基于支持向量機的智能礦井工控網(wǎng)絡(luò)入侵防御方法

李偉宏，宋 坤

（1.國家能源集團雁寶能源雁南煤礦，內(nèi)蒙古 呼倫貝爾 021122；2.大雁礦業(yè)集團有限責(zé)任公司，內(nèi)蒙古 呼倫貝爾 021122）

0 引 言

智能礦井工控網(wǎng)絡(luò)的穩(wěn)定運行對礦井工程開發(fā)建設(shè)具有至關(guān)重要的意義。從廣義角度分析，智能礦井工控網(wǎng)絡(luò)是建設(shè)礦井工程智能化系統(tǒng)的核心基礎(chǔ)，具有全面感知、分析決策、自主學(xué)習(xí)、礦井動態(tài)預(yù)測、協(xié)同控制以及實時互聯(lián)等功能，是保證智能礦井安全生產(chǎn)的基礎(chǔ)[1]。在當(dāng)前信息技術(shù)和網(wǎng)絡(luò)技術(shù)高速發(fā)展的趨勢下，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒以及網(wǎng)絡(luò)入侵威脅逐漸增多，工控網(wǎng)絡(luò)安全問題日益突出[2]。一旦智能礦井工控網(wǎng)絡(luò)遭受入侵攻擊，就會對礦井的安全生產(chǎn)與運行造成巨大危害，威脅礦井生產(chǎn)人員的生命安全[3]。基于此，設(shè)計科學(xué)合理的智能礦井工控網(wǎng)絡(luò)入侵防御方法至關(guān)重要。

現(xiàn)階段，傳統(tǒng)的網(wǎng)絡(luò)入侵防御方法日益成熟，能夠防御多種類型的網(wǎng)絡(luò)入侵攻擊[4]。然而，智能礦井工控網(wǎng)絡(luò)運行流程復(fù)雜，網(wǎng)絡(luò)安全防護規(guī)模龐大，傳統(tǒng)的防御方法在實際應(yīng)用過程中存在一定不足，主要體現(xiàn)在防御響應(yīng)時間較長、防御誤報率較高、無法快速準(zhǔn)確地防御各類網(wǎng)絡(luò)入侵攻擊等[5]。支持向量機能夠改善這一問題，有效解決小樣本、非線性模式識別中存在的細節(jié)問題，高精度地分析與識別數(shù)據(jù)[6]。基于此，在傳統(tǒng)網(wǎng)絡(luò)入侵防御方法的基礎(chǔ)上引入支持向量機，開展基于支持向量機的智能礦井工控網(wǎng)絡(luò)入侵防御方法研究。

1 智能礦井工控網(wǎng)絡(luò)入侵防御方法

1.1 入侵?jǐn)?shù)據(jù)集預(yù)處理

對入侵?jǐn)?shù)據(jù)集進行預(yù)處理，為后續(xù)的入侵防御提供基礎(chǔ)數(shù)據(jù)支持。網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集預(yù)處理的主要目的在于提高后續(xù)網(wǎng)絡(luò)防御訓(xùn)練和學(xué)習(xí)的質(zhì)量，從源頭降低防御所需的成本，減少防御處理時間[7]。文章設(shè)計的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集預(yù)處理以數(shù)值化處理為主，即對部分字符型數(shù)據(jù)進行數(shù)值轉(zhuǎn)換。在智能礦井工控網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集中，需要進行數(shù)值化處理的包括3 類特征和1 個標(biāo)簽。數(shù)值化處理特征說明如表1 所示。

表1 網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集數(shù)值化處理特征說明

1.2 智能礦井工控網(wǎng)絡(luò)入侵檢測

完成智能礦井工控網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)集預(yù)處理后，需要對工控網(wǎng)絡(luò)入侵進行全方位檢測。文章設(shè)計的智能礦井工控網(wǎng)絡(luò)入侵檢測框架如圖1 所示。

圖1 智能礦井工控網(wǎng)絡(luò)入侵檢測框架

收集網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)并完成數(shù)據(jù)預(yù)處理后，將數(shù)據(jù)集劃分為測試集與訓(xùn)練集。其中，訓(xùn)練集主要用于網(wǎng)絡(luò)入侵檢測訓(xùn)練，而測試集主要用于網(wǎng)絡(luò)入侵檢測驗證[8]。分別建立機器學(xué)習(xí)模型與網(wǎng)絡(luò)入侵檢測模型，從有標(biāo)簽的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中分析局部特征，提取其中有意義的數(shù)據(jù)，再從無標(biāo)簽數(shù)據(jù)中找出網(wǎng)絡(luò)入侵的整體特征，通過模型的共同作用獲取網(wǎng)絡(luò)入侵檢測結(jié)果。

1.3 基于支持向量機的工控網(wǎng)絡(luò)入侵防御

在工控網(wǎng)絡(luò)入侵檢測完畢后，利用支持向量機對智能礦井工控網(wǎng)絡(luò)進行多維度的入侵防御，維護網(wǎng)絡(luò)安全。根據(jù)智能礦井工控網(wǎng)絡(luò)的運行特征，給定一個線性可分的數(shù)據(jù)集，將網(wǎng)絡(luò)入侵線性數(shù)據(jù)樣本設(shè)置為分類超平面，設(shè)定分類超平面的軟間隔[9]。基于支持向量機理論，建立分類超平面線性方程。基于線性方程尋找最優(yōu)超平面，建立工控網(wǎng)絡(luò)安全通信信道，丟棄攻擊數(shù)據(jù)包，終止工控網(wǎng)絡(luò)會話。在智能礦井工控網(wǎng)絡(luò)中增加主動防御響應(yīng)功能，一旦發(fā)現(xiàn)任何入侵攻擊行為，立即響應(yīng)，并主動切斷工控網(wǎng)絡(luò)連接。修改防火墻策略，生成網(wǎng)絡(luò)警報，并記錄日志。在此基礎(chǔ)上，對智能礦井工控網(wǎng)絡(luò)入侵進行檢測關(guān)聯(lián)與分析，捕獲數(shù)據(jù)流。根據(jù)數(shù)據(jù)流結(jié)果，采取相應(yīng)的行動，阻止可能對工控網(wǎng)絡(luò)造成威脅與攻擊的各類入侵，全方位、多維度地實現(xiàn)智能礦井工控網(wǎng)絡(luò)入侵防御的目標(biāo)，保證工控網(wǎng)絡(luò)運行的可靠性與安全性。

2 實驗分析

2.1 實驗前期準(zhǔn)備

為了避免后續(xù)應(yīng)用過程中出現(xiàn)異常問題，對智能礦井工控網(wǎng)絡(luò)的運行造成不良影響，在投入使用前，需要對提出的網(wǎng)絡(luò)入侵防御方法的可行性及防御效果進行多維度測試，并將入侵防御實驗結(jié)果與其他方法的防御實驗結(jié)果進行對比。

實驗使用的數(shù)據(jù)集為某實驗室建立的工控網(wǎng)絡(luò)入侵檢測標(biāo)準(zhǔn)數(shù)據(jù)集，數(shù)據(jù)來源為智能礦井?dāng)?shù)據(jù)采集 與 監(jiān) 視（Supervisory Control And Data Acquisition，SCADA）控制系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)。數(shù)據(jù)集中，每條數(shù)據(jù)均由26 個特征量和1 個標(biāo)簽值組成。其中，特征量包括數(shù)據(jù)地址碼、響應(yīng)恢復(fù)、控制量信息以及功能碼信息等。實驗選取數(shù)據(jù)集的入侵攻擊類型描述如表2 所示。

表2 數(shù)據(jù)集入侵攻擊類型描述

對上述數(shù)據(jù)集入侵攻擊類型對應(yīng)的特征量進行離散處理，歸一化處理其中連續(xù)混合的數(shù)值，并將數(shù)據(jù)規(guī)范到[0,1]區(qū)間內(nèi)。在此基礎(chǔ)上，搭建此次實驗測試的運行平臺，開展智能礦井工控網(wǎng)絡(luò)入侵防御實驗，檢驗防御方法的可行性。

2.2 結(jié)果分析

此次實驗中，為了增強測試結(jié)果的說服力，引入對比分析的實驗方法。將文章提出的基于支持向量機的智能礦井工控網(wǎng)絡(luò)入侵防御方法設(shè)置為實驗組，將文獻[1]提出的基于邊緣樣本的網(wǎng)絡(luò)防御方法設(shè)置為對照組A，將文獻[2]提出的基于滲透測試的網(wǎng)絡(luò)防御方法設(shè)置為對照組B，分別對3 種方法的智能礦井工控網(wǎng)絡(luò)入侵防御效果進行客觀對比分析。選取智能礦井工控網(wǎng)絡(luò)入侵防御誤報率作為此次實驗測試的評價指標(biāo)，其計算表達式為

式中：P表示工控網(wǎng)絡(luò)入侵防御誤報率；Qa表示誤檢為其他類型的工控網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)；Q表示實驗數(shù)據(jù)集容量。

設(shè)定網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)量分別為200 MB、400 MB、600 MB、800 MB、1 000 MB 以及1 200 MB，在數(shù)據(jù)量逐級增多的情況下，利用MATLAB 模擬分析軟件模擬3 種方法的網(wǎng)絡(luò)入侵防御流程。計算3 種方法對應(yīng)的工控網(wǎng)絡(luò)入侵防御誤報率，結(jié)果如圖2 所示。

圖2 不同方法的網(wǎng)絡(luò)入侵防御誤報率對比

根據(jù)圖2，文章提出的基于支持向量機的智能礦井工控網(wǎng)絡(luò)入侵防御方法應(yīng)用后，在數(shù)據(jù)量逐級增多的情況下，網(wǎng)絡(luò)入侵防御誤報率始終低于另外2 種方法，并未隨著數(shù)據(jù)量的增多而出現(xiàn)大幅上升趨勢。對照組A 和對照組B 的方法應(yīng)用后，網(wǎng)絡(luò)入侵防御誤報率明顯較高。由此可知，文章提出的基于支持向量機的智能礦井工控網(wǎng)絡(luò)入侵防御方法具有較高的可行性，能夠有效防御各種類型的網(wǎng)絡(luò)入侵攻擊，可以投入實際礦井工控網(wǎng)絡(luò)中使用。

3 結(jié) 論

為了改善傳統(tǒng)礦井工控網(wǎng)絡(luò)入侵防御方法在實際應(yīng)用中的防御周期長、防御響應(yīng)速度慢等問題，引入支持向量機，提出智能礦井工控網(wǎng)絡(luò)入侵防御方法的深入研究。該方法打破了網(wǎng)絡(luò)入侵防御對環(huán)境條件的制約，優(yōu)化了網(wǎng)絡(luò)安全防御措施的防護效果，能夠在短時間內(nèi)快速防御智能礦井工控網(wǎng)絡(luò)多樣化、復(fù)雜化的入侵攻擊。從工控網(wǎng)絡(luò)節(jié)能需求與安全需求出發(fā)，基于支持向量機的智能礦井工控網(wǎng)絡(luò)入侵防御方法解決了智能礦井工控網(wǎng)絡(luò)入侵檢測及防御效率較低的問題，全面提高了網(wǎng)絡(luò)防御抗干擾能力，具有良好的發(fā)展前景。