^
m m m m
2021年第04期
(总第220期)
莫晓瑾\蒋英钰2
(1.武汉船舶职ik 技术学院,湖北武汉430050;2.长江师范学院,重庆408100)
摘要:随着工业无线通信技术的逐步发展与国际化,它在工业自动化领域中发挥着举足轻重的作用。近年来,工业控制 网络的安全问题受到了广泛的关注,针对工业网络中异常数据的识别研究也得到重视。目前,工业网络数据异常识别方 法可以处理的大部分数据是单维的,并且数据检测只能在被测量的单个项目上执行,测量网络数据的方法复杂且检测非 常不方便,测量的精确度不高。为了解决此类问题,通过查大量的文献,对数据进行对比分析,基于无线通信的异常数 据识别是针对工业网络,检测无线网络的数据,到了一种可以检测待测多个指标数据的异常识别方法,经过实验证明 可提高网络数据识别的可靠性和安全性。关键词:网络监测;异常数据识别;无线通信中图分类号:TN 92;TP 273;TP 393.08
文献标识码:B
文章编号:2096-9759(2021 )04-0041-03
Industrial control network anomaly data identification method based on wireless communication
M o Xiao j in 1, Jiang Yingyu 2
(1 .Wuhan Institute o f Shipbuilding Technology , HubeiWuhan 430050; 2. YANGTZE NORMAL UNIVERSITY , ChongQing 408100) A bstract : W ith the gradual igniting o f industrial in fin ite communication technology and the gradual internationalization o f development , it plays a pivotal role in the road o f industrial automation . Industrial network anomalies have also become a topic o f concern , and research on the identification o f anomalous data in industrial networks is extremely im portant . However , most o f the data that can be processed by the current industrial network data anomaly identification method is a single dimension , and data detection can only be performed on a single item to be measured , and the method o f measuring the network data is huge . This method is extrem ely inconvenient . And can 1! measure more rigorously . In order to solve such problems , this paper finds a large number o f documents , and through the comparative analysis o f data , fi
nds an ab normal recognition method that can detect data o f m ultiple indicators to be tested , and improves the re lia b ility and security o f network data identification .
Keyw ord : network m onitoring ; anomaly data identification ; wireless communication
随着网络技术的不断发展,网络异常的可能性越来越大。
网络异常处理通常用于网络安全和网络资源保护等领域。面 对如此庞大的网络数据资源,提高数据的安全性和保障网络 的正常运行是极其重要的。特别是在网络的智能应用逐渐应 用于工业,促进工业发展,对工业网络异常数据识别的研宄迫 在眉睫。
近年来,随着研宄者的不断研究,关于无线通信方面的网 络数据异常识别的研宄不断得到发展。伊胜伟,张狲斌,谢丰 (2017)发表的《基于Peach 的工业控制网络协议安全分析》针 对网络安全采用模糊测试技术,提出了基于Peach 工业控制网 络协议的安全分析方法,并以公开的工控网络协议Modbus TC P 为例进行了实验,实验结果表明该方法在工业控制网络
协议的安全漏洞挖掘方面是有效的。张凯一,陈铁明,严春
(2017)在《工业控制系统安全及异常检测研宄进展》中从工业 控制系统的结构、脆弱性、存在的威胁、异常检测4个方面的 介绍了国内外工业控制安全研宄的进展,提出了工业网络安 全保护的建议。2
017年,韩丹涛等[1]设计了一种基于PROFI - N E T 的特殊工业网络安全隔离器,基于工业通信网络诊断、隔
离和安全防护技术,实现对网络状态和PRO FINET 关键数据 的实时监控,阻断异常畸形报文,并防止未授权设备的非法访 问。这些情形产生的报警信息,将被实时发送到配置管理平 台并进行报警显示。2018年,刘万军等采用通过DBSCAN 算法和K-means 方法以解决单类支持向量机入侵检测方法中 内部异常点和离点的问题检测,并设计了 O C SVM 异常入
收稿日期= 2021-03-17
作者简介:莫晓瑾(1979-),女,湖北武汉人,德国工程硕士,武汉船舶职业技术学院中德职业教育学院副院长,机电一体化技术专业(中德合 作项目)专业负责人,讲师,主要研宄方向为机电技术应用、工业网络控制技术;蒋英钰(1983-),男,江西泰和人,工程硕士,历任长江师范学 院机器人工程学院智能装备系系主任,长江师范学院机械与电气工程学院机械工程系系主任,副教授,主要研宄方向为先进制造技术、机器 人图像处理技术。
[10] Garcia-Garcia B , Bouwmans T , Silva A J R . Background
subtraction in real applications : Challenges , current models and future directions [J ]. Computer Science Review , 2020,
35:100204.
[11] Konolige K , M ihelich P.Technical description o f K inect cali -
bration [J ], Tech . Rep ., W illow Garage , 2011.
[12] Bhanu B , Lee S , Ho C -C , et al . Range Data Processing : Re
presentation o f Surfaces by Edges [J ]. Proceedings - Interna tional Conference on Pattern Recognition , 1986, 236-238.
[13] Shi J , M alik J . Normalized cuts and image segmentation [J ].
IEEE Transactions on Pattern Analysis and Machine In te lli gence , 2000,22(8): 888-905.
41
侵算法,利用组合分类器检测工业网络入侵无异常数据样本, 提高了检测效果。朱建军等[3]为了解决工业控制网络环境的 复杂性和入侵检测要求的特殊性,采用深度解析异常行为的 操作模式,利用粗糙集理论(RST)简化检测特征的属性,利用 支持向量机算法分类,结合自适应遗传算法进行模型优化,提
出了一种可以降低复杂性和入侵检测模型的检测时间,提高 了对异常攻击行为的检测率。赵澄等[4]提出了一种多特征空 间加权组合SVM分类检测算法来检测A PT攻击异常会话流,以解决高级持续性威胁的网络安全问题,使用深度流检测技 术,检测精度较高,误报率较低,提高了安全效率。此外,王佳 楠等也对此进行了研宄[5又
基于无线通信的工业控制研宄近年来也在逐渐扩大。韩 存武等[9]研宄了无线网络一般形式的多时滞模型的时滞补偿 算法,并将该算法应用在提出的多时滞模型中,给出了无线通 信网络功率和速率的最优跟踪控制律。薛雪等™探讨了依据 模糊认知图的概念顶点属性模糊推理机制,探讨了一种微电 网数据传输无线传感器网络跨层协作服务质量的模糊控制方 法,可以给予无线传感器网络的微电网数据通信提供有效的 Q oS保障。郑东梁等[11]为了研宄远程监控在工业领域的应用,基于W IA-P A工业无线技术开发软件平台,实时监测油井数 据,大大提高了油田生产效率和管理水平。此外,方遒等也对 工业无线通信进行了深入研宄[12_14]。
为了研宄基于无线通信的工控网异常数据识别方法,本 文从三种方法研宄异常数据识别:基于P C A概率模型的异常 检测方法、基于V B推断的异常检测方法和基于小波变换的异 常检测方法[13]。通过对比分析,得出PPCA模型对异常数据的 检出率较高,误报率较低,有效提高了网络运行的可靠性和稳 定性。
1无线通信工业控制网络异常数据识别方法
1.1基于PCA概率模型的异常检测方法
利用PCA概率模型来提高PCA处理随机数据源的性能[14]。设流量O D的个数为P,检测时间窗内流量采样点数为n,则 网络流量信号的观测模型为:
D ptn~M(r)p-»n+
E p%n⑴
其中:是观察到的流量信号矩阵,是秩,流量的 量值须经归一化和零中心化后输入此矩阵;E是随机突发引起 的观测噪声矩阵,为了使计算复杂性满足实时检测的需求,采 用均值为〇、方差为的高斯分布近似突发流量。因此,网络 流量信号的PPCA模型是:
f(D\A,L,X,(〇,r) = N{.<Lx'.(〇X I p® 1 …)⑵其中:yiLX1是氕的经济奇异值分解,/< e/r”,4 a,s yr
与都是酉矩阵;Ip和In为单位矩阵;L是非零奇异值组成的对 角阵,即:
L= diag(l),l=[/,lrf⑴
/,>/2>.->/r>〇
1.2基于VB推断的异常检测方法
PPC A模型的秩反映了主成分的总量。网络上的攻击流 量有使秩增大的趋势,而随机突发流量则有使秩分布趋于平 滑的趋势。这一结论的依据在于以下两点:①流量的所有主 成分由周期恒稳的若干个正常主成分与突然出现的若干个 异常主成分组成。异常主成分的数量将由攻击流的发生引起。由于攻击流量的出现会导致异常主成分个数的增多,而 正常主成分并未改变,因而总的主成分个数将增加,又由于 秩反映了主成分的总量,因此攻击流量有使秩增大的趋势;
②根据公式(2),随机突发流量可以看做高斯部分与非高斯 部分的总和,其中高斯部分由于己计入P PC A模型,不会影 响秩的分布,而非高斯部分对秩的分布的影响由于没有任何 先验信息因而会对秩的分布函数产生扁平化影响。基于以 上两个原因,随机突发流量会使秩的分布平滑化.根据这一原 理设计检测算法,就需要对PPCA模型的秩进行推断.在贝叶 斯推断体系中,基于极大似然原理的E M和M A P等方法在 解决PPCA模型的推断问题时,利用模型的秩作为先验信息,因而不具有对秩的推断能力;近年发展起来的变分贝叶斯 (V B)理论尽管计算量较大,但不仅可以推断模型的秩,而且 能够得到秩的分布函数。因此,本文采用V B算法作为PPCA 模型秩的推理算法[15]。
根据贝叶斯公式,r的后验分布可以表示为:
/(r|D)<x/(D|r)/(r)(4)
通过吉布斯不等式近似,存在:
In /(/) I r) * In f(D \ r) -K H J(A. X.L.ia\D,r)
\f(A.X.L.<〇\D.r))=(5)
\e f(A.X.L.t〇\D.r)(]n f(D,A.X.L.e o\r))
-ln(/(-4.X.L,〇)\D.r))d A(L\dUm
式中:KL(_I_)是两个分布的KullBack-Leibler(K L)偏差;./'是
分布f的最优近似。
1.3基于小波变换的异常检测方法
小波变换方法可以提供随频率变化的时频窗口,使得 频率在低频时自动变宽,在高频时自动变窄。由于小波变 换可以将数据信号转换为不同的频带,因此低频可以反映 数据信号的缓慢变化,并且数据信号的瞬时变化可以被高 频反射。经过相关研宄,将一个小的干扰信号叠加在一个 常见的波形上,小波变换后,干扰处的信号会突然出现,信 号的振幅会比正常情况高得多。这样可以使用小波变换分 析技
术来查相关的突变点(奇异点)。因此,在流量异常 检测领域,利用小波变化的分辨率特征,将非线性网络流量 序列转化为不同频带的网络流量子序列,然后可以发现信 号的频谱能量变化在网络中是否异常,以及发生流量异常 的特定位置。
2数据仿真
建立网络仿真环境,收集网络中随机路由的M IB变量
ipForw-Daragrams的值,假设观察值为{Z J,其中 i=l,2,...,1830,采样间隔为1秒,在1800时,路由器附近的服务器崩溃 并且根本不工作。执行异常检测,计算异常检测统计量序列中 的每个点,并获得一个统计序列认+},在哪里和{A;}分别是在,它 们的数字分别为m和n,和cr分别代表它们的标准偏差,是:未识别的网络
定义统计的允许范围,如果平均值是并且标准偏差为a,则统计的允许范围,即统计正常的间隔,为^」,
42
这是异常点。基于此ipForw-Daragrams统计的允许范围为: [-1、32、3、11]。由此,我们可以得到{幻中的异常点,并通过GLR检测法检测数据异常。
3检测效果对比
本文基于PPCA模型和V B秩推理算法来检测这两种算法在多种强攻击下的检测率。攻击强度是平均攻击流量发送速率与链路最大带宽的归一化比值,误报率是指误报样本占报聱总次数的比率。如图1所示,观察两种算法的误报率和攻击强度之间的差异,基于PPCA模型的算法有效地降低了误报率。随着攻击强度的增加,误报率显著降低,平均下降率达到30%左右,可有效抑制误报率。
Comparison of false positive rates between two
simulation algorithms
图i两种检测算法的误报率比较
检测率是正确检测到的攻击样本数与攻击总数之比。这两种算法的检测率随攻击强度变化的曲线如图2所示。随着攻击强度的增加,基于P C A模型的检测算法和基于PPCA模型的算法在检测率上有了明显的提高,而且两者的检测提髙率相似,差异度不明显。检测率性能相似的主要原因是:
⑴攻击的分布性质。由于Stuxnet是分布式攻击,分布式攻击的检测取决于检测算法对每个分支的攻击流量的聚合程度,本质上仍属于主成分分析,因此检测率也与主成分分析异常检测算法的检测率相近。因此,该算法在显著降低误报率的同时不能有效提高检测率。
(2)工业网络的冲击性影响特征。工业网络通常出现冲击性背景流量,即在很短的时间内,流量从每个分支节点聚合到控制中心节点或数据中心节点〇此时,背景流量的主要组成部分将急剧増加,然后急剧减少,显示出冲击性特点检测算法无法在产生冲击背景流量的过程中将攻击流量与冲击背景分离,因此不能提高检测率。
Comparison of detection rates between the two
algorithms
图2两种算法的检测率比较
且从两种算法的ROC曲线反映出其检测算法的性能。从—些样本的RO C曲线测试中发现基于PPCA模型的算法下
方面积更大,性能明显优于PCA模型算法。该基于P P C A
模型及其秩推断的检测算法更能有效地降低误报率。
4结语
随着网络规模不断扩大,各种新的网络技术出现,网络设
备变得更加多样化。网络的快速发展也带来了工业网络中异
常数据增加的可能性,且随着技术的复杂性,査其根本原因
的困难度也随之増加。为了解决这些问题,维护和保障网络
的正常运行,我们需要做的是加强网络的管理,当网络的某个
性能参数或流量异常时,会出现危机提示,建议用户关闭不安
全的网站或页面,为了尽快翻倒异常,及时检测到异常现象,
需要实时连续检测异常。
参考文献:
[1]韩丹涛,赵艳领,闫晓风.工业以太网PROFINET安全隔离
器的设计[J].自动化仪表》2017,38(07):4649+53.
[2]刘万军,秦济韬,曲海成.基于改进单类支持向量机的工业
控制网络入侵检测方法[J].计算机应用,2018,38 (05):
1360-1365+1371.
[3]朱建军,安攀峰,万明,工控网络异常行为的RST-SVM入
侵检测方法[J].电子测量与仪器学报》2018,32(07):8-14.
[4]赵澄,方建辉,姚明海.工业控制网络中APT攻击检测系统
设计[J].计算机测量与控制》2018,26(10):250-254.
[5]王佳楠•工业控制网络异常状态监测关键技术的研究与应
用C D].中国科学院大学(中国科学院沈阳计算技术研究所),
2018.
[6]唐雨.工业控制网络的异常检测方法研宄[D].辽宁工程技
术大学,2019.
[7]魏战红,王展鹏,王安,宋玉宝,赵国新.改进CUSUM算法的
工控系统入侵检测方法[J].计算机工S与设计,2018,39(11):
3345-3349+3394.
[8]陈万志,李东哲.结合白名单过滤和神经网络的工业控制
网络入侵检测方法[J]•计算机应用扉加脚洸丑撒
[9]韩存武,常舒瑞,刁奇,刘蕾.多时滞无线通信网络的功率和
速率最优跟踪[J].髙技术通讯》2017,27(04):303-309.
[10] 薛雪,王建平,孙伟.微电网数据通信无线传感器网络性能
的跨层控制方法研究[J]•电子测量与仪器学报》2018,32(10):
15-25.
[11] 郑东梁,李世趨,张立嫜,曾鹏,吴晓明,赵雪峰.工业无线通信
狱讲麟対八雜于W IA-PA在延长新型地面:软
件平台的应用[J]•仪器仪表标准化与计*2〇1_:1丨22+34. [12] 方遒,王蔚庭.工业无线网络环境下移动监控的信息安全威
胁与防护[J].制造业自动化》2019,41(11):58-61.
[13] 崔桂梅,李漫丝,陈智辉.基于S7-200的PLC无线通信与监
控的应用[J].无线通信技术*2017,26(01):1(M3_
[14] BISHOP M,TIPPING E.Probabilistic principal com-ponent
analysis[J].Joumal of the Royal StatisticalSociety, 1999, 61
(3) :611-622.
[15]VeCLAVe,ANTHONY Q.The variatianal Bayesmethod in s
ignal processing[M].Berljn,Germany:Sininga',2006:57-88.
43
发布评论