正在加载图片...
第5期 熊柳,等:SCADA安全因素神经元的云推理机研究与仿真 ·693· end %利用逆向云发生器计算 70 [Ex,En,He =backc loud(z1,zul,z2,zu2) 50 coml=coml+Ex; 40 com2=com2+En; 30 2 end C=coml/5; 008060 条件a 020 0020406080100 条件b D=com2/5; fprintf('云推理机预测程序行为恶意度期望为%fn’,C); 图6隶属函数法推理Surface图 fprintf('云推理机预测程序行为恶意度期望为%fn',D): Fig.6 FIS surface 3.3仿真实验与分析 3.3.2仿真实验 3.3.1建立对比实验 已知数据:以“if在系统目录下创建文件and设 云模型理论建立在传统隶属函数)的基础上, 置文件时间为系统文件时间then非法创建文件”为 其随机性是不同于传统隶属函数方法的特性。所 例,因为各因素都是模糊语言值表示的概念,根据 以,利用传统隶属函数方法建立对比实验,可以加强 “知识因素表示的关系模型”原理,给各因素假设一 对该云推理机优势和缺陷的分析,从而进行后续改 个数字量的参考指数,指数满分为100,指数越高表 进。传统隶属函数方法对比实验主要利用Matlab中 示确定度越大:反之越小。 的FIS(模糊逻辑工具箱)编辑器,步骤如下: 待测数据:现有一未知恶意程序通过课题小组 1)建立隶属度函数。云推理机测试样本数据 建立的感知神经元行为分解并分析后得到条件“在 如表1所示。由数据可知,应该选择Gauss隶属函 系统目录下创建文件因素指数X”和“设置文件时 数(正态型),一共有9条规则,每一条规则有2个 间为系统文件时间指数X,”。 input,l个output,均按照其期望(Ex)和嫡(En)建 表1中,Factor A代表“在系统目录下创建文件 立Gauss隶属函数。 因素指数A”,Factor B代表“设置文件时间为系统 表1云推理机测试样本数据 文件时间因素指数B”,Factor C代表“非法创建文 Table 1 Sample data 件因素指数C”,Class代表“每条规则对应的恶意程 Ru-Factor A Factor B Factor C 序种类”。将仿真结果统计如表2所示。 Cla- 表2仿真结果数据统计表 les Ex En He:Ex2 En2 He2 Ex3 En He;les Table 2 Reslult data 199.618.30.1849.79.80.175.57.30.15A CG FIS 247.29.70.198.914.50.1574.47.60.15B (x1,x2) Rules Infer Rules Infer 37411.80.1272.613.10.1365.24.10.08C Max Sec Ex Var 46912.20.1325.312.30.1245.53.150.06D (99.50) 1 3 75.78 0.85 1 75.50 54711.90.1250 120.1250.63.10.06E (74,87.9) 3 2 61.39 12.17 Null 74.46 62312.90.1274.812.70.1258.93.00.06F (35.83) 6 2 62.10 0.34 Null 60.02 72712.10.1227.613.20.1331.06.20.12G (4.5,52.6) 6 36.7521.67 20.80 8318.701852.4110.120.87.50.15H 表2中,(x1,x2)表示待测样本数据的条件a和 95210.80.11.61.70.1719.07.50.151 条件b的参数:CG表示云模型推理机方法,FIS表 2)编辑器建立推理规则。例如:f(条件ais 示利用模糊工具箱实现的隶属度函数法;Rules表示 1a)and(条件bis1b)then(推论c is le)。条件A、 触发规则,Max表示激活强度最大的触发规则,Sec B、C指广泛意义上的定义概念,其小写a、b、c指代 表示次大,Null表示无触发规则;nfer表示推理机 具体的实际条件。 对待测样本的推测恶意度,Ex表示期望,Var表示 3)得到Surface三维图如图6所示,并在云 方差。 推理机主程序中用evalfis函数调用,得到隶属函 云推理机得到的恶意度分布图和隶属函数法得 数法推理出的结论,并与云推理机得到结论进行对比 到的规则图如图7~10所示(以(99,50)和(74, 分析。 87.9)为例)。end %利用逆向云发生器计算 [Ex,En,He] = backc loud(z1,zu1,z2,zu2); com1 = com1+Ex; com2 = com2+En; end C = coml / 5; D= com2 / 5; fprintf(’云推理机预测程序行为恶意度期望为%f\n’,C); fprintf(’云推理机预测程序行为恶意度期望为%f\n’,D); 3.3 仿真实验与分析 3.3.1 建立对比实验 云模型理论建立在传统隶属函数[15] 的基础上, 其随机性是不同于传统隶属函数方法的特性。 所 以,利用传统隶属函数方法建立对比实验,可以加强 对该云推理机优势和缺陷的分析,从而进行后续改 进。 传统隶属函数方法对比实验主要利用 Matlab 中 的 FIS(模糊逻辑工具箱)编辑器,步骤如下: 1)建立隶属度函数。 云推理机测试样本数据 如表 1 所示。 由数据可知,应该选择 Gauss 隶属函 数(正态型),一共有 9 条规则,每一条规则有 2 个 input,1 个 output,均按照其期望(Ex) 和熵(En) 建 立 Gauss 隶属函数。 表 1 云推理机测试样本数据 Table 1 Sample data Ru⁃ les Factor A Factor B Factor C Ex1 En1 He1 Ex2 En2 He2 Ex3 En3 He3 Cla⁃ les 1 99.6 18.3 0.18 49.7 9.8 0.1 75.5 7.3 0.15 A 2 47.2 9.7 0.1 98.9 14.5 0.15 74.4 7.6 0.15 B 3 74 11.8 0.12 72.6 13.1 0.13 65.2 4.1 0.08 C 4 69 12.2 0.13 25.3 12.3 0.12 45.5 3.15 0.06 D 5 47 11.9 0.12 50 12 0.12 50.6 3.1 0.06 E 6 23 12.9 0.12 74.8 12.7 0.12 58.9 3.0 0.06 F 7 27 12.1 0.12 27.6 13.2 0.13 31.0 6.2 0.12 G 8 3 18.7 018 52.4 11 0.1 20.8 7.5 0.15 H 9 52 10.8 0.1 1.6 1.7 0.17 19.0 7.5 0.15 I 2) 编辑器建立推理规则。 例如:If (条件 a is 1a)and (条件 b is 1b)then(推论 c is 1c)。 条件 A、 B、C 指广泛意义上的定义概念,其小写 a、b、c 指代 具体的实际条件。 3) 得到 Surface 三维图如图 6 所示,并在云 推理机主程序中用 evalfis 函数调用,得到隶属函 数法推理出的结论,并与云推理机得到结论进行对比 分析。 图 6 隶属函数法推理 Surface 图 Fig.6 FIS surface 3.3.2 仿真实验 已知数据:以“if 在系统目录下创建文件 and 设 置文件时间为系统文件时间 then 非法创建文件”为 例,因为各因素都是模糊语言值表示的概念,根据 “知识因素表示的关系模型”原理,给各因素假设一 个数字量的参考指数,指数满分为 100,指数越高表 示确定度越大;反之越小。 待测数据:现有一未知恶意程序通过课题小组 建立的感知神经元行为分解并分析后得到条件“在 系统目录下创建文件因素指数 X1 ”和“设置文件时 间为系统文件时间指数 X2 ”。 表 1 中,Factor A 代表“在系统目录下创建文件 因素指数 A”,Factor B 代表“设置文件时间为系统 文件时间因素指数 B”,Factor C 代表“非法创建文 件因素指数 C”,Class 代表“每条规则对应的恶意程 序种类”。 将仿真结果统计如表 2 所示。 表 2 仿真结果数据统计表 Table 2 Reslult data (x1 ,x2 ) CG FIS Rules Max Sec Infer Ex Var Rules Infer (99,50) 1 3 75.78 0.85 1 75.50 (74,87.9) 3 2 61.39 12.17 Null 74.46 (35,83) 6 2 62.10 0.34 Null 60.02 (4.5,52.6) 8 6 36.75 21.67 8 20.80 表 2 中,(x1 ,x2 )表示待测样本数据的条件 a 和 条件 b 的参数;CG 表示云模型推理机方法,FIS 表 示利用模糊工具箱实现的隶属度函数法;Rules 表示 触发规则,Max 表示激活强度最大的触发规则,Sec 表示次大,Null 表示无触发规则;Infer 表示推理机 对待测样本的推测恶意度,Ex 表示期望,Var 表示 方差。 云推理机得到的恶意度分布图和隶属函数法得 到的规则图如图 7 ~ 10 所示(以( 99,50) 和( 74, 87.9)为例)。 第 5 期 熊柳,等:SCADA 安全因素神经元的云推理机研究与仿真 ·693·