数据采集监视控制系统(Supervisory Control And Data Acquisition,SCADA)是应用于电力、交通、石油等重要行业的生产控制系统,其安全、稳定地运行是实现国民经济增长的重要保证。随着物联网技术和嵌入式技术的不断发展,SCADA系统的开放性逐渐增强,系统存在的网络安全问题变得日益突出。Modbus TCP/IP协议是SCADA系统典型的通信协议,也容易因受到攻击而导致安全问题的发生,为了及时发现Modbus TCP/IP系统所面临的安全威胁,本文对使用Modbus TCP/IP协议的SCADA系统中的异常检测问题进行了研究,主要工作包括以下三个方面:(1)在异常检测的数据预处理阶段,论文以Modbus TCP/IP报文为研究对象,选取功能码和寄存器的起始地址作为特征,将连续的Modbus TCP/IP流量转化为功能码和寄存器起始地址的组合对序列,提出了一种基于Modbus TCP/IP序列的频率特征向量构建方法。该方法既可以将包含不同数目的功能码和寄存器起始地址的组合对序列划为相同长度的向量,还可以描述Modbus TCP/IP通信序列的流量特征。(2)针对于SCADA系统中多数为正常数据,异常样本量少的特点,论文设计了一种基于单类支持向量机的异常检测模型,通过以正常的功能码和寄存器起始地址的组合对序列进行训练,建立正常通信行为的轮廓,从而识别不符合通信规律的异常流量。本文利用Modbus Poll和Modbus Slave软件模拟Modbus TCP/IP通信进行流量采集,并对该检测模型进行验证。结果表明,与传统的支持向量机、标准RBF算法、BP神经网络算法异常检测模型相比,基于单类支持向量机的异常检测模型的分类识别准确率高于其它三种算法,其误报率在四种算法中最低,有效降低了入侵检测误报警率。(3)论文选取Modbus TCP/IP报文序列中的功能码和寄存器地址作为组合特征,利用滑动窗口技术构建频率特征向量并建立检测模型,通过实验分析得出滑动窗口长度l=5时可以准确描述Modbus TCP/IP通信时的流量特征规律。然后与基于功能码序列的异常检测模型进行对比,结果表明,本文提出的模型比选取功能码单一特征建立的异常检测模型的分类识别准确率高,能够有效地识别Modbus TCP/IP通信的异常流量,发现具有未知特征的攻击行为。