正在加载图片...
第5期 熊柳,等:SCADA安全因素神经元的云推理机研究与仿真 ·689. 马等会随之直接(如联网接入)或间接(如物理设备 基于因素神经元的SCADA系统恶 植入)地侵入工业控制系统,另一方面还有一些黑 客组织或是敌对组织对国家的工控系统展开有组织 意程序行为分析 的攻击如“震网”病毒事件,这种攻击具有未知性、 2.1 SCADA系统信息安全的因素空间构建 隐秘性、持续时间长等特点,同时破坏效果更为强 2.1.1因素空间核心内容 烈,而由于SCADA系统实时性、连续性和封闭性等 “任何事物都是诸因素的交叉”,一个人可以由 特点,很多用在传统计算机安全方面的手段(如病 他在年龄、性别、身高、体重、职业、学历、性格、兴趣 等因素方面的表现而加以确定)],人就是上述因素 毒库更新)又无法照搬过来用在SCADA系统上面, 的一种交叉。然而一个事物并非从任何因素都可以 工控系统的信息安全问题日益突出。2002年美国 对之进行考察,如一块石头无从论性别,所谓事物0 宣布将保护重要领域工业控制系统安全列人重要的 与因素f相关,是指从f讨论o,有一个状态f(o)与 工作内容,例如美国阿贡国家实验室(argonne na- 之对应。例如从f(颜色因素)讨论o(苹果),有一 tional laboratory,ANL)的研究主要集中于美国天然 个状态f()(红色)与之对应。 气管道运输的SCADA系统安全领域,提出采用 称(0,V)是一个配对,如果0与V分别是由一 SCADA系统的蜜罐诱捕SCADA系统恶意攻击、进 些对象和由一些因素所组成的集合,且对任意。∈ 行脆弱性分析以及攻击行为分析。 O,一切与o有关的因素都在V中,而对任意因素 本文首次提出基于因素神经网络[)的油气集 f∈V,一切与f有关的事物也都在O中。 输SCADA安全防御模型,采用主动防御(active de-. 对于一个实际问题,假定有一个配对近似地存 fense)的方法,对控制系统主机(工程师站、操作员 在着,对于给定的配对(O,V),可以在0与V之间 定义一个关系R: 站和PLC上位机等)的恶意程序行为进行分析来实 R(o,)=1,当且仅当o与f有关。 现人侵检测的技术。主要研究SCADA安全因素神 称R为相关关系。为简便计把R定义为普通 经元)的云推理机[),实现对未知程序恶意行为的 的(非fuzzy,非模糊)关系。 推测,并对其算法进行MATLAB仿真。 D(f)=oI R(of)=1 课题思路 V(o)={f1R(o,月=1} 因素f可以看作一个映射,作用在一定的对象。 对恶意程序行为的描述可以采用因素神经元的 上可获得一定的状态,记为f(o): 方法。因素神经元由刘增良教授提出,是建立在汪 f:D()→X(fD 培庄教授的因素空间基础上提出的一种新的知识表 o-f(o) 示方法,因素空间理论4)的主要目的是用于解释随 这里X(f)={f(o)1o∈O}叫做因素f的状态 机性的根源以及概率规律的数学实质,其作用就是 空间。 2.1.2因素空间模型构建 “搭架子”,即建立一种广义坐标系,然后用以描述 给定论域U后,事物的因素分析一般步 坐标系中的实际对象。因素神经元山是一个面向 骤6为: 对象的综合知识表示与信息处理的单元模型,它能 1)确定描述事物集合0: 够获取各种类型的信息输入,神经元可以有选择性 2)确定事物的因素集合V; 地进行感知,最后构成一个总体激发完成输出,能有 3)对配对的(0,V)进行层次系统分析,确定其 效地作为模型的载体,这种表示方法具有语法和语 是否具有层次性、类别关系,是否需要构成因素分类 义统一,定性与定量统一的知识表示特点。 树,从而实现优化分析: 完成了对恶意程序行为因素的表示和定性向定 4)确定各因素在论域U上的单因素状态空间: 量转换后,需要通过一定的算法对这些行为因素进 5)构造离散因素空间: 行分析,通过推理得到一个大致的结论,例如,这是 6)构造原始事物描述离散模型。 大规模油气集输SCADA系统的信息安全防御 一个什么样的恶意程序、其危害程度有多大。那么 是由多方面因素构成的,不是光从某一个因素入手 可以尝试采用云模型的方法来完成这个推理机。 就能解决的。对于SCADA系统信息安全防御,主 云模型由李德毅院士在1995年提出[),云是用 要从恶意程序对系统的文件、注册表、进/线程操作 自然语言值标识的某个定性概念与其定量表示之间 这3方面的因素来考虑,每一种操作由多方面的因 的不确定性转换模型。云由许多云滴组成,每一个 素构成,这样就可以把SCADA系统信息安全防御 云滴就是这个定性概念在数域空间中的一次具体实 问题放在一个由有限个恶意程序行为因素构成的因 现,这种实现带有不确定性。 素空间中,如图1所示。SCADA系统信息安全就从马等会随之直接(如联网接入)或间接(如物理设备 植入)地侵入工业控制系统,另一方面还有一些黑 客组织或是敌对组织对国家的工控系统展开有组织 的攻击如“震网”病毒事件,这种攻击具有未知性、 隐秘性、持续时间长等特点,同时破坏效果更为强 烈,而由于 SCADA 系统实时性、连续性和封闭性等 特点,很多用在传统计算机安全方面的手段(如病 毒库更新)又无法照搬过来用在 SCADA 系统上面, 工控系统的信息安全问题日益突出。 2002 年美国 宣布将保护重要领域工业控制系统安全列入重要的 工作内容,例如美国阿贡国家实验室( argonne na⁃ tional laboratory,ANL)的研究主要集中于美国天然 气管道运输的 SCADA 系统安全领域,提出采用 SCADA 系统的蜜罐诱捕 SCADA 系统恶意攻击、进 行脆弱性分析以及攻击行为分析。 本文首次提出基于因素神经网络[1] 的油气集 输 SCADA 安全防御模型,采用主动防御( active de⁃ fense)的方法,对控制系统主机(工程师站、操作员 站和 PLC 上位机等)的恶意程序行为进行分析来实 现入侵检测的技术。 主要研究 SCADA 安全因素神 经元[2]的云推理机[3] ,实现对未知程序恶意行为的 推测,并对其算法进行 MATLAB 仿真。 1 课题思路 对恶意程序行为的描述可以采用因素神经元的 方法。 因素神经元由刘增良教授提出,是建立在汪 培庄教授的因素空间基础上提出的一种新的知识表 示方法,因素空间理论[4] 的主要目的是用于解释随 机性的根源以及概率规律的数学实质,其作用就是 “搭架子”,即建立一种广义坐标系,然后用以描述 坐标系中的实际对象。 因素神经元[1] 是一个面向 对象的综合知识表示与信息处理的单元模型,它能 够获取各种类型的信息输入,神经元可以有选择性 地进行感知,最后构成一个总体激发完成输出,能有 效地作为模型的载体,这种表示方法具有语法和语 义统一,定性与定量统一的知识表示特点。 完成了对恶意程序行为因素的表示和定性向定 量转换后,需要通过一定的算法对这些行为因素进 行分析,通过推理得到一个大致的结论,例如,这是 一个什么样的恶意程序、其危害程度有多大。 那么 可以尝试采用云模型的方法来完成这个推理机。 云模型由李德毅院士在 1995 年提出[5] ,云是用 自然语言值标识的某个定性概念与其定量表示之间 的不确定性转换模型。 云由许多云滴组成,每一个 云滴就是这个定性概念在数域空间中的一次具体实 现,这种实现带有不确定性。 2 基于因素神经元的 SCADA 系统恶 意程序行为分析 2.1 SCADA 系统信息安全的因素空间构建 2.1.1 因素空间核心内容 “任何事物都是诸因素的交叉”,一个人可以由 他在年龄、性别、身高、体重、职业、学历、性格、兴趣 等因素方面的表现而加以确定[6] ,人就是上述因素 的一种交叉。 然而一个事物并非从任何因素都可以 对之进行考察,如一块石头无从论性别,所谓事物 o 与因素 f 相关,是指从 f 讨论 o,有一个状态 f( o)与 之对应。 例如从 f(颜色因素) 讨论 o(苹果),有一 个状态 f(o)(红色)与之对应。 称(O,V)是一个配对,如果 O 与 V 分别是由一 些对象和由一些因素所组成的集合,且对任意 o∈ O,一切与 o 有关的因素都在 V 中,而对任意因素 f∈V,一切与 f 有关的事物也都在 O 中。 对于一个实际问题,假定有一个配对近似地存 在着,对于给定的配对(O,V),可以在 O 与 V 之间 定义一个关系 R: R(o,f)= 1,当且仅当 o 与 f 有关。 称 R 为相关关系。 为简便计把 R 定义为普通 的(非 fuzzy,非模糊)关系。 D(f) = {o | R(o,f) = 1} V(o) = {f | R(o,f) = 1} 因素 f 可以看作一个映射,作用在一定的对象 o 上可获得一定的状态,记为 f(o): f:D(f) → X(f) o → f(o) 这里 X( f) = { f( o) | o∈O} 叫做因素 f 的状态 空间。 2.1.2 因素空间模型构建 给定 论 域 U 后, 事 物 的 因 素 分 析 一 般 步 骤[6]为: 1)确定描述事物集合 O; 2)确定事物的因素集合 V; 3)对配对的(O,V)进行层次系统分析,确定其 是否具有层次性、类别关系,是否需要构成因素分类 树,从而实现优化分析; 4)确定各因素在论域 U 上的单因素状态空间; 5)构造离散因素空间; 6)构造原始事物描述离散模型。 大规模油气集输 SCADA 系统的信息安全防御 是由多方面因素构成的,不是光从某一个因素入手 就能解决的。 对于 SCADA 系统信息安全防御,主 要从恶意程序对系统的文件、注册表、进/ 线程操作 这 3 方面的因素来考虑,每一种操作由多方面的因 素构成,这样就可以把 SCADA 系统信息安全防御 问题放在一个由有限个恶意程序行为因素构成的因 素空间中,如图 1 所示。 SCADA 系统信息安全就从 第 5 期 熊柳,等:SCADA 安全因素神经元的云推理机研究与仿真 ·689·