優化隨機森林模型的工控網絡異常檢測

摘 要：針對現有ＭｏｄｂｕｓＴＣＰ協議的異常檢測效率和準確率低的問題，提出了一種基于混合鯨魚算法優化的隨機森林異常檢測模型。該模型將柯西變異和自適應動態慣性權重相結合，利用柯西變異算子增加種群多樣性，避免算法陷入局部最優；引用自適應動態慣性權重因子提高種群的全局搜索能力，使算法的收斂速度加快。仿真實驗結果表明，該模型相較于其他分類算法有著更高的準確率和較強的適應性，證明了模型在實際應用中具有較高的檢測精度。

關 鍵 詞：工控網絡；異常檢測；工業協議；鯨魚算法；隨機森林；混沌映射；柯西變異；自適應權重

中圖分類號：ＴＰ３９３.０８ 文獻標志碼：Ａ 文章編號：１０００－１６４６（２０２４）０２－０１９７－０９

工控網絡是能源、交通、城市公用設施等國家關鍵基礎設施的重要組成部分。隨著工業化和信息化的融合發展，在增強工控網絡適用性的同時也引入了嚴峻的網絡安全威脅。工控協議作為工控網絡中的重要部分，其安全性更是備受關注的焦點［１］。其中，ＭｏｄｂｕｓＴＣＰ協議已是當前應用最廣泛的協議，通過該協議可以實現ＰＬＣ、Ｉ＼Ｏ模塊、其他設備的透明連接。Ｍｏｄｂｕｓ協議同絕大多數工控協議一樣，自身存在較多安全缺陷，架設在ＴＣＰ／ＩＰ上之后，更是將ＴＣＰ／ＩＰ協議本身存在的安全問題帶到了工控安全中［２］。如今，針對該協議的異常檢測仍是研究的重點，如何提高其安全防御能力迫在眉睫。

諸多學者在ＭｏｄｂｕｓＴＣＰ的異常流量檢測方面取得了一定的研究進展，主要采用聚類［３］、神經網絡［４］、支持向量機［５］和隨機森林［６］等機器學習方法。其中聚類算法受參數影響較大，在異常檢測中檢測效果嚴重依賴主觀解釋；支持向量機則難以對工業流量的大數據樣本進行訓練。在眾多機器學習方法中，隨機森林因其準確率高、抗噪聲能力強等優勢受到青睞。在異常檢測上，隨機森林能有效處理工業大數據集合以及隨機性不容易過擬合等問題，是熱門的機器學習算法之一。ＭＯＫＨＴＡＲＩ等［７］提出了采用隨機森林算法識別控制層異常活動的入侵檢測系統，解決了針對隱匿攻擊檢測問題，證明了隨機森林在測量數據上也有著極高的分類準確率，但很難保證算法的穩定性。上述研究在檢測精度上有一定提升，但由于隨機森林模型的分類準確率受參數影響較大，且傳統的參數優化方法很難避免主觀因素的存在，因此有學者采用群智能優化算法提高參數尋優的效率。張利隆等［８］提出了一種基于柯西變異的灰狼算法優化高斯過程的入侵檢測模型，解決了算法容易陷入局部最優的問題，但沒有考慮到算法的收斂速度問題。于立婷等［９］提出了一種改進的人工蜂群優化Ｋｍｅａｎｓ算法，解決了對不同種類的入侵者檢測率低、檢測速率慢的問題，使算法能更快進行優化選擇，雖然改進了算法的優化過程，但算法穩定性和效率難以保證。在眾多優化算法中，對于機器學習的參數選擇來說，鯨魚算法因其調整參數少、結構簡單、搜索速度快等特性，表現出十分卓越的性能。但因算法收斂較慢且容易陷入局部極值，使得其優化效率有所下降。