◆程 超 陳 梅 李治霖

基于置信規(guī)則庫(kù)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)

◆程 超 陳 梅 李治霖

（長(zhǎng)春工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院 吉林 130012）

針對(duì)工業(yè)控制網(wǎng)絡(luò)易遭受惡意攻擊，本文提出了一種基于置信規(guī)則庫(kù)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法。當(dāng)置信規(guī)則庫(kù)的前提屬性數(shù)目過(guò)多時(shí)，置信規(guī)則庫(kù)的規(guī)則條數(shù)呈指數(shù)級(jí)別增長(zhǎng)，容易導(dǎo)致“組合爆炸”問(wèn)題，本文提出利用線性組合方式構(gòu)建置信規(guī)則庫(kù)中的規(guī)則。本文還利用證據(jù)推理算法對(duì)置信規(guī)則庫(kù)中的置信規(guī)則進(jìn)行組合，并且優(yōu)化置信規(guī)則庫(kù)初始參數(shù)，提高了入侵檢測(cè)的精確度。

工業(yè)控制系統(tǒng)；置信規(guī)則庫(kù)；入侵檢測(cè)；證據(jù)推理

1 引言

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)水平不斷提高，工業(yè)控制領(lǐng)域正在利用計(jì)算機(jī)全自動(dòng)化采集技術(shù)進(jìn)行數(shù)據(jù)采樣，產(chǎn)生實(shí)時(shí)數(shù)據(jù)供用戶監(jiān)控和調(diào)配，并向工廠管理者提供數(shù)據(jù)比對(duì)，方便其決策分析。這種智能化模式便于合理集中地處理分散的工控現(xiàn)場(chǎng)數(shù)據(jù)，但必須依賴可靠的網(wǎng)絡(luò)結(jié)構(gòu)。容易遭受黑客攻擊，造成工業(yè)控制系統(tǒng)癱瘓，因此提高工業(yè)控制網(wǎng)絡(luò)安全刻不容緩[1]。

常用工業(yè)控制網(wǎng)絡(luò)的入侵檢測(cè)方法有基于“白名單”規(guī)則的異常檢測(cè)方法，它通過(guò)對(duì)工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行規(guī)律學(xué)習(xí)，生成匹配規(guī)則，為入侵檢測(cè)系統(tǒng)基于規(guī)則匹配檢測(cè)異常提供理論和技術(shù)支撐。但該入侵檢測(cè)方法需要人工配置規(guī)則、缺乏自學(xué)能力功能等缺點(diǎn)，還有基于人工智能的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，它通過(guò)搜集大量異常工業(yè)控制網(wǎng)絡(luò)樣本數(shù)據(jù)，采用人工智能算法分析數(shù)據(jù)特點(diǎn)，通過(guò)報(bào)警關(guān)聯(lián)機(jī)制確認(rèn)、容忍機(jī)制等，降低誤報(bào)率、漏報(bào)率和檢測(cè)率。但實(shí)際很難獲得大量工業(yè)控制網(wǎng)絡(luò)異常數(shù)據(jù)。為了解決上述問(wèn)題，本文提出基于證據(jù)推理算法的置信規(guī)則庫(kù)推理方法進(jìn)行工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)。

2 工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)相關(guān)研究

2.1 工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法

當(dāng)前，不斷有專家、學(xué)者對(duì)工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法進(jìn)行全方位的研究。其中，常用入侵檢測(cè)方法有基于支持向量機(jī)（SVM）的方法[2]和基于BP神經(jīng)網(wǎng)絡(luò)的方法[3-4]。支持SVM方法常用于入侵檢測(cè)，可以利用結(jié)構(gòu)風(fēng)險(xiǎn)最小化原理進(jìn)行工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)。由于支持SVM只能區(qū)分兩種類型的工業(yè)控制網(wǎng)絡(luò)，因此還提出了組合支持SVM模型。BP神經(jīng)網(wǎng)絡(luò)使用經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化原理來(lái)檢測(cè)工業(yè)控制網(wǎng)絡(luò)入侵，但BP神經(jīng)網(wǎng)絡(luò)是一種黑盒模型，因此很難將專家知識(shí)整合到其學(xué)習(xí)過(guò)程中。

由于工業(yè)控制系統(tǒng)的復(fù)雜性和眾多因素，上述方法很大程度上取決于特定的樣本，在準(zhǔn)確數(shù)據(jù)樣本的入侵檢測(cè)中效果較好，但是在區(qū)分正常數(shù)據(jù)和異常數(shù)據(jù)方面卻表現(xiàn)不佳，而且這些方法都無(wú)法有效處理不確定的信息，但實(shí)際的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中則需要考慮不確定信息。綜上所述，上述方法無(wú)法有效地利用工業(yè)控制網(wǎng)絡(luò)中的所有不確定信息，包括專家知識(shí)和歷史數(shù)據(jù)。必須開發(fā)一種針對(duì)這些半定量數(shù)據(jù)檢測(cè)工業(yè)控制網(wǎng)絡(luò)安全性的方法。因此，本文提出基于置信規(guī)則庫(kù)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法。

2.2 問(wèn)題描述

本文所提出的基于置信規(guī)則庫(kù)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法分為兩部分，第一部分是數(shù)據(jù)輸入，激活置信規(guī)則并計(jì)算相應(yīng)的激活權(quán)重。第二部分采用證據(jù)推理算法推斷激活規(guī)則并根據(jù)推斷結(jié)果判斷檢測(cè)是否正確。為了檢測(cè)不同類型的工業(yè)控制網(wǎng)絡(luò)安全威脅，必須解決兩個(gè)問(wèn)題。

問(wèn)題一：對(duì)于工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)，需要調(diào)整所建立的置信規(guī)則庫(kù)模型的規(guī)則庫(kù)策略。當(dāng)置信規(guī)則庫(kù)模型的前提屬性數(shù)目過(guò)多時(shí)，置信規(guī)則庫(kù)的規(guī)則條數(shù)呈指數(shù)級(jí)別增長(zhǎng)，容易造成“組合爆炸”問(wèn)題，降低入侵檢測(cè)效率。因此，需要解決前提屬性數(shù)目過(guò)多引起的組合爆炸問(wèn)題。

問(wèn)題二：在基于置信規(guī)則庫(kù)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法中，需要根據(jù)專家知識(shí)和歷史信息設(shè)置初始參數(shù)。但由于專家知識(shí)具有有限性，初始參數(shù)是不完整的范圍量，使得初始值存在不準(zhǔn)確性。因此，需要通過(guò)優(yōu)化參數(shù)提高工業(yè)控制網(wǎng)絡(luò)的入侵檢測(cè)效率。

3 基于置信規(guī)則庫(kù)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)

（1）

步驟3：利用ER算法對(duì)BRB模型中所有規(guī)則進(jìn)行組合，可以得到BRB模型最終輸出的置信度為：

置信規(guī)則庫(kù)模型中規(guī)則權(quán)重、前提屬性權(quán)重和置信度等參數(shù)通常是由專家根據(jù)歷史信息和先驗(yàn)知識(shí)給定的，但當(dāng)工業(yè)控制系統(tǒng)比較復(fù)雜時(shí)，專家難以保證所給參數(shù)值的精確性，這將使得初始置信規(guī)則庫(kù)輸出的入侵檢測(cè)結(jié)果與實(shí)際的攻擊方式不一致。因此，為了提高工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確性，需要對(duì)初始置信規(guī)則庫(kù)進(jìn)行優(yōu)化，使得實(shí)際輸出結(jié)果與初始置信規(guī)則庫(kù)輸入結(jié)果之間的誤差最小。在初始置信規(guī)則庫(kù)中，規(guī)則權(quán)重、前提屬性權(quán)重和置信度需滿足如下的約束條件：

其次，建立優(yōu)化目標(biāo)函數(shù)，即:

4 案例分析

為了驗(yàn)證提出的置信規(guī)則庫(kù)模型的有效性和可靠性，本節(jié)以某燃?xì)夤I(yè)控制網(wǎng)絡(luò)為例，從數(shù)據(jù)集中共選取了2280個(gè)樣本數(shù)據(jù)，其中包含3種類別的攻擊：拒絕服務(wù)攻擊、指令注入攻擊、響應(yīng)注入攻擊。選取1900個(gè)數(shù)據(jù)作為訓(xùn)練集，380個(gè)數(shù)據(jù)作為測(cè)試集。經(jīng)過(guò)仿真實(shí)驗(yàn)得出本文方法的準(zhǔn)確率為97.8%，未經(jīng)優(yōu)化的置信規(guī)則庫(kù)方法的準(zhǔn)確率為87.6%。

5 結(jié)束語(yǔ)

本文提出了一種基于置信規(guī)則庫(kù)的工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)方法，該方法有效的將專家經(jīng)驗(yàn)與歷史數(shù)據(jù)相結(jié)合，并解決了由于前提屬性數(shù)目過(guò)多，置信規(guī)則庫(kù)的規(guī)則條數(shù)呈指數(shù)級(jí)增長(zhǎng)所引發(fā)的“組合爆炸”問(wèn)題，從而提高了模型的準(zhǔn)確性。本文還引入了證據(jù)推理算法對(duì)置信規(guī)則庫(kù)中的置信規(guī)則進(jìn)行組合，并優(yōu)化了置信規(guī)則庫(kù)的初始參數(shù)，提高了入侵檢測(cè)精度。

基于燃?xì)夤I(yè)控制網(wǎng)絡(luò)的入侵檢測(cè)研究表明，當(dāng)無(wú)法準(zhǔn)確建立數(shù)學(xué)模型和獲得大量工業(yè)控制網(wǎng)絡(luò)異常攻擊數(shù)據(jù)時(shí)，本文所提方法能夠較準(zhǔn)確地檢測(cè)出工業(yè)控制系統(tǒng)所面臨的威脅攻擊，對(duì)實(shí)際工程問(wèn)題具有較高的適用性。

[1]姚羽，祝烈煌，武傳坤.工業(yè)控制網(wǎng)絡(luò)安全技術(shù)與實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2017.

[2]錢亞冠，盧紅波，紀(jì)守碩，等.一種針對(duì)基于SVM入侵檢測(cè)系統(tǒng)的毒性攻擊方法[J].電子學(xué)報(bào)，2019，47（1）：59-65.

[3]丁紅衛(wèi)，萬(wàn)良，鄧烜堃.改進(jìn)的HS算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)研究[J].計(jì)算機(jī)工程與科學(xué)，2019，41（1）：65-72.

[4]朱亞?wèn)|.基于粗糙集和SPSO的網(wǎng)絡(luò)入侵檢測(cè)方案[J].控制工程，2018，25（11）：2088-2101.

[5]周志杰，陳玉旺，胡昌華，等.證據(jù)推理、置信規(guī)則庫(kù)與復(fù)雜系統(tǒng)建模[M].北京：科學(xué)出版社，2017.

國(guó)家自然科學(xué)基金資助項(xiàng)目（61903047）；吉林省發(fā)改委資助項(xiàng)目（2019C040-3）