油氣集輸SCADA安全防御的因素神經(jīng)元模型研究

梁 鵬，朱 旭，曹謝東，秦 勇，張偉偉，胡啟超

(1.西南石油大學(xué) 電氣信息學(xué)院，四川 成都 610500;2.青海油田澀北作業(yè)公司，青海 格爾木 816000）

0 引言

SCADA (Supervisory Control And Data Acquisition)系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)[1]，現(xiàn)已廣泛應(yīng)用于油氣集輸[2]領(lǐng)域，尤其是大規(guī)模油氣集輸管網(wǎng)。過去，SCADA系統(tǒng)一直處于封閉的環(huán)境中，安全風(fēng)險(xiǎn)相對(duì)較低。隨著近幾年敵對(duì)國(guó)家和集團(tuán)出于經(jīng)濟(jì)、政治和軍事目的對(duì)能源SCADA系統(tǒng)的攻擊頻發(fā)[3]，油氣集輸管網(wǎng)SCADA系統(tǒng)作為國(guó)家重大基礎(chǔ)設(shè)施和能源發(fā)展戰(zhàn)略的重要組成部分，面臨著嚴(yán)峻的安全挑戰(zhàn)[4]。

為了提高分布式油氣集輸SCADA系統(tǒng)主機(jī)的安全防護(hù)等級(jí)，進(jìn)而提升整個(gè)SCADA系統(tǒng)的安全防御能力，提出了一種針對(duì)油氣集輸SCADA安全防御的因素神經(jīng)元模型，將因素神經(jīng)網(wǎng)絡(luò)理論[5-6]和程序行為特征[7]應(yīng)用到油氣集輸SCADA主機(jī)安全防御中，使其具有抗已知和未知惡意程序攻擊的能力。

1 因素神經(jīng)網(wǎng)絡(luò)理論

1.1 因素神經(jīng)網(wǎng)絡(luò)理論簡(jiǎn)介

因素神經(jīng)網(wǎng)絡(luò)理論是關(guān)于智能工程領(lǐng)域的基礎(chǔ)理論之一。它以知識(shí)的因素表示為基礎(chǔ)，以因素神經(jīng)元及因素神經(jīng)網(wǎng)絡(luò)為其形式化框架，并希望以此來(lái)實(shí)現(xiàn)知識(shí)的存儲(chǔ)與運(yùn)用，完成智能行為的工程模擬過程。

1.2 因素與因素狀態(tài)空間

因素 f 是事物描述的基元，也是一種認(rèn)知與表達(dá)范疇，它是在對(duì)事物進(jìn)行認(rèn)知過程中抽象形成的，人們又用它來(lái)認(rèn)知和描述事物，如對(duì)事物進(jìn)行描述時(shí)所考慮的事物的屬性、推理過程中所考慮的各種前提條件等。因素f∈F可以視為一個(gè)映射，作用在一定的對(duì)象u∈U上，獲得一定的狀態(tài) f(u)。f:D(f)→X(f)，其中X(f)={f(u)│u∈U}為 f 的狀態(tài)空間[5-6]。

1.3 解析型因素神經(jīng)元的形式化定義

因素神經(jīng)元FN（Factor Neuron）是一個(gè)知識(shí)表達(dá)及信息處理的基本單元[5]。因素神經(jīng)元分為解析型因素神經(jīng)元和模擬型因素神經(jīng)元，它們都是構(gòu)成因素神經(jīng)網(wǎng)絡(luò)的基本單位。本文所采用的是基于規(guī)則推理的解析型因素神經(jīng)元[5-6]。

一個(gè)具有推理功能的解析因素神經(jīng)元可表述為[5]：

其中，為解析型因素神經(jīng)元結(jié)構(gòu)、因素及狀態(tài)；為神經(jīng)元的推理、判別與內(nèi)部控制功能；a為輸入信息；b為單元推理目標(biāo)或響應(yīng)。

2 程序行為因素

2.1 程序行為因素的定義

結(jié)合因素神經(jīng)網(wǎng)絡(luò)理論與程序行為特征，定義程序行為因素。

定義1 以 API函數(shù)名為標(biāo)識(shí)，完成對(duì)程序行為屬性的一種抽象描述，則將這種描述稱為程序行為因素。

2.2 程序行為的知識(shí)表示

結(jié)合因素神經(jīng)網(wǎng)絡(luò)理論表達(dá)知識(shí)的方式：原子模式和關(guān)系模式[5]，分別定義程序行為因素表示知識(shí)的原子模式和關(guān)系模式。

定義3 程序行為因素表示知識(shí)的原子模式為一個(gè)元組，即 M(B)=，其中，B={文件操作[8]，注冊(cè)表操作，服務(wù)活動(dòng)操作，進(jìn)程/線程操作}[9-10]，即知識(shí)描述的程序行為集，即描述B時(shí)所選用程序行為因素集；X則是用來(lái)描述B時(shí)，B在方面的表現(xiàn)狀態(tài)，X={Xb（）∈，b∈B}，即具體 API函數(shù)[11]的參數(shù)取值。

定義4 程序行為因素表示知識(shí)的關(guān)系模式為一個(gè)元組，即 R(B)=，其中，RM為知識(shí)模式集，以文件操作的一個(gè)知識(shí)模式集為例，RM=<{Rid1：if遍歷磁盤文件then可疑文件操作行為}，…{Rid n：if查找文件and修改文件讀寫屬性then危險(xiǎn)文件操作行為}>；M(B)為程序行為因素表示知識(shí)的原子模式；XM為原子模式M(B)在RM上的構(gòu)組狀態(tài)及狀態(tài)變換關(guān)系。

程序行為因素表示知識(shí)的原子模式，給出了對(duì)被描述對(duì)象進(jìn)行認(rèn)知時(shí)有關(guān)知識(shí)的一組離散表達(dá)[5]。程序行為因素表示知識(shí)的關(guān)系模式，它可把各種不同的相關(guān)知識(shí)或各種不同的知識(shí)表達(dá)方式有機(jī)地聯(lián)系起來(lái)，實(shí)現(xiàn)知識(shí)不同表達(dá)方式的轉(zhuǎn)換及知識(shí)間的推理及動(dòng)態(tài)過程。

3 解析型因素神經(jīng)元模型的結(jié)構(gòu)

3.1 解析型因素神經(jīng)元模型的內(nèi)部結(jié)構(gòu)

解析型因素神經(jīng)元是一個(gè)集知識(shí)表示與動(dòng)態(tài)推理的智能單元，能夠處理數(shù)據(jù)流和控制流信息。如圖1所示，基本結(jié)構(gòu)由輸入 /輸出系統(tǒng)、推理系統(tǒng)和知識(shí)庫(kù)4個(gè)基礎(chǔ)系統(tǒng)構(gòu)成。

圖1 解析型因素神經(jīng)元模型的內(nèi)部結(jié)構(gòu)

⑴輸入/輸出系統(tǒng)：輸入 /輸出系統(tǒng)負(fù)責(zé)對(duì)因素神經(jīng)元與外界的交互，是外界與因素神經(jīng)元交互的信息通道。

⑵推理系統(tǒng)：完成前提命題狀態(tài)向結(jié)論命題狀態(tài)的轉(zhuǎn)換，即實(shí)現(xiàn)問題的推理和求解策略。

⑶知識(shí)庫(kù)：存放了大量關(guān)于油氣集輸 SCADA主機(jī)安全的事實(shí)規(guī)則。

因素神經(jīng)元分別部署在 SCADA系統(tǒng)工控機(jī)、工程師站、操作員站等各級(jí)上下位機(jī)上，且所有因素神經(jīng)元均采用該模型結(jié)構(gòu)。

3.2 知識(shí)庫(kù)的構(gòu)造

知識(shí)庫(kù)中存放了大量關(guān)于油氣集輸SCADA主機(jī)安全的事實(shí)規(guī)則[12]。知識(shí)庫(kù)包括合法因素知識(shí)庫(kù)和惡意因素知識(shí)庫(kù)。其知識(shí)的獲取來(lái)自預(yù)置方式和系統(tǒng)運(yùn)行過程中判定為合法的程序行為因素。

其中，合法因素知識(shí)庫(kù)，即由油氣集輸 SCADA系統(tǒng)所有主機(jī)上經(jīng)因素神經(jīng)元判斷為合法的程序行為因素組成的知識(shí)庫(kù)；惡意因素知識(shí)庫(kù)，即由惡意程序行為因素組成的攻擊識(shí)別知識(shí)庫(kù)。

3.3 推理系統(tǒng)的構(gòu)造

推理系統(tǒng)是因素神經(jīng)元的核心，它模擬信息安全專家對(duì)SCADA系統(tǒng)主機(jī)安全防御的思維活動(dòng)過程，以解決SCADA系統(tǒng)信息安全問題，本文中所有因素神經(jīng)元的推理系統(tǒng)的推理機(jī)制均是基于If-then的規(guī)則[13]匹配。因素神經(jīng)元模型的推理系統(tǒng)工作流程如圖2所示。

4 驗(yàn)證性結(jié)果及分析

本文的解析型因素神經(jīng)元模型在由基金課題小組搭建的“SCADA系統(tǒng)仿真平臺(tái)”上進(jìn)行驗(yàn)證性測(cè)試，該SCADA系統(tǒng)仿真平臺(tái)模擬某油氣田的SCADA系統(tǒng)架構(gòu)，由地區(qū)調(diào)度中心、區(qū)域控制中心、站控系統(tǒng)及通信網(wǎng)絡(luò)構(gòu)成。

在工控機(jī)上F盤下的SCADA項(xiàng)目文件屬于仿真平臺(tái)的重要文件，該項(xiàng)目文件被列入文件監(jiān)控范圍，某未知程序?qū)㈨?xiàng)目文件中的struct.db刪除時(shí)，因素神經(jīng)元檢測(cè)對(duì)DeleteFileA函數(shù)的調(diào)用，并獲取函數(shù)參數(shù)值進(jìn)行比較，發(fā)現(xiàn)該惡意程序正在試圖刪除struct.db，于是發(fā)出預(yù)警信息，如圖3所示。

圖2 因素神經(jīng)元模型的推理系統(tǒng)工作流程

圖3 惡意文件操作測(cè)試結(jié)果

同理，還分別完成了對(duì)惡意的注冊(cè)表操作、服務(wù)活動(dòng)操作、進(jìn)程/線程操作的監(jiān)控測(cè)試。

測(cè)試結(jié)果顯示了該模型可以完成針對(duì)油氣SCADA系統(tǒng)主機(jī)的惡意程序行為監(jiān)控，驗(yàn)證了由解析型因素神經(jīng)元構(gòu)建的因素神經(jīng)元防御模型的可行性，針對(duì)SCADA系統(tǒng)工控機(jī)、工程師站、操作員站等各級(jí)上下位機(jī)的攻擊，該模型可以起到良好的監(jiān)控防御作用。

5 結(jié)論

本文在充分分析了SCADA系統(tǒng)的基礎(chǔ)上，結(jié)合因素神經(jīng)網(wǎng)絡(luò)理論和程序行為特征，定義了程序行為因素的概念，提出了一種針對(duì)SCADA安全的因素神經(jīng)元模型，通過實(shí)驗(yàn)分析對(duì)模型進(jìn)行了驗(yàn)證，達(dá)到了良好的預(yù)期效果，為研究SCADA安全防御方法提供了一種新思路。下一步將對(duì)神經(jīng)元的推理算法進(jìn)一步優(yōu)化，不斷加強(qiáng)對(duì)工控機(jī)操作系統(tǒng)關(guān)鍵API函數(shù)調(diào)用的監(jiān)控，并完善對(duì)惡意行為的響應(yīng)機(jī)制，增強(qiáng)對(duì)未知惡意程序攻擊的防御能力，進(jìn)而不斷提高因素神經(jīng)元模型的防御水平。

[1]王華忠.監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)及其應(yīng)用（第二版）[M].北京：電子工業(yè)出版社,2012.

[2]王倩, 姜明慧.基于油氣長(zhǎng)輸管道SCADA系統(tǒng)探究[J].中國(guó)石油和化工標(biāo)準(zhǔn)與質(zhì)量, 2014(3):43,31.

[3]彭勇, 江常青, 謝豐, 等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2012,52(10):1396-1408.

[4]魏欽志.工業(yè)控制系統(tǒng)安全現(xiàn)狀及安全策略分析[J].信息安全與技術(shù), 2013,4(2):23-26.

[5]劉增良.因素神經(jīng)網(wǎng)絡(luò)理論及其應(yīng)用 [M].貴州:貴州科技出版社, 1994.

[6]劉增良, 劉有才.因素神經(jīng)網(wǎng)絡(luò)理論及實(shí)現(xiàn)策略研究[M].北京: 北京師范大學(xué)出版社, 1992.

[7]張一弛, 龐建民, 趙榮彩, 等.基于證據(jù)推理的程序惡意性判定方法[J].軟件學(xué)報(bào), 2012,23(12):3149-3160.

[8]蘇雪麗, 馬金鑫, 袁丁.基于Detours的文件操作監(jiān)控方案[J].計(jì)算機(jī)應(yīng)用, 2010,30(12):3423-3426.

[9]郭旭亭, 賈小珠, 張洪水.一種基于程序行為模糊模式匹配的病毒檢測(cè)方法[J].青島大學(xué)學(xué)報(bào)(自然科學(xué)版),2007,20(4):72-75.

[10]向林泓.主動(dòng)防御技術(shù)的研究和實(shí)現(xiàn) [D].成都:電子科技大學(xué), 2011.

[11]李辰.主機(jī)入侵防御中行為監(jiān)控技術(shù)的研究與實(shí)現(xiàn)[D].北京: 北京郵電大學(xué), 2009.

[12]李煥洲, 陳婧婧, 鐘明全, 等.基于行為特征庫(kù)的木馬檢測(cè)模型設(shè)計(jì)[J].四川師范大學(xué)學(xué)報(bào)（自然科學(xué)版）,2011,34(1):123-127.

[13]曹謝東.模糊信息處理及應(yīng)用[M].北京:科學(xué)出版社，2003.