SCADA安全因素神經(jīng)元的云推理機(jī)研究與仿真

熊柳,曹謝東,李杰,楊力,劉增良

(1. 西南石油大學(xué) 電氣信息學(xué)院,四川 成都 610500； 2. 西南石油大學(xué) 計算機(jī)科學(xué)學(xué)院,四川 成都 610500； 3. 中國人民解放軍國防大學(xué) 信息作戰(zhàn)研究所,北京 100091)

?

SCADA安全因素神經(jīng)元的云推理機(jī)研究與仿真

熊柳1,曹謝東1,李杰1,楊力2,劉增良3

(1. 西南石油大學(xué) 電氣信息學(xué)院,四川 成都 610500； 2. 西南石油大學(xué) 計算機(jī)科學(xué)學(xué)院,四川 成都 610500； 3. 中國人民解放軍國防大學(xué) 信息作戰(zhàn)研究所,北京 100091)

為了解決SCADA系統(tǒng)信息安全的問題，本文提出了一種基于因素神經(jīng)網(wǎng)絡(luò)的主動防御方法。將SCADA系統(tǒng)信息安全的影響因素映射到因素空間坐標(biāo)中，然后利用知識因素的因素神經(jīng)元表示方法，通過云模型推理機(jī)實現(xiàn)了語言值表示的模糊概念到定量數(shù)據(jù)的轉(zhuǎn)換，并通過云模型多規(guī)則多條件發(fā)生器進(jìn)行規(guī)則推理，最后根據(jù)得到的期望值又可以轉(zhuǎn)換為定性語言值，這樣就實現(xiàn)了對未知惡意程序行為操作可能性的預(yù)測。本文著重于利用基于云模型的多條件多規(guī)則發(fā)生器實現(xiàn)推理，通過MATLAB進(jìn)行算法設(shè)計和仿真，為油氣SCADA系統(tǒng)信息安全防御的解決方法提供了一種思路。

SCADA信息安全；因素空間；因素神經(jīng)元；云模型：MATLAB仿真

SCADA(supervisory control and data acquistion，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，主要用于生產(chǎn)數(shù)據(jù)采集和控制生產(chǎn)設(shè)備的運行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟(jì)安全造成重大隱患。一方面?zhèn)鹘y(tǒng)的病毒、木馬等會隨之直接(如聯(lián)網(wǎng)接入)或間接(如物理設(shè)備植入)地侵入工業(yè)控制系統(tǒng)，另一方面還有一些黑客組織或是敵對組織對國家的工控系統(tǒng)展開有組織的攻擊如“震網(wǎng)”病毒事件，這種攻擊具有未知性、隱秘性、持續(xù)時間長等特點，同時破壞效果更為強烈，而由于SCADA系統(tǒng)實時性、連續(xù)性和封閉性等特點，很多用在傳統(tǒng)計算機(jī)安全方面的手段(如病毒庫更新)又無法照搬過來用在SCADA系統(tǒng)上面，工控系統(tǒng)的信息安全問題日益突出。2002年美國宣布將保護(hù)重要領(lǐng)域工業(yè)控制系統(tǒng)安全列入重要的工作內(nèi)容,例如美國阿貢國家實驗室(argonne national laboratory，ANL)的研究主要集中于美國天然氣管道運輸?shù)腟CADA系統(tǒng)安全領(lǐng)域，提出采用SCADA系統(tǒng)的蜜罐誘捕SCADA系統(tǒng)惡意攻擊、進(jìn)行脆弱性分析以及攻擊行為分析。

本文首次提出基于因素神經(jīng)網(wǎng)絡(luò)[1]的油氣集輸SCADA安全防御模型，采用主動防御(active defense)的方法，對控制系統(tǒng)主機(jī)(工程師站、操作員站和PLC上位機(jī)等)的惡意程序行為進(jìn)行分析來實現(xiàn)入侵檢測的技術(shù)。主要研究SCADA安全因素神經(jīng)元[2]的云推理機(jī)[3]，實現(xiàn)對未知程序惡意行為的推測，并對其算法進(jìn)行MATLAB仿真。

1 課題思路

對惡意程序行為的描述可以采用因素神經(jīng)元的方法。因素神經(jīng)元由劉增良教授提出，是建立在汪培莊教授的因素空間基礎(chǔ)上提出的一種新的知識表示方法，因素空間理論[4]的主要目的是用于解釋隨機(jī)性的根源以及概率規(guī)律的數(shù)學(xué)實質(zhì)，其作用就是“搭架子”，即建立一種廣義坐標(biāo)系，然后用以描述坐標(biāo)系中的實際對象。因素神經(jīng)元[1]是一個面向?qū)ο蟮木C合知識表示與信息處理的單元模型，它能夠獲取各種類型的信息輸入，神經(jīng)元可以有選擇性地進(jìn)行感知，最后構(gòu)成一個總體激發(fā)完成輸出，能有效地作為模型的載體，這種表示方法具有語法和語義統(tǒng)一，定性與定量統(tǒng)一的知識表示特點。

完成了對惡意程序行為因素的表示和定性向定量轉(zhuǎn)換后，需要通過一定的算法對這些行為因素進(jìn)行分析，通過推理得到一個大致的結(jié)論，例如，這是一個什么樣的惡意程序、其危害程度有多大。那么可以嘗試采用云模型的方法來完成這個推理機(jī)。

云模型由李德毅院士在1995年提出[5]，云是用自然語言值標(biāo)識的某個定性概念與其定量表示之間的不確定性轉(zhuǎn)換模型。云由許多云滴組成，每一個云滴就是這個定性概念在數(shù)域空間中的一次具體實現(xiàn)，這種實現(xiàn)帶有不確定性。

2 基于因素神經(jīng)元的SCADA系統(tǒng)惡意程序行為分析

2.1 SCADA系統(tǒng)信息安全的因素空間構(gòu)建

2.1.1 因素空間核心內(nèi)容

“任何事物都是諸因素的交叉”，一個人可以由他在年齡、性別、身高、體重、職業(yè)、學(xué)歷、性格、興趣等因素方面的表現(xiàn)而加以確定[6]，人就是上述因素的一種交叉。然而一個事物并非從任何因素都可以對之進(jìn)行考察，如一塊石頭無從論性別，所謂事物o與因素f相關(guān)，是指從f討論o，有一個狀態(tài)f(o)與之對應(yīng)。例如從f(顏色因素)討論o(蘋果)，有一個狀態(tài)f(o)(紅色)與之對應(yīng)。

稱(O,V)是一個配對，如果O與V分別是由一些對象和由一些因素所組成的集合，且對任意o∈O，一切與o有關(guān)的因素都在V中，而對任意因素f∈V，一切與f有關(guān)的事物也都在O中。

對于一個實際問題，假定有一個配對近似地存在著，對于給定的配對(O，V)，可以在O與V之間定義一個關(guān)系R:

R(o,f)=1，當(dāng)且僅當(dāng)o與f有關(guān)。

稱R為相關(guān)關(guān)系。為簡便計把R定義為普通的(非fuzzy，非模糊)關(guān)系。

因素f可以看作一個映射，作用在一定的對象o上可獲得一定的狀態(tài)，記為f(o):

f:D(f)→X(f)

o→f(o)

這里X(f)={f(o)|o∈O}叫做因素f的狀態(tài)空間。

2.1.2 因素空間模型構(gòu)建

給定論域U后，事物的因素分析一般步驟[6]為：

1)確定描述事物集合O；

2)確定事物的因素集合V；

3)對配對的(O,V)進(jìn)行層次系統(tǒng)分析，確定其是否具有層次性、類別關(guān)系，是否需要構(gòu)成因素分類樹，從而實現(xiàn)優(yōu)化分析；

4)確定各因素在論域U上的單因素狀態(tài)空間；

5)構(gòu)造離散因素空間；

6)構(gòu)造原始事物描述離散模型。

大規(guī)模油氣集輸SCADA系統(tǒng)的信息安全防御是由多方面因素構(gòu)成的，不是光從某一個因素入手就能解決的。對于SCADA系統(tǒng)信息安全防御，主要從惡意程序?qū)ο到y(tǒng)的文件、注冊表、進(jìn)/線程操作這3方面的因素來考慮，每一種操作由多方面的因素構(gòu)成，這樣就可以把SCADA系統(tǒng)信息安全防御問題放在一個由有限個惡意程序行為因素構(gòu)成的因素空間中，如圖1所示。SCADA系統(tǒng)信息安全就從一個很籠統(tǒng)很抽象的問題對應(yīng)到了一個多維的因素空間中，這是由模糊的定性概念轉(zhuǎn)換為定量信息的第一步。

圖1 SCADA信息安全因素空間

2.2 基于因素神經(jīng)元的SCADA惡意程序行為因素表示方法

2.2.1 因素神經(jīng)元核心內(nèi)容

使用因素神經(jīng)元的方法來表示SCADA惡意程序行為的因素。劉增良教授提出的“知識的因素表示模型”分為2種[4]: 原子模型和關(guān)系模型。

1)原子模型

知識因素表示的原子模型是一個三元組即M(O)=〈O,V,X〉，也可記為M(O,V,X),其中O是事物集，V是與O配對的因素集，X是基于V的因素空間{X(f)|f∈F,F?V}。原子模型是描述事實、概念的模式。

2)關(guān)系模型

知識的關(guān)系模型是在原子模型基礎(chǔ)上定義的，它可表示為：R=〈RM,Mi(O)，XM〉，(i=1,2,…)也可記為R(RM,Mi(O),XM)。其中RM表示原子模型Mi(O)間的變換關(guān)系集，Mi(O)表示第i個原子模型，XM表示原子模式M在知識模式集合RM上的狀態(tài)及狀態(tài)轉(zhuǎn)換關(guān)系。關(guān)系模型是描述規(guī)則、推理、判斷及知識動態(tài)過程的模式。

因素神經(jīng)元分為解析型因素神經(jīng)元和模擬型神經(jīng)元[1]，它們都是構(gòu)成因素神經(jīng)網(wǎng)絡(luò)的基本單位。解析型因素神經(jīng)元是對人類心理模式的模擬，模擬型因素神經(jīng)元則是對人類生理模式的模擬。

1)解析因素神經(jīng)元

一個具有推理功能的解析因素神經(jīng)元可表述為：M={〈G,F,X〉,〈p,q,r〉,〈a,b〉}，其中〈G,F,X〉共同表達(dá)了解析型因素神經(jīng)元結(jié)構(gòu)、因素及狀態(tài)；p,q,r分別執(zhí)行神經(jīng)元的推理、判別與內(nèi)部控制功能；a是輸入信息，b是單元推理目標(biāo)或響應(yīng)。

一個解析型因素神經(jīng)元就像一臺微型自動機(jī)，通過一組用因素表達(dá)的狀態(tài)，并有一套狀態(tài)轉(zhuǎn)換規(guī)則，當(dāng)外部輸入觸發(fā)時，神經(jīng)元按感知的信息執(zhí)行相應(yīng)的操作，進(jìn)行狀態(tài)的轉(zhuǎn)換，并依據(jù)自身的輸出響應(yīng)函數(shù)，輸出單元響應(yīng)。解析型因素神經(jīng)元基本結(jié)構(gòu)包括輸入/輸出系統(tǒng)、判別系統(tǒng)、推理系統(tǒng)和控制系統(tǒng)4個基礎(chǔ)系統(tǒng)構(gòu)成，如圖2所示。

圖2 解析型因素神經(jīng)元基本結(jié)構(gòu)

2)模擬型因素神經(jīng)元

一個模擬型因素神經(jīng)元可表述為：Y=F(X,W,T)，其中(X,Y)被稱為模擬型因素神經(jīng)元的輸入輸出模式對集合，X被稱為其激發(fā)或輸入模式集合，Y被稱為其對應(yīng)的響應(yīng)或輸出模式集合，W,T為模擬型因素神經(jīng)元內(nèi)部網(wǎng)絡(luò)模塊的可控參數(shù)。

2.2.2 油氣SCADA系統(tǒng)惡意程序行為因素表示方法

原子模型M(O)=〈O,V,X〉，O表示SCADA系統(tǒng)中惡意程序所有操作的集合，例如惡意程序?qū)χ鳈C(jī)系統(tǒng)的文件、注冊表、進(jìn)/線程操作，可以表示為[2]：O={FileOperations，RegOperations，Process/ThreadOperations}，對于其中的文件操作，又有查找、創(chuàng)建、打開、寫入、復(fù)制、刪除和屬性設(shè)置等重要因素，即有因素集合F={FindNextFile，CreateNewFile，OpenFile，WriteFile，CopyFile，DeleteFile，SetFileAttribute}，F(xiàn)?V，V為因素集，X就是基于對應(yīng)于因素集合的因素狀態(tài)空間。

由此可以得到文件操作(FileOperations)知識因素表達(dá)的關(guān)系模型：R=〈R,Mi(O)|i=1,2,…,n〉，即R(FileOperations)=〈RM，M(FileOperations)，XM〉，其中RM表示文件操作的一個知識模式集合，RM=〈{Rid1: if XFile(Find Next File) then 遍歷磁盤文件}，{Rid2: if XFile(Create File) then 在指定路徑下創(chuàng)建文件}，{Rid3: if Xfile(Copy File) then 復(fù)制指定文件到指定路徑}，{Rid4: if XFile(Delete File) then 刪除指定路徑的指定文件}，…〉;M(FileOperations)為文件操作的知識因素表達(dá)原子模型；XM表示原子模型M(FileOperations)在知識模式集合RM上的狀態(tài)及狀態(tài)轉(zhuǎn)換關(guān)系，XM=〈Xid1:if 在系統(tǒng)目錄下創(chuàng)建文件 and 設(shè)置文件時間為系統(tǒng)文件時間 then 非法創(chuàng)建文件}，{Xid2:if 查找所有文件and文件寫操作then可疑遍歷磁盤文件操作}，{Xid3:if 創(chuàng)建打開文件 and 修改文件屬性為系統(tǒng)文件 then 非法文件屬性修改}，{Xid4:if 刪除SCADA主機(jī)系統(tǒng)目錄文件 then 惡意文件操作}，{Xid5:if 復(fù)制文件至SCADA系統(tǒng)目錄 and 修改該目錄下文件屬性 then可疑文件操作}，…〉。

3 基于云發(fā)生器的SCADA惡意程序行為因素推理機(jī)設(shè)計

在人工智能領(lǐng)域，對知識和推理的不確定性主要分為模糊性和隨機(jī)性展開研究。作為處理模糊性問題的主要工具，模糊集理論用隸屬度來刻畫模糊食物的亦此亦彼性。然而，一旦用一個精確的隸屬函數(shù)來描述模糊集，模糊概念被強行納入到精確數(shù)學(xué)的王國，從此以后，在概念的定義、定理的敘述及證明等數(shù)學(xué)思維環(huán)節(jié)中，就不再有絲毫的模糊性了。由于傳統(tǒng)模糊集理論的不徹底性[7]，該推理機(jī)沒有采用傳統(tǒng)的隸屬度算法，而是采用云模型理論。

3.1 云模型簡介

云模型是一個以自然語言值為切入點，實現(xiàn)定性概念與定量值之間的不確定性轉(zhuǎn)換的模型[7]；它同時反映了客觀世界中概念的兩種不確定性，即隨機(jī)性(發(fā)生的概率)和模糊性(亦此亦彼性)，尤其隨機(jī)性是其不同于傳統(tǒng)隸屬函數(shù)的特性。下面給出云模型的定義。

設(shè)U是一個用精確數(shù)值表示的定量論域，C是U上的定性概念，若定量值x∈U,且x是定性概念C的一次隨機(jī)實現(xiàn)，x對C的確定度u(x)∈[0,1]是具有穩(wěn)定傾向的隨機(jī)數(shù)。若

u:U→[0,1] ?x∈Ux→u(x)

則x在論域U上的分布稱為云，每一個x稱為一個云滴。

云模型主要有以下3個數(shù)字特征[5]：

1)期望Ex，云滴在論域空間分布的期望是概念在論域空間的中心值，是最能夠代表定性概念的點；

2)熵En，它是定性概念不確定性的度量，是由定性概念的隨機(jī)性和模糊性共同決定的；

3)超熵He，它是對熵的不確定性的度量，是熵的熵，反映了在論域空間代表該語言值的所有點的不確定度的凝聚性，它的大小間接地反映了它們之間的關(guān)聯(lián)性。

由參數(shù)Ex、En、He得到云滴drop(x,u)的過程稱為正向云發(fā)生器，如圖3所示，這是從定性概念到定量表示的轉(zhuǎn)換過程；反之，則為逆向云發(fā)生器。

圖3 正向云發(fā)生器

由此可以衍生出X條件云發(fā)生器和Y條件云發(fā)生器[3]。即當(dāng)給定云的3個數(shù)字特征和特定的x=x0時，產(chǎn)生滿足條件的云滴drop(x0，ui)，X條件云也稱為前件云發(fā)生器；同理，當(dāng)給定云的3個數(shù)字特征和特定的y=ui時，產(chǎn)生滿足條件的云滴drop(xi，ui)，Y條件云也稱為后件云發(fā)生器。

3.2 云發(fā)生器的惡意程序行為因素推理機(jī)設(shè)計

3.2.1 多條件多規(guī)則發(fā)生器

一條定性規(guī)則[8]可以形式化地表示為：ifAthenB,其中A、B為語言值表示的云對象[7]。云發(fā)生器是運用云模型進(jìn)行不確定性推理的基礎(chǔ)。X條件云和Y條件云可以組合構(gòu)造成單條件單規(guī)則發(fā)生器，在前件云發(fā)生器中輸入值x0激活CGx(x條件云發(fā)生器)時，CGx隨機(jī)產(chǎn)生一個隸屬度ui，這個值反映了x0對此定性規(guī)則的激活強度，而ui又作為CGy(y條件云發(fā)生器)的輸入，隨機(jī)地產(chǎn)生一個云滴drop(xi，ui)。通過云模型構(gòu)造的定性規(guī)則，使得這種推理系統(tǒng)對不確定性具有良好的繼承性和傳遞性。

根據(jù)單條件單規(guī)則發(fā)生器的構(gòu)造原理可以構(gòu)造出多條件多規(guī)則發(fā)生器。以二維多規(guī)則生成器為例，如圖4所示。

圖4 二維多規(guī)則生成器

3.2.2 云推理機(jī)規(guī)則的因素神經(jīng)元表示

前面在“SCADA系統(tǒng)惡意程序行為因素表示方法[9]”中寫出了關(guān)系模型的表達(dá)結(jié)構(gòu)，其中XM表示原子模式M在知識模式集合RM上的狀態(tài)及狀態(tài)轉(zhuǎn)換關(guān)系。以XM集合中的{Xid1:if在系統(tǒng)目錄下創(chuàng)建文件[10]and 設(shè)置文件時間為系統(tǒng)文件時間 then 非法創(chuàng)建文件}為例，“在系統(tǒng)目錄下穿件文件(CreatFile)”和“設(shè)置文件時間為系統(tǒng)文件時間(SetFileTime)”為SCADA系統(tǒng)惡意程序行為[11]因素集合[12]中的兩個因素，對應(yīng)于云模型二維單規(guī)則“ifAand B thenC”中的條件A和B，而“非法創(chuàng)建文件”則對應(yīng)于規(guī)則結(jié)論C。這樣就實現(xiàn)了將模糊的定性概念轉(zhuǎn)換為定量信息，便于推理機(jī)處理。

3.2.3 云推理機(jī)算法結(jié)構(gòu)與設(shè)計

根據(jù)多條件多規(guī)則發(fā)生器的原理，以二維規(guī)則發(fā)生器[13]為例，構(gòu)建步驟如下：

1)給定各規(guī)則2個條件對象的參數(shù)，即Ex1、En1、He1、Ex2、En2、He2;

2)由以上2組參數(shù)計算出單個規(guī)則對應(yīng)的二維云發(fā)生器，MATLAB程序如下：

%二維云的合成并畫出其三維圖像

clear：

cIc：

%輸入單規(guī)則推理兩個條件的參數(shù)

Exl=input(’pleaseinputExl=’)：

Ex2=input(’pleaseinputEx2=’)：

Enl=input(’pleaseinputEnl=’)：

En2=input(’pleaseinputEn2=’)：

Hel=input(’pleaseinputHel=’)：

He2=input(’pleaseinputHe2=’)：

N=input(’pleaseinputN=’)：

temp=O：

%生成二維條件云并計算(X1 X2)時的隸屬度

for i=1：N

[Ensl(1，i)，Ens2(1，i)]=binormrand(En1，En2，Hel，He2)：

[X1(1，i)，X2(1，i)]=binormrand(Exl，Ex2，Ensl(1，i)，Ens2(1，i))：

end

for i=1：N

q=(X1(1，i)一Exl)^2/Ensl(1，i)^2：

d=(X2(1，i)-Ex2)^2/Ens2(1，i)^2：

Y(1，i)=exp(一(1/2)*(q+d))：

end

plot3(x1，X2，Y，’．’).

生成二維隸屬云如圖5所示。

圖5 二維隸屬云

3)輸入待測條件參數(shù)X1和X2，激活每一條規(guī)則，根據(jù)每一條規(guī)則條件參數(shù)生成的二維云發(fā)生器計算得到激活強度，即隸屬度ui。MATLAB程序如下：

%……………單規(guī)則云發(fā)生器程序……………%

function[Y]=onerule(Exl，Enl，Hel，Ex2，En2，He2，X1，X2，N)

temp=O：

for i=1：N

[Ensl(1，i)，Ens2(1，i)]=binormrand(En1，En2，Hel，He2)：

end

for i=1：N

q：(X1-Exl)^2/Ensl(1，i)^2：

d=(X2-Ex2)^2/Ens2(1，i)^2：

Y(1，i)=exp(-(1/2)*(q+d))：

temp=temp+Y(1，i)：

end

Y=temp/Y：

4)在計算出的ui中選擇最大u1和次大的u2，它們對應(yīng)的規(guī)則即為激活強度[14]最大的兩條規(guī)則，MATLAB程序圖如下：

[u，IX]=sort(U)：%將所有規(guī)則計算出來的隸屬度由小到大排列

%選擇隸屬度最大的Ul和次大的U2，說明這兩條規(guī)則的激活強度最大

u1=u(M)：

u2=u(M-1)：

num1=IX(M)：

num2=IX(M-1)：

fprintf(’觸發(fā)強度最大規(guī)則為第%i條 ’，num1);

fprintf(’觸發(fā)強度最大規(guī)則為第%i條 ’，num2);

5)利用Y條件云由U1和U2分別計算出2組云滴，選擇距離最小的2個云滴，通過逆向云發(fā)生器計算推理惡意度的期望和方差，MATLAB程序如下：

%構(gòu)造這兩條規(guī)則對應(yīng)的后件云發(fā)生器(Y條件云)

[Y1(1)，Y1(2)]=ycloud(d(numl，7)，d(numl，8)，d(numl，9)，ul，N);

[Y2(1)，Y2(2)]=ycloud(d(num2，7)，d(num2，8)，d(num2，9)，u2，N);

%從Y1和Y2中分別選取一點使兩點距離最小，

%由ycloud可知第一個大于第二個

a=abs(Y1(1)-Y2(2))：

b=abs(Y2(1)一Y1(2))：

if a>b

Z1=Y2(1)；

zul=u2；

z2=Y1(2);

zu2=ul;

else

z1=Y1(1);

zul=ul;

z2=Y2(2);

zu2=u2;

end

%利用逆向云發(fā)生器計算

[Ex，En，He]=backc loud(z1，zu1，z2，zu2);

com1=com1+Ex;

com2=com2+En;

end

C=coml/5;

D=com2/5;fprintf(’云推理機(jī)預(yù)測程序行為惡意度期望為%f ’，C);

fprintf(’云推理機(jī)預(yù)測程序行為惡意度期望為%f ’，D);

3.3 仿真實驗與分析

3.3.1 建立對比實驗

云模型理論建立在傳統(tǒng)隸屬函數(shù)[15]的基礎(chǔ)上，其隨機(jī)性是不同于傳統(tǒng)隸屬函數(shù)方法的特性。所以，利用傳統(tǒng)隸屬函數(shù)方法建立對比實驗，可以加強對該云推理機(jī)優(yōu)勢和缺陷的分析，從而進(jìn)行后續(xù)改進(jìn)。 傳統(tǒng)隸屬函數(shù)方法對比實驗主要利用Matlab中的FIS(模糊邏輯工具箱)編輯器，步驟如下：

1)建立隸屬度函數(shù)。云推理機(jī)測試樣本數(shù)據(jù)如表1所示。由數(shù)據(jù)可知，應(yīng)該選擇Gauss隸屬函數(shù)(正態(tài)型)，一共有9條規(guī)則，每一條規(guī)則有2個input，1個output，均按照其期望(Ex)和熵(En)建立Gauss隸屬函數(shù)。

表1 云推理機(jī)測試樣本數(shù)據(jù)

2)編輯器建立推理規(guī)則。例如：If(條件ais 1a)and (條件bis 1b)then(推論cis 1c)。條件A、B、C指廣泛意義上的定義概念，其小寫a、b、c指代具體的實際條件。

3)得到Surface三維圖如圖6所示，并在云推理機(jī)主程序中用evalfis函數(shù)調(diào)用，得到隸屬函數(shù)法推理出的結(jié)論，并與云推理機(jī)得到結(jié)論進(jìn)行對比分析。

圖6 隸屬函數(shù)法推理Surface圖

3.3.2 仿真實驗

已知數(shù)據(jù)：以“if 在系統(tǒng)目錄下創(chuàng)建文件 and 設(shè)置文件時間為系統(tǒng)文件時間 then 非法創(chuàng)建文件”為例，因為各因素都是模糊語言值表示的概念，根據(jù)“知識因素表示的關(guān)系模型”原理，給各因素假設(shè)一個數(shù)字量的參考指數(shù)，指數(shù)滿分為100，指數(shù)越高表示確定度越大；反之越小。

待測數(shù)據(jù)：現(xiàn)有一未知惡意程序通過課題小組建立的感知神經(jīng)元行為分解并分析后得到條件“在系統(tǒng)目錄下創(chuàng)建文件因素指數(shù)X1”和“設(shè)置文件時間為系統(tǒng)文件時間指數(shù)X2”。

表1中，F(xiàn)actorA代表“在系統(tǒng)目錄下創(chuàng)建文件因素指數(shù)A”，F(xiàn)actorB代表“設(shè)置文件時間為系統(tǒng)文件時間因素指數(shù)B”，F(xiàn)actorC代表“非法創(chuàng)建文件因素指數(shù)C”，Class代表“每條規(guī)則對應(yīng)的惡意程序種類”。將仿真結(jié)果統(tǒng)計如表2所示。

表2 仿真結(jié)果數(shù)據(jù)統(tǒng)計表

表2中，(x1,x2)表示待測樣本數(shù)據(jù)的條件a和條件b的參數(shù)；CG表示云模型推理機(jī)方法，F(xiàn)IS表示利用模糊工具箱實現(xiàn)的隸屬度函數(shù)法；Rules表示觸發(fā)規(guī)則，Max表示激活強度最大的觸發(fā)規(guī)則，Sec表示次大，Null表示無觸發(fā)規(guī)則；Infer表示推理機(jī)對待測樣本的推測惡意度，Ex表示期望，Var表示方差。

云推理機(jī)得到的惡意度分布圖和隸屬函數(shù)法得到的規(guī)則圖如圖7～10所示(以(99,50)和(74，87.9)為例)。

圖7 樣本(99,50)云推理機(jī)推測惡意度

圖8 樣本(99,50)隸屬函數(shù)法推測惡意度

圖9 樣本(74,87.9)云推理機(jī)推測惡意度

圖10 樣本(74,87.9)隸屬函數(shù)法推測惡意度

3.3.3 實驗分析

1)從云推理機(jī)得到的觸發(fā)規(guī)則和已知樣本數(shù)據(jù)來看，第一組樣本(99，50)基本可以確定是A類(A,B,C,D,E,F,G,H,I為9類已知的不同惡意程序，其數(shù)據(jù)參數(shù)如表1所示)；第2組樣本(74，87.9)非?？赡苁荂類，如果不是C類，那么就應(yīng)該不屬于已知樣本中的種類；第3組樣本(35，83)可能是F和B類，F(xiàn)類的可能性最大；第四組樣本(4.5，52.6)基本可以確定是H類。從推測惡意度來看，前3組樣本惡意程序非法創(chuàng)建文件的可能性比較大，第4組的可能性較小。

2)對比云推理機(jī)和隸屬度函數(shù)法的觸發(fā)規(guī)則可以發(fā)現(xiàn)，如果待測樣本的X1和X2參數(shù)比較接近已知樣本數(shù)據(jù)中的某一類，那么云推理機(jī)和隸屬函數(shù)法都會激活對應(yīng)的那條規(guī)則(如第1組和第4組)，但是如果待測樣本沒有很明顯的相似已知樣本，那么傳統(tǒng)的隸屬函數(shù)法就不能得到觸發(fā)規(guī)則，從而對結(jié)論推測沒有很好地指引，而云推理機(jī)可以得到，從而進(jìn)行推測結(jié)論。

3)對比云推理機(jī)和隸屬函數(shù)法得到的推測惡意度可以看出，兩種方法都可以對未知樣本的惡意度進(jìn)行推測。從數(shù)據(jù)上看，云推理機(jī)得到的惡意度并不是一個具體數(shù)據(jù)，而是服從正態(tài)分布的數(shù)據(jù)，體現(xiàn)了云模型理論區(qū)別于傳統(tǒng)隸屬函數(shù)的特性——隨機(jī)性，但是隸屬函數(shù)法得到結(jié)果基本都非常接近于已知樣本的數(shù)據(jù)(Ex3),所以很可能只是單純按照已知樣本數(shù)據(jù)構(gòu)建的規(guī)則來計算。因此，云推理機(jī)得到的推測惡意度更為科學(xué)、更為可信。

4)云推理機(jī)最后只是得到了對推測有指引作用的數(shù)據(jù)，并沒有直接得到具體結(jié)論，需要人工對這些指引數(shù)據(jù)進(jìn)行進(jìn)一步分析，這一點還需優(yōu)化?？傮w來說，云推理機(jī)實現(xiàn)了對未知惡意程序非法創(chuàng)建文件惡意度的推測，達(dá)到了設(shè)計目的，但還需完善。

4 結(jié)束語

將云推理機(jī)的核心直觀表現(xiàn)出來的其實就是“ifAandBthenC”規(guī)則，而A、B、C都是語言值表示的模糊概念，那么需要將語言值表示的模糊概念轉(zhuǎn)換為定量信息，才能實現(xiàn)計算機(jī)數(shù)據(jù)推理，這就是知識因素的因素神經(jīng)元表示方法在本文中的作用。對于SCADA系統(tǒng)信息安全的主動防御，通過因素神經(jīng)元和云模型推理機(jī)結(jié)合的方法是一種嘗試，通過文章中的仿真結(jié)果可以看出達(dá)到了預(yù)測效果，說明了這種方法實施的可能性與合理性，而且該算法還可結(jié)合一些優(yōu)化算法來提升其效率和精度，這是作者今后著重研究的方向。

[1]劉增良. 因素神經(jīng)網(wǎng)絡(luò)理論及其應(yīng)用[M]. 貴陽: 貴州科技出版社, 1994. LIU Zengliang. Factor neural networks and its application[M]. Guiyang: Guizhou Science and Technology Publishing House, 1994.

[2]YANG Li, GAO Xiedong, LI Jie, et al. Research on FNN-based security defence architecture model of scada network[C]//Proceedings of the 2nd International Conference on Cloud Computing and Intelligence Systems. Hangzhou, China, 2012.

[3]QIN Yong, CAO Xiedong, LIANG Peng, et al. Research on the analytic factor neuron model based on cloud generator and its application in oil & gas scada security defense[C]//Proceedings of 2014 IEEE 3rd International Conference on Cloud Computing and Intelligence Systems. Shenzhen, China, 2014: 5.

[4]劉增良. 知識的因素表示[C]//中國科學(xué)技術(shù)協(xié)會首屆青年學(xué)術(shù)年會論文集(工科分冊·上冊). 北京, 1992: 5. LIU Zengliang. The factor representation of knowledge[C]//Proceedings of the 1st National Association of Science and Technology of Youth (Engineering. First). Beijing, 1992: 5.

[5]楊朝暉, 李德毅. 二維云模型及其在預(yù)測中的應(yīng)用[J]. 計算機(jī)學(xué)報, 1998, 21(11): 961-969. YANG Zhaohui, LI Deyi. Planar model and its application in prediction[J]. Chinese journal of computers, 1998, 21(11): 961-969.

[6]汪培莊. 因素空間與概念描述[J]. 軟件學(xué)報, 1992, 3(2): 30-40. WANG Peizhuang. Factor space and description of concepts[J]. Journal of software, 1992, 3(2): 30-40.

[7]王樹良. 基于數(shù)據(jù)場與云模型的空間數(shù)據(jù)挖掘和知識發(fā)現(xiàn)[D]. 武漢: 武漢大學(xué), 2002. WANG Shuliang. Data field and cloud model based spatial data mining and knowledge discovery[D]. Wuhan: Wuhan University, 2002.

[8]曹謝東. 模糊信息處理及應(yīng)用[M]. 北京: 科學(xué)出版社, 2003: 103-104. CAO Xiedong. Fuzzy information processing and application[M]. Beijing: Science Press, 2003: 103-104.

[9]YANG Li, CAO Xiedong, LI Jie, et al. A new formal description model of network attacking and defence knowledge of oil and gas field SCADA system[M]//WANG Hua, ZOU Lei, HUANG Guangyan, et al. Web Technologies and Applications. Berlin Heidelberg: Springer, 2012.

[10]YANG Li. A new factor state space model for SCADA network attack and defense[J]. International journal of security and its applications, 2014, 8(6): 303-314.

[11]王盼卿, 李曉輝. 一種基于知識因素表示理論的裝備信息分類描述方法[J]. 國防科技大學(xué)學(xué)報, 2011, 35(5): 150-155. WANG Panqin, LI Xiaohui. A description method on classification of equipment information based on knowledge factor expression theory[J]. Journal of national university of defense technology, 2011, 35(5): 150-155.

[12]劉增良, 劉有才. 因素神經(jīng)網(wǎng)絡(luò)理論及實現(xiàn)策略研究[M]. 北京: 北京師范大學(xué)出版社, 1992. LIU Zengliang, LIU Youcai. Research on the theory of factor neural network and its realization[M]. Beijing: Research on the Theory of Factor Neural Network and Its Realization, 1992.

[13]付斌, 李道國, 王慕快. 云模型研究的回顧與展望[J]. 計算機(jī)應(yīng)用研究, 2011, 28(2): 420-426. FU Bin, LI Daoguo, WANG Mukuai. Review and prospect on research of cloud model[J]. Application research of computers, 2011, 28(2): 420-426.

[14]張飛舟, 范躍祖, 沈程智, 等. 利用云模型實現(xiàn)智能控制倒立擺[J]. 控制理論與應(yīng)用, 2000, 17(4): 519-523. ZHANG Feizhou, FAN Yuezu, SHEN Chengzhi, et al. Intelligent control inverted pendulum with cloud models[J]. Control theory and application, 2000, 17(4): 519-523.

[15]李德毅, 杜鹢. 不確定性人工智能[M]. 北京: 國防工業(yè)出版社, 2005: 7. LI Deyi, DU Yi. Artificial intelligence with uncertainty[M]. Beijing: National Defend Industry Press, 2005: 7.

熊柳，男，1991年生,碩士研究生，主要研究方向為模式識別與智能控制，參加國家自然基金項目1項。

曹謝東，男，1954年生，教授，主要研究方向為人工智能、工業(yè)控制信息系統(tǒng)安全、智能測控等。主持國家自然科學(xué)基金項目，承擔(dān)國家863、國家重大科技攻關(guān)項目和省部級項目多項，獲四川省科技進(jìn)步二等獎1項、三等獎2項，專著3部。

Study and simulation of the SCADA security factors neuron’s cloud inference engine

XIONG Liu1, CAO Xiedong1, LI Jie1, YANG Li2, LIU Zengliang3

(1. School of Electrical Information Engineering, Southwest Petroleum University, Chengdu 610500, China; 2. School of Computer Science, Southwest Petroleum University, Chengdu 610500，China; 3.Institute of Information Operation, University of National Defense, Beijing 100091,China)

Over recent years, with the amount of incidents involving industrial control information systems, the safety of these system has been given increased importance across the Globe, and several technical measures have been implented to improve this. This paper proposed an active defense method based on a factor neural network in reference to SCADA information security. The different aspects of SCADA information security were mapped to factor coordinates, and the factor neuron method for knowledge factors was then used to transform this from a fuzzy concept (represented by language) to quantitative data through a cloud inference engine. Inference was then conducted through generated multi conditions and multi rules based on a cloud model, so that it could then be transformed into a qualitative language (e.g. ‘more likely’ based on Ex) to be able to forecast the consequences of unknown malicious programs. This paper focus on using a generator with multiple conditions and rules based on a cloud model to achieve inference, thus providing an idea of the oil and gas SCADA information security’s defense response using algorithmic design and MATLAB-based simulations.

SCADA information security; factor space; factor neuron; cloud model; MATLAB simulation

2015-09-17.

日期：2016-08-24.

國家自然科學(xué)基金項目(61175122)；四川省科技支撐計劃(2015GZ0345)；四川省教育廳重點項目(15ZA0049).

熊柳. E-mail:beartree1991@163.com.

TP18

A

1673-4785(2016)05-0688-08

10.11992/tis.201509020

http://www.cnki.net/kcms/detail/23.1538.TP.20160824.0928.006.html

熊柳,曹謝東,李杰,等. SCADA安全因素神經(jīng)元的云推理機(jī)研究與仿真[J]. 智能系統(tǒng)學(xué)報， 2016, 11(5): 688-695.

英文引用格式：XIONG Liu, CAO Xiedong, LI Jie, et al. Study and simulation of the SCADA security factors neuron’s cloud inference engine[J]. CAAI transactions on intelligent systems, 2016,11(5):688-695.