梅足輝 古春生

(江蘇理工學院 機械工程學院，江蘇 常州213001）

互聯(lián)網(wǎng)技術(shù)的發(fā)展使得傳統(tǒng)工業(yè)控制網(wǎng)絡突破了空間的限制，實現(xiàn)了遠程操作、異地操作的功能，同時也帶了不少安全隱患，一款高效的工業(yè)防火墻能有效保護系統(tǒng)安全。

傳統(tǒng)防火墻主要有兩種技術(shù)實現(xiàn)：包過濾防火墻，狀態(tài)檢測防火墻。包過濾防火墻通過對系統(tǒng)五元組進行過濾。狀態(tài)檢測防火墻會維系一張與系統(tǒng)連接的網(wǎng)絡訪問表，對進出流量進行監(jiān)控。然而此類防火墻在規(guī)則過濾方法中仍使用規(guī)則匹配的算法模式，這種方式不僅對硬件設備資源要求高，同時需要大量人力，并且不斷更新特征庫，有很大的安全隱患。

SVM(Support Vector Machine，支持向量機)是以統(tǒng)計學習理論的VC 維理論和結(jié)構(gòu)風險最小原理為基礎(chǔ)的一種機器學習算法[1]，擅長解決小樣本、非線性及高維模式識別的問題。在工業(yè)防火墻的實際問題中，數(shù)據(jù)維度復雜，正常流量比例遠大于異常流量，因此采用SVM算法作為分類器算法。

基于以上情況，本文提出一種基于SVM算法的NDIS 工業(yè)防火墻系統(tǒng)模型，使用NDIS 與LSP 框架捕獲流經(jīng)網(wǎng)絡的數(shù)據(jù)包并進行協(xié)議解析提取其特征值，在內(nèi)核態(tài)使用SVM算法對數(shù)據(jù)包進行分類操作，并使用IOCTL 與共享內(nèi)存的方式傳回判決數(shù)據(jù)，完成對系統(tǒng)的安全防護。

1 系統(tǒng)設計

本系統(tǒng)是以LSP 與NDIS 為基礎(chǔ)過濾技術(shù)設計的、使用SVM 算法作為過濾規(guī)則算法的一款基于WINDOWS 系統(tǒng)的工業(yè)防火墻系統(tǒng)。

系統(tǒng)采用了雙層過濾的模式，在初始化時加載LSP 鉤子與NDIS 中間層過濾設備，LSP 鉤子將掛載于系統(tǒng)的網(wǎng)絡層，HOOK住WINSOCK API 函數(shù)，NDIS 中間層過濾驅(qū)動設備將掛載在內(nèi)核層面，當有數(shù)據(jù)流傳輸時，若使用WINSOCK API，會調(diào)用socket 函數(shù)，將被鉤子模塊捕獲，若繞過了系統(tǒng)API 直接調(diào)用WINDOWS SPI 函數(shù)或者TDI 驅(qū)動等非常規(guī)通信方式將被NDIS 驅(qū)動捕獲。因為SVM算法對解決高緯度分類問題有良好的效率[2]，所以設計了雙層過濾的模式過濾系統(tǒng)數(shù)據(jù)封包同時使用支持向量機算法對封包進行判決處理，根據(jù)判決結(jié)果生成的防火墻規(guī)則信息將會通過通信模塊的共享內(nèi)存與IOCTL 方式通知防火墻主模塊，并根據(jù)判決信息動態(tài)添加過濾規(guī)則，完成對惡意封包的過濾。

1.1 工業(yè)協(xié)議特征提取

使用NDIS 與LSP 技術(shù)過濾封包后將對協(xié)議進行解析處理[3,4]，以廣泛使用的MODBUS 協(xié)議為例，通過協(xié)議解析模塊將數(shù)據(jù)包解析為系統(tǒng)能夠識別的格式。完成后將會對數(shù)據(jù)進行標準化處理并提取特征與歸一化處理。在特征值選取時，提取的特征越多，越能代表了原始數(shù)據(jù)包的信息。一個封包信息繁多，因此算法需要解決高特征維度的問題。SVM算法雖然受特征維度影響不大，但計算量也會因此上升，因此在提取特征值時需要進行標準化、歸一化等處理。

如一個MODBUS 包的原始格式為：（00 01 00 00 00 06 01 02 00 00 00 12），系統(tǒng)將按照協(xié)議格式標準化為統(tǒng)一格式：＜Transaction identifier,Protocol,Len,Unit ID,Function code,Data＞（1,0,6,1,2,12），并對其進行歸一化在（-1,1）的區(qū)間內(nèi)，方便系統(tǒng)訓練判決。

1.2 SVM算法

SVM(Support Vector Machine，支持向量機)，是一種機器學習的分類算法。有很多線性分類的問題可以使用分類算法，但是面對非線性問題時，這些算法需要將其中特征相互作用產(chǎn)生新的特征來得到一個非線性邊界，這個過程容易造成過度擬合。SVM算法引入了核函數(shù)，將原始特征的分線性問題映射到高緯空間，變成一個高緯線性可分的問題，解決非線性問題[5]。公式如下：

是核函數(shù)中的懲罰系數(shù)，代表與標準樣本與當前樣本的誤差容忍度。當過大時，此時高斯核的衰減極高，此時核函數(shù)的映射效果極弱，數(shù)值上與映射前相差不大，容易產(chǎn)生欠擬合的效果。當過小時，核函數(shù)映射距離極大，雖然能夠擬合任何非線性問題，但會造成過度擬合的效果，實際準確率反而不高。在函數(shù)庫中還有g(shù)amma 參數(shù)控制核函數(shù)結(jié)果[6]。因此需要使用網(wǎng)格搜索算法對參數(shù)進行優(yōu)化，選取最佳參數(shù)。

線性回歸是一種常用的解決線性分類問題的算法，構(gòu)造其代價函數(shù)公式為：

SVM算法的代價函數(shù)與線性回歸類似，然而線性回歸算法對非線性問題的處理十分繁瑣，SVM算法引入了核函數(shù)的概念能夠有效解決非線性問題。SVM算法在原代價函數(shù)的基礎(chǔ)上將原樣本改為原樣本的核函數(shù)，原特征數(shù)也改為了高斯核選取的樣本數(shù)，將原問題變?yōu)樽钚』颂卣鞯膯栴}，構(gòu)造其代價函數(shù)公式為：

在工業(yè)控制網(wǎng)絡中主要將正常數(shù)據(jù)包與惡意數(shù)據(jù)包分類，以樣本集為例{(x1,y1),(x2,y2)....(xn,yn)}，其中x 為樣本特征，y 為樣本類別以1 代表正常數(shù)據(jù)包，-1 代表惡意數(shù)據(jù)包。樣本的判決函數(shù)為：

將特征提取步驟中提取的特征值X，代入算法訓練產(chǎn)生的假設函數(shù)hθ(x)中得出結(jié)果，若結(jié)果為1 則為正常數(shù)據(jù)包。若判斷結(jié)果為-1 則為惡意數(shù)據(jù)包。

2 仿真實驗

為驗證防火墻算法的完備性，使用KDD 數(shù)據(jù)集中樣本驗證本文SVM算法的準確性。本文隨機抽取數(shù)據(jù)集中正常數(shù)據(jù)包與異常攻擊數(shù)據(jù)包構(gòu)成測試樣本，驗證防火墻過濾算法對數(shù)據(jù)集判斷準確性。

非均衡載集對訓練結(jié)果有很大影響，由于實際情況中正常流量遠大于異常流量，因此在訓練時也需注意非均衡載集的問題。本文使用MATLAB 作算法仿真實驗，選取KDD 數(shù)據(jù)集2000個正常樣本，同時研究分均衡載集問題，選取不同數(shù)量異常數(shù)據(jù)，其比例分別為1/100、1/80、1/60、1/40、1/20 并依次編號樣本。選取測試樣本200，其中正常數(shù)據(jù)與異常數(shù)據(jù)比例為1/1。

首先取正常樣本與異常樣本差別最大的1 號數(shù)據(jù)作為訓練集，提取特征、訓練算法、進行驗證，測試5 組數(shù)據(jù)，測試預測正常數(shù)據(jù)與異常數(shù)據(jù)的準確度，結(jié)果如圖2 所示。

圖2 不均衡數(shù)據(jù)集精度

從圖中可知當樣本不均衡比例較大時，預測結(jié)果中正常數(shù)據(jù)預測準確率都在90%以上。然而對異常數(shù)據(jù)預測精度極低。

由于非均衡載集訓練算法對異常攻擊數(shù)據(jù)預測精度極低，因此調(diào)整異常樣本數(shù)據(jù)比例進行測試。同時使用改進網(wǎng)格搜索算法重新優(yōu)化參數(shù)，其改進參數(shù)如表1 所示。導入MATLAB 軟件對測試樣本進行預測，其結(jié)果如圖3 所示。

表1 網(wǎng)格搜索參數(shù)表

圖3 不同數(shù)據(jù)比例精度測試

從圖3 的結(jié)果可知，當異常攻擊數(shù)據(jù)與正常數(shù)據(jù)比例相差較大時，正常數(shù)據(jù)預測精度較高，多在90%以上，然而對異常攻擊數(shù)據(jù)的預測精度較低，大多低于40%。當訓練數(shù)據(jù)集中異常攻擊數(shù)據(jù)與正常數(shù)據(jù)比例改進，比例縮小后，對正常數(shù)據(jù)預測精度影響不大，在樣本比例為1/25 時降到最低，仍維持在85%以上。對異常攻擊數(shù)據(jù)預測精度大幅度上升，從29%提高到了91%。

實驗結(jié)果證明，SVM 算法在工業(yè)協(xié)議智能過濾問題中有良好的表現(xiàn)，可以有效解決非線性分類問題，同時非均衡載集對訓練結(jié)果精度有很大的影響，通過改進參數(shù)與改進樣本間異常攻擊數(shù)據(jù)與正常數(shù)據(jù)比例能夠大幅度提升算法判別結(jié)果精度。改進后的SVM算法能夠有效過濾異常攻擊數(shù)據(jù)，保護系統(tǒng)安全。

3 結(jié)論

目前許多防火墻仍使用規(guī)則匹配白名單機制對數(shù)據(jù)進行安全過濾，同時使用人工配置規(guī)則，這使得防火墻存在一些安全隱患，同時影響防火墻的性能效率。本文使用NDIS 與LSP 雙層過濾作為過濾技術(shù)，能夠有效捕獲流經(jīng)網(wǎng)絡的所有數(shù)據(jù)封包，并使用SVM算法作為過濾算法，智能解析提取數(shù)據(jù)包特征，并對其進行分類。使用抽樣法抽取數(shù)據(jù)集中不均衡數(shù)據(jù)集并對其研究得到最優(yōu)數(shù)據(jù)集，同時使用改進網(wǎng)格搜索法優(yōu)化算法參數(shù)，使算法對數(shù)據(jù)分類精確度達到預期目標，完成智能過濾模塊，加固了工業(yè)控制網(wǎng)絡安全性。