◆程 超 陈 梅 李治霖

基于置信规则库的工业控制网络入侵检测

◆程 超 陈 梅 李治霖

（长春工业大学 计算机科学与工程学院 吉林 130012）

针对工业控制网络易遭受恶意攻击，本文提出了一种基于置信规则库的工业控制网络入侵检测方法。当置信规则库的前提属性数目过多时，置信规则库的规则条数呈指数级别增长，容易导致“组合爆炸”问题，本文提出利用线性组合方式构建置信规则库中的规则。本文还利用证据推理算法对置信规则库中的置信规则进行组合，并且优化置信规则库初始参数，提高了入侵检测的精确度。

工业控制系统；置信规则库；入侵检测；证据推理

1 引言

随着信息技术和网络技术水平不断提高，工业控制领域正在利用计算机全自动化采集技术进行数据采样，产生实时数据供用户监控和调配，并向工厂管理者提供数据比对，方便其决策分析。这种智能化模式便于合理集中地处理分散的工控现场数据，但必须依赖可靠的网络结构。容易遭受黑客攻击，造成工业控制系统瘫痪，因此提高工业控制网络安全刻不容缓[1]。

常用工业控制网络的入侵检测方法有基于“白名单”规则的异常检测方法，它通过对工业控制网络数据进行规律学习，生成匹配规则，为入侵检测系统基于规则匹配检测异常提供理论和技术支撑。但该入侵检测方法需要人工配置规则、缺乏自学能力功能等缺点，还有基于人工智能的工业控制网络入侵检测技术，它通过搜集大量异常工业控制网络样本数据，采用人工智能算法分析数据特点，通过报警关联机制确认、容忍机制等，降低误报率、漏报率和检测率。但实际很难获得大量工业控制网络异常数据。为了解决上述问题，本文提出基于证据推理算法的置信规则库推理方法进行工业控制网络入侵检测。

2 工业控制网络入侵检测相关研究

2.1 工业控制网络入侵检测方法

当前，不断有专家、学者对工业控制网络入侵检测方法进行全方位的研究。其中，常用入侵检测方法有基于支持向量机（SVM）的方法[2]和基于BP神经网络的方法[3-4]。支持SVM方法常用于入侵检测，可以利用结构风险最小化原理进行工业控制网络入侵检测。由于支持SVM只能区分两种类型的工业控制网络，因此还提出了组合支持SVM模型。BP神经网络使用经验风险最小化原理来检测工业控制网络入侵，但BP神经网络是一种黑盒模型，因此很难将专家知识整合到其学习过程中。

由于工业控制系统的复杂性和众多因素，上述方法很大程度上取决于特定的样本，在准确数据样本的入侵检测中效果较好，但是在区分正常数据和异常数据方面却表现不佳，而且这些方法都无法有效处理不确定的信息，但实际的工业控制网络系统中则需要考虑不确定信息。综上所述，上述方法无法有效地利用工业控制网络中的所有不确定信息，包括专家知识和历史数据。必须开发一种针对这些半定量数据检测工业控制网络安全性的方法。因此，本文提出基于置信规则库的工业控制网络入侵检测方法。

2.2 问题描述

本文所提出的基于置信规则库的工业控制网络入侵检测方法分为两部分，第一部分是数据输入，激活置信规则并计算相应的激活权重。第二部分采用证据推理算法推断激活规则并根据推断结果判断检测是否正确。为了检测不同类型的工业控制网络安全威胁，必须解决两个问题。

问题一：对于工业控制网络入侵检测，需要调整所建立的置信规则库模型的规则库策略。当置信规则库模型的前提属性数目过多时，置信规则库的规则条数呈指数级别增长，容易造成“组合爆炸”问题，降低入侵检测效率。因此，需要解决前提属性数目过多引起的组合爆炸问题。

问题二：在基于置信规则库的工业控制网络入侵检测方法中，需要根据专家知识和历史信息设置初始参数。但由于专家知识具有有限性，初始参数是不完整的范围量，使得初始值存在不准确性。因此，需要通过优化参数提高工业控制网络的入侵检测效率。

3 基于置信规则库的工业控制网络入侵检测

（1）

步骤3：利用ER算法对BRB模型中所有规则进行组合，可以得到BRB模型最终输出的置信度为：

置信规则库模型中规则权重、前提属性权重和置信度等参数通常是由专家根据历史信息和先验知识给定的，但当工业控制系统比较复杂时，专家难以保证所给参数值的精确性，这将使得初始置信规则库输出的入侵检测结果与实际的攻击方式不一致。因此，为了提高工业控制网络入侵检测的准确性，需要对初始置信规则库进行优化，使得实际输出结果与初始置信规则库输入结果之间的误差最小。在初始置信规则库中，规则权重、前提属性权重和置信度需满足如下的约束条件：

其次，建立优化目标函数，即:

4 案例分析

为了验证提出的置信规则库模型的有效性和可靠性，本节以某燃气工业控制网络为例，从数据集中共选取了2280个样本数据，其中包含3种类别的攻击：拒绝服务攻击、指令注入攻击、响应注入攻击。选取1900个数据作为训练集，380个数据作为测试集。经过仿真实验得出本文方法的准确率为97.8%，未经优化的置信规则库方法的准确率为87.6%。

5 结束语

本文提出了一种基于置信规则库的工业控制网络入侵检测方法，该方法有效的将专家经验与历史数据相结合，并解决了由于前提属性数目过多，置信规则库的规则条数呈指数级增长所引发的“组合爆炸”问题，从而提高了模型的准确性。本文还引入了证据推理算法对置信规则库中的置信规则进行组合，并优化了置信规则库的初始参数，提高了入侵检测精度。

基于燃气工业控制网络的入侵检测研究表明，当无法准确建立数学模型和获得大量工业控制网络异常攻击数据时，本文所提方法能够较准确地检测出工业控制系统所面临的威胁攻击，对实际工程问题具有较高的适用性。

[1]姚羽，祝烈煌，武传坤.工业控制网络安全技术与实践[M].北京：机械工业出版社，2017.

[2]钱亚冠，卢红波，纪守硕，等.一种针对基于SVM入侵检测系统的毒性攻击方法[J].电子学报，2019，47（1）：59-65.

[3]丁红卫，万良，邓烜堃.改进的HS算法优化BP神经网络的入侵检测研究[J].计算机工程与科学，2019，41（1）：65-72.

[4]朱亚东.基于粗糙集和SPSO的网络入侵检测方案[J].控制工程，2018，25（11）：2088-2101.

[5]周志杰，陈玉旺，胡昌华，等.证据推理、置信规则库与复杂系统建模[M].北京：科学出版社，2017.

国家自然科学基金资助项目（61903047）；吉林省发改委资助项目（2019C040-3）