油氣集輸SCADA安全防御的因素神經元模型研究

梁 鵬，朱 旭，曹謝東，秦 勇，張偉偉，胡啟超

(1.西南石油大學 電氣信息學院，四川 成都 610500;2.青海油田澀北作業公司，青海 格爾木 816000）

0 引言

SCADA (Supervisory Control And Data Acquisition)系統，即數據采集與監視控制系統[1]，現已廣泛應用于油氣集輸[2]領域，尤其是大規模油氣集輸管網。過去，SCADA系統一直處于封閉的環境中，安全風險相對較低。隨著近幾年敵對國家和集團出于經濟、政治和軍事目的對能源SCADA系統的攻擊頻發[3]，油氣集輸管網SCADA系統作為國家重大基礎設施和能源發展戰略的重要組成部分，面臨著嚴峻的安全挑戰[4]。

為了提高分布式油氣集輸SCADA系統主機的安全防護等級，進而提升整個SCADA系統的安全防御能力，提出了一種針對油氣集輸SCADA安全防御的因素神經元模型，將因素神經網絡理論[5-6]和程序行為特征[7]應用到油氣集輸SCADA主機安全防御中，使其具有抗已知和未知惡意程序攻擊的能力。

1 因素神經網絡理論

1.1 因素神經網絡理論簡介

因素神經網絡理論是關于智能工程領域的基礎理論之一。它以知識的因素表示為基礎，以因素神經元及因素神經網絡為其形式化框架，并希望以此來實現知識的存儲與運用，完成智能行為的工程模擬過程。

1.2 因素與因素狀態空間

因素 f 是事物描述的基元，也是一種認知與表達范疇，它是在對事物進行認知過程中抽象形成的，人們又用它來認知和描述事物，如對事物進行描述時所考慮的事物的屬性、推理過程中所考慮的各種前提條件等。因素f∈F可以視為一個映射，作用在一定的對象u∈U上，獲得一定的狀態 f(u)。f:D(f)→X(f)，其中X(f)={f(u)│u∈U}為 f 的狀態空間[5-6]。

1.3 解析型因素神經元的形式化定義

因素神經元FN（Factor Neuron）是一個知識表達及信息處理的基本單元[5]。因素神經元分為解析型因素神經元和模擬型因素神經元，它們都是構成因素神經網絡的基本單位。本文所采用的是基于規則推理的解析型因素神經元[5-6]。

一個具有推理功能的解析因素神經元可表述為[5]：

其中，為解析型因素神經元結構、因素及狀態；為神經元的推理、判別與內部控制功能；a為輸入信息；b為單元推理目標或響應。

2 程序行為因素

2.1 程序行為因素的定義

結合因素神經網絡理論與程序行為特征，定義程序行為因素。

定義1 以 API函數名為標識，完成對程序行為屬性的一種抽象描述，則將這種描述稱為程序行為因素。

2.2 程序行為的知識表示

結合因素神經網絡理論表達知識的方式：原子模式和關系模式[5]，分別定義程序行為因素表示知識的原子模式和關系模式。

定義3 程序行為因素表示知識的原子模式為一個元組，即 M(B)=，其中，B={文件操作[8]，注冊表操作，服務活動操作，進程/線程操作}[9-10]，即知識描述的程序行為集，即描述B時所選用程序行為因素集；X則是用來描述B時，B在方面的表現狀態，X={Xb（）∈，b∈B}，即具體 API函數[11]的參數取值。

定義4 程序行為因素表示知識的關系模式為一個元組，即 R(B)=，其中，RM為知識模式集，以文件操作的一個知識模式集為例，RM=<{Rid1：if遍歷磁盤文件then可疑文件操作行為}，…{Rid n：if查找文件and修改文件讀寫屬性then危險文件操作行為}>；M(B)為程序行為因素表示知識的原子模式；XM為原子模式M(B)在RM上的構組狀態及狀態變換關系。

程序行為因素表示知識的原子模式，給出了對被描述對象進行認知時有關知識的一組離散表達[5]。程序行為因素表示知識的關系模式，它可把各種不同的相關知識或各種不同的知識表達方式有機地聯系起來，實現知識不同表達方式的轉換及知識間的推理及動態過程。

3 解析型因素神經元模型的結構

3.1 解析型因素神經元模型的內部結構

解析型因素神經元是一個集知識表示與動態推理的智能單元，能夠處理數據流和控制流信息。如圖1所示，基本結構由輸入 /輸出系統、推理系統和知識庫4個基礎系統構成。

圖1 解析型因素神經元模型的內部結構

⑴輸入/輸出系統：輸入 /輸出系統負責對因素神經元與外界的交互，是外界與因素神經元交互的信息通道。

⑵推理系統：完成前提命題狀態向結論命題狀態的轉換，即實現問題的推理和求解策略。

⑶知識庫：存放了大量關于油氣集輸 SCADA主機安全的事實規則。

因素神經元分別部署在 SCADA系統工控機、工程師站、操作員站等各級上下位機上，且所有因素神經元均采用該模型結構。

3.2 知識庫的構造

知識庫中存放了大量關于油氣集輸SCADA主機安全的事實規則[12]。知識庫包括合法因素知識庫和惡意因素知識庫。其知識的獲取來自預置方式和系統運行過程中判定為合法的程序行為因素。

其中，合法因素知識庫，即由油氣集輸 SCADA系統所有主機上經因素神經元判斷為合法的程序行為因素組成的知識庫；惡意因素知識庫，即由惡意程序行為因素組成的攻擊識別知識庫。

3.3 推理系統的構造

推理系統是因素神經元的核心，它模擬信息安全專家對SCADA系統主機安全防御的思維活動過程，以解決SCADA系統信息安全問題，本文中所有因素神經元的推理系統的推理機制均是基于If-then的規則[13]匹配。因素神經元模型的推理系統工作流程如圖2所示。

4 驗證性結果及分析

本文的解析型因素神經元模型在由基金課題小組搭建的“SCADA系統仿真平臺”上進行驗證性測試，該SCADA系統仿真平臺模擬某油氣田的SCADA系統架構，由地區調度中心、區域控制中心、站控系統及通信網絡構成。

在工控機上F盤下的SCADA項目文件屬于仿真平臺的重要文件，該項目文件被列入文件監控范圍，某未知程序將項目文件中的struct.db刪除時，因素神經元檢測對DeleteFileA函數的調用，并獲取函數參數值進行比較，發現該惡意程序正在試圖刪除struct.db，于是發出預警信息，如圖3所示。

圖2 因素神經元模型的推理系統工作流程

圖3 惡意文件操作測試結果

同理，還分別完成了對惡意的注冊表操作、服務活動操作、進程/線程操作的監控測試。

測試結果顯示了該模型可以完成針對油氣SCADA系統主機的惡意程序行為監控，驗證了由解析型因素神經元構建的因素神經元防御模型的可行性，針對SCADA系統工控機、工程師站、操作員站等各級上下位機的攻擊，該模型可以起到良好的監控防御作用。

5 結論

本文在充分分析了SCADA系統的基礎上，結合因素神經網絡理論和程序行為特征，定義了程序行為因素的概念，提出了一種針對SCADA安全的因素神經元模型，通過實驗分析對模型進行了驗證，達到了良好的預期效果，為研究SCADA安全防御方法提供了一種新思路。下一步將對神經元的推理算法進一步優化，不斷加強對工控機操作系統關鍵API函數調用的監控，并完善對惡意行為的響應機制，增強對未知惡意程序攻擊的防御能力，進而不斷提高因素神經元模型的防御水平。

[1]王華忠.監控與數據采集（SCADA）系統及其應用（第二版）[M].北京：電子工業出版社,2012.

[2]王倩, 姜明慧.基于油氣長輸管道SCADA系統探究[J].中國石油和化工標準與質量, 2014(3):43,31.

[3]彭勇, 江常青, 謝豐, 等.工業控制系統信息安全研究進展[J].清華大學學報(自然科學版), 2012,52(10):1396-1408.

[4]魏欽志.工業控制系統安全現狀及安全策略分析[J].信息安全與技術, 2013,4(2):23-26.

[5]劉增良.因素神經網絡理論及其應用 [M].貴州:貴州科技出版社, 1994.

[6]劉增良, 劉有才.因素神經網絡理論及實現策略研究[M].北京: 北京師范大學出版社, 1992.

[7]張一弛, 龐建民, 趙榮彩, 等.基于證據推理的程序惡意性判定方法[J].軟件學報, 2012,23(12):3149-3160.

[8]蘇雪麗, 馬金鑫, 袁丁.基于Detours的文件操作監控方案[J].計算機應用, 2010,30(12):3423-3426.

[9]郭旭亭, 賈小珠, 張洪水.一種基于程序行為模糊模式匹配的病毒檢測方法[J].青島大學學報(自然科學版),2007,20(4):72-75.

[10]向林泓.主動防御技術的研究和實現 [D].成都:電子科技大學, 2011.

[11]李辰.主機入侵防御中行為監控技術的研究與實現[D].北京: 北京郵電大學, 2009.

[12]李煥洲, 陳婧婧, 鐘明全, 等.基于行為特征庫的木馬檢測模型設計[J].四川師范大學學報（自然科學版）,2011,34(1):123-127.

[13]曹謝東.模糊信息處理及應用[M].北京:科學出版社，2003.