楊忠君, 鄭志權(quán), 敖 然, 王國(guó)剛, 宗學(xué)軍, 李鵬程

(1. 沈陽(yáng)化工大學(xué) 信息工程學(xué)院, 沈陽(yáng) 110142; 2. 遼寧省計(jì)量科學(xué)研究院, 沈陽(yáng) 110006)

0 引 言

現(xiàn)代的工業(yè)控制系統(tǒng)(industrial control systems,ICS)正向著規(guī)模化、網(wǎng)絡(luò)化和智能化的方向發(fā)展,在推動(dòng)人類社會(huì)巨大進(jìn)步的同時(shí),也面臨著遭受網(wǎng)絡(luò)攻擊帶來(lái)的安全問(wèn)題[1]。伊朗 “震網(wǎng)”病毒事件、委內(nèi)瑞拉電力系統(tǒng)網(wǎng)絡(luò)攻擊事件、以色列水利設(shè)施網(wǎng)絡(luò)攻擊事件和瑞士鐵路公司勒索病毒事件等事件均表明[2],ICS的網(wǎng)絡(luò)安全問(wèn)題已迫在眉睫。

入侵檢測(cè)系統(tǒng)(intrusion detection system,IDS)一直是工業(yè)控制網(wǎng)絡(luò)安全領(lǐng)域的重要研究?jī)?nèi)容,備受專家學(xué)者的關(guān)注。IDS可以實(shí)時(shí)監(jiān)控ICS的狀態(tài),增加系統(tǒng)主動(dòng)防御能力。近年來(lái),各類新型IDS不斷提出,為工業(yè)控制網(wǎng)絡(luò)安全做出了極大的貢獻(xiàn)[3]。Fu等[4]針對(duì)大流量復(fù)雜圖像處理的問(wèn)題,提出了一種端到端的多尺度卷積神經(jīng)網(wǎng)絡(luò)(multiscale convolutional neural network,MSCNN),取得了不錯(cuò)的效果。Xu等[5]提出了一種基于混合圖像增強(qiáng)的多任務(wù)級(jí)聯(lián)卷積神經(jīng)網(wǎng)絡(luò)來(lái)提高檢測(cè)效果。Bedi P等[6]為處理數(shù)據(jù)集中小樣本類的問(wèn)題,提出了一種siames神經(jīng)網(wǎng)絡(luò)的小樣本類檢測(cè)模型。李晨等[7]提出一種結(jié)合長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)與支持向量機(jī)(one class support vector machine,OCSVM)的混合入侵檢測(cè)模型,緩解了傳感器易受未知網(wǎng)絡(luò)攻擊的問(wèn)題。劉萬(wàn)軍等[8]提出一種結(jié)合含噪密度聚類方法的OCSVM異常入侵檢測(cè)算法,提高了模型的魯棒性。

分析以上成果發(fā)現(xiàn),工業(yè)控制網(wǎng)絡(luò)安全異常流量檢測(cè)領(lǐng)域中存在以下問(wèn)題:1)ICS中數(shù)據(jù)流量龐大,正負(fù)數(shù)據(jù)極不平衡;2)檢測(cè)模型的魯棒性差,難以適應(yīng)不同的工業(yè)控制網(wǎng)絡(luò)環(huán)境;3)難以對(duì)未知異常攻擊進(jìn)行有效防御。本文針對(duì)以上存在的問(wèn)題提出了一種基于多尺度卷積神經(jīng)網(wǎng)絡(luò)(和改進(jìn)單類支持向量機(jī)(improved one class support vector machine, IOCSVM)的復(fù)式網(wǎng)絡(luò)入侵檢測(cè)模型,并給出了具體結(jié)構(gòu)和參數(shù)。本模型的分類器采用無(wú)監(jiān)督學(xué)習(xí)的OCSVM,利用正例樣本構(gòu)建訓(xùn)練集,避免了攻擊手段日益復(fù)雜從而導(dǎo)致模型魯棒性惡化的問(wèn)題。

1 相關(guān)內(nèi)容

1.1 Inception結(jié)構(gòu)

研究GoogLeNet結(jié)構(gòu)[9]的論文指出獲得高質(zhì)量模型最穩(wěn)妥的做法是在增加網(wǎng)絡(luò)深度和寬度的同時(shí)減少參數(shù),本文在保持神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)稀疏性的同時(shí),又充分利用密集矩陣的高計(jì)算性能,設(shè)計(jì)出了Inception的模塊化結(jié)構(gòu)。如圖1所示,本文提出的檢測(cè)模型采用Inception結(jié)構(gòu)的多尺度卷積作為深層特征提取模塊[10]。

圖1 Inception結(jié)構(gòu)Fig.1 Inception structure

1.2 OCSVM算法

OCSVM是最先由Lkopf等[11]提出的一種無(wú)監(jiān)督學(xué)習(xí)算法,目前已廣泛應(yīng)用到故障識(shí)別和醫(yī)療等領(lǐng)域。其主旨思想是假設(shè)原點(diǎn)為唯一異常樣本,通過(guò)核函數(shù)將數(shù)據(jù)樣本映射到高維特征空間RD,從而獲得更良好的聚集性及捕捉非線性的能力,最后在特征空間中求解出一個(gè)最優(yōu)超平面來(lái)實(shí)現(xiàn)目標(biāo)數(shù)據(jù)與坐標(biāo)原點(diǎn)的最大分離。OCSVM分類器的無(wú)約束目標(biāo)函數(shù)為

(1)

式中:xi為訓(xùn)練樣本;φ(·)是映射函數(shù);ρ是特征空間中所求超平面的補(bǔ)償與原點(diǎn)的距離;ω是特征空間求得超平面的法向量;v是權(quán)衡參數(shù);ξi是松弛變量。

通常利用拉格朗日算子將式(1)優(yōu)化轉(zhuǎn)換,令

得到OCSVM的決策函數(shù):

(2)

2 MSCNN-IOCSVM入侵檢測(cè)模型

CNN的優(yōu)勢(shì)是能夠在空間維度上提取表征能力強(qiáng)的高層特征,同時(shí)也具有數(shù)據(jù)降維的能力。Inception結(jié)構(gòu)與傳統(tǒng)CNN相結(jié)合得到MSCNN,其性能相較于CNN更加優(yōu)秀[12]。OCSVM的優(yōu)勢(shì)在于可以將小樣本的無(wú)標(biāo)簽數(shù)據(jù)進(jìn)行準(zhǔn)確分類。基于上述特點(diǎn)和目前工業(yè)控制入侵檢測(cè)領(lǐng)域存在的問(wèn)題,本文提出了一種基于MSCNN和改進(jìn)OCSVM結(jié)合的復(fù)式入侵檢測(cè)模型。

2.1 MSCNN-IOCSVM算法原理

本文檢測(cè)模型算法原理的推導(dǎo)證明過(guò)程主要包括2個(gè)部分:MSCNN模塊和OCSVM的改進(jìn)。

MSCNN特征提取模塊中,在經(jīng)過(guò)Inception層多尺度卷積后進(jìn)入卷積層,卷積公式如下所示:

其中:X為輸入矩陣;W為權(quán)重矩陣;Y為輸出矩陣;φ為非線性激活函數(shù)Rule函數(shù)。MSCNN模塊的誤差函數(shù)為

(5)

其中:E為MSCNN模塊的誤差函數(shù);d是期望輸出向量;y是網(wǎng)絡(luò)輸出向量。

本文模型設(shè)計(jì)考慮到了傳統(tǒng)分段式檢測(cè)模型只是為了檢測(cè)效率的提升,而忽略功能模塊和分類器相互之間的影響。為使各模塊間最大限度地解耦,本文采用隨機(jī)傅里葉特征(random Fourier features,RFF)近似徑向基核函數(shù)(radial basis function,RBF),該方法基于內(nèi)核函數(shù)的傅里葉變換,其高斯分布為

p(ω)=N(0,σ-2I)

(6)

式中:I是單位矩陣;σ為高斯過(guò)程的標(biāo)準(zhǔn)差。由分布p,在高維特征空間RD得到均勻分配的權(quán)值ω1,ω2,…,ωD。因?yàn)槠屏坎灰氲较嘁?因此映射方式采用余弦與正弦混合。映射定義的公式如下:

(7)

將核近似映射公式(7)代入到式(1)中,得到改進(jìn)后的OCSVM目標(biāo)函數(shù)為

(8)

將式(8)與MSCNN模塊的誤差函數(shù)式(5)聯(lián)合,得到本文的MSCNN-IOCSVM模型的聯(lián)合目標(biāo)函數(shù)為

(9)

式中:α是控制卷積特征壓縮和支持向量機(jī)邊之間的超參數(shù);n表示Beach size。

2.2 MSCNN-IOCSVM模型結(jié)構(gòu)

模型利用MSCNN模塊將預(yù)處理后的正例二維數(shù)據(jù)進(jìn)行特征提取和學(xué)習(xí),同時(shí)降低數(shù)據(jù)維度,然后通過(guò)多次epoch訓(xùn)練使分類器IOCSVM建立最優(yōu)超平面,從而進(jìn)行樣本判別。MSCNN-IOCSVM模型完整結(jié)構(gòu)如圖2所示。

圖2 MSCNN-IOCSVM模型結(jié)構(gòu)Fig.2 MSCNN-IOCSVM model structure

3 實(shí)驗(yàn)結(jié)果與分析

3.1 評(píng)價(jià)指標(biāo)

為了更為直觀地與其他的入侵檢測(cè)模型的檢測(cè)效果進(jìn)行多方面對(duì)比,本文模型的評(píng)價(jià)指標(biāo)主要有準(zhǔn)確率(accuracy,Acc),精度(precision,P)以及誤報(bào)率(false positive rate,FPR)。

3.2 數(shù)據(jù)分析及預(yù)處理

本文性能測(cè)試實(shí)驗(yàn)中使用的是加拿大網(wǎng)絡(luò)安全研究所公開(kāi)的CIC-IDS-2017數(shù)據(jù)集。CIC-IDS-2017數(shù)據(jù)集的攻擊手段復(fù)雜多變,包括暴力破解,端口掃描,DDos,Dos,Web攻擊,Heartbleed,僵尸網(wǎng)絡(luò)以及數(shù)據(jù)滲透等現(xiàn)如今網(wǎng)絡(luò)最難以防范和流行的攻擊方法。CIC-IDS-2017數(shù)據(jù)集包括一類正常數(shù)據(jù)和14類攻擊數(shù)據(jù),數(shù)據(jù)特征屬性高達(dá)84個(gè),此數(shù)據(jù)集滿足對(duì)檢測(cè)模型性能測(cè)試的要求。經(jīng)過(guò)對(duì)各類攻擊數(shù)據(jù)的等比例抽樣,重構(gòu)符合實(shí)際網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流量分布的實(shí)驗(yàn)數(shù)據(jù)集。因CIC-IDS-2017數(shù)據(jù)集中周一數(shù)據(jù)全部為正常數(shù)據(jù),恰好適合本文模型的訓(xùn)練,所以實(shí)驗(yàn)中將其按7∶3的比例分配到訓(xùn)練集和測(cè)試集,而異常樣本的選取采用各類攻擊類型數(shù)據(jù)隨機(jī)均勻抽取。因此本文基于CIC-IDS-2017數(shù)據(jù)集重構(gòu)數(shù)據(jù)集中的正常數(shù)據(jù)與異常數(shù)據(jù)分布,見(jiàn)表1和表2。

表1 重構(gòu)驗(yàn)證數(shù)據(jù)集數(shù)據(jù)分布Table 1 Dataset distribution

表2 各類異常數(shù)據(jù)分布Table 2 Distribution of various abnormal data

數(shù)據(jù)預(yù)處理過(guò)程中將數(shù)據(jù)的特征屬性結(jié)合粗糙集與超球理論約減為81個(gè),之后將數(shù)據(jù)特征reshape為9×9的二維特征矩陣輸入到檢測(cè)模型。屬性約減具體實(shí)現(xiàn)步驟如下:

1) 基于上文OCSVM理論的描述,隨機(jī)抽取n個(gè)(10%)正樣本點(diǎn),作各樣本點(diǎn)距數(shù)據(jù)集樣本中心點(diǎn)m的歐氏距離D,求出最大歐式距離R,其中d為數(shù)據(jù)維度。

2) 根據(jù)中心點(diǎn)m和r構(gòu)建正樣本超球,超球半徑控制參數(shù)μ取0.85。

r=μR, 0≤μ≤1

(13)

3) 對(duì)超球空間約減的最外圍數(shù)據(jù)樣本進(jìn)行屬性統(tǒng)計(jì)分析,然后利用概率型粗糙集進(jìn)行特征屬性的約減,決策屬性設(shè)置為訓(xùn)練集收斂時(shí)間,最終使原始特征屬性約減為滿足模型輸入特征矩陣的維度。

3.3 實(shí)驗(yàn)結(jié)果分析

為評(píng)估MSCNN-IOCSVM在入侵檢測(cè)上的性能,將該檢測(cè)模型和相似結(jié)構(gòu)的主流檢測(cè)模型MSCNN[13]、RST-SVM[14]和AE-SVM[15]模型在基于CIC-IDS-2017重構(gòu)的實(shí)驗(yàn)數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn),得出OCSVM的最優(yōu)參數(shù)為v=0.1,α=1 000,RFF=200和σ=3。經(jīng)過(guò)對(duì)模型各方面評(píng)價(jià)指標(biāo)的綜合對(duì)比,可以明顯看到本文設(shè)計(jì)的模型要優(yōu)于其他的模型,如圖3所示。

圖3 測(cè)試實(shí)驗(yàn)檢測(cè)結(jié)果Fig.3 Test results

從圖3可以看出,本文模型對(duì)于正異流量極不平衡數(shù)據(jù)的檢測(cè)分類效果優(yōu)于其他算法模型。Acc和FPR的分?jǐn)?shù)表現(xiàn)都較為出色,滿足對(duì)于大流量、樣本類型復(fù)雜和不平衡的工業(yè)控制網(wǎng)絡(luò)環(huán)境的檢測(cè)要求。

3.4 魯棒性驗(yàn)證

在模型的魯棒性驗(yàn)證實(shí)驗(yàn)中,本文使用的是2014年MSU基礎(chǔ)設(shè)施保護(hù)中心建立的工業(yè)控制標(biāo)準(zhǔn)入侵檢測(cè)數(shù)據(jù)集,其原始數(shù)據(jù)是密西西比州立大學(xué)內(nèi)部SCADA實(shí)驗(yàn)室設(shè)計(jì)的天然氣管道系統(tǒng)的真實(shí)數(shù)據(jù)。數(shù)據(jù)集是SCADA系統(tǒng)中隨著時(shí)間變化抓取的流量數(shù)據(jù),針對(duì)ICS的網(wǎng)絡(luò)攻擊手段復(fù)雜多樣,包括35種攻擊方式,對(duì)應(yīng)7種攻擊類型,26個(gè)數(shù)據(jù)特征,是評(píng)估ICS入侵檢測(cè)的標(biāo)準(zhǔn)數(shù)據(jù)集,為了簡(jiǎn)化實(shí)驗(yàn)計(jì)算過(guò)程,選取10%數(shù)據(jù)集進(jìn)行驗(yàn)證實(shí)驗(yàn)。為了讓驗(yàn)證數(shù)據(jù)集更貼合實(shí)際ICS的流量分布情況,本文使用SMOTE算法對(duì)數(shù)據(jù)集的Normal數(shù)據(jù)過(guò)采樣,并對(duì)各類攻擊數(shù)據(jù)進(jìn)行隨機(jī)均比抽取組成異常數(shù)據(jù),重新構(gòu)造的驗(yàn)證數(shù)據(jù)集數(shù)據(jù)分布見(jiàn)表3。

表3 重構(gòu)數(shù)據(jù)集數(shù)據(jù)分布Table 3 Reconstructing data distribution of dataset

為了更好地體現(xiàn)模型的魯棒性,本文的魯棒性驗(yàn)證實(shí)驗(yàn)采用十折交叉驗(yàn)證并對(duì)各個(gè)模型進(jìn)行30次迭代。實(shí)驗(yàn)中將數(shù)據(jù)特征約簡(jiǎn)為25個(gè),reshape為5×5的模型輸入。

為了進(jìn)一步直觀證明本文模型的強(qiáng)魯棒性,將各檢測(cè)模型分別在實(shí)驗(yàn)數(shù)據(jù)集,即CIC-IDS-2017(簡(jiǎn)稱為CIC)和魯棒性驗(yàn)證數(shù)據(jù)集,即MSU標(biāo)準(zhǔn)工控?cái)?shù)據(jù)(簡(jiǎn)稱為MSU)上的表現(xiàn)進(jìn)行分析對(duì)比,從不同模型數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果中的Acc和FPR評(píng)價(jià)指標(biāo)差波動(dòng)差值來(lái)評(píng)估模型魯棒性的好壞。實(shí)驗(yàn)數(shù)據(jù)結(jié)果見(jiàn)表4。

表4 各模型魯棒性對(duì)比Table 4 Robustness comparison of each model

從表4分析可知,模型的Acc和FPR指標(biāo)波動(dòng)絕對(duì)值之和的結(jié)果越接近0,模型的魯棒性越強(qiáng)。分析可知,因RST-SVM模型是結(jié)合粗糙集約簡(jiǎn)理論設(shè)計(jì),所以在數(shù)據(jù)類型復(fù)雜多變的驗(yàn)證數(shù)據(jù)集上的表現(xiàn)很不理想,其魯棒性最差。MSCNN模型基于CNN設(shè)計(jì),對(duì)于較為復(fù)雜的數(shù)據(jù)集有強(qiáng)大的適應(yīng)能力,因而其魯棒性相對(duì)較好。AE-SVM基于自編碼器的SVM設(shè)計(jì),模型對(duì)于不同環(huán)境的適應(yīng)能力也較強(qiáng),其魯棒性指標(biāo)最為接近本文提出的檢測(cè)模型。本文模型結(jié)合MSCNN與OCSVM的各自優(yōu)勢(shì)設(shè)計(jì),所以模型的異常檢測(cè)能力和魯棒性都很優(yōu)秀。

4 結(jié) 語(yǔ)

本文針對(duì)目前工業(yè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)多變的ICS網(wǎng)絡(luò)環(huán)境的適應(yīng)能力差的問(wèn)題,利用OCSVM對(duì)異常數(shù)據(jù)極為敏感的特性與MSCNN可提取不同層次特征的能力,設(shè)計(jì)出分段式的網(wǎng)絡(luò)入侵檢測(cè)模型。在工控標(biāo)準(zhǔn)數(shù)據(jù)集上與多種經(jīng)典模型進(jìn)行了性能對(duì)比,證明本文模型具有較強(qiáng)的異常檢測(cè)能力和魯棒性,可滿足工控入侵檢測(cè)的要求。