基于SVM 算法的工業防火墻智能過濾研究應用

梅足輝 古春生

(江蘇理工學院 機械工程學院，江蘇 常州213001）

互聯網技術的發展使得傳統工業控制網絡突破了空間的限制，實現了遠程操作、異地操作的功能，同時也帶了不少安全隱患，一款高效的工業防火墻能有效保護系統安全。

傳統防火墻主要有兩種技術實現：包過濾防火墻，狀態檢測防火墻。包過濾防火墻通過對系統五元組進行過濾。狀態檢測防火墻會維系一張與系統連接的網絡訪問表，對進出流量進行監控。然而此類防火墻在規則過濾方法中仍使用規則匹配的算法模式，這種方式不僅對硬件設備資源要求高，同時需要大量人力，并且不斷更新特征庫，有很大的安全隱患。

SVM(Support Vector Machine，支持向量機)是以統計學習理論的VC 維理論和結構風險最小原理為基礎的一種機器學習算法[1]，擅長解決小樣本、非線性及高維模式識別的問題。在工業防火墻的實際問題中，數據維度復雜，正常流量比例遠大于異常流量，因此采用SVM算法作為分類器算法。

基于以上情況，本文提出一種基于SVM算法的NDIS 工業防火墻系統模型，使用NDIS 與LSP 框架捕獲流經網絡的數據包并進行協議解析提取其特征值，在內核態使用SVM算法對數據包進行分類操作，并使用IOCTL 與共享內存的方式傳回判決數據，完成對系統的安全防護。

1 系統設計

本系統是以LSP 與NDIS 為基礎過濾技術設計的、使用SVM 算法作為過濾規則算法的一款基于WINDOWS 系統的工業防火墻系統。

系統采用了雙層過濾的模式，在初始化時加載LSP 鉤子與NDIS 中間層過濾設備，LSP 鉤子將掛載于系統的網絡層，HOOK住WINSOCK API 函數，NDIS 中間層過濾驅動設備將掛載在內核層面，當有數據流傳輸時，若使用WINSOCK API，會調用socket 函數，將被鉤子模塊捕獲，若繞過了系統API 直接調用WINDOWS SPI 函數或者TDI 驅動等非常規通信方式將被NDIS 驅動捕獲。因為SVM算法對解決高緯度分類問題有良好的效率[2]，所以設計了雙層過濾的模式過濾系統數據封包同時使用支持向量機算法對封包進行判決處理，根據判決結果生成的防火墻規則信息將會通過通信模塊的共享內存與IOCTL 方式通知防火墻主模塊，并根據判決信息動態添加過濾規則，完成對惡意封包的過濾。

1.1 工業協議特征提取

使用NDIS 與LSP 技術過濾封包后將對協議進行解析處理[3,4]，以廣泛使用的MODBUS 協議為例，通過協議解析模塊將數據包解析為系統能夠識別的格式。完成后將會對數據進行標準化處理并提取特征與歸一化處理。在特征值選取時，提取的特征越多，越能代表了原始數據包的信息。一個封包信息繁多，因此算法需要解決高特征維度的問題。SVM算法雖然受特征維度影響不大，但計算量也會因此上升，因此在提取特征值時需要進行標準化、歸一化等處理。

如一個MODBUS 包的原始格式為：（00 01 00 00 00 06 01 02 00 00 00 12），系統將按照協議格式標準化為統一格式：＜Transaction identifier,Protocol,Len,Unit ID,Function code,Data＞（1,0,6,1,2,12），并對其進行歸一化在（-1,1）的區間內，方便系統訓練判決。

1.2 SVM算法

SVM(Support Vector Machine，支持向量機)，是一種機器學習的分類算法。有很多線性分類的問題可以使用分類算法，但是面對非線性問題時，這些算法需要將其中特征相互作用產生新的特征來得到一個非線性邊界，這個過程容易造成過度擬合。SVM算法引入了核函數，將原始特征的分線性問題映射到高緯空間，變成一個高緯線性可分的問題，解決非線性問題[5]。公式如下：

是核函數中的懲罰系數，代表與標準樣本與當前樣本的誤差容忍度。當過大時，此時高斯核的衰減極高，此時核函數的映射效果極弱，數值上與映射前相差不大，容易產生欠擬合的效果。當過小時，核函數映射距離極大，雖然能夠擬合任何非線性問題，但會造成過度擬合的效果，實際準確率反而不高。在函數庫中還有gamma 參數控制核函數結果[6]。因此需要使用網格搜索算法對參數進行優化，選取最佳參數。

線性回歸是一種常用的解決線性分類問題的算法，構造其代價函數公式為：

SVM算法的代價函數與線性回歸類似，然而線性回歸算法對非線性問題的處理十分繁瑣，SVM算法引入了核函數的概念能夠有效解決非線性問題。SVM算法在原代價函數的基礎上將原樣本改為原樣本的核函數，原特征數也改為了高斯核選取的樣本數，將原問題變為最小化核特征的問題，構造其代價函數公式為：

在工業控制網絡中主要將正常數據包與惡意數據包分類，以樣本集為例{(x1,y1),(x2,y2)....(xn,yn)}，其中x 為樣本特征，y 為樣本類別以1 代表正常數據包，-1 代表惡意數據包。樣本的判決函數為：

將特征提取步驟中提取的特征值X，代入算法訓練產生的假設函數hθ(x)中得出結果，若結果為1 則為正常數據包。若判斷結果為-1 則為惡意數據包。

2 仿真實驗

為驗證防火墻算法的完備性，使用KDD 數據集中樣本驗證本文SVM算法的準確性。本文隨機抽取數據集中正常數據包與異常攻擊數據包構成測試樣本，驗證防火墻過濾算法對數據集判斷準確性。

非均衡載集對訓練結果有很大影響，由于實際情況中正常流量遠大于異常流量，因此在訓練時也需注意非均衡載集的問題。本文使用MATLAB 作算法仿真實驗，選取KDD 數據集2000個正常樣本，同時研究分均衡載集問題，選取不同數量異常數據，其比例分別為1/100、1/80、1/60、1/40、1/20 并依次編號樣本。選取測試樣本200，其中正常數據與異常數據比例為1/1。

首先取正常樣本與異常樣本差別最大的1 號數據作為訓練集，提取特征、訓練算法、進行驗證，測試5 組數據，測試預測正常數據與異常數據的準確度，結果如圖2 所示。

圖2 不均衡數據集精度

從圖中可知當樣本不均衡比例較大時，預測結果中正常數據預測準確率都在90%以上。然而對異常數據預測精度極低。

由于非均衡載集訓練算法對異常攻擊數據預測精度極低，因此調整異常樣本數據比例進行測試。同時使用改進網格搜索算法重新優化參數，其改進參數如表1 所示。導入MATLAB 軟件對測試樣本進行預測，其結果如圖3 所示。

表1 網格搜索參數表

圖3 不同數據比例精度測試

從圖3 的結果可知，當異常攻擊數據與正常數據比例相差較大時，正常數據預測精度較高，多在90%以上，然而對異常攻擊數據的預測精度較低，大多低于40%。當訓練數據集中異常攻擊數據與正常數據比例改進，比例縮小后，對正常數據預測精度影響不大，在樣本比例為1/25 時降到最低，仍維持在85%以上。對異常攻擊數據預測精度大幅度上升，從29%提高到了91%。

實驗結果證明，SVM 算法在工業協議智能過濾問題中有良好的表現，可以有效解決非線性分類問題，同時非均衡載集對訓練結果精度有很大的影響，通過改進參數與改進樣本間異常攻擊數據與正常數據比例能夠大幅度提升算法判別結果精度。改進后的SVM算法能夠有效過濾異常攻擊數據，保護系統安全。

3 結論

目前許多防火墻仍使用規則匹配白名單機制對數據進行安全過濾，同時使用人工配置規則，這使得防火墻存在一些安全隱患，同時影響防火墻的性能效率。本文使用NDIS 與LSP 雙層過濾作為過濾技術，能夠有效捕獲流經網絡的所有數據封包，并使用SVM算法作為過濾算法，智能解析提取數據包特征，并對其進行分類。使用抽樣法抽取數據集中不均衡數據集并對其研究得到最優數據集，同時使用改進網格搜索法優化算法參數，使算法對數據分類精確度達到預期目標，完成智能過濾模塊，加固了工業控制網絡安全性。