楊忠君, 鄭志權, 敖 然, 王國剛, 宗學軍, 李鵬程

(1. 沈陽化工大學 信息工程學院, 沈陽 110142; 2. 遼寧省計量科學研究院, 沈陽 110006)

0 引 言

現(xiàn)代的工業(yè)控制系統(tǒng)(industrial control systems,ICS)正向著規(guī)模化、網(wǎng)絡化和智能化的方向發(fā)展,在推動人類社會巨大進步的同時,也面臨著遭受網(wǎng)絡攻擊帶來的安全問題[1]。伊朗 “震網(wǎng)”病毒事件、委內(nèi)瑞拉電力系統(tǒng)網(wǎng)絡攻擊事件、以色列水利設施網(wǎng)絡攻擊事件和瑞士鐵路公司勒索病毒事件等事件均表明[2],ICS的網(wǎng)絡安全問題已迫在眉睫。

入侵檢測系統(tǒng)(intrusion detection system,IDS)一直是工業(yè)控制網(wǎng)絡安全領域的重要研究內(nèi)容,備受專家學者的關注。IDS可以實時監(jiān)控ICS的狀態(tài),增加系統(tǒng)主動防御能力。近年來,各類新型IDS不斷提出,為工業(yè)控制網(wǎng)絡安全做出了極大的貢獻[3]。Fu等[4]針對大流量復雜圖像處理的問題,提出了一種端到端的多尺度卷積神經(jīng)網(wǎng)絡(multiscale convolutional neural network,MSCNN),取得了不錯的效果。Xu等[5]提出了一種基于混合圖像增強的多任務級聯(lián)卷積神經(jīng)網(wǎng)絡來提高檢測效果。Bedi P等[6]為處理數(shù)據(jù)集中小樣本類的問題,提出了一種siames神經(jīng)網(wǎng)絡的小樣本類檢測模型。李晨等[7]提出一種結(jié)合長短時記憶網(wǎng)絡與支持向量機(one class support vector machine,OCSVM)的混合入侵檢測模型,緩解了傳感器易受未知網(wǎng)絡攻擊的問題。劉萬軍等[8]提出一種結(jié)合含噪密度聚類方法的OCSVM異常入侵檢測算法,提高了模型的魯棒性。

分析以上成果發(fā)現(xiàn),工業(yè)控制網(wǎng)絡安全異常流量檢測領域中存在以下問題:1)ICS中數(shù)據(jù)流量龐大,正負數(shù)據(jù)極不平衡;2)檢測模型的魯棒性差,難以適應不同的工業(yè)控制網(wǎng)絡環(huán)境;3)難以對未知異常攻擊進行有效防御。本文針對以上存在的問題提出了一種基于多尺度卷積神經(jīng)網(wǎng)絡(和改進單類支持向量機(improved one class support vector machine, IOCSVM)的復式網(wǎng)絡入侵檢測模型,并給出了具體結(jié)構(gòu)和參數(shù)。本模型的分類器采用無監(jiān)督學習的OCSVM,利用正例樣本構(gòu)建訓練集,避免了攻擊手段日益復雜從而導致模型魯棒性惡化的問題。

1 相關內(nèi)容

1.1 Inception結(jié)構(gòu)

研究GoogLeNet結(jié)構(gòu)[9]的論文指出獲得高質(zhì)量模型最穩(wěn)妥的做法是在增加網(wǎng)絡深度和寬度的同時減少參數(shù),本文在保持神經(jīng)網(wǎng)絡結(jié)構(gòu)稀疏性的同時,又充分利用密集矩陣的高計算性能,設計出了Inception的模塊化結(jié)構(gòu)。如圖1所示,本文提出的檢測模型采用Inception結(jié)構(gòu)的多尺度卷積作為深層特征提取模塊[10]。

圖1 Inception結(jié)構(gòu)Fig.1 Inception structure

1.2 OCSVM算法

OCSVM是最先由Lkopf等[11]提出的一種無監(jiān)督學習算法,目前已廣泛應用到故障識別和醫(yī)療等領域。其主旨思想是假設原點為唯一異常樣本,通過核函數(shù)將數(shù)據(jù)樣本映射到高維特征空間RD,從而獲得更良好的聚集性及捕捉非線性的能力,最后在特征空間中求解出一個最優(yōu)超平面來實現(xiàn)目標數(shù)據(jù)與坐標原點的最大分離。OCSVM分類器的無約束目標函數(shù)為

(1)

式中:xi為訓練樣本;φ(·)是映射函數(shù);ρ是特征空間中所求超平面的補償與原點的距離;ω是特征空間求得超平面的法向量;v是權衡參數(shù);ξi是松弛變量。

通常利用拉格朗日算子將式(1)優(yōu)化轉(zhuǎn)換,令

得到OCSVM的決策函數(shù):

(2)

2 MSCNN-IOCSVM入侵檢測模型

CNN的優(yōu)勢是能夠在空間維度上提取表征能力強的高層特征,同時也具有數(shù)據(jù)降維的能力。Inception結(jié)構(gòu)與傳統(tǒng)CNN相結(jié)合得到MSCNN,其性能相較于CNN更加優(yōu)秀[12]。OCSVM的優(yōu)勢在于可以將小樣本的無標簽數(shù)據(jù)進行準確分類。基于上述特點和目前工業(yè)控制入侵檢測領域存在的問題,本文提出了一種基于MSCNN和改進OCSVM結(jié)合的復式入侵檢測模型。

2.1 MSCNN-IOCSVM算法原理

本文檢測模型算法原理的推導證明過程主要包括2個部分:MSCNN模塊和OCSVM的改進。

MSCNN特征提取模塊中,在經(jīng)過Inception層多尺度卷積后進入卷積層,卷積公式如下所示:

其中:X為輸入矩陣;W為權重矩陣;Y為輸出矩陣;φ為非線性激活函數(shù)Rule函數(shù)。MSCNN模塊的誤差函數(shù)為

(5)

其中:E為MSCNN模塊的誤差函數(shù);d是期望輸出向量;y是網(wǎng)絡輸出向量。

本文模型設計考慮到了傳統(tǒng)分段式檢測模型只是為了檢測效率的提升,而忽略功能模塊和分類器相互之間的影響。為使各模塊間最大限度地解耦,本文采用隨機傅里葉特征(random Fourier features,RFF)近似徑向基核函數(shù)(radial basis function,RBF),該方法基于內(nèi)核函數(shù)的傅里葉變換,其高斯分布為

p(ω)=N(0,σ-2I)

(6)

式中:I是單位矩陣;σ為高斯過程的標準差。由分布p,在高維特征空間RD得到均勻分配的權值ω1,ω2,…,ωD。因為偏移量不引入到相移,因此映射方式采用余弦與正弦混合。映射定義的公式如下:

(7)

將核近似映射公式(7)代入到式(1)中,得到改進后的OCSVM目標函數(shù)為

(8)

將式(8)與MSCNN模塊的誤差函數(shù)式(5)聯(lián)合,得到本文的MSCNN-IOCSVM模型的聯(lián)合目標函數(shù)為

(9)

式中:α是控制卷積特征壓縮和支持向量機邊之間的超參數(shù);n表示Beach size。

2.2 MSCNN-IOCSVM模型結(jié)構(gòu)

模型利用MSCNN模塊將預處理后的正例二維數(shù)據(jù)進行特征提取和學習,同時降低數(shù)據(jù)維度,然后通過多次epoch訓練使分類器IOCSVM建立最優(yōu)超平面,從而進行樣本判別。MSCNN-IOCSVM模型完整結(jié)構(gòu)如圖2所示。

圖2 MSCNN-IOCSVM模型結(jié)構(gòu)Fig.2 MSCNN-IOCSVM model structure

3 實驗結(jié)果與分析

3.1 評價指標

為了更為直觀地與其他的入侵檢測模型的檢測效果進行多方面對比,本文模型的評價指標主要有準確率(accuracy,Acc),精度(precision,P)以及誤報率(false positive rate,FPR)。

3.2 數(shù)據(jù)分析及預處理

本文性能測試實驗中使用的是加拿大網(wǎng)絡安全研究所公開的CIC-IDS-2017數(shù)據(jù)集。CIC-IDS-2017數(shù)據(jù)集的攻擊手段復雜多變,包括暴力破解,端口掃描,DDos,Dos,Web攻擊,Heartbleed,僵尸網(wǎng)絡以及數(shù)據(jù)滲透等現(xiàn)如今網(wǎng)絡最難以防范和流行的攻擊方法。CIC-IDS-2017數(shù)據(jù)集包括一類正常數(shù)據(jù)和14類攻擊數(shù)據(jù),數(shù)據(jù)特征屬性高達84個,此數(shù)據(jù)集滿足對檢測模型性能測試的要求。經(jīng)過對各類攻擊數(shù)據(jù)的等比例抽樣,重構(gòu)符合實際網(wǎng)絡環(huán)境中數(shù)據(jù)流量分布的實驗數(shù)據(jù)集。因CIC-IDS-2017數(shù)據(jù)集中周一數(shù)據(jù)全部為正常數(shù)據(jù),恰好適合本文模型的訓練,所以實驗中將其按7∶3的比例分配到訓練集和測試集,而異常樣本的選取采用各類攻擊類型數(shù)據(jù)隨機均勻抽取。因此本文基于CIC-IDS-2017數(shù)據(jù)集重構(gòu)數(shù)據(jù)集中的正常數(shù)據(jù)與異常數(shù)據(jù)分布,見表1和表2。

表1 重構(gòu)驗證數(shù)據(jù)集數(shù)據(jù)分布Table 1 Dataset distribution

表2 各類異常數(shù)據(jù)分布Table 2 Distribution of various abnormal data

數(shù)據(jù)預處理過程中將數(shù)據(jù)的特征屬性結(jié)合粗糙集與超球理論約減為81個,之后將數(shù)據(jù)特征reshape為9×9的二維特征矩陣輸入到檢測模型。屬性約減具體實現(xiàn)步驟如下:

1) 基于上文OCSVM理論的描述,隨機抽取n個(10%)正樣本點,作各樣本點距數(shù)據(jù)集樣本中心點m的歐氏距離D,求出最大歐式距離R,其中d為數(shù)據(jù)維度。

2) 根據(jù)中心點m和r構(gòu)建正樣本超球,超球半徑控制參數(shù)μ取0.85。

r=μR, 0≤μ≤1

(13)

3) 對超球空間約減的最外圍數(shù)據(jù)樣本進行屬性統(tǒng)計分析,然后利用概率型粗糙集進行特征屬性的約減,決策屬性設置為訓練集收斂時間,最終使原始特征屬性約減為滿足模型輸入特征矩陣的維度。

3.3 實驗結(jié)果分析

為評估MSCNN-IOCSVM在入侵檢測上的性能,將該檢測模型和相似結(jié)構(gòu)的主流檢測模型MSCNN[13]、RST-SVM[14]和AE-SVM[15]模型在基于CIC-IDS-2017重構(gòu)的實驗數(shù)據(jù)集上進行實驗,得出OCSVM的最優(yōu)參數(shù)為v=0.1,α=1 000,RFF=200和σ=3。經(jīng)過對模型各方面評價指標的綜合對比,可以明顯看到本文設計的模型要優(yōu)于其他的模型,如圖3所示。

圖3 測試實驗檢測結(jié)果Fig.3 Test results

從圖3可以看出,本文模型對于正異流量極不平衡數(shù)據(jù)的檢測分類效果優(yōu)于其他算法模型。Acc和FPR的分數(shù)表現(xiàn)都較為出色,滿足對于大流量、樣本類型復雜和不平衡的工業(yè)控制網(wǎng)絡環(huán)境的檢測要求。

3.4 魯棒性驗證

在模型的魯棒性驗證實驗中,本文使用的是2014年MSU基礎設施保護中心建立的工業(yè)控制標準入侵檢測數(shù)據(jù)集,其原始數(shù)據(jù)是密西西比州立大學內(nèi)部SCADA實驗室設計的天然氣管道系統(tǒng)的真實數(shù)據(jù)。數(shù)據(jù)集是SCADA系統(tǒng)中隨著時間變化抓取的流量數(shù)據(jù),針對ICS的網(wǎng)絡攻擊手段復雜多樣,包括35種攻擊方式,對應7種攻擊類型,26個數(shù)據(jù)特征,是評估ICS入侵檢測的標準數(shù)據(jù)集,為了簡化實驗計算過程,選取10%數(shù)據(jù)集進行驗證實驗。為了讓驗證數(shù)據(jù)集更貼合實際ICS的流量分布情況,本文使用SMOTE算法對數(shù)據(jù)集的Normal數(shù)據(jù)過采樣,并對各類攻擊數(shù)據(jù)進行隨機均比抽取組成異常數(shù)據(jù),重新構(gòu)造的驗證數(shù)據(jù)集數(shù)據(jù)分布見表3。

表3 重構(gòu)數(shù)據(jù)集數(shù)據(jù)分布Table 3 Reconstructing data distribution of dataset

為了更好地體現(xiàn)模型的魯棒性,本文的魯棒性驗證實驗采用十折交叉驗證并對各個模型進行30次迭代。實驗中將數(shù)據(jù)特征約簡為25個,reshape為5×5的模型輸入。

為了進一步直觀證明本文模型的強魯棒性,將各檢測模型分別在實驗數(shù)據(jù)集,即CIC-IDS-2017(簡稱為CIC)和魯棒性驗證數(shù)據(jù)集,即MSU標準工控數(shù)據(jù)(簡稱為MSU)上的表現(xiàn)進行分析對比,從不同模型數(shù)據(jù)集上的實驗結(jié)果中的Acc和FPR評價指標差波動差值來評估模型魯棒性的好壞。實驗數(shù)據(jù)結(jié)果見表4。

表4 各模型魯棒性對比Table 4 Robustness comparison of each model

從表4分析可知,模型的Acc和FPR指標波動絕對值之和的結(jié)果越接近0,模型的魯棒性越強。分析可知,因RST-SVM模型是結(jié)合粗糙集約簡理論設計,所以在數(shù)據(jù)類型復雜多變的驗證數(shù)據(jù)集上的表現(xiàn)很不理想,其魯棒性最差。MSCNN模型基于CNN設計,對于較為復雜的數(shù)據(jù)集有強大的適應能力,因而其魯棒性相對較好。AE-SVM基于自編碼器的SVM設計,模型對于不同環(huán)境的適應能力也較強,其魯棒性指標最為接近本文提出的檢測模型。本文模型結(jié)合MSCNN與OCSVM的各自優(yōu)勢設計,所以模型的異常檢測能力和魯棒性都很優(yōu)秀。

4 結(jié) 語

本文針對目前工業(yè)網(wǎng)絡入侵檢測系統(tǒng)對多變的ICS網(wǎng)絡環(huán)境的適應能力差的問題,利用OCSVM對異常數(shù)據(jù)極為敏感的特性與MSCNN可提取不同層次特征的能力,設計出分段式的網(wǎng)絡入侵檢測模型。在工控標準數(shù)據(jù)集上與多種經(jīng)典模型進行了性能對比,證明本文模型具有較強的異常檢測能力和魯棒性,可滿足工控入侵檢測的要求。