎn)速。

圖1 實(shí)驗(yàn)平臺拓?fù)鋱D

本文在操作員站上使用wireshark軟件獲取途徑流量。wireshark是一款功能齊全的抓包軟件，它可以獲取途徑抓包鏈路的所有數(shù)據(jù)包的到達(dá)時(shí)間、包長、源IP、目的IP、協(xié)議等信息，并能通過設(shè)定過濾器將需要的數(shù)據(jù)包過濾出來，還可以將這些過濾出來的數(shù)據(jù)包導(dǎo)出。另外，wireshark不會產(chǎn)生網(wǎng)絡(luò)流量，也就不會對鏈路中原有流量的特性造成影響。抓包過程中，操作員站與s7-300PLC進(jìn)行通信，監(jiān)測發(fā)電機(jī)的轉(zhuǎn)速，發(fā)電機(jī)的轉(zhuǎn)速保持1500轉(zhuǎn)每分鐘，抓包過程持續(xù)1小時(shí)。抓包完成后，使用wireshark過濾器功能過濾出操作員站與s7-300 PLC之間的通信流量并導(dǎo)出。導(dǎo)出流量的10s尺度的時(shí)間序列圖如圖2所示。

圖2 導(dǎo)出流量時(shí)間序列圖

圖2中每個(gè)序列值代表某個(gè)10s內(nèi)上位機(jī)與s7-300PLC之間通信流量的字節(jié)數(shù)，單位為Bytes/10s，橫坐標(biāo)為時(shí)間，單位為10s。從直觀來看，該流量數(shù)據(jù)集共有372個(gè)樣本點(diǎn)，在10秒尺度上具有明顯的周期性，且均值、方差沒有明顯隨時(shí)間變化的趨勢，后兩點(diǎn)說明流量時(shí)間序列在10s尺度上可能是平穩(wěn)的。下面對流量時(shí)間序列在10s尺度上的平穩(wěn)性做進(jìn)一步分析。

2 流量的平穩(wěn)性檢驗(yàn)

為準(zhǔn)確選取流量模型，本文進(jìn)一步對樣本流量時(shí)間序列進(jìn)行平穩(wěn)性檢驗(yàn)。流量的平穩(wěn)性是指，流量時(shí)間序列的均值和方差在時(shí)間過程上保持常數(shù)，并且在任何兩時(shí)期之間的協(xié)方差的值僅依賴于該兩時(shí)期間的距離或滯后，而不依賴于計(jì)算這個(gè)協(xié)方差的實(shí)際時(shí)間。簡言之，如果一段流量是平穩(wěn)的，就不管在什么時(shí)刻測量，它的均值、方差和各種滯后的協(xié)方差都保持不變。[1]最常用的平穩(wěn)性檢驗(yàn)方法是圖示分析法和相關(guān)圖檢驗(yàn)法，而最準(zhǔn)確的平穩(wěn)性檢驗(yàn)方法是單位根檢驗(yàn)法。本文在上一章已經(jīng)通過觀察流量時(shí)間序列圖初步判斷出該流量可能具有平穩(wěn)性，下面依次使用相關(guān)圖檢驗(yàn)法和單位根檢驗(yàn)法中的ADF檢驗(yàn)對流量平穩(wěn)性進(jìn)行分析。

考慮到可能存在的異方差現(xiàn)象，以及單位數(shù)量級過高等問題，本文對樣本流量時(shí)間序列進(jìn)行了取自然對數(shù)處理。本文使用EVIEWS數(shù)據(jù)分析軟件，將流量序列Y處理為LN（Y）。利用EVIEWS對上述時(shí)間序列的前186個(gè)樣本點(diǎn)做自相關(guān)圖以獲取自相關(guān)系數(shù)與偏自相關(guān)系數(shù)，結(jié)果如下圖3所示。

圖3 樣本流量時(shí)間序列自相關(guān)圖

根據(jù)圖3可以發(fā)現(xiàn)，流量時(shí)間序列的自相關(guān)系數(shù)在之后10階處非常顯著，數(shù)值很大，而偏自相關(guān)系數(shù)則存在一定的拖尾特性，但在10階后也降低至0附近，因此序列存在著至多10階的相關(guān)性，很可能具有平穩(wěn)性。

為進(jìn)一步驗(yàn)證樣本流量時(shí)間序列的平穩(wěn)性，本文引入時(shí)間序列平穩(wěn)性的常用檢測方法——單位根檢驗(yàn)。平穩(wěn)性檢驗(yàn)以DF檢驗(yàn)和ADF檢驗(yàn)最為常見，本文采用ADF檢驗(yàn)，檢驗(yàn)結(jié)果如下表1所示。

表1 樣本流量時(shí)間序列ADF檢驗(yàn)結(jié)果

LNY序列ADF檢驗(yàn)的統(tǒng)計(jì)量值是-9.610895，故能在1%的顯著水平下拒絕原假設(shè)，即可以認(rèn)為該序列不存在單位根，是平穩(wěn)的序列。

3 建立模型

3.1 模型選擇

經(jīng)上一章檢驗(yàn)，本文流量時(shí)間序列是平穩(wěn)序列，平穩(wěn)時(shí)間序列模型主要包括AR模型、ARMA模型、FARIMA模型，由于ARMA模型本質(zhì)上是AR模型和MA模型的結(jié)合，已經(jīng)包括了AR模型，而FARIMA模型主要用于長相關(guān)性時(shí)間序列的預(yù)測，不屬于本文研究范圍，因此采用ARMA模型對流量時(shí)間序列進(jìn)行建模和預(yù)測。

3.2 參數(shù)估計(jì)

由圖3可以發(fā)現(xiàn)，序列的自相關(guān)系數(shù)在滯后10階時(shí)非常顯著，而偏自相關(guān)系數(shù)卻存在著較長的拖尾分布特征。所以，本文初步選用ARMA（10，0）模型進(jìn)行擬合估計(jì)，下面利用EVIEWS對樣本流量時(shí)間序列建立自回歸模型，參數(shù)結(jié)果如下表2所示。

表2 ARMA（10，0）模型參數(shù)估計(jì)

由表2可知，在此解釋變量和參數(shù)下，模型的AR（10）對應(yīng)的相伴概率為0.0000，非常顯著，是有效解釋變量。此時(shí)，殘差相關(guān)圖如下圖4所示:

圖4 ARMA（10，0）殘差相關(guān)圖

顯然，在滯后1階處仍然存在較高程度的相關(guān)程度，因此，將AR（1）加入ARMA模型，得到流量時(shí)間序列對ARMA（（1，10），0）模型的回歸結(jié)果如下表3所示:

表3 ARMA（（1，10），0）模型參數(shù)估計(jì)

從表3中可知，AR（1）作為解釋變量，其自身的相伴概率為0，非常顯著，且其加入并未改變AR（10）的顯著性，因此AR（1）為有效解釋變量。加入AR（1）后的殘差相關(guān)圖如下圖5所示:

圖5 ARMA（（1，10），0）殘差相關(guān)圖

模型的殘差平方相關(guān)圖顯示，在滯后1階情況下，模型的自相關(guān)系數(shù)和偏自相關(guān)系數(shù)仍大于0.1，且偏相關(guān)系數(shù)的拖尾特性仍然存在，為了對這種情況進(jìn)行修正，在模型中加入MA（1）項(xiàng)進(jìn)行優(yōu)化估計(jì)。在加入項(xiàng)MA（1）的情況下，可以得到估計(jì)結(jié)果如下表4所示:

表4 ARMA（（1，10），1）模型參數(shù)估計(jì)

MA（1）的相伴概率是0.0000，非常顯著，但其對AR（10）項(xiàng)的顯著性有一定影響。下面做出含有MA（1）的殘差相關(guān)圖，如圖6，做進(jìn)一步分析。

圖6 ARMA（（1，10），1）殘差相關(guān)圖

如圖6所示，滯后1階的相關(guān)系數(shù)已經(jīng)被消除，殘差相關(guān)圖呈現(xiàn)出白噪聲序列，數(shù)據(jù)的相關(guān)信息已經(jīng)被模型充分提取，該模型實(shí)現(xiàn)了比較理想的估計(jì)。但考慮到原模型在加入MA（1）后的AR（10）不顯著，故剔除AR（10）項(xiàng)再次進(jìn)行估計(jì)，得到ARMA（1，1）的參數(shù)估計(jì)結(jié)果如下表5所示:

表5 ARMA（1，1）模型參數(shù)估計(jì)

如表5所示，消除解釋變量AR（10）后，解釋變量MA（1）的相伴概率為0.99，完全不顯著。上述ARIMA（1，1）模型對應(yīng)的殘差相關(guān)圖如圖7所示:

圖7 ARMA（1，1）殘差相關(guān)圖

由圖7可知，雖然在滯后1階處的相關(guān)系數(shù)被消除了，但之后10階等多處出現(xiàn)非常高的相關(guān)效應(yīng)，說明該模型不理想。

根據(jù)各殘差圖的結(jié)果可知，ARIMA（（1，10），0，1）實(shí)現(xiàn)了最理想的估計(jì)，最終殘差相關(guān)圖呈現(xiàn)為白噪聲序列，數(shù)據(jù)的相關(guān)信息已經(jīng)被模型充分提取。盡管在該模型中有個(gè)別解釋變量不顯著，但ARIMA模型是整體預(yù)測性的模型，一般從整體考慮模型有效性，而非個(gè)體變量的顯著性。

3.3 模型定階

為更準(zhǔn)確地確定最優(yōu)模型，本文下面將再運(yùn)用最小信息準(zhǔn)則法——即AIC/SC信息準(zhǔn)則法再次對模型進(jìn)行判別，實(shí)現(xiàn)最終的模型定階。在3.2節(jié)中，隨著結(jié)果的逐步優(yōu)化已經(jīng)建立起了較多的模型。為了進(jìn)一步識別各個(gè)模型的優(yōu)劣特性，下面運(yùn)用AIC/SC信息準(zhǔn)則發(fā)對上述模型進(jìn)行綜合判斷，整理如表6所示:

表6 各模型AIC與SC值

根據(jù)AIC/SC信息最小原則，因?yàn)槟Ｐ虯RMA（（1，10），1）的AIC和SC值同時(shí)為最小值，所以選定ARMA（（1，10），1）作為最優(yōu)的擬合模型。

4 模型預(yù)測實(shí)驗(yàn)

本文使用EVIEWS根據(jù)上述討論出的ARMA（（1，10），1）模型對樣本流量時(shí)間序列的自然對數(shù)序列LN（Y）做出回測和預(yù)測，再通過自然數(shù)e的冪乘方運(yùn)算轉(zhuǎn)化為原始數(shù)值，得到回測和預(yù)測序列YF。其中，模型對樣本流量時(shí)間序列的前186個(gè)點(diǎn)進(jìn)行回測，對后186個(gè)點(diǎn)進(jìn)行預(yù)測。下圖8中給出了預(yù)測/回測值和實(shí)際值的對比圖，縱坐標(biāo)單位為Bytes/10s，橫坐標(biāo)單位為10s。

圖8 預(yù)測/回測序列與原始序列對比圖

由圖8可以看出，本文建立的ARMA（（1，10），1）模型對絕大多數(shù)流量時(shí)間序列點(diǎn)做出了較為準(zhǔn)確的預(yù)測或回測。為了更具體的分析預(yù)測結(jié)果，下面在表7中統(tǒng)計(jì)了預(yù)測/回測誤差比。其中，第一列為不同的誤差比范圍，誤差比是真實(shí)值Y和預(yù)測值YF的差值與預(yù)測值YF的比值乘100%；第二列是對應(yīng)誤差比范圍內(nèi)的序列點(diǎn)數(shù)占全部序列點(diǎn)數(shù)的百分比。

表7 模型預(yù)測/回測誤差比統(tǒng)計(jì)表

由誤差比統(tǒng)計(jì)表可以得到，89.23%的點(diǎn)位誤差控制在1%以內(nèi)，98.33%的點(diǎn)位誤差控制在2%以內(nèi)，有個(gè)別點(diǎn)誤差在8%左右，但數(shù)量極少，總體預(yù)測效果優(yōu)良。

5 結(jié)束語

本文以上位機(jī)與西門子s7-300 PLC之間的網(wǎng)絡(luò)通信流量為研究對象，使用wireshark對流量抓包、過濾后，導(dǎo)出10s尺度的流量時(shí)間序列，使用時(shí)間序列預(yù)測模型ARMA利用統(tǒng)計(jì)學(xué)知識對流量時(shí)間序列進(jìn)行建模，通過調(diào)整參數(shù)、解釋變量和最優(yōu)模型判別，得到最優(yōu)ARMA模型ARMA（（1，10），1），最后應(yīng)用該模型對樣本流量時(shí)間序列進(jìn)行了預(yù)測和回測實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明ARMA（（1，10），1）模型對上位機(jī)與西門子S7-300 PLC之間通信流量的預(yù)測效果優(yōu)良。

[1]Damodar N.Gujarati.計(jì)量經(jīng)濟(jì)學(xué)基礎(chǔ)（第5版）[M].北京:中國人民大學(xué)出版社，2011.

[2]王麗賢.時(shí)間序列預(yù)測技術(shù)研究[D].天津理工大學(xué)，2011.

[3]劉亮，江漢紅，王潔，芮萬智.工業(yè)以太網(wǎng)網(wǎng)絡(luò)流量的特性分析與建模研究[J].微電子學(xué)與計(jì)算機(jī)，2015．

[4]吳美美.網(wǎng)絡(luò)流量特性分析及預(yù)測研究[D].天津大學(xué)，2008.

[5]高春梅.基于工業(yè)控制網(wǎng)絡(luò)的流量異常檢測[D].北京工業(yè)大學(xué)，2014.

[6]賴英旭，焦嬌.基于時(shí)間序列分析的工業(yè)控制以太網(wǎng)流量異常檢測[J].北京工業(yè)大學(xué)學(xué)報(bào)，2015.

[7]黃勇.面向ICS的異常檢測系統(tǒng)研究[D].重慶理工大學(xué)，2014.