陳 思 吳秋新 張銘坤 安曉楠 龔鋼軍 劉 韌 秦 宇

1(北京信息科技大學(xué) 北京 100192) 2(華北電力大學(xué)北京市能源電力信息安全工程研究中心 北京 102206) 3(北京卓識網(wǎng)安技術(shù)股份有限公司 北京 102206) 4(中國科學(xué)院軟件研究所 北京 100190)

0 引 言

隨著信息化與工業(yè)化的深度融合以及“互聯(lián)網(wǎng)+”與智慧能源、能源互聯(lián)網(wǎng)、綜合能源服務(wù)等發(fā)展模式的改變[1]，工業(yè)技術(shù)體系在開放性、互聯(lián)互通性和智能化等方面的需求越來越強烈[2]。工業(yè)控制系統(tǒng)物理隔離的傳統(tǒng)封閉環(huán)境面臨著“固守與發(fā)展”的矛盾，傳統(tǒng)信息系統(tǒng)所面臨的病毒、木馬工具等網(wǎng)絡(luò)危害，也開始逐漸向工業(yè)控制領(lǐng)域擴散。2011年“Duqu”病毒從工業(yè)控制系統(tǒng)制造商那里隱藏和收集有關(guān)其目標的信息，致使超過1 400名旅客滯留；2017年“WannaCry”的勒索病毒在世界各地進行了大規(guī)模攻擊，導(dǎo)致100多個國家和地區(qū)受到影響，受到影響的行業(yè)包括醫(yī)療系統(tǒng)、快遞公司、石油和石化公司、學(xué)校、銀行和警察局等。2019年3月7日下午，委內(nèi)瑞拉包括首都加拉加斯在內(nèi)，經(jīng)歷了全國范圍內(nèi)的大規(guī)模停電，直至8日晚部分地區(qū)才恢復(fù)供電，但9日中午，電力系統(tǒng)遭受新一輪網(wǎng)絡(luò)攻擊導(dǎo)致再次崩潰。上述事件都揭示了信息安全在工業(yè)控制系統(tǒng)中占據(jù)越來越重要的地位。因此，工業(yè)控制系統(tǒng)的安全日漸堪憂。由于攻擊手段的多種多樣，短時間就可對工業(yè)生產(chǎn)生活造成惡劣影響，所以對入侵檢測的實時性要求越來越高。隨著工業(yè)控制系統(tǒng)入侵檢測的發(fā)展，入侵檢測的方法也取得了一定的成果，從目前的研究工作表明，主要有以下三種入侵檢測方法：(1) 基于專家的經(jīng)驗、知識來進行推理判斷，典型的系統(tǒng)主要是首先采用規(guī)則表示專家經(jīng)驗和設(shè)備參數(shù)，建立規(guī)則知識庫，通過對檢測到的網(wǎng)絡(luò)信息傳輸?shù)酵评頇C中進行系統(tǒng)故障診斷。(2) 基于模型的入侵檢測，主要根據(jù)工業(yè)控制系統(tǒng)中特定參數(shù)[3]，并選取檢測特征，構(gòu)建基于工控環(huán)境的入侵檢測數(shù)學(xué)模型，并通過該模型實現(xiàn)對系統(tǒng)狀態(tài)的檢測與預(yù)測。(3) 基于機器學(xué)習(xí)的入侵檢測，機器學(xué)習(xí)是一種了解數(shù)據(jù)、提取重要模式和趨勢的研究方法，廣泛應(yīng)用于數(shù)據(jù)挖掘、計算機視覺、模式識別等領(lǐng)域。

通過入侵檢測技術(shù)，可以監(jiān)測主機和網(wǎng)絡(luò)等邊緣側(cè)的異常數(shù)據(jù)[4]，隨著云計算的廣泛應(yīng)用，云計算中心聚集了大量的數(shù)據(jù)，云中心具有強大的處理性能，可以處理海量數(shù)據(jù)[5]。但是云計算存在兩個局限性[6]。一是數(shù)據(jù)的重量，由于數(shù)據(jù)需要大量的存儲空間以及帶寬等，使得通信傳輸?shù)膿砣?；二是時延，傳輸海量數(shù)據(jù)需要時間，云中心處理數(shù)據(jù)也需要時間，這將增加請求響應(yīng)時間。工業(yè)控制系統(tǒng)一旦遭受惡意入侵，如果不能及時檢測將會造成難以想象的后果，邊緣計算可以很好地解決此問題。目前基于云環(huán)境下的入侵檢測已經(jīng)成熟。文獻[7]提出了一種基于云計算理論的入侵檢測算法來檢測入侵行為，提高了對復(fù)雜入侵的檢測能力。文獻[8]將邊緣計算引入入侵檢測的思想，但是沒有提出實際的業(yè)務(wù)場景。文獻[9]將邊緣計算的應(yīng)用場景放到了配電網(wǎng)信息物理系統(tǒng)中，根據(jù)邊緣計算的價值提出了對物理信息系統(tǒng)的管控模型評價體系。文獻[10]提出了基于卷積神經(jīng)網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)入侵檢測算法，可以學(xué)習(xí)如何從現(xiàn)有的混合數(shù)據(jù)中識別正常和異常，并從正常數(shù)據(jù)中學(xué)習(xí)正常行為。雖然在云計算以及邊緣計算都已經(jīng)針對入侵檢測進行研究，但是還沒有體現(xiàn)邊云協(xié)同的思想，將邊緣計算和云計算進行協(xié)同能夠更好地提高入侵檢測的速度和準確率。

本文通過建立邊云協(xié)同的入侵檢測模型，利用機器學(xué)習(xí)算法提高工業(yè)控制系統(tǒng)的入侵檢測的效率。

1 邊緣計算、云計算和ICS入侵檢測

1.1 模型架構(gòu)

2016年11月，邊緣計算產(chǎn)業(yè)聯(lián)盟定義了包含設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)與應(yīng)用四域的邊緣計算參考架構(gòu)[11]，并于2019年提出了邊緣計算3.0參考體系結(jié)構(gòu)。新架構(gòu)側(cè)重體現(xiàn)邊緣云以及邊緣智能的應(yīng)用價值。邊緣計算能夠應(yīng)用、處理和分析網(wǎng)絡(luò)邊緣的數(shù)據(jù)。在邊緣節(jié)點處處理這些數(shù)據(jù)可使響應(yīng)時間最短、減少網(wǎng)絡(luò)負載并及時檢查工業(yè)控制系統(tǒng)受到的入侵檢測。邊緣計算能夠?qū)⒃朴嬎愕挠嬎隳芰ο鲁恋綌?shù)據(jù)端。因此，邊緣計算能夠在本地進行信息服務(wù)，時效性更高，能夠存儲短時的數(shù)據(jù)，而云計算可存儲大量數(shù)據(jù)，在遠程進行大數(shù)據(jù)分析[12]，支撐邊緣計算在本地的決策能力。通過分析邊緣計算和云計算在入侵檢測業(yè)務(wù)場景下的融合，構(gòu)建了如圖1所示的三維立體模型圖，其能夠體現(xiàn)邊云協(xié)同在入侵檢測的各個業(yè)務(wù)環(huán)節(jié)發(fā)揮著重要作用。

圖1 邊云入侵檢測模型圖

1.2 邊云協(xié)同的ICS模型

邊云協(xié)同模型在傳統(tǒng)的ICS入侵檢測模型的基礎(chǔ)下，按照邊緣計算3.0架構(gòu)的提出了邊云協(xié)同的工業(yè)控制系統(tǒng)入侵檢測模型，如圖2所示。

圖2 ICS入侵檢測模型

該模型由下至上共分為三層，分別是數(shù)據(jù)采集層、邊緣計算層、云計算層。數(shù)據(jù)采集層由工業(yè)控制系統(tǒng)中現(xiàn)場控制層組成，其中包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程控制器(PLC)、遠程終端(RTU)[13]等。

上傳ICS的數(shù)據(jù)進行并輸出至第二層邊緣計算層，邊緣計算在本層的功能包括：(1) 本地消息通信。工業(yè)控制系統(tǒng)采集設(shè)備通過網(wǎng)絡(luò)相互收發(fā)消息，而不僅僅依賴互聯(lián)網(wǎng)，數(shù)據(jù)通信具備QoS質(zhì)量保障能力。(2) 本地計算。邊緣計算可通過函數(shù)計算的形式處理消息，將結(jié)果傳遞至下一階段，所以可以利用深度學(xué)習(xí)，在邊緣端解決信息處理。(3) 云數(shù)據(jù)同步。可將端與云的數(shù)據(jù)進行雙向消息傳遞，能夠?qū)崿F(xiàn)在網(wǎng)絡(luò)斷開的情況下將消息暫存，等待網(wǎng)絡(luò)通暢后再自動重試。數(shù)據(jù)進行預(yù)處理或分析后由邊緣計算層上傳到第三層對數(shù)據(jù)進行預(yù)處理或分析，然后將數(shù)據(jù)傳入到云計算層，云計算層通過自身強大的計算能力，分析邊緣端入侵檢測模型處理結(jié)果的可靠性，并更新邊緣端模型，以便邊緣端模型能夠解決未知入侵。云端對邊緣端的模型進行更新后重新傳回邊緣端，通過這一滾動更新的過程，云端賦予邊緣端更強的入侵檢測能力。

雖然云端賦予了邊緣端入侵檢測診斷的能力，但是并不意味著邊緣側(cè)可以脫離與云端的交互，形成邊緣側(cè)的閉環(huán)。首先入侵形式是一個不斷更新的過程，時刻都會有新的攻擊類型，其次通過邊緣計算不斷將預(yù)處理數(shù)據(jù)上傳增強云端的入侵檢測能力，當其他邊緣側(cè)遇到相似問題，可將經(jīng)驗直接下放到該邊緣側(cè)，無須重新學(xué)習(xí)，直接將經(jīng)驗共享。

2 基于邊云協(xié)同的入侵檢測算法

2.1 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)(Convolutional neural network，CNN)是一種不完全連接的前饋神經(jīng)網(wǎng)絡(luò)，具有從圖像中識別視覺模式的能力。通過對采集到的信號進行逐層特征變換，構(gòu)造出一個包含豐富特征的結(jié)構(gòu)模型，實現(xiàn)特征的自動學(xué)習(xí)[14]。

其輸入層可以處理多層數(shù)據(jù)。通常，一維卷積神經(jīng)網(wǎng)絡(luò)的輸入層接收一維或二維數(shù)組，其中一維陣列通常用作頻譜采樣。二維陣列可以包含多個通道，二維卷積神經(jīng)網(wǎng)絡(luò)的輸入層接收二維或三維數(shù)組。三維卷積神經(jīng)網(wǎng)絡(luò)的輸入層接收一個四維數(shù)組[15]。

2.2 深度可分離卷積

就模型尺寸而言，傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)擁有大量參數(shù)，保存這些參數(shù)對設(shè)備的存儲空間要求很高。所以為了加快模型處理的速度，通常會降低網(wǎng)絡(luò)本身計算復(fù)雜度。與云端部署的服務(wù)器不同，邊緣計算設(shè)備由于硬件資源的限制，難以支持大型軟件的運行[16]。即使是ARM處理器的處理速度不斷提高，功耗不斷降低，但就目前情況來看，仍不足以支持復(fù)雜的數(shù)據(jù)處理應(yīng)用[17]。因此，本文在邊緣端使用一種輕量級算法Mobile Net模型，其具有結(jié)構(gòu)小、延遲低、功耗低的特性，雖然是輕量級算法但是依舊可以像大規(guī)模模型一樣，用于圖像的分類、檢測、嵌入、分割等任務(wù)，有效地最大化模型的準確性[18]。

圖3為一個5×5的傳統(tǒng)卷積得到特征值的過程與深度可分離模型的操作過程的異同對比?？梢钥闯?，傳統(tǒng)卷積首先將增加堆疊卷積層的數(shù)量，這種方法最初是在AlexNet[20]中引入的，并且在VGG和其他網(wǎng)絡(luò)中一直繼續(xù)使用。然而，純粹增加深度不會導(dǎo)致訓(xùn)練產(chǎn)生良好的結(jié)果，為了解決這一問題，本文將不同提取特征的算法與深度可分離卷積進行結(jié)合，能夠更加有效地提取特征。然后將標準卷積分為了Depthwise和Pointwise兩個部分，通過這樣的方式打破通道數(shù)量，利用濾波和組合方式形成卷積，其本質(zhì)為以優(yōu)化延遲為重點，從深度可分離卷積的角度對模型進行重構(gòu)[21]。在此基礎(chǔ)上給出高效模型設(shè)計，并來構(gòu)建輕量級深度神經(jīng)網(wǎng)絡(luò)，因此Mobile Net模型更加適用于邊緣側(cè)的應(yīng)用服務(wù)。

圖3 深度可分離卷積

一個卷積核處理輸入數(shù)據(jù)時的計算量為：

Kwidth×Kheight×N×C×Iwidth×Iheight

(1)

式中：N是使用的卷積核個數(shù)；C為輸入的通道數(shù)；Kheight和Kwidth為卷積核的寬和高；Iheight和Iwidth為輸入的寬和高，且采用補0的方式。

在某一層如果使用N個卷積核，這一層的深度可分離卷積的計算量為：

Depthwise separable convolution：

Kwidth×Kheight×C×Iwidth×Iheight

(2)

Pointwise convolution：

N×C×Iwidth×Iheigh

(3)

2.3 Mobile Net模型實現(xiàn)流程

本文提出一種適用于邊緣端的Mobile Net模型，具體模型結(jié)構(gòu)和實現(xiàn)流程如圖4所示。

圖4 算法框架結(jié)構(gòu)圖

首先將數(shù)據(jù)堆疊三層，再將數(shù)據(jù)的特征進行歸一化處理。然后通過深度可分離卷積神經(jīng)網(wǎng)絡(luò)模型進行入侵檢測。入侵檢測的深度可分離卷積模型一共有四層，包括兩層卷積操作、一層池化操作、兩層全連接操作。采用Same類型卷積運算，卷積核大小為3×3，步長值為1，池化層均采用最大池化方法，核的大小為2×2，步長值為1。選定每層卷積核個數(shù)為32。Depthwise卷積核大小為3×3，Pointwise卷積核大小為1×1。為防止過擬合采用dropout方法，并利用Adam算法替代傳統(tǒng)梯度下降法，基于訓(xùn)練迭代更新網(wǎng)絡(luò)權(quán)重[22]。該結(jié)構(gòu)為了實現(xiàn)輕量化放棄了池化采用卷積進行運算。

圖4右側(cè)框架分成數(shù)據(jù)預(yù)處理、模型訓(xùn)練和模型測試三個部分，其中模型訓(xùn)練部分進行模型學(xué)習(xí)，模型測試則將測試數(shù)據(jù)集放入進行驗證，最后可采用TensorBoard模塊將模型結(jié)構(gòu)以及訓(xùn)練、測試結(jié)果可視化。

由式(2)-式(3)可算出本文使用的Mobile Net模型各層的計算量。為了更好地對比新模型在計算量及準確率的優(yōu)勢，采用傳統(tǒng)的CNN模型進行對比，令CNN模型層數(shù)與本文使用的Mobile Net模型層數(shù)相同，步長值、卷積核大小、個數(shù)、卷積運算類型基本一致。兩種模型具體的輸入?yún)?shù)以及計算量如表1-表2所示。

表1 Mobile Net計算量

表2 CNN計算量

可以看出，傳統(tǒng)CNN的計算量是Mobile Net模型計算量將近兩倍。經(jīng)過深度可分離卷積操作后，全連接的計算量下降顯著，該操作使得模型更加輕量。可得出Mobile Net模型能夠有效地節(jié)省時間，提高入侵檢測的效率。

3 實 驗

本實驗數(shù)據(jù)集總共由500萬條記錄構(gòu)成，其中訓(xùn)練集和測試集的比例是9∶1。在訓(xùn)練數(shù)據(jù)集中包含了1種正常的標識類型normal和22種訓(xùn)練攻擊類型，另有17種未知攻擊類型出現(xiàn)在測試集中。

本文算例在單臺CPU為2.6 GHz，內(nèi)存為4 GB的個人計算機上完成。實驗仿真過程采用Python 3.6.0版本，TensorFlow深度學(xué)習(xí)框架。

3.1 仿真模型

表3為實驗仿真參數(shù)。

表3 實驗仿真參數(shù)

本文采用的損失評價標準為：

(4)

式中：q表示真實值；p表示預(yù)測值；m表示數(shù)據(jù)量；n表示訓(xùn)練輪數(shù)。

仿真得到的損失如圖5所示。

圖5 Mobile Net模型訓(xùn)練損失

可以看出，模型的損失隨著訓(xùn)練輪數(shù)的增加而下降，然后趨于穩(wěn)定。由于數(shù)據(jù)量充分，模型正確，訓(xùn)練輪數(shù)足夠長，模型最終達到收斂狀態(tài)的損失隨著訓(xùn)練輪數(shù)增加而減少，這都驗證了模型訓(xùn)練的有效性。

3.2 實驗結(jié)果分析

為了驗證本文使用的Mobile Net模型在準確率以及時間的優(yōu)勢，采用上述的傳統(tǒng)卷積模型進行對比實驗。兩種模型在訓(xùn)練集和測試集上的準確率分別如圖6和圖7所示。

圖6 訓(xùn)練集準確率

圖7 測試集準確率

可見兩種算法模型都有很高的準確率，Mobile Net模型和CNN模型在趨勢上都是先升高達到峰值后降低，Mobile Net在第500輪時，訓(xùn)練集和測試集準確率都達到最高，分別是100%和98.12%；CNN模型在第550輪時，訓(xùn)練集和測試集準確率都達到最高，分別是100%和97.92%。從整體準確率結(jié)果看，Mobile Net模型較傳統(tǒng)的CNN模型準確率略有提高。

兩種模型的計算時間對比如圖8所示。

圖8 模型計算時間對比

可見，兩種模型除了在準確率上的差別外，需要訓(xùn)練的時間差距也非常明顯。隨著訓(xùn)練的輪數(shù)增加，時間差距越來越大，在第200輪后兩者的時間差開始相差一倍左右，之后差距越來越明顯。因此，采用的Mobile Net模型優(yōu)于傳統(tǒng)的CNN模型，更適合數(shù)據(jù)量大且延時需求低的邊緣側(cè)。

3.3 實驗對比分析

使用針對同樣訓(xùn)練樣本，對比其他神經(jīng)網(wǎng)絡(luò)算法的準確率，包括傳統(tǒng)BP、改進BP、DBN、RBF，對比結(jié)果如表4所示。

表4 性能對照表

可以看出，本文使用的兩種卷積神經(jīng)網(wǎng)絡(luò)算法在本數(shù)據(jù)集上具有更好的分類效果，且Mobile Net模型準確率更高。

4 結(jié) 語

本文研究了基于邊云協(xié)同的ICS入侵檢測的仿真，在實驗室條件下，改進現(xiàn)有的CNN模型，提高了入侵檢測的準確率，減少了模型的計算量，減少了網(wǎng)絡(luò)帶寬，降低了數(shù)據(jù)的延時率。本文模型更加適用于邊緣側(cè)進行工業(yè)控制的入侵檢測，通過云端對邊緣端模型的優(yōu)化，使得邊緣端的模型更加完善，能夠防御不斷升級的入侵。這為ICS入侵檢測提供了一種新的思路，但是模型還可通過進一步簡化，例如可借助深度神經(jīng)網(wǎng)絡(luò)算法的剪枝技術(shù)進行模型壓縮，使得模型更加輕量，更適合邊緣側(cè)的工作。