面向工業(yè)網(wǎng)絡(luò)流量的實(shí)時(shí)入侵檢測方法

摘 要：【目的】工業(yè)互聯(lián)網(wǎng)是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其安全性直接關(guān)系到國家安全、經(jīng)濟(jì)穩(wěn)定和社會(huì)秩序。隨著工業(yè)互聯(lián)網(wǎng)的廣泛應(yīng)用，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊頻發(fā)，造成了嚴(yán)重的經(jīng)濟(jì)損失和社會(huì)影響，因此，開發(fā)高效的實(shí)時(shí)入侵檢測系統(tǒng)顯得尤為重要。傳統(tǒng)的入侵檢測系統(tǒng)在處理高維度網(wǎng)絡(luò)流量數(shù)據(jù)時(shí)，往往難以有效區(qū)分正常流量和異常流量，尤其是在缺乏異常流量樣本的情況下。【方法】為了解決該問題，本研究通過分析某油氣集輸管線工業(yè)控制系統(tǒng)真實(shí)網(wǎng)絡(luò)流量特性，提出了一種結(jié)合Ｓｕｒｉｃａｔａ的滑動(dòng)窗口密度聚類工業(yè)網(wǎng)絡(luò)實(shí)時(shí)異常檢測方法。該方法針對工業(yè)網(wǎng)絡(luò)流量特性，利用Ｓｕｒｉｃａｔａ的開源性、可擴(kuò)展性以及滑動(dòng)窗密度聚類算法的動(dòng)態(tài)檢測能力，建立從流量采集解析到實(shí)時(shí)入侵檢測的全過程入侵檢測模型。本研究通過分析真實(shí)工業(yè)控制系統(tǒng)環(huán)境中的網(wǎng)絡(luò)流量特性發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)流量存在一定的周期性，利用基尼系數(shù)選取能體現(xiàn)工業(yè)網(wǎng)絡(luò)流量特性混雜程度的特征，實(shí)現(xiàn)對工業(yè)網(wǎng)絡(luò)流量降維處理，對降維后的數(shù)據(jù)使用滑動(dòng)窗口分組構(gòu)建工業(yè)網(wǎng)絡(luò)正常流量特征閾值。利用改寫Ｓｕｒｉｃａｔａ實(shí)現(xiàn)實(shí)時(shí)流量采集與解析，并將實(shí)時(shí)解析結(jié)果輸入到所構(gòu)建的滑動(dòng)窗口密度聚類入侵檢測算法中，通過與工業(yè)網(wǎng)絡(luò)正常流量特征閾值進(jìn)行對比，快速篩選絕對正常流量組和絕對異常流量組。針對正常流量與異常流量摻雜的組別，通過密度聚類算法將異常流量分離，完成異常流量檢測。【結(jié)果】將入侵檢測方法在油氣集輸全流程工業(yè)場景攻防靶場中應(yīng)用并開展大量實(shí)驗(yàn)，該方法能夠有效識(shí)別異常流量，檢測率達(dá)到９６％以上，誤報(bào)率低于３％。所提出的方法可以滿足工業(yè)網(wǎng)絡(luò)中異常流量檢測高效性、可靠性和實(shí)時(shí)性需求。【結(jié)論】本研究的創(chuàng)新之處在于提供了一種新的工業(yè)網(wǎng)絡(luò)異常流量檢測方法，結(jié)合Ｓｕｒｉｃａｔａ和滑動(dòng)窗口密度聚類算法，建立了從流量采集解析到實(shí)時(shí)入侵檢測的全過程入侵檢測模型，對工業(yè)互聯(lián)網(wǎng)安全防護(hù)具有重要的實(shí)踐價(jià)值，為工業(yè)網(wǎng)絡(luò)實(shí)時(shí)入侵檢測提供一種新的研究思路。

關(guān) 鍵 詞：工業(yè)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；流量解析；特征分析；基尼系數(shù)；機(jī)器學(xué)習(xí)；密度聚類算法；入侵檢測

中圖分類號：ＴＰ３９３ 文獻(xiàn)標(biāo)志碼：Ａ 文章編號：１０００－１６４６（２０２５）０１－００９８－０８

工業(yè)網(wǎng)絡(luò)涉及現(xiàn)代電力、石化、冶金、國防等多個(gè)領(lǐng)域，是國民經(jīng)濟(jì)、社會(huì)運(yùn)行和國家安全重要基礎(chǔ)。隨著工業(yè)互聯(lián)網(wǎng)、云計(jì)算等新技術(shù)出現(xiàn)，工業(yè)網(wǎng)絡(luò)已逐步從封閉隔離系統(tǒng)演變?yōu)殚_放交互系統(tǒng)，但隨之帶來了極大的信息安全隱患。

入侵檢測系統(tǒng)（ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ，ＩＤＳ）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。工業(yè)控制系統(tǒng)的實(shí)時(shí)性、可靠性、可用性和安全性需求使其不同于傳統(tǒng)的ＩＴ網(wǎng)絡(luò)：在功能需求上，傳統(tǒng)ＩＴ系統(tǒng)對機(jī)密性要求更高，而工業(yè)控制系統(tǒng)對可用性要求更高；在資源需求上，工業(yè)控制系統(tǒng)資源受限，且工業(yè)控制系統(tǒng)安全問題所產(chǎn)生的后果更加嚴(yán)重。

目前國內(nèi)外基于機(jī)器學(xué)習(xí)（ｍａｃｈｉｎｅｌｅａｒｎｉｎｇ，ＭＬ）的工業(yè)入侵檢測方法主要分為基于異常檢測和誤用檢測兩種，但檢測模型多停留在理論研究階段。王琦［１］通過分析工業(yè)控制系統(tǒng)特征及應(yīng)用層攻擊特點(diǎn)，提出了一種基于隱半馬爾科夫模型的工控系統(tǒng)入侵檢測方法（ｐＨＳＭＭ）；為解決靜態(tài)數(shù)據(jù)集樣本數(shù)目不平衡、特征復(fù)雜等問題，沈也明等［２］通過將專家標(biāo)注的數(shù)據(jù)加入訓(xùn)練樣本中，提出了一種基于主動(dòng)學(xué)習(xí)的入侵檢測系統(tǒng)，以解決訓(xùn)練樣本稀缺情況下入侵檢測準(zhǔn)確率低的問題；周文等［３］分析了典型機(jī)器學(xué)習(xí)算法在處理低維工業(yè)網(wǎng)絡(luò)數(shù)據(jù)集時(shí)對抗樣本的攻擊能力，發(fā)現(xiàn)循環(huán)神經(jīng)網(wǎng)絡(luò)（ＲＮＮ）具有最強(qiáng)的防對抗樣本黑盒攻擊能力；其他相關(guān)文獻(xiàn)也通過不同的算法建立了入侵檢測模型，并優(yōu)化了數(shù)據(jù)集梯度以及過擬合等方面的問題［４－８］。傳統(tǒng)方法主要沿用ＩＴ領(lǐng)域思路，其檢測模型的建立通常是脫機(jī)的，并沒有在真實(shí)網(wǎng)絡(luò)中進(jìn)行實(shí)際應(yīng)用。