一種基于DBN-RF的電網(wǎng)工控系統(tǒng)異常識(shí)別方法

舒 斐,陳 濤,王 斌,楊慧婷,李明軒

(1.國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院,烏魯木齊 830011; 2.國(guó)網(wǎng)新疆電力有限公司,烏魯木齊 830063)

0 概述

隨著國(guó)內(nèi)外工業(yè)化和信息化的融合發(fā)展,各行業(yè)數(shù)字化、網(wǎng)絡(luò)化和智能化水平穩(wěn)步提升。作為全球工業(yè)體系智能化的重要推手,工業(yè)互聯(lián)網(wǎng)正助力能源電力行業(yè)開(kāi)拓全新發(fā)展方向。在此過(guò)程中,電力系統(tǒng)自動(dòng)化技術(shù)已經(jīng)逐步應(yīng)用在電力生產(chǎn)和電力供應(yīng)系統(tǒng)中,并且提供了快捷、方便、安全、穩(wěn)定的電力傳輸途徑[1]。但與此同時(shí),電力行業(yè)也成為一些網(wǎng)絡(luò)攻擊組織的重點(diǎn)目標(biāo)。2016年12月,烏克蘭電網(wǎng)工控系統(tǒng)(Industrial Control System,ICS)先后遭受3次惡意網(wǎng)絡(luò)攻擊,引發(fā)了大規(guī)模停電,影響涉及數(shù)十萬(wàn)人,給當(dāng)?shù)厝嗣竦纳顜?lái)不便并嚴(yán)重威脅社會(huì)穩(wěn)定。2019年3月7日,委內(nèi)瑞拉發(fā)生全國(guó)性大規(guī)模停電事件,調(diào)查表明此次事件的發(fā)生極有可能是反對(duì)派對(duì)古里水電站發(fā)動(dòng)了蓄意的網(wǎng)絡(luò)攻擊。由此可見(jiàn),能否在電網(wǎng)工控系統(tǒng)運(yùn)行過(guò)程中及時(shí)發(fā)現(xiàn)突發(fā)性、針對(duì)性的惡意攻擊,對(duì)于保障電力系統(tǒng)的正常運(yùn)行至關(guān)重要[2]。

在網(wǎng)絡(luò)安全防護(hù)中,通過(guò)檢查網(wǎng)絡(luò)流量來(lái)檢測(cè)針對(duì)特定目標(biāo)的惡意活動(dòng)是一項(xiàng)關(guān)鍵技術(shù)。通過(guò)對(duì)特定目標(biāo)網(wǎng)絡(luò)流量的分析,可以及時(shí)掌握當(dāng)前網(wǎng)絡(luò)的狀態(tài),發(fā)現(xiàn)潛在的惡意威脅。因此,從流量分析的角度出發(fā)及時(shí)發(fā)現(xiàn)電網(wǎng)工控系統(tǒng)在運(yùn)行過(guò)程中潛在的網(wǎng)絡(luò)安全問(wèn)題,對(duì)保障電力系統(tǒng)持續(xù)穩(wěn)定運(yùn)行具有重要意義。

電網(wǎng)工控系統(tǒng)中的通信流量具有多源異構(gòu)、數(shù)據(jù)長(zhǎng)度小、周期性、數(shù)據(jù)流向固定和時(shí)序性強(qiáng)等特點(diǎn),并且存在正常流量和異常流量分布不平衡的現(xiàn)象。本文提出一種基于深度置信網(wǎng)絡(luò)(Deep Belief Network,DBN)[3]和隨機(jī)森林(Random Forest,RF)算法[4]的電網(wǎng)工控系統(tǒng)異常識(shí)別方法,以實(shí)現(xiàn)對(duì)系統(tǒng)中異常通信流量的準(zhǔn)確識(shí)別。利用深度學(xué)習(xí)強(qiáng)大的數(shù)據(jù)學(xué)習(xí)能力和有監(jiān)督學(xué)習(xí)準(zhǔn)確的分類能力,對(duì)深度置信網(wǎng)絡(luò)中多個(gè)受限玻爾茲曼機(jī)(Restricted Boltzmann Machine,RBM)逐個(gè)進(jìn)行訓(xùn)練,自學(xué)習(xí)得到流量中蘊(yùn)含的更高級(jí)特征[5]。在此基礎(chǔ)上,利用隨機(jī)森林算法以監(jiān)督方式檢測(cè)流量中的異常情況,從而發(fā)現(xiàn)針對(duì)電網(wǎng)工控系統(tǒng)的多種威脅源。

1 電網(wǎng)工控系統(tǒng)

工業(yè)控制系統(tǒng)是涵蓋電力、水利、石油、天然氣等多種行業(yè)的控制系統(tǒng)[6],主要包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(Supervisory Control and Data Acquisition,SCADA)、分布式控制系統(tǒng)(Distributed Control System,DCS)、過(guò)程控制系統(tǒng)(Process Control System,PCS)和可編程邏輯控制器(Programmable Logic Controller,PLC)。在電力行業(yè)中,電網(wǎng)工控系統(tǒng)由電力監(jiān)控與信息采集系統(tǒng)、電力通信和數(shù)據(jù)網(wǎng)組成[7]。電力監(jiān)控與信息采集系統(tǒng)負(fù)責(zé)監(jiān)視和控制整個(gè)能源產(chǎn)生、輸電、變電、配電以及調(diào)度過(guò)程中各個(gè)軟硬件設(shè)備的運(yùn)行狀態(tài),完成對(duì)設(shè)備信息的記錄采集。電力通信和數(shù)據(jù)網(wǎng)包括電力調(diào)度數(shù)據(jù)網(wǎng)、電力企業(yè)數(shù)據(jù)網(wǎng)等,負(fù)責(zé)行業(yè)內(nèi)部的數(shù)據(jù)通信和保障整個(gè)電力系統(tǒng)的暢通運(yùn)行。

1.1 電網(wǎng)工控系統(tǒng)安全分析

傳統(tǒng)的電網(wǎng)工控系統(tǒng)大多建立在一個(gè)相對(duì)封閉的環(huán)境中,利用電子機(jī)械、軟件、通信協(xié)議的組合實(shí)現(xiàn)特定功能。此類系統(tǒng)主要關(guān)注功能、性能和穩(wěn)定性的保障,以監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備/平臺(tái)日志為主,較少注重基于流量異常檢測(cè)和全方位的防護(hù)措施。在“互聯(lián)網(wǎng)+”以及“兩化融合”(信息化和工業(yè)化融合)的背景和趨勢(shì)下,電網(wǎng)工控系統(tǒng)將智能設(shè)備、人和數(shù)據(jù)三者有機(jī)結(jié)合,這種轉(zhuǎn)變使得電網(wǎng)工控系統(tǒng)成為網(wǎng)絡(luò)攻擊者的主要目標(biāo),面臨著比傳統(tǒng)攻擊更強(qiáng)、更廣的破壞威脅。針對(duì)電網(wǎng)工控系統(tǒng)一次典型的攻擊過(guò)程如圖1所示,攻擊者通過(guò)網(wǎng)絡(luò)開(kāi)展對(duì)目標(biāo)系統(tǒng)的攻擊,借助病毒與惡意代碼、多種不同的協(xié)議漏洞、系統(tǒng)漏洞以及策略和管理漏洞,實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊,進(jìn)而影響電力的配送。

圖1 電網(wǎng)工控系統(tǒng)攻擊示意圖

1.2 電網(wǎng)工控系統(tǒng)殺傷鏈

電網(wǎng)工控系統(tǒng)殺傷鏈模型[8]包括2個(gè)階段,即網(wǎng)絡(luò)入侵的準(zhǔn)備與執(zhí)行階段以及工控攻擊載荷的研發(fā)與執(zhí)行階段。

1)網(wǎng)絡(luò)入侵的準(zhǔn)備與執(zhí)行階段。此階段是一個(gè)廣泛攻擊的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程,可細(xì)化為電網(wǎng)信息搜集、能力準(zhǔn)備、入侵實(shí)施、權(quán)限激活和持續(xù)控制5個(gè)部分。在電網(wǎng)信息搜集階段,惡意攻擊者主要開(kāi)展對(duì)電網(wǎng)工控系統(tǒng)的偵察工作,這也是高級(jí)定向[9]威脅實(shí)施的第一步,攻擊手段為通過(guò)外部網(wǎng)絡(luò)掃描或利用內(nèi)部社會(huì)工程學(xué),偵察的信息包括工控系統(tǒng)使用的設(shè)備類型、設(shè)備版本、內(nèi)部配置等重要信息。在能力準(zhǔn)備階段,攻擊者根據(jù)搜集到的情報(bào)數(shù)據(jù)制定相應(yīng)的攻擊計(jì)劃,確定攻擊行動(dòng)的先后順序,設(shè)置滲透需要投遞和使用的工具。在入侵實(shí)施、權(quán)限激活和持續(xù)控制3個(gè)階段中,攻擊者針對(duì)系統(tǒng)中存在的0day漏洞、木馬、未修復(fù)的漏洞等利用已有的工具不斷嘗試進(jìn)入目標(biāo)系統(tǒng),獲取更高的權(quán)限,在得到更有價(jià)值信息的同時(shí),充分考慮隱蔽性,盡量避免自身身份信息泄露。

2)工控攻擊載荷的研發(fā)與執(zhí)行階段。在獲得內(nèi)部控制網(wǎng)絡(luò)訪問(wèn)權(quán)限的基礎(chǔ)上,攻擊者在此階段對(duì)特定工業(yè)主機(jī)、控制設(shè)備和通信協(xié)議開(kāi)展定向攻擊,從而建立控制,主要過(guò)程包括工具研發(fā)、驗(yàn)證測(cè)試及載荷應(yīng)用。攻擊者不斷地調(diào)整和測(cè)試攻擊方法,模擬網(wǎng)絡(luò)常見(jiàn)的協(xié)議構(gòu)建命令控制信道,繞過(guò)電網(wǎng)內(nèi)部安全系統(tǒng)的監(jiān)測(cè)。借用此類信道,攻擊者試圖將特定的載荷投遞到目標(biāo)系統(tǒng),并通過(guò)載荷滿足自己更多、更細(xì)化的攻擊需求,包括修改系統(tǒng)默認(rèn)配置、注入惡意代碼、篡改通信指令等,從而造成電網(wǎng)工控系統(tǒng)監(jiān)視與控制通信中斷、監(jiān)控畫(huà)面與功能安全指令拒絕響應(yīng)、電網(wǎng)基礎(chǔ)設(shè)施被遠(yuǎn)程操控等。此外,該信道也用于服務(wù)器收集的信息加密回傳。

綜上可知,電網(wǎng)系統(tǒng)殺傷鏈?zhǔn)且粋€(gè)完整的攻擊體系,在各個(gè)過(guò)程中都可以從流量中發(fā)現(xiàn)攻擊者的一些惡意操作行為。因此,為增強(qiáng)系統(tǒng)對(duì)網(wǎng)絡(luò)惡意攻擊的感知能力,擴(kuò)大系統(tǒng)的防護(hù)面,流量異常檢測(cè)具有一定的理論研究?jī)r(jià)值。

2 電網(wǎng)工控系統(tǒng)面臨的安全問(wèn)題

基于對(duì)電網(wǎng)工控系統(tǒng)殺傷鏈模型的分析,筆者認(rèn)為當(dāng)前電網(wǎng)工控系統(tǒng)的安全防護(hù)需要考慮以下3個(gè)方面的問(wèn)題:

1)與傳統(tǒng)信息系統(tǒng)的安全防護(hù)需求存在差異。傳統(tǒng)信息系統(tǒng)對(duì)突發(fā)的威脅可以采取入侵容忍甚至中斷運(yùn)行的方式,進(jìn)而時(shí)常進(jìn)行信息安全軟件補(bǔ)丁和系統(tǒng)更新,而電網(wǎng)工控系統(tǒng)需要保證持續(xù)不間斷的服務(wù),不能及時(shí)下載軟件補(bǔ)丁并進(jìn)行系統(tǒng)更新,這使得電網(wǎng)工控系統(tǒng)面臨嚴(yán)重的安全威脅[10]。

2)抵御各類高級(jí)攻擊是防護(hù)趨勢(shì)。物理隔離已不再是抵御網(wǎng)絡(luò)攻擊的最后一道防線,需要加強(qiáng)對(duì)軟硬件漏洞和協(xié)議風(fēng)險(xiǎn)的重視。例如,攻擊者會(huì)通過(guò)U盤(pán)、供應(yīng)鏈以及其他渠道,以間接的方式入侵電網(wǎng)內(nèi)部。因此,需要能夠有效檢測(cè)可能出現(xiàn)的更高級(jí)威脅。

3)對(duì)應(yīng)急響應(yīng)能力的要求更高。與其他工控系統(tǒng)相比,電網(wǎng)工控系統(tǒng)具有規(guī)模大、距離遠(yuǎn)、覆蓋范圍廣、交叉感染性強(qiáng)的特點(diǎn)[11],系統(tǒng)中的各個(gè)環(huán)節(jié)緊密關(guān)聯(lián),一個(gè)環(huán)節(jié)出現(xiàn)安全問(wèn)題,就可能造成其他環(huán)節(jié)的連鎖反應(yīng)。因此,其對(duì)故障范圍控制、系統(tǒng)自愈能力、實(shí)時(shí)響應(yīng)及災(zāi)備等要求更高。

由此可見(jiàn),需要依據(jù)自身特點(diǎn)設(shè)置完備的電網(wǎng)工控系統(tǒng)安全防護(hù)策略,在“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”原則[12]的基礎(chǔ)上,增強(qiáng)對(duì)電網(wǎng)工控系統(tǒng)潛在安全風(fēng)險(xiǎn)的檢測(cè)能力。

3 電網(wǎng)工控系統(tǒng)檢測(cè)技術(shù)分析

針對(duì)電網(wǎng)工控系統(tǒng)安全問(wèn)題,我國(guó)相繼出臺(tái)了一系列系統(tǒng)化的工作方案,包括國(guó)家發(fā)改委頒布的《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、國(guó)家能源局頒布的《電網(wǎng)工控信息安全專項(xiàng)監(jiān)管工作方案》和《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等,具有重要的指導(dǎo)意義。在實(shí)際電網(wǎng)安全防御過(guò)程中,主要對(duì)策是對(duì)網(wǎng)絡(luò)和設(shè)備進(jìn)行安全防護(hù),對(duì)數(shù)據(jù)安全加密[13]。首先以邊界隔離與加密的方式,降低不同區(qū)域、系統(tǒng)、生產(chǎn)區(qū)與地方系統(tǒng)之間的安全風(fēng)險(xiǎn);其次在不同區(qū)域之間采用安全審計(jì)、惡意代碼防范、入侵檢查和訪問(wèn)控制等手段有效感知系統(tǒng)內(nèi)部的風(fēng)險(xiǎn)。內(nèi)部風(fēng)險(xiǎn)的核查大多基于系統(tǒng)流量,與互聯(lián)網(wǎng)流量不同,工控系統(tǒng)的流量是由工控設(shè)備按照系統(tǒng)指令產(chǎn)生,具有數(shù)據(jù)長(zhǎng)度小、周期性、數(shù)據(jù)流向固定、時(shí)序性強(qiáng)等特點(diǎn)[14],這與傳統(tǒng)互聯(lián)網(wǎng)流量存在較大差異。按照檢測(cè)角度的不同,系統(tǒng)流量的安全檢測(cè)可劃分為基于統(tǒng)計(jì)分析的檢測(cè)方法和基于機(jī)器學(xué)習(xí)的檢測(cè)方法2種。

1)基于統(tǒng)計(jì)分析的檢測(cè)方法

基于統(tǒng)計(jì)分析的檢測(cè)主要依賴的是先驗(yàn)知識(shí),針對(duì)流量?jī)?nèi)容、協(xié)議等提取特征碼或是根據(jù)對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行長(zhǎng)期分析設(shè)定的規(guī)則策略[15],實(shí)現(xiàn)黑白名單的構(gòu)建以及特征數(shù)據(jù)和規(guī)則策略的匹配。文獻(xiàn)[16]設(shè)計(jì)一種基于協(xié)議解析的電網(wǎng)工控安全檢測(cè)系統(tǒng),其包括對(duì)IEC 60870-5-103規(guī)約通信的深度解析,利用配置的大量安全策略,發(fā)現(xiàn)系統(tǒng)中的違規(guī)通信。文獻(xiàn)[17]設(shè)計(jì)的工控網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)包含規(guī)則模塊和安全樣本數(shù)據(jù)庫(kù),其中:規(guī)則模塊在掃描模塊執(zhí)行初始化掃描前,向掃描模塊下發(fā)安全掃描規(guī)則,通過(guò)這些安全掃描規(guī)則對(duì)目標(biāo)環(huán)境進(jìn)行安全掃描;安全樣本數(shù)據(jù)庫(kù)對(duì)掃描模塊提取的文件特征進(jìn)行數(shù)據(jù)匹配,并基于數(shù)據(jù)匹配的結(jié)果分發(fā)安全檢測(cè)組件。該系統(tǒng)具有較高的準(zhǔn)確性,但對(duì)新型威脅檢測(cè)存在漏報(bào)和誤報(bào)。

2)基于機(jī)器學(xué)習(xí)的檢測(cè)方法

基于機(jī)器學(xué)習(xí)的檢測(cè)是在深度分析系統(tǒng)流量的基礎(chǔ)上,采用有監(jiān)督、半監(jiān)督或無(wú)監(jiān)督的機(jī)器學(xué)習(xí)算法,發(fā)現(xiàn)系統(tǒng)存在的威脅[18]。有監(jiān)督學(xué)習(xí)需要大量有標(biāo)簽的數(shù)據(jù)作為輸入,從中提取源主機(jī)到目標(biāo)主機(jī)的雙向數(shù)據(jù)傳輸?shù)淖止?jié)數(shù)、周期性規(guī)律、連接來(lái)自/送達(dá)同一主機(jī)/端口的屬性值和錯(cuò)誤分段的數(shù)量等特征,從而發(fā)現(xiàn)威脅。該方法具有較高的準(zhǔn)確性,但對(duì)未知威脅發(fā)現(xiàn)效果較差。常見(jiàn)的無(wú)監(jiān)督[19]算法如K-means、PCA、Auto-Encoder等,能夠有效識(shí)別未知威脅,但是單獨(dú)使用時(shí)準(zhǔn)確性不高。由此可見(jiàn),半監(jiān)督的方法更適合用于電網(wǎng)工控系統(tǒng)流量的檢測(cè)。文獻(xiàn)[20]提出一種基于熵的動(dòng)態(tài)半監(jiān)督K-means算法并以單類向量機(jī)輔助實(shí)現(xiàn)對(duì)半監(jiān)督K-means算法的改進(jìn),有效提高了對(duì)未知攻擊的檢測(cè)率,降低了誤報(bào)率。深度學(xué)習(xí)是無(wú)監(jiān)督學(xué)習(xí)方法,其可使計(jì)算機(jī)自動(dòng)學(xué)習(xí)深層特征,從而降低人為設(shè)計(jì)特征造成的不完備性。因此,本文利用深度學(xué)習(xí)中的深度置信網(wǎng)絡(luò)對(duì)特征進(jìn)行自學(xué)習(xí),同時(shí)結(jié)合有監(jiān)督算法進(jìn)一步提高對(duì)系統(tǒng)異常流量的檢測(cè)率,降低漏檢率。

4 基于DBN-RF的異常識(shí)別

本文通過(guò)構(gòu)建混合深度置信網(wǎng)絡(luò)模型DBN-RF,實(shí)現(xiàn)對(duì)電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)異常流量的檢測(cè)。如圖2所示,其中左側(cè)為電網(wǎng)工控系統(tǒng)架構(gòu),右側(cè)為本文提出的檢測(cè)模型。該模型通過(guò)初始數(shù)據(jù)的預(yù)處理完成對(duì)電網(wǎng)工控網(wǎng)絡(luò)流量協(xié)議類型、網(wǎng)絡(luò)服務(wù)類型、網(wǎng)絡(luò)連接狀態(tài)和攻擊類型等特征的提取。本文利用深度置信網(wǎng)絡(luò)模型挖掘多個(gè)流量特征之間的關(guān)聯(lián)特性,學(xué)習(xí)適用于電網(wǎng)工控流量的特征提取模式。在此基礎(chǔ)上,將特征學(xué)習(xí)后的電網(wǎng)工控流量與惡意攻擊流量輸入到隨機(jī)森林模型中,通過(guò)參數(shù)的逐步調(diào)優(yōu),構(gòu)建適用于檢測(cè)電網(wǎng)工控系統(tǒng)流量中常見(jiàn)攻擊異常的模型,實(shí)現(xiàn)流量異常報(bào)警。在實(shí)際使用中,將工控系統(tǒng)收集到的實(shí)時(shí)流量輸入到檢測(cè)模型中,經(jīng)過(guò)混合深度置信網(wǎng)絡(luò)模型的檢測(cè),發(fā)現(xiàn)流量中的多種威脅。下文將對(duì)基于DBN的流量處理和基于RF的異常檢測(cè)兩部分分別進(jìn)行介紹。

圖2 基于DBN-RF的異常識(shí)別過(guò)程

4.1 基于DBN的流量處理

深度置信網(wǎng)絡(luò)的形成依賴于多層受限玻爾茲曼感知機(jī)(RBM)和前饋反向傳播網(wǎng)絡(luò),進(jìn)而完成網(wǎng)絡(luò)的預(yù)訓(xùn)練以及對(duì)RBM堆疊網(wǎng)絡(luò)的優(yōu)化。RBM是一種神經(jīng)感知器,其由一個(gè)顯層(v)和一個(gè)隱層(h)構(gòu)成,顯層與隱層的神經(jīng)元之間為雙向全連接。RBM僅提供縱向?qū)优c隱藏層和可見(jiàn)層之間神經(jīng)元的連接,同一層的各神經(jīng)元之間沒(méi)有連接。如圖3所示,每個(gè)RBM有一個(gè)顯層,也可稱為輸入層,與顯層相連接的為隱層。

圖3 受限玻爾茲曼機(jī)結(jié)構(gòu)

RBM的訓(xùn)練可分為2個(gè)階段:首先是向前,其次是后向或者重構(gòu)。在RBM中,包含3個(gè)通過(guò)數(shù)據(jù)不斷學(xué)習(xí)得到的參數(shù),分別是w、b和c。w代表兩個(gè)神經(jīng)元之間的連接強(qiáng)度。每個(gè)顯層神經(jīng)元和隱層神經(jīng)元都有各自代表自身權(quán)重的偏置系數(shù),顯層神經(jīng)元的偏置系數(shù)用b表示,隱層神經(jīng)元的偏置系數(shù)用c表示。

RBM是一種概率圖模型,對(duì)于給定的狀態(tài)(v,h),能量函數(shù)如式(1)所示:

(1)

通過(guò)能量函數(shù),可以定義一個(gè)顯層v和隱層節(jié)點(diǎn)h的聯(lián)合概率。RBM中第j個(gè)隱層神經(jīng)元被激活的概率如式(2)所示,其中,σ為Sigmoid 函數(shù)。同理,顯層神經(jīng)元i被隱層神經(jīng)元激活的概率如式(3)所示:

(2)

(3)

對(duì)于一條n維流量樣本數(shù)據(jù)X(x1,x2,…,xn),經(jīng)過(guò)RBM編碼后得到m維的樣本Y(y1,y2,…,ym)。訓(xùn)練過(guò)程如下:

1)獲取初始神經(jīng)元激活概率。輸入數(shù)據(jù)X經(jīng)過(guò)顯層v1的所有節(jié)點(diǎn),傳遞到隱藏層h1。在隱藏層的節(jié)點(diǎn)上,X乘以w再加b,此結(jié)果再通過(guò)sigmoid函數(shù)產(chǎn)生節(jié)點(diǎn)的輸出或者狀態(tài)。因此,每個(gè)隱層神經(jīng)元將有一個(gè)概率輸出表示被激活的概率。

2)顯層和隱層互相重構(gòu)。采取吉布斯采樣從計(jì)算的概率分布中抽取一個(gè)樣本:h1～P(h1|v1)。利用h1重構(gòu)顯層,計(jì)算顯層中每個(gè)神經(jīng)元被激活的概率,并從計(jì)算得到的概率分布中采取吉布斯采樣抽取一個(gè)樣本:v2～P(v2|h1),通過(guò)v2再次計(jì)算隱層中每個(gè)神經(jīng)元被激活的概率,得到概率分布P(h2|v2)。

3)更新RBM中3個(gè)重要的權(quán)重w、b和c:

w←w+λ(P(h1|v1)v1P(h2|v2)v2)

(4)

b←b+λ(v1-v2)

(5)

c←c+λ(h1-h2)

(6)

4)重復(fù)上述過(guò)程,得到隱層輸出的樣本Y(y1,y2,…,ym),此時(shí)該樣本已充分學(xué)習(xí)到了顯層數(shù)據(jù)的內(nèi)部特點(diǎn)。

多個(gè)RBM的堆疊組成了DBN。如圖4所示,該DBN由3個(gè)RBM堆疊而成。訓(xùn)練DBN的過(guò)程是逐層進(jìn)行的。在每一層中,用數(shù)據(jù)向量來(lái)推斷隱層,再將這一隱層作為下一層的數(shù)據(jù)向量。

圖4 深度置信網(wǎng)絡(luò)模型結(jié)構(gòu)

初始的DBN模型依賴于原始無(wú)標(biāo)簽的數(shù)據(jù)集,采用無(wú)監(jiān)督學(xué)習(xí)的方式生成。生成初始模型后,對(duì)整個(gè)模型進(jìn)行微調(diào)。此階段基于初始的DBN模型,保留其中各個(gè) RBM之間的權(quán)重和偏置,以數(shù)據(jù)集中的標(biāo)簽作為標(biāo)準(zhǔn)計(jì)算網(wǎng)絡(luò)誤差,利用BP算法得到各層誤差,通過(guò)梯度下降法實(shí)現(xiàn)對(duì)各層權(quán)重和偏置的調(diào)節(jié)。

4.2 基于RF的異常檢測(cè)

混合深度置信網(wǎng)絡(luò)的檢測(cè)綜合了深度置信網(wǎng)絡(luò)對(duì)數(shù)據(jù)深度學(xué)習(xí)的能力以及有監(jiān)督學(xué)習(xí)分類的準(zhǔn)確性。深度置信網(wǎng)絡(luò)模型的生成實(shí)現(xiàn)了對(duì)電網(wǎng)工控系統(tǒng)中多個(gè)流量特征之間關(guān)聯(lián)特性的自動(dòng)深度挖掘,適用于電網(wǎng)工控流量的特征提取,可應(yīng)用于后續(xù)檢測(cè)。

基于RF的流量異常檢測(cè)用于尋找一種最優(yōu)的投票表決器,實(shí)現(xiàn)對(duì)大量混雜樣本(多種類型攻擊、正常通信流量)的差異化學(xué)習(xí),滿足大規(guī)模流量輸入后需要及時(shí)發(fā)現(xiàn)其中異常情況的要求。如圖5所示,經(jīng)過(guò)深度置信網(wǎng)絡(luò)對(duì)數(shù)據(jù)進(jìn)行流量特征自學(xué)習(xí)后,將新生成的學(xué)習(xí)樣本輸入到RF模型中。RF模型能夠利用多棵樹(shù)(弱分類器)對(duì)樣本進(jìn)行初始訓(xùn)練,再將所有弱分類器結(jié)果相結(jié)合,從而得到最終的決策結(jié)果,完成對(duì)異常流量的檢測(cè)。

圖5 隨機(jī)森林算法異常檢測(cè)過(guò)程

為得到更優(yōu)的異常識(shí)別模型,RF算法利用網(wǎng)格搜索方法選擇最優(yōu)的模型參數(shù),再通過(guò)交叉驗(yàn)證的方法完成對(duì)不同參數(shù)模型的評(píng)估,從而得到最優(yōu)模型。

5 實(shí)驗(yàn)結(jié)果及分析

5.1 實(shí)驗(yàn)數(shù)據(jù)集

電網(wǎng)工控系統(tǒng)的流量由多種工控設(shè)備按照系統(tǒng)指令產(chǎn)生,這些流量具備一定的周期性,實(shí)時(shí)性較強(qiáng),數(shù)據(jù)流較為規(guī)律,指令發(fā)送也較為頻繁,而傳統(tǒng)的網(wǎng)絡(luò)流量具有很強(qiáng)的隨機(jī)性,其連接的持續(xù)時(shí)間和響應(yīng)時(shí)間較長(zhǎng),數(shù)據(jù)內(nèi)容更隨機(jī),很難從中找到一定的規(guī)律性。本文從經(jīng)典入侵檢測(cè)數(shù)據(jù)集KDD99中篩選出相似的數(shù)據(jù)集,其中包含了電網(wǎng)工控系統(tǒng)可能遭受的不同網(wǎng)絡(luò)攻擊類型,例如端口攻擊掃描探測(cè)目標(biāo)各端口所提供服務(wù)的流量port-scan、ping-sweep,以及拒絕服務(wù)攻擊致癱系統(tǒng)的流量ping-of-death、syn flood、smurf等。

針對(duì)電網(wǎng)工控系統(tǒng)受到的網(wǎng)絡(luò)攻擊,基于電網(wǎng)工控系統(tǒng)流量特征的角度,從數(shù)據(jù)集中存儲(chǔ)有標(biāo)簽樣本的kddcup.data_10_percent和corrected文件已有的41維特征中篩選出18維特征,然后根據(jù)數(shù)據(jù)集中的不同攻擊類型,篩選出3 050個(gè)正常樣本和2 663個(gè)異常樣本組成新的數(shù)據(jù)集,數(shù)據(jù)集中異常樣本的類型涵蓋了拒絕服務(wù)(DDoS)、遠(yuǎn)程用戶攻擊(R2L)、提權(quán)攻擊(U2R)和端口攻擊(Probing)4種電網(wǎng)工控系統(tǒng)受到的典型攻擊類型。測(cè)試的樣本中有1 343個(gè)正常樣本和860個(gè)異常樣本,其中有3種攻擊未出現(xiàn)在訓(xùn)練集中,用于測(cè)試模型對(duì)于未知攻擊的檢測(cè)能力。

5.2 評(píng)價(jià)指標(biāo)

為有效評(píng)估本文提出的DBN-RF模型,使用檢測(cè)率(ACC)和誤報(bào)率(FPR)評(píng)價(jià)指標(biāo),并定義所有異常樣本數(shù)為M,所有正常樣本數(shù)為N,算法識(shí)別出的樣本數(shù)為m,將正常樣本誤判為異常的正常樣本數(shù)為f。2種評(píng)價(jià)指標(biāo)的計(jì)算公式如下:

(7)

(8)

5.3 檢測(cè)結(jié)果對(duì)比

通過(guò)多次改變RBM的迭代次數(shù)并觀察訓(xùn)練效果,發(fā)現(xiàn)當(dāng)DBN模型的參數(shù)設(shè)置為42-36-20-16-5且RBM的迭代次數(shù)設(shè)置為120次時(shí),實(shí)驗(yàn)數(shù)據(jù)最符合實(shí)際情況。為達(dá)到最佳的檢測(cè)效果,本文同時(shí)使用了網(wǎng)絡(luò)搜索[21]的方法優(yōu)化隨機(jī)森林算法的模型參數(shù),使模型達(dá)到最優(yōu)化。不同方法用于流量檢測(cè)得到的各項(xiàng)指標(biāo)如表1所示。實(shí)驗(yàn)結(jié)果表明,本文方法檢測(cè)率和誤報(bào)率分別為96.16%和3.49%,與其他檢測(cè)方法相比,DBN-RF模型能夠更準(zhǔn)確地識(shí)別電網(wǎng)工控系統(tǒng)中的異常流量。

表1 5種檢測(cè)方法的檢測(cè)率與誤報(bào)率對(duì)比

6 結(jié)束語(yǔ)

本文對(duì)電網(wǎng)工控系統(tǒng)中異常流量的識(shí)別方法進(jìn)行研究,通過(guò)分析當(dāng)前電網(wǎng)工控系統(tǒng)面臨的安全問(wèn)題,評(píng)估現(xiàn)有檢測(cè)方法的優(yōu)勢(shì)與不足,并構(gòu)建一種基于DBN模型與RF算法的檢測(cè)模型DBN-RF。該模型基于電網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)通信流量的特性,能夠快速學(xué)習(xí)特征提取模式,無(wú)需大量標(biāo)記樣本即可完成對(duì)海量流量的檢測(cè),并根據(jù)實(shí)際情況在線更新輸出權(quán)重,提升訓(xùn)練效率。實(shí)驗(yàn)結(jié)果表明,本文方法能夠改善傳統(tǒng)深度置信網(wǎng)絡(luò)的多類檢測(cè)效果,其檢測(cè)率達(dá)到96.16%,而誤報(bào)率僅為3.49%,可準(zhǔn)確識(shí)別異常流量。下一步擬將該方法應(yīng)用于真實(shí)業(yè)務(wù)場(chǎng)景,評(píng)估其實(shí)時(shí)檢測(cè)性能。