田偉宏,李喜旺,司志堅(jiān),3

1(中國(guó)科學(xué)院大學(xué),北京 100049)

2(中國(guó)科學(xué)院 沈陽(yáng)計(jì)算技術(shù)研究所,沈陽(yáng) 110168)

3(國(guó)網(wǎng)遼寧省電力有限公司,沈陽(yáng) 110004)

在大力提倡“中國(guó)制造2025”,“工業(yè)4.0”的大背景下,我國(guó)工業(yè)得到了快速發(fā)展,并且隨著計(jì)算機(jī)技術(shù)在工控系統(tǒng)和工控網(wǎng)絡(luò)中的應(yīng)用,逐漸打破了傳統(tǒng)工控系統(tǒng)和網(wǎng)絡(luò)的封閉性,由于大多數(shù)工控網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)之初都沒(méi)有考慮到安全問(wèn)題,使得工控系統(tǒng)的網(wǎng)絡(luò)安全面臨著嚴(yán)峻的考驗(yàn)[1].例如2010年的“震網(wǎng)”病毒攻擊伊朗核設(shè)施,黑客滲透至工業(yè)內(nèi)網(wǎng)后,利用工業(yè)控制系統(tǒng)的安全漏洞,改變相關(guān)設(shè)施的運(yùn)行參數(shù),降低濃縮鈾的成品濃度,最終使得伊朗核工業(yè)陷入停滯;2015年的“Blackenergy”病毒造成了烏克蘭的大面積停電;2018年俄羅斯黑客入侵美國(guó)電網(wǎng);2019年委內(nèi)瑞拉全國(guó)大面積停電.從這些工控網(wǎng)絡(luò)安全事件可以看出,黑客已經(jīng)將觸角伸入到工業(yè)控制領(lǐng)域尤其是電網(wǎng),并且癱瘓對(duì)方的基礎(chǔ)設(shè)施也成為了國(guó)與國(guó)之間的對(duì)抗手段,工控網(wǎng)絡(luò)已經(jīng)成為了理想的攻擊目標(biāo).

1 工控網(wǎng)絡(luò)現(xiàn)狀

目前工控網(wǎng)絡(luò)的安全策略方法主要是邊界防護(hù),包括使用網(wǎng)閘、工業(yè)防火墻、邏輯隔離等手段[2],其主要特點(diǎn)是偏防御輕檢測(cè).如平臺(tái)硬件和軟件加固、關(guān)鍵應(yīng)用代碼審計(jì)等;強(qiáng)調(diào)集中監(jiān)控,依靠站內(nèi)審計(jì)系統(tǒng)等.主要不足之處表現(xiàn)為缺乏縱深防御,一旦突破邊界防護(hù)便很容易進(jìn)行進(jìn)一步的侵入.

工業(yè)控制系統(tǒng)(Industrial Control System,ICS)中,電力行業(yè)應(yīng)用最為廣泛,其中的變電站自動(dòng)化約占整個(gè)ICS 市場(chǎng)的40%.目前智能電網(wǎng)正在逐步取代傳統(tǒng)的電力網(wǎng)絡(luò),而智能變電站又是智能電網(wǎng)建設(shè)的重要環(huán)節(jié),是結(jié)合了比較先進(jìn)并且具有高可靠性的智能設(shè)備組成的智能化變電站,加強(qiáng)了變電站在無(wú)人值守、安全生產(chǎn)和遠(yuǎn)程監(jiān)控等方面的綜合管理水平.網(wǎng)絡(luò)和信息化技術(shù)的發(fā)展給電網(wǎng)的智能化提供了保障,然而更多的研究和應(yīng)用側(cè)重于信息化引入新功能的實(shí)現(xiàn),對(duì)信息化和網(wǎng)絡(luò)化背景下智能電網(wǎng)的安全性缺乏足夠的考慮,尤其是入侵檢測(cè)方面的安全[3,4].目前,建立有效的入侵檢測(cè)方案是一項(xiàng)巨大的知識(shí)工程任務(wù),系統(tǒng)構(gòu)建者依靠他們的直覺(jué)和經(jīng)驗(yàn)選擇異常檢測(cè)的統(tǒng)計(jì)度量標(biāo)準(zhǔn).專(zhuān)家首先分析和分類(lèi)工控網(wǎng)絡(luò)的攻擊場(chǎng)景和系統(tǒng)漏洞,并手動(dòng)編寫(xiě)相應(yīng)的規(guī)則和模式用于檢測(cè)入侵.由于開(kāi)發(fā)過(guò)程中的手動(dòng)性和臨時(shí)性,這種入侵檢測(cè)方案具有有限的可擴(kuò)展性和適應(yīng)性,并且方案的更新既昂貴又緩慢.

隨著機(jī)器學(xué)習(xí)的熱度不斷上升,學(xué)術(shù)界在網(wǎng)絡(luò)異常檢測(cè)方面也提出過(guò)很多方法,大致分為兩種,分別是傳統(tǒng)的機(jī)器學(xué)習(xí)方法和近幾年廣泛使用的深度學(xué)習(xí)方法.傳統(tǒng)機(jī)器學(xué)習(xí)領(lǐng)域中,具有代表性的方法有基于有監(jiān)督的例如SVM 的二分類(lèi)方法[5]和無(wú)監(jiān)督的例如KMeans 的聚類(lèi)方法[6].有監(jiān)督的方法例如SVM 在訓(xùn)練模型時(shí)需要每個(gè)樣本都有標(biāo)簽,用于區(qū)分樣本是否為攻擊行為,這種方法的局限性在于在工控網(wǎng)絡(luò)中很難得到攻擊類(lèi)型完整的數(shù)據(jù)集;無(wú)監(jiān)督的檢測(cè)方法以Kmeans 聚類(lèi)算法為例,通過(guò)聚類(lèi)算法來(lái)區(qū)分正常流量和異常流量.這種方法的局限性表現(xiàn)為模型的穩(wěn)定性不夠好,依賴(lài)訓(xùn)練數(shù)據(jù)集中正負(fù)樣本的均衡性.深度學(xué)習(xí)領(lǐng)域中具有代表性的方法有主題模型方法[7]和卷積神經(jīng)網(wǎng)絡(luò)方法[8],主題模型方法將數(shù)據(jù)包視為文檔的詞匯,將網(wǎng)絡(luò)異常行為視為文檔的主題,通過(guò)流量數(shù)據(jù)包的語(yǔ)義關(guān)系識(shí)別主題進(jìn)而識(shí)別出網(wǎng)絡(luò)異常,這種方法的局限性在于工控網(wǎng)絡(luò)應(yīng)用領(lǐng)域廣泛,流量數(shù)據(jù)包即“詞匯”也在源源不斷的更新中,很難學(xué)習(xí)到完整的語(yǔ)料庫(kù);卷積神經(jīng)網(wǎng)絡(luò)方法將流量特征值映射為灰度圖,使卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)大量的流量特征灰度圖,達(dá)到識(shí)別異常流量的目的,這種方法的優(yōu)點(diǎn)是識(shí)別準(zhǔn)確度高,但是由于需要大量的點(diǎn)積運(yùn)算,所以識(shí)別效率并不高.考慮到工控網(wǎng)絡(luò)周期性強(qiáng)和流量數(shù)據(jù)包在時(shí)間維度上存在序列關(guān)系這兩個(gè)特性,所以本文提出基于時(shí)序預(yù)測(cè)的異常檢測(cè)模型.在機(jī)器學(xué)習(xí)領(lǐng)域中,周期性的數(shù)據(jù)天然適合做時(shí)序預(yù)測(cè),并且當(dāng)數(shù)據(jù)存在序列關(guān)系時(shí),連接數(shù)據(jù)的時(shí)間動(dòng)態(tài)關(guān)系都比每個(gè)時(shí)間幀的內(nèi)容更重要.

本文以ICS 中的典型代表電力系統(tǒng)網(wǎng)絡(luò)作為研究對(duì)象,變電站自動(dòng)化以及調(diào)度自動(dòng)化使用IEC60870-5-104 遠(yuǎn)動(dòng)通信規(guī)約(Telecontrol equipment and systems-Part 5-104,IEC104)控制協(xié)議[9,10].通過(guò)對(duì)東北電力公司某子網(wǎng)的交換機(jī)進(jìn)行端口鏡像,采集一段時(shí)間內(nèi)的流量并進(jìn)行104 規(guī)約的解析,統(tǒng)計(jì)檢測(cè)流量的特征,包括從物理層到傳輸層的TCP/IP 協(xié)議內(nèi)容和應(yīng)用層的應(yīng)用規(guī)約控制信息(Applying Protocol Control Information,APCI)內(nèi)容.數(shù)據(jù)集采集完成后,本文采用在時(shí)序預(yù)測(cè)領(lǐng)域使用最廣泛且模型效果不錯(cuò)的長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)(Long-short Term Memory Network,LSTM)進(jìn)行流量時(shí)序預(yù)測(cè)并檢測(cè)異常流量.LSTM 是一種改進(jìn)之后的循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network,RNN),可以解決RNN 無(wú)法處理長(zhǎng)距離依賴(lài)的問(wèn)題和訓(xùn)練模型時(shí)梯度消失的問(wèn)題.考慮到網(wǎng)絡(luò)流量的派生屬性中存在時(shí)間流量屬性和機(jī)器流量屬性,其中機(jī)器流量屬性是為了識(shí)別某種攻擊,例如探測(cè)漏洞行為,需要考慮之前的若干個(gè)連接,所以使用LSTM可以更加全面和精準(zhǔn)的識(shí)別出由多個(gè)連續(xù)數(shù)據(jù)包發(fā)起攻擊引起的流量異?，F(xiàn)象.

2 LSTM 網(wǎng)絡(luò)模型設(shè)計(jì)

工控網(wǎng)絡(luò)尤其是電力系統(tǒng)的網(wǎng)絡(luò)使用場(chǎng)景單一,在網(wǎng)絡(luò)安全運(yùn)行的情況下,流量數(shù)據(jù)表現(xiàn)平穩(wěn),并且具有周期性,一旦網(wǎng)絡(luò)發(fā)生異常,流量就會(huì)產(chǎn)生較大的波動(dòng),具體表現(xiàn)為流量各個(gè)維度的數(shù)值相較于歷史數(shù)據(jù)發(fā)生突變,不再符合周期性的特點(diǎn).基于工控網(wǎng)絡(luò)流量平穩(wěn)和周期性強(qiáng)的特點(diǎn),本文提出使用LSTM 網(wǎng)絡(luò)模型對(duì)工控網(wǎng)絡(luò)的流量數(shù)據(jù)進(jìn)行時(shí)序預(yù)測(cè)[11-14],在網(wǎng)絡(luò)正常運(yùn)行的情況下,可以認(rèn)為模型的預(yù)測(cè)值為正常值,當(dāng)某一時(shí)刻的實(shí)際值偏離預(yù)測(cè)值較大,即認(rèn)為網(wǎng)絡(luò)出現(xiàn)異常.

2.1 異常流量檢測(cè)流程

檢測(cè)流程分為兩個(gè)階段,第一個(gè)階段是解析流量數(shù)據(jù)包構(gòu)建有效特征,第二個(gè)階段是LSTM 網(wǎng)絡(luò)模型的離線(xiàn)訓(xùn)練過(guò)程和在線(xiàn)檢測(cè)過(guò)程.第一階段在電力SCADA 系統(tǒng)中通過(guò)鏡像端口的方式采集通信流量,對(duì)采集到的數(shù)據(jù)包進(jìn)行深度包解析,針對(duì)104 規(guī)約數(shù)據(jù)包,除了要解析常規(guī)的源地址、目的地址、源端口、目的端口、標(biāo)志位和連接時(shí)間等基本信息,還要解析長(zhǎng)度為6 個(gè)字節(jié)的APCI,里面包含了控制電路的操作信息.對(duì)解析到的字段進(jìn)行整合并重新構(gòu)造出模型輸入需要的特征,除了采集流量構(gòu)造出的特征,構(gòu)建時(shí)序模型還需要加入滯后歷史特征,即模型需要用多長(zhǎng)時(shí)間的輸入去預(yù)測(cè)下一時(shí)刻的數(shù)值.第二階段在模型離線(xiàn)訓(xùn)練完成后,即可部署線(xiàn)上環(huán)境,對(duì)電力通信網(wǎng)絡(luò)進(jìn)行異常流量預(yù)測(cè)并實(shí)時(shí)報(bào)警.

2.2 特征構(gòu)造

如圖1所示,第一階段包含從流量中提取特征,并構(gòu)造有效特征兩部分,流量分為兩部分,第一部分是離線(xiàn)采集的流量,主要用于模型訓(xùn)練,第二部分是源源不斷的在線(xiàn)流量.從流量中解析出同TCP/IP 協(xié)議一樣的字段和104 規(guī)約中的APCI 字段.解析字段分為3 類(lèi),第一類(lèi)為9 個(gè)內(nèi)部屬性,這些屬性是從網(wǎng)絡(luò)數(shù)據(jù)包的頭部中提取得到,例如連接的持續(xù)時(shí)間(duration),連接的協(xié)議類(lèi)型(protocol_type),包含http、ftp、smtp 和telnet 等70 種網(wǎng)絡(luò)服務(wù)類(lèi)型(service)等;第二類(lèi)為內(nèi)容屬性,這些屬性是從網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容區(qū)域中提取,例如從應(yīng)用規(guī)約數(shù)據(jù)單元中提取的信息體、數(shù)據(jù)單元標(biāo)識(shí)和104 規(guī)約報(bào)文變長(zhǎng)幀中的APCI;第三類(lèi)為派生屬性,這些屬性的計(jì)算考慮了之前的連接,細(xì)分為時(shí)間流量屬性和機(jī)器流量屬性,時(shí)間流量屬性考慮過(guò)去2 秒內(nèi)發(fā)生的連接,例如到同一目標(biāo)IP 地址的點(diǎn)擊總和(count),到同一目標(biāo)端口號(hào)的連接總和(srv_count)等字段.對(duì)以上38 個(gè)字段構(gòu)建時(shí)間統(tǒng)計(jì)特征,構(gòu)建方法分為計(jì)數(shù)(count)、占比(percent)和均值(average),共構(gòu)造出12 個(gè)有效特征.例如“相同主機(jī)”特征,檢查過(guò)去2 秒內(nèi)與當(dāng)前連接具有相同目標(biāo)主機(jī)的連接,統(tǒng)計(jì)連接的數(shù)量,再計(jì)算與當(dāng)前連接具有相同服務(wù)的連接百分比、不同服務(wù)的百分比、SYN (泛洪)的百分比以及REJ(拒絕連接)的百分比.對(duì)于諸如報(bào)文內(nèi)部屬性中的網(wǎng)絡(luò)服務(wù)類(lèi)型等的非數(shù)值型特征,需要對(duì)其進(jìn)行獨(dú)熱編碼(one-hot)轉(zhuǎn)換為數(shù)值型特征用于模型的輸入.

圖1 異常流量檢測(cè)流程

2.3 模型訓(xùn)練

圖2中的第二階段為模型訓(xùn)練部分,分為離線(xiàn)訓(xùn)練和在線(xiàn)檢測(cè)兩部分,離線(xiàn)訓(xùn)練把構(gòu)造好的特征輸入到初始化的LSTM 網(wǎng)絡(luò)中進(jìn)行模型訓(xùn)練,訓(xùn)練好的預(yù)測(cè)模型輸入以相同方式構(gòu)造的特征樣本進(jìn)行異常流量檢測(cè),如果模型檢測(cè)到網(wǎng)絡(luò)中的流量異常則發(fā)出警報(bào).

3 LSTM 網(wǎng)絡(luò)結(jié)構(gòu)和參數(shù)更新

3.1 網(wǎng)絡(luò)整體結(jié)構(gòu)

LSTM 網(wǎng)絡(luò)結(jié)構(gòu)由RNN 加入門(mén)控機(jī)制改進(jìn)得到,RNN[15]能夠很好地處理不固定長(zhǎng)度并且有序的輸入序列.RNN 前向傳播過(guò)程如圖3所示,網(wǎng)絡(luò)參數(shù)權(quán)重的更新不僅僅依賴(lài)每一時(shí)刻t樣 本輸入xt對(duì)參數(shù)w的調(diào)整,而且依賴(lài)t時(shí)刻之前計(jì)算并保存的隱含狀態(tài)ht-1對(duì)參數(shù)的調(diào)整.與傳統(tǒng)的RNN 相比,LSTM[16]本質(zhì)上還是基于t時(shí)刻的輸入xt和t-1時(shí)刻的隱狀態(tài)ht-1來(lái)計(jì)算t時(shí)刻的輸出yt和t時(shí)刻的隱狀態(tài)ht.但是由于門(mén)控機(jī)制的加入,LSTM 網(wǎng)絡(luò)更適合處理長(zhǎng)依賴(lài)問(wèn)題,更加容易學(xué)習(xí)到工控網(wǎng)絡(luò)周期性的規(guī)律,并且容易識(shí)別由多個(gè)數(shù)據(jù)包共同作用引起的攻擊類(lèi)型.

圖2 特征構(gòu)造流程

圖3 RNN 前向傳播過(guò)程

本文提取數(shù)據(jù)包字段并構(gòu)造了12 個(gè)有效的時(shí)間統(tǒng)計(jì)特征,網(wǎng)絡(luò)模型在t時(shí)刻的結(jié)構(gòu)為一個(gè)簡(jiǎn)單的前饋神經(jīng)網(wǎng)絡(luò),整體的網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示,有N個(gè)前饋神經(jīng)網(wǎng)絡(luò)組成,不同時(shí)刻的前饋神經(jīng)網(wǎng)絡(luò)通過(guò)隱藏層神經(jīng)元傳遞依賴(lài)關(guān)系.每層的前饋神經(jīng)網(wǎng)絡(luò)分為3 層,分別是包含12 個(gè)神經(jīng)元節(jié)點(diǎn)的輸入層(Input Layer),含有64 個(gè)神經(jīng)元節(jié)點(diǎn)的隱藏層(Hidden Layer),含有12 個(gè)神經(jīng)元的輸出層(Output Layer),在訓(xùn)練過(guò)程中,前N個(gè)時(shí)刻的流量數(shù)據(jù)包用于預(yù)測(cè)N+1 時(shí)刻的流量統(tǒng)計(jì)值,即前N個(gè)時(shí)刻為樣本特征,第N+1 個(gè)時(shí)刻為樣本標(biāo)簽.

圖4 LSTM 神經(jīng)網(wǎng)絡(luò)時(shí)間展開(kāi)圖

3.2 參數(shù)更新過(guò)程

LSTM 網(wǎng)絡(luò)相比RNN 增加了存儲(chǔ)單元用來(lái)存儲(chǔ)長(zhǎng)期記憶,增加了輸入門(mén)用來(lái)記憶t時(shí)刻的輸入信息,新來(lái)一個(gè)樣本,并不會(huì)完全學(xué)習(xí)記憶其中的特征,而是自動(dòng)學(xué)習(xí)除其中有多少有用信息可以用于N+1 時(shí)刻的預(yù)測(cè).遺忘門(mén)用來(lái)選擇性的忘記過(guò)去的某些信息,起控制內(nèi)部信息的作用.輸出門(mén)起控制輸出信息的作用,3 個(gè)門(mén)控單元的加入讓LSTM 網(wǎng)絡(luò)在用梯度下降算法更新參數(shù)時(shí)不易于陷入梯度消失的問(wèn)題,3 個(gè)門(mén)的邏輯結(jié)構(gòu)如圖5所示.

圖5 LSTM 網(wǎng)絡(luò)門(mén)控機(jī)制

輸入門(mén)輸入15 分鐘以?xún)?nèi)180 個(gè)樣本的時(shí)間統(tǒng)計(jì)值,15 分鐘為滯后歷史特征數(shù)值,在訓(xùn)練過(guò)程中是一個(gè)超參數(shù),經(jīng)過(guò)多組訓(xùn)練實(shí)驗(yàn)得到最優(yōu)滯后歷史特征,對(duì)滯后歷史特征數(shù)值的選擇如表1所示,可以發(fā)現(xiàn),當(dāng)滯后歷史特征為15 分鐘時(shí),模型在驗(yàn)證集上的損失最低,表面用前15 分鐘的流量去預(yù)測(cè)下一時(shí)刻流量的時(shí)間統(tǒng)計(jì)特征最準(zhǔn)確,本文以5 s 為最小單位,在預(yù)測(cè)流量時(shí),預(yù)測(cè)下一時(shí)刻(5 s 內(nèi))的流量統(tǒng)計(jì)特性.網(wǎng)絡(luò)內(nèi)部輸入門(mén)的計(jì)算過(guò)程為

其中,σ為Sigmoid 激活函數(shù).遺忘門(mén)、輸出門(mén)和輸入門(mén)計(jì)算方式一樣,細(xì)胞狀態(tài)Ct用于長(zhǎng)期記憶,更新過(guò)程為:

隱狀態(tài)ht用于短期記憶,更新過(guò)程為:

其中,ot為輸出門(mén)的輸出,tanh 為雙曲正切激活函數(shù).

本文的隱藏層神經(jīng)節(jié)點(diǎn)有960 個(gè),網(wǎng)絡(luò)輸入的是一個(gè)三維向量[640,180,12],第一維batch_size 的含義是一次性將640 個(gè)樣本序列,輸入到網(wǎng)絡(luò)中進(jìn)行訓(xùn)練,使用梯度下降的方法完成一次誤差反向傳播和參數(shù)更新,第二維time_step 的含義是用前180 個(gè)樣本去預(yù)測(cè)下一時(shí)刻的流量值,第三維input_size 是單個(gè)樣本的維度.網(wǎng)絡(luò)的輸出是一個(gè)二維向量[640×180,12],第一維代表輸出(預(yù)測(cè))的時(shí)刻流量值,第二維代表單個(gè)樣本的維度.網(wǎng)絡(luò)的輸出為數(shù)值型數(shù)據(jù),所以損失函數(shù)采用均方誤差損失函數(shù)[17],定義為

其中,y為樣本標(biāo)簽,y′為模型預(yù)測(cè)值,輸出值為1×12 的向量,圖6為網(wǎng)絡(luò)輸出層的數(shù)據(jù)流圖,隱藏輸出為輸出層的輸入,經(jīng)過(guò)reshape 后和輸出層權(quán)重進(jìn)行點(diǎn)積運(yùn)算,加上偏置后得到115200 個(gè)樣本的預(yù)測(cè)值.

圖6 網(wǎng)絡(luò)輸出層數(shù)據(jù)流圖

4 實(shí)驗(yàn)設(shè)計(jì)與結(jié)果分析

本文訓(xùn)練模型所用的數(shù)據(jù)采集自東北電力公司某子網(wǎng),利用C++庫(kù)函數(shù)libpcap 對(duì)數(shù)據(jù)包進(jìn)行捕獲和深度解析,對(duì)捕獲到的數(shù)據(jù)包在時(shí)間維度上進(jìn)行整合,對(duì)時(shí)間間隔為5 s (慢速攻擊標(biāo)準(zhǔn))內(nèi)的流量報(bào)文構(gòu)造統(tǒng)計(jì)特征生成一個(gè)樣本,數(shù)據(jù)集的大小為4.26 GB,將數(shù)據(jù)集按照采集時(shí)間分為訓(xùn)練集和驗(yàn)證集,訓(xùn)練集和數(shù)據(jù)集的比例為70%:30%,由于時(shí)間序列的原因,劃分?jǐn)?shù)據(jù)集不能隨機(jī)打亂,而是按照采集流量的時(shí)間線(xiàn),把前70%的數(shù)據(jù)包劃分為訓(xùn)練集,后30%的數(shù)據(jù)包劃分為驗(yàn)證集,供模型訓(xùn)練和驗(yàn)證其有效性[18].

4.1 模型訓(xùn)練過(guò)程

模型訓(xùn)練過(guò)程中,網(wǎng)絡(luò)參數(shù)可以由訓(xùn)練得到,滯后歷史特征和隱藏層神經(jīng)節(jié)點(diǎn)個(gè)數(shù)兩個(gè)超參數(shù)通過(guò)網(wǎng)格調(diào)參的方式選取最優(yōu)組合,通過(guò)多輪訓(xùn)練的結(jié)果,如表1所示,可以發(fā)現(xiàn),最優(yōu)組合為滯后歷史特征的值為15 分鐘,隱藏層的神經(jīng)元節(jié)點(diǎn)數(shù)的值為960 個(gè).模型每更新500 次參數(shù)后計(jì)算一次訓(xùn)練誤差和驗(yàn)證誤差,在迭代到第19 輪時(shí),validation_loss (驗(yàn)證誤差)達(dá)到最小,在最優(yōu)組合的超參數(shù)下,模型在驗(yàn)證集上的準(zhǔn)確率可以達(dá)到97%,圖7為模型的validation_loss 下降過(guò)程,從圖7中可以看出,從第19 次迭代后,模型的validation_loss 不再下降.

圖7 訓(xùn)練和驗(yàn)證損失

4.2 實(shí)驗(yàn)結(jié)果對(duì)比

表2列舉出了多種主流算法對(duì)工控網(wǎng)絡(luò)異常流量的識(shí)別率、誤報(bào)率和識(shí)別效率,可以發(fā)現(xiàn),本文算法在識(shí)別率和識(shí)別效率均優(yōu)于半監(jiān)督的K-means 算法、單類(lèi)支持向量機(jī)(One Class Support Vector Machine,OCSVM)和BP 神經(jīng)網(wǎng)絡(luò),相比卷積神經(jīng)網(wǎng)絡(luò)方法,本文算法誤報(bào)率稍高,但是識(shí)別效率卻快了幾倍.總體而言,本文算法結(jié)合工控網(wǎng)絡(luò)周期性強(qiáng)和流量報(bào)文具有時(shí)序的特點(diǎn),使用LSTM 模型取得了較好的效果.

表2 各類(lèi)算法測(cè)試結(jié)果對(duì)比

5 總結(jié)

本文以工控網(wǎng)絡(luò)中的電力系統(tǒng)網(wǎng)絡(luò)為研究對(duì)象,使用LSTM 算法識(shí)別工控網(wǎng)絡(luò)流量異常,結(jié)合工控網(wǎng)絡(luò)場(chǎng)景相較單一和周期性的特點(diǎn),采集流量后對(duì)解析的數(shù)據(jù)包字段解析重構(gòu)時(shí)間統(tǒng)計(jì)特征,采用時(shí)序預(yù)測(cè)的方式識(shí)別流量異常,通過(guò)實(shí)驗(yàn)可以發(fā)現(xiàn),能有效識(shí)別出異于正常情況的網(wǎng)絡(luò)波動(dòng),由于提前預(yù)測(cè)出正常流量的特征值,算法在異常流量的識(shí)別效率上優(yōu)于傳統(tǒng)識(shí)別方法,有利于技術(shù)人員盡早發(fā)現(xiàn)異常做出相應(yīng)的安全防護(hù)措施,提高工控網(wǎng)絡(luò)在入侵檢測(cè)方面的安全性.本文提出的時(shí)序預(yù)測(cè)模型雖然在識(shí)別準(zhǔn)確率和識(shí)別效率相較其它算法有所提升,但是時(shí)序預(yù)測(cè)模型要求流量數(shù)據(jù)具有周期性這一特點(diǎn),并且模型的最終效果非常依賴(lài)訓(xùn)練前期的特征構(gòu)造,目前特征構(gòu)造中使用計(jì)數(shù)、百分比和均值統(tǒng)計(jì)指標(biāo),后續(xù)為了進(jìn)一步提高模型的識(shí)別率,降低模型的誤報(bào)率,會(huì)在特征構(gòu)造中加入其它的統(tǒng)計(jì)指標(biāo).