沈陽理工大學(xué)自動化與電氣工程學(xué)院 安攀峰

基于SVM的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法應(yīng)用研究

沈陽理工大學(xué)自動化與電氣工程學(xué)院 安攀峰

入侵檢測在工控網(wǎng)絡(luò)的安全防護中具有重要的作用。本文基于支持向量機（SVM）的通信行為入侵檢測方法，首先介紹工控網(wǎng)絡(luò)信息安全和入侵檢測要求的特殊性，分析了檢測特征的提取方法，研究幾種SVM算法的入侵檢測建模與應(yīng)用，以提高對異常攻擊行為的檢測率，增強工控網(wǎng)絡(luò)系統(tǒng)安全防御能力。

工業(yè)控制網(wǎng)絡(luò)；入侵檢測；SVM

引言

隨著網(wǎng)絡(luò)化與信息化的深度融合，工業(yè)控制系統(tǒng)已經(jīng)發(fā)展成為一個開放式的網(wǎng)絡(luò)環(huán)境。工控網(wǎng)絡(luò)技術(shù)的應(yīng)用促進了生產(chǎn)效率的提高，同時也帶來了信息安全風(fēng)險，容易遭受傳統(tǒng)的IT系統(tǒng)網(wǎng)絡(luò)攻擊[1]。入侵檢測是一種主動的信息安全防護技術(shù)，能夠根據(jù)攻擊行為的操作模式，分析產(chǎn)生的數(shù)據(jù)特征變化，以實現(xiàn)對異常攻擊的有效檢測。針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊行為，主要是入侵者利用系統(tǒng)存在的安全漏洞，根據(jù)采用的工控通信協(xié)議規(guī)約，傳輸惡意的攻擊數(shù)據(jù)，對控制器、終端設(shè)備等進行攻擊。本文結(jié)合機器學(xué)習(xí)算法SVM的數(shù)據(jù)分類優(yōu)勢，從實際應(yīng)用的角度分析存在的安全問題，研究通信行為的特征提取和入侵檢測方法，最后根據(jù)具體的安全防護目標，設(shè)計了幾種SVM算法的入侵檢測建模和應(yīng)用方法。

1.工控網(wǎng)絡(luò)的入侵檢測技術(shù)應(yīng)用

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)化發(fā)展導(dǎo)致了面臨的安全風(fēng)險和入侵威脅不斷增加，特別是與企業(yè)網(wǎng)和互聯(lián)網(wǎng)的相連接，使得各種針對工控系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施的攻擊操作，能夠?qū)I(yè)生產(chǎn)設(shè)備進行攻擊。異常攻擊者通過利用在操作系統(tǒng)、上位機軟件等的安全漏洞進入到工控通信網(wǎng)絡(luò)，冒充正常的用戶進行不合法的操作。

目前，在IT信息系統(tǒng)的入侵檢測技術(shù)應(yīng)用相對成熟，但由于與工控網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、功能和安全要求的差異性，不能直接應(yīng)用于工控系統(tǒng)的安全防護。如何建立高效的工控網(wǎng)絡(luò)入侵檢測系統(tǒng)，需要對提取反映通信行為模式差異的檢測特征和設(shè)計適應(yīng)工控網(wǎng)絡(luò)復(fù)雜環(huán)境的檢測算法進行研究，其中，檢測算法是工控網(wǎng)絡(luò)入侵系統(tǒng)的核心，檢測特征是有效實現(xiàn)異常行為判別的基礎(chǔ)和關(guān)鍵。SVM是基于統(tǒng)計學(xué)習(xí)的機器學(xué)習(xí)算法，在傳統(tǒng)IT系統(tǒng)入侵檢測、故障診斷、圖像識別等領(lǐng)域都有大量的理論研究，結(jié)合實際的工業(yè)控制網(wǎng)絡(luò)信息安全問題，本文研究相關(guān)SVM算法的工業(yè)通信行為檢測應(yīng)用。

2.入侵檢測的數(shù)據(jù)特征提取

在工業(yè)控制網(wǎng)絡(luò)的傳輸流量數(shù)據(jù)中，包含了基于通信協(xié)議和基于主機的通信行為數(shù)據(jù)。

工控系統(tǒng)網(wǎng)絡(luò)的入侵檢測實際上是對通信行為的預(yù)測判別，以實時檢測出異常攻擊操作。由于工業(yè)控制系統(tǒng)環(huán)境的復(fù)雜性，工控網(wǎng)絡(luò)包含了各種數(shù)據(jù)讀取、信息查詢、設(shè)備控制的等實際通信行為，如何根據(jù)通信行為的特征進行操作模式分析，對提高入侵檢測算法的實際應(yīng)用能力非常重要。

由于工控系統(tǒng)主要為控制生產(chǎn)設(shè)備的工藝流程，并根據(jù)功能需求進行數(shù)據(jù)信息的傳輸，正常的工業(yè)通信行為具有一定的周期性和有限性。入侵檢測系統(tǒng)為利用通信行為的檢測特征，對數(shù)據(jù)進行分析處理，并利用設(shè)計的檢測算法進行異常行為的分類判別。根據(jù)SVM算法的分類原理，特征提取需要深度解析異常行為的操作模式，并從通信網(wǎng)絡(luò)的流量數(shù)據(jù)中，選擇或構(gòu)造能夠反映正常行為和異常攻擊操作模式差異的行為特征。

3.基于SVM算法的工控網(wǎng)絡(luò)入侵檢測

3.1 標準C-SVM的入侵檢測方法

針對工業(yè)控制網(wǎng)絡(luò)入侵檢測技術(shù)的研究，實際上是對工業(yè)通信行為進行預(yù)測分類的模式識別問題，入侵檢測系統(tǒng)的建立是根據(jù)數(shù)據(jù)樣本的特點，利用入侵檢測算法對通信行為進行分析和判別。標準的C-SVM是對數(shù)據(jù)樣本的二分類算法，能夠適用于對正常行為和異常攻擊的檢測判別，主要的入侵檢測建模過程如下：

Step1：獲取通信行為數(shù)據(jù)，構(gòu)造入侵檢測建模的訓(xùn)練和測試樣本集；

Step2：設(shè)定懲罰因子參數(shù)和核函數(shù)參數(shù)；

Step3：根據(jù)訓(xùn)練數(shù)據(jù)樣本集，訓(xùn)練入侵檢測模型；

Step4：利用測試數(shù)據(jù)樣本對訓(xùn)練模型進行測試；

Step5：如果訓(xùn)練模型滿足測試樣本的檢測性能要求，求得通信行為的決策函數(shù)，否則重新設(shè)定訓(xùn)練參數(shù)，以獲得滿足要求的入侵檢測模型。

在對以上標準C-SVM算法的入侵檢測建模中，核函數(shù)的選擇是一個關(guān)鍵的環(huán)節(jié)，決定著對數(shù)據(jù)樣本的非線性映射，影響最終的通信行為檢測率。同時，懲罰因子參數(shù)也非常重要，能夠減小的數(shù)據(jù)樣本噪聲造成的分類性能缺陷，對檢測模型的泛化能力具有重要的作用[2]。

3.2 基于OCSVM的入侵檢測方法

由于標準的C-SVM算法是對兩類平衡樣本的數(shù)據(jù)分類方法，如果兩類訓(xùn)練數(shù)據(jù)樣本具有較大的差異，將使得分類模型難以滿足實際領(lǐng)域的應(yīng)用需求，如在入侵檢測、故障診斷等分類的模式識別問題中，難以獲取異常的數(shù)據(jù)樣本或具有很少的異常數(shù)據(jù)樣本。單類支持向量機（OCSVM）只需要一類數(shù)據(jù)樣本，即只利用正常的通信行為數(shù)據(jù)就可以建立入侵檢測模型[3]，通過對周期性和有限性的行為數(shù)據(jù)樣本進行學(xué)習(xí)，訓(xùn)練模型能夠識別不同于正常模式的異常攻擊操作。利用OCSVM算法的入侵檢測建模過程如下：

Step1：根據(jù)獲取的通信行為數(shù)據(jù)，構(gòu)造只包含正常行為樣本的訓(xùn)練數(shù)據(jù)集和包含兩類數(shù)據(jù)樣本的測試數(shù)據(jù)樣本集；

Step2：設(shè)定OCSVM訓(xùn)練模型的參數(shù)；

Step3：訓(xùn)練正常行為的檢測模型；

Step4：對測試數(shù)據(jù)樣本集進行檢測判別；

Step5：如果兩個通信行為的檢測率達到設(shè)定目標，則輸出OCSVM的入侵檢測判別函數(shù)，否則重新設(shè)定訓(xùn)練參數(shù)，并訓(xùn)練入侵檢測模型。

根據(jù)OCSVM分類算法的原理，可以解決工控網(wǎng)絡(luò)系統(tǒng)異常行為樣本少和難以獲取的問題。但是不同類型的攻擊行為數(shù)據(jù)，特別是新型異常攻擊，對實時增強入侵檢測系統(tǒng)的檢測能力非常重要。如果訓(xùn)練模型不利用已有的異常行為信息，對建立高效的通信行為檢測系統(tǒng)本身是一種缺陷。

3.3 加權(quán)SVM的入侵檢測方法

工控網(wǎng)絡(luò)通信行為具有數(shù)據(jù)樣本不平衡的特點，而標準的C-SVM算法在處理樣本類別差異較大的分類問題中，分類錯誤率偏向于小樣本數(shù)據(jù)；對OCSVM的分類算法只需利用正常行為數(shù)據(jù)樣本，但缺少對異常攻擊數(shù)據(jù)信息的利用。基于加權(quán)SVM的入侵檢測方法，通過對數(shù)據(jù)類和樣本的加權(quán)處理，減少數(shù)據(jù)樣本不平衡及數(shù)據(jù)噪聲對分類精度的影響[4]。加權(quán)SVM算法的入侵檢測建模過程如下：

Step1：根據(jù)實際的通信行為數(shù)據(jù)樣本，構(gòu)造相應(yīng)的訓(xùn)練和測試數(shù)據(jù)集；

Step2：設(shè)定算法的訓(xùn)練模型參數(shù)；

Step3：分析兩個數(shù)據(jù)樣本的規(guī)模和重要類型的數(shù)據(jù)樣本，并設(shè)定對不平衡數(shù)據(jù)類的加權(quán)參數(shù)和對重要樣本的加權(quán)參數(shù)；

Step4：訓(xùn)練加權(quán)SVM的入侵檢測模型；

Step5：對測試數(shù)據(jù)集進行檢測判別；

Step6：入侵檢測檢測結(jié)果符合系統(tǒng)設(shè)計要求，則獲得對通信行為的決策函數(shù)，否則修改訓(xùn)練模型和加權(quán)處理參數(shù)，進行新的模型訓(xùn)練。

在利用SVM算法的入侵檢測建模中，不僅要考慮對通信行為的檢測率，也要分析具體漏報率和誤報率。同時，由于工控網(wǎng)絡(luò)設(shè)備對通信實時性的要求，入侵檢測方法的應(yīng)用需要充分考慮檢測時間的指標，并對冗余的檢測數(shù)據(jù)信息進行處理，以適應(yīng)工控系統(tǒng)復(fù)雜環(huán)境的特點。

4.結(jié)束語

工業(yè)控制網(wǎng)絡(luò)的信息安全問題越來越多地引起到社會關(guān)注，與此同時，對工控通信行為入侵檢測方法的研究也將得到更大的發(fā)展。本文針對工業(yè)通信行為的入侵檢測，說明了通信行為的檢測特征提取方法，進一步的對標準C-SVM、OCSVM和加權(quán)SVM算法的入侵檢測建模進行介紹，以促進SVM算法在工控網(wǎng)絡(luò)入侵檢測中的應(yīng)用。

[1]彭勇,江長清,謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學(xué)學(xué)報(自然科學(xué)版),2012,52(4):1396-1408.

[2]譚愛平,陳浩,吳伯橋.基于SVM的網(wǎng)絡(luò)入侵檢測集成學(xué)習(xí)算法[J].計算機科學(xué),2014,41(2):197-200.

[3]張云貴,張偉,薛向榮,楊小軍.基于自學(xué)習(xí)半監(jiān)督單類支持向量機的SCADA入侵檢測系統(tǒng)[J].冶金自動化,2013,37(02):1-5.

[4]廖明.加權(quán)支持向量機若干算法的研究及其應(yīng)用[D].長沙:湖南大學(xué),2011.