基于SDN和集成學習的工業控制網絡安全防護系統

摘 "要： 針對工業控制網絡通信信息安全與穩定問題，設計一種基于SDN和集成學習的工業控制網絡安全防護系統。該系統采用SDN技術，分為物理層、現場層、轉發層、控制層和應用層等5個層次。物理層包含現場終端設備；現場層通過控制模塊與操作員站實現對現場終端的控制；轉發層使用SDN交換機進行通信數據傳輸，并將數據鏡像傳輸至應用層進行安全分析；控制層中的SDN控制器管理和控制SDN交換機，并執行應用層下發的安全防護策略；應用層利用集成學習算法對工業控制網絡進行入侵行為檢測，通過安全響應模塊分析入侵信息并選擇相應的防御機制。實驗結果表明，所設計系統滿足工業控制網絡通信的實時性要求，能準確地實施入侵檢測，從而保障工業控制網絡的安全性和正常通信。

關鍵詞： 工業控制網絡； 安全防護； SDN技術； 集成學習； 交換機； 控制器； 入侵檢測； 防御機制

中圖分類號： TN915.1?34； TP393 " " " " " " " " " 文獻標識碼： A " " " " " " " " " "文章編號： 1004?373X（2024）06?0022?05

Industrial control network security protection system based on SDN and

integrated learning

YANG Fan1， DING Zhi2， WANG Yang2， QING Lingyun2

（1. Chengdu Institute of Computer Applications， University of Chinese Academy of Sciences， Chengdu 610123， China;

2. Information Center， Sichuan Tobacco Industry Co.， Ltd.， Chengdu 610020， China）

Abstract： In allusion to the problem of communication information security and stability in industrial control networks， an industrial control network security protection system based on SDN and ensemble learning is designed. The SDN technology is applied in the system， and the system is divided into physical layer， field layer， forwarding layer， control layer， and application layer. The physical layer includes on?site terminal devices. The on?site layer can control the on?site terminal by means of control modules and operator stations. In the forwarding layer， the SDN switch is used for the communication data transmission and to mirror the data to the application layer for the security analysis. The SDN controller in the control layer is used to manage and control the SDN switch， and execute the security protection policies issued by the application layer. In the application layer， the integrated learning algorithm is used to detect intrusion behavior in industrial control networks， and the security response module is used to analyze intrusion information and select corresponding defense mechanisms. The experimental results demonstrate that the designed system can meet the real?time requirements of industrial control network communication and can accurately implement intrusion detection， thereby ensuring the security and normal communication of the industrial control network.

Keywords： industrial control network; safety protection; SDN technology; integrated learning; switch; controller; intrusion detection; defense mechanism

0 "引 "言

工業控制網絡中所包含的新型網絡技術越來越多，導致其從封閉狀態逐漸轉向互聯狀態[1]，因此也對工業控制網絡的安全保障性能提出了越來越高的要求[2]。

近年來，相關領域學者對于工業控制網絡的安全防護問題進行了大量研究。例如，顧兆軍等人針對工控網絡安全性問題，提出一種基于時間自動機的方法[3]，但該方法在實際應用過程中對不同類型的網絡入侵與攻擊無法做到全面防護。丁朝暉等人在工控網絡安全研究過程中，從多維角度出發，通過不同形式保障網絡通信安全[4]。但該方法無法滿足網絡通信的時效性要求。尹彥尚等人提出基于貝葉斯攻擊圖的SDN安全預測方法[5]，但該方法無法滿足網絡通信的安全性要求。

為解決上述方法中存在的問題，本文設計一種基于SDN和集成學習的工業控制網絡安全防護系統，保障網絡通信安全。

1 "工業控制網絡安全防護系統設計

1.1 "系統整體架構設計

基于SDN和集成學習的工業控制網絡安全防護系統共分為5個層次，分別是物理層、現場層、轉發層、控制層以及應用層，整體架構如圖1所示。

1） 物理層中包含若干個現場終端，這些終端均為工業控制網絡的物理對象。

2） 現場層主要包含兩部分：一部分是由傳感器、控制器以及執行器共同組成的控制模塊；而另一部分是操作員站。該層的主要功能是控制物理層中的各物理對象。

3） 轉發層內主要有SDN交換機，負責傳輸現場層生成的控制數據。SDN交換機根據流表轉發相應的報文，并將工業控制網絡內的通信數據鏡像傳輸給應用層進行安全分析。

4） 控制層內包含SDN控制器，使用Open Flow協議全面管理和控制上一層的SDN交換機，并執行應用層下傳的安全防護策略。

5） 應用層主要由兩個模塊組成，分別是安全監測模塊以及安全響應模塊。安全監測模塊利用SDN鏡像獲取工業控制網絡的控制數據，采用集成學習算法進行入侵檢測，實時監測工業控制網絡的運行狀態；在發現異常入侵的條件下，安全響應模塊確定入侵信息防御機制，利用REST API將入侵信息防御指令傳輸至SDN控制器內，達到工業控制網絡安全防護的目的。

如圖1所示，基于SDN和集成學習的工業控制網絡安全防護系統的核心為：利用SDN鏡像得到工業控制網絡內的通信流量，并對其進行監測與分析，在發現入侵信息后，觸發對應的防護機制，利用SDN執行對應的防護策略，完成入侵檢測至安全防護的閉環，由此確保工業控制網絡的動態安全。

1.2 "SDN控制器結構設計

SDN控制器是軟件定義網絡架構的主要組成部分，其掌控工業控制網絡的全局信息，對于工業控制網絡的路徑網絡與流量拓撲進行管控。SDN控制器的主要特征描述如下：

1） 可靠性強。SND控制器在實際工業控制網絡安全防護系統應用過程中需具備較強的容錯、容災能力，由此符合系統高可靠性需求。

2） 可擴展性。該特性是大規模工業控制網絡有效應用的基礎[6]。

為滿足高度可靠性與可擴展性需求，工業控制網絡安全防護系統設計過程中選取ONOS架構為SDN控制器的基礎架構，并對控制器內的業務驅動與邏輯進行獨立自主設計。

SND控制器的整體架構如圖2所示。

分析圖2可知，SDN控制器的設計可在麒麟操作系統中進行，中標麒麟服務器操作系統可令SDN控制器內包含64位系列CPU，并令其具備虛擬化功能。SDN控制器的北向接口與南向接口分別采用REST API接口和gRPC接口。

1.3 "基于集成學習的工業控制網絡入侵檢測

集成學習算法作為一種通過若干個分類器處理同一問題的方法，能夠顯著提升學習系統的泛化能力[7]。一般情況下，集成學習算法可劃分為兩個部分：第一部分是通過單一學習算法分別訓練樣本；第二部分是集成單一網絡的輸出結果，由此獲取最終結果。

應用層中采用集成學習算法對工業控制網絡進行入侵檢測。針對工業控制網絡的特性以及入侵檢測的實際情況，選取異構集成模式[8]，以及具有優質泛化性能的K最鄰近算法、貝葉斯算法、支持向量機算法以及神經網絡算法構建分類器模型。為充分增強不同分類器模型間的差異性，結合特征集選擇訓練集的集成學習入侵檢測算法，詳細過程描述如下：

1） 按照集成學習算法中一種普遍使用的算法——Bagging算法，對工業控制網絡通信數據樣本實施重采樣，由此獲取若干個工業控制網絡初始通信數據集的樣本子集。

2） 選取特征集方法，隨機選取步驟1）中所得的工業控制網絡初始通信數據集的樣本子集特征，由此獲取特征子集。

3） 選取集成學習算法，通過各類學習算法學習所獲取的工業控制網絡通信數據特征子集，其中集成學習算法內的各分類通過試湊方式確定參數[9]，由此得到不同分類器。

4） 針對不同分類器的入侵判斷結果，進行加權綜合處理。通過螢火蟲算法對加權處理過程中的權值進行尋優處理，由此獲取最終的工業控制網絡入侵檢測結果。

基于集成學習的入侵檢測流程如圖3所示。

1.4 "安全防護算法

采用集成學習方法完成工業控制網絡入侵檢測后，構建工業控制網絡信息安全的防御功能模塊，構建動態的工業控制網絡入侵信息防御機制。

防御機制子模塊的主要功能為對入侵信息進行分析，同時選取對應的防御機制，令工業控制網絡運行達到安全、穩定狀態。以三元組描述工業控制網絡安全防御過程[10]，防御機制的主要算法如下：

[θ=Esδξ] " " " " " " " " （1）

式中：[Es]和[δ]分別表示入侵側同防御側工業參與數據與效用計算式；[ξ]表示參與數據的對應防護量。

針對入侵信息實施自動追蹤與攔截，但入侵信息內包含一定量的噪聲信息，導致所選取的入侵信息防御機制并非全部準確。為了解決這一問題，在追蹤與攔截入侵數據過程中引入泛化誤差，通過泛化誤差判斷對置信度的誤差，公式如下：

[w=θ?a，bscona?] " " " " " （2）

式中：[w]和[?]分別表示泛化誤差和數據集X內所含數據數量。

基于上述誤差判斷結果，在誤差值大于1的條件下，需再次確定置信度；在誤差值小于1的條件下，說明誤差對于實際計算結果的影響并不顯著，可在不考慮此誤差的條件下開展后續工作。由數據庫內獲取合適的工業控制網絡入侵信息防御機制，通過安全響應模塊中央處理器的控制單元傳輸控制命令，觸發相應的防御機制，同時在存儲器內存儲當前的數據信息，達到數據處理的目的，由此完成實時、智能的工業控制網絡入侵處理，增強工業控制網絡的安全防護性能，為工業控制網絡提供安全、穩定的運行環境。

2 "實 "驗

2.1 "實驗參數設置

本文的實驗參數如表1所示。

2.2 "實驗方法

本文設計一種基于SDN和集成學習的工業控制網絡安全防護系統，為驗證該系統的實際應用性能，以某工業控制網絡為實驗對象，采用本文系統對實驗對象進行安全防護測試。

2.2.1 "端口跳變測試

圖4所示為本文系統端口跳變測試結果。

分析圖4得到，采用本文系統后，實驗對象端口跳變時能夠實現正常數據通信，跳變前后實驗對象通信過程中的延遲大致相同，僅在跳變的一瞬間出現大幅提升。由此說明采用本文系統對實驗對象進行控制，可以滿足實驗對象通信的實時性要求。

2.2.2 "入侵檢測結果

本文系統的入侵檢測結果如表2所示。分析表2得到，采用本文系統對實驗對象進行入侵檢測，所得入侵檢測結果與實際情況完全一致，由此說明本文系統能夠準確實現實驗對象的入侵檢測。

2.2.3 "攻防性能測試

本文系統進行功能性能測試過程中，利用hping3攻擊工具對入侵行為進行模擬仿真，在實驗對象運行第5 s時對其進行入侵攻擊。采用本文系統針對入侵行為調用防御機制進行安全防御，本文系統的攻防性能測試結果如圖5所示。

分析圖5得到，實驗對象正常運行條件下的通信數據包約為50個/s，當實驗對象受到入侵攻擊的條件下，其通信數據包數量快速提升至45 000個左右。采用本文系統進行防護后，實驗對象內部產生斷連現象；采用本文系統進行防護前，實驗對象通信數據包在3 s內快速下降。由此說明采用本文系統對實驗對象進行安全防護后，能夠保障實驗對象在內部斷聯前阻斷入侵攻擊，由此確保實驗對象安全運行效果，令實驗對象正常通信。

3 "結 "論

本文整體考慮工業控制網絡安全防護需求，設計一種基于SDN和集成學習的工業控制網絡安全防護系統，基于SDN設計系統整體架構，通過集成學習進行系統入侵檢測，基于檢測結果進行入侵處理，實現安全防護目的。實驗結果表明，所設計系統滿足工業控制網絡通信的實時性要求，能準確地實施入侵檢測，從而保障工業控制網絡的安全性和正常通信。

注：本文通訊作者為丁之。

參考文獻

[1] 原錦明.云計算網絡安全防護技術在冶金工業控制系統中的應用：評《有色輕金屬冶煉過程優化與控制系統》[J].中國有色冶金，2023，52（2）：165.

[2] 張春坡.黑岱溝露天煤礦工業控制網絡安全防護技術研究與應用[J].煤炭工程，2021，53（z1）：144?148.

[3] 顧兆軍，孫浩然.基于時間自動機的工控系統網絡安全研究[J].計算機仿真，2023，40（1）：326?332.

[4] 丁朝暉，張偉，楊國玉，等.多維工控系統網絡安全風險監測預警系統研究與應用[J].電子技術應用，2023，49（2）：76?79.

[5] 尹彥尚，索同鵬，董黎剛，等.基于貝葉斯攻擊圖的SDN安全預測方法[J].電信科學，2021，37（11）：75?85.

[6] 言洪萍，周強，王世豪，等.基于SDN的實際網絡流中Tor網頁復合特征提取方法[J].通信學報，2022，43（3）：76?87.

[7] 姚玉坤，任麗丹，任智，等.MSC中基于SDN的拓撲感知RLNC重傳方案[J].系統工程與電子技術，2022，44（4）：1393?1400.

[8] 賈立鵬，王鳳英，姜倩玉.基于多特征融合和集成學習的惡意代碼檢測研究[J].中國科技論文在線精品論文，2021，14（2）：168?176.

[9] 陳仲磊，伊鵬，陳祥，等.基于集成學習的系統調用實時異常檢測框架[J].計算機工程，2023，49（6）：162?169.

[10] 曹波，李成海，宋亞飛，等.基于Stacking集成學習的網絡安全態勢預測方法[J].空軍工程大學學報，2022，23（5）：101?107.

[11] 米慶軍，馮大鵬，于慧超.工業控制系統網絡安全體系的架構設計[J].自動化應用，2023，64（10）：88?90.

[12] 王樂，劉順志，韓正.軍工企業工業控制系統網絡安全防護研究[J].工業信息安全，2023（1）：61?67.

[13] 賈志強.基于工控網絡數據的網絡安全態勢分析研究[D].北京：華北電力大學（北京），2023.

[14] 楊軼茜，張龍山.大數據背景下工業控制網絡信息安全防護存在的問題及措施[J].網絡安全和信息化，2023（3）：119?121.

[15] 張永亮.基于深度學習的工業控制網絡安全管理模型應用與研究[J].網絡安全技術與應用，2023（11）：10?12.