李偉宏，宋 坤

（1.國(guó)家能源集團(tuán)雁寶能源雁南煤礦，內(nèi)蒙古 呼倫貝爾 021122；2.大雁礦業(yè)集團(tuán)有限責(zé)任公司，內(nèi)蒙古 呼倫貝爾 021122）

0 引 言

智能礦井工控網(wǎng)絡(luò)的穩(wěn)定運(yùn)行對(duì)礦井工程開發(fā)建設(shè)具有至關(guān)重要的意義。從廣義角度分析，智能礦井工控網(wǎng)絡(luò)是建設(shè)礦井工程智能化系統(tǒng)的核心基礎(chǔ)，具有全面感知、分析決策、自主學(xué)習(xí)、礦井動(dòng)態(tài)預(yù)測(cè)、協(xié)同控制以及實(shí)時(shí)互聯(lián)等功能，是保證智能礦井安全生產(chǎn)的基礎(chǔ)[1]。在當(dāng)前信息技術(shù)和網(wǎng)絡(luò)技術(shù)高速發(fā)展的趨勢(shì)下，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒以及網(wǎng)絡(luò)入侵威脅逐漸增多，工控網(wǎng)絡(luò)安全問題日益突出[2]。一旦智能礦井工控網(wǎng)絡(luò)遭受入侵攻擊，就會(huì)對(duì)礦井的安全生產(chǎn)與運(yùn)行造成巨大危害，威脅礦井生產(chǎn)人員的生命安全[3]?；诖耍O(shè)計(jì)科學(xué)合理的智能礦井工控網(wǎng)絡(luò)入侵防御方法至關(guān)重要。

現(xiàn)階段，傳統(tǒng)的網(wǎng)絡(luò)入侵防御方法日益成熟，能夠防御多種類型的網(wǎng)絡(luò)入侵攻擊[4]。然而，智能礦井工控網(wǎng)絡(luò)運(yùn)行流程復(fù)雜，網(wǎng)絡(luò)安全防護(hù)規(guī)模龐大，傳統(tǒng)的防御方法在實(shí)際應(yīng)用過程中存在一定不足，主要體現(xiàn)在防御響應(yīng)時(shí)間較長(zhǎng)、防御誤報(bào)率較高、無法快速準(zhǔn)確地防御各類網(wǎng)絡(luò)入侵攻擊等[5]。支持向量機(jī)能夠改善這一問題，有效解決小樣本、非線性模式識(shí)別中存在的細(xì)節(jié)問題，高精度地分析與識(shí)別數(shù)據(jù)[6]。基于此，在傳統(tǒng)網(wǎng)絡(luò)入侵防御方法的基礎(chǔ)上引入支持向量機(jī)，開展基于支持向量機(jī)的智能礦井工控網(wǎng)絡(luò)入侵防御方法研究。

1 智能礦井工控網(wǎng)絡(luò)入侵防御方法

1.1 入侵?jǐn)?shù)據(jù)集預(yù)處理

對(duì)入侵?jǐn)?shù)據(jù)集進(jìn)行預(yù)處理，為后續(xù)的入侵防御提供基礎(chǔ)數(shù)據(jù)支持。網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集預(yù)處理的主要目的在于提高后續(xù)網(wǎng)絡(luò)防御訓(xùn)練和學(xué)習(xí)的質(zhì)量，從源頭降低防御所需的成本，減少防御處理時(shí)間[7]。文章設(shè)計(jì)的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集預(yù)處理以數(shù)值化處理為主，即對(duì)部分字符型數(shù)據(jù)進(jìn)行數(shù)值轉(zhuǎn)換。在智能礦井工控網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集中，需要進(jìn)行數(shù)值化處理的包括3 類特征和1 個(gè)標(biāo)簽。數(shù)值化處理特征說明如表1 所示。

表1 網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集數(shù)值化處理特征說明

1.2 智能礦井工控網(wǎng)絡(luò)入侵檢測(cè)

完成智能礦井工控網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集預(yù)處理后，需要對(duì)工控網(wǎng)絡(luò)入侵進(jìn)行全方位檢測(cè)。文章設(shè)計(jì)的智能礦井工控網(wǎng)絡(luò)入侵檢測(cè)框架如圖1 所示。

圖1 智能礦井工控網(wǎng)絡(luò)入侵檢測(cè)框架

收集網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)并完成數(shù)據(jù)預(yù)處理后，將數(shù)據(jù)集劃分為測(cè)試集與訓(xùn)練集。其中，訓(xùn)練集主要用于網(wǎng)絡(luò)入侵檢測(cè)訓(xùn)練，而測(cè)試集主要用于網(wǎng)絡(luò)入侵檢測(cè)驗(yàn)證[8]。分別建立機(jī)器學(xué)習(xí)模型與網(wǎng)絡(luò)入侵檢測(cè)模型，從有標(biāo)簽的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中分析局部特征，提取其中有意義的數(shù)據(jù)，再?gòu)臒o標(biāo)簽數(shù)據(jù)中找出網(wǎng)絡(luò)入侵的整體特征，通過模型的共同作用獲取網(wǎng)絡(luò)入侵檢測(cè)結(jié)果。

1.3 基于支持向量機(jī)的工控網(wǎng)絡(luò)入侵防御

在工控網(wǎng)絡(luò)入侵檢測(cè)完畢后，利用支持向量機(jī)對(duì)智能礦井工控網(wǎng)絡(luò)進(jìn)行多維度的入侵防御，維護(hù)網(wǎng)絡(luò)安全。根據(jù)智能礦井工控網(wǎng)絡(luò)的運(yùn)行特征，給定一個(gè)線性可分的數(shù)據(jù)集，將網(wǎng)絡(luò)入侵線性數(shù)據(jù)樣本設(shè)置為分類超平面，設(shè)定分類超平面的軟間隔[9]?；谥С窒蛄繖C(jī)理論，建立分類超平面線性方程?；诰€性方程尋找最優(yōu)超平面，建立工控網(wǎng)絡(luò)安全通信信道，丟棄攻擊數(shù)據(jù)包，終止工控網(wǎng)絡(luò)會(huì)話。在智能礦井工控網(wǎng)絡(luò)中增加主動(dòng)防御響應(yīng)功能，一旦發(fā)現(xiàn)任何入侵攻擊行為，立即響應(yīng)，并主動(dòng)切斷工控網(wǎng)絡(luò)連接。修改防火墻策略，生成網(wǎng)絡(luò)警報(bào)，并記錄日志。在此基礎(chǔ)上，對(duì)智能礦井工控網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)關(guān)聯(lián)與分析，捕獲數(shù)據(jù)流。根據(jù)數(shù)據(jù)流結(jié)果，采取相應(yīng)的行動(dòng)，阻止可能對(duì)工控網(wǎng)絡(luò)造成威脅與攻擊的各類入侵，全方位、多維度地實(shí)現(xiàn)智能礦井工控網(wǎng)絡(luò)入侵防御的目標(biāo)，保證工控網(wǎng)絡(luò)運(yùn)行的可靠性與安全性。

2 實(shí)驗(yàn)分析

2.1 實(shí)驗(yàn)前期準(zhǔn)備

為了避免后續(xù)應(yīng)用過程中出現(xiàn)異常問題，對(duì)智能礦井工控網(wǎng)絡(luò)的運(yùn)行造成不良影響，在投入使用前，需要對(duì)提出的網(wǎng)絡(luò)入侵防御方法的可行性及防御效果進(jìn)行多維度測(cè)試，并將入侵防御實(shí)驗(yàn)結(jié)果與其他方法的防御實(shí)驗(yàn)結(jié)果進(jìn)行對(duì)比。

實(shí)驗(yàn)使用的數(shù)據(jù)集為某實(shí)驗(yàn)室建立的工控網(wǎng)絡(luò)入侵檢測(cè)標(biāo)準(zhǔn)數(shù)據(jù)集，數(shù)據(jù)來源為智能礦井?dāng)?shù)據(jù)采集 與 監(jiān) 視（Supervisory Control And Data Acquisition，SCADA）控制系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)。數(shù)據(jù)集中，每條數(shù)據(jù)均由26 個(gè)特征量和1 個(gè)標(biāo)簽值組成。其中，特征量包括數(shù)據(jù)地址碼、響應(yīng)恢復(fù)、控制量信息以及功能碼信息等。實(shí)驗(yàn)選取數(shù)據(jù)集的入侵攻擊類型描述如表2 所示。

表2 數(shù)據(jù)集入侵攻擊類型描述

對(duì)上述數(shù)據(jù)集入侵攻擊類型對(duì)應(yīng)的特征量進(jìn)行離散處理，歸一化處理其中連續(xù)混合的數(shù)值，并將數(shù)據(jù)規(guī)范到[0,1]區(qū)間內(nèi)。在此基礎(chǔ)上，搭建此次實(shí)驗(yàn)測(cè)試的運(yùn)行平臺(tái)，開展智能礦井工控網(wǎng)絡(luò)入侵防御實(shí)驗(yàn)，檢驗(yàn)防御方法的可行性。

2.2 結(jié)果分析

此次實(shí)驗(yàn)中，為了增強(qiáng)測(cè)試結(jié)果的說服力，引入對(duì)比分析的實(shí)驗(yàn)方法。將文章提出的基于支持向量機(jī)的智能礦井工控網(wǎng)絡(luò)入侵防御方法設(shè)置為實(shí)驗(yàn)組，將文獻(xiàn)[1]提出的基于邊緣樣本的網(wǎng)絡(luò)防御方法設(shè)置為對(duì)照組A，將文獻(xiàn)[2]提出的基于滲透測(cè)試的網(wǎng)絡(luò)防御方法設(shè)置為對(duì)照組B，分別對(duì)3 種方法的智能礦井工控網(wǎng)絡(luò)入侵防御效果進(jìn)行客觀對(duì)比分析。選取智能礦井工控網(wǎng)絡(luò)入侵防御誤報(bào)率作為此次實(shí)驗(yàn)測(cè)試的評(píng)價(jià)指標(biāo)，其計(jì)算表達(dá)式為

式中：P表示工控網(wǎng)絡(luò)入侵防御誤報(bào)率；Qa表示誤檢為其他類型的工控網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)；Q表示實(shí)驗(yàn)數(shù)據(jù)集容量。

設(shè)定網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)量分別為200 MB、400 MB、600 MB、800 MB、1 000 MB 以及1 200 MB，在數(shù)據(jù)量逐級(jí)增多的情況下，利用MATLAB 模擬分析軟件模擬3 種方法的網(wǎng)絡(luò)入侵防御流程。計(jì)算3 種方法對(duì)應(yīng)的工控網(wǎng)絡(luò)入侵防御誤報(bào)率，結(jié)果如圖2 所示。

圖2 不同方法的網(wǎng)絡(luò)入侵防御誤報(bào)率對(duì)比

根據(jù)圖2，文章提出的基于支持向量機(jī)的智能礦井工控網(wǎng)絡(luò)入侵防御方法應(yīng)用后，在數(shù)據(jù)量逐級(jí)增多的情況下，網(wǎng)絡(luò)入侵防御誤報(bào)率始終低于另外2 種方法，并未隨著數(shù)據(jù)量的增多而出現(xiàn)大幅上升趨勢(shì)。對(duì)照組A 和對(duì)照組B 的方法應(yīng)用后，網(wǎng)絡(luò)入侵防御誤報(bào)率明顯較高。由此可知，文章提出的基于支持向量機(jī)的智能礦井工控網(wǎng)絡(luò)入侵防御方法具有較高的可行性，能夠有效防御各種類型的網(wǎng)絡(luò)入侵攻擊，可以投入實(shí)際礦井工控網(wǎng)絡(luò)中使用。

3 結(jié) 論

為了改善傳統(tǒng)礦井工控網(wǎng)絡(luò)入侵防御方法在實(shí)際應(yīng)用中的防御周期長(zhǎng)、防御響應(yīng)速度慢等問題，引入支持向量機(jī)，提出智能礦井工控網(wǎng)絡(luò)入侵防御方法的深入研究。該方法打破了網(wǎng)絡(luò)入侵防御對(duì)環(huán)境條件的制約，優(yōu)化了網(wǎng)絡(luò)安全防御措施的防護(hù)效果，能夠在短時(shí)間內(nèi)快速防御智能礦井工控網(wǎng)絡(luò)多樣化、復(fù)雜化的入侵攻擊。從工控網(wǎng)絡(luò)節(jié)能需求與安全需求出發(fā)，基于支持向量機(jī)的智能礦井工控網(wǎng)絡(luò)入侵防御方法解決了智能礦井工控網(wǎng)絡(luò)入侵檢測(cè)及防御效率較低的問題，全面提高了網(wǎng)絡(luò)防御抗干擾能力，具有良好的發(fā)展前景。