◆程 超 陳 梅 李治霖

基于置信規(guī)則庫的工業(yè)控制網(wǎng)絡(luò)入侵檢測

◆程 超 陳 梅 李治霖

（長春工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院 吉林 130012）

針對工業(yè)控制網(wǎng)絡(luò)易遭受惡意攻擊，本文提出了一種基于置信規(guī)則庫的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法。當(dāng)置信規(guī)則庫的前提屬性數(shù)目過多時(shí)，置信規(guī)則庫的規(guī)則條數(shù)呈指數(shù)級別增長，容易導(dǎo)致“組合爆炸”問題，本文提出利用線性組合方式構(gòu)建置信規(guī)則庫中的規(guī)則。本文還利用證據(jù)推理算法對置信規(guī)則庫中的置信規(guī)則進(jìn)行組合，并且優(yōu)化置信規(guī)則庫初始參數(shù)，提高了入侵檢測的精確度。

工業(yè)控制系統(tǒng)；置信規(guī)則庫；入侵檢測；證據(jù)推理

1 引言

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)水平不斷提高，工業(yè)控制領(lǐng)域正在利用計(jì)算機(jī)全自動化采集技術(shù)進(jìn)行數(shù)據(jù)采樣，產(chǎn)生實(shí)時(shí)數(shù)據(jù)供用戶監(jiān)控和調(diào)配，并向工廠管理者提供數(shù)據(jù)比對，方便其決策分析。這種智能化模式便于合理集中地處理分散的工控現(xiàn)場數(shù)據(jù)，但必須依賴可靠的網(wǎng)絡(luò)結(jié)構(gòu)。容易遭受黑客攻擊，造成工業(yè)控制系統(tǒng)癱瘓，因此提高工業(yè)控制網(wǎng)絡(luò)安全刻不容緩[1]。

常用工業(yè)控制網(wǎng)絡(luò)的入侵檢測方法有基于“白名單”規(guī)則的異常檢測方法，它通過對工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行規(guī)律學(xué)習(xí)，生成匹配規(guī)則，為入侵檢測系統(tǒng)基于規(guī)則匹配檢測異常提供理論和技術(shù)支撐。但該入侵檢測方法需要人工配置規(guī)則、缺乏自學(xué)能力功能等缺點(diǎn)，還有基于人工智能的工業(yè)控制網(wǎng)絡(luò)入侵檢測技術(shù)，它通過搜集大量異常工業(yè)控制網(wǎng)絡(luò)樣本數(shù)據(jù)，采用人工智能算法分析數(shù)據(jù)特點(diǎn)，通過報(bào)警關(guān)聯(lián)機(jī)制確認(rèn)、容忍機(jī)制等，降低誤報(bào)率、漏報(bào)率和檢測率。但實(shí)際很難獲得大量工業(yè)控制網(wǎng)絡(luò)異常數(shù)據(jù)。為了解決上述問題，本文提出基于證據(jù)推理算法的置信規(guī)則庫推理方法進(jìn)行工業(yè)控制網(wǎng)絡(luò)入侵檢測。

2 工業(yè)控制網(wǎng)絡(luò)入侵檢測相關(guān)研究

2.1 工業(yè)控制網(wǎng)絡(luò)入侵檢測方法

當(dāng)前，不斷有專家、學(xué)者對工業(yè)控制網(wǎng)絡(luò)入侵檢測方法進(jìn)行全方位的研究。其中，常用入侵檢測方法有基于支持向量機(jī)（SVM）的方法[2]和基于BP神經(jīng)網(wǎng)絡(luò)的方法[3-4]。支持SVM方法常用于入侵檢測，可以利用結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理進(jìn)行工業(yè)控制網(wǎng)絡(luò)入侵檢測。由于支持SVM只能區(qū)分兩種類型的工業(yè)控制網(wǎng)絡(luò)，因此還提出了組合支持SVM模型。BP神經(jīng)網(wǎng)絡(luò)使用經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化原理來檢測工業(yè)控制網(wǎng)絡(luò)入侵，但BP神經(jīng)網(wǎng)絡(luò)是一種黑盒模型，因此很難將專家知識整合到其學(xué)習(xí)過程中。

由于工業(yè)控制系統(tǒng)的復(fù)雜性和眾多因素，上述方法很大程度上取決于特定的樣本，在準(zhǔn)確數(shù)據(jù)樣本的入侵檢測中效果較好，但是在區(qū)分正常數(shù)據(jù)和異常數(shù)據(jù)方面卻表現(xiàn)不佳，而且這些方法都無法有效處理不確定的信息，但實(shí)際的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中則需要考慮不確定信息。綜上所述，上述方法無法有效地利用工業(yè)控制網(wǎng)絡(luò)中的所有不確定信息，包括專家知識和歷史數(shù)據(jù)。必須開發(fā)一種針對這些半定量數(shù)據(jù)檢測工業(yè)控制網(wǎng)絡(luò)安全性的方法。因此，本文提出基于置信規(guī)則庫的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法。

2.2 問題描述

本文所提出的基于置信規(guī)則庫的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法分為兩部分，第一部分是數(shù)據(jù)輸入，激活置信規(guī)則并計(jì)算相應(yīng)的激活權(quán)重。第二部分采用證據(jù)推理算法推斷激活規(guī)則并根據(jù)推斷結(jié)果判斷檢測是否正確。為了檢測不同類型的工業(yè)控制網(wǎng)絡(luò)安全威脅，必須解決兩個(gè)問題。

問題一：對于工業(yè)控制網(wǎng)絡(luò)入侵檢測，需要調(diào)整所建立的置信規(guī)則庫模型的規(guī)則庫策略。當(dāng)置信規(guī)則庫模型的前提屬性數(shù)目過多時(shí)，置信規(guī)則庫的規(guī)則條數(shù)呈指數(shù)級別增長，容易造成“組合爆炸”問題，降低入侵檢測效率。因此，需要解決前提屬性數(shù)目過多引起的組合爆炸問題。

問題二：在基于置信規(guī)則庫的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法中，需要根據(jù)專家知識和歷史信息設(shè)置初始參數(shù)。但由于專家知識具有有限性，初始參數(shù)是不完整的范圍量，使得初始值存在不準(zhǔn)確性。因此，需要通過優(yōu)化參數(shù)提高工業(yè)控制網(wǎng)絡(luò)的入侵檢測效率。

3 基于置信規(guī)則庫的工業(yè)控制網(wǎng)絡(luò)入侵檢測

（1）

步驟3：利用ER算法對BRB模型中所有規(guī)則進(jìn)行組合，可以得到BRB模型最終輸出的置信度為：

置信規(guī)則庫模型中規(guī)則權(quán)重、前提屬性權(quán)重和置信度等參數(shù)通常是由專家根據(jù)歷史信息和先驗(yàn)知識給定的，但當(dāng)工業(yè)控制系統(tǒng)比較復(fù)雜時(shí)，專家難以保證所給參數(shù)值的精確性，這將使得初始置信規(guī)則庫輸出的入侵檢測結(jié)果與實(shí)際的攻擊方式不一致。因此，為了提高工業(yè)控制網(wǎng)絡(luò)入侵檢測的準(zhǔn)確性，需要對初始置信規(guī)則庫進(jìn)行優(yōu)化，使得實(shí)際輸出結(jié)果與初始置信規(guī)則庫輸入結(jié)果之間的誤差最小。在初始置信規(guī)則庫中，規(guī)則權(quán)重、前提屬性權(quán)重和置信度需滿足如下的約束條件：

其次，建立優(yōu)化目標(biāo)函數(shù)，即:

4 案例分析

為了驗(yàn)證提出的置信規(guī)則庫模型的有效性和可靠性，本節(jié)以某燃?xì)夤I(yè)控制網(wǎng)絡(luò)為例，從數(shù)據(jù)集中共選取了2280個(gè)樣本數(shù)據(jù)，其中包含3種類別的攻擊：拒絕服務(wù)攻擊、指令注入攻擊、響應(yīng)注入攻擊。選取1900個(gè)數(shù)據(jù)作為訓(xùn)練集，380個(gè)數(shù)據(jù)作為測試集。經(jīng)過仿真實(shí)驗(yàn)得出本文方法的準(zhǔn)確率為97.8%，未經(jīng)優(yōu)化的置信規(guī)則庫方法的準(zhǔn)確率為87.6%。

5 結(jié)束語

本文提出了一種基于置信規(guī)則庫的工業(yè)控制網(wǎng)絡(luò)入侵檢測方法，該方法有效的將專家經(jīng)驗(yàn)與歷史數(shù)據(jù)相結(jié)合，并解決了由于前提屬性數(shù)目過多，置信規(guī)則庫的規(guī)則條數(shù)呈指數(shù)級增長所引發(fā)的“組合爆炸”問題，從而提高了模型的準(zhǔn)確性。本文還引入了證據(jù)推理算法對置信規(guī)則庫中的置信規(guī)則進(jìn)行組合，并優(yōu)化了置信規(guī)則庫的初始參數(shù)，提高了入侵檢測精度。

基于燃?xì)夤I(yè)控制網(wǎng)絡(luò)的入侵檢測研究表明，當(dāng)無法準(zhǔn)確建立數(shù)學(xué)模型和獲得大量工業(yè)控制網(wǎng)絡(luò)異常攻擊數(shù)據(jù)時(shí)，本文所提方法能夠較準(zhǔn)確地檢測出工業(yè)控制系統(tǒng)所面臨的威脅攻擊，對實(shí)際工程問題具有較高的適用性。

[1]姚羽，祝烈煌，武傳坤.工業(yè)控制網(wǎng)絡(luò)安全技術(shù)與實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2017.

[2]錢亞冠，盧紅波，紀(jì)守碩，等.一種針對基于SVM入侵檢測系統(tǒng)的毒性攻擊方法[J].電子學(xué)報(bào)，2019，47（1）：59-65.

[3]丁紅衛(wèi)，萬良，鄧烜堃.改進(jìn)的HS算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的入侵檢測研究[J].計(jì)算機(jī)工程與科學(xué)，2019，41（1）：65-72.

[4]朱亞東.基于粗糙集和SPSO的網(wǎng)絡(luò)入侵檢測方案[J].控制工程，2018，25（11）：2088-2101.

[5]周志杰，陳玉旺，胡昌華，等.證據(jù)推理、置信規(guī)則庫與復(fù)雜系統(tǒng)建模[M].北京：科學(xué)出版社，2017.

國家自然科學(xué)基金資助項(xiàng)目（61903047）；吉林省發(fā)改委資助項(xiàng)目（2019C040-3）