結(jié)合白名單過濾和神經(jīng)網(wǎng)絡(luò)的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法

陳萬志，李東哲

(遼寧工程技術(shù)大學(xué) 電子與信息工程學(xué)院，遼寧 葫蘆島 125105)(*通信作者電子郵箱775693539@qq.com)

0　引言

工業(yè)控制系統(tǒng)(Industrial Control System, ICS)在設(shè)計(jì)之初普遍采用專有的通信設(shè)備、操作系統(tǒng)和硬件設(shè)備，獨(dú)立于其他網(wǎng)絡(luò)，且大多數(shù)ICS采用專有的通信協(xié)議[1]，但隨著ICS不斷引入TCP/IP協(xié)議、工業(yè)以太網(wǎng)、現(xiàn)場總線等網(wǎng)絡(luò)化技術(shù)，工控設(shè)備與管理信息網(wǎng)絡(luò)、互聯(lián)網(wǎng)深度融合互連的同時，也帶來了系統(tǒng)的安全威脅。傳統(tǒng)的入侵檢測技術(shù)等安全技術(shù)雖然比較成熟，卻不能直接應(yīng)用于ICS，因此，若要提高ICS的通信異常檢出率，則需要依據(jù)不同的協(xié)議特點(diǎn)建立不同的入侵檢測系統(tǒng)。

入侵檢測主要分為誤用檢測和異常檢測兩大類，其中:誤用檢測是通過與已知的異常行為間的匹配程度來實(shí)現(xiàn)入侵檢測，也稱為基于先驗(yàn)知識的入侵檢測，包括基于統(tǒng)計(jì)的方法、基于知識的方法和基于機(jī)器學(xué)習(xí)的方法；而異常檢測是通過建立正常行為模型來尋找偏離的異常行為，故也被稱為基于行為的入侵檢測，包括基于專家系統(tǒng)的誤用檢測、基于模型的誤用檢測等[2]。

目前，研究者們提出了不少針對ICS的入侵檢測方法。尚文利等[2]提出了一種基于PSO-SVM的Modbus TCP通信異常檢測方法，該方法在數(shù)據(jù)預(yù)處理的過程中將樣本分為“異常”“無標(biāo)識”兩類，方法的準(zhǔn)確率受到了工業(yè)控制系統(tǒng)“異常”數(shù)據(jù)難以獲得的限制。張?jiān)瀑F等[3]提出了一種基于非參數(shù)CUSUM(CUmulative SUM)算法的入侵檢測模型，利用控制模型中預(yù)測輸出與實(shí)際傳感器信號輸出的差值進(jìn)行檢測。該方法是在對工業(yè)控制系統(tǒng)生產(chǎn)工藝熟悉的基礎(chǔ)上構(gòu)建的，若改變生產(chǎn)環(huán)境,方法就可能產(chǎn)生較大誤差。Mutha等[4]對SCADA(Supervisory Control And Data Acquisition)協(xié)議分析建立了白名單規(guī)則，分析過程使用關(guān)聯(lián)規(guī)則，利用通信數(shù)據(jù)與最近系統(tǒng)日志中異常通信數(shù)據(jù)匹配相似度來判斷異常行為。此方法需針對不同應(yīng)用網(wǎng)絡(luò)環(huán)境的系統(tǒng)日志進(jìn)行分析，當(dāng)網(wǎng)絡(luò)環(huán)境變化較大時，難以有較高的檢測率。Kwon等[5]針對智能電網(wǎng)的通信協(xié)議IEC61850建立白名單規(guī)則庫，從而檢測不符合通信規(guī)則的通信數(shù)據(jù);但該方法僅針對IEC61850協(xié)議建立規(guī)則，不適用于其他網(wǎng)絡(luò)，即規(guī)則庫外的特征行為無法檢測，當(dāng)網(wǎng)絡(luò)中出現(xiàn)未知類型攻擊時可能難以識別。

根據(jù)上述文獻(xiàn)可知，采用白名單技術(shù)的異常檢測能夠有效地檢測出規(guī)則庫中的通信異常行為，規(guī)則庫內(nèi)的規(guī)則具有簡明直觀的優(yōu)點(diǎn)，可以是離散特征，也可以是連續(xù)特征；但白名單方法只能檢測規(guī)則庫中規(guī)定的異常行為，當(dāng)攻擊特征發(fā)生變化時，系統(tǒng)則無法辨識[5]。ICS對實(shí)時性的要求，導(dǎo)致ICS網(wǎng)絡(luò)通信數(shù)據(jù)海量且以正常數(shù)據(jù)為主體，單一的無監(jiān)督深度算法檢測可以解決樣本不完備情況下的檢測，但是在出現(xiàn)非訓(xùn)練樣本中的異常數(shù)據(jù)時，則需要將數(shù)據(jù)放入樣本中重新訓(xùn)練，且訓(xùn)練過程對樣本數(shù)據(jù)的要求很高，通常需要將連續(xù)特征離散化，難以適應(yīng)ICS對穩(wěn)定性、實(shí)時性的要求。因此本文在白名單檢測基礎(chǔ)上將自適應(yīng)變異粒子群優(yōu)化(Particle Swarm Optimization with Adaptive Mutation, AMPSO)算法與BP(Back Propagation)神經(jīng)網(wǎng)絡(luò)相結(jié)合，提出一種新的入侵檢測算法AMPSO-BP，白名單可以設(shè)置連續(xù)特征的特征范圍和常見特征，神經(jīng)網(wǎng)絡(luò)則用于檢測特征不完備或多特征異常情況。本文方法簡化了BP算法的訓(xùn)練過程，提升了BP算法效率，同時解決了PSO算法容易過早陷入局部最優(yōu)的問題，通過對樣本數(shù)據(jù)庫進(jìn)行無監(jiān)督學(xué)習(xí)，持續(xù)主動地更新白名單規(guī)則庫，實(shí)現(xiàn)通信異常的識別，降低系統(tǒng)學(xué)習(xí)頻率。

1　AMPSO-BP入侵檢測算法

1.1　粒子群優(yōu)化算法改進(jìn)BP神經(jīng)網(wǎng)絡(luò)

BP神經(jīng)網(wǎng)絡(luò)是一種多層前饋神經(jīng)網(wǎng)絡(luò)，用于學(xué)習(xí)輸入與輸出之間的映射關(guān)系，是神經(jīng)網(wǎng)絡(luò)算法中的經(jīng)典算法，在參數(shù)調(diào)整的部分，BP算法基于梯度下降的策略確定最佳的權(quán)值和閾值。為了提高BP神經(jīng)網(wǎng)絡(luò)的收斂速度，減小初值不同對訓(xùn)練結(jié)果的影響，利用粒子群優(yōu)化(Particle Swarm Optimization, PSO)算法對BP算法的參數(shù)調(diào)整過程進(jìn)行優(yōu)化，改進(jìn)了梯度下降算法中求微積分和求導(dǎo)的過程[6-9]，避免BP算法陷入過擬合狀態(tài)。其中PSO算法的速度、位置更新公式如下：

(1)

xl(n+1)=xl(n)+vl(n+1);l=1,2,…,m

(2)

慣性權(quán)重w一般取值在0.1～0.9，如果w隨著算法迭代的進(jìn)行而線性減小，將顯著改善算法收斂性能。設(shè)wmax為最大權(quán)重，wmin為最小權(quán)重，run為當(dāng)前迭代次數(shù)，runmax為算法迭代總次數(shù)，則有w的計(jì)算公式[10-11]如下：

(3)

1.2　AMPSO算法

PSO算法一般采用實(shí)數(shù)編碼，由于沒有選擇、交叉、變異等操作，算法結(jié)構(gòu)相對簡單，因此運(yùn)算速度很快，但在尋優(yōu)過程中很容易陷入局部最優(yōu)值，即當(dāng)粒子群適應(yīng)度方差趨近于零時，粒子群中的粒子會聚集在一個或幾個特定位置[10]。其中，粒子群適應(yīng)度方差根據(jù)式(4)計(jì)算，因此，適應(yīng)度不能作為尋優(yōu)的唯一參數(shù)，本文參考文獻(xiàn)[10]，在PSO尋優(yōu)的過程中加入自適應(yīng)變異過程[11-15]。

設(shè)粒子群的粒子數(shù)為N，fi為第i個粒子的適應(yīng)度，favg為粒子群目前的平均適應(yīng)度，δ2為粒子群的群體適應(yīng)度方差。δ2計(jì)算公式如下：

(4)

其中：f是歸一化定標(biāo)因子，作用是限制δ2的大小。f隨算法的變化而變化，本文利用式(5)進(jìn)行計(jì)算：

(5)

在算法運(yùn)行過程中，如果δ2=0，此時得到的并非全局最優(yōu)解，則說明粒子陷入了局部最優(yōu)，算法過早收斂，此時找到的全局最優(yōu)解gbest是目前找到的最優(yōu)解，因此，此時的gbest需要通過變異操作跳出此刻局部區(qū)域，尋找新的個體極值pbest，進(jìn)而確定全局最優(yōu)解gbest。本文的自適應(yīng)變異粒子群優(yōu)化(AMPSO)算法將gbest按照一定概率pm變異。pm的計(jì)算公式如下：

(6)

(7)

1.3　AMPSO-BP算法

在實(shí)際工業(yè)生產(chǎn)中，ICS的通信數(shù)據(jù)特征往往與生產(chǎn)環(huán)境和實(shí)際生產(chǎn)中的操作相關(guān)聯(lián)，因此要依據(jù)具體的生產(chǎn)環(huán)境進(jìn)行特征提取，并將其作為BP神經(jīng)網(wǎng)絡(luò)的輸入神經(jīng)元。AMPSO-BP算法[10]的具體流步驟如下。

1)針對特定的網(wǎng)絡(luò)樣本數(shù)據(jù)提取特征值，作為BP神經(jīng)網(wǎng)絡(luò)的輸入值。

2)初始化BP網(wǎng)絡(luò)，確定網(wǎng)絡(luò)各層的神經(jīng)元個數(shù)。

3)初始化粒子群規(guī)模、每個粒子的速度v、位置x、個體極值pbest、全局最優(yōu)值gbest、慣性因子w、學(xué)習(xí)因子c1和c2，設(shè)置PSO算法最大迭代次數(shù)。

設(shè)置位置和速度的限定范圍[xmin,xmax]和[vmin,vmax]，且限定在[0,1]，不允許迭代所得數(shù)據(jù)超出限定范圍。

粒子的位置、速度向量的維數(shù)D為輸入層到隱含層連接權(quán)值、隱含層到輸出層的鏈接權(quán)值、隱含層的閾值及輸出層的閾值個數(shù)的總和。

4)先向BP神經(jīng)網(wǎng)絡(luò)輸入一個粒子，按照BP神經(jīng)網(wǎng)絡(luò)中前向計(jì)算方法計(jì)算其輸出值，依據(jù)式(8)計(jì)算誤差，依據(jù)式(9)計(jì)算適應(yīng)度，然后依次輸入其他粒子，直至算出所有粒子的適應(yīng)度。計(jì)算粒子適應(yīng)度函數(shù)應(yīng)用BP神經(jīng)網(wǎng)絡(luò)的均方誤差函數(shù)[7]：

(8)

(9)

其中：f(p,i)為第i個粒子的適應(yīng)度值;N為訓(xùn)練集樣本數(shù);oi, j第i個粒子第j個樣本輸出實(shí)際值；yi, j為第i個粒子第j個樣本輸出的理想值。

5)通過比較粒子的適應(yīng)度，確定粒子個體的個體極值點(diǎn)和全局最優(yōu)極值點(diǎn)，Ppresent為當(dāng)前粒子適應(yīng)度，Pbest為pbest粒子適應(yīng)度，Gbest為gbest粒子適應(yīng)度：

若Ppresent

若Ppresent

6)根據(jù)式(1)～(3)更新個粒子的速度、位置，對于超過限定范圍的值定義為最大值。

7)根據(jù)式(4)～(5)得到適應(yīng)度方差參量δ2。

8)根據(jù)式(6)得到一個變異因子pm。

9)選擇一個隨機(jī)數(shù)r∈[0,1]，判斷r

10)若已經(jīng)達(dá)到設(shè)置的最大迭代次數(shù)，或當(dāng)前精度值以達(dá)到預(yù)設(shè)精度，則視當(dāng)前點(diǎn)為最佳位置，將最佳位置中每一維向量作為BP神經(jīng)網(wǎng)絡(luò)權(quán)值和閾值，否則執(zhí)行步驟4)。

2　工業(yè)控制網(wǎng)絡(luò)的入侵檢測

2.1　入侵檢測系統(tǒng)架構(gòu)

工業(yè)控制系統(tǒng)通信數(shù)據(jù)大多是實(shí)時傳輸?shù)模诤Ａ康耐ㄐ艛?shù)據(jù)中異常通信數(shù)據(jù)情況較為單一、樣本數(shù)較少且種類也并不豐富，工業(yè)控制系統(tǒng)數(shù)據(jù)常常受到生產(chǎn)具體項(xiàng)目的限制，具有周期性、季節(jié)性等特點(diǎn)，但其獨(dú)特的行業(yè)特征對系統(tǒng)的穩(wěn)定性要求極高[16-19]。

近年來，工業(yè)控制系統(tǒng)為了便于企業(yè)管理，將上層管理系統(tǒng)與底層工業(yè)控制網(wǎng)絡(luò)互連互通，用戶通過企業(yè)管理信息網(wǎng)中的相關(guān)應(yīng)用程序監(jiān)控工業(yè)控制網(wǎng)中的工業(yè)設(shè)備的運(yùn)行參數(shù)、獲取服務(wù)器上的生產(chǎn)數(shù)據(jù)。

因此，依據(jù)其特點(diǎn)采用如圖1所示的體系結(jié)構(gòu)構(gòu)建異常檢測模型，在管理信息網(wǎng)絡(luò)中用戶客戶端與Web服務(wù)器間加入白名單過濾和AMPSO-BP神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)檢測環(huán)節(jié)，提升跨網(wǎng)異常通信的檢測率。

圖1系統(tǒng)模型架構(gòu)

Fig. 1Architecture of system model

2.2　結(jié)合白名單與AMPSO-BP的入侵檢測方法

2.2.1白名單過濾

白名單過濾是管理信息網(wǎng)與工業(yè)控制網(wǎng)絡(luò)通信鏈路上的第一次檢測，其規(guī)則根據(jù)工業(yè)控制網(wǎng)絡(luò)通信數(shù)據(jù)特征以及實(shí)際生產(chǎn)過程中所產(chǎn)生的數(shù)據(jù)特征來建立，包括通信協(xié)議中規(guī)定的接口標(biāo)識符、源IP地址、目的IP地址、登錄客戶端的用戶名、域名、主機(jī)名等特征信息。依據(jù)每個特征建立一條R={R1,R2,…,Rn}形式的規(guī)則集合。

檢測過程中預(yù)設(shè)兩種動作：Pass和Alert，Action[0]為Pass，Action[1]為Alert。Pass意為數(shù)據(jù)安全，可以繼續(xù)通信；Alert意為數(shù)據(jù)不符合白名單規(guī)則，通信需終止，停止傳送數(shù)據(jù)。通信過程中，首先對通信數(shù)據(jù)包進(jìn)行解析，找到數(shù)據(jù)傳輸?shù)奶卣餍畔ⅲ⑴c白名單中規(guī)則進(jìn)行匹配，如有其中一條不匹配則發(fā)出警報(bào)，動作為Action[1]。

利用網(wǎng)絡(luò)通信基本特征構(gòu)造的白名單規(guī)則庫，由系統(tǒng)管理員在工業(yè)控制網(wǎng)絡(luò)服務(wù)器入口進(jìn)行編輯實(shí)現(xiàn)控制，當(dāng)動作狀態(tài)是Action[1]時，則系統(tǒng)為警告狀態(tài)，中止數(shù)據(jù)通信，需具有增加或刪除白名單規(guī)則權(quán)限的管理員人工解除入侵檢測警告，因此，跨網(wǎng)訪問首先要經(jīng)過白名單規(guī)則判定，用戶的通信數(shù)據(jù)只能通過白名單后才能進(jìn)入神經(jīng)網(wǎng)絡(luò)檢測系統(tǒng)，進(jìn)而訪問工業(yè)控制網(wǎng)絡(luò)。

2.2.2白名單-AMPSO-BP檢測流程

在離線條件下采用本文提出的AMPSO-BP方法進(jìn)行神經(jīng)網(wǎng)絡(luò)訓(xùn)練，對神經(jīng)網(wǎng)絡(luò)進(jìn)行無監(jiān)督訓(xùn)練學(xué)習(xí)，得到輸出層結(jié)果作為在線工作的第二次檢測過濾器，進(jìn)而預(yù)測通信數(shù)據(jù)是否行為異常。

神經(jīng)網(wǎng)絡(luò)訓(xùn)練利用日志等歷史數(shù)據(jù)，提取樣本數(shù)據(jù)特征值，并將特征值規(guī)范化，作為神經(jīng)網(wǎng)絡(luò)的輸入，其中：連續(xù)訓(xùn)練數(shù)據(jù)需根據(jù)式(10)離散化，離散數(shù)據(jù)需編碼，范圍為[0,1]。Xi是一個特征實(shí)例，X代表特征類型集。

X′=[Xi-min(X)]/[max(X)-min(X)]

(10)

在建立通信過程中，用戶通過客戶端登錄系統(tǒng)并向Web服務(wù)器發(fā)送通信請求，異常檢測系統(tǒng)根據(jù)白名單規(guī)則中特征信息解析數(shù)據(jù)包，不符合白名單規(guī)則的通信視為危險(xiǎn)信息，并向管理員發(fā)出警報(bào)；否則通過AMPSO-BP過濾器第二次檢測。管理員可根據(jù)檢測出的異常通信特征完善白名單規(guī)則，或者解除突發(fā)事件產(chǎn)生的警報(bào)；也可以根據(jù)具體生產(chǎn)環(huán)境和季節(jié)差異制定白名單規(guī)則。經(jīng)過異常檢測系統(tǒng)后判定為正常信息，則完成數(shù)據(jù)通信，其工作流程如圖2所示。

根據(jù)本文系統(tǒng)的工作流程可知本文結(jié)合白名單和神經(jīng)網(wǎng)絡(luò)的異常檢測方法有以下優(yōu)勢：管理員可以在白名單中設(shè)置連續(xù)性特征的安全域，無需先將特征離散化，例如數(shù)據(jù)包長度；管理員可以根據(jù)IP等數(shù)據(jù)特征以及辦公系統(tǒng)數(shù)據(jù)庫中該員工是否出差等其他信息，判斷跨網(wǎng)通信是否為公司職員操作，提升遠(yuǎn)程到本地的非授權(quán)訪問攻擊(Remote-to-Login, R2L)攻擊類型檢測率；系統(tǒng)可以根據(jù)AMPSO-BP判定結(jié)果更新白名單規(guī)則庫。

3　測試與結(jié)果分析

3.1　算法有效性驗(yàn)證

3.1.1實(shí)驗(yàn)數(shù)據(jù)

企業(yè)管理網(wǎng)與工業(yè)生產(chǎn)網(wǎng)絡(luò)互聯(lián)是建立在TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、ICMP(Internet Control Message Protocol)等協(xié)議之上的接口標(biāo)準(zhǔn)，其數(shù)據(jù)特征包含網(wǎng)絡(luò)數(shù)據(jù)特征，因此，算法有效性驗(yàn)證部分的測試集選用入侵檢測領(lǐng)域廣泛采用的KDD CUP99實(shí)驗(yàn)數(shù)據(jù)集作為訓(xùn)練和測試樣本，其中包含拒絕服務(wù)攻擊(Denial of Service, DoS)、R2L、非授權(quán)獲取超級用戶權(quán)限攻擊(User-to-Root, U2R)、探測攻擊(Probe)四大類入侵行為，訓(xùn)練數(shù)據(jù)集包含22種入侵類型，測試數(shù)據(jù)集包含37種入侵類型。在保證所含的入侵行為種類不變的前提下，從中抽取部分?jǐn)?shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)，如表1所示。

圖2　入侵檢測流程Fig. 2　Flow chart of intrusion detection

表1　實(shí)驗(yàn)數(shù)據(jù)信息Tab. 1　Experimental dataset information

3.1.2實(shí)驗(yàn)環(huán)境和參數(shù)設(shè)置

測試實(shí)驗(yàn)硬件環(huán)境為Intel core i5 2.60 GHz，內(nèi)存8 GB，操作系統(tǒng)為Windows 7旗艦版，軟件環(huán)境為Matlab a2014。

首先，在數(shù)據(jù)集中依據(jù)ICS網(wǎng)絡(luò)通信的特點(diǎn)提取目的IP、源IP、MAC、客戶端用戶登錄名、數(shù)據(jù)包大小、域名、主機(jī)名等7個特征構(gòu)造白名單規(guī)則庫。其次，構(gòu)造5層BP神經(jīng)網(wǎng)絡(luò)，隱層設(shè)置為3層；從數(shù)據(jù)的41個屬性參數(shù)中選取10個屬性參數(shù)，并將這10個屬性參數(shù)歸一化，將歸一化的數(shù)據(jù)作為輸入(Input)層節(jié)點(diǎn)，具體的參數(shù)選取在圖3的Input層給出；輸出(Output)層6個節(jié)點(diǎn)分別為Normal正常數(shù)據(jù)、DoS攻擊、U2R攻擊、R2U攻擊、Probe攻擊和Unknow未知類型異常攻擊；隱層(Hidden)節(jié)點(diǎn)數(shù)設(shè)置為30個。神經(jīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3　神經(jīng)網(wǎng)絡(luò)拓?fù)銯ig. 3　Neural network topology

3.1.3實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)采用的評價(jià)指標(biāo)為檢測率和誤報(bào)率。其中：檢測率為正確檢測異常通信樣本的數(shù)量與測試集中異常樣本總數(shù)量的比值；誤報(bào)率為錯判為異常的正常樣本數(shù)量與測試集中正常樣本數(shù)量的比值。

實(shí)驗(yàn)中PSO算法加速部分迭代最大次數(shù)設(shè)置為100，每次迭代過程中記錄其粒子適應(yīng)度方差δ2，結(jié)果如圖4所示。從圖4中可以看出，PSO-BP算法的方差在迭代20次陷入最小值，而AMPSO-BP算法迭代82次尋到最優(yōu)解，跳出了局部最優(yōu)陷阱。這兩種神經(jīng)網(wǎng)絡(luò)的訓(xùn)練誤差如圖5所示，可以看出：AMPSO-BP算法訓(xùn)練21次誤差達(dá)到最小值，為0.089 13；而PSO-BP算法訓(xùn)練37次達(dá)到最小值，為0.037 59。因此本文提出的AMPSO-BP算法減小了PSO算法陷入局部最優(yōu)的幾率，提升了神經(jīng)網(wǎng)絡(luò)訓(xùn)練的速度和精度。

圖4　適應(yīng)度方差曲線比較Fig. 4　Comparison of fitness variance curves

利用不同類型的異常數(shù)據(jù)對白名單系統(tǒng)、白名單-PSO-BP系統(tǒng)和本文的白名單-AMPSO-BP系統(tǒng)進(jìn)行測試，準(zhǔn)確率結(jié)果如圖6所示。可以看出，白名單可以有效地檢測連續(xù)型特征和特征值固定的離散特征，但是通信數(shù)據(jù)中包含的特征包括連續(xù)型和離散型兩種特征，因此準(zhǔn)確率不高；而加入神經(jīng)網(wǎng)絡(luò)后針對已知類型檢測準(zhǔn)確率都達(dá)到了80%，在白名單的基礎(chǔ)上加入AMPSO-BP算法，對不同類別異常通信檢測率均有提高，尤其是對未知類型異常的檢測。

圖5　訓(xùn)練誤差比較Fig. 5　Comparison of training error

圖6　三種系統(tǒng)檢測率比較Fig. 6　Comparison of detection rates for three methods

由于本文的本文的白名單-AMPSO-BP方法與文獻(xiàn)[20]方法都是針對ICS網(wǎng)絡(luò)設(shè)計(jì)的，因此將白名單-AMPSO-BP方法與文獻(xiàn)[20]的改進(jìn)K-means算法在相同的訓(xùn)練和測試樣本集上進(jìn)行比對實(shí)驗(yàn)，結(jié)果如表2所示。其中：本文的白名單-AMPSO-BP方法對異常通信的檢測率略高于文獻(xiàn)[20]方法，誤報(bào)率基本相同。

表2　兩種方法的檢測率和誤報(bào)率比較　%Tab. 2　Comparison of detection rate and false positive rate of two methods　%

由于ICS實(shí)際網(wǎng)絡(luò)通信具有實(shí)時數(shù)據(jù)量大且異常樣本所占比重相對較小的特點(diǎn)，為進(jìn)一步驗(yàn)證訓(xùn)練樣本數(shù)對本文白名單-AMPSO-BP方法的影響，依據(jù)上述各類訓(xùn)練樣本按一定比例減少樣本數(shù)進(jìn)行了測試實(shí)驗(yàn)，檢測率和誤報(bào)率結(jié)果如圖7所示。在圖7的訓(xùn)練過程中，控制每組訓(xùn)練樣本個數(shù)占總樣本的百分比在60%～100%。訓(xùn)練在樣本數(shù)逐漸增加情況下，本文的白名單-AMPSO-BP方法、文獻(xiàn)[20]的方法、白名單-PSO-BP方法的檢測率都有所提升。在訓(xùn)練樣本數(shù)占總樣本數(shù)的60%、70%時，文獻(xiàn)[20]提出的改進(jìn)的K-means算法準(zhǔn)確率略高于本文方法，訓(xùn)練樣本數(shù)占總樣本數(shù)的比率增加至90%、100%時，本文方法略高于文獻(xiàn)[20]方法；訓(xùn)練樣本占樣本總數(shù)的60%、70%、80%時，本文方法所產(chǎn)生的誤報(bào)率均高于文獻(xiàn)[20]方法，而當(dāng)訓(xùn)練樣本占總數(shù)的90%，甚至增加至100%時，文獻(xiàn)[20]方法的誤報(bào)率高于本文方法。說明隨著樣本數(shù)量的增長，本文方法的準(zhǔn)確率上升更明顯，且當(dāng)樣本數(shù)量高于80%后，本文方法的準(zhǔn)確率高于文獻(xiàn)[20]方法，當(dāng)樣本數(shù)量高于90%后，誤報(bào)率低于文獻(xiàn)[20]方法，因此，在樣本充足的條件下，本文方法是具有優(yōu)勢的。

圖7　訓(xùn)練樣本數(shù)對異常通信檢測的影響Fig. 7　Influence of number of training samples on detection for abnormal communication

此外在實(shí)驗(yàn)過程中發(fā)現(xiàn)，算法訓(xùn)練的次數(shù)對算法的檢測準(zhǔn)確率也存在影響。由于本文方法與文獻(xiàn)[20]的方法都是無監(jiān)督學(xué)習(xí)的方式，因此將二者在不同的訓(xùn)練學(xué)習(xí)次數(shù)情況下的檢測率進(jìn)行比對，結(jié)果如圖8所示。與白名單-PSO-BP方法和文獻(xiàn)[20]的方法相比，本文方法在訓(xùn)練次數(shù)和精確程度上均有比較明顯的優(yōu)勢，本文方法在訓(xùn)練22次時檢測率開始穩(wěn)定，檢測率為87.31%；另外兩種方法的檢測率分別在訓(xùn)練次數(shù)為36和37時達(dá)到穩(wěn)定狀態(tài)，其中文獻(xiàn)[20]方法準(zhǔn)確率達(dá)84.24%，略低于本文方法。

圖8　三種算法檢測率比較Fig. 8　Comparison of detection rate for three algorithms

3.2　工業(yè)控制仿真測試

3.2.1實(shí)驗(yàn)數(shù)據(jù)獲取

OPC(Object Linking and Embedding (OLE) for Process Control)協(xié)議是工業(yè)網(wǎng)絡(luò)中一種常用協(xié)議，為了驗(yàn)證本文方法在工業(yè)控制領(lǐng)域的適用性，搭建了OPC協(xié)議實(shí)驗(yàn)仿真環(huán)境，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖9所示。仿真環(huán)境中OPC客戶端和模擬攻擊源計(jì)算機(jī)均采用Intel core i5 2.60 GHz處理器，內(nèi)存8 GB，Windows 7操作系統(tǒng)；參照文獻(xiàn)[21]的方法，利用在WinCC上啟用WinCC OPC DA作為OPC服務(wù)器，WinCC OPC服務(wù)器IP設(shè)置為192.168.0.12，在Visual Studio編程環(huán)境中編寫WinCC OPC服務(wù)器與OPC客戶端之間通信數(shù)據(jù)監(jiān)控程序，服務(wù)器所用PC處理器采用Intel Core i5 2.60 GHz，內(nèi)存8 GB，Windows 7操作系統(tǒng)。現(xiàn)場控制器PLC(Programmable Logic Controller)模擬液體容器中的液位控制，其中，液位的數(shù)值和開關(guān)狀態(tài)均在PLC中模擬實(shí)現(xiàn)，PLC產(chǎn)生的模擬數(shù)據(jù)存儲于WinCC自帶的SQL數(shù)據(jù)庫。

模擬攻擊源利用Matlab a2014模擬對PLC發(fā)送惡意流量。建立通信過程中，WinCC實(shí)時監(jiān)控通信數(shù)據(jù)，并保留通信過程中的網(wǎng)絡(luò)基本參量：協(xié)議類型、目的地址、SQL嘗試登錄失敗的次數(shù)、讀取的變量名稱、通信數(shù)據(jù)大小、連接持續(xù)時間、通信狀態(tài)標(biāo)志。

在所搭建的工業(yè)控制仿真系統(tǒng)實(shí)驗(yàn)環(huán)境下獲取數(shù)據(jù)152條，其中正常數(shù)據(jù)為89條，異常數(shù)據(jù)為63條，部分?jǐn)?shù)據(jù)如表3所示。

3.2.2實(shí)驗(yàn)參數(shù)設(shè)置及數(shù)據(jù)分析

在工業(yè)控制仿真系統(tǒng)實(shí)驗(yàn)環(huán)境提取的7組特征中，選取協(xié)議類型、SQL嘗試登錄失敗的次數(shù)、連接持續(xù)時間和通信數(shù)據(jù)大小4組特征參數(shù)構(gòu)造白名單規(guī)則庫。構(gòu)造5層BP神經(jīng)網(wǎng)絡(luò)，隱層設(shè)置為3層：將7組特征屬性參數(shù)歸一化，而后作為輸入層節(jié)點(diǎn)的輸入，輸出層2個節(jié)點(diǎn)分別輸出Normal正常數(shù)據(jù)、通信異常數(shù)據(jù)，隱層節(jié)點(diǎn)數(shù)設(shè)置為21個。PSO算法與AMPSO算法的初始化學(xué)習(xí)因子c1、c2的取值均為0.5，其他參數(shù)均則3.1節(jié)實(shí)驗(yàn)設(shè)置相同。

圖9　工業(yè)控制系統(tǒng)仿真環(huán)境Fig. 9　Simulation environment of industrial control system

將在仿真系統(tǒng)實(shí)驗(yàn)環(huán)境中采集的152條數(shù)據(jù)中的102條作為訓(xùn)練集，包含58條正常通信數(shù)據(jù)和44條異常通信數(shù)據(jù)；另外50條作為測試集，包含31條正常通信數(shù)據(jù)和19條異常通信數(shù)據(jù)。

實(shí)驗(yàn)過程中，為描述系統(tǒng)穩(wěn)定性，建立訓(xùn)練誤差曲線，如圖10所示：本文方法在訓(xùn)練16次時達(dá)到穩(wěn)定狀態(tài)，白名單-PSO-BP訓(xùn)練18次時進(jìn)入穩(wěn)定狀態(tài)，文獻(xiàn)[20]方法在迭代16次時達(dá)到了系統(tǒng)穩(wěn)定。由于訓(xùn)練樣本數(shù)據(jù)較少，系統(tǒng)穩(wěn)定時三種方法的訓(xùn)練誤差都達(dá)到了0%。

系統(tǒng)達(dá)到穩(wěn)態(tài)后測試對比了三種方法檢測率。在同一實(shí)驗(yàn)條件下比較：本文方法檢測出異常通信15條，誤報(bào)異常通信2條；文獻(xiàn)[20]方法檢測出異常通信14條，誤報(bào)異常通信1條；白名單-PSO-BP方法檢測出異常通信14條，誤報(bào)異常通信3條。三種方法的檢測率和誤報(bào)率如表4所示。可以看出，在工業(yè)控制系統(tǒng)仿真環(huán)境下，本文方法檢測率高于白名單-PSO-BP方法，誤報(bào)率低于白名單-PSO-BP方法，具有明顯優(yōu)勢；訓(xùn)練樣本較少的情況下，本文方法的檢測率高于文獻(xiàn)[20]方法，但也由于樣本集中數(shù)據(jù)偏少，造成誤報(bào)率會高于文獻(xiàn)[20]方法。

表3　部分采集數(shù)據(jù)Tab. 3　Partial collection data

圖10　訓(xùn)練誤差比較Fig. 10　Comparison of training error

表4　三種方法的檢測率、誤報(bào)率比較 %Tab. 4　Comparison of detection rate and false positive rate of three methods　%

4　結(jié)語

針對ICS網(wǎng)絡(luò)環(huán)境下的入侵檢測問題，本文提出了一種將白名單和AMPSO-BP神經(jīng)網(wǎng)絡(luò)過濾有機(jī)融合的通信異常檢測方法——白名單-AMPSO-BP，利用神經(jīng)網(wǎng)絡(luò)有效地識別異常數(shù)據(jù)，完善白名單規(guī)則庫。利用KDD CUP99數(shù)據(jù)驗(yàn)證了白名單-AMPSO-BP方法的有效性，并分別與白名單-PSO-BP方法和文獻(xiàn)[20]的方法進(jìn)行了對比，結(jié)果顯示:本文方法的檢測率和誤報(bào)率均優(yōu)于白名單-PSO-BP方法；當(dāng)訓(xùn)練樣本充足時，本文方法相比文獻(xiàn)[20]的方法也更具優(yōu)勢。此外，本文還利用一組在工業(yè)控制系統(tǒng)仿真環(huán)境下獲得的數(shù)據(jù)進(jìn)行了實(shí)驗(yàn)對照，驗(yàn)證了本文方法在工業(yè)控制網(wǎng)絡(luò)中的有效性，其檢測率高于白名單-PSO-BP方法和文獻(xiàn)[20]的方法，誤報(bào)率低于白名單-PSO-BP方法，但由于樣本集中數(shù)據(jù)較少，其誤報(bào)率高于文獻(xiàn)[20]的方法。下一步研究將在實(shí)際ICS網(wǎng)絡(luò)場景中對所提方法進(jìn)行測試，重點(diǎn)完善其在缺少樣本條件下的穩(wěn)定性和檢測的時效性。

參考文獻(xiàn)(References)

[1]尚文利,李琳,萬明,等.基于優(yōu)化單類支持向量機(jī)的工業(yè)控制系統(tǒng)入侵檢測算法[J].信息與控制,2015,44(6):678-684. (SHANG W L, LI L, WAN M, et al. Intrusion detection algorithm based on optimized one-class support vector machine for industrial control system [J]. Information and Control, 2015, 44(6): 678-684.)

[2]尚文利,張盛山,萬明,等.基于PSO-SVM的Modbus TCP通訊的異常檢測方法[J].電子學(xué)報(bào),2014,42(11):2314-2320. (SHANG W L, ZHANG S S, WAN M, et al. Modbus TCP communication anomaly detection algorithm based on PSO-SVM [J]. Acta Electronic Sinica, 2014, 42(11): 2314-2320.)

[3]張?jiān)瀑F,趙華,王麗娜.基于工業(yè)控制模型的非參數(shù)CUSUM入侵檢測方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,42(S1):55-59. (ZHANG Y G, ZHAO H, WANG L N. A non-parametric CUSUM intrusion detection method based on industrial control model [J]. Journal of Southeast University (Natural Science Edition), 2012, 42(S1): 55-59.)

[4]MUTHA M A A, TUTEJA M R R. Secure and efficient approach for multilayer cyber security based on intrusion detection system [J]. International Journal of Advent Research in Computer and Electronics, 2015, 2(2): 33-37.

[5]KWON Y J, KIM H K, LIM Y H, et al. A behavior-based intrusion detection technique for smart grid infrastructure [C]// Proceedings of the 2015 IEEE Eindhoven PowerTech. Piscataway, NJ: IEEE, 2015: 1-6.

[6]周世波,徐維祥.船舶軌跡異常檢測方法研究進(jìn)展[J].電子測量與儀器學(xué)報(bào),2017,30(3):329-337. (ZHOU S B, XU W X. Research progress on anomaly detection in vessel tracking [J]. Journal of Electronic Measurement and Instrument, 2017, 30(3): 329-337.)

[7]劉珊珊,謝曉堯,景鳳宣,等.基于PCA的PSO-BP入侵檢測研究[J].計(jì)算機(jī)應(yīng)用研究,2016,33(9):2795-2798. (LIU S S, XIE X Y, JING F X, et al. Research on network intrusion detection based on PCA PSO-BP [J]. Application Research of Computers, 2016, 33(9): 2795-2798.)

[8]潘昊,侯清蘭.基于粒子群優(yōu)化算法的BP網(wǎng)絡(luò)學(xué)習(xí)研究[J].計(jì)算機(jī)工程與應(yīng)用,2006,42(16):41-43. (PAN H, HOU Q L. A BP neural networks learning algorithm research based on particle swarm optimizer [J]. Computer Engineering and Application, 2006, 42(16): 41-43.)

[9]馬吉明,徐忠仁,王秉政.基于粒子群優(yōu)化的灰色神經(jīng)網(wǎng)絡(luò)組合預(yù)測模型研究[J].計(jì)算機(jī)工程與科學(xué),2012,34(2):146-149. (MA J M, XU Z R, WANG B Z. A PSO-based combined forecasting grey neural network model [J].Computer Engineering & Science, 2012, 34(2): 146-149.)

[10]呂振肅,侯志榮.自適應(yīng)變異的粒子群優(yōu)化算法[J].電子學(xué)報(bào),2004,32(3):416-420. (LYU Z S, HOU Z R. Particle swarm optimization algorithm based on adaptive mutation [J]. Acta Electronic Sinica, 2004, 32(3): 416-420.)

[11]BABAZADEH A, POORZAHEDY H, NIKOOSOKHAN S. Application of particle swarm optimization to transportation network design problem [J]. Journal of King Saud University — Science, 2011, 23(3): 293-300.

[12]MAGNANTI T L, WONG R T. Network design and transportation planning: models and algorithms [J]. Transportation Science, 1984, 18(1):1-55.

[13]郭通,蘭巨龍,李玉峰,等.基于量子自適應(yīng)粒子群優(yōu)化徑向基函數(shù)神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量預(yù)測[J].電子與信息學(xué)報(bào),2013,35(9):2220-2226. (GUO T, LAN J L, LI Y F, et al. Prediction of network traffic based on quantum adaptive particle swarm optimization and radial basis function neural network [J]. Journal of Electronics Information Technology, 2013, 35(9): 2220-2226.)

[14]CHEN W N, ZHANG J, CHUNG H S H, et al. A novel set-based particle swarm optimization method for discrete optimization problems [J]. IEEE Transactions on Evolutionary Computation, 2010, 14(2):278-300.

[15]艾永冠,朱衛(wèi)東,閆冬.基于PSO-BP神經(jīng)網(wǎng)絡(luò)的股市預(yù)測模型[J].計(jì)算機(jī)應(yīng)用,2008,28(S2):105-108. (AI Y G, ZHU W D, YAN D. Stock marker forecast model based on PSO-BP neural network [J]. Journal of Computer Applications, 2008, 28(S2): 105-108.)

[16]YANG Y, MCLAUGHLIN K, LITTLER T, et al. Rule-based intrusion detection system for SCADA networks [C]// RPG 2013: Proceedings of the 2nd IET on Renewable Power Generation Conference. Stevenage, UK: IET, 2013: 1-4.

[17]MCPARLAND C, PEISERT S, SCAGLIONE A. Monitoring security of networked control systems: it’s the physics [J]. IEEE Security & Privacy, 2014, 12(6): 32-39.

[18]BAIG Z A. Rapid anomaly detection for smart grid infrastructures through hierarchical pattern matching [J]. International Journal of Security & Networks, 2012, 7(2): 83-94.

[19]尚文利,安攀峰,萬明,等.工業(yè)控制系統(tǒng)入侵檢測技術(shù)的研究及發(fā)展綜述[J].計(jì)算機(jī)應(yīng)用研究,2017,34(2):328-333. (SHANG W L, AN P F, WAN M, et al. Research and development overview of intrusion detection technology in industrial control system [J]. Application Research of Computers, 2017, 34(2): 328-333.)

[20]王海鳳.工業(yè)控制網(wǎng)絡(luò)的異常檢測與防御資源分配研究[D].杭州：浙江大學(xué),2014:36-57. (WANG H F. On anomaly detection and defense resource allocation of industrial control networks [D]. Hangzhou: Zhejiang University, 2014: 36-57.)

[21]肖國榮.改進(jìn)蟻群算法和支持向量機(jī)的網(wǎng)絡(luò)入侵檢測[J].計(jì)算機(jī)工程與應(yīng)用,2014,50(3):75-78. (XIAO G R. Network intrusion detection by combination of improved ACO and SVM [J]. Computer Engineering and Applications, 2014, 50(3): 75-78.)

[22]周亞建,徐晨,李繼國.基于改進(jìn)CURE聚類算法的無監(jiān)督異常檢測方法[J].通信學(xué)報(bào),2010,31(7):18-23. (ZHOU Y J, XU C, LI J G. Unsupervised anomaly detection method based on improved CURE clustering algorithm [J]. Journal on Communications, 2010, 31(7): 18-23.)