基于MSCNN與OCSVM的工業入侵檢測方法

楊忠君, 鄭志權, 敖 然, 王國剛, 宗學軍, 李鵬程

(1. 沈陽化工大學 信息工程學院, 沈陽 110142; 2. 遼寧省計量科學研究院, 沈陽 110006)

0 引 言

現代的工業控制系統(industrial control systems,ICS)正向著規模化、網絡化和智能化的方向發展,在推動人類社會巨大進步的同時,也面臨著遭受網絡攻擊帶來的安全問題[1]。伊朗 “震網”病毒事件、委內瑞拉電力系統網絡攻擊事件、以色列水利設施網絡攻擊事件和瑞士鐵路公司勒索病毒事件等事件均表明[2],ICS的網絡安全問題已迫在眉睫。

入侵檢測系統(intrusion detection system,IDS)一直是工業控制網絡安全領域的重要研究內容,備受專家學者的關注。IDS可以實時監控ICS的狀態,增加系統主動防御能力。近年來,各類新型IDS不斷提出,為工業控制網絡安全做出了極大的貢獻[3]。Fu等[4]針對大流量復雜圖像處理的問題,提出了一種端到端的多尺度卷積神經網絡(multiscale convolutional neural network,MSCNN),取得了不錯的效果。Xu等[5]提出了一種基于混合圖像增強的多任務級聯卷積神經網絡來提高檢測效果。Bedi P等[6]為處理數據集中小樣本類的問題,提出了一種siames神經網絡的小樣本類檢測模型。李晨等[7]提出一種結合長短時記憶網絡與支持向量機(one class support vector machine,OCSVM)的混合入侵檢測模型,緩解了傳感器易受未知網絡攻擊的問題。劉萬軍等[8]提出一種結合含噪密度聚類方法的OCSVM異常入侵檢測算法,提高了模型的魯棒性。

分析以上成果發現,工業控制網絡安全異常流量檢測領域中存在以下問題:1)ICS中數據流量龐大,正負數據極不平衡;2)檢測模型的魯棒性差,難以適應不同的工業控制網絡環境;3)難以對未知異常攻擊進行有效防御。本文針對以上存在的問題提出了一種基于多尺度卷積神經網絡(和改進單類支持向量機(improved one class support vector machine, IOCSVM)的復式網絡入侵檢測模型,并給出了具體結構和參數。本模型的分類器采用無監督學習的OCSVM,利用正例樣本構建訓練集,避免了攻擊手段日益復雜從而導致模型魯棒性惡化的問題。

1 相關內容

1.1 Inception結構

研究GoogLeNet結構[9]的論文指出獲得高質量模型最穩妥的做法是在增加網絡深度和寬度的同時減少參數,本文在保持神經網絡結構稀疏性的同時,又充分利用密集矩陣的高計算性能,設計出了Inception的模塊化結構。如圖1所示,本文提出的檢測模型采用Inception結構的多尺度卷積作為深層特征提取模塊[10]。

圖1 Inception結構Fig.1 Inception structure

1.2 OCSVM算法

OCSVM是最先由Lkopf等[11]提出的一種無監督學習算法,目前已廣泛應用到故障識別和醫療等領域。其主旨思想是假設原點為唯一異常樣本,通過核函數將數據樣本映射到高維特征空間RD,從而獲得更良好的聚集性及捕捉非線性的能力,最后在特征空間中求解出一個最優超平面來實現目標數據與坐標原點的最大分離。OCSVM分類器的無約束目標函數為

(1)

式中:xi為訓練樣本;φ(·)是映射函數;ρ是特征空間中所求超平面的補償與原點的距離;ω是特征空間求得超平面的法向量;v是權衡參數;ξi是松弛變量。

通常利用拉格朗日算子將式(1)優化轉換,令

得到OCSVM的決策函數:

(2)

2 MSCNN-IOCSVM入侵檢測模型

CNN的優勢是能夠在空間維度上提取表征能力強的高層特征,同時也具有數據降維的能力。Inception結構與傳統CNN相結合得到MSCNN,其性能相較于CNN更加優秀[12]。OCSVM的優勢在于可以將小樣本的無標簽數據進行準確分類?；谏鲜鎏攸c和目前工業控制入侵檢測領域存在的問題,本文提出了一種基于MSCNN和改進OCSVM結合的復式入侵檢測模型。

2.1 MSCNN-IOCSVM算法原理

本文檢測模型算法原理的推導證明過程主要包括2個部分:MSCNN模塊和OCSVM的改進。

MSCNN特征提取模塊中,在經過Inception層多尺度卷積后進入卷積層,卷積公式如下所示:

其中:X為輸入矩陣;W為權重矩陣;Y為輸出矩陣;φ為非線性激活函數Rule函數。MSCNN模塊的誤差函數為

(5)

其中:E為MSCNN模塊的誤差函數;d是期望輸出向量;y是網絡輸出向量。

本文模型設計考慮到了傳統分段式檢測模型只是為了檢測效率的提升,而忽略功能模塊和分類器相互之間的影響。為使各模塊間最大限度地解耦,本文采用隨機傅里葉特征(random Fourier features,RFF)近似徑向基核函數(radial basis function,RBF),該方法基于內核函數的傅里葉變換,其高斯分布為

p(ω)=N(0,σ-2I)

(6)

式中:I是單位矩陣;σ為高斯過程的標準差。由分布p,在高維特征空間RD得到均勻分配的權值ω1,ω2,…,ωD。因為偏移量不引入到相移,因此映射方式采用余弦與正弦混合。映射定義的公式如下:

(7)

將核近似映射公式(7)代入到式(1)中,得到改進后的OCSVM目標函數為

(8)

將式(8)與MSCNN模塊的誤差函數式(5)聯合,得到本文的MSCNN-IOCSVM模型的聯合目標函數為

(9)

式中:α是控制卷積特征壓縮和支持向量機邊之間的超參數;n表示Beach size。

2.2 MSCNN-IOCSVM模型結構

模型利用MSCNN模塊將預處理后的正例二維數據進行特征提取和學習,同時降低數據維度,然后通過多次epoch訓練使分類器IOCSVM建立最優超平面,從而進行樣本判別。MSCNN-IOCSVM模型完整結構如圖2所示。

圖2 MSCNN-IOCSVM模型結構Fig.2 MSCNN-IOCSVM model structure

3 實驗結果與分析

3.1 評價指標

為了更為直觀地與其他的入侵檢測模型的檢測效果進行多方面對比,本文模型的評價指標主要有準確率(accuracy,Acc),精度(precision,P)以及誤報率(false positive rate,FPR)。

3.2 數據分析及預處理

本文性能測試實驗中使用的是加拿大網絡安全研究所公開的CIC-IDS-2017數據集。CIC-IDS-2017數據集的攻擊手段復雜多變,包括暴力破解,端口掃描,DDos,Dos,Web攻擊,Heartbleed,僵尸網絡以及數據滲透等現如今網絡最難以防范和流行的攻擊方法。CIC-IDS-2017數據集包括一類正常數據和14類攻擊數據,數據特征屬性高達84個,此數據集滿足對檢測模型性能測試的要求。經過對各類攻擊數據的等比例抽樣,重構符合實際網絡環境中數據流量分布的實驗數據集。因CIC-IDS-2017數據集中周一數據全部為正常數據,恰好適合本文模型的訓練,所以實驗中將其按7∶3的比例分配到訓練集和測試集,而異常樣本的選取采用各類攻擊類型數據隨機均勻抽取。因此本文基于CIC-IDS-2017數據集重構數據集中的正常數據與異常數據分布,見表1和表2。

表1 重構驗證數據集數據分布Table 1 Dataset distribution

表2 各類異常數據分布Table 2 Distribution of various abnormal data

數據預處理過程中將數據的特征屬性結合粗糙集與超球理論約減為81個,之后將數據特征reshape為9×9的二維特征矩陣輸入到檢測模型。屬性約減具體實現步驟如下:

1) 基于上文OCSVM理論的描述,隨機抽取n個(10%)正樣本點,作各樣本點距數據集樣本中心點m的歐氏距離D,求出最大歐式距離R,其中d為數據維度。

2) 根據中心點m和r構建正樣本超球,超球半徑控制參數μ取0.85。

r=μR, 0≤μ≤1

(13)

3) 對超球空間約減的最外圍數據樣本進行屬性統計分析,然后利用概率型粗糙集進行特征屬性的約減,決策屬性設置為訓練集收斂時間,最終使原始特征屬性約減為滿足模型輸入特征矩陣的維度。

3.3 實驗結果分析

為評估MSCNN-IOCSVM在入侵檢測上的性能,將該檢測模型和相似結構的主流檢測模型MSCNN[13]、RST-SVM[14]和AE-SVM[15]模型在基于CIC-IDS-2017重構的實驗數據集上進行實驗,得出OCSVM的最優參數為v=0.1,α=1 000,RFF=200和σ=3。經過對模型各方面評價指標的綜合對比,可以明顯看到本文設計的模型要優于其他的模型,如圖3所示。

圖3 測試實驗檢測結果Fig.3 Test results

從圖3可以看出,本文模型對于正異流量極不平衡數據的檢測分類效果優于其他算法模型。Acc和FPR的分數表現都較為出色,滿足對于大流量、樣本類型復雜和不平衡的工業控制網絡環境的檢測要求。

3.4 魯棒性驗證

在模型的魯棒性驗證實驗中,本文使用的是2014年MSU基礎設施保護中心建立的工業控制標準入侵檢測數據集,其原始數據是密西西比州立大學內部SCADA實驗室設計的天然氣管道系統的真實數據。數據集是SCADA系統中隨著時間變化抓取的流量數據,針對ICS的網絡攻擊手段復雜多樣,包括35種攻擊方式,對應7種攻擊類型,26個數據特征,是評估ICS入侵檢測的標準數據集,為了簡化實驗計算過程,選取10%數據集進行驗證實驗。為了讓驗證數據集更貼合實際ICS的流量分布情況,本文使用SMOTE算法對數據集的Normal數據過采樣,并對各類攻擊數據進行隨機均比抽取組成異常數據,重新構造的驗證數據集數據分布見表3。

表3 重構數據集數據分布Table 3 Reconstructing data distribution of dataset

為了更好地體現模型的魯棒性,本文的魯棒性驗證實驗采用十折交叉驗證并對各個模型進行30次迭代。實驗中將數據特征約簡為25個,reshape為5×5的模型輸入。

為了進一步直觀證明本文模型的強魯棒性,將各檢測模型分別在實驗數據集,即CIC-IDS-2017(簡稱為CIC)和魯棒性驗證數據集,即MSU標準工控數據(簡稱為MSU)上的表現進行分析對比,從不同模型數據集上的實驗結果中的Acc和FPR評價指標差波動差值來評估模型魯棒性的好壞。實驗數據結果見表4。

表4 各模型魯棒性對比Table 4 Robustness comparison of each model

從表4分析可知,模型的Acc和FPR指標波動絕對值之和的結果越接近0,模型的魯棒性越強。分析可知,因RST-SVM模型是結合粗糙集約簡理論設計,所以在數據類型復雜多變的驗證數據集上的表現很不理想,其魯棒性最差。MSCNN模型基于CNN設計,對于較為復雜的數據集有強大的適應能力,因而其魯棒性相對較好。AE-SVM基于自編碼器的SVM設計,模型對于不同環境的適應能力也較強,其魯棒性指標最為接近本文提出的檢測模型。本文模型結合MSCNN與OCSVM的各自優勢設計,所以模型的異常檢測能力和魯棒性都很優秀。

4 結 語

本文針對目前工業網絡入侵檢測系統對多變的ICS網絡環境的適應能力差的問題,利用OCSVM對異常數據極為敏感的特性與MSCNN可提取不同層次特征的能力,設計出分段式的網絡入侵檢測模型。在工控標準數據集上與多種經典模型進行了性能對比,證明本文模型具有較強的異常檢測能力和魯棒性,可滿足工控入侵檢測的要求。