楊耀忠,段鴻杰,胥 林,王文蔚,史 進

(中國石油化工股份有限公司勝利油田分公司,山東 東營 257000)

0 引言

隨著工業(yè)生產(chǎn)的需求不斷加大,為實現(xiàn)工業(yè)與信息的持續(xù)融合,工業(yè)網(wǎng)絡(luò)應(yīng)運而生。但工業(yè)網(wǎng)絡(luò)中存在的數(shù)據(jù)信息常受到入侵威脅,會導致工業(yè)網(wǎng)絡(luò)環(huán)境受到較大損害[1-2]。工業(yè)網(wǎng)絡(luò)中的涉密信息需要有效的安全防護,以保障工業(yè)生產(chǎn)的持續(xù)發(fā)展。當前已有相關(guān)領(lǐng)域研究學者對信息安全防護方法進行研究。例如:李軍等[3]研究基于貝葉斯序貫博弈模型的智能電網(wǎng)信息物理安全;廖元媛等[4]研究基于貝葉斯推理的鐵路信號安全數(shù)據(jù)網(wǎng)信息安全動態(tài)風險評估。但以上方法在現(xiàn)階段無法有效控制多種攻擊的入侵,且在遭受入侵攻擊后缺少統(tǒng)一的特征衡量標準。

熵方法起初應(yīng)用于熱力學領(lǐng)域。隨著大量學者的不斷研究,熵方法的應(yīng)用領(lǐng)域不斷擴大,產(chǎn)生了經(jīng)濟熵、地理熵等。有學者將熵概念引入信息論中,產(chǎn)生了信息熵,并提出相關(guān)信息熵理論。通過相關(guān)信息熵,可以實現(xiàn)多個變量相關(guān)性的衡量。

基于此研究背景,本文研究了基于信息熵的工業(yè)網(wǎng)絡(luò)涉密信息安全防護策略。本文通過相關(guān)信息熵篩選工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征,并提高工業(yè)網(wǎng)絡(luò)信息安全性。本文利用K均值算法提取工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征,通過提取到的入侵數(shù)據(jù)特征實現(xiàn)工業(yè)網(wǎng)絡(luò)入侵檢測,以設(shè)計全面的安全防護機制。

1 工業(yè)網(wǎng)絡(luò)涉密信息安全防護策略

1.1 涉密信息安全防護機制功能分析

本文采用客戶機/服務(wù)器方式構(gòu)建工業(yè)網(wǎng)絡(luò)涉密信息安全防護機制。所構(gòu)建的安全防護機制具有以下功能。

①保障工業(yè)網(wǎng)絡(luò)涉密信息的安全性。客戶機對用戶訪問涉密信息的次數(shù)進行監(jiān)控,并統(tǒng)計用戶瀏覽信息的次數(shù)以及下載涉密信息文件的次數(shù)等[5-7]。

②保障用戶對涉密信息操作時的信息穩(wěn)定性。服務(wù)器全面分析工業(yè)網(wǎng)絡(luò)中的瀏覽器版本以及操作系統(tǒng)等性能,確保工業(yè)網(wǎng)絡(luò)穩(wěn)定。

③服務(wù)器保障用戶操作時的信息加密性。監(jiān)控用戶對工業(yè)網(wǎng)絡(luò)涉密信息的全部操作,并管理用戶的來源[8-9]。

④保障工業(yè)網(wǎng)絡(luò)涉密信息的防篡改性,以及用戶操作時的信息加密性?；谙嚓P(guān)信息熵與K均值算法實現(xiàn)對工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)的檢測,提取入侵數(shù)據(jù)的特征,及時做好入侵防護。

⑤保障工業(yè)網(wǎng)絡(luò)涉密信息傳輸過程的安全性。服務(wù)器分析多種形式網(wǎng)際互連協(xié)議(internet protocol,IP)網(wǎng)絡(luò)主機的存活性[10-11]。

通過上述分析,本文能夠明確工業(yè)網(wǎng)絡(luò)涉密信息安全防護機制的功能,為實現(xiàn)入侵數(shù)據(jù)安全特征選擇奠定理論基礎(chǔ)。

1.2 工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)安全特征選擇

本文利用相關(guān)信息熵對入侵數(shù)據(jù)進行特征選擇,全面分析工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征之間的關(guān)聯(lián)性,以及該特征與所屬類別的關(guān)聯(lián)性。相關(guān)信息熵屬于信息熵的1種優(yōu)化形式,通常應(yīng)用于多種數(shù)據(jù)融合領(lǐng)域,并完成多變量的相關(guān)性計算。

按照相關(guān)信息熵原理,本文設(shè)初始工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征集合為X={v1,v2,…,vn},并利用該集合表示n個工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)的多變量系統(tǒng)。所屬類別集合為L={l1,l2,…,lm},表示系統(tǒng)的時間序列。與其相應(yīng)的多變量時間矩陣的轉(zhuǎn)置通過F表示。

(1)

式中:Iij為與工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征相應(yīng)的時間點lj的互信息,其中每個元素均存在互信息。

同時,本文利用工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征描述系統(tǒng)變量,并利用所屬類別描述相應(yīng)時間序列。Iij為:

Iij=I(vi;lj)=H(vi)+H(lj)-H(vi,lj)

(2)

式中:vi為工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征。

本文通過規(guī)范化的形式對F進行操作,構(gòu)成規(guī)范化后的多變量時間矩陣P,并根據(jù)工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征與所屬類別的關(guān)聯(lián)情況設(shè)計相關(guān)矩陣。

(3)

本文設(shè)初始特征集合為X、當前完成排序的特征集合為S、還未排序的特征集合為X-S。本文從未排序的特征集合中獲取特征vi,添加至已排序的特征中,并設(shè)RS∪{vi}為相關(guān)矩陣。本文利用矩陣變換理論與信息論的計算方法,通過式(4)計算與S相應(yīng)的相關(guān)信息熵。

(4)

式中:λRS∪{vi}為添加vi后相關(guān)矩陣的特征值。

當工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征冗余性逐漸下降時,該特征與所屬類別的相關(guān)程度會逐漸上升,與之相應(yīng)的相關(guān)信息熵也會隨之增大。

本文通過2個部分實現(xiàn)相關(guān)信息熵的特征選擇。2個部分分別為特征排序與特征子集篩選。在特征排序中,通過互信息實現(xiàn)與已完成排序的特征相關(guān)信息熵的排序;在特征子集篩選中,利用標準支持向量機(standard-support vector machine,S-SVM)分類器,對衡量值進行計算,并篩選出與最大衡量值相應(yīng)的特征子集作為下一步應(yīng)用的特征子集。相關(guān)信息熵的特征選擇具體可通過以下步驟實現(xiàn)。

①設(shè)算法的輸入為所屬類別集合L、輸出為特征子集T。T與前k個特征構(gòu)成的子集f相對應(yīng)。

②初始化變量S,使其能夠用于保存已排序的特征集,S=?,T=?。

③利用式(2)計算Iij,并獲取F。

④規(guī)范化計算F,獲取P。

⑤利用式(3)計算出相關(guān)矩陣R。

⑥獲取互信息中的最大特征,并將該特征作為特征子集中的首個元素放置在S集合中。S(1)=argmax(Inm)。

⑦通過式(4)對HS∪{vi}進行計算。

⑧取出相關(guān)信息熵的最大特征,將其設(shè)為特征子集的最后元素,存放至S集合。S(j)=argmax(HS∪{vi})。

⑨對前k個特征構(gòu)成的f進行運算。

上述步驟分別實現(xiàn)初始化參數(shù)、工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征排序以及工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征子集篩選。經(jīng)過篩選后即可選擇工業(yè)網(wǎng)絡(luò)的入侵數(shù)據(jù)特征,以實現(xiàn)入侵數(shù)據(jù)的特征篩選。

1.3 基于K均值算法的入侵數(shù)據(jù)檢測

K均值聚類算法是1種應(yīng)用較廣的非監(jiān)督學習聚類算法。該算法通過抽取數(shù)據(jù)局部特征,可以提取空間維度上數(shù)據(jù)的特征。本文選取優(yōu)化K均值聚類算法,以實現(xiàn)工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)的特征提取。本文將上述過程中進行特征選擇后的樣本作為輸入數(shù)據(jù),將輸入數(shù)據(jù)輸入至K均值聚類算法中進行尋優(yōu)操作。入侵數(shù)據(jù)檢測具體算法步驟如下。

①從上述工業(yè)網(wǎng)絡(luò)入侵數(shù)據(jù)特征選擇后構(gòu)成的特征子集中隨機挑選1個數(shù)據(jù)點,并設(shè)該點為首個聚類簇中心c1。

②將現(xiàn)階段已選擇的聚類簇中心c1設(shè)為原點,對每個數(shù)據(jù)點到達該中心的最短歐式距離進行計算,并將其歸到最近的聚類簇中心的類中。下一次某個數(shù)據(jù)點為聚類簇中心的概率為:

(5)

式中:D(x)為歐式距離計算結(jié)果,m;x為某個數(shù)據(jù)點。

對全部數(shù)據(jù)點的概率進行劃分,通過隨機的形式制造0～1區(qū)間內(nèi)的數(shù)值。當該數(shù)值位于某個區(qū)間,則該區(qū)間序號相應(yīng)的數(shù)據(jù)點為再次出現(xiàn)的聚類簇中心。

③反復執(zhí)行步驟②,直至挑選得到h個聚類中心。

④對其他點到達各中心的歐式距離進行計算,并將分配給數(shù)據(jù)點距離最近的中心匯集成點簇。

(6)

式中:xak、xbk分別為第a、b條數(shù)據(jù)的第k個維度值;dab為2條數(shù)據(jù)間的歐式距離,m。

⑤依據(jù)式(6)計算得到的結(jié)果,對每個點簇內(nèi)全部點的均值進行計算。

(7)

⑥若再次挑選的點簇中心為上一次挑選出的中心,則完成迭代;若并非上一次挑選出的中心,則返回步驟④。在實際計算過程中,需通過式(8)設(shè)置迭代完成條件,以防止迭代計算次數(shù)增大。

(8)

式中:θ為設(shè)定數(shù)值較小的閾值;c為點簇中心構(gòu)成的集合。

當條件滿足后,算法迭代即完成。

通過K均值聚類算法,可以有效減少算法的迭代次數(shù),并提升算法計算效率,從而利用入侵數(shù)據(jù)的特征實現(xiàn)工業(yè)網(wǎng)絡(luò)入侵檢測。

2 試驗分析

本文將所提方法應(yīng)用至某DeviceNet工業(yè)網(wǎng)絡(luò)中,對該網(wǎng)絡(luò)內(nèi)的涉密信息進行防護,以驗證所提方法的有效性。試驗采用的網(wǎng)絡(luò)入侵檢測數(shù)據(jù)集為澳大利亞安全實驗室發(fā)布的UNSW-NB15數(shù)據(jù)集。該數(shù)據(jù)集共有1種正常數(shù)據(jù)和9種異常數(shù)據(jù)。9種異常數(shù)據(jù)分別為“蠕蟲攻擊”“主機入侵”“欺騙攻擊”“重放攻擊”“DoS攻擊”“篡改攻擊”“單源拒絕服務(wù)攻擊”“偽造源地址拒絕”和“多目標主機單端口攻擊”。本文將這9種異常數(shù)據(jù)作為工業(yè)網(wǎng)絡(luò)入侵檢測的攻擊類型。試驗平臺采用Windows10 i7-8700、16 GB內(nèi)存系統(tǒng),仿真軟件為MATLAB2021b。

2.1 信息熵分析

本文利用MATLAB源代碼,使用Python下的K均值函數(shù)設(shè)定平均碼長為3.4 bit、累加概率為0.16、碼元攜帶信息量為0.4 nbit、傳碼率為2 400 bit/s,以此完成N進制碼編制。本文設(shè)置N進制碼元為0,在工業(yè)網(wǎng)絡(luò)中注入攻擊,對涉密信息數(shù)據(jù)特征子集進行聚類。通過式(6)計算2條數(shù)據(jù)間的距離,以求取信源的異常熵值。源地址熵值變化分析如圖1所示。

圖1 源地址熵值變化分析Fig.1 Analysis of changes in entropy value of source address

由圖1可知,本文采用所提方法獲取7周時間內(nèi)的異常流量數(shù)據(jù),發(fā)現(xiàn)在第6周和第7周時源地址上的熵值增加。這說明所提方法能夠有效采集工業(yè)網(wǎng)絡(luò)中的異常流量數(shù)據(jù),為大規(guī)模網(wǎng)絡(luò)攻擊檢測提供數(shù)據(jù)支持。

2.2 攻擊檢測分析

本文對DeviceNet工業(yè)網(wǎng)絡(luò)進行多種不同種類的攻擊,并設(shè)計不同的攻擊次數(shù),以分析應(yīng)用所提方法后對攻擊檢測的命中率以及誤報次數(shù)。入侵檢測分析如表1所示。

表1 入侵檢測分析Tab.1 Analysis of intrusion detection

由表1可知,在不同網(wǎng)絡(luò)入侵類型下,所提方法都能有效實現(xiàn)攻擊防護,且攻擊檢測命中率均達到90%以上。同時,所提方法能夠有效降低誤報次數(shù),全部攻擊類型下的誤報次數(shù)均保持在10次以下,能夠為網(wǎng)絡(luò)提供精準的安全防護。這是因為所提方法利用相關(guān)信息熵對入侵數(shù)據(jù)進行特征選擇,經(jīng)過篩選后能夠選擇工業(yè)網(wǎng)絡(luò)的入侵數(shù)據(jù)特征。

2.3 通信帶寬分析

本文以文獻[3]方法、文獻[4]方法作為試驗對比方法,分析應(yīng)用所提方法前后在不同攻擊速率下工業(yè)網(wǎng)絡(luò)涉密信息傳輸時的通信帶寬變化情況。通信帶寬變化情況分析如圖2所示。

圖2 通信帶寬變化情況分析Fig.2 Analysis of communication bandwidth changes

由圖2可知,隨著攻擊速率的增長,工業(yè)網(wǎng)絡(luò)的通信帶寬存在一定的下降。在應(yīng)用文獻對比方法時,通信帶寬隨著攻擊速率的增加迅速下降,使涉密信息的傳輸存在一定困難。而應(yīng)用所提方法后,在攻擊速率持續(xù)加大的情況下通信帶寬僅有小幅度下降,且始終保持在80～100 Mbit/s之間。這說明應(yīng)用所提方法后,在涉密信息傳輸受到較大的攻擊時依然能有效保持通信帶寬的穩(wěn)定。

本文假設(shè)工業(yè)網(wǎng)絡(luò)涉密信息的通信帶寬始終為80 Mbit/s,并且在傳輸信息的第4 h時發(fā)生入侵攻擊。在這種情況下,本文分析應(yīng)用所提方法前后的通信帶寬變化情況。發(fā)生攻擊時通信帶寬變化情況如圖3所示。

圖3 發(fā)生攻擊時通信帶寬變化情況Fig.3 Changes of communication bandwidth when attack occurs

由圖3可知,當傳輸過程中第4 h出現(xiàn)入侵攻擊時,通信帶寬突然出現(xiàn)波動。在應(yīng)用文獻對比方法情況下,在突然出現(xiàn)入侵時,通信帶寬迅速下降。文獻[3]方法從80 Mbit/s下降至40 Mbit/s。文獻[4]方法從80 Mbit/s下降至42 Mbit/s。之后雖然帶寬有所上升,但在傳輸?shù)? h后仍然存在帶寬波動情況。而應(yīng)用所提方法后,發(fā)生入侵攻擊時帶寬僅小幅度波動,未對傳輸造成過大影響,且波動后迅速回歸至預(yù)設(shè)帶寬。因此,所提方法能夠有效保證涉密信息的傳輸安全。

2.4 攻擊速率分析

本文分析應(yīng)用所提方法后,在不同入侵檢測次數(shù)下對各種攻擊速率檢測的響應(yīng)時間。不同攻擊速率檢測響應(yīng)時間如圖4所示。

圖4 不同攻擊速率檢測響應(yīng)時間Fig.4 Different attack rate detection response times

由圖4可知,在不同入侵檢測次數(shù)下,不同攻擊速率的響應(yīng)時間僅存在小幅度差距。當處于0.1 Mbit/s的攻擊速率時,所提方法能夠快速實現(xiàn)入侵檢測,響應(yīng)時間基本保持在2 s左右。當攻擊速率為1 Mbit/s時,檢測的響應(yīng)時間在3 s左右。而當攻擊速率達到10 Mbit/s時,雖檢測的響應(yīng)時間有所增加,但依然保持在8 s以下。這說明應(yīng)用所提方法能夠快速實現(xiàn)入侵的檢測,可以實時防護工業(yè)網(wǎng)絡(luò)涉密信息安全。

3 結(jié)論

本文研究基于信息熵的工業(yè)網(wǎng)絡(luò)涉密信息安全防護策略。該策略經(jīng)涉密信息安全防護機制的全方位構(gòu)建,利用入侵數(shù)據(jù)的特征實現(xiàn)工業(yè)網(wǎng)絡(luò)入侵檢測和工業(yè)網(wǎng)絡(luò)涉密信息的安全防護。通過試驗分析,該策略可具體實現(xiàn)以下功能。首先,該策略可以有效提高工業(yè)網(wǎng)絡(luò)入侵檢測的能力,對多種攻擊檢測的誤報情況進行優(yōu)化,并提升預(yù)測命中率。其次,當工業(yè)網(wǎng)絡(luò)遭到較大攻擊速率的攻擊時,該策略可保障涉密信息傳輸?shù)耐ㄐ艓挿€(wěn)定,并保證攻擊發(fā)生后通信帶寬能夠迅速恢復到初始狀態(tài)。最后,該策略提高了工業(yè)網(wǎng)絡(luò)入侵檢測的響應(yīng)時間,保障不同攻擊速率下均能夠?qū)崿F(xiàn)迅速檢測。

后續(xù)研究可對當前成果繼續(xù)優(yōu)化,以加深對多類型網(wǎng)絡(luò)信息的安全防護,使信息得到有效保障。