油料儲運工控系統(tǒng)業(yè)務安全數(shù)據(jù)集研究

李曉明 任琳琳 王汝墨 劉家譯 李忠林 劉學君 沙 蕓 萬園春

1(中國航空油料集團有限公司 北京 100088)2(民航智慧能源工程技術研究中心 北京 100088)3(北京石油化工學院信息工程學院 北京 102617)4(中國電子科技集團公司第三十研究所 成都 610041)

1 背景及現(xiàn)狀研究

工業(yè)控制系統(tǒng)廣泛應用于電力、石油石化、交通、水利、鋼鐵、先進制造等重要基礎設施，獨立、隔離的傳統(tǒng)工控系統(tǒng)迎來了工業(yè)互聯(lián)網(wǎng)時代，工控系統(tǒng)的安全是重中之重.而工控系統(tǒng)安全中，業(yè)務安全是網(wǎng)絡安全和生產安全的統(tǒng)一抓手，業(yè)務安全性能越來越成為研究人員的關注焦點.同時，工控安全領域的震網(wǎng)病毒等案例表明[1]，在工業(yè)互聯(lián)網(wǎng)時代，針對工控系統(tǒng)業(yè)務安全的防護必須向智能化發(fā)展：例如,李曉明等人[2]通過強化學習的特征提取方法進行識別異常檢測；使用機器學習、深度神經(jīng)網(wǎng)絡等預測模型可以有效對工控系統(tǒng)的未來狀態(tài)進行預測.

針對預測模型的防護目標，可以分為網(wǎng)絡層面和業(yè)務層面(工控工藝流程層面)，不論哪個層面都需要相應的數(shù)據(jù)集輔助訓練.當前以DoS攻擊等手段構造的用于網(wǎng)絡層面異常檢測的數(shù)據(jù)集研究已經(jīng)取得一些成果：Tavallaee等人[3]完善并發(fā)布了NSL-KDD數(shù)據(jù)集模擬真實網(wǎng)絡，采用合理的訓練集與測試集樣本數(shù)量，足以負擔起不同研究工作的任務要求；Los Alamos國家實驗室發(fā)布的Multi-Source Cyber Security Events數(shù)據(jù)集[4]涵蓋了58天的全面企業(yè)網(wǎng)絡完全數(shù)據(jù)集.針對業(yè)務領域的數(shù)據(jù)集僅有新加坡科技大學網(wǎng)絡安全研究中心水廠系統(tǒng)數(shù)據(jù)集[5](簡稱新加坡水廠數(shù)據(jù)集)和密西西比州立大學SCADA實驗室天然氣管道數(shù)據(jù)集[6](簡稱密西西比數(shù)據(jù)集)2個模擬入侵者對底層設備攻擊的數(shù)據(jù)集.

訓練一個智能且高效的預測模型需要的數(shù)據(jù)量十分龐大，且數(shù)據(jù)的質量直接影響模型的最終效果；目前來看，在工控系統(tǒng)的網(wǎng)絡層面已經(jīng)存在大量的數(shù)據(jù)集用于學習，足以訓練出針對網(wǎng)絡層面防護的優(yōu)秀模型；但聚焦業(yè)務流程的工控數(shù)據(jù)集還處于稀缺狀態(tài).

在數(shù)據(jù)集的構建方法上，完整的數(shù)據(jù)集不但需要正樣本也需要負樣本(即攻擊樣本)，正負樣本應同源且負樣本需要達到一定比例，以實現(xiàn)良好的模型訓練效果.然而真實的工控系統(tǒng)無法大量生成數(shù)據(jù)集所需的負樣本.

數(shù)據(jù)集的構建分為仿真系統(tǒng)采集正負樣本和算法生成數(shù)據(jù)2種方式.

目前許多研究團隊使用算法進行數(shù)據(jù)生成方法的研究：Zhou等人[7-8]提出了基于雙判別模型及關聯(lián)分組的工控系統(tǒng)負樣本生成方法；電子信息系統(tǒng)復雜電磁環(huán)境效應國家重點實驗室的黃瓊男等人[9]對各類GAN網(wǎng)絡進行數(shù)據(jù)生成有詳盡論述；鄒振婉等人[10]也針對GAN網(wǎng)絡的生成進行了詳細研究.使用算法進行數(shù)據(jù)生成的缺陷是訓練模型時需要完整真實的數(shù)據(jù)集.

半實物仿真平臺的應用也是工業(yè)控制領域的研究熱點：密西西比大學的關鍵設施保護中心使用HMI、遠程中斷、PLC、傳感器、執(zhí)行器等設備構建的控制系統(tǒng)主要針對天然氣傳輸管道進行仿真，并采集整理出一套具有豐富底層特征數(shù)據(jù)的天然氣數(shù)據(jù)集；諾維薩德大學[11]的SlaCana等人設計了一套基于施耐德PLC的趨于供熱變電站仿真模型，對關鍵組件三通閥用于不同溫度水流混合進行研究；新加坡科技大學網(wǎng)絡安全研究中心使用了包括2個高架水箱、6個消防水箱、2個原水水箱和1個回水水箱的水分配(WADI)試驗臺；山東大學李冰等人[12]基于RTDS以及OpenFAST打造了一套風能轉換的仿真系統(tǒng)，提出了一種新的OpenFAST粘合代碼以保證系統(tǒng)流程更新過程中的穩(wěn)定性；浙江大學的鄭飛飛等人[13]對污水處理流程進行了仿真系統(tǒng)構建，主要研究了歷史觀測點用水量與污水處理系統(tǒng)流入量之間的傳遞系數(shù)K值的確定，并通過該系數(shù)計算仿真系統(tǒng)內各個處理節(jié)點流入水量.

只有密西西比大學和新加坡科技大學網(wǎng)絡安全研究中心2個研究團隊使用仿真系統(tǒng)采集并發(fā)布了涵蓋底層特征的工控系統(tǒng)公開數(shù)據(jù)集.密西西比數(shù)據(jù)集與新加坡水廠數(shù)據(jù)集雖然涵蓋了對底層數(shù)據(jù)以及業(yè)務流程的攻擊，但并未全面地從業(yè)務后果影響的角度構造大量導致業(yè)務流程失控的底層攻擊.

本文的研究采用真實的攻擊數(shù)據(jù)采集方式，針對業(yè)務場景設計了豐富的攻擊類型，依據(jù)業(yè)務屬性分類，對工控系統(tǒng)中最關鍵的修改值，從業(yè)務后果影響的角度進行攻擊類型設計，著重對業(yè)務流程的數(shù)據(jù)進行采集，弱化了網(wǎng)絡層面的攻擊.

當前，急缺面向業(yè)務層面的工控系統(tǒng)數(shù)據(jù)集，對于一個完整的儲運系統(tǒng)，涵蓋了傳輸管線與儲存油庫，其特點是點位眾多、控制復雜、流程豐富，任何一個業(yè)務流程的異常都會給整個系統(tǒng)帶來嚴重的后果，所以為了保障業(yè)務流程正常運行，需要聚焦業(yè)務異常各種情況，使用反映實際系統(tǒng)的半實物仿真系統(tǒng)，構建有針對性的業(yè)務數(shù)據(jù)集.

2 數(shù)據(jù)集構建

本文基于實際油料儲運工控系統(tǒng)業(yè)務過程搭建了一個半實物仿真沙盤配合SCADA系統(tǒng)的平臺，使用此平臺構建業(yè)務數(shù)據(jù)集.該仿真平臺具有如下優(yōu)勢：還原了真實業(yè)務場景下油料儲運的整個過程，且用戶界面操作簡單易用.此外，該平臺使用PLC自動采集數(shù)據(jù)，保證數(shù)據(jù)的完整性以及準確性.該平臺還具有可擴展性，可進行后續(xù)的改造以滿足不同的業(yè)務場景，填補了國內油料儲運業(yè)務實驗設備的空白，為未來的研究工作打下基礎，依托該平臺可以持續(xù)進行油料儲運業(yè)務相關實驗研究.

2.1 半實物仿真平臺

半實物仿真平臺模擬實現(xiàn)油料儲運業(yè)務過程.該平臺由實體沙盤模塊、數(shù)據(jù)采集與控制模塊、人機接口模塊3部分組成.

實體沙盤模塊由儲水罐、液位傳感器、溫度傳感器、閥門、水泵等實體進行搭建，其實物如圖1所示.數(shù)據(jù)采集與控制模塊使用PLC實現(xiàn)對實體沙盤各部件進行控制.人機接口模塊使用WINCC搭建一套仿真控制系統(tǒng)并實現(xiàn)圖形界面.系統(tǒng)界面如圖2所示.

圖1 實體沙盤模塊實物展示

圖2 人機接口模塊仿真控制系統(tǒng)界面

2.2 數(shù)據(jù)采集過程

數(shù)據(jù)采集過程如下：按照業(yè)務流程手動操作仿真系統(tǒng)正常運行，獲取正常數(shù)據(jù).基于系統(tǒng)狀態(tài)向系統(tǒng)發(fā)起攻擊，采集負例樣本.

每次攻擊持續(xù)時間在1 min到2 h不等.在采集過程中遵循以下原則：每個采集時間段開始時讓系統(tǒng)正常運行10～15 min；發(fā)生系統(tǒng)攻擊后針對不同攻擊造成的影響效果等待2 min至2 h后再進行系統(tǒng)的復原；采集過程中模擬工控現(xiàn)場產生重大事故的攻擊類型，力圖使該類攻擊數(shù)據(jù)在數(shù)據(jù)集中占比更大；設定每0.5 s記錄1次仿真平臺的數(shù)據(jù).在每輪次運行后，限定時間間隔從系統(tǒng)中提取系統(tǒng)數(shù)據(jù)與時間軸.

上述原則是對實際業(yè)務場景進行分析后制定的，其目的在于盡可能擬合實際業(yè)務場景的數(shù)據(jù)變化曲線，使數(shù)據(jù)更具有研究應用的價值.

2.3 攻擊類型設計

對半實物仿真平臺的攻擊使用真實的黑客攻擊，攻擊方式如下：首先抓取仿真系統(tǒng)與PLC之間通信的網(wǎng)絡數(shù)據(jù)包，其次解析網(wǎng)絡包中的內容，最后根據(jù)解析出的控制字段以及數(shù)據(jù)段進行劫持攻擊、篡改參數(shù)攻擊以及篡改控制命令攻擊.

根據(jù)油料儲運實際業(yè)務流程中可能出現(xiàn)的工控事故情況，針對半實物仿真平臺中傳感器分類設計了13類攻擊(其中共分為22種攻擊方式)，其目的是為了模擬真實環(huán)境下的嚴重工控事故，每一大類攻擊都對應著業(yè)務流程中某一環(huán)節(jié)可能產生的重大事故，例如引起虛假報警會導致當前業(yè)務流程中斷，篡改量程上下限等攻擊會使油罐發(fā)生泄漏事故造成嚴重后果；本文所設計的攻擊較好地反映了業(yè)務流程運行時可能面臨的問題.攻擊類型的具體說明如表1所示:

表1 13類(22種)攻擊類型說明

3 數(shù)據(jù)集比較

對采集到的數(shù)據(jù)集進行脫敏處理、缺失值處理、分表拼接集成、數(shù)據(jù)標注等處理工作后，構建了一套包含370 685條標注樣本、119列特征的油料儲運工控系統(tǒng)業(yè)務安全數(shù)據(jù)集(簡稱油料儲運數(shù)據(jù)集).在所有樣本中，正樣本占比60.15%，負樣本占比39.85%.不同種類攻擊數(shù)據(jù)條數(shù)以及所占的比重如表2所示；油料儲運數(shù)據(jù)集與密西西比數(shù)據(jù)集、新加坡水廠數(shù)據(jù)集(2019-11)的規(guī)模對比如表3所示.

表2 負樣本數(shù)據(jù)統(tǒng)計(13類攻擊)

表3 數(shù)據(jù)集信息對比

從表3可以看出本文構建的油料儲運數(shù)據(jù)集已標注樣本數(shù)排在首位，共有370 695條已標注樣本，同時負樣本的占比也處于首位，達到39.85%，即包含147 721條已標注負樣本.在攻擊類型上，新加坡水廠數(shù)據(jù)集包含15種負樣本，這15種生成負樣本的攻擊同本文相同，也是基于工控事故造成的后果來進行設計的.油料儲運數(shù)據(jù)集的13大類攻擊產生了22種負樣本，相較于新加坡水廠數(shù)據(jù)集細化了攻擊的種類，產生了更多不同的負樣本且考慮了攻擊的隱秘性，如在篡改關鍵參數(shù)的同時一并篡改報警值.密西西比數(shù)據(jù)集包含7種攻擊負樣本，大部分屬于網(wǎng)絡攻擊產生的負樣本.在特征列數(shù)上，新加坡水廠數(shù)據(jù)集居于首位，包含有128列特征，油料儲運數(shù)據(jù)集位于第二，包含119列特征，密西西比數(shù)據(jù)集包含26列特征；油料儲運數(shù)據(jù)集的特征列幾乎全部由業(yè)務流程數(shù)據(jù)特征組成，對于業(yè)務異常和業(yè)務流程的反映最為明確.

4 數(shù)據(jù)集實驗

相同業(yè)務的工控系統(tǒng)通常有多個現(xiàn)場，但現(xiàn)場之間的點位數(shù)量不同，甚至工控系統(tǒng)品牌也不同.即使是同一業(yè)務的工控系統(tǒng)不同現(xiàn)場也難以采用同一個異常檢測算法.異常檢測算法的遷移能力是應用的關鍵.遷移能力固然與算法有關，也與數(shù)據(jù)集相關.如果某數(shù)據(jù)集中能夠學習到該工控系統(tǒng)的核心業(yè)務邏輯，會對提高異常檢測算法的遷移能力有所幫助.

研究團隊為了驗證油料儲運數(shù)據(jù)集的學習能力，使用了Tradaboost[14],TCA[15],JDA[16],CORAL[17],BDA[18]這5種算法，對油料儲運數(shù)據(jù)集、密西西比數(shù)據(jù)集以及新加坡水廠數(shù)據(jù)集進行了雙向遷移實驗.

實驗從油料儲運數(shù)據(jù)集、密西西比數(shù)據(jù)集、新加坡數(shù)據(jù)集中選取了1 100條左右的樣本進行實驗.由于以上遷移學習算法皆需要源域數(shù)據(jù)集與目標域數(shù)據(jù)集的特征列數(shù)相同，因此選取了仿真系統(tǒng)中同一油罐的特征列形成單個油罐數(shù)據(jù)集19列，選取新加坡水廠數(shù)據(jù)集中1個水罐進行水分配的特征列形成單個水罐數(shù)據(jù)集19列，使用上述方法抽取數(shù)據(jù)，并以此進行油料儲運數(shù)據(jù)集和新加坡水廠數(shù)據(jù)集之間的遷移算法實驗.由于密西西比數(shù)據(jù)集特征數(shù)量較少，其業(yè)務相關特征列無法和油料儲運數(shù)據(jù)集的單個油罐19列特征相匹配，因此采用隨機選取的方式從密西西比數(shù)據(jù)集中構造單個業(yè)務數(shù)據(jù)集，進行油料儲運數(shù)據(jù)集和密西西比數(shù)據(jù)集的遷移算法實驗.

油料儲運數(shù)據(jù)集和新加坡水廠數(shù)據(jù)集的遷移實驗、油料儲運數(shù)據(jù)集和密西西比數(shù)據(jù)集遷移實驗的預測正確率結果如表4所示：

表4 油料儲運數(shù)據(jù)集與2個公開數(shù)據(jù)集的遷移實驗的正確率 %

由表4可以看出，從油料儲運數(shù)據(jù)集遷移到新加坡水廠數(shù)據(jù)集的正確率要高于新加坡水廠數(shù)據(jù)集遷移到油料儲運數(shù)據(jù)集的正確率.原因在于油料儲運數(shù)據(jù)集的攻擊類型更全面，遷移到新加坡水廠數(shù)據(jù)集時，涵蓋了新加坡水廠的攻擊種類.而反過來新加坡水廠的攻擊種類少，反遷移時未能學習到數(shù)據(jù)集中不包含的攻擊模式，因此普遍正確率偏低.

不論是從油料儲運數(shù)據(jù)集到密西西比數(shù)據(jù)集的遷移結果還是從密西西比數(shù)據(jù)集的遷移結果來看，除了TrAdaBoost以外，正確率都比較低，這是因為這2個數(shù)據(jù)集的工控流程完全不同，難以完成直接的遷移.

考慮到密西西比數(shù)據(jù)集工控流程以及攻擊分類的較大差異，所以將油料儲運數(shù)據(jù)集與密西西比數(shù)據(jù)集調整為僅區(qū)分正負樣本的二分類模式進行遷移，同時選擇27列特征與20列特征分為2組進行預測，20列特征的篩選仍然依據(jù)前文中的選擇方式，額外的7列特征選擇了與密西西比主要工藝流程較為接近的公共管道特征數(shù)據(jù)，實驗結果數(shù)據(jù)如表5所示.

從表5可知，將分類模式變?yōu)槎诸惡筮w移正確率得到了極大提升，多分類問題變成二分類問題時復雜性降低，可以得到更高的正確率；同時在使用20列特征進行遷移預測時正確率普遍低于向新加坡水廠數(shù)據(jù)集遷移的預測正確率.從工藝流程的角度看，油料儲運數(shù)據(jù)集與密西西比數(shù)據(jù)集的原始工藝流程差異性更大，在相同的分類與特征前提下，低于新加坡水廠數(shù)據(jù)的遷移正確率具有一定的合理性；同時，選27列特征的密西西比數(shù)據(jù)集與油料儲運數(shù)據(jù)集的遷移學習與選20列特征相比，預測結果正確率更高，多出的7列特征包含管道信息，油料儲運特征中也包含管道相關數(shù)據(jù)，由此分析，增加部分相似的系統(tǒng)環(huán)節(jié)特征可能有助于提高遷移學習的正確率.

表5 油料儲運數(shù)據(jù)集與密西西比數(shù)據(jù)集二分類遷移實驗的正確率 %

上述2表中，TrAdaBoost正確率相對較高；算法原理是更注重錯分樣本的訓練，因此遷移結果較好，這是算法訓練時的技巧，實際應用中會存在過擬合的問題；從油料儲運數(shù)據(jù)集與密西西比數(shù)據(jù)集的遷移結果來看，降低問題復雜度可以提高預測結果準確率；針對差異性強的系統(tǒng)可以選擇類似的特征列以提高預測結果的正確率.實驗證明油料儲運數(shù)據(jù)集對于其他相似或存在相似流程部分的數(shù)據(jù)集展現(xiàn)出更強的遷移能力，具有更鮮明的工藝特征.

5 總結與展望

為了提高油料儲運工控系統(tǒng)的底層異常檢測算法能力，本文研究了基于實際油料儲運工控系統(tǒng)業(yè)務的半實物仿真系統(tǒng).針對該仿真系統(tǒng)進行了多種底層攻擊，采集了攻擊情況下的異常數(shù)據(jù)，與正樣本一起構建了一個用于研究油料儲運工控系統(tǒng)底層安全防護算法的數(shù)據(jù)集.通過仿真平臺采集傳感器數(shù)據(jù)，以實際的業(yè)務攻擊為手段，探索出了一套構建業(yè)務安全數(shù)據(jù)集的方法；建設了一個可持續(xù)研究應用的仿真平臺；形成了一套優(yōu)于國際、填補國內空白的數(shù)據(jù)集.

該數(shù)據(jù)集與國際上2個代表性的公開數(shù)據(jù)集進行了比較，在數(shù)據(jù)規(guī)模、負例樣本種類、數(shù)據(jù)集的平衡性和數(shù)據(jù)集對遷移算法的支持能力方面都占有一定的優(yōu)勢；此外，數(shù)據(jù)特征對于業(yè)務流程的覆蓋更加全面，攻擊類型更有針對性.

本研究團隊將持續(xù)改進仿真系統(tǒng)，進行數(shù)據(jù)采集和數(shù)據(jù)擴充，力求反映實際現(xiàn)場業(yè)務情況.不斷提高系統(tǒng)的傳感器精度，擴大點位數(shù)據(jù)規(guī)模，增加攻擊方式及負例樣本種類.同時，利用模型從仿真平臺采集到的大量數(shù)據(jù)進行樣本擴充，研究樣本的特征，豐富樣本數(shù)據(jù)，進一步開展遷移學習研究.