熊柳,曹謝東,李杰,楊力,劉增良

(1. 西南石油大學(xué) 電氣信息學(xué)院,四川 成都 610500； 2. 西南石油大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院,四川 成都 610500； 3. 中國(guó)人民解放軍國(guó)防大學(xué) 信息作戰(zhàn)研究所,北京 100091)

?

SCADA安全因素神經(jīng)元的云推理機(jī)研究與仿真

熊柳1,曹謝東1,李杰1,楊力2,劉增良3

(1. 西南石油大學(xué) 電氣信息學(xué)院,四川 成都 610500； 2. 西南石油大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院,四川 成都 610500； 3. 中國(guó)人民解放軍國(guó)防大學(xué) 信息作戰(zhàn)研究所,北京 100091)

為了解決SCADA系統(tǒng)信息安全的問(wèn)題，本文提出了一種基于因素神經(jīng)網(wǎng)絡(luò)的主動(dòng)防御方法。將SCADA系統(tǒng)信息安全的影響因素映射到因素空間坐標(biāo)中，然后利用知識(shí)因素的因素神經(jīng)元表示方法，通過(guò)云模型推理機(jī)實(shí)現(xiàn)了語(yǔ)言值表示的模糊概念到定量數(shù)據(jù)的轉(zhuǎn)換，并通過(guò)云模型多規(guī)則多條件發(fā)生器進(jìn)行規(guī)則推理，最后根據(jù)得到的期望值又可以轉(zhuǎn)換為定性語(yǔ)言值，這樣就實(shí)現(xiàn)了對(duì)未知惡意程序行為操作可能性的預(yù)測(cè)。本文著重于利用基于云模型的多條件多規(guī)則發(fā)生器實(shí)現(xiàn)推理，通過(guò)MATLAB進(jìn)行算法設(shè)計(jì)和仿真，為油氣SCADA系統(tǒng)信息安全防御的解決方法提供了一種思路。

SCADA信息安全；因素空間；因素神經(jīng)元；云模型：MATLAB仿真

SCADA(supervisory control and data acquistion，數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，主要用于生產(chǎn)數(shù)據(jù)采集和控制生產(chǎn)設(shè)備的運(yùn)行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對(duì)工業(yè)生產(chǎn)運(yùn)行和國(guó)家經(jīng)濟(jì)安全造成重大隱患。一方面?zhèn)鹘y(tǒng)的病毒、木馬等會(huì)隨之直接(如聯(lián)網(wǎng)接入)或間接(如物理設(shè)備植入)地侵入工業(yè)控制系統(tǒng)，另一方面還有一些黑客組織或是敵對(duì)組織對(duì)國(guó)家的工控系統(tǒng)展開(kāi)有組織的攻擊如“震網(wǎng)”病毒事件，這種攻擊具有未知性、隱秘性、持續(xù)時(shí)間長(zhǎng)等特點(diǎn)，同時(shí)破壞效果更為強(qiáng)烈，而由于SCADA系統(tǒng)實(shí)時(shí)性、連續(xù)性和封閉性等特點(diǎn)，很多用在傳統(tǒng)計(jì)算機(jī)安全方面的手段(如病毒庫(kù)更新)又無(wú)法照搬過(guò)來(lái)用在SCADA系統(tǒng)上面，工控系統(tǒng)的信息安全問(wèn)題日益突出。2002年美國(guó)宣布將保護(hù)重要領(lǐng)域工業(yè)控制系統(tǒng)安全列入重要的工作內(nèi)容,例如美國(guó)阿貢國(guó)家實(shí)驗(yàn)室(argonne national laboratory，ANL)的研究主要集中于美國(guó)天然氣管道運(yùn)輸?shù)腟CADA系統(tǒng)安全領(lǐng)域，提出采用SCADA系統(tǒng)的蜜罐誘捕SCADA系統(tǒng)惡意攻擊、進(jìn)行脆弱性分析以及攻擊行為分析。

本文首次提出基于因素神經(jīng)網(wǎng)絡(luò)[1]的油氣集輸SCADA安全防御模型，采用主動(dòng)防御(active defense)的方法，對(duì)控制系統(tǒng)主機(jī)(工程師站、操作員站和PLC上位機(jī)等)的惡意程序行為進(jìn)行分析來(lái)實(shí)現(xiàn)入侵檢測(cè)的技術(shù)。主要研究SCADA安全因素神經(jīng)元[2]的云推理機(jī)[3]，實(shí)現(xiàn)對(duì)未知程序惡意行為的推測(cè)，并對(duì)其算法進(jìn)行MATLAB仿真。

1 課題思路

對(duì)惡意程序行為的描述可以采用因素神經(jīng)元的方法。因素神經(jīng)元由劉增良教授提出，是建立在汪培莊教授的因素空間基礎(chǔ)上提出的一種新的知識(shí)表示方法，因素空間理論[4]的主要目的是用于解釋隨機(jī)性的根源以及概率規(guī)律的數(shù)學(xué)實(shí)質(zhì)，其作用就是“搭架子”，即建立一種廣義坐標(biāo)系，然后用以描述坐標(biāo)系中的實(shí)際對(duì)象。因素神經(jīng)元[1]是一個(gè)面向?qū)ο蟮木C合知識(shí)表示與信息處理的單元模型，它能夠獲取各種類型的信息輸入，神經(jīng)元可以有選擇性地進(jìn)行感知，最后構(gòu)成一個(gè)總體激發(fā)完成輸出，能有效地作為模型的載體，這種表示方法具有語(yǔ)法和語(yǔ)義統(tǒng)一，定性與定量統(tǒng)一的知識(shí)表示特點(diǎn)。

完成了對(duì)惡意程序行為因素的表示和定性向定量轉(zhuǎn)換后，需要通過(guò)一定的算法對(duì)這些行為因素進(jìn)行分析，通過(guò)推理得到一個(gè)大致的結(jié)論，例如，這是一個(gè)什么樣的惡意程序、其危害程度有多大。那么可以嘗試采用云模型的方法來(lái)完成這個(gè)推理機(jī)。

云模型由李德毅院士在1995年提出[5]，云是用自然語(yǔ)言值標(biāo)識(shí)的某個(gè)定性概念與其定量表示之間的不確定性轉(zhuǎn)換模型。云由許多云滴組成，每一個(gè)云滴就是這個(gè)定性概念在數(shù)域空間中的一次具體實(shí)現(xiàn)，這種實(shí)現(xiàn)帶有不確定性。

2 基于因素神經(jīng)元的SCADA系統(tǒng)惡意程序行為分析

2.1 SCADA系統(tǒng)信息安全的因素空間構(gòu)建

2.1.1 因素空間核心內(nèi)容

“任何事物都是諸因素的交叉”，一個(gè)人可以由他在年齡、性別、身高、體重、職業(yè)、學(xué)歷、性格、興趣等因素方面的表現(xiàn)而加以確定[6]，人就是上述因素的一種交叉。然而一個(gè)事物并非從任何因素都可以對(duì)之進(jìn)行考察，如一塊石頭無(wú)從論性別，所謂事物o與因素f相關(guān)，是指從f討論o，有一個(gè)狀態(tài)f(o)與之對(duì)應(yīng)。例如從f(顏色因素)討論o(蘋(píng)果)，有一個(gè)狀態(tài)f(o)(紅色)與之對(duì)應(yīng)。

稱(O,V)是一個(gè)配對(duì)，如果O與V分別是由一些對(duì)象和由一些因素所組成的集合，且對(duì)任意o∈O，一切與o有關(guān)的因素都在V中，而對(duì)任意因素f∈V，一切與f有關(guān)的事物也都在O中。

對(duì)于一個(gè)實(shí)際問(wèn)題，假定有一個(gè)配對(duì)近似地存在著，對(duì)于給定的配對(duì)(O，V)，可以在O與V之間定義一個(gè)關(guān)系R:

R(o,f)=1，當(dāng)且僅當(dāng)o與f有關(guān)。

稱R為相關(guān)關(guān)系。為簡(jiǎn)便計(jì)把R定義為普通的(非fuzzy，非模糊)關(guān)系。

因素f可以看作一個(gè)映射，作用在一定的對(duì)象o上可獲得一定的狀態(tài)，記為f(o):

f:D(f)→X(f)

o→f(o)

這里X(f)={f(o)|o∈O}叫做因素f的狀態(tài)空間。

2.1.2 因素空間模型構(gòu)建

給定論域U后，事物的因素分析一般步驟[6]為：

1)確定描述事物集合O；

2)確定事物的因素集合V；

3)對(duì)配對(duì)的(O,V)進(jìn)行層次系統(tǒng)分析，確定其是否具有層次性、類別關(guān)系，是否需要構(gòu)成因素分類樹(shù)，從而實(shí)現(xiàn)優(yōu)化分析；

4)確定各因素在論域U上的單因素狀態(tài)空間；

5)構(gòu)造離散因素空間；

6)構(gòu)造原始事物描述離散模型。

大規(guī)模油氣集輸SCADA系統(tǒng)的信息安全防御是由多方面因素構(gòu)成的，不是光從某一個(gè)因素入手就能解決的。對(duì)于SCADA系統(tǒng)信息安全防御，主要從惡意程序?qū)ο到y(tǒng)的文件、注冊(cè)表、進(jìn)/線程操作這3方面的因素來(lái)考慮，每一種操作由多方面的因素構(gòu)成，這樣就可以把SCADA系統(tǒng)信息安全防御問(wèn)題放在一個(gè)由有限個(gè)惡意程序行為因素構(gòu)成的因素空間中，如圖1所示。SCADA系統(tǒng)信息安全就從一個(gè)很籠統(tǒng)很抽象的問(wèn)題對(duì)應(yīng)到了一個(gè)多維的因素空間中，這是由模糊的定性概念轉(zhuǎn)換為定量信息的第一步。

圖1 SCADA信息安全因素空間

2.2 基于因素神經(jīng)元的SCADA惡意程序行為因素表示方法

2.2.1 因素神經(jīng)元核心內(nèi)容

使用因素神經(jīng)元的方法來(lái)表示SCADA惡意程序行為的因素。劉增良教授提出的“知識(shí)的因素表示模型”分為2種[4]: 原子模型和關(guān)系模型。

1)原子模型

知識(shí)因素表示的原子模型是一個(gè)三元組即M(O)=〈O,V,X〉，也可記為M(O,V,X),其中O是事物集，V是與O配對(duì)的因素集，X是基于V的因素空間{X(f)|f∈F,F?V}。原子模型是描述事實(shí)、概念的模式。

2)關(guān)系模型

知識(shí)的關(guān)系模型是在原子模型基礎(chǔ)上定義的，它可表示為：R=〈RM,Mi(O)，XM〉，(i=1,2,…)也可記為R(RM,Mi(O),XM)。其中RM表示原子模型Mi(O)間的變換關(guān)系集，Mi(O)表示第i個(gè)原子模型，XM表示原子模式M在知識(shí)模式集合RM上的狀態(tài)及狀態(tài)轉(zhuǎn)換關(guān)系。關(guān)系模型是描述規(guī)則、推理、判斷及知識(shí)動(dòng)態(tài)過(guò)程的模式。

因素神經(jīng)元分為解析型因素神經(jīng)元和模擬型神經(jīng)元[1]，它們都是構(gòu)成因素神經(jīng)網(wǎng)絡(luò)的基本單位。解析型因素神經(jīng)元是對(duì)人類心理模式的模擬，模擬型因素神經(jīng)元?jiǎng)t是對(duì)人類生理模式的模擬。

1)解析因素神經(jīng)元

一個(gè)具有推理功能的解析因素神經(jīng)元可表述為：M={〈G,F,X〉,〈p,q,r〉,〈a,b〉}，其中〈G,F,X〉共同表達(dá)了解析型因素神經(jīng)元結(jié)構(gòu)、因素及狀態(tài)；p,q,r分別執(zhí)行神經(jīng)元的推理、判別與內(nèi)部控制功能；a是輸入信息，b是單元推理目標(biāo)或響應(yīng)。

一個(gè)解析型因素神經(jīng)元就像一臺(tái)微型自動(dòng)機(jī)，通過(guò)一組用因素表達(dá)的狀態(tài)，并有一套狀態(tài)轉(zhuǎn)換規(guī)則，當(dāng)外部輸入觸發(fā)時(shí)，神經(jīng)元按感知的信息執(zhí)行相應(yīng)的操作，進(jìn)行狀態(tài)的轉(zhuǎn)換，并依據(jù)自身的輸出響應(yīng)函數(shù)，輸出單元響應(yīng)。解析型因素神經(jīng)元基本結(jié)構(gòu)包括輸入/輸出系統(tǒng)、判別系統(tǒng)、推理系統(tǒng)和控制系統(tǒng)4個(gè)基礎(chǔ)系統(tǒng)構(gòu)成，如圖2所示。

圖2 解析型因素神經(jīng)元基本結(jié)構(gòu)

2)模擬型因素神經(jīng)元

一個(gè)模擬型因素神經(jīng)元可表述為：Y=F(X,W,T)，其中(X,Y)被稱為模擬型因素神經(jīng)元的輸入輸出模式對(duì)集合，X被稱為其激發(fā)或輸入模式集合，Y被稱為其對(duì)應(yīng)的響應(yīng)或輸出模式集合，W,T為模擬型因素神經(jīng)元內(nèi)部網(wǎng)絡(luò)模塊的可控參數(shù)。

2.2.2 油氣SCADA系統(tǒng)惡意程序行為因素表示方法

原子模型M(O)=〈O,V,X〉，O表示SCADA系統(tǒng)中惡意程序所有操作的集合，例如惡意程序?qū)χ鳈C(jī)系統(tǒng)的文件、注冊(cè)表、進(jìn)/線程操作，可以表示為[2]：O={FileOperations，RegOperations，Process/ThreadOperations}，對(duì)于其中的文件操作，又有查找、創(chuàng)建、打開(kāi)、寫(xiě)入、復(fù)制、刪除和屬性設(shè)置等重要因素，即有因素集合F={FindNextFile，CreateNewFile，OpenFile，WriteFile，CopyFile，DeleteFile，SetFileAttribute}，F(xiàn)?V，V為因素集，X就是基于對(duì)應(yīng)于因素集合的因素狀態(tài)空間。

由此可以得到文件操作(FileOperations)知識(shí)因素表達(dá)的關(guān)系模型：R=〈R,Mi(O)|i=1,2,…,n〉，即R(FileOperations)=〈RM，M(FileOperations)，XM〉，其中RM表示文件操作的一個(gè)知識(shí)模式集合，RM=〈{Rid1: if XFile(Find Next File) then 遍歷磁盤(pán)文件}，{Rid2: if XFile(Create File) then 在指定路徑下創(chuàng)建文件}，{Rid3: if Xfile(Copy File) then 復(fù)制指定文件到指定路徑}，{Rid4: if XFile(Delete File) then 刪除指定路徑的指定文件}，…〉;M(FileOperations)為文件操作的知識(shí)因素表達(dá)原子模型；XM表示原子模型M(FileOperations)在知識(shí)模式集合RM上的狀態(tài)及狀態(tài)轉(zhuǎn)換關(guān)系，XM=〈Xid1:if 在系統(tǒng)目錄下創(chuàng)建文件 and 設(shè)置文件時(shí)間為系統(tǒng)文件時(shí)間 then 非法創(chuàng)建文件}，{Xid2:if 查找所有文件and文件寫(xiě)操作then可疑遍歷磁盤(pán)文件操作}，{Xid3:if 創(chuàng)建打開(kāi)文件 and 修改文件屬性為系統(tǒng)文件 then 非法文件屬性修改}，{Xid4:if 刪除SCADA主機(jī)系統(tǒng)目錄文件 then 惡意文件操作}，{Xid5:if 復(fù)制文件至SCADA系統(tǒng)目錄 and 修改該目錄下文件屬性 then可疑文件操作}，…〉。

3 基于云發(fā)生器的SCADA惡意程序行為因素推理機(jī)設(shè)計(jì)

在人工智能領(lǐng)域，對(duì)知識(shí)和推理的不確定性主要分為模糊性和隨機(jī)性展開(kāi)研究。作為處理模糊性問(wèn)題的主要工具，模糊集理論用隸屬度來(lái)刻畫(huà)模糊食物的亦此亦彼性。然而，一旦用一個(gè)精確的隸屬函數(shù)來(lái)描述模糊集，模糊概念被強(qiáng)行納入到精確數(shù)學(xué)的王國(guó)，從此以后，在概念的定義、定理的敘述及證明等數(shù)學(xué)思維環(huán)節(jié)中，就不再有絲毫的模糊性了。由于傳統(tǒng)模糊集理論的不徹底性[7]，該推理機(jī)沒(méi)有采用傳統(tǒng)的隸屬度算法，而是采用云模型理論。

3.1 云模型簡(jiǎn)介

云模型是一個(gè)以自然語(yǔ)言值為切入點(diǎn)，實(shí)現(xiàn)定性概念與定量值之間的不確定性轉(zhuǎn)換的模型[7]；它同時(shí)反映了客觀世界中概念的兩種不確定性，即隨機(jī)性(發(fā)生的概率)和模糊性(亦此亦彼性)，尤其隨機(jī)性是其不同于傳統(tǒng)隸屬函數(shù)的特性。下面給出云模型的定義。

設(shè)U是一個(gè)用精確數(shù)值表示的定量論域，C是U上的定性概念，若定量值x∈U,且x是定性概念C的一次隨機(jī)實(shí)現(xiàn)，x對(duì)C的確定度u(x)∈[0,1]是具有穩(wěn)定傾向的隨機(jī)數(shù)。若

u:U→[0,1] ?x∈Ux→u(x)

則x在論域U上的分布稱為云，每一個(gè)x稱為一個(gè)云滴。

云模型主要有以下3個(gè)數(shù)字特征[5]：

1)期望Ex，云滴在論域空間分布的期望是概念在論域空間的中心值，是最能夠代表定性概念的點(diǎn)；

2)熵En，它是定性概念不確定性的度量，是由定性概念的隨機(jī)性和模糊性共同決定的；

3)超熵He，它是對(duì)熵的不確定性的度量，是熵的熵，反映了在論域空間代表該語(yǔ)言值的所有點(diǎn)的不確定度的凝聚性，它的大小間接地反映了它們之間的關(guān)聯(lián)性。

由參數(shù)Ex、En、He得到云滴drop(x,u)的過(guò)程稱為正向云發(fā)生器，如圖3所示，這是從定性概念到定量表示的轉(zhuǎn)換過(guò)程；反之，則為逆向云發(fā)生器。

圖3 正向云發(fā)生器

由此可以衍生出X條件云發(fā)生器和Y條件云發(fā)生器[3]。即當(dāng)給定云的3個(gè)數(shù)字特征和特定的x=x0時(shí)，產(chǎn)生滿足條件的云滴drop(x0，ui)，X條件云也稱為前件云發(fā)生器；同理，當(dāng)給定云的3個(gè)數(shù)字特征和特定的y=ui時(shí)，產(chǎn)生滿足條件的云滴drop(xi，ui)，Y條件云也稱為后件云發(fā)生器。

3.2 云發(fā)生器的惡意程序行為因素推理機(jī)設(shè)計(jì)

3.2.1 多條件多規(guī)則發(fā)生器

一條定性規(guī)則[8]可以形式化地表示為：ifAthenB,其中A、B為語(yǔ)言值表示的云對(duì)象[7]。云發(fā)生器是運(yùn)用云模型進(jìn)行不確定性推理的基礎(chǔ)。X條件云和Y條件云可以組合構(gòu)造成單條件單規(guī)則發(fā)生器，在前件云發(fā)生器中輸入值x0激活CGx(x條件云發(fā)生器)時(shí)，CGx隨機(jī)產(chǎn)生一個(gè)隸屬度ui，這個(gè)值反映了x0對(duì)此定性規(guī)則的激活強(qiáng)度，而ui又作為CGy(y條件云發(fā)生器)的輸入，隨機(jī)地產(chǎn)生一個(gè)云滴drop(xi，ui)。通過(guò)云模型構(gòu)造的定性規(guī)則，使得這種推理系統(tǒng)對(duì)不確定性具有良好的繼承性和傳遞性。

根據(jù)單條件單規(guī)則發(fā)生器的構(gòu)造原理可以構(gòu)造出多條件多規(guī)則發(fā)生器。以二維多規(guī)則生成器為例，如圖4所示。

圖4 二維多規(guī)則生成器

3.2.2 云推理機(jī)規(guī)則的因素神經(jīng)元表示

前面在“SCADA系統(tǒng)惡意程序行為因素表示方法[9]”中寫(xiě)出了關(guān)系模型的表達(dá)結(jié)構(gòu)，其中XM表示原子模式M在知識(shí)模式集合RM上的狀態(tài)及狀態(tài)轉(zhuǎn)換關(guān)系。以XM集合中的{Xid1:if在系統(tǒng)目錄下創(chuàng)建文件[10]and 設(shè)置文件時(shí)間為系統(tǒng)文件時(shí)間 then 非法創(chuàng)建文件}為例，“在系統(tǒng)目錄下穿件文件(CreatFile)”和“設(shè)置文件時(shí)間為系統(tǒng)文件時(shí)間(SetFileTime)”為SCADA系統(tǒng)惡意程序行為[11]因素集合[12]中的兩個(gè)因素，對(duì)應(yīng)于云模型二維單規(guī)則“ifAand B thenC”中的條件A和B，而“非法創(chuàng)建文件”則對(duì)應(yīng)于規(guī)則結(jié)論C。這樣就實(shí)現(xiàn)了將模糊的定性概念轉(zhuǎn)換為定量信息，便于推理機(jī)處理。

3.2.3 云推理機(jī)算法結(jié)構(gòu)與設(shè)計(jì)

根據(jù)多條件多規(guī)則發(fā)生器的原理，以二維規(guī)則發(fā)生器[13]為例，構(gòu)建步驟如下：

1)給定各規(guī)則2個(gè)條件對(duì)象的參數(shù)，即Ex1、En1、He1、Ex2、En2、He2;

2)由以上2組參數(shù)計(jì)算出單個(gè)規(guī)則對(duì)應(yīng)的二維云發(fā)生器，MATLAB程序如下：

%二維云的合成并畫(huà)出其三維圖像

clear：

cIc：

%輸入單規(guī)則推理兩個(gè)條件的參數(shù)

Exl=input(’pleaseinputExl=’)：

Ex2=input(’pleaseinputEx2=’)：

Enl=input(’pleaseinputEnl=’)：

En2=input(’pleaseinputEn2=’)：

Hel=input(’pleaseinputHel=’)：

He2=input(’pleaseinputHe2=’)：

N=input(’pleaseinputN=’)：

temp=O：

%生成二維條件云并計(jì)算(X1 X2)時(shí)的隸屬度

for i=1：N

[Ensl(1，i)，Ens2(1，i)]=binormrand(En1，En2，Hel，He2)：

[X1(1，i)，X2(1，i)]=binormrand(Exl，Ex2，Ensl(1，i)，Ens2(1，i))：

end

for i=1：N

q=(X1(1，i)一Exl)^2/Ensl(1，i)^2：

d=(X2(1，i)-Ex2)^2/Ens2(1，i)^2：

Y(1，i)=exp(一(1/2)*(q+d))：

end

plot3(x1，X2，Y，’．’).

生成二維隸屬云如圖5所示。

圖5 二維隸屬云

3)輸入待測(cè)條件參數(shù)X1和X2，激活每一條規(guī)則，根據(jù)每一條規(guī)則條件參數(shù)生成的二維云發(fā)生器計(jì)算得到激活強(qiáng)度，即隸屬度ui。MATLAB程序如下：

%……………單規(guī)則云發(fā)生器程序……………%

function[Y]=onerule(Exl，Enl，Hel，Ex2，En2，He2，X1，X2，N)

temp=O：

for i=1：N

[Ensl(1，i)，Ens2(1，i)]=binormrand(En1，En2，Hel，He2)：

end

for i=1：N

q：(X1-Exl)^2/Ensl(1，i)^2：

d=(X2-Ex2)^2/Ens2(1，i)^2：

Y(1，i)=exp(-(1/2)*(q+d))：

temp=temp+Y(1，i)：

end

Y=temp/Y：

4)在計(jì)算出的ui中選擇最大u1和次大的u2，它們對(duì)應(yīng)的規(guī)則即為激活強(qiáng)度[14]最大的兩條規(guī)則，MATLAB程序圖如下：

[u，IX]=sort(U)：%將所有規(guī)則計(jì)算出來(lái)的隸屬度由小到大排列

%選擇隸屬度最大的Ul和次大的U2，說(shuō)明這兩條規(guī)則的激活強(qiáng)度最大

u1=u(M)：

u2=u(M-1)：

num1=IX(M)：

num2=IX(M-1)：

fprintf(’觸發(fā)強(qiáng)度最大規(guī)則為第%i條 ’，num1);

fprintf(’觸發(fā)強(qiáng)度最大規(guī)則為第%i條 ’，num2);

5)利用Y條件云由U1和U2分別計(jì)算出2組云滴，選擇距離最小的2個(gè)云滴，通過(guò)逆向云發(fā)生器計(jì)算推理惡意度的期望和方差，MATLAB程序如下：

%構(gòu)造這兩條規(guī)則對(duì)應(yīng)的后件云發(fā)生器(Y條件云)

[Y1(1)，Y1(2)]=ycloud(d(numl，7)，d(numl，8)，d(numl，9)，ul，N);

[Y2(1)，Y2(2)]=ycloud(d(num2，7)，d(num2，8)，d(num2，9)，u2，N);

%從Y1和Y2中分別選取一點(diǎn)使兩點(diǎn)距離最小，

%由ycloud可知第一個(gè)大于第二個(gè)

a=abs(Y1(1)-Y2(2))：

b=abs(Y2(1)一Y1(2))：

if a>b

Z1=Y2(1)；

zul=u2；

z2=Y1(2);

zu2=ul;

else

z1=Y1(1);

zul=ul;

z2=Y2(2);

zu2=u2;

end

%利用逆向云發(fā)生器計(jì)算

[Ex，En，He]=backc loud(z1，zu1，z2，zu2);

com1=com1+Ex;

com2=com2+En;

end

C=coml/5;

D=com2/5;fprintf(’云推理機(jī)預(yù)測(cè)程序行為惡意度期望為%f ’，C);

fprintf(’云推理機(jī)預(yù)測(cè)程序行為惡意度期望為%f ’，D);

3.3 仿真實(shí)驗(yàn)與分析

3.3.1 建立對(duì)比實(shí)驗(yàn)

云模型理論建立在傳統(tǒng)隸屬函數(shù)[15]的基礎(chǔ)上，其隨機(jī)性是不同于傳統(tǒng)隸屬函數(shù)方法的特性。所以，利用傳統(tǒng)隸屬函數(shù)方法建立對(duì)比實(shí)驗(yàn)，可以加強(qiáng)對(duì)該云推理機(jī)優(yōu)勢(shì)和缺陷的分析，從而進(jìn)行后續(xù)改進(jìn)。 傳統(tǒng)隸屬函數(shù)方法對(duì)比實(shí)驗(yàn)主要利用Matlab中的FIS(模糊邏輯工具箱)編輯器，步驟如下：

1)建立隸屬度函數(shù)。云推理機(jī)測(cè)試樣本數(shù)據(jù)如表1所示。由數(shù)據(jù)可知，應(yīng)該選擇Gauss隸屬函數(shù)(正態(tài)型)，一共有9條規(guī)則，每一條規(guī)則有2個(gè)input，1個(gè)output，均按照其期望(Ex)和熵(En)建立Gauss隸屬函數(shù)。

表1 云推理機(jī)測(cè)試樣本數(shù)據(jù)

2)編輯器建立推理規(guī)則。例如：If(條件ais 1a)and (條件bis 1b)then(推論cis 1c)。條件A、B、C指廣泛意義上的定義概念，其小寫(xiě)a、b、c指代具體的實(shí)際條件。

3)得到Surface三維圖如圖6所示，并在云推理機(jī)主程序中用evalfis函數(shù)調(diào)用，得到隸屬函數(shù)法推理出的結(jié)論，并與云推理機(jī)得到結(jié)論進(jìn)行對(duì)比分析。

圖6 隸屬函數(shù)法推理Surface圖

3.3.2 仿真實(shí)驗(yàn)

已知數(shù)據(jù)：以“if 在系統(tǒng)目錄下創(chuàng)建文件 and 設(shè)置文件時(shí)間為系統(tǒng)文件時(shí)間 then 非法創(chuàng)建文件”為例，因?yàn)楦饕蛩囟际悄：Z(yǔ)言值表示的概念，根據(jù)“知識(shí)因素表示的關(guān)系模型”原理，給各因素假設(shè)一個(gè)數(shù)字量的參考指數(shù)，指數(shù)滿分為100，指數(shù)越高表示確定度越大；反之越小。

待測(cè)數(shù)據(jù)：現(xiàn)有一未知惡意程序通過(guò)課題小組建立的感知神經(jīng)元行為分解并分析后得到條件“在系統(tǒng)目錄下創(chuàng)建文件因素指數(shù)X1”和“設(shè)置文件時(shí)間為系統(tǒng)文件時(shí)間指數(shù)X2”。

表1中，F(xiàn)actorA代表“在系統(tǒng)目錄下創(chuàng)建文件因素指數(shù)A”，F(xiàn)actorB代表“設(shè)置文件時(shí)間為系統(tǒng)文件時(shí)間因素指數(shù)B”，F(xiàn)actorC代表“非法創(chuàng)建文件因素指數(shù)C”，Class代表“每條規(guī)則對(duì)應(yīng)的惡意程序種類”。將仿真結(jié)果統(tǒng)計(jì)如表2所示。

表2 仿真結(jié)果數(shù)據(jù)統(tǒng)計(jì)表

表2中，(x1,x2)表示待測(cè)樣本數(shù)據(jù)的條件a和條件b的參數(shù)；CG表示云模型推理機(jī)方法，F(xiàn)IS表示利用模糊工具箱實(shí)現(xiàn)的隸屬度函數(shù)法；Rules表示觸發(fā)規(guī)則，Max表示激活強(qiáng)度最大的觸發(fā)規(guī)則，Sec表示次大，Null表示無(wú)觸發(fā)規(guī)則；Infer表示推理機(jī)對(duì)待測(cè)樣本的推測(cè)惡意度，Ex表示期望，Var表示方差。

云推理機(jī)得到的惡意度分布圖和隸屬函數(shù)法得到的規(guī)則圖如圖7～10所示(以(99,50)和(74，87.9)為例)。

圖7 樣本(99,50)云推理機(jī)推測(cè)惡意度

圖8 樣本(99,50)隸屬函數(shù)法推測(cè)惡意度

圖9 樣本(74,87.9)云推理機(jī)推測(cè)惡意度

圖10 樣本(74,87.9)隸屬函數(shù)法推測(cè)惡意度

3.3.3 實(shí)驗(yàn)分析

1)從云推理機(jī)得到的觸發(fā)規(guī)則和已知樣本數(shù)據(jù)來(lái)看，第一組樣本(99，50)基本可以確定是A類(A,B,C,D,E,F,G,H,I為9類已知的不同惡意程序，其數(shù)據(jù)參數(shù)如表1所示)；第2組樣本(74，87.9)非常可能是C類，如果不是C類，那么就應(yīng)該不屬于已知樣本中的種類；第3組樣本(35，83)可能是F和B類，F(xiàn)類的可能性最大；第四組樣本(4.5，52.6)基本可以確定是H類。從推測(cè)惡意度來(lái)看，前3組樣本惡意程序非法創(chuàng)建文件的可能性比較大，第4組的可能性較小。

2)對(duì)比云推理機(jī)和隸屬度函數(shù)法的觸發(fā)規(guī)則可以發(fā)現(xiàn)，如果待測(cè)樣本的X1和X2參數(shù)比較接近已知樣本數(shù)據(jù)中的某一類，那么云推理機(jī)和隸屬函數(shù)法都會(huì)激活對(duì)應(yīng)的那條規(guī)則(如第1組和第4組)，但是如果待測(cè)樣本沒(méi)有很明顯的相似已知樣本，那么傳統(tǒng)的隸屬函數(shù)法就不能得到觸發(fā)規(guī)則，從而對(duì)結(jié)論推測(cè)沒(méi)有很好地指引，而云推理機(jī)可以得到，從而進(jìn)行推測(cè)結(jié)論。

3)對(duì)比云推理機(jī)和隸屬函數(shù)法得到的推測(cè)惡意度可以看出，兩種方法都可以對(duì)未知樣本的惡意度進(jìn)行推測(cè)。從數(shù)據(jù)上看，云推理機(jī)得到的惡意度并不是一個(gè)具體數(shù)據(jù)，而是服從正態(tài)分布的數(shù)據(jù)，體現(xiàn)了云模型理論區(qū)別于傳統(tǒng)隸屬函數(shù)的特性——隨機(jī)性，但是隸屬函數(shù)法得到結(jié)果基本都非常接近于已知樣本的數(shù)據(jù)(Ex3),所以很可能只是單純按照已知樣本數(shù)據(jù)構(gòu)建的規(guī)則來(lái)計(jì)算。因此，云推理機(jī)得到的推測(cè)惡意度更為科學(xué)、更為可信。

4)云推理機(jī)最后只是得到了對(duì)推測(cè)有指引作用的數(shù)據(jù)，并沒(méi)有直接得到具體結(jié)論，需要人工對(duì)這些指引數(shù)據(jù)進(jìn)行進(jìn)一步分析，這一點(diǎn)還需優(yōu)化?？傮w來(lái)說(shuō)，云推理機(jī)實(shí)現(xiàn)了對(duì)未知惡意程序非法創(chuàng)建文件惡意度的推測(cè)，達(dá)到了設(shè)計(jì)目的，但還需完善。

4 結(jié)束語(yǔ)

將云推理機(jī)的核心直觀表現(xiàn)出來(lái)的其實(shí)就是“ifAandBthenC”規(guī)則，而A、B、C都是語(yǔ)言值表示的模糊概念，那么需要將語(yǔ)言值表示的模糊概念轉(zhuǎn)換為定量信息，才能實(shí)現(xiàn)計(jì)算機(jī)數(shù)據(jù)推理，這就是知識(shí)因素的因素神經(jīng)元表示方法在本文中的作用。對(duì)于SCADA系統(tǒng)信息安全的主動(dòng)防御，通過(guò)因素神經(jīng)元和云模型推理機(jī)結(jié)合的方法是一種嘗試，通過(guò)文章中的仿真結(jié)果可以看出達(dá)到了預(yù)測(cè)效果，說(shuō)明了這種方法實(shí)施的可能性與合理性，而且該算法還可結(jié)合一些優(yōu)化算法來(lái)提升其效率和精度，這是作者今后著重研究的方向。

[1]劉增良. 因素神經(jīng)網(wǎng)絡(luò)理論及其應(yīng)用[M]. 貴陽(yáng): 貴州科技出版社, 1994. LIU Zengliang. Factor neural networks and its application[M]. Guiyang: Guizhou Science and Technology Publishing House, 1994.

[2]YANG Li, GAO Xiedong, LI Jie, et al. Research on FNN-based security defence architecture model of scada network[C]//Proceedings of the 2nd International Conference on Cloud Computing and Intelligence Systems. Hangzhou, China, 2012.

[3]QIN Yong, CAO Xiedong, LIANG Peng, et al. Research on the analytic factor neuron model based on cloud generator and its application in oil & gas scada security defense[C]//Proceedings of 2014 IEEE 3rd International Conference on Cloud Computing and Intelligence Systems. Shenzhen, China, 2014: 5.

[4]劉增良. 知識(shí)的因素表示[C]//中國(guó)科學(xué)技術(shù)協(xié)會(huì)首屆青年學(xué)術(shù)年會(huì)論文集(工科分冊(cè)·上冊(cè)). 北京, 1992: 5. LIU Zengliang. The factor representation of knowledge[C]//Proceedings of the 1st National Association of Science and Technology of Youth (Engineering. First). Beijing, 1992: 5.

[5]楊朝暉, 李德毅. 二維云模型及其在預(yù)測(cè)中的應(yīng)用[J]. 計(jì)算機(jī)學(xué)報(bào), 1998, 21(11): 961-969. YANG Zhaohui, LI Deyi. Planar model and its application in prediction[J]. Chinese journal of computers, 1998, 21(11): 961-969.

[6]汪培莊. 因素空間與概念描述[J]. 軟件學(xué)報(bào), 1992, 3(2): 30-40. WANG Peizhuang. Factor space and description of concepts[J]. Journal of software, 1992, 3(2): 30-40.

[7]王樹(shù)良. 基于數(shù)據(jù)場(chǎng)與云模型的空間數(shù)據(jù)挖掘和知識(shí)發(fā)現(xiàn)[D]. 武漢: 武漢大學(xué), 2002. WANG Shuliang. Data field and cloud model based spatial data mining and knowledge discovery[D]. Wuhan: Wuhan University, 2002.

[8]曹謝東. 模糊信息處理及應(yīng)用[M]. 北京: 科學(xué)出版社, 2003: 103-104. CAO Xiedong. Fuzzy information processing and application[M]. Beijing: Science Press, 2003: 103-104.

[9]YANG Li, CAO Xiedong, LI Jie, et al. A new formal description model of network attacking and defence knowledge of oil and gas field SCADA system[M]//WANG Hua, ZOU Lei, HUANG Guangyan, et al. Web Technologies and Applications. Berlin Heidelberg: Springer, 2012.

[10]YANG Li. A new factor state space model for SCADA network attack and defense[J]. International journal of security and its applications, 2014, 8(6): 303-314.

[11]王盼卿, 李曉輝. 一種基于知識(shí)因素表示理論的裝備信息分類描述方法[J]. 國(guó)防科技大學(xué)學(xué)報(bào), 2011, 35(5): 150-155. WANG Panqin, LI Xiaohui. A description method on classification of equipment information based on knowledge factor expression theory[J]. Journal of national university of defense technology, 2011, 35(5): 150-155.

[12]劉增良, 劉有才. 因素神經(jīng)網(wǎng)絡(luò)理論及實(shí)現(xiàn)策略研究[M]. 北京: 北京師范大學(xué)出版社, 1992. LIU Zengliang, LIU Youcai. Research on the theory of factor neural network and its realization[M]. Beijing: Research on the Theory of Factor Neural Network and Its Realization, 1992.

[13]付斌, 李道國(guó), 王慕快. 云模型研究的回顧與展望[J]. 計(jì)算機(jī)應(yīng)用研究, 2011, 28(2): 420-426. FU Bin, LI Daoguo, WANG Mukuai. Review and prospect on research of cloud model[J]. Application research of computers, 2011, 28(2): 420-426.

[14]張飛舟, 范躍祖, 沈程智, 等. 利用云模型實(shí)現(xiàn)智能控制倒立擺[J]. 控制理論與應(yīng)用, 2000, 17(4): 519-523. ZHANG Feizhou, FAN Yuezu, SHEN Chengzhi, et al. Intelligent control inverted pendulum with cloud models[J]. Control theory and application, 2000, 17(4): 519-523.

[15]李德毅, 杜鹢. 不確定性人工智能[M]. 北京: 國(guó)防工業(yè)出版社, 2005: 7. LI Deyi, DU Yi. Artificial intelligence with uncertainty[M]. Beijing: National Defend Industry Press, 2005: 7.

熊柳，男，1991年生,碩士研究生，主要研究方向?yàn)槟Ｊ阶R(shí)別與智能控制，參加國(guó)家自然基金項(xiàng)目1項(xiàng)。

曹謝東，男，1954年生，教授，主要研究方向?yàn)槿斯ぶ悄堋⒐I(yè)控制信息系統(tǒng)安全、智能測(cè)控等。主持國(guó)家自然科學(xué)基金項(xiàng)目，承擔(dān)國(guó)家863、國(guó)家重大科技攻關(guān)項(xiàng)目和省部級(jí)項(xiàng)目多項(xiàng)，獲四川省科技進(jìn)步二等獎(jiǎng)1項(xiàng)、三等獎(jiǎng)2項(xiàng)，專著3部。

Study and simulation of the SCADA security factors neuron’s cloud inference engine

XIONG Liu1, CAO Xiedong1, LI Jie1, YANG Li2, LIU Zengliang3

(1. School of Electrical Information Engineering, Southwest Petroleum University, Chengdu 610500, China; 2. School of Computer Science, Southwest Petroleum University, Chengdu 610500，China; 3.Institute of Information Operation, University of National Defense, Beijing 100091,China)

Over recent years, with the amount of incidents involving industrial control information systems, the safety of these system has been given increased importance across the Globe, and several technical measures have been implented to improve this. This paper proposed an active defense method based on a factor neural network in reference to SCADA information security. The different aspects of SCADA information security were mapped to factor coordinates, and the factor neuron method for knowledge factors was then used to transform this from a fuzzy concept (represented by language) to quantitative data through a cloud inference engine. Inference was then conducted through generated multi conditions and multi rules based on a cloud model, so that it could then be transformed into a qualitative language (e.g. ‘more likely’ based on Ex) to be able to forecast the consequences of unknown malicious programs. This paper focus on using a generator with multiple conditions and rules based on a cloud model to achieve inference, thus providing an idea of the oil and gas SCADA information security’s defense response using algorithmic design and MATLAB-based simulations.

SCADA information security; factor space; factor neuron; cloud model; MATLAB simulation

2015-09-17.

日期：2016-08-24.

國(guó)家自然科學(xué)基金項(xiàng)目(61175122)；四川省科技支撐計(jì)劃(2015GZ0345)；四川省教育廳重點(diǎn)項(xiàng)目(15ZA0049).

熊柳. E-mail:beartree1991@163.com.

TP18

A

1673-4785(2016)05-0688-08

10.11992/tis.201509020

http://www.cnki.net/kcms/detail/23.1538.TP.20160824.0928.006.html

熊柳,曹謝東,李杰,等. SCADA安全因素神經(jīng)元的云推理機(jī)研究與仿真[J]. 智能系統(tǒng)學(xué)報(bào)， 2016, 11(5): 688-695.

英文引用格式：XIONG Liu, CAO Xiedong, LI Jie, et al. Study and simulation of the SCADA security factors neuron’s cloud inference engine[J]. CAAI transactions on intelligent systems, 2016,11(5):688-695.