優(yōu)化隨機(jī)森林模型的工控網(wǎng)絡(luò)異常檢測(cè)

摘 要：針對(duì)現(xiàn)有ＭｏｄｂｕｓＴＣＰ協(xié)議的異常檢測(cè)效率和準(zhǔn)確率低的問(wèn)題，提出了一種基于混合鯨魚(yú)算法優(yōu)化的隨機(jī)森林異常檢測(cè)模型。該模型將柯西變異和自適應(yīng)動(dòng)態(tài)慣性權(quán)重相結(jié)合，利用柯西變異算子增加種群多樣性，避免算法陷入局部最優(yōu)；引用自適應(yīng)動(dòng)態(tài)慣性權(quán)重因子提高種群的全局搜索能力，使算法的收斂速度加快。仿真實(shí)驗(yàn)結(jié)果表明，該模型相較于其他分類(lèi)算法有著更高的準(zhǔn)確率和較強(qiáng)的適應(yīng)性，證明了模型在實(shí)際應(yīng)用中具有較高的檢測(cè)精度。

關(guān) 鍵 詞：工控網(wǎng)絡(luò)；異常檢測(cè)；工業(yè)協(xié)議；鯨魚(yú)算法；隨機(jī)森林；混沌映射；柯西變異；自適應(yīng)權(quán)重

中圖分類(lèi)號(hào)：ＴＰ３９３.０８ 文獻(xiàn)標(biāo)志碼：Ａ 文章編號(hào)：１０００－１６４６（２０２４）０２－０１９７－０９

工控網(wǎng)絡(luò)是能源、交通、城市公用設(shè)施等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。隨著工業(yè)化和信息化的融合發(fā)展，在增強(qiáng)工控網(wǎng)絡(luò)適用性的同時(shí)也引入了嚴(yán)峻的網(wǎng)絡(luò)安全威脅。工控協(xié)議作為工控網(wǎng)絡(luò)中的重要部分，其安全性更是備受關(guān)注的焦點(diǎn)［１］。其中，ＭｏｄｂｕｓＴＣＰ協(xié)議已是當(dāng)前應(yīng)用最廣泛的協(xié)議，通過(guò)該協(xié)議可以實(shí)現(xiàn)ＰＬＣ、Ｉ＼Ｏ模塊、其他設(shè)備的透明連接。Ｍｏｄｂｕｓ協(xié)議同絕大多數(shù)工控協(xié)議一樣，自身存在較多安全缺陷，架設(shè)在ＴＣＰ／ＩＰ上之后，更是將ＴＣＰ／ＩＰ協(xié)議本身存在的安全問(wèn)題帶到了工控安全中［２］。如今，針對(duì)該協(xié)議的異常檢測(cè)仍是研究的重點(diǎn)，如何提高其安全防御能力迫在眉睫。

諸多學(xué)者在ＭｏｄｂｕｓＴＣＰ的異常流量檢測(cè)方面取得了一定的研究進(jìn)展，主要采用聚類(lèi)［３］、神經(jīng)網(wǎng)絡(luò)［４］、支持向量機(jī)［５］和隨機(jī)森林［６］等機(jī)器學(xué)習(xí)方法。其中聚類(lèi)算法受參數(shù)影響較大，在異常檢測(cè)中檢測(cè)效果嚴(yán)重依賴(lài)主觀(guān)解釋?zhuān)恢С窒蛄繖C(jī)則難以對(duì)工業(yè)流量的大數(shù)據(jù)樣本進(jìn)行訓(xùn)練。在眾多機(jī)器學(xué)習(xí)方法中，隨機(jī)森林因其準(zhǔn)確率高、抗噪聲能力強(qiáng)等優(yōu)勢(shì)受到青睞。在異常檢測(cè)上，隨機(jī)森林能有效處理工業(yè)大數(shù)據(jù)集合以及隨機(jī)性不容易過(guò)擬合等問(wèn)題，是熱門(mén)的機(jī)器學(xué)習(xí)算法之一。ＭＯＫＨＴＡＲＩ等［７］提出了采用隨機(jī)森林算法識(shí)別控制層異?；顒?dòng)的入侵檢測(cè)系統(tǒng)，解決了針對(duì)隱匿攻擊檢測(cè)問(wèn)題，證明了隨機(jī)森林在測(cè)量數(shù)據(jù)上也有著極高的分類(lèi)準(zhǔn)確率，但很難保證算法的穩(wěn)定性。上述研究在檢測(cè)精度上有一定提升，但由于隨機(jī)森林模型的分類(lèi)準(zhǔn)確率受參數(shù)影響較大，且傳統(tǒng)的參數(shù)優(yōu)化方法很難避免主觀(guān)因素的存在，因此有學(xué)者采用群智能優(yōu)化算法提高參數(shù)尋優(yōu)的效率。張利隆等［８］提出了一種基于柯西變異的灰狼算法優(yōu)化高斯過(guò)程的入侵檢測(cè)模型，解決了算法容易陷入局部最優(yōu)的問(wèn)題，但沒(méi)有考慮到算法的收斂速度問(wèn)題。于立婷等［９］提出了一種改進(jìn)的人工蜂群優(yōu)化Ｋｍｅａｎｓ算法，解決了對(duì)不同種類(lèi)的入侵者檢測(cè)率低、檢測(cè)速率慢的問(wèn)題，使算法能更快進(jìn)行優(yōu)化選擇，雖然改進(jìn)了算法的優(yōu)化過(guò)程，但算法穩(wěn)定性和效率難以保證。在眾多優(yōu)化算法中，對(duì)于機(jī)器學(xué)習(xí)的參數(shù)選擇來(lái)說(shuō)，鯨魚(yú)算法因其調(diào)整參數(shù)少、結(jié)構(gòu)簡(jiǎn)單、搜索速度快等特性，表現(xiàn)出十分卓越的性能。但因算法收斂較慢且容易陷入局部極值，使得其優(yōu)化效率有所下降。