周澤巖 程鵬 方付生 路濤

文章編號：2096-1472（2022）-02-01-05

DOI：10.19644/j.cnki.issn2096-1472.2022.002.001DOI：10.19644/j.cnki.issn2096-1472.2022.002.001

摘? 要：聚焦鐵路牽引供電遠動SCADA系統(tǒng)，分析其通信規(guī)約和網(wǎng)絡(luò)安全風險點，研究基于單類支持向量機算法的異常攻擊檢測技術(shù)，以達到檢測網(wǎng)絡(luò)異常攻擊的目的。本方法先分析正常的通信數(shù)據(jù)，選取報文序列中的時間戳、源地址、目的地址、源端口、目的端口等字段，構(gòu)成訓練樣本序列集合，再對報文序列的數(shù)據(jù)預處理形成子序列特征數(shù)據(jù)庫，最后采用Python語言、Sklearn機器學習庫建立單類支持向量機的行為模型，并通過仿真數(shù)據(jù)測試，驗證其可有效檢測網(wǎng)絡(luò)入侵等異常行為。

關(guān)鍵詞：牽引供電遠動系統(tǒng);單類支持向量機;異常檢測

中圖分類號：TP301.6? ? ?文獻標識碼：A

Research on Abnormal Attack Detection Technology of Traction Power?Supply SCADA System based on Machine Learning

ZHOU Zeyan1， CHENG Peng2， FANG Fusheng2， LU Tao3

（1.Electronic Computing Technology Institute of China Academy of Railway Sciences Co.， Ltd.， Beijing 100081， China;

2.China Electronic Technology Cyber Security Co.， Ltd.， Chengdu 610041， China;

3.Beijing ZhengXin Cyber Security Technology Co.， Ltd.， Beijing 100160， China）

zhouzeyan8008@sina.com; cp975@163.com; fang4985@aliyun.com; lutao7@163.com

Abstract： This paper proposes to study abnormal attack detection technology based on One-class SVM （Support Vector Machine） algorithm to achieve the purpose of detecting abnormal network attacks， through focusing on railway traction power supply SCADA （Supervisory Control and Data Acquisition System） system and? analyzing its communication protocol and network security risk points. Firstly， normal communication data are analyzed， and fields in the message sequence， such as timestamp， source address， destination address， source port， destination port， are selected. Thus a training sample sequence set are formed. Then， the message sequence data are preprocessed to form a sub-sequence feature database. Finally， Python language and Sklearn machine learning library are used to establish a One-class SVM behavior model. Simulation data test verifies that the proposed technology can effectively detect abnormal behaviors such as network intrusions.

Keywords： traction power supply system; One-class SVM; abnormal detection

1? ?引言（Introduction）

近年來，工業(yè)信息安全整體形勢不容樂觀。一方面，工業(yè)控制系統(tǒng)安全漏洞持續(xù)增長，根據(jù)中國國家信息安全漏洞共享平臺CNVD的統(tǒng)計數(shù)據(jù)顯示，2020 年新增工業(yè)控制系統(tǒng)安全漏洞數(shù)已達到652 個，同比增長45.5%。另一方面，針對鐵路行業(yè)的網(wǎng)絡(luò)攻擊越來越多，2020 年3 月英國火車站W(wǎng)i-Fi提供商C3UK云數(shù)據(jù)庫遭泄露，導致1萬名英國鐵路乘客的個人數(shù)據(jù)泄露。2020 年7 月，以色列鐵路基礎(chǔ)設(shè)施的150多臺工業(yè)服務(wù)器遭受網(wǎng)絡(luò)攻擊，影響了28 座火車站和地鐵站的運營。

鐵路運輸是我國主要的運輸方式之一，據(jù)國家統(tǒng)計局數(shù)據(jù)顯示，2020 年我國鐵路旅客周轉(zhuǎn)量已占總周轉(zhuǎn)量的42.9%，而隨著IT技術(shù)在鐵路原有工控領(lǐng)域大量應(yīng)用，其信息安全風險日益增加，甚至直接影響我國交通運輸?shù)恼w安全。鐵路牽引供電遠動系統(tǒng)（以下簡稱遠動系統(tǒng)）作為鐵路關(guān)鍵信息基礎(chǔ)設(shè)施，其可靠性將對行車安全造成影響，是整個鐵路安全穩(wěn)定運營的核心內(nèi)容。因此，有必要深入研究鐵路牽引供電遠動系統(tǒng)，分析其系統(tǒng)特點、通信規(guī)約和常見網(wǎng)絡(luò)攻擊行為，通過異常攻擊檢測技術(shù)及時發(fā)現(xiàn)安全隱患，增強其安全防護能力。

2? ?相關(guān)研究工作（Related research work）

2.1? ?系統(tǒng)介紹

遠動系統(tǒng)是基于SCADA技術(shù)的遠動監(jiān)控系統(tǒng)，可通過遠程監(jiān)視和人工控制相結(jié)合的方式實現(xiàn)對牽引變電的控制和監(jiān)視。當前遠動系統(tǒng)多采用通用服務(wù)器，操作系統(tǒng)為Unix或Windows，通過網(wǎng)絡(luò)化實現(xiàn)與其他系統(tǒng)的互聯(lián)，以及對數(shù)據(jù)的采集和處理。

（1）遠動系統(tǒng)的功能

遠動系統(tǒng)為調(diào)度員提供遠程監(jiān)控與控制功能，通過下發(fā)遠程遙控命令完成如開關(guān)的控制等功能，同時對遠端設(shè)備進行綜合監(jiān)控，采集如電壓、電流等數(shù)據(jù)信息，回傳調(diào)度站，實現(xiàn)全網(wǎng)供電設(shè)備信息的實時采集。在變電所設(shè)備發(fā)生故障時，可及時發(fā)現(xiàn)斷路器跳閘、故障信號等問題，及時處理事故，防止故障擴大化。

（2）遠動系統(tǒng)的組成^[1-2]

遠動系統(tǒng)主要由一系列遠端設(shè)備（被控站、遠方終端RTU）和中心控制主站系統(tǒng)組成，其中RTU收集現(xiàn)場數(shù)據(jù)，并通過通信網(wǎng)絡(luò)回送數(shù)據(jù)給主站執(zhí)行端，主站顯示這些采集到的數(shù)據(jù)并允許操作員執(zhí)行遠程控制任務(wù)，執(zhí)行端負責執(zhí)行相應(yīng)的指令，如圖1所示。

調(diào)度端：設(shè)在控制中心內(nèi)，完成對遠動對象的監(jiān)控、數(shù)據(jù)統(tǒng)計及管理等功能;

執(zhí)行端：完成對遠動系統(tǒng)的數(shù)據(jù)采集、預處理，發(fā)送、接收及輸出執(zhí)行等功能，一般設(shè)在牽引變電所、分區(qū)所、開閉所、AT所及V停控制站內(nèi)，常規(guī)遠動系統(tǒng)被控端為遠方終端設(shè)備（Remote Terminal Unit， RTU）。

2.2? ?通信規(guī)約

為規(guī)范調(diào)度主站（調(diào)度端）與變電站（控制端）的通信，國際電工委員會（IEC）于1995 年發(fā)布了IEC 60870-5-101規(guī)約，此規(guī)約在我國已普遍使用。

隨著通信方式從專用通道向以太網(wǎng)的轉(zhuǎn)變，國際電工委員會（IEC）第57技術(shù)委員會（TC57）于2000 年又出版了IEC 60870-5-104：2000《遠動設(shè)備及系統(tǒng) 第5-104部分：傳輸規(guī)約 采用標準傳輸協(xié)議集的IEC 60870-5-101網(wǎng)絡(luò)訪問》，應(yīng)用層協(xié)議采用IEC 60870-5-101規(guī)約的ASDU，網(wǎng)絡(luò)層協(xié)議為TCP/IP協(xié)議，并封裝APCI傳輸接口以保證應(yīng)用層ASDU的通信可靠性。因此，該協(xié)議具有實時性好、可靠性高的特點，能支持大流量的數(shù)據(jù)傳輸。

2006 年，IEC又更新了IEC 60870-5-104規(guī)約，發(fā)布了IEC 60870-5-104：2006規(guī)約。為保持與國際標準的一致性，進一步規(guī)范國內(nèi)應(yīng)用，全國電力系統(tǒng)管理及其信息交換標準化技術(shù)委員會也同步參照國際標準制定了國內(nèi)標準DL/T 634.5104—2009。

在此基礎(chǔ)上，為了規(guī)范鐵路電力遠動系統(tǒng)數(shù)據(jù)傳輸，鐵路行業(yè)制定了《鐵路供電遠動PSCADA系統(tǒng)傳輸規(guī)約》，當前已在我國鐵路系統(tǒng)中普遍采用。

2.2.1? ?DL/T 634.5104—2009（IEC 60870-5-104：2006）規(guī)約^[3]

DL/T 634.5104—2009規(guī)約明確了通信協(xié)議結(jié)構(gòu)與通信方式，其APDU（Application Protocol Data Unit， 應(yīng)用規(guī)約數(shù)據(jù)單元）由APCI（Application Protocol Control Information， 應(yīng)用規(guī)約控制信息）與ASDU（Application Service Data Unit， 應(yīng)用服務(wù)數(shù)據(jù)單元）構(gòu)成，基于TCP協(xié)議通信，采用2404端口。其具體報文格式如圖2所示。

2.2.2? ?鐵路供電遠動PSCADA系統(tǒng)傳輸規(guī)約

《鐵路供電遠動PSCADA系統(tǒng)傳輸規(guī)約》是在DL/T 634.5104規(guī)約的基礎(chǔ)上，針對鐵路電力遠動系統(tǒng)的應(yīng)用業(yè)務(wù)，規(guī)范了鐵路電力遠動系統(tǒng)中的數(shù)據(jù)傳輸格式。該規(guī)約規(guī)定了鐵路牽引供電設(shè)備中主站和子站（遠動終端）之間以平衡方式進行數(shù)據(jù)傳輸?shù)囊?guī)約結(jié)構(gòu)、幀格式、ASDU選取、互操作性定義、對象定義、應(yīng)用功能、鏈路冗余、多控制站冗余切換機制。

（1）ASDU類型標識

《鐵路供電遠動PSCADA系統(tǒng)傳輸規(guī)約》等同采用了DL/T 634.5104規(guī)約的協(xié)議格式和APCI的定義，從ASDU的結(jié)構(gòu)出發(fā)，明確了本標準采用的ASDU類型標識，并對每一個類型都進行了定義。

①在監(jiān)視方向的過程信息

1：不帶時標的單點信息

3：不帶時標的雙點信息

5：不帶時標的步位置信息

9：測量值，規(guī)一化值

11：測量值，標度化值

13：測量值，短浮點數(shù)

15：累計量

30：帶時標CP56Time2a的單點信息

31：帶時標CP56Time2a的雙點信息

32：帶時標CP56Time2a的步位置信息

34：帶時標CP56Time2a的規(guī)一化測量值

35：帶時標CP56Time2a的標度化測量值

36：帶時標CP56Time2a的短浮點數(shù)

140：帶相對時標的故障報告

141：帶相對時標的事件報告

②在控制方向的過程信息

59：帶時標CP56Time2a的雙命令

60：帶時標CP56Time2a的步調(diào)節(jié)命令

③在監(jiān)視方向的系統(tǒng)信息

70：初始化結(jié)束

④在控制方向的系統(tǒng)信息

100：召喚命令

101：計數(shù)量召喚命令

103：時鐘同步命令

⑤在控制方向的參數(shù)命令

145：繼保裝置讀整定值命令

205：非繼保裝置讀/寫整定值，規(guī)一化值

206：非繼保裝置讀/寫整定值，標度化值

207：非繼保裝置讀/寫整定值，短浮點數(shù)

⑥文件傳輸?shù)膽?yīng)用服務(wù)數(shù)據(jù)單元

120：召喚命令

121：節(jié)準備就緒

122：召喚目錄，選擇文件，召喚文件，召喚節(jié)

123：最后的節(jié)，最后的段

124：認可文件，認可節(jié)

125：段

126：目錄，只在監(jiān)視方向有效

（2）基本應(yīng)用功能

在定義標識的基礎(chǔ)上，該規(guī)約對基本應(yīng)用功能進行了明確的定義，包括過程和應(yīng)用層報文?；緫?yīng)用功能覆蓋站初始化、站（總）召喚、累計量傳輸、時鐘同步、突發(fā)傳送、命令傳輸、參數(shù)裝載、文件傳輸?shù)劝藗€方面。

2.3? ?安全風險分析

對于遠動系統(tǒng)（SCADA）的網(wǎng)絡(luò)而言，主要的網(wǎng)絡(luò)邊界有綜合信息網(wǎng)與控制網(wǎng)的邊界、調(diào)度中心與子站的邊界，本文主要分析這兩個邊界的安全風險和系統(tǒng)內(nèi)主機的安全風險。

2.3.1? ?綜合信息網(wǎng)與控制網(wǎng)的邊界安全風險

對于綜合信息網(wǎng)與SCADA系統(tǒng)控制網(wǎng)的網(wǎng)絡(luò)邊界，可能存在的安全隱患包括：

（1）非法訪問：外部用戶非法訪問或內(nèi)部用戶訪問權(quán)限之外的內(nèi)容;

（2）惡意入侵：黑客通過偽造、口令破解、應(yīng)用層攻擊等方式，穿透訪問控制機制，進入SCADA系統(tǒng)內(nèi)部進行非法操作;

（3）惡意攻擊：包括各種常規(guī)攻擊和DoS/DDoS攻擊;

（4）病毒和蠕蟲：計算機病毒和網(wǎng)絡(luò)蠕蟲的傳播和爆發(fā)，可能從綜合信息網(wǎng)傳播至控制網(wǎng)絡(luò)中。

2.3.2? ?調(diào)度中心與子站的邊界安全風險

對于調(diào)度中心與子站的邊界，可能存在的安全風險包括：

（1）非法操作：用戶試圖操作權(quán)限之外的內(nèi)容;

（2）非法入侵：黑客通過仿制的命令在調(diào)度中心對各子站下發(fā)非法的控制命令或操作;

（3）非正?；蝈e誤操作：調(diào)度中心的操作人員下發(fā)了非正常的操作或錯誤的指令;

（4）病毒和蠕蟲：計算機病毒和網(wǎng)絡(luò)蠕蟲的傳播和爆發(fā)，突破調(diào)度中心與子站的邊界，導致其在SCADA控制網(wǎng)絡(luò)中的所有區(qū)域內(nèi)傳播。

2.3.3? ?主機安全風險

雖然計算機應(yīng)用技術(shù)在工業(yè)領(lǐng)域的應(yīng)用帶來了效率和效益，但是由于計算機網(wǎng)絡(luò)系統(tǒng)的開放性和脆弱性，也使得工業(yè)網(wǎng)絡(luò)中的操作系統(tǒng)及工控業(yè)務(wù)應(yīng)用存在一定的安全漏洞和安全隱患，時刻威脅著企業(yè)的工業(yè)信息化發(fā)展。

同時SCADA控制網(wǎng)絡(luò)雖然是一定程度上的物理隔離，但威脅工控系統(tǒng)的惡意程序仍然可能繞過隔離的網(wǎng)絡(luò)進入工控系統(tǒng)，如外來人員聯(lián)網(wǎng)訪問、技術(shù)人員現(xiàn)場支持，以及移動存儲介質(zhì)接入等。

此外，主機安全風險還包括安全管理人員對工控設(shè)備權(quán)限設(shè)置不當?shù)葘е碌陌踩珕栴}，需防范因為管理人員的疏忽造成操作上的隱患或沒有足夠信息安全風險意識導致工控網(wǎng)絡(luò)出現(xiàn)故障等事故。

2.4? ?傳統(tǒng)安全技術(shù)局限性

當前鐵路系統(tǒng)的連接和開放程度越來越高，所應(yīng)用的技術(shù)正變得越來越具有互操作性和協(xié)調(diào)性，傳統(tǒng)的安全技術(shù)主要基于對網(wǎng)絡(luò)通信的實時分析，運用指紋、規(guī)則進行黑名單式的防護控制，往往無法有效區(qū)分業(yè)務(wù)異常與安全事件，從而導致大量誤報，給安全運營帶來極大挑戰(zhàn)。同時傳統(tǒng)方式仍無法自動適應(yīng)攻擊者的偽裝繞過，指紋攻擊庫的升級也嚴重滯后，因此對未知攻擊難以察覺。

安全的本質(zhì)是攻防對抗，一切的意圖都需要通過行為表達，這是安全防護中最重要也是最有價值的環(huán)節(jié)，而針對行為的有效分析則是傳統(tǒng)技術(shù)方式最欠缺的?？梢?，傳統(tǒng)安全倚重舊范式，基于特征、規(guī)則和人工分析，存在安全可見性盲區(qū)，有嚴重的滯后效應(yīng)、無力檢測未知攻擊、容易被繞過，以及難以適應(yīng)攻防對抗的網(wǎng)絡(luò)現(xiàn)實和快速變化的企業(yè)環(huán)境、外部威脅等問題。

鐵路一直被普遍認為是一個特定的“安全領(lǐng)域”，這主要是因為鐵路系統(tǒng)依賴專有的、獨立的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)在管理、通信和信號方面往往采用專有協(xié)議，遵循行業(yè)的特有技術(shù)規(guī)范，因此非常適合基于大數(shù)據(jù)驅(qū)動、安全分析和機器學習的安全新范式，構(gòu)建鐵路信息系統(tǒng)行為白名單的新范式，以彌補傳統(tǒng)安全技術(shù)短板，實現(xiàn)從單純強調(diào)邊界防護到縱深防護的轉(zhuǎn)變，逆轉(zhuǎn)當前攻防不對稱的情況，從海量的安全數(shù)據(jù)中識別和發(fā)現(xiàn)潛在的攻擊和惡意行為。

遠動系統(tǒng)是電氣化鐵路的重要配套設(shè)施，鑒于當前我國的遠動系統(tǒng)功能明確、設(shè)備資產(chǎn)類型特定，基本遵從《鐵路供電遠動PSCADA系統(tǒng)傳輸規(guī)約》，因此可以首先從鐵路牽引供電遠動系統(tǒng)正常環(huán)境中獲取業(yè)務(wù)數(shù)據(jù)，再根據(jù)此規(guī)約對數(shù)據(jù)進行預處理，形成數(shù)據(jù)特征庫，最后通過機器學習構(gòu)造異常檢測模型，實時檢測系統(tǒng)，有效發(fā)現(xiàn)網(wǎng)絡(luò)隱患，減少異常攻擊行為的發(fā)生。此方法是根據(jù)業(yè)務(wù)實際數(shù)據(jù)構(gòu)造白名單，可有效減少網(wǎng)絡(luò)攻擊特性分析工作，同時也可以有效發(fā)現(xiàn)未知網(wǎng)絡(luò)攻擊，具有成本低、效率高的特點^[4]。本文將對此基于機器學習的異常網(wǎng)絡(luò)攻擊檢測方式進行深入研究。

3? ?分析與建模方法（Analysis and modeling methods）

3.1? ?模型技術(shù)路線

目前，基于機器學習的異常檢測算法適用于業(yè)務(wù)模型相對具體的業(yè)務(wù)場景，具有分類識別準確、特征提取泛化好、誤報率低等特點。機器學習中的異常檢測方法種類繁多，比如神經(jīng)網(wǎng)絡(luò)^[5]、支持向量機（Support Vector Machine， SVM）^[6-7]等，其中，神經(jīng)網(wǎng)絡(luò)具有很強的魯棒性、記憶能力、非線性映射能力及強大的自學習能力，但是神經(jīng)網(wǎng)絡(luò)是個“黑匣子”，無法解釋自己的推理過程和推理依據(jù)，當數(shù)據(jù)集不充分時無法進行模型訓練。支持向量機作為機器學習方法的一種，與其他算法相比在異常檢測方面具有以下優(yōu)勢：

（1）作為SVM方法的理論基礎(chǔ)，通過核函數(shù)實現(xiàn)高維空間的非線性映射學習。

（2）SVM目標是通過最優(yōu)超平面對特征空間進行劃分，最大化分類邊際是其核心思想。

（3）SVM是一種有堅實理論基礎(chǔ)的學習方法。不同于現(xiàn)有的統(tǒng)計方法，其避開了從歸納到演繹的傳統(tǒng)過程，大大簡化了分類和回歸等問題^[8]。

（4）SVM最終決策函數(shù)只由少數(shù)的支持向量所決定，計算復雜度取決于支持向量的數(shù)目，并非樣本空間維數(shù)，進而在一定程度上避免了“維數(shù)災(zāi)難”^[8]。

（5）支持向量作為SVM的訓練結(jié)果，在分類決策中起決策作用。該方法能夠抓住關(guān)鍵樣本，“剔除”大量冗余樣本，不僅計算簡單而且具有較好的魯棒性^[8]。

綜上，與其他算法相比，支持向量機方法具有更堅實的數(shù)學理論基礎(chǔ)，可以有效地解決樣本受限條件下的高維數(shù)據(jù)模型構(gòu)建問題，并具有泛化能力強、收斂全局最優(yōu)、維數(shù)不敏感等優(yōu)點^[8-9]。

盡管支持向量機的分類算法在異常檢測領(lǐng)域優(yōu)勢明顯，但是傳統(tǒng)的支持向量機分類算法需要正負兩類樣本數(shù)據(jù)集合進行訓練來建立模型，而在實際的工業(yè)控制系統(tǒng)環(huán)境中，往往存在異常樣本數(shù)據(jù)量較少、異常樣本難以收集等問題，如工控系統(tǒng)大多數(shù)時候處于正常運行狀態(tài)，很少存在故障狀態(tài)，使得故障樣本數(shù)據(jù)量較少^[9]。因此，針對遠動系統(tǒng)的數(shù)據(jù)特點，選取單類支持向量機機器學習算法來建立異常檢測模型。

3.2? ?單類支持向量機異常檢測算法

單類支持向量機（One-Class Support Vector Machine， OCSVM）算法基于傳統(tǒng)支持向量機發(fā)展而來，該算法的樣本集合只需包含正常或異常一種樣本數(shù)據(jù)，無須另一類樣本數(shù)據(jù)。因此，對于工業(yè)控制系統(tǒng)環(huán)境中的異常檢測問題十分適用。

單類支持向量機異常檢測算法的基本思想是將低維空間的特征向量通過核函數(shù)映射到高維特征空間，在高維特征空間中構(gòu)造一個超平面，使得數(shù)據(jù)對象與原點盡可能地分開^[10]。因此，OCSVM算法的本質(zhì)是在高維空間求解分類超平面。

在超平面求解過程中，將求解問題轉(zhuǎn)化為優(yōu)化問題，引入拉格朗日因子轉(zhuǎn)化為對偶問題，如式（1）所示：

由式（2）可知，當f（x）輸出值大于0時，說明檢測樣本為正常樣本，否則為異常樣本。

3.3? ?單類支持向量機異常檢測模型實現(xiàn)

基于單類支持向量機算法對遠動系統(tǒng)流量數(shù)據(jù)進行檢測的模型，具體步驟如下：

（1）流量數(shù)據(jù)采集。首先從遠動系統(tǒng)正常環(huán)境中獲取業(yè)務(wù)數(shù)據(jù)流量，在實際工作過程中單位時間內(nèi)產(chǎn)生的數(shù)據(jù)流量具有隨機性，通過固定時間間隔將報文序列劃分成固定長度的子序列，選取報文序列中的時間戳、源地址、目的地址、源端口、目的端口等字段，構(gòu)成訓練樣本序列集合。

（2）報文序列的數(shù)據(jù)預處理。對訓練樣本序列數(shù)據(jù)進行聚合操作，提取報文序列的前后包間隔時間，將源IP、源端口、目的IP、目的端口、包間隔時間作為子序列特征數(shù)據(jù)。

（3）單類支持向量機核函數(shù)的選擇。單類支持向量機的核心思想是將低維空間的特征向量通過核函數(shù)映射到高維特征空間，其中，核函數(shù)的選擇直接關(guān)系到異常檢測模型的準確率和泛化能力。常見的核函數(shù)有線性核函數(shù)、多項式核函數(shù)、高斯核函數(shù)、Sigmoid核函數(shù)等。

（4）建立單類支持向量機的訓練模型。采用Python語言、Sklearn機器學習庫進行模型的構(gòu)建與訓練，并利用網(wǎng)格搜索和三折交叉驗證的方式獲取最優(yōu)值參數(shù)的訓練模型。以正常的遠動系統(tǒng)報文子序列提取特征數(shù)據(jù)構(gòu)成的訓練集合，構(gòu)造并求解最優(yōu)超平面，完成異常檢測模型的訓練。

（5）基于單類支持向量機模型進行異常檢測。將測試數(shù)據(jù)輸入單類支持向量機異常檢測模型進行檢測，若輸出結(jié)果為1，認為該數(shù)據(jù)為正常的鐵路供電遠動系統(tǒng)流量數(shù)據(jù);否則，認為該數(shù)據(jù)為異常流量。

3.4? ?實驗對比和結(jié)果分析

為了證明本文提出的單類支持向量機異常檢測方法的有效性與可行性，選擇單類支持向量機算法、傳統(tǒng)支持向量機算法、孤立森林算法這三種算法模型進行實驗對比，實驗結(jié)果如表1所示。結(jié)果表明，單類支持向量機異常檢測模型的分類準確率高于另外兩種異常檢測模型，并且誤報率最低。另外，對單類支持向量機異常檢測模型從不同角度進行研究，分別從滑動窗口長度和核函數(shù)選擇上進行實驗，結(jié)果表明滑動窗口長度為3時，分類決策達到全局最優(yōu);選擇線性核函數(shù)進行映射時，模型異常檢測各性能指標參數(shù)最佳。綜上所述，基于單類支持向量機算法的異常檢測方法在遠動系統(tǒng)的通信流量數(shù)據(jù)異常檢測中具有一定的優(yōu)勢。

4? ?結(jié)論（Conclusion）

遠動系統(tǒng)作為鐵路的核心系統(tǒng)，一旦遭受網(wǎng)絡(luò)攻擊，必將對鐵路安全運行造成直接影響。而傳統(tǒng)的網(wǎng)絡(luò)入侵檢測方法是從網(wǎng)絡(luò)特性和入侵特性的角度來進行檢測，效率低下且不具備檢測未知網(wǎng)絡(luò)攻擊的能力。

本文提出了一種基于單類支持向量機算法的異常檢測方法，不需要大量的訓練樣本，就可以構(gòu)建異常攻擊檢測模型。首先分析正常的通信數(shù)據(jù)，選擇報文序列數(shù)據(jù)中的時間戳、源地址、目的地址、源端口、目的端口等字段組成訓練樣本數(shù)據(jù)集，再對報文序列的數(shù)據(jù)預處理形成子序列特征數(shù)據(jù)庫，最后采用Python語言、Sklearn機器學習庫建立單類支持向量機的訓練模型，以實現(xiàn)對遠動系統(tǒng)的異常網(wǎng)絡(luò)攻擊檢測。實驗表明，本方法準確率高、誤報率低，適合在遠動系統(tǒng)環(huán)境下的異常網(wǎng)絡(luò)攻擊行為檢測。

參考文獻（References）

[1] 方小飛.基于SCADA的鐵路電力遠動系統(tǒng)幾個關(guān)鍵環(huán)節(jié)的設(shè)計與應(yīng)用[D].長春：吉林大學，2014.

[2] 張克平.鐵路牽引供電系統(tǒng)遠動系統(tǒng)的設(shè)計及應(yīng)用[D].南昌：南昌大學，2013.

[3] 全國電力系統(tǒng)管理和信息交換標準化委員會.遠動設(shè)備及系統(tǒng) 第5-104部分：傳輸規(guī)約 采用標準傳輸協(xié)議集的IEC 60870-5-101網(wǎng)絡(luò)訪問：DL/T 634.5104—2009[S].北京：中國標準出版社，2009.

[4] ANOOP A， SREEJA M S. New genetic algorithm based intrusion detection system for SCADA[J]. International Journal of Engineering Innovations and Research， 2013， 2（2）：171-175.

[5] 顧兆軍，郝錦濤，周景賢.基于改進雙線性卷積神經(jīng)網(wǎng)絡(luò)的惡意網(wǎng)絡(luò)流量分類算法[J].信息網(wǎng)絡(luò)安全，2020，20（10）：67-74.

[6] 劉付民，王靜詠，張治斌.組合核函數(shù)相關(guān)向量機的網(wǎng)絡(luò)安全態(tài)勢預測[J].計算機應(yīng)用研究，2016，33（08）：2417-2419，2424.

[7] 羅峰，胡強，侯碩，等.基于支持向量機的CAN-FD網(wǎng)絡(luò)異常入侵檢測[J].同濟大學學報（自然科學版），2020，48（12）：108-114.

[8] 李振剛，甘泉.改進蟻群算法優(yōu)化SVM參數(shù)的網(wǎng)絡(luò)入侵檢測模型研究[J].重慶郵電大學學報（自然科學版），2014，26（06）：785-789.

[9] 劉穎，王麗敏，姜建華，等.基于離群點剔除的SVM信用風險評價方法[J].吉林大學學報（理學版），2016（06）：1395-1400.

[10] 尚文利，張盛山，萬明，等.基于PSO-SVM的Modbus TCP通訊的異常檢測方法[J].電子學報，2014，42（11）：2314-2320.

作者簡介：

周澤巖（1980-），男，碩士，助理研究員.研究領(lǐng)域：鐵路網(wǎng)絡(luò)安全及軟件測試.

程? 鵬（1975-），男，本科，工程師.研究領(lǐng)域：工業(yè)控制安全和網(wǎng)絡(luò)安全.

方付生（1982-），男，本科，工程師.研究領(lǐng)域：工業(yè)信息安全.

路? 濤（1978-），男，本科，工程師.研究領(lǐng)域：人工智能與信息安全.